ČOHO SA VLASTNE GDPR TÝKA?

Predtým, ako sa budeme venovať tomu, ako GDPR zasiahne do života bežných ľudí, je dobré v krátkosti si pripomenúť, čoho sa vlastne GDPR týka.

GDPR upravuje ochranu osobných údajov fyzických osôb pri ich spracúvaní podnikateľmi, úradmi a rôznymi verejnými inštitúciami, neziskovými organizáciami a podobne. GDPR sa nevzťahuje na spracúvanie údajov o právnických osobách (obchodných spoločnostiach, družstvách, rôznych organizáciách či úradoch). To znamená, že chránené sú podľa GDPR len údaje o konkrétnych ľuďoch, nie o iných subjektoch. Uvedené samozrejme nemožno vykladať tak, že údaje o napr. obchodných spoločnostiach (napr. obchodné meno) je možné spracúvať a používať akýmkoľvek spôsobom, aj tu platí určitá ochrana, nie však podľa GDPR ale podľa iných predpisov (napr. ochrana dobrého mena podľa Občianskeho zákonníka). Dôležitým faktom však zostáva, že pokiaľ spracúvate údaje o právnických osobách, povinnosti podľa GDPR sa Vás netýkajú.

GDPR sa tiež netýka spracúvania osobných údajov fyzických osôb inými fyzickými osobami v rámci výlučne osobnej alebo domácej činnosti. To v praxi znamená, že GDPR nemá dosah napr. na to, že máte v telefóne uložené telefónne číslo Vášho kamaráta, alebo že máte doma fotoalbum plný fotografií Vašej rodiny, priateľov a známych. V týchto prípadoch totiž ide o spracúvanie osobných údajov pre osobnú, resp. domácu potrebu. GDPR totiž nemá za úlohu regulovať spracúvanie osobných údajov u Vás doma, ale pri Vašom podnikaní.

ČO SÚ TO VLASTNE TIE OSOBNÉ ÚDAJE, KTORÉ TREBA PODĽA GDPR CHRÁNIŤ?

Osobné údaje sú definované v čl. 4 GDPR veľmi široko. Ide v zásade o akékoľvek údaje, ktoré sú schopné identifikovať určitú osobu, a to či už priamo (hneď viete o koho ide) alebo nepriamo (údaj Vám dá určitú informáciu, ktorá v spojení s inou informáciou umožní identifikáciu). Typickým osobným údajom je napr. meno a priezvisko či rodné číslo. Osobným údajom sú však aj iné informácie, ktoré by Vás možno na prvý pohľad nenapadli ako napr. fotografia či videozáznam, údaje o zdravotnom stave, odtlačky prstov, lokalizačné údaje, IP adresa a podobne. Okruh je skutočne široký.

ČO ZNAMENÁ SPRACÚVANIE OSOBNÝCH ÚDAJOV?

Spracúvaním je takmer akékoľvek nakladanie s týmito údajmi. Za spracúvanie považuje GDPR napr. získavanie údajov, ich kopírovanie, usporadúvanie, archivovanie, prezeranie, prenos či vymazávanie. Ak si u Vás napr. zákazník kúpi cez e-shop tovar, môžete si byť istý, že ste spracúvali zákazníkove údaje, keďže na vybavenie objednávky ste museli získať zákazníkove údaje (aby ste vedeli komu poslať tovar a kto ho má zaplatiť). Rovnako ak máte zamestnanca, spracúvate jeho údaje, keďže pri uzatvorení pracovnej zmluvy Vám poskytol viaceré údaje o svojej osobe, s ktorými ďalej nakladáte (na účely výplaty mzdy, plnenia si daňových a odvodových povinností a pod.). Pri podnikaní je teda spracúvaním takmer každá operácia, pri ktorej sa dostávate do kontaktu s údajmi o určitej fyzickej osobe.

Pre pochopenie problematiky je potrebné poznať ešte základné pojmy "dotknutá osoba", "prevádzkovateľ" a "sprostredkovateľ". Dotknutá osoba je fyzická osoba, ktorej údaje sa spracúvajú (pri e-shope napr. zákazník, ktorý si objednáva tovar). Prevádzkovateľ je ten, kto údaje spracúva a určuje účel ich spracúvania (v prípade e-shopu je to vlastník e-shopu, ktorý prostredníctvom neho predáva svoj tovar). Sprostredkovateľ je osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa (v prípade e-shopu je sprostredkovateľom napr. účtovník vlastníka e-shopu, ktorý pre neho vystavuje faktúry za predaný tovar a v rámci toho spracúva údaje zákazníkov e-shopu).

V ďalšom článku sa budeme venovať konkrétnym zmenám, ktoré prináša GDPR oproti doterajšiemu zákonu o ochrane osobných údajov.