GDPR - nové pravidlá pri spracovávaní osobných údajov

Ochrana osobných údajov je problematikou, ktorá v posledných rokoch čoraz viac rezonuje v povedomí odbornej i laickej verejnosti. Po niekoľkoročných rozhovoroch bola na pôde Európskeho parlamentu prijatá nová legislatíva, ktorá významným spôsobom zreformovala doterajšie nazeranie na ochranu osobných údajov v európskych štátoch. Nová smernica so sebou prináša množstvo rôznych úprav a nových pravidiel, ktoré sa dotknú podnikateľov, ako aj iných subjektov pôsobiacich na území Slovenskej republiky i v zahraničí.

Všeobecné nariadenie o ochrane osobných údajov

Po takmer 4 rokoch prebiehajúcich diskusií na európskej pôde prijali zástupcovia Európskeho parlamentu Všeobecné nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov (angl. General Data Protection Regulation, skrátene aj ako „GDPR“)**. Nové nariadenie tak nahrádza pôvodne platnú Smernicu o ochrane údajov z roku 1995. Prijatá právna úprava zároveň odráža snahu zástupcov Európskeho parlamentu o harmonizáciu pravidiel v oblasti ochrany osobných údajov v členských štátoch Európskej únie. Nové nariadenie vstúpilo do platnosti dňa 25. mája 2016 a účinnosť nadobudne dňa 25. mája 2018. Do tej doby nám poskytuje priestor na oboznámenie sa s novými pravidlami a podnikateľom tak dáva možnosť v predstihu sa dobre pripraviť  na prichádzajúce zmeny.

Cieľová skupina

V tejto súvislosti je potrebné si uvedomiť základný fakt, že osobné údaje bežne spracúvame na dennej báze pri rôznych životných situáciách. Medzi nimi možno ako príklad uviesť vybavovanie objednávok od zákazníkov, rozosielanie informačných newsletterov, vedenie údajov o našich zamestnancoch, o klientoch. Uvedené príklady tak zreteľne demonštrujú rozsah subjektov, na ktoré sa bude vzťahovať nová právna úprava. Dotkne sa všetkých podnikateľov, ktorí spracúvajú údaje o svojich zákazníkoch a klientoch, majú zamestnancov, využívajú prístupový alebo kamerový systém, všetkých majiteľov e-shopov, ako aj všetkých, ktorí využívajú dáta na rôzne marketingové účely.

Hlavné zmeny novej právnej úpravy

Medzi najvýraznejšie zmeny novej právnej úpravy, ktoré sa budú vzťahovať aj slovenských podnikateľov, patria najmä nasledovné novinky:

  • Medzi osobné údaje sa podľa GDPR budú zaraďovať už aj údaje technického charakteru. K bežnému okruhu osobných údajov patrí napríklad meno, priezvisko a adresa zákazníka. Po novom k nim pribudne aj IP adresa alebo súbory cookies.
  • Nová právna úprava zároveň sprísňuje pravidlá pre udeľovanie súhlasu so spracovávaním osobných údajov. Takýto súhlas musí byť konkrétny, slobodný, informovaný a jednoznačný. Veľkou zmenou v porovnaní s doterajšou právnou úpravou je aj skutočnosť, že súhlas viac nemôže byť súčasťou obchodných podmienok.
  • Každý podnikateľ, na ktorého sa budú vzťahovať nové pravidlá, bude zároveň musieť byť schopný kedykoľvek preukázať takto udelený súhlas. Takýto súhlas zároveň musí byť v zmysle novej legislatívy jednoduchým spôsobom odvolateľný.
  • Nová úprava ďalej zavádza právo prenášať osobné údaje k inému poskytovateľovi v štandardnom elektronickom formáte, ako aj právo dotknutej osoby dozvedieť sa o porušení práva na ochranu osobných údajov.
  • GDPR sprísňuje aj podmienky pre spracúvanie osobných údajov osôb, ktoré majú menej ako 16 rokov. Legálne bude len v prípade, ak k nemu udelil súhlas ich zákonný zástupca.
  • Nové nariadenia zavádza aj povinnosť ustanoviť tzv. zodpovednú osobu. Takouto osobou môže byť externý dodávateľ či interný zamestnanec, ktorý splní ustanovené kvalifikačné podmienky.
  • Každý zamestnávateľ, ktorý zamestnáva viac ako 250 zamestnancov a pravidelne spracúva osobné údaje (napríklad v internetovom obchode), bude po novom povinný viesť záznamy o tejto činnosti.
  • Nové pravidlá sa zavádzajú aj v prípade cezhraničného prenosu osobných údajov.
  • GDPR tiež zavádza priamu zodpovednosť prevádzkovateľa, čím sa mení aj dôkazné bremeno v prípade porušenia práv dotknutých subjektov.

Nové GDPR prináša množstvo konkrétnych potrebných opatrení, jedno z nich sa napr. týka aj prevádzkovateľov e-shopov. Spočíva v tom, že políčko na vyjadrenie súhlasu so spracovaním osobných údajov na účely marketingu nesmie byť v žiadnom prípade vopred „zaškrtnuté“. Ak to tak nemáte, musíte nechať po novom tento aktívny úkon na zákazníka. 

Ďalšou veľmi dôležitou úpravou je skutočnosť, že dotknuté osoby zároveň budú mať právo byť vymazané alebo úplne zabudnuté. V praxi to znamená, že ak podnikateľa požiadajú o výmaz osobných údajov, bude povinný tejto žiadosti vyhovieť v plnom rozsahu. Za určitých podmienok bude tiež možné požadovať, aby boli údaje vymazané aj z internetových vyhľadávačov.

Sankcie za porušenie novoustanovených pravidiel sa môžu vyšplhať až na 20 miliónov eur alebo do výšky 4 % z celosvetového obratu za minulú účtovné obdobie, a to podľa toho, ktorá suma je pre daného porušiteľa vyššia.

Aktívna príprava na zmeny

Nová právna úprava ochrany osobných údajov predstavuje významnú reformu v tejto oblasti a svojím rozsahom sa dotýka väčšiny podnikateľov, iných verejnoprávnych subjektov, ako aj rôznych neziskových organizácií. Komplexná príprava na nadchádzajúce zmeny by tak v prvom kroku mala zahŕňať zhodnotenie súčasného stavu procesov pri spracúvaní osobných údajov. V druhom kroku prichádza na rad porovnanie súčasného nastavenia s novou legislatívou. V nasledujúcom kroku je potrebné pripraviť všetky potrebné návrhy, ktoré uvedú súčasný stav do súladu s požadovaným stavom. V poslednom kroku je napokon potrebné prijaté opatrenia implementovať do praxe. Každý z uvedených krokov si vyžaduje určitú námahu na strane dotknutého subjektu a trvá po určitý čas. Je preto dôležité, aby podnikatelia a iné subjekty, ktorých sa zmeny týkajú, riešili danú problematiku v dostatočnom predstihu a vyhli sa tak prípadnému uloženiu vysokých pokút za porušenie nových pravidiel.

Sledujte ďalej naše blogy a tému GDPR. V prípade konkrétnych otázok sa na nás neváhajte obrátiť.

** Celý názov novoprijatého nariadenia znie „Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data“, čo v preklade znamená: Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov).