Prijaté pravidlá pri ochrane osobných údajov známe ako GDPR predstavujú v súčasnosti malú revolúciu.
Mnohí z nás už zachytili informáciu o tom, že dňa 25. mája 2018 vstúpilo do účinnosti Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov (GDPR) z dielne Európskeho parlamentu a Rady Európskej únie. Jeho ustanovenia sa odrážajú aj v slovenskom zákone o ochrane osobných údajov, ktorý vstúpil do účinnosti v rovnaký deň. Nové pravidlá sa do väčšej či menšej miery dotýkajú všetkých podnikateľov. Niektoré významné zmeny sa nevyhnú ani energetickým spoločnostiam.
Niektoré základné pojmy
Osobné údaje sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä však na základe všeobecne použiteľného identifikátora, alebo iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo iný online identifikátor, ako aj na základe jednej alebo viacerých charakteristík alebo znakov tvoriacich jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
Prevádzkovateľ je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.
Sprostredkovateľ je každý, kto spracúva osobné údaje v mene prevádzkovateľa.
Zástupcom je fyzická alebo právnická osoba so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ alebo sprostredkovateľ písomne poveril podľa zákona o ochrane osobných údajov.
Súhlas dotknutej osoby je akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.
Spracúvaním osobných údajov je spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami
Dotknutá osoba je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
Zmeny pri súhlase so spracúvaním osobných údajov
Pomerne veľké množstvo zmien sa dotýka súhlasu so spracovávaním osobných údajov, ktorý v súčasnosti využíva takmer každá organizácia. Zákon v tejto súvislosti ustanovuje, že súhlas musí byť slobodný, vážny, konkrétny, informovaný a jednoznačný a urobený vo forme vyhlásenia alebo iného jednoznačného potvrdzujúceho úkonu. Každý súhlas pritom sa udeľuje len na jeden konkrétny účel a v prípade, že sa tento účel zmení, musí ho spoločnosť opätovne získať od dotknutej osoby. Súhlas so spracovaním osobných údajov musí byť ďalej preukázateľný a odlíšiteľný od iných skutočností.
Každá dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Prevádzkovatelia sú povinní kedykoľvek preukázať, že dotknuté osoby im skutočne poskytli súhlas so spracúvaním osobných údajov. Ďalším nemenej dôležitým opatrením je ustanovenie zákona, podľa ktorého je spracovávanie osobných údajov prevádzkovateľom zákonné len v prípade, kedy im udelí súhlas osoba staršia ako 16 rokov alebo jej zákonný zástupca. Každý prevádzkovateľ je povinný primeraným spôsobom si overiť, či bol súhlas skutočne udelený zákonným zástupcom maloletého.
Posilnenie práv dotknutých osôb
Nové pravidlá tak výrazným spôsobom posilňujú práva dotknutých osôb. Každá dotknutá osoba má podľa týchto ustanovení právo získať informácie o tom, či sa spracúvajú jej osobné údaje a na prístup k nim. Organizácie spracovávajúce osobné údaje sú na žiadosť dotknutých osôb povinné poskytnúť im informácie o tom, aké ich osobné údaje spracovávajú, za akým účelom, ktoré kategórie, ako aj ďalšie informácie uvedené v zákone o ochrane osobných údajov.
Dotknuté osoby majú právo na to, aby prevádzkovatelia bez zbytočného odkladu opravili nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov majú aj právo na doplnenie neúplných osobných údajov a v prípade, že si neželá, aby jej údaje figurovali u prevádzkovateľa, majú právo požiadať ho o výmaz príslušných údajov.
Záznamy o spracovateľských činnostiach
Prevádzkovateľ alebo jeho zástupca je povinný viesť v papierovej alebo elektronickej podobe záznam o spracovateľskej činnosti. Tento záznam prevádzkovateľ uchováva u seba. Na požiadanie Úradu na ochranu osobných údajov má povinnosť ho sprístupniť. Ak uzavrel prevádzkovateľ písomnú zmluvu so sprostredkovateľom o spracúvaní osobných údajov, je povinný viesť záznam pre prevádzkovateľa aj sprostredkovateľ.
Záznamy o spracovateľských činnostiach po novom nahrádzajú pôvodné oznámenia informačných systémov, žiadosti o osobitnú registráciu informačných systémov a evidenčné listy informačných systémov. Údaje v zázname musia byť vždy aktuálne, za čo zodpovedajú prevádzkovateľ aj sprotredkovateľ. Povinnosť viesť záznamy sa však netýka každého prevádzkovateľa. Ak podnik alebo daná organizácia zamestnáva menej ako 250 ľudí a za splnenia ďalších zákonom ustanovených podmienok, nie je prevádzkovateľ povinný viest záznamy o príslušných spracovateľských činnostiach.
Niekoľko slov na záver
Prijaté pravidlá pri ochrane osobných údajov predstavujú v súčasnosti malú revolúciu v tejto oblasti. Okrem vyššie uvedených noviniek priniesli podnikateľom ešte aj množstvo iných povinností. Nová legislatíva sa stala medzi podnikateľmi postrachom najmä pre hroziace pokuty, ktoré sú skutočne vysoké. Tie najvyššie môžu dosiahnuť až 20 miliónov alebo sumu vo výške 4 % celkového svetového ročného obratu podniku za predchádzajúci účtovný rok. Čo Či sú ustanovené pokuty adekvátne a spĺňajú účel, na ktorý boli ustanovené, zrejme ukáže až prax. S príchodom vyspelých technológií však musíme venovať dostatok pozornosti aj tomuto sektoru a posilňovať práva dotknutých osôb tak, aby neboli ich osobné údaje zneužívané.