GDPR, skratka, ktorá v súčasnosti hýbe spoločnosťou.

 

Do mája 2018 bolo definovanie pojmu osobné údaje pomerne vágne a v praxi bolo ich použitie odôvodňované na rôzne účely, po novom však už bude potrebné riadne odôvodnenie na aký účel budú využité a akým spôsobom budú spracované.

 

Túto zmenu spôsobil pre mnohé podnikateľské subjekty známy strašiak menom General data protection regulation, dnes známy viac pod skratkou GDPR. Táto skratka v sebe zahŕňa nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 pre ochranu fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „nariadenie GDPR“), ktoré bolo prijaté v apríli 2016.

 

Po právnej stránke ide o doteraz najväčšiu zmenu európskej legislatívy, ktorá je zameraná na ochranu osobných údajov. Ide o právny rámec, ktorý je reakciou európskych inštitúcii na nové práva a povinnosti spojené s oblasťou digitalizácie, a tiež na vznik fenoménu kriminality rozvíjajúcej sa v kyberpriestore. Táto právna norma komplexne zastrešuje ochranu osobných údajov naprieč všetkými členskými štátmi EÚ. Po viac ako 20 rokoch tak nahrádza ešte dnes platnú smernicu Európskeho Parlamentu o ochrane osobných údajov fyzických osôb 95/46/ES. Nariadenie GDPR sa stane 25. mája 2018 priamo aplikovateľné vo všetkých členských štátoch EÚ. V podmienkach Slovenskej republiky je toto nariadenie o GDPR pretavené do zákona č. 18/2018 Z.z. o ochrane osobných údajov, ktorý nahradí zákon č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov. Cieľom úpravy GDPR je ochrana práv občanov EÚ proti neoprávnenému zaobchádzaniu s ich dátami, vrátane ich osobných údajov.

 

Čo však konkrétne GDPR znamená, koho sa vlastne týka?

Ešte predtým ako si odpovieme na tieto otázky, definujme si v skratke základný pojem právneho rámca, ktorý upravuje GDPR, a tým sú osobné údaje. Platí, že za osobné údaje môžeme považovať všetky údaje, ktoré môžu identifikovať jednotlivca, a to napr. meno, priezvisko, adresa, e-mail, či telefónne číslo.

Nezáleží na tom, či ste malá rodinná firma alebo pobočka nadnárodnej korporácie, GDPR sa na vás od 25. mája 2018 bude vzťahovať. Podstatou tejto právnej úpravy na európskej úrovni sú osobné údaje a ich bezpečnosť, tzn. ak pracujete s osobnými údajmi, GDPR nesmiete opomenúť. Nič také ako výnimka z tohto nariadenia GDPR neexistuje. Nariadenie GDPR môžeme chápať ako synonymum prenesenia právnej zodpovednosti za spravovanie osobných údajov o súkromných osobách na spoločnosti. Inak povedané, spoločnosť ma zodpovednosť za to, aby preukázala, že uchovávané osobné údaje neboli zneužité.

 

Nariadenie GDPR je právny akt, ktorý má zaručiť právnu istotu ochrany pre všetky hospodárske subjekty, a to vrátane mikro, malých a stredných podnikov. Aj z tohto dôvodu obsahuje minimum výnimiek. Jednou z takýchto výnimiek sú práve mikro, malé a stredné podniky, ktoré nemajú povinnosť viesť záznamy o spracovateľských činnostiach, a to za podmienky, že zamestnávajú menej ako 250 osôb a nie je pravdepodobné, že spracúvanie osobných údajov týchto osôb povedie k riziku pre práva a slobody tejto osoby a pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie osobných údajov.

 

Definícia osôb, na ktoré sa nariadenie GDPR vzťahuje je pomerne obšírna, nakoľko sa vzťahuje v podstate na akúkoľvek osobu. Zahŕňa jednak zamestnancov, zákazníkov, ale aj dodávateľov, či ašpirantov na pracovné miesto vo Vašej spoločnosti. Táto definícia však zahŕňa aj osoby, ktoré nemajú priamy vzťah ku Vašej spoločnosti, môže ísť najmä o osoby, ktoré sa zúčastňujú prieskumu trhu. Pod spracúvaním osobných údajov sa ďalej rozumie spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi, bez ohľadu na to, či sa vykonáva automatizovanými alebo neautomatizovanými prostriedkami.

 

Obsah nariadenia GDPR širšie definuje pojem osobné údaje, rozširuje povinnosti pre sprostredkovateľov, zavádza nové práva pre dotknuté osoby (napr. právo na zabudnutie) a povinnosť do 25. mája 2018 vymenovať tzv. zodpovednú osobu. Taktiež zavádza informačnú povinnosť, kedy je prevádzkovateľ povinný do 72 hodín oznámiť bezpečnostný incident Úradu pre ochranu osobných údajov. Tieto, a aj ďalšie iné povinnosti prísnejšej ochrany osobných údajov sa tak dotknú každej firmy, za podmienky, že má aspoň jedného zamestnanca, prípadne dodávateľa, či zákazníka. Podľa odhadov ide o viac ako 500-tisíc podnikateľských subjektov v rámci Slovenska.

 

Aké sankcie ma čakajú, ak GDPR riešiť nebudem?

Kompetentné orgány pri kreovaní právneho rámca GDPR pamätali aj na sankcie za porušovanie nových, prísnejších pravidiel a nariaďuje niektorým správcom alebo spracovateľom osobných údajov zriadiť nezávislú kontrolnú funkciu tzv. Data Protection Officer, t.j. zodpovedná osoba/oprávnená osoba pre ochranu osobných údajov. Za porušenie určených pravidiel sú určené sankcie až do výšky 20 mil. eur alebo 4% celosvetového obratu za predchádzajúci účtovný rok, v prípade najvyššej možnej pokuty.

 

Čo GDPR pre mňa znamená v praxi?

Je potrebné poznamenať, že nestačí vypracovať len statickú dokumentáciu, ktorú následne ako ďalší byrokratický akt niekde založím. Je potrebné podrobne posúdiť riziká a vyhodnotiť tie najviac rizikové operácie s osobnými údajmi, na ktoré je následne potrebné prijať zodpovedajúce opatrenia. Podstatou je ich účinnosť a dodržiavanie neustále kontrolovať, prípadne meniť. 

 

Príprava na GDPR nie je jednoduchou záležitosťou, ba čo viac, môžeme skôr hovoriť o mravenčej práci. Na záver je potrebné zdôrazniť, že hlavným rozdielom pri spracúvaní osobných údajov v mikro, malom alebo strednom podniku oproti veľkým a nadnárodným korporáciám bude zrejme akési oslobodenie od povinnosti „vykonať posúdenie vplyvu na ochranu údajov“ alebo „Data Protection Impact Assesment“, ktoré sa predovšetkým vzťahuje na väčšie subjekty alebo subjekty zamerané na hospodárske využívanie osobných údajov fyzických osôb. Ide o také spracúvanie, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, vykonávané najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania.

 

Nakoľko je článok len pomerne stručným zhrnutím veľmi obšírnej problematiky, odporúčame akékoľvek informácie  konzultovať so špecialistami vo svojom odbore.