V roku 2018 zdá sa bude mesiac máj trochu iný, ako sme zvyknutí. Nastane čas uviesť do praxe GDPR, ktorý predstavuje komplexnú a závažnú tému. Ak má všetko prebehnúť riadne a v súlade so zákonom, je najvyšší čas, aby sa firmy pripravili už teraz. Zaškolenie zodpovedných pracovníkov a zavedenie procesov si totiž vyžadujú čas a do mája ho neostáva nazvyš.
Čo je to GDPR a čo viedlo k jeho vzniku?
Rýchly technologický rozvoj a globalizácia so sebou priniesli nové výzvy v oblasti ochrany osobných údajov. Rozsah získavania a zdieľania osobných údajov sa výrazne zväčšil. Jedno z najdôležitejších legislatívnych zmien v podnikateľskom prostredí roku 2018 predstavuje nové nariadenie EÚ č. 2016/679 tzv. GDPR (General Data Protection Regulation), ktoré vstúpi do účinnosti v celej EÚ odo dňa 25.05.2018. Primárnym cieľom GDPR je zabezpečiť vysokú úroveň ochrany osobných údajov fyzických osôb, bez ohľadu na to, kde a za akých okolností sú dáta spracúvané.
GDPR považuje za osobný údaj také informácie, ktorými možno priamo alebo nepriamo identifikovať konkrétnu fyzickú osobu. Typicky sú osobnými údajmi meno a priezvisko, rodné číslo, číslo občianskeho preukazu. Niektoré údaje ako e-mail a telefónne číslo, môžu, ale aj nemusia byť osobnými údajmi. Záleží na tom, či sa na základe nich, či ich kombinácie dá priamo alebo nepriamo (pomocou tretej osoby) zistiť, o akú osobu ide. Do kategórie osobných údajov patria aj rôzne pseudononymizované údaje, pri ktorých existuje možnosť identifikácie osoby prostredníctvom tretích osôb. Ďalšími osobnými údajmi môže byť:
- Fotografia,
- Odtlačok prsta,
- Hlas,
- Číslo účtu,
- Lokalizačné údaje
- ďalšie údaje technického charakteru, akými sú IP adresa alebo súbory cookies
Zatiaľ čo niektoré osobné údaje sa spracúvajú na základe zákona alebo v rámci plnenia zmluvných povinností, iné údaje podnikatelia získavajú na základe súhlasu dotknutej osoby. Takýto súhlas musí byť podľa GDPR konkrétny, slobodný, informovaný a jednoznačný (t.j. nemôže byť súčasťou obchodných podmienok), pričom podnikateľ musí byť schopný kedykoľvek preukázať, že súhlas so spracovaním osobných údajov mu bol skutočne udelený.
Zatiaľ čo pokuty podľa pôvodného zákona o ochrane osobných údajov dosahujú max. 200.000 EUR, GDPR za porušenie povinností pri ochrane osobných údajov stanovuje pokuty až do výšky 20.000.000 EUR, prípadne až do výšky 4 % z celosvetového ročného obratu.
Smernica Európskeho parlamentu a Rady 95/46/ES ( 3 ) sa vzťahuje na všetky spracúvania osobných údajov v členských štátoch, a to vo verejnom aj v súkromnom sektore. Nevzťahuje sa však na spracúvanie osobných údajov v rámci činností, ktoré sú mimo pôsobnosti práva Spoločenstva, ako sú napríklad činnosti v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce.