Skratka GDPR, alebo General Data Protection Regulation (Všeobecné nariadenie o ochrane údajov), je nariadenie Európskej únie, ktoré sa zaoberá ochranou osobných údajov a súkromia jednotlivcov. Tento zákon bol prijatý 27. apríla 2016 a vstúpil do platnosti 25. mája 2018. V Slovenskej republike je implementovaný prostredníctvom zákona č. 18/2018 Z.z. o ochrane osobných údajov.
Kľúčové informácie článku
GDPR sa vzťahuje na všetky organizácie, ktoré spracúvajú osobné údaje osôb nachádzajúcich sa v EÚ, bez ohľadu na to, kde tieto organizácie sídlia.
GDPR poskytuje jednotlivcom viac práv, vrátane práva na prístup k svojim osobným údajom, práva na opravu, vymazanie (právo byť zabudnutý), obmedzenie spracovania a prenosnosť údajov.
Zásady GDPR zahŕňajú minimalizáciu a presnosť údajov, obmedzenie účelu, obmedzenie uchovávania a integritu a dôvernosť.
Čo znamená GDPR skratka?
GDPR, teda General Data Protection Regulation (Všeobecné nariadenie o ochrane údajov) prijaté 27. apríla 2016 vstúpilo do platnosti v roku 2018. GDPR nariadenie Európskej únie, ktoré sa zaoberá ochranou osobných údajov a súkromia jednotlivcov.
Nahrádza predchádzajúcu smernicu o ochrane údajov a zavádza prísnejšie pravidlá na spracovanie osobných údajov. Cieľom GDPR je zabezpečiť, aby osobné údaje jednotlivcov boli chránené pred nelegálnym spracovaním a aby mali jednotlivci väčšiu kontrolu nad tým, ako sú ich údaje spracovávané.
Týka sa to prakticky všetkých oblastí vrátane databáz telefónnych čísiel, e-shopov, ako napr. remix shop sk, firiem aj poskytovateľov služieb.
GDPR nariadenie a zákon
Nariadenie GDPR a Zákon č. 18/2018 Z.z. o ochrane osobných údajov sú kľúčové právne predpisy na ochranu osobných údajov v Slovenskej republike. Zákon GDPR teda nie je celkom správne označenie a je potrebné tieto dve veci rozlišovať.
Pôsobnosť GDPR vs. Zákon o ochrane osobných údajov
GDPR, ako právny predpis EÚ, je priamo aplikovateľné vo všetkých členských štátoch bez potreby transpozície do národného práva. V Slovenskej republike má prednosť pred národnými zákonmi podľa článku 7 ods. 2 Ústavy SR.
Preto sa pri spracovaní osobných údajov v SR primárne riadi GDPR, pričom Zákon č. 18/2018 Z.z. sa aplikuje iba v špecifických prípadoch. Ide o zákon o ochrane osobných údajov.
| Spracovanie osobných údajov podľa GDPR | Pri spracovaní údajov, ktoré spadajú pod právo EÚ, prevádzkovatelia postupujú podľa GDPR a prvej časti Zákona č. 18/2018 Z.z., s výnimkami § 2 a § 5. |
| Spracovanie mimo pôsobnosti EÚ | Ak spracovanie údajov nespadá pod právo EÚ a prevádzkovateľ nie je orgánom činným v oblasti trestného práva, aplikuje sa výlučne Zákon č. 18/2018 Z.z. |
| Spracovanie údajov orgánmi činnými v trestnom práve | V prípade spracovania údajov orgánmi zodpovednými za trestné právo alebo výkon trestných sankcií platí výlučne Zákon č. 18/2018 Z.z., vrátane jeho tretej časti. |
Osobitné spracovateľské operácie podľa Zákona č. 18/2018 Z.z.
Napriek primárnemu uplatneniu GDPR existujú situácie, ktoré si Slovensko upravilo samostatne v Zákone č. 18/2018 Z.z., najmä v § 78:
- Mediálna výnimka: Osobné údaje môžu byť spracovávané na účely informovania verejnosti bez predchádzajúceho súhlasu dotknutej osoby, ak to vyplýva z činnosti médií, ako sú televízia alebo rádio. Táto výnimka sa vzťahuje aj na obecnú periodiku, ak je registrovaná na Ministerstve kultúry SR.
- Zverejňovanie údajov zamestnancov: Zamestnávateľ môže bez súhlasu zverejniť základné údaje zamestnancov (napr. meno, pracovné zaradenie), ak to súvisí s ich pracovnými povinnosťami. Rozšírenie na iné údaje ako fotografie nie je povolené.
- Získavanie údajov od iných osôb: Prevádzkovatelia môžu získavať osobné údaje od iných fyzických osôb len s písomným súhlasom dotknutej osoby.
- Spracovanie údajov zosnulých: GDPR sa nevzťahuje na údaje zosnulých, avšak slovenský zákon umožňuje spracovanie týchto údajov na základe súhlasu blízkych osôb. Ak jedna blízka osoba nesúhlasí, súhlas nie je platný.
Pre ďalšie podrobnosti a konkrétne aplikácie týchto pravidiel je potrebné dôkladne preštudovať zákon aj nariadenie, prípadne vyhľadať právu radu.
Kľúčové zásady GDPR
GDPR je založené na niekoľkých kľúčových zásadách, ktoré sa musia dodržiavať pri spracovaní osobných údajov:
| Zásada zákonnosti, spravodlivosti a transparentnosti | Osobné údaje musia byť spracované zákonným, spravodlivým a transparentným spôsobom voči dotknutej osobe. Organizácie musia jasne informovať jednotlivcov o tom, ako budú ich údaje spracovávané. |
| Zásada obmedzenia účelu | Údaje sa môžu zhromažďovať iba na konkrétne, explicitné a legitímne účely a nemali by sa ďalej spracovávať spôsobom, ktorý nie je v súlade s týmito účelmi. |
| Zásada minimalizácie údajov | Organizácie by mali zhromažďovať iba tie údaje, ktoré sú nevyhnutné na dosiahnutie účelu spracovania. |
| Zásada presnosti | Osobné údaje musia byť presné a v prípade potreby aktualizované. Je potrebné prijať všetky rozumné kroky na zabezpečenie toho, aby nepresné údaje boli bezodkladne opravené alebo vymazané. |
| Zásada obmedzenia uchovávania | Údaje by sa mali uchovávať iba počas obdobia, ktoré je nevyhnutné na účely spracovania. Po uplynutí tohto obdobia by mali byť údaje vymazané alebo anonymizované. |
| Zásada integrity a dôvernosti | Osobné údaje musia byť spracované takým spôsobom, aby sa zabezpečila ich bezpečnosť, vrátane ochrany proti neoprávnenému alebo nezákonnému spracovaniu a proti náhodnej strate, zničeniu alebo poškodeniu. |
GDPR sa musí dodržiavať aj keď sa vybavuje poistka na auto online, riadiť sa ním musia poisťovne aj bankové či nebankové inštitúcie.
Práva jednotlivcov podľa GDPR zákona
GDPR zákon poskytuje jednotlivcom široké práva týkajúce sa ich osobných údajov:
| Právo na prístup | Jednotlivci majú právo na prístup k svojim osobným údajom, ktoré sú spracovávané, a to vrátane informácií o účeloch spracovania, kategóriách údajov, príjemcoch údajov a dobe uchovávania. |
| Právo na opravu | Ak sú osobné údaje nepresné alebo neúplné, jednotlivci môžu požadovať ich opravu. |
| Právo na vymazanie | Známe aj ako „právo byť zabudnutý“, toto právo umožňuje jednotlivcom požadovať vymazanie svojich osobných údajov, ak už nie sú potrebné na účely, na ktoré boli zhromaždené, alebo ak jednotlivci odvolajú súhlas. |
| Právo na obmedzenie spracovania | Jednotlivci môžu požiadať o obmedzenie spracovania svojich osobných údajov v určitých situáciách, napríklad keď spochybňujú presnosť údajov alebo spracovanie je nelegálne. |
| Právo na prenosnosť údajov | Toto právo umožňuje jednotlivcom získať svoje osobné údaje v bežne používanom a strojovo čitateľnom formáte a preniesť ich k inému správcovi údajov. |
| Právo na námietku | Jednotlivci môžu vzniesť námietku proti spracovaniu svojich údajov na základe oprávneného záujmu alebo pri spracovaní na účely priameho marketingu. |
Povinnosti organizácií – GDPR zákon
Podľa GDPR majú organizácie viaceré povinnosti:
- Povinnosť zabezpečiť ochranu údajov: Organizácie musia prijať technické a organizačné opatrenia na ochranu osobných údajov. To zahŕňa implementáciu bezpečnostných opatrení a vykonávanie pravidelných auditov.
- Oznámenie o porušení údajov: V prípade porušenia ochrany údajov, ktoré môže mať vplyv na práva a slobody jednotlivcov, musí organizácia oznámiť porušenie príslušnému dozornému orgánu do 72 hodín a informovať dotknuté osoby, ak je to nevyhnutné.
- Menovanie DPO (Data Protection Officer): Niektoré organizácie sú povinné menovať zodpovednú osobu za ochranu údajov, ktorá bude dohliadať na dodržiavanie GDPR a poskytovať poradenstvo o otázkach ochrany údajov.
Pre podniky má GDPR významné dopady. Povinnosť zabezpečiť súlad s GDPR môže byť náročná a nákladná, najmä pre malé a stredné podniky, napríklad pre SmartEmailing. Rovnako je dôležité mať jasne definované interné politiky a školenia pre zamestnancov, aby sa zabezpečilo dodržiavanie pravidiel.
Na druhej strane, dodržiavanie GDPR môže zlepšiť dôveru zákazníkov a posilniť imidž firmy, čo môže priniesť konkurencieschopné výhody. Toto nariadenie zasahuje do všetkých oblastí života. Dokonca aj inteligentné hodinky, resp. ich softvér, musí rešpektovať GDPR.
Ochrana osobných údajov – pokuty a sankcie
V rámci Všeobecného nariadenia o ochrane údajov (GDPR) majú úrady na ochranu údajov rôzne možnosti, ako reagovať na porušenie pravidiel ochrany osobných údajov:
- Možnosť varovania: Pri pravdepodobnom porušení pravidiel môže byť organizácii udelené varovanie.
- Možnosti sankcií: Pri zistenom porušení môžu byť aplikované sankcie ako napomenutie, dočasný alebo trvalý zákaz spracúvania údajov, a pokuta, ktorá môže dosiahnuť až 20 miliónov EUR alebo 4 % celkového ročného obratu podniku.
Je dôležité si uvedomiť, že úrad na ochranu údajov môže uložiť peňažnú pokutu ako samostatný postih alebo ako doplnok k napomenutiu a/ alebo zákazu spracúvania údajov.
Pri uložení pokút úrad dbá na to, aby boli opatrenia účinné, primerané a odstrašujúce. Zohľadňuje pritom faktory ako povaha a závažnosť porušenia, úmyselnosť alebo nedbanlivosť, prijaté opatrenia na zmiernenie škody, ktorá bola spôsobená jednotlivcom, a miera spolupráce organizácie.
GDPR je zásadným krokom k zabezpečeniu ochrany osobných údajov v digitálnom veku. Jeho implementácia v Slovenskej republike a zákon č. 18/2018 Z.z. o ochrane osobných údajov zabezpečuje, že pravidlá GDPR sú uplatňované v miestnom kontexte.
Pre podniky i jednotlivcov je kľúčové pochopiť a dodržiavať tieto pravidlá, aby sa zabezpečila ochrana osobných údajov a minimalizovali sa riziká spojené s ich spracovaním.
Už od roku 2008 tvoríme články na rôzne témy. Venujeme sa témam od životného štýlu cez podnikanie až investovanie a financie. Cieľom portálu KD.sk je jednoduchou a výstižnou formou poskytovať čitateľom obsahovo kvalitné články, recenzie a prípadné odporúčania.
