GDPR – postrach obchodníkov

Pojem GDPR počúvame z každej strany. Málokto však vie, čo obnáša a ako sa implementuje. GDPR (General Data Protection Regulation) je všeobecné Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov, ktoré prijala Európska únia v roku 2018. Toto nariadenie je účinné popri zákone o ochrane osobných údajov.

Keďže sa doba posúva stále dopredu a informácií sa o ľuďom zbiera čoraz viac, je potrebné urobiť aj zmeny v ochrane osobných údajov. Práve na to slúži nariadenie GDPR, ktoré prijali Európsky parlament a Rada EÚ. Cieľom GDPR je chrániť fyzické osoby pri spracúvaní osobných údajov. Ide hlavne o spôsob, akým sú osobné údaje spracúvané. Pokiaľ sa stane, že niekto poruší práva, hrozí mu pokuta veľkých rozmerov.

Nariadenie GDPR sa týka takmer všetkých  

Všetky zamestnávatelia, organizácie, združenia, štát a mnohí iní patria medzi tých, ktorí sa musia téme GDPR venovať. Tiež sa týka aj samostatných osôb, klientov, dodávateľov a vo všeobecnosti všetkých segmentov pôsobiacich na trhu. Znamená to, že na každého, kto vlastní a prevádzkuje spoločnosť sa nariadenie GDPR vzťahuje.

Nariadenie GDPR a Data Protection Officer DPO (Zodpovedná osoba)

Nariadenie GDPR prinieslo prevádzkovateľom a sprostredkovateľom povinnosť v ustanoviť a zaregistrovať na úrade Zodpovednú osobu. Na to, aby niekto mohol vykonávať toto povolanie, musí najskôr vykonať skúšku, ktorú zabezpečuje Úrad na ochranu osobných údajov.

Zodpovednou osobou môže byť napríklad právnik alebo osoba, ktorá už predtým mala zodpovednosť alebo právnická osoba. Dá sa využiť aj outsourcing – čiže “dodanie” zodpovednej osoby inou spoločnosťou. Zodpovedná osoba by mala byť nezávislá od vedúceho riadenia spoločnosti, mala by mať znalosti v oblasti ochrany osobných údajov a práva. Mala by tiež vedieť implementovať získané znalosti.

Kedy sa nariadenie GDPR implementuje a kedy nie

Nariadenie GDPR sa implementuje vtedy, ak organizácie spracúvajú osobné údaje dotknutých osôb a zároveň majú tieto organizácie sídlo v Európskej únii. Avšak aj od organizácií, ktoré nemajú sídlo v Európskej únii, ale zaobchádzajú s osobnými údajmi osôb, sa očakáva, že budú dodržiavať všetky požiadavky všeobecného nariadenia o ochrane údajov.

GDPR nie je potrebné implementovať v prípade úmrtia fyzickej alebo právnickej osoby. Tiež v prípade, že ten, ktorý spracúva osobné údaje ich nevyužíva na svoj predmet činnosti.

Vedeli ste, že prostredníctvom GDPR máte právo, aby boli vaše osobné údaje vymazané?

Osoba, ktorej sú spracúvané osobné údaje má v určitých situáciách právo požiadať vedúceho spoločnosti, aby vymazal jeho osobné údaje. Takúto požiadavku môže však dať len vtedy, ak jeho osobné údaje už nebudú predmetom ďalšieho využívania. Sú prípady, kedy organizácia nemusí povinne osobné údaje vymazať a to, ak musí dané údaje zachovať na základe zákona, v prípade slobody prejavu a práva na informácie a v prípade, ak ide o zdravie alebo výskum  a pod.

Kedy sa môžu spracúvať vaše osobné údaje?

Vaše osobné údaje môže druhá strana spracúvať len vtedy, ak ste ich preukázateľne poskytli. To znamená podpis určitého súhlasu so spracúvaním osobných údajov. Osobné údaje môžu byť spracúvané na nevyhnutné účely, ako napríklad ochrana zdravia, života, majetku danej osoby alebo je ich spracúvanie nevyhnutné z dôvodu osobitného predpisu či medzinárodnej zmluvy. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

  • dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely
  • spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba alebo, aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy
  • spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa
  • spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby
  • spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi
  • spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa

Kontrolóri a spracovatelia majú osobitné povinnosti v oblasti regulácie GDPR

Zodpovednosť za spracovanie osobných údajov druhých osôb má na starosti spracovateľ. Zákonnými povinnosťami spracovateľa je ,aby bola neustále vylepšovaná bezpečnosť pri uchovávaní osobných údajov.

V prípade nedodržania postupov GDPR môžu nastať dôsledky v podobe sankcií

Pokuty v súlade s GDPR môžu byť odlišné v závislosti od nesprávneho zaobchádzania s osobnými údajmi, napríklad to môže byť neoprávnený presun osobných údajov, neschopnosť zabezpečiť ochranu osobných údajov, neohlásenie v prípade porušenia osobných údajov.

Každý kto nedodrží pravidlá GDPR sa vystavuje pokute od 20 miliónov eur, do 4 percent z ročného globálneho obratu organizácie. Nemali by ste preto GDPR podceniť, ba naopak, venujte mi dostatok pozornosti. Neviete, či máte GDPR správne nastavené a implementované? Obráťte sa nás, radi vám poradíme.