GDPR

13. február 2018

GDPR

Čo to GDPR je? GDPR („General Data Protection Regulation”) je nariadenie Európskeho parlamentu a rady (EÚ) 2016/679, platné a účinné od 25.05.2018. Cieľom tohto nariadenia je zosúladiť pravidlá týkajúce sa ochrany základných práv a slobôd fyzických a právnických osôb pri poskytovaní a využívaní elek. komunikačných služieb a zabezpečuje sa voľný pohyb údajov z elektronických komunikácií.

V tomto článku prinesieme hlavné zmeny, ktoré zakotvuje GDPR.

Medzi hlavné zmeny patrí súhlas dotknutej osoby resp. súhlas so spracovaním dát. Tento súhlas musí byť jasný a preukázateľný.

Posielate napr. ponuky, newslettre, zľavy za účelom realizácie marketingových aktivít? Tu je dôležité podotknúť, že potrebujete súhlas dotknutej osoby.

POZOR však nato, že tento súhlas by nemal byť dopredu daný t.j. webové rozhranie, kde vkladá súhlas dotknutá osoba (check box) by mal byť prázdny. Zákazník musí byť aktívny a dať tam OPT – IN (klik). Vynucovanie súhlasu dotknutej osoby pri marketingu je neprípustné.

Právny základ spracúvania OÚ podľa nariadenia čl. 7 a čl. 8. Novinkou je veková hranica dieťaťa v súvislosti so službami informačnej spoločnosti (čl. 8 GDPR) a to „Ak sa uplatňuje článok 6 ods. 1 písm. a), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie OÚ dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností.“

Zákon č. 22/2004 Z. z. o elektronickom obchode a o zmene a doplnení zákona č. 128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení zákona č. 284/2002 Z. z.

Jednou z nových práv dotknutých osôb je aj právo zabudnutia, t.j. výmaz.

Právo na výmaz (právo na „zabudnutie“ čl. 17 GDPR) – § 23 návrh zákona. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal OÚ, ktoré sa jej týkajú. Prevádzkovateľ je povinný bez zbytočného odkladu vymazať tieto OÚ, ak je splnený niektorý z týchto dôvodov uvedených v zákone.

Ak prevádzkovateľ zverejnil OÚ a je povinný ich vymazať, je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení so zreteľom na dostupnú technológiu a náklady na ich vykonanie, za účelom informovania ostatných prevádzkovateľov, ktorí spracúvajú OÚ dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej OÚ a ich kópie alebo odpisy.

Nezabúdajme na COOKIES!

Právny rámec:

  • Smernica č. 2002/58 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií,
  • Zákon č. 351/2011 Z. z. o elektronických komunikáciách.

- zjednodušujú prácu podnikateľom za účelom marketingových aktivít, sú to identifikátory zariadení, mikrodáta ukladané internetovou stránkou alebo aplikáciou, keď užívateľ vstupuje na stránku z webového rozhrania alebo mobilného zariadenia - rozoznávajú sa aktivity užívateľa,
- https://www.google.com/policies/technologies/cookies/?hl=sk.

Povinnosťou prevádzkovateľa:

  • zrozumiteľne informovať užívateľa o účele používania cookies,
  • je potrebný SÚHLAS.

Informácie o cookies musia obsahovať:

Podľa platnej právnej úpravy na priamy marketing sa nevyžadoval súhlas dotknutej osoby, nová právna úprava, však mení túto skutočnosť a bude potrebný súhlas dotknutej osoby, teda spoločnosti, ktoré využívajú svoje databázy na tento účel si musia zabezpečiť súhlas.

GDPR vymedzuje aj nové prvky ako napr. profilovanie alebo pseudonymizácia.

Pseudonymizácia znamená zmenu identifikátorov (rodného čísla, mena a priezviska, dátumu narodenia, trvalého bydliska a pod.) na nové označenie, prednostne formou zakódovania tak, aby príjemca nemohol určiť konkrétnu fyzickú osobu.

Profilovanie - „sledovanie správania“ dotknutej osoby je zakázané, profilovanie sa nesmie využívať resp. následné zistené informácie o fyzickej osobe sledovanej na internete, za účelom rozhodnutia týkajúceho sa správania a postojov fyzickej osoby.

Pri sprostredkovateľských zmluvách je potrebné prepracovanie aby spĺňali podmienky uvedené v GDPR v čl. 28 ods. 3. A to najmä:

Kladie sa dôraz nato, že prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky. Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. Po ukončení poskytovania služieb týkajúcich sa spracúvania OÚ, sprostredkovateľ vymaže alebo vráti sprostredkovateľovi tieto údaje. Prevádzkovateľ má právo na preukázanie splnenia tejto povinnosti napr. sprostredkovateľ umožní audity, ako aj kontroly vykonávané prevádzkovateľom. Zmluva má byť uchovávaná v písomnej aj v elektronickej podobe.

V súčasnej platnej legislatíve má prevádzkovateľ povinnosť viesť o každom informačnom systéme evidenciu informačných systémov (§ 43 a 44) alebo oznamovaciu povinnosť (§ 34 – 36) alebo osobitnú registráciu (§ 37 – 41). Podľa GDPR sa ruší a nahrádza novým pojmom záznam o spracovateľských činnostiach. Tieto záznamy je povinný viesť prevádzkovateľ v písomnej a listinnej podobe. Novinkou je, že sa dopĺňa informácia o zodpovednej osobe, dopĺňajú sa podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov.

Tieto záznamy vypracováva prevádzkovateľ podľa čl. 30 ods. 1 a sprostredkovateľ podľa čl. 30 ods. 2.

Záznamy o spracovateľských činnostiach sa nevzťahujú na podnik alebo organizáciu, ktorá zamestnáva menej ako 250 ľudí, POKIAĽ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, GDPR 3 povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitnú kategóriu údajov (napr. personalistika) podľa čl. 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky.

V súčasnej platnej legislatíve prevádzkovateľ vypracuje ku každému informačnému systému bezpečnostný projekt alebo bezpečnostné opatrenia v zmysle § 19 ods. 1, podľa GDPR sa zmení na posúdenie vplyvu na ochranu osobných údajov. Každý si vypracuje podľa čl. 35 ods. 1 ak to povedie k vysokému riziku. Výnimky kto nemusí vypracovávať posúdenie vplyvov sú uvedené v bode 91 recitálu.

Zmení sa aj inštitút zodpovednej osoby. Zodpovednou osobou podľa platnej legislatívy je ten, kto zloží skúšku na Úrade na ochranu osobných údajov. Prevádzkovateľ sa rozhodne či chce mať zodpovednú osobu. Podľa GDPR môže byť zodpovednou osobou ten, kto má znalosti práva a postupov v oblasti ochrany osobných údajov a je spôsobilý plniť úlohy v zmysle zákona.

Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy. Skupina viacerých podnikov si môže určiť jednu zodpovednú osobu.

Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.

Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak:

  1. spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
  2. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu (táto činnosť sa bude týkať pravdepodobne aj zasielania newslettrov), alebo
  3. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa § 16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.

Úlohy zodpovednej osoby:

  • poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom,
  • monitoruje súlad so zákonmi a inými právnymi predpismi,
  • poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania,
  • spolupracuje s úradom pri plnení svojich úloh,
  • plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov.

AUTOR: JUDr. Katarína Kročková, KROČKA & Partners, s.r.o.

« Späť na články
1390