GDPR sa stala jednou z najčastejšie používaných skratiek v médiách v poslednej dobe. Čo konkrétne GDPR znamená, koho sa týka, je nutné sa ním vôbec zaoberať a meniť svoje zaužívané firemné postupy?
General Data Protection Regulation, alebo ako sa často uvádza v skrátenej forme GDPR, je nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov. Ide pravdepodobne o doteraz najkomplexnejšiu právnu normu, ktorá sa zaoberá témou ochrany osobných údajov. Definuje nové pojmy, zavádza nové práva pre fyzické osoby, ale hlavne povinnosti pre subjekty, ktoré spracúvajú osobné údaje týchto osôb. Po 22 rokoch nahrádza dnes platnú smernicu Európskeho Parlamentu o ochrane osobných údajov fyzických osôb 95/46/ES.
Nariadenie GDPR sa 25. mája 2018 stane priamo aplikovateľné vo všetkých členských štátoch EÚ. V podmienkach SR Úrad na ochranu osobných údajov (ÚOOÚ) pripravil návrh zákona, ktorý z veľkej časti kopíruje nariadenie GDPR a v roku 2018 nahradí aktuálne stále platný zákon č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.
Nariadenie rozširuje definíciu osobných údajov na akékoľvek informácie o identifikovanej alebo identifikovateľnej fyzickej osobe (dotknutej osobe). Identifikovateľná osoba je osoba, ktorú možno priamo či nepriamo identifikovať, najmä odkazom na určitý identifikátor, napríklad meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo jeden či viac zvláštnych prvkov fyzickej, fyziologickej, genetickej, psychickej, ekonomickej, kultúrnej alebo spoločenskej identity.
Markantnou zmenou je spôsob udelenia súhlasu dotknutou osobou. Takýto súhlas musí byť slobodný, vvýslovný, vedomý a jednoznačný. Nesmie byť súčasťou všeobecných obchodných podmienok, či inej smernice alebo zmluvy.
Dôležitá je požiadavka minimalizácie údajov. V praxi to znamená, že je možné zbierať len tie osobné údaje, ktoré sú nevyhnutné pre výkon činnosti daného subjektu pre presne definovaný účel a na vopred stanovenú obmedzenú dobu (súčasná legislatíva umožňovala zber osobných údajov na dobu neurčitú).
Subjektom, ktoré spracúvajú osobné údaje fyzických osôb nariaďuje GDPR povinnosť ohlásiť bezpečnostné incidenty dotknutým osobám, ako aj orgánom verejnej moci v lehote 72 hodín.
V neposlednom rade prináša novú rolu v podobe zodpovednej osoby (v anglickom znení tzv. Data Privacy Officer (DPO)). Nariadenie GDPR priamo definuje prípady, kedy je nutné nevyhnutné v organizácii túto rolu zaviesť (sú to napr. orgány verenej moci; subjekty, ktorých hlavná činnosť vyžaduje rozsiahle právne a systematické monitorovanie osobných údajov; subjekty a spracovatelia citlivých osobných údajov).
Povinnosťou subjektov, ktoré spracúvajú osobné údaje sa stáva aj vedenie záznamov o spracovateľskej činnosti.
GDPR prináša mnoho práv pre fyzické osoby, ako napríklad napríklad právo na informácie, právo na prístup k informáciám, právo na opravu a výmaz – právo byť zabudnutý, právo na obmedzenie spracúvania údajov, právo na prenosnosť údajov, právo vzniesť námietku, právo na informáciu o bezpečnostnom incidente. Všetky vyššie uvedené práva zodpovedajú aktuálnym trendom v oblasti informačnej bezpečnosti a ochrany osobných údajov. Súčasne, ale predstavujú povinnosti pre subjekty, ktoré osobné údaje spracúvajú, a to umožiťumožniť fyzickým osobám si vyššie uvedené práva uplatniť.
Nariadenie prináša nové a súčasne vyššie sankcie pri jeho porušení. Stále účinná právna úprava v SR umožňuje ÚOOÚ uložiť pri porušení zákona pokutu do výšky 200, 000.- Eur. Nariadením GDPR dané sankcie stúpli na úroveň 20, 000, 000.- Eur, alebo 4 % z celosvetového obratu (podľa toho, čo je vyššie).
Okrem sankcií definuje GDPR súčasne právo na náhradu spôsobenej újmy od prevádzkovateľa alebo sprostredkovateľa, pokiaľ fyzická osoba v dôsledku porušenia nariadenia GDPR utrpela hmotnú alebo nehmotnú újmu.
Vzhľadom na medializáciu prípadov porušenia ochrany osobných údajov a straty citlivých informácií je dôležité zhodnotiť aj vplyv prípadného incidentu na ohrozenie dobrého mena spoločnosti a prípadnú stratu reputácie.
Spozornieť by mali všetky subjekty, ktoré spracúvajú osobné údaje fyzických osôb. Práve ich sa GDPR priamo týka a sú povinné od 25. mája 2018 zosúladiť svoje podnikové postupy s týmto nariadením, inak im hrozia vyššie uvedené sankcie. V praxi to znamená, že každá spoločnosť, ktorá má zamestnancov, databázu zákazníkov, dodávateľov alebo partnerov (ak sú to fyzické osoby, alebo fyzické osoby podnikatelia). Na trhu pravdepodobne ťažko nájdeme spoločnosť, ktorej by sa nariadenie GDPR netýkalo.
Nariadenie GDPR predstavuje evolúciu, nie však revolúciu, v oblasti ochrany osobných údajov. Nariadenie rozvíja aktuálne právne normy, ktoré z dôvodu zastaralostizastaranosti a zosúladenia v rámci EÚ nahrádza. Prináša nové adekvátne práva a povinnosti vzhľadom na situáciu v oblasti digitalizácie a rýchleho rozvoja kyber-kriminality.
Spoločnosť Vojčík & Privacy skĺbila rozsiahle medzinárodné skúsenosti v oblasti práva, štandardov v oblasti informačnej bezpečnosti a skúsenosti v oblasti riadenia a implementácie informačných technológií. Ponúkame klientom moderné, komplexné a účinné riešenia zodpovedajúce medzinárodným štandardom a platnej právnej úprave.
GDPR
Viac
GDPR
Viac
© 2024. Všetky práva vyhradené: Vojčík & Partners, s.r.o., advokátska kancelária | Ochrana osobných údajov
Cookie | Dĺžka trvania | Popis |
---|---|---|
_GRECAPTCHA | 5 months 27 days | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category . |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Dĺžka trvania | Popis |
---|---|---|
_ga | 1 year 1 month 4 days | The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors. |
_ga_* | 1 year 1 month 4 days | Google Analytics sets this cookie to store and count page views. |
Cookie | Dĺžka trvania | Popis |
---|---|---|
_fbp | 3 months | This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website. |