Najzásadnejšie zmeny v rámci GDPR

GDPR – General Data Protection Regulation, skôr známe ako  všeobecné nariadenie na ochranu osobných údajov. Nové nariadenie sa rozhodla Európska komisia zaviesť z dôvodu rozvoja internetového podnikania, sociálnych sietí a vzniku nových modelov online biznisu.

Ide o novú definíciu a právnu ochranu osobných údajov dotknutých osôb. Aké sú najzásadnejšie zmeny v rámci zavedenia týchto opatrení do praxe, si môžete teraz prečítať.

1. Pojem osobný údaj

Nové nariadenie definuje pojem osobný údaj v širšom rozsahu ako doteraz. Práve preto je potrebné si uvedomiť, že osobným údajom už nemusí byť len telefónne číslo či fyzická adresa danej osoby. Za osobný údaj je považovaná aj identifikácia osoby v podobe IP adresy či dokonca cookies.

2. Právna norma

Nové všeobecné nariadenie na ochranu osobných údajov bude v rámci zákona mať svoju právnu formu. V praxi to tak znamená, že členské štáty, ktoré doteraz ochranu osobných údajov upravovali v rámci EU smerníc, budú mať teraz konkrétnu právnu úpravu, respektíve nariadenie. Takisto by malo prísť k zjednoteniu v rámci vnútroštátnych dozorných orgánov. Nemali by tak nastať problémy v rámci vyvodzovania zodpovednosti pri dodržiavaní či porušení GDPR. Nové opatrenie by tak malo byť sprevádzané prijatím nového zákona o ochrane osobných údajov do našej právnej legislatívy. Pri takomto opatrení bude môcť štát určovať určité aspekty zákona, ako napríklad vek, kedy je nutný súhlas maloletej osoby so spracovaním osobných údajov, ale aj spôsob ukladania sankcií a podobne.

3. Nielen na území Európskej únie

GDPR rozšíri svoju pôsobnosť. Dotýkať sa nebude len fyzických osôb a podnikateľských subjektov na území EÚ. Sprostredkovatelia alebo samotní prevádzkovatelia aj z tretích krajín, mimo Európy, ktorí vykonávajú podnikateľskú činnosť súvisiacu so získavaním osobných údajov, budú touto úpravou regulovaní taktiež.

4. Zodpovednosť zúčastnených

Okrem toho, že zodpovednosť za spracovanie osobných údajov nesie samotný podnikateľ, rovnako tak ju nesie i prevádzkovateľ alebo sprostredkovateľ pre spracovanie údajov. Mala by sa tak zvýšiť zodpovednosť podnikateľa pri preukazovaní prijatých opatrení GDPR. Pri zavádzaní opatrení môže byť podnikateľovi udelený napríklad aj certifikát o interných procesoch a bezpečnosti spracovávania osobných údajov. Napomôcť môže aj vedenie dokumentácie z daného sektora, tzv. „Privacy Policy.“

GDPR rovnako tak pri splnení podmienok zavádza povinnosť, kedy je nutné dozornému orgánu najneskôr do 72 hodín oznámiť akékoľvek porušenie ochrany osobných údajov. Na Slovensku sa takéto porušenie bude oznamovať Úradu na ochranu osobných údajov. Podnikateľské subjekty budú okrem oznámenia tiež musieť notifikovať konkrétne osoby, ktorých sa dané porušenie priamo dotýka.

5. Kategória neplnoletých osôb

V novom nariadení Európskej komisie je jasne uvedené, že v prípade neplnoletej osoby má súhlas so spracovaním osobných údajov právnu účinnosť, ak má osoba aspoň 16 rokov. Nejde však o presne určenú hranicu. Toto nastavenie si členské štáty budú nastavovať podľa vlastných noriem. Zákonný charakter pri spracovaní osobných údajov v prípade maloletej osoby bude mať, iba ak súhlas vyjadrí zákonný zástupca.

6. Konkrétny súhlas

GDPR jasne určuje, že súhlas so spracovaním osobných údajov musí byť vyjadrený konkrétne a jednoznačne. Napríklad samotné vyplnenie žiadaných údajov, zakliknutie tzv. „checkboxu“, čím osoba odsúhlasí spracovanie osobných údajov. To, že osoba ignoruje výzvu na súhlas už automaticky neznamená, že súhlasí so spracovaním osobných údajov.

7. Určenie kontaktného miesta

Zmyslom kontaktného miesta je uľahčiť riešenie národných i cezhraničných porušení GDPR. Je potrebné teda určiť, v prípade cezhraničného porušenia, ktorý dozorný orgán je tým hlavným. Príkladom môže byť sťažnosť slovenského občana na porušenie pri spracovaní osobných údajov nemeckou spoločnosťou. Dozorným orgánom je v takomto prípade nemecká strana. Slovenský úrad je povinný upovedomiť nemeckú stranu, ktorá sa buď rozhodne riešiť situáciu na svojej národnej úrovni, alebo prenechá prípad slovenským úradom.

8. Koniec automatizácie pri spracovaní osobných údajov

Prevádzkovateľ nebude môcť vykonávať zber osobných údajov spôsobom tzv. profilovania. Ak teda dotknutá osoba údaje vyplní, no nakoniec službu nevyužije (vyplnenie formulára o online pôžičke), má právo napadnúť postup prevádzkovateľa. Výnimky budú udelené Európskou úniou. Napríklad, práve v prípade finančného sektora.

9. Cezhraničný zber osobných údajov

GDPR ponecháva všetky princípy platné pri cezhraničnom prenose osobných údajov ako doteraz. Takisto však prináša určité dodatky, ktoré cezhraničný prenos osobných údajov upravuje. Bude dbať na kontrolu a úpravu osobných údajov pri prenose do tretích krajín sveta (mimo EÚ). Takisto je dôležité vedieť, že na cezhraničný prenos osobných údajov bude nutné využívať iba schválené certifikačné mechanizmy. Ešte dôležitejším faktorom je, že prenos nebude musieť byť schvaľovaný národným dozorným orgánom.

10. Postihy a sankcie

Oproti predchádzajúcim normám došlo k zásadným zmenám. Ako prvé zosilneli právomoci pri spolupráci medzi krajinami, teda na medzinárodnej úrovni ide o zvýšenie kooperácie u národných dozorných orgánov. Sankcie boli markantne zvýšené a za vážne porušenia budú môcť dozorné orgány ukladať pokuty až do výšky 20 000 000 €. Prípadne do výšky 4% svetového ročného obratu daného podnikateľského subjektu. Dozorné orgány môžu takisto pristúpiť k varovaniu spoločností pri spracovaní osobných údajov a k bezodkladnej náprave.