Koho sa týka GDPR a ako zmení ochranu osobných údajov

GDPR (General Data Protection Regulation) je nové nariadenie Európskej únie o ochrane osobných údajov, ktoré sa začne uplatňovať už od 25. mája 2018 a organizácie sú povinné sa zosúladiť s jeho požiadavkami a povinnosťami.

Čo je vlastne GDPR

Obecné nariadenie o ochrane osobných údajov (z angličtiny General Data Protection Regulation – GDPR) zásadným spôsobom mení celú problematiku. Keďže ide o nariadenie, je automaticky platné vo všetkých krajinách Európskej únie a nie je potrebná úprava legislatívy jednotlivých štátov.

Kto všetko musí riešiť zmeny kvôli GDPR

Nariadenie GDPR ovplyvňuje každého, kto spracováva osobné údaje európskych občanov, vrátane spoločností a inštitúcií mimo EÚ, ktoré pôsobia na našom trhu. Nariadenie je platné pre firmy, inštitúcie, jednotlivcov – zamestnanci, zákazníci, klienti, dodávatelia atď. Taktiež sa týka aj tých, ktorí analyzujú správanie užívateľov webov a aplikácií. Ide teda o všetky firmy, ktoré majú osobné údaje uložené na serveroch, posielajú ich a využívajú na rôzne účely.

GDPR sa týka napríklad zamestnávateľov, prevádzkovateľov kamerových systémov, všetkých klientsky orientovaných organizácií v akomkoľvek odvetví, organizácii vo verejnej správe, zdravotníckych prevádzkovateľov, záujmových organizácií, poskytovateľov cloudových služieb, webhostingu,  online aplikácií a iných elektronických služieb, ako aj osôb vykonávajúcich monitorovane správania v online priestore a profiláciu.

Prečítajte si aj:

• Čo bude znamenať GDPR pre slovenské firmy
• Ktoré firmy musia mať úradníka pre GDPR

V prvom rade znamená GDPR administratívnu záťaž

Nariadenie GDPR prináša celý rad nových pravidiel. Ich platnosť a dodržiavanie bude musieť spracovateľ osobných údajov byť schopný doložiť po celý čas ich spracovania. Pribudne mu tým veľká administratívna záťaž, bude musieť napríklad dokumentovať, že spracováva iba tie dáta, ktoré sú na konkrétny účel nevyhnutné.

Najväčšia zmena: súhlas o spracovaní údajov

Rovnako ako doteraz musí byť súhlas slobodný, určitý, informovaný a jednoznačný. Po novom však bude musieť byť žiadosť o súhlas formulovaná tak, aby jej bolo jasne porozumené. Súhlas so spracovaním osobných údajov bude musieť byť v prípade uzatvárania zmluvy oddelený tak, aby bolo jasné, že nie je bezpodmienečne nutný k uzatvoreniu danej zmluvy.

Na rozdiel od súčasnej praxe tak súhlasy k spracovaniu osobných údajov nebudú môcť byť zapadnuté v niekoľkostranových dokumentoch a napísané trojmilimetrovým písmom. Užívateľ bude musieť zároveň vedieť, na aký účel spracovania svoje údaje poskytuje.

Osobný údaj po novom aj IP adresa či cookies súbory

S GDPR dochádza tiež k rozšíreniu pojmu „osobný údaj“, kam spadajú aj technické údaje typu e-mailová adresa, IP adresa, súbory cookie. Po novom je zavedená klasifikácia takzvaných genetických a biometrických údajov, ktorých spracovanie si vyžaduje prísnejší režim

Máte právo byť v zabudnutí

Úplne novým prvkom v ochrane osobných údajov je „právo byť zabudnutý“, vďaka ktorému môže osoba požadovať, aby boli bez zbytočného odkladu vymazané jej osobné údaje, pokiaľ neexistuje právny dôvod pre ich ďalšie spracovanie (napríklad zamestnávateľ musí zo zákona niekoľko rokov evidovať určitý druh údajov o zamestnancoch). Značná pozornosť je tiež venovaná právu na prenosnosť údajov.

Pokuty za nedodržanie sú likvidačné

Podľa aktuálneho zákona o ochrane osobných údajov na Slovensku hrozí za jeho porušenie pokuta do výšky 200-tisíc eur. Táto suma sa podľa GDPR navýši na 20 miliónov eur alebo do štyroch percent z obratu spoločnosti, čo je v niektorých prípadoch veľkých korporácií na ešte vyššej úrovni.

Zdroj fotografie: Shutterstock.com