Novinky

Nariadenie GDPR účinné od 25.05.2018 - 20 mil. EUR
pokuty a omnoho viac

Vážení klienti,

vzhľadom na skutočnosť, že nová európska právna úprava v oblasti ochrany osobných údajov sa má začať uplatňovať vo všetkých členských štátoch Európskej únie už odo dňa 25.05.2018, sme sa rozhodli vypracovať tento článok, ktorého cieľom je poskytnúť základné informácie o všeobecnom nariadení o ochrane osobných údajov a najpodstatnejších zmenách, ktoré prináša oproti súčasnej právnej úprave.


1. Úvod

Všeobecné nariadenie o ochrane osobných údajov – General Data Protection Regulation bolo prijaté Európskym parlamentom a Radou dňa 27.04.2016 ako nariadenie č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“). GDPR ruší a nahrádza pôvodnú smernicu Európskeho parlamentu a Rady č. 95/46/ES o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov z roku 1995 (ďalej len „Pôvodná Smernica“).

Cieľom GDPR je harmonizovať existujúce zákony o ochrane osobných údajov v jednotlivých členských štátoch Európskej únie (ďalej len „EÚ“) a tým zabezpečiť jednotnú ochranu základných práv a slobôd fyzických osôb v súvislosti so spracúvaním osobných údajov a prispieť k voľnému toku údajov medzi členskými štátmi EÚ. Subjekty, ktoré akýmkoľvek spôsobom nakladajú s osobnými údajmi musia reagovať na novú právnu úpravu, t.j. aktualizovať relevantnú nimi používanú dokumentáciu a zosúladiť spracúvanie údajov s požiadavkami GDPR. Zároveň je potrebné zdôrazniť, že GDPR ako nariadenie je priamo uplatniteľné vo všetkých členských štátoch EÚ bez nutnosti prijatia vnútroštátnych vykonávacích predpisov.

GDPR prichádza s úplne novými, ale i pozmenenými prvkami ochrany osobných údajov, ktoré budú platiť rovnako vo všetkých členských štátoch EÚ. GDPR sa začne uplatňovať v jednotlivých členských štátoch odo dňa 25. mája 2018.


2. Pôsobnosť GDPR

Novému nariadeniu podliehajú všetky komerčné aj nekomerčné činnosti organizácií (inštitúcií), pri ktorých dochádza k akémukoľvek spracovaniu osobných údajov, okrem aktivít taxatívne uvedených v článku 2 GDPR. Inak povedané, GDPR sa týka drvivej väčšiny podnikateľov, ktorí nejakým spôsobom spracúvajú osobné údaje. V praxi pôjde najmä o inštitúcie, ktoré napr. majú dochádzkový systém pre svojich zamestnancov, databázu zákazníkov, klientov, zamestnancov či uchádzačov o zamestnanie, ukladajú, zálohujú a archivujú údaje, zmluvy, šifrujú dáta a pod..

Z pohľadu územnej pôsobnosti sa GDPR vzťahuje nielen na organizácie so sídlom v členských krajinách EÚ, ale všetky organizácie (t.j. aj organizácie so sídlom mimo EÚ), ktoré monitorujú aktivity alebo spracúvajú osobné údaje rezidentov EÚ.

Ide o prvý prípad, kedy sa EÚ snaží presadiť princípy ochrany osobných údajov svojich občanov aj mimo teritória EÚ. V praxi to znamená, že každá firma či organizácia mimo EÚ, ktorá pracuje s dátami, ktoré nejakým spôsobom súvisia s občanmi EÚ, musí dodržiavať zásady a požiadavky GDPR, ktoré má globálnu a z pohľadu EÚ extra-teritoriálnu pôsobnosť.


3. Aplikácia GDPR v Slovenskej republike

Súčasný zákon č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „Zákon“) vychádza z Pôvodnej Smernice (t.j. Zákon implementoval uvedenú smernicu do slovenského právneho poriadku). GDPR však ruší Pôvodnú Smernicu s účinnosťou k 25.05.2018, preto je potrebné prijať nový zákon, keďže doterajšia právna úprava môže byť duplicitnou a/alebo v rozpore s GDPR.

Prijatím novej právnej úpravy by zároveň mala byť implementovaná aj smernica Európskeho parlamentu a Rady č. 2016/680 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov (ďalej len „Policajná Smernica“).

Novým zákonom by malo dôjsť jednak k zosúladeniu právnej úpravy ochrany osobných údajov s GDPR, ako aj k implementácii Policajnej Smernice. V súčasnosti prebiehajú prípravné práce na znení nového zákona, ktoré zastrešuje Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „Úrad“). Predpokladaný dátum prijatia nového zákona je do konca roka 2017.


4. Hlavné zmeny, ktoré GDPR prináša

Napriek tomu, že slovenská právna úprava ochrany osobných údajov patrí k najprísnejším spomedzi členských štátov EÚ, GDPR obsahuje množstvo zmien, ktoré súčasný právny stav väčšinou sprísňujú. Za najväčšie zmeny možno považovať najmä nasledujúce novinky:


a) Rozšírenie okruhu osobných údajov

Tradičný okruh osobných údajov (napr. meno, priezvisko, adresa alebo dátum narodenia fyzickej osoby) bude podľa GDPR rozšírený o ďalšie údaje technického charakteru - lokalizačné údaje a online identifikátory, t.j. IP adresy, súbory cookies, RFID, lokalizačné údaje a pod..


b) Nové definície pojmovGDPR zavádza nové legálne definície pojmov, ktoré súvisia so spracúvaním osobných údajov ako napr. pseudonymizácia, profilovanie, genetický údaj alebo skupina podnikov.


c) Zmeny v právnych základoch spracovania osobných údajov

Dochádza k čiastočnému zúženiu právnych základov uvedených v doterajšom Zákone, ktoré sú právnym titulom pre spracúvanie osobných údajov. Podľa GDPR dôjde k zrušeniu nasledujúcich právnych základov – priamy marketing v poštovom styku, ďalšie spracúvanie už zverejnených osobných údajov, jednorazový vstup a monitorovanie priestorov prístupných verejnosti. Ak prevádzkovateľ bude chcieť spracovávať osobné údaje na vyššie uvedené účely aj po 25.05.2018, bude tak môcť urobiť len na základe niektorého z právnych základov uvedených v článku 6 GDPR, napr. za účelom oprávneného záujmu, ak ho samozrejme bude schopný preukázať.


d) Sprísnenie pravidiel pre udelenie a preukázanie súhlasu so spracovaním osobných údajov

Ak sa osobné údaje spracúvajú na základe súhlasu dotknutej osoby, musí byť takýto súhlas podľa GDPR konkrétny, slobodný, zrozumiteľný, jednoznačný a odlíšiteľný (t.j. nemôže byť súčasťou obchodných podmienok alebo zmluvy), pričom prevádzkovateľ musí byť schopný kedykoľvek preukázať, že súhlas so spracovaním osobných údajov mu bol skutočne udelený. Táto skutočnosť bude mať významný vplyv napríklad na spracúvanie osobných údajov na účely marketingu alebo na používanie súborov cookies, ktoré sa od 25.05.2018 bude musieť zmeniť.

Ak sa spracúvanie osobných údajov vykonáva na viaceré účely, súhlas musí byť udelený oddelene na všetky tieto účely. Zároveň platí, že odvolanie súhlasu so spracovaním osobných údajov by malo byť rovnako jednoduché ako jeho získanie (o uvedenom musí byť však dotknutá osoba vopred informovaná).


e) Sprísnenie podmienok pre spracúvanie osobných údajov osôb mladších ako 16 rokov

V súvislosti s ponukou služieb informačnej spoločnosti (t.j. nakupovanie v e-shopoch, využívanie sociálnych sietí, registrácia na rôznych webových stránkach atď.) GDPR zavádza podmienku, že spracúvanie osobných údajov osoby mladšej ako 16 rokov na základe súhlasu je legálne len vtedy, ak takýto súhlas udelil alebo schválil jej zákonný zástupca. Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si uvedené overil s prihliadnutím na dostupnú technológiu.


f) Povinnosť ustanoviť si tzv. zodpovednú osobu (Data Protection Officer)

Orgány verejnej moci, ktoré spracúvajú osobné údaje, podnikatelia, ktorí systematicky, pravidelne a vo veľkom rozsahu monitorujú dotknuté osoby (napr. pri retargetingu a rôznych formách behaviorálnej reklamy) alebo vo veľkom rozsahu spracúvajú osobitné kategórie údajov alebo spracúvajú údaje týkajúce sa uznania viny za trestné činy a priestupky, si musia podľa GDPR ustanoviť zodpovednú osobu. U ostatných prevádzkovateľov a sprostredkovateľov ostáva určenie zodpovednej osoby na báze dobrovoľnosti.Medzi hlavné úlohy zodpovednej osoby patrí napr. kontrola postupov pri spracúvaní osobných údajov (najmä z pohľadu ich súladu s GDPR), poskytovanie informácií a poradenstva o povinnostiach podľa nového nariadenia, či spolupráca s Úradom. Zodpovednou osobou môže byť tak zamestnanec, ako aj externá osoba, ktorá spĺňa prísne odborné predpoklady.
g) Povinnosť viesť záznamy o spracúvaní osobných údajov

Oznamovacia, registračná a evidenčná povinnosť týkajúca sa informačných systémov prevádzkovateľov bude nahradená povinnosťou viesť záznamy o spracúvaní osobných údajov.Každý prevádzkovateľ a sprostredkovateľ bude povinný viesť záznamy o spracovateľských úkonoch napríklad formou prevádzkového denníka, do ktorého budú zapisované všetky dôležité informácie (napr. o prijatých technických a organizačných opatreniach, o rozsahu a účele spracúvania osobných údajov, ich prenosoch do tretích krajín alebo o dotknutých osobách). Uvedená povinnosť sa však nebude vzťahovať na podniky alebo organizácie, ktoré zamestnávajú menej ako 250 zamestnancov, ak spracovanie osobných údajov nepovedie k riziku pre práva a slobody dotknutej osoby, je príležitostné a nezahŕňa osobitné kategórie údajov ani údaje týkajúce sa uznania viny za trestné činy a priestupky.


h) Povinnosť nahlasovať bezpečnostné incidenty Úradu a dotknutým osobám

Každý podnikateľ v postavení prevádzkovateľa bude povinný nahlásiť Úradu každé podstatnejšie porušenie ochrany osobných údajov (napr. narušenie alebo únik osobných údajov), a to najneskôr do 72 hodín od zistenia takéhoto porušenia. Ak by porušenie ochrany osobných údajov predstavovalo vážne riziko pre práva dotknutých osôb, prevádzkovateľ bude povinný o tom informovať aj samotné dotknuté osoby, ktorých údaje môžu byť ohrozené.


i) Povinnosť vykonať analýzu vplyvov na ochranu osobných údajov (Data Protection Impact Assessment) a konzultovať svoju činnosť s Úradom

V zmysle GDPR už prevádzkovateľ nebude mať povinnosť vypracovať bezpečnostný projekt. Zároveň však bola v osobitných prípadoch ustanovená nová povinnosť pre prevádzkovateľov – tzv. posúdenie vplyvu na ochranu osobných údajov. Ak určitý druh spracúvania osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovatelia budú povinní vykonať analýzu (posúdenie) vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov ešte pred samotným spracúvaním údajov.

Uvedená povinnosť sa vyžaduje v tých prípadoch, kedy prevádzkovatelia systematicky a rozsiahle hodnotia osobné aspekty fyzických osôb na základe automatizovaného spracúvania vrátane profilovania, systematicky monitorujú verejne prístupné miesta vo veľkom rozsahu alebo vo veľkom rozsahu spracúvajú údaje týkajúce sa uznania viny za trestné činy a priestupky alebo osobitné kategórie osobných údajov, napr. údaje o rasovom alebo etnickom pôvode, politických názoroch či zdravotnom stave. Úrad zverejní zoznam spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov. Ak prevádzkovateľ na základe spomínanej analýzy zistí, že jeho činnosť by mohla byť vyhodnotená ako riziková, podľa GDPR bude musieť požiadať Úrad o konzultáciu.


j) Právo byť vymazaný (resp. zabudnutý)

Podľa GDPR bude dotknutá osoba v ustanovených prípadoch oprávnená sa dožadovať výmazu svojich osobných údajov a prevádzkovateľ bude povinný takejto žiadosti bezodkladne vyhovieť (napr. ak fyzická osoba požiada o výmaz životopisu zaslaného spoločnosti, ktorá uchádzača o zamestnanie neprijala, bude spoločnosť povinná takejto žiadosti vyhovieť). Navyše, ak prevádzkovateľ zverejnil osobné údaje, dotknutá osoba bude mať za určitých podmienok právo požadovať, aby jej údaje boli úplne vymazané aj z internetových vyhľadávačov.
k) Právo na prenos svojich osobných údajov

Každá dotknutá osoba bude mať v ustanovených prípadoch právo na bezplatné získanie svojich osobných údajov, ktoré sama poskytla prevádzkovateľovi, a tieto údaje následne odovzdať inému prevádzkovateľovi (napr. pri zmene poskytovateľa určitej služby, či už telekomunikačnej alebo inej). Pôvodný prevádzkovateľ tak bude povinný vydať požadované osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (napr. XML alebo CSV) a umožniť ich prenos ďalšiemu prevádzkovateľovi. Ak to bude technicky možné, k prenosu osobných údajov môže dôjsť aj priamo od jedného prevádzkovateľa k druhému prevádzkovateľovi.


l) Možnosť uloženia likvidačných pokút

Zatiaľ čo pokuty podľa súčasného Zákona možno uložiť maximálne do výšky 200.000 EUR, podľa GDPR za porušenie povinností pri ochrane osobných údajov možno uložiť pokuty až do výšky niekoľkých miliónov EUR, čo môže mať z pohľadu niektorých podnikateľských subjektov doslova likvidačný efekt.

GDPR výrazným spôsobom sprísnilo výšku pokút, ktoré majú byť účinné, primerané a odrádzajúce. Za menej závažné porušenia nového nariadenia môžu byť udelené pokuty až do výšky 10.000.000 EUR alebo 2 % celosvetového ročného obratu spoločnosti (resp. skupiny), podľa toho ktorá sankcia je vyššia. Za závažné porušenia nového nariadenia môžu byť udelené pokuty až do výšky 20.000.000 EUR alebo 4 % celosvetového ročného obratu spoločnosti (resp. skupiny), opäť podľa toho ktorá sankcia je vyššia.


m) Povinnosti ohľadom bezpečnosti osobných údajov

Pre prevádzkovateľov a sprostredkovateľov sa stanovuje povinnosť prijatia primeraných technických a organizačných opatrení za účelom zaistenia bezpečnosti spracúvaných osobných údajov. Takýmito opatreniami sú napr. pseudonymizácia, šifrovanie, schopnosť včas obnoviť dostupnosť údajov alebo pravidelné testovanie a hodnotenie bezpečnosti spracúvania údajov.


n) Podrobnejšia úprava zmluvného vzťahu medzi prevádzkovateľom a sprostredkovateľom

V súvislosti so spracúvaním údajov prostredníctvom sprostredkovateľa sa stanovujú nové obsahové náležitosti zmluvy uzatváranej medzi prevádzkovateľom a sprostredkovateľom – napr. povinnosť spracúvať údaje len na základe zdokumentovaných pokynov prevádzkovateľa, povinnosť zachovávať dôvernosť spracúvaných informácií, povinnosť poskytovať prevádzkovateľovi všetky potrebné informácie alebo po skončení spracúvania údajov, vymazať údaje alebo ich vrátiť prevádzkovateľovi a vymazať všetky ich kópie.


o) Rozšírenie informačnej povinnosti prevádzkovateľov

Dochádza k rozšíreniu informačnej povinnosti prevádzkovateľa voči dotknutej osobe o nasledujúce údaje – kontaktné údaje prípadnej zodpovednej osoby, právny základ spracúvania, dobu uchovávania údajov, konkretizáciu práv dotknutej osoby, zdroj z akého pochádzajú údaje a pod..


p) Rozšírenie zodpovednosti za spracúvanie osobných údajov

Ak sa na spracúvaní osobných údajov podieľa viacero prevádzkovateľov, dotknutá osoba je oprávnená si uplatňovať svoje práva voči ktorémukoľvek prevádzkovateľovi (bez ohľadu na ich vzájomnú dohodu o určení zodpovednosti voči dotknutým osobám).
q) Nový orgán v oblasti ochrany osobných údajov

Konštituuje sa zároveň nový európsky orgán – Európsky výbor pre ochranu údajov, ktorý má zaisťovať konzistentné uplatňovanie GDPR. Tento orgán bude za uvedeným účelom vykonávať monitorovaciu činnosť, vydávať usmernenia, odporúčania a koordinovať postupy dozorných orgánov v jednotlivých členských štátoch EÚ. Okrem toho bude výbor vydávať aj stanoviská k návrhom rozhodnutí dozorných orgánov členských štátov v rámci mechanizmu konzistentnosti.


r) Možnosť zavedenia tzv. kódexov správaniaZdruženia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania, aby sa uľahčilo účinné uplatňovanie GDPR, pričom sa zohľadnia osobitné črty spracúvania v určitých odvetviach a osobitné potreby mikropodnikov, malých a stredných podnikov. V takýchto kódexoch správania sa majú nastaviť povinnosti prevádzkovateľov a sprostredkovateľov so zreteľom na riziko, ktoré pravdepodobne vyplýva zo spracúvania, pokiaľ ide o práva a slobody fyzických osôb.

V prípade akýchkoľvek otázok sme Vám plne k dispozícii.