Čo prináša GDPR

Čo prináša GDPR – nové európske nariadenie o ochrane osobných údajov

Za nesplnenie povinností pri ochrane osobných údajov Vašich klientov či zamestnancov Vám môže hroziť až niekoľko miliónová pokuta. Preto je potrebné sa na nové pravidlá pripravovať už dnes.

Európske Všeobecné nariadenie o ochrane osobných údajov (GDPR) sa začne uplatňovať od mája 2018. GDPR nahradí súčasnú európsku smernicu ako aj slovenský zákon o ochrane osobných údajov a zavedie jednotnú právnu úpravu v celej EÚ, keďže bude priamo aplikovateľné vo všetkých členských štátoch.

Nové pravidlá ochrany osobných údajov

Aj keď už teraz má Slovensko jednu z najprísnejších regulácii ochrany osobných údajov v rámci Európy, GDPR v niektorých prípadoch súčasný právny stav ešte viac sprísňuje.

Za osobný údaj sa už nebudú považovať len tradičné identifikátory ako meno či emailová adresa, ale aj rôzne lokalizačné údajeonline identifikátory, ako napríklad IP adresa, cookies či údaj o aktuálnom mieste pohybu dotknutej osoby. Genetické údaje a údaje o zdravotnom stave ako aj biometrické údaje budú dokonca ešte v prísnejšom režime citlivých údajov.

Naopak, klasická fotografia sa už nebude považovať za citlivý osobný údajov, ak nepôjde o fotografiu s prvkami biometrie. Taktiež sa podľa GDPR nebude za citlivý údaj považovať rodné číslo.

Podstatne sa sprísňujú požiadavky na súhlas dotknutej osoby, ktorý musí to byť jasný, nepodmienenýaktívny prejav vôle dotknutej osoby, nesmie byť skrytý v obchodných podmienkach ani podmienený poskytnutím služby či dodaním tovaru. Mlčanie, začiarknuté políčka či nekonanie nebude považované za platný súhlas. Zároveň späť vzatie súhlasu bude musieť byť rovnako jednoduché ako jeho udelenie. Súhlas sa nebude považovať za slobodný, ak dotknutá osoba nebude mať skutočnú slobodnú voľbu alebo nebude môcť odmietnuť alebo odvolať súhlas bez nepriaznivých dôsledkov. Súhlas ako právny základ by mal byť preto vylúčený v prípade, ak medzi postavením dotknutej osoby a prevádzkovateľa existuje jednoznačný nepomer, napríklad ak je prevádzkovateľom orgán verejnej moci alebo zamestnávateľ.

Zásadný dopad na prevádzkovateľov budú mať aj nové práva dotknutých osôb ako „právo na zabudnutie“ (právo, aby prevádzkovateľ vymazal osobné údaje dotknutej osoby na jej žiadosť) alebo právo na prenositeľnosť údajov na žiadosť dotknutej osoby v strojovo čitateľnom formáte k novému prevádzkovateľovi. Prevádzkovatelia budú musieť zabezpečiť najmä z technickej stránky vykonateľnosť týchto práv dotknutých osôb.

Podstatne sa zmenia aj podmienky pre profiláciu, data mining a využívanie big data, ktorých súčasťou budú osobné údaje. Väčšie práva budú mať dotknuté osoby aj v prípade, ak sa ich osobné údaje budú využívať na automatizované individuálne rozhodovanie, napr. na účely poskytnutia úveru či uzatvorenia poistnej zmluvy.

Opätovne sa zavádza pre niektorých prevádzkovateľov povinnosť ustanoviť zodpovednú osobu (Data Protection Officer), a to okrem prevádzkovateľov vo verejnej správe aj pre prevádzkovateľov, ktorí v rámci svojej hlavnej činnosti pravidelne spracúvajú citlivé osobné údaje vo veľkom rozsahu alebo pravidelne monitorujú dotknuté osoby.

Nový zákon o ochrane osobných údajov

Pri implementácii GDPR je potrebné pamätať na to, že GDPR necháva úpravu niektorých inštitútov na národnú legislatívu. Aj na Slovensku bude preto popri GDPR platiť nový národný zákon o ochrane osobných údajov, ktorý už čaká na svoje schválenie v parlamente a začne sa uplatňovať rovnako ak GDPR v máji 2018.

Drakonické sankcie

Za porušenie nových pravidiel hrozí spoločnostiam pokuta až do výšky 4% celosvetového obratu alebo až 20 miliónov eur. Preto by sa implementácia GDPR mala stať vo firmách jednou z priorít compliance.

Aj keď nové pravidlá začnú platiť až v nasledujúcom roku, zmeny sú také veľké, že sa treba začať pripravovať už dnes. Prevádzkovatelia a sprostredkovatelia budú musieť zrevidovať svoju právnu aj bezpečnostnú dokumentáciu na ochranu osobných údajov a prispôsobiť svoje interné procesy ako aj jednotlivé technológie a aplikácie spracúvania novým pravidlám v súlade s GDPR.

 

Autor: JUDr. Lucia Semančínová