Po dlhodobom úsilí, mnohých diskusiách a rokoch prípravy, bolo nakoniec prijaté Nariadenie o všeobecnej ochrane osobných údajov 2016/679 (GDPR), ktoré vytvára nový rámec ochrany osobných údajov v EÚ.
I keď GDPR nadobudlo účinnosť 24. mája 2016, uplatňovať sa začne od 25. mája 2018, medzitým sa majú podniky a spoločnosti pripraviť na dodržiavanie jeho ustanovení, pretože doteraz platná smernica sa zruší s účinnosťou od 25. mája 2018.
GDPR sa zameriava na posilnenie práv jednotlivcov, posilnenie vnútorného trhu EÚ, zabezpečenie silnejšieho presadzovania pravidiel, zefektívnenie medzinárodných prenosov osobných údajov a stanovenie všeobecných pravidiel na ochranu osobných údajov. Tieto ciele by mali byť dosiahnuté nasledujúcimi hlavnými zmenami v legislatíve EÚ týkajúcej sa ochrany osobných údajov, ktoré sú prijaté prostredníctvom GDPR:
Vzhľadom na to, že nová právna úprava EÚ o ochrane osobných údajov bola prijatá vo forme nariadenia, a nie ako smernica, je priamo vykonateľná vo všetkých členských štátoch bez potreby úpravy vnútroštátnych právnych predpisov. Preto právne predpisy o ochrane osobných údajov budú identické v celej EÚ.
Okrem toho sa GDPR vzťahuje aj na prevádzkovateľov a sprostredkovateľov osobných údajov, ktorí majú sídlo mimo EÚ, ktorých spracovateľské činnosti súvisia s ponukou tovarov a služieb, aj bezodplatnou, alebo monitorujú správanie dotknutých osôb v rámci EÚ. Za podmienok stanovených v GDPR, prevádzkovatelia osobných údajov a sprostredkovatelia osobných údajov so sídlom mimo EÚ vymenujú zástupcu v EÚ.
GDPR zavádza koncept nazývaný "One-Stop-Shop", čo znamená, že podniky budú zodpovedať jednému dozornému orgánu v štáte, v ktorom majú svoje hlavné sídlo a nie dozorným orgánom iných štátov, v ktorých majú zriadené pobočky. GDPR upravuje režim spolupráce medzi vedúcim dozorným orgánom a dotknutými dozornými orgánmi v prípadoch, kedy sa vec spája len s podnikom v inom členskom štáte, ako je sídlo dozorného orgánu, alebo sa podstatne dotýka dotknutých osôb v inom členskom štáte, než je sídlo dozorného orgánu. Dotknuté osoby sú oprávnené adresovať sťažnosť akémukoľvek orgánu dozoru v ich jazyku.
V prípadoch ustanovených v GDPR, prevádzkovatelia rovnako ako sprostredkovatelia majú povinnosť určiť zodpovednú osobu. Takéto prípady zahŕňajú: i) spracovanie údajov orgánom verejnej moci, ii) prípady, kedy hlavnou činnosťou prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, iii) prípady, kedy hlavnou činnosťou prevádzkovateľa a sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu. Inými slovami, malé a stredné podniky zväčša sú oslobodené od povinnosti určiť zodpovednú osobu, v prípade ak spracovanie osobných údajov netvorí ich hlavnú činnosť. Zodpovedná osoba môže byť zamestnancom alebo môže spolupracovať na základe zmluvy o spolupráci. Skupina podnikov môže určiť jednu zodpovednú osobu pod podmienkou, že táto zodpovedná osoba bude spôsobila plniť úlohy zodpovednej osoby pre každý podnik. Kontaktné údaje zodpovednej osoby sa zverejnia a je potrebné ich oznámiť orgánu dozoru. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby zodpovedná osoba nedostávala žiadne pokyny týkajúce sa plnenia jej úloh a aby bola zaviazaná povinnosťou mlčanlivosti.
GDPR zavádza pre prevádzkovateľov viaceré povinnosti na preukázanie súladu s novými pravidlami EÚ o ochrane osobných údajov. Tieto povinnosti, okrem iného, zahŕňajú: i) uchovávanie potrebnej dokumentácie, ii) implementáciu ochrany osobných údajov “by default“ a „by design“, iii) posúdenie vplyvu na ochranu osobných údajov pre rizikové spracúvanie. Prevádzkovatelia budú znášať dôkazné bremeno zosúladenia sa s novými pravidlami EÚ o ochrane osobných údajov. Nebudú už musieť poskytovať dozorným orgánom všeobecné oznámenia o spracovaní osobných údajov. Avšak, budú povinní vykonávať posudzovanie vplyvu na ochranu osobných údajov v prípadoch, kedy existuje pravdepodobnosť vysokého rizika pri spracúvaní osobných údajov a následne budú povinní uskutočniť predchádzajúcu konzultáciu s orgánom dozoru, v prípade ak výsledky posúdenia vplyvu indikujú vysoké riziko a nebudú prijaté opatrenia. Nejasnosť týchto nových ustanovení (posúdenie toho, čo sa považuje za vysoko rizikové) a možnosť uloženia vysokých pokút sa môže premietnuť v praxi ako nepriaznivá pre prevádzkovateľov.
Súhlas dotknutej osoby so spracovaním jej osobných údajov má byť slobodný, výslovný, zrozumiteľný a jasný a prevádzkovateľ musí byť schopný preukázať, že súhlas so spracovaním osobných údajov bol daný. Okrem toho, môže dotknutá osoba kedykoľvek vziať späť udelený súhlas, pričom o tejto možnosti musí byť vopred informovaná prevádzkovateľom. GDPR zavádza súhlas zákonného zástupcu v prípade spracovania osobných údajov dieťaťa zo strany služieb informačnej spoločnosti.
GDPR upravuje „právo byť zabudnutý“, čo znamená, že v prípade ak dotknutá osoba nechce, aby sa naďalej spracúvali jej osobné údaje a za predpokladu, že neexistujú oprávnené dôvody na ich uchovanie a účel, pre ktorý boli spracúvané sa skončil, musia byť vymazané bez zbytočného odkladu. Okrem toho, majú dotknuté osoby možnosť žiadať informácie o tom, akým spôsobom konkrétny prevádzkovateľ spracúva ich osobné údaje. Prevádzkovatelia takéto informácie poskytnú v stanovenej lehote a bezplatne, pokiaľ žiadosť nie je zjavne neodôvodnená alebo nadmerná. Zároveň majú dotknuté osoby právo na opravu nesprávnych údajov.
Novozavedené právo na prenos osobných údajov umožňuje jednotlivcom prenos ich osobných údajov od jedného prevádzkovateľa k druhému a prevádzkovateľ takejto služby nemá právo uchovávať tieto údaje. Prenosnosť údajov sa vykonáva automatizovanými prostriedkami. Inými slovami, dotknuté osoby majú možnosť zmeniť poskytovanie služby súvisiacej so spracovaním osobných údajov od jedného prevádzkovateľa k inému bez nutnosti ich opakovaného zaznamenávania.
Cieľom GDPR je posilnenie presadzovania ochrany osobných údajov zavedením prísnych sankcií. V niektorých prípadoch budú dozorné orgány oprávnené za porušenie povinností uložiť pokutu až do výšky 4% z ich celosvetového ročného obratu.
Podľa GDPR sú prevádzkovatelia povinní oznámiť porušenie povinností orgánu dohľadu. Oznámenie musí byť vykonané bez zbytočného odkladu a podľa možností do 72 hodín od okamihu, kedy sa o porušení povinnosti dozvedeli. V niektorých prípadoch musia o porušení tiež informovať dotknuté osoby.
Profilovanie pozostávajúce z akejkoľvek formy automatizovaného spracúvania osobných údajov, ktoré zahŕňa použitie takýchto údajov na posúdenie osobných aspektov týkajúcich sa fyzickej osoby, najmä na analýzu a predpovedanie aspektov dotknutej osoby súvisiacich s výkonom práce, majetkovými pomermi, zdravím, osobnými preferenciami, polohou alebo pohybom bude podľa GDPR prísnejšie regulované. Dotknutá osoba má právo nepodliehať rozhodnutiu, ktoré je založené výlučne na automatizovanom spracúvaní údajov vrátane profilovania. Prevádzkovateľ poskytne dotknutej osobe informácie o existencii automatizovaného rozhodnutia, vrátane profilovania, a zmysluplné informácie o použitom postupe ako aj o predpokladaných dôsledkoch takéhoto spracovania pre dotknutú osobu.
Sprostredkovatelia budú mať po prvýkrát priame povinnosti podľa GDPR, medzi ktoré patrí napríklad vedenie záznamov o spracovateľských činnostiach vykonávaných v mene prevádzkovateľa alebo určenie zodpovednej osoby.
Medzinárodný prenos osobných údajov v rámci skupiny podnikov môže byť legitimovaný záväznými podnikovými pravidlami prevádzkovateľov alebo sprostredkovateľov, ktoré uplatňujú všetci členovia skupiny podnikov zapojených do spoločnej hospodárskej činnosti.
Úprava medzinárodného prenosu osobných údajov v rámci GDPR, zostáva v podstate rovnaká. Prenos do tretích krajín, území alebo medzinárodných organizácií, ktoré podľa rozhodnutia Európskej komisie poskytujú primeranú úroveň ochrany osobných údajov, nebudú vyžadovať žiadne osobitné povolenie. V prípade, ak také rozhodnutie Európskej komisie neexistuje, vykoná sa prenos len pod podmienkou, že prevádzkovateľ alebo sprostredkovateľ poskytnú dostatočné záruky a za podmienky, že priznávajú dotknutým subjektom možnosť využiť opravné prostriedky. Dostatočne záruky môžu alebo nemusia podliehať povoleniu od príslušného dozorného orgánu v závislosti od povahy záruk. V rámci GDPR sa stanovujú aj výnimky pre určité špecifické situácie.
Vo všeobecnosti predstavuje GDPR základnú a dôležitú zmenu pre EÚ v rámci ochrany osobných údajov a všetci prevádzkovatelia a sprostredkovatelia by sa mali bezodkladne a zodpovedne pripraviť na jeho aplikáciu.
Pre viac informácií
CHSH
Šiška & Partners s.r.o.
Karol Šiška, advokát