GDPR - Datafy.sk
15366
page-template,page-template-full_width,page-template-full_width-php,page,page-id-15366,ajax_fade,page_not_loaded,,qode-child-theme-ver-1.0.0,qode-theme-ver-13.3,qode-theme-bridge,wpb-js-composer js-comp-ver-5.4.5,vc_responsive
 

GDPR

Nariadenie o ochrane osobných údajov (ďalej len „GDPR“) predstavuje novú legislatívu, ktorá výrazne posilnila práva, prístup a kontrolu občanov nad svojimi osobnými údajmi. GDPR nadobudlo účinnosť 25. mája 2018.

Ku konzistentnému uplatňovaniu pravidiel ochrany údajov v celej Európskej únii a podpore spolupráce medzi orgánmi pre ochranu osobných údajov Európskej únie prispieva aj nezávislý orgán Európskej únie – Európsky výbor pre ochranu osobných údajov (European Data Protection Board, ďalej len „EDPB“). Vznikol podľa čl. 68 GDPR a je nástupcom Pracovnej skupiny pre ochranu údajov zriadenej podľa čl. 29 GDPR, známej pod skratkou WP29 (Article 29Working Party). Medzi jeho úlohy patrí aj poskytovanie všeobecných usmernení (vrátane odporúčaní a najlepších postupov) na objasnenie GDPR.

EDPB je zložený z vedúceho predstaviteľa dozorného orgánu pre ochranu osobných údajov každého členského štátu a európskeho dozorného úradníka pre ochranu údajov.

NIEKTORÉ ZÁKLADNÉ POJMY:

Osobné údaje – akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby

Dotknutá osoba – fyzická osoba, ktorej osobné údaje sú spracúvané

Prevádzkovateľ – fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov

Sprostredkovateľ – je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa (napríklad účtovníctvo, mzdy)

Príjemca – fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov

Ůdaje týkajúce sa zdravia -sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave

Kontrolný orgán – Úrad pre ochranu osobných údajov Slovenskej republiky (ďalej len ÚOOÚ)

Najzásadnejšie zmeny, ktoré priniesla európska reforma ochrany osobných údajov

Osobitná kategória
Spracúvanie osobitných kategórií osobných údajov

V prípade spracúvania osobitnej kategórie osobných údajov vo veľkom rozsahu bude prevádzkovateľ povinný posúdiť vplyv na ochranu osobných údajov a ustanoviť zodpovednú osobu

72
Oznámenie o porušení do 72 hodín

Únik informácií, neautorizovaný prístup k dátam sú organizácie povinné ohlásiť najneskôr do 72 hodín Úradu pre ochranu osobných údajov a v niektorých prípadoch aj dotknutej osobe či subjektom

Sprostredkovatelia
Povinnosti a zodpovednosti sprostredkovateľov

Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa. Je povinný prijať primerané technické a organizačné opatrenia, tak aby spracúvanie spĺňalo požiadavky GDPR. Zabezpečí aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií.

Teritoriálna pôsobnosť
Rozširuje teritoriálnu pôsobnosť

Vzťahuje sa na prevádzkovateľov a sprostredkovateľov z EÚ bez ohľadu na to, či sa spracovanie uskutočňuje v EÚ alebo nie a takisto aj na prevádzkovateľov a sprostredkovateľov mimo EÚ, ktorý spracúvajú osobné údaje dotknutých osôb z EÚ, ak im ponúkajú tovary alebo služby, alebo monitorujú ich správanie v EÚ

euro v 4
Sankcie za porušenie GDPR                                                        

Významne zvyšuje sankcie za neplnenie požiadaviek GDPR, a to až do výšky 20 miliónov € alebo v prípade podniku do výšky 4% z ročných tržieb spoločnosti za predchádzajúci účtovný rok. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade zohľadnia skutočnosti v zmysle článku 83 GDPR

ikona 16
Osobitná ochrana osobných údajov detí

V súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností

Práva
Rozširuje a spresňuje práva dotknutej osoby

právo na opravu

právo na zabudnutie (právo na výmaz)

právo na obmedzenie spracúvania

právo na prenosnosť údajov

právo namietať

právo namietať automatizované individuálne rozhodovanie a profilovanie

Zakotvila sa nová oznamovacia povinnosť prevádzkovateľa v súvislosti s vyššie uvedenými právami.

DPO
Ustanoviť zodpovednú osobu (DPO)

Prevádzkovatelia a sprostredkovatelia majú povinnosť ustanoviť zodpovednú osobu vo vybraných prípadoch, ak ide o orgány verejnej moci alebo verejnoprávne subjekty, s výnimkou súdov pri výkone súdnej právomoci, ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, ak hlavnými činnosťami sprostredkovateľa alebo prevádzkovateľa je spracúvanie osobných kategórií údajov podľa čl. 9 GDPR vo veľkom rozsahu. Zodpovedná osoba bude zodpovedať za monitorovanie dodržiavania GDPR, poskytovať informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa GDPR a ostatných právnych predpisov týkajúcich sa ochrany údajov, vykonávať poradenstvo na požiadanie, pokiaľ ide o posúdenie vplyvu údajov a monitorovanie jeho vykonávania podľa čl. 35 GDPR, bude kontaktnou osobou pre kontrolný orgán alebo dotknutú osobu

Legislatívny rámec v oblasti ochrany osobných údajov tvoria predovšetkým GDPR, zákon o ochrane osobných údajov a usmernenia, návrh nariadenia o ochrane osobných údajov v elektronických komunikáciách (známe pod názvom ePrivacy), ale aj zákon o reklame, zákon o ochrane spotrebiteľa či zákon o kybernetickej bezpečnosti. Rovnako je k GDPR vydaná Policajná smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií.