BRATISLAVA 24. januára 2018 (WBN/PR) – Už 25. mája 2018 nadobudne účinnosť všeobecné nariadenie Európskeho parlamentu a Rady o ochrane osobných údajov, nazývané tiež ako gdpr nariadenie. Na jednej strane zaručuje ochranu osobných údajov fyzických osôb pred ich zneužitím, únikom či neoprávneným spracúvaním. Na druhej strane určuje právnickým osobám, ktoré osobné údaje spracúvajú, nové povinnosti. Zmenám sa nevyhnú ani e-shopy. Samozrejme, ak nechcú riskovať miliónové pokuty.
Čo je osobný údaj?
Základom je vedieť, ktoré údaje sú podľa gdpr nariadenia osobnými údajmi. Zjednodušene povedané, sú to všetky údaje o fyzickej osobe, na základe ktorých túto možno priamo či nepriamo identifikovať. Okrem mena, priezviska, dátumu narodenia, adresy či čísla občianskeho preukazu, je osobným údajom tiež odtlačok prsta, hlas, údaj fyzickej osoby o jej zdravotnom stave, konkrétne tetovanie, e-mailová adresa, IP adresa, lokalizačné údaje, cookies či online identifikátor.
Vopred zaškrtnuté políčko na získanie súhlasu už neprichádza do úvahy!
GDPR 2018 prinieslo sprísnené podmienky na získanie súhlasu na spracovanie osobných údajov fyzickej osoby. Môže byť poskytnutý ústne, písomne alebo prostredníctvom elektronických prostriedkov. V súčasnosti je úplne bežné, že jednotlivé e-shopy získavajú súhlas so spracovaním osobných údajov zákazníka tak, že na záver objednávky umiestnia vopred zaškrtnuté políčko pred vetou ,,súhlasím so spracovaním osobných údajov“. To už však nebude možné. Takýto postup sa po novom nebude považovať za udelenie súhlasu. Ten musí byť totiž udelený slobodne a na vopred vymedzený účel spracovania. Zákazníci budú môcť svoj súhlas kedykoľvek odvolať, o čom ich e-shop musí upovedomiť ešte pred jeho poskytnutím, napr. už pri spomínanom políčku, ktorého zaškrtnutím súhlas udelí. Odvolanie, ale aj udelenie súhlasu nesmie zákazníka zavádzať a musí byť formulované jednoducho a jasne. V prípade, že do mája 2018 e-shop nezískal súhlasy so spracovaním osobných údajov v súlade s nariadením gdpr, pre ďalšie spracovanie týchto údajov bude potrebné získanie opätovného súhlasu. V opačnom prípade sa nemusia vyhnúť likvidačným pokutám, ktoré môžu byť uložené až do výšky 20 miliónov eur alebo do výšky 4% z ročného obratu.
Ďalšie povinnosti
E-shop ako spracovateľ, bude musieť v prípade kontroly preukázať, že osobné údaje určitej osoby spracúva na základe súhlasu, ktorý získal v súlade s nariadením gdpr. E-shopy, rovnako ostatní spracovatelia osobných údajov, budú musieť rešpektovať aj tzv. právo na zabudnutie. Pokiaľ niektorý zo zákazníkov či iných fyzických osôb toto právo využije, spracovatelia budú musieť všetky osobné údaje dotyčnej osoby zlikvidovať. Uchovávať osobné údaje nemožno dlhšie, než je to nevyhnutné. Každý e-shop by preto mal stanoviť lehoty, po uplynutí ktorých sa uchované údaje vymažú. Musí tiež zabezpečiť možnosť preskúmania ich správnosti a opravy nesprávnych údajov. Nariadenie prinieslo i zásadu minimalizácie osobných údajov. Spracúvať ich bude možné len v nevyhnutnom rozsahu a na určitý účel.
Nariadenie gdpr sa pritom netýka len spracovateľov, ktorí osobné údaje spracúvajú plne automatizovanými prostriedkami (napr. počítačovým programom), ale aj tých, ktorí ich spracúvajú neautomatizovane (napr. písomne do záznamovej knihy), či čiastočne automatizovanými prostriedkami spracúvania (napr. časť údajov sa spracúva na počítači a časť písomne).
Každý e-shop musí zabezpečiť ochranu osobných údajov, ktoré spracúva v súlade s nariadením gdpr, i novoprijatým zákonom o ochrane osobných údajov. Musí zabezpečiť dôvernosť osobných údajov, a tiež prijať opatrenia na zamedzenie neoprávnenému prístupu k nim a k zariadeniu, ktoré sa na spracúvanie používa. Osobné údaje by mali byť zoskupené do určitých skupín, resp. databáz, a to podľa účelu, na ktorý sa spracúvajú. Tieto skupiny, databázy či zoznamy sa označujú ako informačné systémy. E-shop môže mať informačný systém zhromažďujúci údaje o zákazníkoch, personálny a mzdový informačný systém zhromažďujúci informácie o zamestnancoch a pod. Každý spracúvateľ, e-shop, musí o jednotlivých informačných systémoch viesť písomnú evidenciu. Registrácia týchto informačných systémov sa síce po novom nevyžaduje, no určité povinnosti si prevádzkovateľ voči Úradu na ochranu osobných údajov musí splniť.
Povinnosti voči Úradu
Napriek tomu, že viaceré administratívne povinnosti spojené so spracúvaním osobných údajov sa prevádzkovateľom vrátane e-shopov, zrušujú, ako napr. oznamovacia povinnosť, evidenčná povinnosť či povinnosť osobitnej registrácie, sú nahradené novými inštitútmi, ktoré stanovujú potrebu najmä materiálneho zabezpečenia súladu spracúvania osobných údajov s právnymi predpismi. Spočívajú predovšetkým v prijatí nových opatrení, ktoré zaistia bezpečnosť osobných údajov pred ich zneužitím či inými rizikami, spojenými s ich spracúvaním. GDPR 2018 prináša tiež povinnosť oznámiť Úradu na ochranu osobných údajov každé narušenie ochrany osobných údajov, a to do 72 hodín od okamihu, od ktorého sa o tom spracúvateľ dozvie. Pokiaľ bude v dôsledku narušenia ochrany vysoká pravdepodobnosť zneužitia údajov, spracúvateľ to bude musieť oznámiť i konkrétnym osobám, ktoré údaje poskytli.