GDPR v skratke – jednoduché vysvetlenie

Ochrana osobných údajov je v posledných rokoch jednou z najdiskutovanejších právnych oblastí. O zvýšenú pozornosť tejto témy sa postaralo Nariadenie GDPR. V článku sa dozviete čo je GDPR a prečo spôsobilo „revolúciu“ v nahliadaní na ochranu osobných údajov. Článok pojednáva o GDPR v skratke.

Čo je GDPR?

GDPR, celým názvom Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej ako „Nariadenie“ alebo „Nariadenie GDPR„) je predpis prijatý v rámci Európskej únie (ďalej ako „EÚ„), regulujúci ochranu osobných údajov vo všetkých členských štátoch Európskej únie.

Skratka GDPR vychádza z pôvodného názvu v anglickom jazyku – General Data Protection Regulation. Nariadenie GDPR bolo prijaté už v roku 2016 a je účinné od 25.05.2018.

Dôležité je, že Nariadenie GDPR je priamo uplatniteľné a aplikovateľné v každom členskom štáte.¹ To znamená, že ak spracúvate osobné údaje alebo sú vaše osobné spracúvané, bude spracúvanie osobných údajov s vysokou pravdepodobnosťou podliehať GDPR. Zjednodušene možno napísať, že z tohto Nariadenia vyplývajú pre podnikateľov povinnosti a pre fyzické osoby² práva.

Ak máte otázku, prečo potrebujeme zákon č. 18/2018 Z. z. o ochrane osobných údajov (ďalej ako „Zákon č. 18/2018„), odpoveď je jednoduchá. Nariadenie sa neaplikuje v prípade, ak:

• je spracúvanie osobných údajov vykonávané v rámci činnosti, ktorá nepatrí do pôsobnosti práva EÚ (napr. národná bezpečnosť),
• je spracúvanie osobných údajov vykonávané členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2, hlavy V Zmluvy o fungovaní EÚ (napr. hospodárska mobilizácia),
• sú osobné údaje spracúvané pri domácej činnosti (napr. súkromné fotografie v domácom fotoalbume),
• spracúvajú osobné údaje orgány v súvislosti s trestnou činnosťou (napr. predchádzanie a odhaľovanie trestných činov).

Na domácu činnosť pri spracúvaní osobných údajov sa GDPR nevzťahuje. Foto: pexels.com

Zároveň, Nariadenie GDPR³ stanovuje možnosť členských štátov upraviť si vymedzené spracovateľské operácie v rámci členského štátu. Náš zákon teda v tejto časti Nariadenie GDPR  „dopĺňa“ a upravuje v § 78 a nasl. spracúvanie rodného čísla, spracúvanie pre informovanie verejnosti masovokomunikačnými prostriedkami a pod.

„Laicky“ napísané, GDPR je hlavným prameňom práva v oblasti ochrany osobných údajov, ktorý je doplnený legislatívou jednotlivých členských štátov (v niektorých častiach). Členské štáty, vrátane Slovenskej republiky prijímajú zákony k ochrane osobných údajov z dôvodu zabezpečenia jednotnosti pri spracúvaní osobných údajov, napríklad orgánmi činnými v trestnom konaní.

GDPR v „skratke“ pojednáva o ochrane osobných údajov, stanovuje povinnosti podnikateľom a priznáva práva fyzickým osobám. Sledovaným účelom pri jeho prijatí bola najmä ochrana osobných údajov fyzických osôb pred zneužitím osobných údajov.

Riešite GDPR alebo chcete vedieť, čo má obsahovať dokumentácia? Pozrite si, čo by mala obsahovať dokumentácia k ochrane osobných údajov:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Prečo je Nariadenie tak známe?

Keď sme pripomínali legislatívu na národnej úrovni, ochranu osobných údajov na území SR poznáme. Bol to zákon č. 122/2013 Z. z. o ochrane osobných údajov (ďalej ako „Zákon č. 122/2013„). Mimochodom, jeden z „najprísnejších“ v rámci Európskej únie. Vychádzal zo Smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (ďalej ako „Smernica„).

Prečo nebol až tak známy náš „starý“ Zákon č. 122/2013, ako ani Smernica? Dôvodov je viacero. Napríklad, maximálna výška pokuty vyplývajúca z porušenia Zákona č. 122/2013 bola „len“ 200.000 Eur, Smernica nebola priamo aplikovateľná, teda úprava v rámci EÚ nebola jednotná a takmer každý členský štát si upravil legislatívu s odchýlkami. Chýbalo povedomie o ochrane osobných údajov, tomuto odvetviu sa neprikladal význam. A to na úrovni našich podnikateľov, ako ani na úrovni medzinárodných firiem.

Tým, že Nariadenie GDPR zasiahlo celú EÚ, zvýšili sa pokuty, posilnili sa práva dotknutých osôb (fyzických osôb, ktorých osobné údaje sú spracúvané), zaviedli sa povinnosti pre podnikateľov zaviesť vo firme procesy, postupy pre ochranu osobných údajov, bezpečnostné opatrenia, školenia k ochrane osobných údajov a pod., Nariadenie spôsobilo „ošiaľ“. Aj keď na našom území – v rámci Slovenskej republiky, neboli zmeny také fatálne, ako bublina okolo Nariadenia GDPR.

Hlavnou motiváciou podnikateľov riešiť ochranu osobných údajov je vyhnúť sa pokute za porušenie ochrany osobných údajov. Tá môže dosiahnuť 20.000.000 Eur alebo 4 % zo zisku porušiteľa ochrany osobných údajov.

Tento prístup však nepovažujeme za správny. Na ochranu (aj osobných) údajov nahliadame ako na príležitosť vyčistiť si údaje a dáta vo firme a zaviesť bezpečnosť vo vzťahu ku všetkým údajom.

V článku sme definovali, čo je GDPR v skratke z nášho uhla pohľadu. Ak chcete vedieť, čo GDPR Nariadenie znamená pre podnikateľov a fyzické osoby, prečítajte si náš článok na koho sa vzťahuje GDPR: Koho sa GDPR dotýka.

1. V rámci predchádzajúcej právnej úpravy bola platná Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov a zákon č. 122/2013 Z. z. o ochrane osobných údajov ↩

2. Dotknuté osoby, ktorých osobné údaje sú spracúvané. ↩

3. IX. Kapitola Nariadenia GDPR ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb