GDPR – General Data Protection Regulation

Dňa 25. mája 2018 vstúpi do účinnosti Nariadenie Európskeho parlamentu a Rady (EU) o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe tiež pod skratkou GDPR – General Data Protection Regulation (všeobecné nariadenie o ochrane osobných údajov). Nariadenie, na rozdiel od smernice, má priamy účinok a nie je potrebné aby bolo implementované do vnútroštátnej právnej úpravy.

 

Nariadením sa chráni právo fyzických osôb na ochranu osobných údajov. Vzťahuje sa na spracúvanie osobných údajov v rámci činnosti prevádzky osoby pôsobiacej v Európskej únii, bez ohľadu na to, či sa samotné spracovanie osobných údajov vykonáva v EÚ alebo nie. Nariadením, sa musia spravovať taktiež osoby, ktoré nie sú usadené v EÚ, no ponúkajú tovary alebo služby osobám v EÚ, a to aj bez vyžadovania platby od dotknutej osoby, či v prípade ak sledujú správanie osôb v EÚ. Je potrebné uviesť, že osobou v EÚ sa nemyslí len občan EÚ, ktorými sú všetci občania členských štátov, ale taktiež akákoľvek osoba nachádzajúca sa na území EÚ.

 

Osobnými údajmi sa myslia akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobnými údajmi pritom nie sú len meno, priezvisko, dátum narodenia prípadne adresa bydliska či rodné číslo. V zmysle dikcie nariadenia je možné považovať za osobný údaj akýkoľvek údaj, na základe ktorého možno tú ktorú fyzickú osobu identifikovať. Jedná sa tak napríklad aj o IP adresu, e-mailovú adresu, súbory cookies či biometrické alebo genetické údaje osoby.

 

Osobné údaje možno spracovávať len zákonným spôsobom a v rozsahu v akom so spracúvaním osobných údajov vyjadrila dotknutá osoba súhlas, v rozsahu ktorý je potrebný na plnenie zmluvy, ktorej je dotknutá osoba súčasťou, prípadne v rozsahu, ktorý je nevyhnutný pre to aby si prevádzkovateľ t.j. osoba spracúvajúca osobné údaje, splnil zákonnú povinnosť. Súhlas so spracovaním osobných údajov musí byť slobodný, určitý, informovaný a jednoznačný. Súhlas však musí byť taktiež formulovaný tak, aby bol ľahko zrozumiteľný a v prípade ak sa poskytuje v súvislosti s uzatváraním zmluvy, musí byť oddelený od tejto zmluvy tak, aby bolo jasné, že nie je bezpodmienečne nutný k uzatvoreniu tejto zmluvy. Ten, kto súhlas so spracovaním osobných údajov dáva si musí byť taktiež vedomý toho, za akým účelom tento súhlas dáva. Znamená to, že ak sa súhlas poskytuje podpísaním vopred pripraveného dokumentu, tak tento dokument musí obsahovať informáciu o tom, za akým účelom budú použité poskytnuté osobné informácie.

 

Pokiaľ sa týka súhlasu so spracovaním osobných údajov napr. na internete, dochádza k zmene spôsobu poskytovania súhlasu keďže po novom sa bude súhlas potrebné poskytnúť súhlas ešte pred tým, než bude poskytnutá služba, pre ktorú sa poskytnutie osobných informácií vyžaduje. Nastáva tak obrat oproti súčasne situácii, keď napr. používateľ webovej stránky vyjadruje súhlas so spracovaním osobných údajov tým, že túto webovú stránku používa, pričom svoj nesúhlas s poskytnutí resp. spracovaním osobných údajov môže vyjadriť tak, že webovú stránku, prípadne inú službu prestane používať.

 

Nariadením sa fyzickej osobe, ktorá poskytla osobné údaje zaručuje tzv. „právo byť zabudnutý“. Fyzická osoba, ktorá poskytla osobné údaje má právo požadovať od prevádzkovateľa, aby boli jej osobné údaje, ktoré poskytla, bezodkladne vymazané. Toto právo sa týka osobných údajov, pre ktorých uchovávanie neexistuje, alebo už neexistuje právny dôvod, nakoľko napr. zamestnávatelia musia zo zákona evidovať určitý počet rokov istý druh informácií o zamestnancoch.

 

Ďalším významným krokom k ochrane osobných údajov fyzických osôb, je oznamovacia povinnosť prevádzkovateľov, ktorí uchovávajú osobné údaje v prípade porušenia zabezpečenia týchto osobných údajov. Jedná sa o rôzne prieniky do elektronických databáz, hackerské útoky atď. keď neoprávnené osoby, mohli získať prístup k uchovávaným osobným údajom. V prípade prelomenia zabezpečenia je osoba, ktorá uchovávala osobné údaje povinná oznámiť bezodkladne, najneskôr do 72 hodín, na to ustanovenému orgánu, skutočnosť, že prišlo k porušeniu zabezpečenia osobných údajov. Porušenie zabezpečenia osobných údajov nie je potrebné oznamovať, ak je pravdepodobné, že nepovedie k riziku pre práva a slobody fyzických osôb.

 

V prípade, ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých fyzických osôb, je prevádzkovateľ povinný bez zbytočného odkladu skutočnosť o porušení zabezpečenia osobných údajov oznámiť okrem na to ustanovenému orgánu taktiež dotknutej osobe. Ak by oznámenie fyzickej osobe vyžadovalo neprimerané úsilie, napr. z dôvodu počtu zasiahnutých fyzických osôb, tak je možné prijať podobné opatrenia, ktorými sa zaručí, že dotknuté osoby budú o porušení osobných údajov informované.

 

Prevádzkovateľom, resp. osobám, ktoré spracúvajú alebo uchovávajú osobné údaje, či im z iného dôvodu vyplývajú povinnosti z nariadenia, môže byť za porušenie týchto povinností uložená pokuta až do výšky 200-tisíc eur, prípadne v určených prípadoch až 20-miliónov eur alebo 4% z obratu, čo pri nadnárodných korporáciách predstavuje viac, ako uvedených 20-miliónov.

 

Ako uvádzame v úvode článku, nariadenie je priamo aplikovateľné a nie je potrebná jeho transpozícia do vnútroštátneho právneho poriadku. Nariadenie však prenecháva úpravu určitých inštitútov a skutočností na vnútroštátnu právnu úpravu. V dôsledku prijatia nariadenia Národná rada Slovenskej republiky schválila úplne nový zákon o ochrane osobných údajov, ktorého účinnosť nastáva dňa 25.05.2018. V zákone sú premietnuté zmeny ustanovené nariadením, pričom je predovšetkým rozšírený pojem „osobný údaj“ ktorého definícia je zhodná s tou obsiahnutou v nariadení. Okrem iného je taktiež prijatá s nariadením zhodná právna úprava čo sa týka súhlasu so spracovaním osobných údajov a zákonnosti spracovania osobných údajov. Do zákona bolo taktiež premietnuté v nariadení obsiahnuté „právo na zabudnutie“ pričom zákonný pojem tohto práva je „právo na výmaz osobných údajov“, čo do obsahu sú tieto dve práva zhodné. Osoba, ktorá poskytla osobné údaje (oprávnená osoba) má tak aj v zmysle zákona o ochrane osobných údajov právo, aby na základe jej žiadosti prevádzkovateľ, t. j. osoba, ktorej boli poskytnuté osobné údaje a ktorá ich spracúva, tieto osobné údaje v prípade, ak už nie sú potrebné na účel, na ktorý boli poskytnuté, či v prípade odvolania súhlasu, alebo ak oprávnená osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené záujmy, osobné údaje oprávnenej osoby vymazal.

 

V zmysle zákona má taktiež oprávnená osoba právo namietať spracúvanie osobných údajov na účel marketingu, vrátane profilovania v rozsahu v akom súvisí s priamym marketingom. V prípade ak oprávnená osoba namieta spracúvanie osobných údajov na účel priameho marketingu, prevádzkovateľ osobné údaje tejto osoby už ďalej nemôže spracúvať. O možnosti namietať spracúvanie osobných údajov musí prevádzkovateľ oprávnenú osobu informovať najneskôr v prvej komunikácii, pričom táto informácia musí byť uvedená jasne a v prípade jej poskytnutia v rámci napr. uzatvorenia zmluvy, je nutné, aby bola oddelená od tejto zmluvy.

 

V zmysle zákona, je zhodne s nariadením upravená povinnosť oznámiť porušenie zabezpečenia osobných údajov. Prevádzkovateľ je tak povinný do 72 hodín odkedy došlo k porušeniu zabezpečenia oznámiť túto skutočnosť Úradu na ochranu osobných údajov. Prevádzkovateľ taktiež v prípade ak hrozí vysoké riziko ujmy na právach osôb, ktorých osobné údaje boli porušením zabezpečenia ohrozené, oznámiť túto skutočnosť okrem Úradu na ochranu osobných údajov taktiež dotknutým osobám.

 

V zmysle zákona o ochrane osobných údajov môže Úrad na ochranu osobných údajov uložiť osobe, ktorá porušila závažné povinnosti vyplývajúce jej zo zákona o ochrane osobných údajov uložiť pokutu až do výšky 10-miliónov eur alebo v prípade ak ide o podnik až do výšky 2% z celkového svetového ročného obratu. V prípade ak osoba porušila opatrenie, ktoré jej uložil Úrad na ochranu osobných údajov môže jej úrad uložiť pokutu až vo výške 20- miliónov eur alebo až vo výške 4% z celkového celosvetového obratu. Ak osoba, ktorá nie je prevádzkovateľom osobných údajov alebo sprostredkovateľom v zmysle zákona o ochrane osobných údajov, poruší povinnosť poskytnúť Úradu pre ochranu osobných údajov potrebnú súčinnosť, môže byť jej uložená pokuta až do výšky 2-tisíc eur.

 

Všeobecným nariadením o ochrane osobných údajov ako aj novým zákonom o ochrane osobných údajov dochádza k posilneniu práv fyzických osôb v oblasti ochrany ich osobných údajov ako aj v ochrane osobných údajov ako takých. V dôsledku toho priamo-úmerne vzrastajú povinnosti prevádzkovateľov a spracovateľov osobných údajov.

 

Záverom je potrebné konštatovať, že opatrenia prijaté na ochranu osobných údajov fyzických osôb, aj keď zavádzajú rozšírené povinnosti pre prevádzkovateľov a spracovateľov osobných údajov v porovnaní s terajšou právnou úpravou, poskytujú pre osobné údaje fyzických osôb a tým pádom aj pre základné práva a slobody týchto osôb, väčšiu ochranu ako v súčasnosti aplikované opatrenia. Sprísnenie pravidiel spracovania a hlavne uchovávania osobných údajov v súčasnej dobe, keď sa krádež osobných údajov a ich zneužitie môže poľahky udiať prostredníctvom počítača na diaľku, možno preto vidieť prinajmenšom pozitívne.

 

Vypracované JUDr. Adriana Ručkayová, ku dňu 13. 04.2018