Koho sa GDPR dotýka a čo je GDPR?

Čo je GDPR a koho sa GDPR dotýka? Aj po dlhšom období od účinnosti GDPR sa stretávame s otázkou od podnikateľských subjektov, či potrebujú prijať dokumentáciu alebo opatrenia k ochrane osobných údajov, či GDPR majú riešiť aj malý podnikatelia alebo živnostníci alebo čo je GDPR. Viac sa dozviete v tomto článku.

Ako už viete, GDPR je skratka anglického názvu General Data Protection Regulation [1]Pripravili sme aj článok GDPR v skratke, v ktorom nájdete informácie o Nariadení GDPR

Keďže ide o nariadenie z dielne Európskej únie, ide o právny predpis, ktorý je všeobecne záväzný a priamo aplikovateľný a uplatniteľný na území každého členského štátu EÚ.

K spracúvaniu osobných údajov môže pri činnosti podnikateľa dochádzať pri najrôznejších činnostiach, napríklad:

  • vybavovanie objednávok,
  • vybavovanie reklamácií,
  • vystavovanie faktúr alebo iných účtovných dokladov,
  • odpovedanie na kontaktný formulár na webovej stránke,
  • spracúvanie miezd a personalistiky,
  • vedenie účtovníctva,

ak sa spracúvajú osobné údaje dotknutej osoby – fyzickej osoby, ktorá je prostredníctvom spracúvaných osobných údajov identifikovateľná. 

Takmer každý podnikateľský subjekt spracúva osobné údaje, preto by mal GDPR riešiť. V závislosti od „objemu“ spracovateľských operácií sa prijíma dokumentácia a opatrenia, ktoré sú primerané vzhľadom na rozsah spracúvania osobných údajov.

Dotknuté osoby a prevádzkovatelia

Poďme si to teda „rozmeniť“ na drobné. Čl. 1 GDPR definuje, že:

Týmto nariadením (GDPR) sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.“

Na účely tohto článku je zrejmé, že GDPR sa dotýka dvoch hlavných skupín subjektov:

  • fyzických osôb, ktorých osobné údaje sa spracúvajú,
  • subjekty, ktoré tieto osobné údaje spracúvajú.

Dotknuté osoby

Fyzické osoby, ktorých osobné údaje sú spracúvané označuje GDPR za dotknuté osoby. GDPR teda upravuje pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov, preto môžeme konštatovať, že GDPR sa týka spracúvania osobných údajov fyzických osôb, pričom podľa samotného nariadenia sa ochrana poskytuje fyzickým osobám bez ohľadu na ich štátnu príslušnosť alebo miesto bydliska vo vzťahu k spracúvaniu ich osobných údajov.

Právnické osoby (firmy, nadácie, občianske združenia a pod.) môžeme z okruhu dotknutých osôb jednoznačne vylúčiť.

Čo však v prípade fyzických osôb – podnikateľov ? Ide napr. o živnostníkov, rôzne slobodné povolania a pod. V zmysle odporúčaní Úradu na ochranu osobných údajov SR sú fyzické osoby – podnikatelia považovaní za dotknuté osoby vtedy, keď sa o nich spracúvajú také údaje, ktoré sú totožné s ich údajmi ako súkromnými fyzickými osobami.

Táto situácia môže nastať, ak fyzická osoba – podnikateľ, má totožné obchodné meno so svojim menom a priezviskom alebo ak je jeho adresa miesta podnikania totožná s adresou bydliska. Naopak, za osobný údaj sa nepokladá IČO, DIČ alebo napr. číslo zápisu do fyzickej osoby – podnikateľa do príslušného registra.

V určitých prípadoch možno za dotknutú osobu považovať aj fyzickú osobu – podnikateľa. K tomu pripravil metodiku aj Úrad na ochranu osobných údajov.

Prevádzkovatelia

Druhou kategóriou subjektov, ktorým GDPR prináša okrem práv aj povinnosti, sú samotní „spracovatelia“ osobných údajov[2].

Spracovateľmi osobných údajov teda môžu byť spoločnosti, živnostníci, neziskové organizácie, …

Prevádzkovateľom spracúvania osobných údajov je podľa čl. 4 ods. 7 GDPR: „Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov…“.

Subjekty, ktoré spracúvajú osobné údaje fyzických osôb vo svojom označuje GDPR pojmom „prevádzkovateľ“. GDPR teda stanovuje povinnosti všetkým firmám, podnikateľom a organizáciám, ktoré spracúvajú osobné údaje dotknutých osôb.

Príklad:

K tejto skupine subjektov patria aj tzv. sprostredkovatelia, ktorými sú podľa čl. 4 ods. 8 GDPR: „fyzické alebo právnické osoby, orgány verejnej moci, agentúry alebo iné subjekty, ktoré spracúvajú osobné údaje v mene prevádzkovateľa.

Príklad: mzdová účtovníčka, ktorá vo vašom mene spracúva osobné údaje vašich zamestnancov.

Každému prevádzkovateľovi, a aj keď  v menšom rozsahu, tak aj každému sprostredkovateľovi, určuje GDPR celý rad povinností, ktoré musí počas celej doby spracúvania dodržiavať. Viac o týchto povinnostiach nájdete v našich ďalších článkoch.

Rozšírená ochrana

GDPR pomocou svojej vecnej pôsobnosti zavádza pomerene široký okruh fyzických osôb, ktorým ako dotknutým osobám poskytuje ochranu pri spracúvaní ich osobných údajov.

GDPR sa vzťahuje na:

  • spracúvanie osobných údajov v rámci činnosti prevádzkovateľa alebo sprostredkovateľa v EÚ, a to bez ohľadu na to, či sa spracúvanie vykonáva v EÚ alebo nie, ako aj na
  • spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v EÚ, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v EÚ, ak spracovateľská operácia súvisí s:

s ponukou tovaru alebo služieb dotknutým osobám v Únií bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo so sledovaním správania dotknutých osôb, pokiaľ ide o ich správanie na území Únie.“

Uvedené znamená, že GDPR sa vzťahuje aj na prevádzkovateľa, ktorý je napr. spoločnosťou z USA, a predáva svoje produkty na území EÚ prostredníctvom e-shopov alebo poskytuje tu služby (napr. Google, Facebook…)

Aké závery z tohto článku prijať? 

Môžeme konštatovať, že GDPR sa dotýka takmer každého podnikateľského subjektu, a veľkého množstva ostatných organizácií.

Napriek tomu sa v praxi stále sa stretávame s otázkou, či sa aj na našu firmu vzťahuje GDPR. Odpoveď je jednoduchá – ak spracúvate osobné údaje dotknutých osôb (fyzických osôb), prostredníctvom ktorých viete identifikovať konkrétnu osobu, tak GDPR je potrebné riešiť.

 

Neviete, čo je GDPR? Potrebujete vypracovať dokumentáciu alebo preveriť, či máte dokumentáciu prijatú správne? Pozrite si naše videoškolenie:

 

[1] Celý názov: Nariadenie Európskeho parlamentu a rady (EÚ) 2016/679 o ochrane osobných údajov (Všeobecné nariadenie o ochrane údajov)

[2] V zmysle GDPR sú rozdelení na prevádzkovateľov, sprostredkovateľov, tretie strany a príjemcov.

 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.