Čo je GDPR

GDPR v skratke

Zjednodušene, GDPR je nové nariadenie EÚ, ktoré zavádza jednotné pravidlá pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. Celý názov znie „nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov“.

GDPR

Všeobecné nariadenie o ochrane osobných údajov (angl. General Data Protection Regulation čiže GDPR) je nová legislatíva EÚ, ktorá výrazne zvýši ochranu osobných údajov občanov. GDPR je najkomplexnejším súborom pravidiel na ochranu dát na svete. GDPR sa dotkne každého, kto zhromažďuje alebo spracováva osobné údaje Európanov, vrátane spoločností a inštitúcií mimo územia EÚ, ktoré pôsobia na európskom trhu.

 

Úplný názov nariadenia je NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

 

Nariadenie mieri na každého, kto pracuje s osobnými údajmi – zamestnancov, zákazníkov, klientov či dodávateľov. Zasiahne aj tých, ktorí sledujú či analyzujú správanie užívateľov na webe. Napríklad pri používaní aplikácií alebo inteligentných technológií. Cieľom GDPR je totiž chrániť digitálne práva občanov EÚ. Či už ide o bankové inštitúcie, zdravotníctvo, verejnú správu, alebo e-shopy, všetci budú v dohľadnej musieť upraviť spôsob akým spracúvajú osobné údaje. V prípade závažných nedostatkov totiž budú hroziť vysoké pokuty.

 

GDPR nadobudlo v celej EÚ účinnosť 25. mája 2018. To, že nové pravidlá boli prijaté formou nariadenia, znamená predovšetkým ich jednotnú platnosť v celej EÚ. Národné vlády ich tak nemôžu ohýbať a prispôsobovať miestnym záujmom alebo lobistom (pôvodná legislatíva na úrovni EÚ mala formu smernice).

 

Do mája 2018, kedy nariadenie nadobudlo účinnosť, musia všetci, ktorých sa nariadenie týka, zrevidovať svoje informačné systémy a postupy nakladania s osobnými údajmi. Počas tohto obdobia prijmú súčasne jednotlivé štáty EÚ vykonávacie predpisy, ktorým spresnia viac ako päťdesiat bodov, ktoré GDPR zveruje do ich národnej právomoci. V prípade Slovenska ide o zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

 

Doteraz bol v oblasti ochrany údajov hlavným regulátorom Úrad na ochranu osobných údajov (ÚOOÚ), ktorý by mal v tejto funkcii ostať aj naďalej. Pribudnú mu ale právomoci odrážajúce závažnosť celej reformy a zároveň bude čiastočne podriadený Európskemu výboru na ochranu osobných údajov (EDPB).

Osobné údaje

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Spracovanie osobných údajov

Spracovaním je akákoľvek operácia alebo súbor operácií s osobnými údajmi alebo súbory osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie, alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia bez ohľadu na to, či sa sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Citlivý údaj

Osobný údaj vypovedajúci o národnostnom, rasovom alebo etnickom pôvode, politických postojoch, členstvo v odborových organizáciách, náboženstva a svetonázoru, odsúdení za trestný čin, zdravotnom stave a sexuálnom živote subjektu údajov a genetický údaj subjektu údajov; citlivým údajom je tiež biometrický údaj, ktorý umožňuje priamu identifikáciu alebo autentifikáciu subjektu údajov. Ide o osobitnú kategóriu osobných údajov.

Anonymný údaj

Údaj, ktorý nemožno v pôvodnej podobe alebo po vykonanom spracovaní vztiahnuť k určenému alebo stanoviteľnému subjektu údajov. Anonymný údaj nie je v GDPR upravený. Nariadenie GDPR upravuje „pseudonymizáciu“.

Subjekt údajov

Subjektom údajov je fyzická osoba, ktorej sa osobné údaje týkajú. Subjekt údajov nie je právnická osoba. Údaje vzťahujúce sa k právnickej osobe tak nie sú osobnými údajmi. Osobné údaje môžu byť len vo vzťahu k žijúci fyzickej osobe, pretože GDPR vylučuje svoju pôsobnosť na údaje o zosnulých osobách.

Definícia s totožným obsahom ako v zákone O ochrane osobných údajov.

Prevádzkovateľ

Prevádzkovateľom je subjekt, akejkoľvek právnej formy, ktorý určuje účely a prostriedky spracúvania osobných údajov a je za spracovanie primárne zodpovedný. Prevádzkovateľ osobné údaje spracúva na účely vyplývajúce z jeho činnosti (napr. Zákonom stanovené povinnosti, zo zmlúv), ale môže ich spracovávať aj pre vlastné určené účely napr. pre svoje oprávnené záujmy, pokiaľ tieto záujmy neprevyšujú záujem na ochrane základných práv a slobôd fyzických osôb.

Sprostredkovateľ

Osoba, ktorá na základe poverenia prevádzkovateľa vykonáva s osobnými údajmi v mene prevádzkovateľa spracovateľské operácie. Od prevádzkovateľa sa sprostredkovateľ líši tým, že v rámci činnosti  môže vykonávať len také úkony spracovania, ktorými ho prevádzkovateľ poverí alebo vyplývajú z činnosti, pre ktorú bol sprostredkovateľ prevádzkovateľom poverený. Treba poznamenať, že sprostredkovateľ je sprostredkovateľom len vo vzťahu k osobným údajom poskytnutým prevádzkovateľom, nie osobných údajov, ktoré spracováva na účely, ktoré sa ho priamo dotýkajú (napr. Je prevádzkovateľom pri spracovaní osobných údajov vlastných zamestnancov).

Dotknutá osoba

Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.

Tretia strana

Každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.

Príjemca

Každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.

Zodpovedná osoba

Osoba, ktorú organizácia poveruje plnením špecifických úloh na úseku ochrany osobných údajov.

Profilovanie

Ide o formu automatizovaného spracovania osobných údajov spočívajúca v ich použití na hodnotenie niektorých osobných aspektov vzťahujúcich sa k fyzickej osobe, najmä k rozboru alebo odhadu aspektov týkajúcich sa jej pracovného výkonu, ekonomickej situácie, zdravotného stavu, osobných preferencií, záujmov, spoľahlivosť, správanie, miesta , kde sa nachádza alebo pohybu.

Hoci je profilovanie novo definované, nejde de facto o žiadnu novinku, keďže k profilovanie dochádza aj v súčasnosti. Profilovanie nie je a priori zákonom o ochrane osobných údajov či GDPR zakázané. Je však dôležité, aby sa dialo v predvídaných prípadoch a na základe stanovených pravidiel. Profilovanie je bežné napr. vo finančných službách, keď finančné subjekty profilujú napr. klienta žiadajúceho o hypotéku, u ktorého hodnotia schopnosť splácať.

Pseudonymizácia

Spracovanie osobných údajov tak, že už nemôžu byť priradené konkrétnemu subjektu údajov bez použitia dodatočných informácií, ako sú dodatočné informácie uchovávané oddelene a vzťahujú sa na ne technické a organizačné opatrenia, aby sa zabezpečilo, že nebudú priradené identifikovanej alebo identifikovateľnej fyzickej osobe.

Súhlas dotknutej osoby

Každý slobodný, konkrétny, informovaný a jednoznačný prejav vôle, ktorým dotknutá osoba dáva vyhlásením či iným zjavným potvrdením svoj súhlas so spracovaním svojich osobných údajov.

Opt-out pravidlo

Znamená, že ak nevyjadrím svoj výslovný nesúhlas (napr. s využitím svojich údajov na marketingové účely), platí môj súhlas automaticky, tj „Od čoho sa neodhlásim, to dostávam“.

Opt-in pravidlo

Znamená, že ak nevyjadrím svoj výslovný súhlas, platí môj nesúhlas automaticky , tj. „K čomu sa neprihlásim, to nedostávam“.

Zákon

Zákon č. 18/2018 Z. z.o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525

 

V záujme neustáleho zlepšovania našich služieb využíva táto webová stránka cookies. Bližšie informácie o ich používaní ako aj možnosť odvolať svoj súhlas nájdete tu.