FAQ

 

Skratka GDPR z anglického prekladu General Data Protection Regulation znamená Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). Nariadenie je aplikovateľné vo všetkých členských štátoch na území Európskej únie alebo Európskeho hospodárskeho priestoru.

Jeho cieľom je upresniť  povinnosti prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov, upresniť práva dotknutých osôb a zabezpečiť ochranu osobných údajov v rámci celej Únie.

Nariadenie vstúpilo do platnosti dňa 25. mája 2018. Spolu s nariadením vstúpil do platnosti aj zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý tvorí komplexný legislatívny rámec pre ochranu osobných údajov v Slovenskej republike.

Nariadenie GDPR sa týka každého, kto spracúva osobné údaje. V praxi sa častokrát stretávame s názorom: „Moja firma je malá, GDPR sa jej netýka.“ Nezáleží na veľkosti spoločnosti, či počte zamestnancov. GDPR sa týka každého prevádzkovateľa, ktorý spracúva osobné údaje zamestnancov, zákazníkov, obchodných partnerov, dokonca aj odoberateľov newsletterov.

Nariadenie GDPR sa nevzťahuje na spracúvanie osobných údajov v rámci osobnej alebo domácej činnosti. Ide o údaje, ktoré fyzická osoba spracúva pre vlastnú potrebu, napríklad vedenie osobného adresára, monitorovanie domácnosti prostredníctvom kamerového systému, alebo vedenie osobnej korešpondencie.

Za osobný údaj sa dá považovať akýkoľvek druh informácie o osobe, ktorý sa týka jej súkromného, pracovného alebo verejného života.

Podľa Nariadenia GDPR sa za osobné údaje považujú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkaz na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Za osobný údaj sa považuje aj fotografia alebo videozáznam, ak je prostredníctvom nich  možné jednotlivca identifikovať. Čo sa týka formy osobných údajov, tie sa môžu nachádzať vo forme papierovej, elektronickej, číselnej, grafickej a pod.

Medzi osobitnú kategóriu osobných údajov (citlivé osobné údaje) sa zaraďujú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Spracovanie osobitnej kategórie osobných údajov sa zakazuje, pokiaľ nie je možné uplatniť aspoň jednu z výnimiek podľa §16 ods. 2 zákona č. 18/2018 Z. z. o ochrane osobných údajov.

Spracovanie citlivých osobných údajov by mohlo mať za následok ohrozenia práv dotknutých osôb, preto si spracovanie takýchto údajov vyžaduje vyššiu ochranu a bezpečnosť.

Spracúvanie osobných údajov je akýkoľvek súbor operácií a činností s osobnými údajmi. Medzi najčastejšie operácie patria získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.

Prevádzkovateľom môže byť orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo akákoľvek iná právnická alebo fyzická osoba, ktorá sama alebo spoločne s inými vymedzí účel a podmienky spracúvania osobných údajov a spracúva osobné údaje fyzických osôb vo vlastnom mene

Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

Dotknutou osobou je každá fyzická osoba, ktorej sa osobné údaje týkajú. Dotknutou osobou môže byť len fyzická osoba – jednotlivec, nie právnická osoba.

V postavení dotknutej osoby môže byť zamestnanec voči zamestnávateľovi, ktorý o ňom spracúva osobné údaje v príslušných agendách. Dotknutou osobou môže byť aj zákazník, ktorého osobné údaje sa spracúvajú, napríklad za účelom predaja. Za dotknutú osobu sa považuje aj jednotlivec, ktorý súhlasil so spracúvaním svojich osobných údajov na účely marketingu v rozsahu mena, priezviska a mailovej adresy.

Výška pokuty môže dosiahnuť až 20 miliónov eur alebo 4 % ročného obratu danej firmy v závislosti od toho, ktorá suma bude vyššia.