Čo je GDPR? Pre koho je potrebné GDPR? Ako si urobiť GDPR? Ochrana osobných údajov platné od 25. mája 2018

Toľko omielaná téma akou je GDPR, na Slovensku v poslednej dobe nebola. Týka sa totiž každého kto zbiera, spracováva alebo prichádza do kontaktu s osobnými údajmi – teda každého kto podniká a zhromažďuje informácie o fyzických osobách. A netýka sa to len podnikateľov, ale aj neziskovky, školské zariadenia, mestá a obce, a inštitúticie ako také. Téma, ktorá si naozaj zaslúži pozornosť nielen zo strany firiem, ale i zo strany samotných ľudí – užívateľov internetu = dotknutých osôb. Majú totiž v rukách veľkú moc, o ktorej nevedia. A firmy si to ešte neuvedomujú.

Spoločnosti, ktoré vypracujú GDPR vyrástli ako huby po daždi. Na internete je možné nájsť rôzne vzory, potom firmy zamerané len na najlepšiu cenu za vypracovanie a podobne. Skúsenosti z posledných dní ma len presvedčili o tom, že už som spoznal pár firiem (a to ešte boom nezačal), ktoré naleteli a dali si vypracovať dokumenty “skutočným profesionálom” za super cenu. Žiaľ neušetrili – ale zaplatia si to celé ešte raz. GDPR je zamerané na technické zabezpečenie – preto musíte dotyčnej firme uviesť vaše procesy spracovávania a účel. Podozrivo nízka cena, oproti bežným cenám na internete, by mala byť prvotný signál, že niečo nie je v poriadku.

Čo znamená skratka GDPR?

GDPR je skratka z anglického slovného spojenia “General Data Protection Regulation“, čo v preklade do slovenčiny znamená “Všeobecné nariadenie o ochrane údajov“. Bavíme sa o “ochrane osobných údajov”

Čo je osobný údaj? Osobné údaje sú vstupnou bránou do súkromia každého z nás. S osobnými údajmi sa stretávame vkaždodennom živote pri uplatňovaní rôznych spoločenských vzťahov, pričom nie vždy je jasné, čo všetko možno považovať za osobné údaje. Ich zadefinovanie je však žiaduce, pokiaľ má zákon plnohodnotne poskytovať ochranu právam fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov.

Účelom tohto metodického usmernenia je poskytnúť bližší pohľad na pojem osobné údaje, aby spracúvanie osobných údajov fyzických osôb bolo legitímne adôsledné a domáhanie sa ochrany osobných údajov bolo opodstatnené a efektívne.

Pojem osobné údaje (§ 4 ods. 1 zákona)

Osobnými údajmi sú „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu“.

Definícia pojmu osobné údaje nie je jednoduchá. Po obsahovej stránke sa skladá z niekoľkých základných prvkov, ktoré spoločne vystupujú v pozícií identifikátorov patriacich konkrétnej fyzickej osobe a vytvárajú jej identitu. (zdroj: celé znenie nájdete na tomto odkaze “Metodické usmernenie č. 1/2013 k pojmu osobné údaje” )

Prečo vzniklo GDPR?

Myšlienka vznikla už pred rokmi v Európskom parlamente. Dôvod? Reakcia na vývoj v elektronickom svete a vývoji rôznych internetových eshopov / online a offline aplikácii a platforiem, ktoré vyžadujú a spracovávajú osobné údaje užívateľov. Kde a ako sa spracovávajú tieto osobné údaje? Sú zneužívané? Presne tento problém má riešiť GDPR.

Vývoj technológii za posledné desaťročie veľmi pokročil a tento jav sa v blízkej dobe ani nezmení. Práve naopak. Nakoľko prichádza aj avizovaný “Industry 4.0” alebo po slovensky “Priemysel 4.0” čo v praxi znamená automatizáciu do všetkých oblastí, priamo aj nepriamo to bude mať vplyv aj na svet, ako ho dnes poznáme a prežívame.

Kedy a kde vzniklo GDPR?

Nové nariadenie prijal Európsky parlament v prvej polovici apríla 2016 (mení sa tak smernica 95/46/ES prijatým – NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679) s tým, že platnosť nadobúda – 25. mája 2018. Platnosť a implementácia – každá členská krajina Európskej únie. Dôvod? Pravidlá a zákony okolo ochrany osobných údajov mala každá krajina iné. Preto je veľmi ťažké bojovať proti zneužívaniu osobných údajov, keďže neboli jednotné normy, metodiky, či usmernenia.

Týmto novým nariadením sa celá situácia mení a Európske krajiny tak čaká jednotný, na pár malých detailov, totožný systém, ktorý má ochraňovať užívateľov (obyvateľov členských štátov EÚ), ich súkromie a hlavne mať prehľad o tom, kto a kde spracováva informácie a za akým účelom.

Porovnanie starý zákon vs nové nariadenie

Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov bol zameraný na “Bezpečnostný projekt”, ktorý si stačilo dať vypracovať renomovanej firme a “odložiť do šuflíka”.  Projekt bol skôr zameraný na teóriu, spracovávanie a základné krytie spoločnosti “keby niečo, tak to máme”. Nebola potrebná v mnoho prípadoch ani “Zodpovedná osoba – DPO”.

Zákon č. 18/2018 Z. z o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a k nemu “NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679” je zameraný viac na technické zabezpečenie, pri ktorom je potrebné urobit audit – aké osobné údaje / informácie sa spracovávajú + za akým účelom a k tomu mať vypracovaný proces zabezpečenia. Zabezpečenie sa týka od počítačov / notebookov, cez šifrovacie systémy (heslá, ssl certifikáty, kryptované USB klúče, a pod.), zabezpečenie priestorov (kde sa údaje skladujú), až po samotných ľudí / partnerov, ktorí pre firmu pracujú / spolupracujú ako dodávatelia. Spoločnosť musí mať poverenú “Zodpovednú osobu – DPO”.

Čo je DPO / kto je zodpovedná osoba? 

“DPO” je skratka z anglického spojenia “Data Protection Officer” čo by sme voľne do slovenčiny mohli preložiť ako “Osoba poverená pre ochranu osobných údajov”, ale výstižnejšie je pomenovanie “zodpovedná osoba“, ktorá sa uvádza aj v oficiálnych prekladoch / metodikách.

Definíciu a úlohy zodpovednej osoby nájdete na tomto odkaze => kto je zodpovedná osoba. (§44 Určenie zodpovednej osoby, zákon č.18/2018 Z.z)

ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV

Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

 

Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom8) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje za nezlučiteľné s pôvodným účelom.

 

Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.

 

Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.

 

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu8)a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8.

 

Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.

 

Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

 

(1) Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
d) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
e) spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo
f) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.

 

(2) Právny základ na spracúvanie osobných údajov podľa odseku 1 písm. c) a e) musí byť ustanovený v tomto zákone, osobitnom predpise alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.

 

(3) Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného musí zohľadniť:
a) akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov,
b) okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom,
c) povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa
§ 16 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17,
d) možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu a
e) existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

 

OPRAVA A VYMAZANIE A OBMEDZENIE SPRACÚVANIA OSOBNÝCH ÚDAJOV (veľmi dôležité)

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.

 

(1) Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.
(2) Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá osoba uplatnila právo na výmaz podľa odseku 1, ak …. celé znenie nájdete na tomto odkaze => https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525#paragraf-23

 
PRÁVA DOTKNUTEJ OSOBY – INFORMÁCIE A PRÍSTUP K OSOBNÝM ÚDAJOM

Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní. Celé znenie nájdete na tomto odkaze = https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525#paragraf-19

Ešte by som uviedol aj kto je “Sprostredkovateľ”

(1) Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.

Pokuty, ako strašiak!

Urobil by som veľkú chybu ak by som v závere nespomenul aj “obľúbené” pokuty do výšky 20 mil. eur alebo 4 % z ročného obratu ako zastrašenie. No túto “motiváciu” a plašenie podnikateľov prenechám na iných. Podľa mňa to skôr dotyčné osoby hnevá a vyvoláva negatívny pohľad na danú legislatívu. Opak má byť pravdou. Ruku na srdce – chceme, aby sa naše osobné údaje používali na kšeft? Bez kontroly? Každý z nás je v prvom rade fyzická osoba, ktorá má taktiež svoju “stopu” vo forme osobného údaju.

Áno viem, je to ešte nedokonalé, ale priznajme si jednu vec – každá úloha má svoj začiatok, tu sa za behu postupne zdokonaľujú procesy a nakoniec môže vzniknúť celkom slušný fuknčný systém. No chce to čas. Aplikácia v toľkých krajinách musí mať aj nedostatky – kto by očakával 100% funkčnosť tak robustného spracovania informácii – je pravdepodobne blázon.

Určite mi dáte za pravdu, že je toho viac ako dosť. A to som len “začal”. K danej téme by sa dalo prednášať aj týždeň a stále by bolo o čom diskutovať.

 

Máte otazky? Chcete poradiť s vypracovaním GDPR? Hľadáte zodpovednú osobu DPO? Napíšte nám:

Vaše telefónne číslo (povinné)

 

Pridaj komentár