Dňa 25.05.2018 sa začne uplatňovať nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“), ktoré je priamo vykonateľné na území všetkých členských štátov EÚ. Primárnym cieľom GDPR je zosúladiť právnu úpravu ochrany osobných údajov v EÚ a posilniť práva jednotlivcov.

GDPR, ktoré sa na Slovensku premietne do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ktorý bol dňa 29.11.2017 schválený NRSR a ktorý nadobudne účinnosť k vyššie uvedenému dátumu, t. j. 25.05.2018, nahradí v súčasnosti platnú a účinnú smernicu na ochranu osobných údajov ako aj v súčasnosti platný zákon č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Pôvodný zákon“).

GDPR zavádza viaceré zásadné zmeny pravidiel nakladania s osobnými údajmi a ich ochranou, ktoré si vyžadujú prijatie náležitých interných procesov v rámci jednotlivých spoločností. Nižšie si dovoľujeme najdôležitejšie z týchto zmien zhrnúť.

 

Nová definícia osobných údajov

Za osobný údaj sa budú považovať všetky informácie o identifikovanej a identifikovateľnej fyzickej osobe, na základe ktorých je možné fyzickú osobu priamo alebo nepriamo identifikovať. GDPR pritom uvádza demonštratívny výpočet charakteristík a znakov, ktoré môžu slúžiť na identifikovanie osoby; týmito budú aj cookies, lokalizačné údaje operátorov, email, apod.

 

Súhlas so spracovaním osobných údajov

GDPR vyžaduje, aby súhlas so spracovaním osobných údajov bol vyjadrený na základe vážneho a slobodne daného, konkrétneho, informovaného a jednoznačného prejavu vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu. Súhlas teda musí byť jasným a aktívnym prejavom vôle dotknutej osoby.

Súhlas môže byť vyjadrený písomným vyhlásením, ústnym vyhlásením, ako označením (zaškrknutím) súhlasu so spracovaním osobných údajov.

Taktiež platí, že prevádzkovateľ bude povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.

 

Nová úprava práv dotknutých osôb

S cieľom zabezpečenia zvýšenie ochrany osôb, ktorých osobné údaje sa spracúvajú, GDPR spresňuje už existujúce práva dotknutých osôb ako aj zavádza niektoré nové oprávnenia.

Dotknutá osoba bude, okrem iného, oprávnená požadovať od prevádzkovateľa poskytnutie informácii o totožnosti a kontaktných údajoch prevádzkovateľa, o zodpovednej osobe, o osobách, ktorým budú jej osobné údaje poskytnuté ako aj o podmienkach samotného spracovávania údajov, apod. Tieto údaje budú dotknutej osobe pritom poskytované spravidla bezodplatne.

Dotknutá osoba bude taktiež oprávnená požadovať od prevádzkovateľa potvrdenie o tom, či spracúva jej osobné údaje, ako aj požadovať opravu nesprávnych osobných údajov, ktoré sa dotknutej osoby týkajú. Ďalším dôležitým právom dotknutej osoby, ktoré GDPR nanovo zavádza, je právo na výmaz osobných údajov, ktoré sa jej týkajú (t.j. právo byť zabudnutý), a to na základe žiadosti dotknutej osoby.

Rovnako tak sa zavádza právo dotknutej osoby na prenosnosť osobných údajov spočívajúce v jej oprávnení získať jej osobné údaje a preniesť ich ďalšiemu prevádzkovateľovi (ak je to technicky možné a ak sú splnené zákonné predpoklady).

 

Vzťah prevádzkovateľa a sprostredkovateľa

Povinnosť právnej úpravy vzťahu medzi prevádzkovateľom a sprostredkovateľom existuje už aj podľa Pôvodného zákona;. GDPR v tejto súvislosti predpokladá uzatvorenie zmluvy alebo uskutočnenie iného právneho úkonu (napr. poverenia), v ktorom musia byť obsiahnuté detailne stanovené obsahové náležitosti.

 

Kódex správania, certifikácia

Za účelom preukázanie súladu spracúvania osobných údajov s GDPR ako aj preukázania existencie prijatia primeraných záruk ochrany osobných údajov sa zavádzajú nové inštitúty, a to tzv. kódex správania a certifikácia. Zatiaľ čo kódex správania môžu prijať združenia alebo iné subjekty zastupujúce prevádzkovateľov alebo sprostredkovateľov (ide teda o inštitút skupinový), o vydanie certifikátu môže požiadať aj jednotlivý prevádzkovateľ alebo sprostredkovateľ.

 

Zodpovedná osoba

Na rozdiel od súčasne platnej právnej úpravy, podľa ktorej je ustanovenie zodpovednej osoby (Data Protection Officer) len dobrovoľné, GDPR zavádza povinnosť prevádzkovateľa (ako aj sprostredkovateľa) túto obligatórne určiť, a to v prípade ak:

 

  • spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt;
  • hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
  • hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky vo veľkom rozsahu.

 

Zodpovedné osoby už nebudú na výkon svojej funkcie povinné absolvovať skúšku na Úrade pre ochranu osobných údajov (ďalej len „Úrad“) (tak ako tomu bolo podľa súčasne platnej právnej úpravy).

 

Posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov

Ďalšou novinkou, ktorú GDPR prináša, je povinnosť prevádzkovateľa vykonať tzv. posúdenie vplyvu ochrany osobných údajov, ktorej splnenie sa vyžaduje v prípade, ak konkrétny typ spracúvania osobných údajov môže viesť k vysokému riziku pre práva fyzických osôb. V tejto súvislosti by mal Úrad v súčinnosti s ostatnými členskými štátmi Európskej únie vydať zoznam spracovateľských operácií, ktoré budú podliehať požiadavke na posúdenie vplyvu na ochranu osobných údajov.

Ak z takéhoto posúdenia vyplynie, že spracúvanie osobných údajov povedie k vysokému riziku pre práva fyzických osôb, prevádzkovateľ bude povinný uskutočniť s Úradom pred začatím spracúvania osobných údajov predchádzajúcu konzultáciu.

 

Vedenie záznamov o spracovateľských činnostiach

Súčasná evidenčná povinnosť (§ 43 Pôvodného zákona) bude od 25.05.2018 nahradená povinnosťou prevádzkovateľa a sprostredkovateľa uchovávať záznamy o svojich spracovateľských činnostiach, ktoré budú musieť obsahovať presne stanovené obsahové náležitosti. Podľa vyjadrenia zamestnancov Úradu by mal Úrad v dohľadnej dobe zverejniť na svojej webovej stránke vzor takéhoto záznamu.

S cieľom zohľadniť osobitnú situáciu mikropodnikov a malých a stredných podnikov sa povinnosť viesť záznamy o spracovateľských činnostiach nebude vzťahovať na organizácie s menej ako 250 zamestnancami, pokiaľ

  • nie je pravdepodobné, že spracúvanie povedie k riziku pre práva a slobody dotknutej osoby;
  • spracúvanie je príležitostné;
  • spracúvanie nezahŕňa osobitné kategórie údajov;
  • spracúvanie nezahŕňa osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

 

Oznamovanie porušenia ochrany osobných údajov

GDPR zavádza novú povinnosť oznamovať porušenie ochrany osobných údajov, a to jednak Úradu (72 hodín po tom, ako sa o ňom dozvedel) ako aj dotknutej osobe.

V prípade akýchkoľvek dodatočných otázok ohľadom predmetnej problematiky nás neváhajte kedykoľvek kontaktovať.