GDPR - revolúcia v oblasti
ochrany osobných údajov? 

Časť 1 - Úvod do témy

Mohlo by Ťa zaujímať tiež

Prečítanie tohto článku Vám zaberie 4 minúty a 30 sekúnd.

ZHRNUTIE ČLÁNKU:

Od 25. mája 2018 nadobúda účinnosť nové nariadenie Európskej únie o ochrane osobných údajov, ktoré je verejnosti známe najmä pod označením GDPR (z anglického názvu General data protection regulation). Ide konkrétne o nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktoré si môžete stiahnuť TU.
Spolu s GDPR (t.j. od 25.05.2018) nadobúda účinnosť tiež nový slovenský zákon o ochrane osobných údajov č. 18/2018 Z. z., ktorý nahrádza súčasný zákon č. 122/2013 Z. z. o ochrane osobných údajov. Nový zákon č. 18/2018 nájdete na portáli Slov-Lex TU.
GDPR sa v ostatnom čase v médiách skloňuje najmä v súvislosti s množstvom povinností, ktorými má sťažovať život podnikateľom a ktorých porušenie má byť trestané ohromnými sankciami (s obľubou sa spomína najmä horná hranica vo výške 20 miliónov eur). Je však GDPR skutočne revolúciou, ktorá v oblasti ochrany osobných údajov nenechá kameň na kameni? Ako sa vlastne GDPR premietne do života bežného malého podnikateľa? Stručné odpovede sa pokúsime poskytnúť Vám v tomto článku.

ČOHO SA VLASTNE GDPR TÝKA?

Predtým, ako sa budeme venovať tomu, ako GDPR zasiahne do života bežných ľudí, je dobré v krátkosti si pripomenúť, čoho sa vlastne GDPR týka.

GDPR upravuje ochranu osobných údajov fyzických osôb pri ich spracúvaní podnikateľmi, úradmi a rôznymi verejnými inštitúciami, neziskovými organizáciami a podobne. GDPR sa nevzťahuje na spracúvanie údajov o právnických osobách (obchodných spoločnostiach, družstvách, rôznych organizáciách či úradoch). To znamená, že chránené sú podľa GDPR len údaje o konkrétnych ľuďoch, nie o iných subjektoch. Uvedené samozrejme nemožno vykladať tak, že údaje o napr. obchodných spoločnostiach (napr. obchodné meno) je možné spracúvať a používať akýmkoľvek spôsobom, aj tu platí určitá ochrana, nie však podľa GDPR ale podľa iných predpisov (napr. ochrana dobrého mena podľa Občianskeho zákonníka). Dôležitým faktom však zostáva, že pokiaľ spracúvate údaje o právnických osobách, povinnosti podľa GDPR sa Vás netýkajú.

GDPR sa tiež netýka spracúvania osobných údajov fyzických osôb inými fyzickými osobami v rámci výlučne osobnej alebo domácej činnosti. To v praxi znamená, že GDPR nemá dosah napr. na to, že máte v telefóne uložené telefónne číslo Vášho kamaráta, alebo že máte doma fotoalbum plný fotografií Vašej rodiny, priateľov a známych. V týchto prípadoch totiž ide o spracúvanie osobných údajov pre osobnú, resp. domácu potrebu. GDPR totiž nemá za úlohu regulovať spracúvanie osobných údajov u Vás doma, ale pri Vašom podnikaní.

ČO SÚ TO VLASTNE TIE OSOBNÉ ÚDAJE, KTORÉ TREBA PODĽA GDPR CHRÁNIŤ?

Osobné údaje sú definované v čl. 4 GDPR veľmi široko. Ide v zásade o akékoľvek údaje, ktoré sú schopné identifikovať určitú osobu, a to či už priamo (hneď viete o koho ide) alebo nepriamo (údaj Vám dá určitú informáciu, ktorá v spojení s inou informáciou umožní identifikáciu). Typickým osobným údajom je napr. meno a priezvisko či rodné číslo. Osobným údajom sú však aj iné informácie, ktoré by Vás možno na prvý pohľad nenapadli ako napr. fotografia či videozáznam, údaje o zdravotnom stave, odtlačky prstov, lokalizačné údaje, IP adresa a podobne. Okruh je skutočne široký.

ČO ZNAMENÁ SPRACÚVANIE OSOBNÝCH ÚDAJOV?

Spracúvaním je takmer akékoľvek nakladanie s týmito údajmi. Za spracúvanie považuje GDPR napr. získavanie údajov, ich kopírovanie, usporadúvanie, archivovanie, prezeranie, prenos či vymazávanie. Ak si u Vás napr. zákazník kúpi cez e-shop tovar, môžete si byť istý, že ste spracúvali zákazníkove údaje, keďže na vybavenie objednávky ste museli získať zákazníkove údaje (aby ste vedeli komu poslať tovar a kto ho má zaplatiť). Rovnako ak máte zamestnanca, spracúvate jeho údaje, keďže pri uzatvorení pracovnej zmluvy Vám poskytol viaceré údaje o svojej osobe, s ktorými ďalej nakladáte (na účely výplaty mzdy, plnenia si daňových a odvodových povinností a pod.). Pri podnikaní je teda spracúvaním takmer každá operácia, pri ktorej sa dostávate do kontaktu s údajmi o určitej fyzickej osobe.

Pre pochopenie problematiky je potrebné poznať ešte základné pojmy "dotknutá osoba", "prevádzkovateľ" a "sprostredkovateľ". Dotknutá osoba je fyzická osoba, ktorej údaje sa spracúvajú (pri e-shope napr. zákazník, ktorý si objednáva tovar). Prevádzkovateľ je ten, kto údaje spracúva a určuje účel ich spracúvania (v prípade e-shopu je to vlastník e-shopu, ktorý prostredníctvom neho predáva svoj tovar). Sprostredkovateľ je osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa (v prípade e-shopu je sprostredkovateľom napr. účtovník vlastníka e-shopu, ktorý pre neho vystavuje faktúry za predaný tovar a v rámci toho spracúva údaje zákazníkov e-shopu).

V ďalšom článku sa budeme venovať konkrétnym zmenám, ktoré prináša GDPR oproti doterajšiemu zákonu o ochrane osobných údajov.