Nariadenie o ochrane osobných údajov (GDPR)

Nariadenie je legislatívny akt Európskej únie, ktorý má všeobecnú účinnosť, ktorý je záväzný a priamo uplatniteľný vo všetkých členských štátoch Európskej únie.

Nariadenie nadobudlo platnosť dňa 24. 5. 2016 a účinnosť nadobudne dňa 25. 5. 2018. GDPR zavádza nové bezpečnostné požiadavky a povinnosti, s ktorými sa musia prevádzkovatelia, ktorí spracúvajú osobné údaje, zosúladiť najneskôr 25. 5. 2018.

Nariadenie vo viacerých ustanoveniach uvádza, že podrobnosti sa upravia vnútroštátnym predpisom. Z toho dôvodu Úrad na ochranu osobných údajov SR (ďalej len „Úrad“) pripravuje nový zákon o ochrane osobných údajov.

Od 25. 5. 2018 bude rámec ochrany osobných údajov upravený v nasledovných právnych predpisoch:

1. Dohovor Rady Európy 108 o och­rane jednotlivcov pri automatizovanom spracovaní osob­ných údajov z 28. 1. 1981 s dodatkami.
   S Dodatkovým protokolom z 23. mája 2001 a odporúčaniami Rady Európy.
2. Nariadenie GDPR.
3. Nový zákon o ochrane osobných údajov.

Nariadenie sa v zásade dotkne každého subjektu, ktorý osobné údaje spracúva a nie je vyňatý z pod pôsobnosti GDPR. Týka sa malých firiem, ale aj veľkých, ktoré prichádzajú do styku s osobnými údajmi rôznych kategórií.

Tento článok poukazuje na zmeny, ktoré nová právna úprava obsiahnutá v nariadení GDPR prinesie od 25. 5. 2018. Na tento článok budú nadväzovať ďalšie príspevky, ktoré budú jednotlivé zmeny rozoberať podrobnejšie s cieľom konkrétnejšie ozrejmiť podnikateľskému prostrediu nové povinnosti.

Zmeny v definíciách, pojmoch

Nariadenie prináša nielen zmeny v súčasných pojmoch (napr. osobné údaje), ale zavádza aj nové pojmy, napríklad: profilovanie, pseudonymizácia, porušenie ochrany osobných údajov, genetické údaje, údaje týkajúce sa zdravia, hlavná prevádzkareň, zástupca, podnik, skupina podnikov, služba informačnej spoločnosti.

Osobné údaje

V zmysle nariadenia sa za osobné údaje považujú „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.“

Oproti súčasnej definícii pojmu osobné údaje obsiahnutej v zákone č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o ochrane osobných údajov“) vychádza definícia uvedená v nariadení aj z lokalizačných údajov a online identifikátora (napr. IP adresa, cookies), pomocou ktorých možno osobu identifikovať.

Nariadenie (podobne ako zákon o ochrane osobných údajov) nevymenúva pri definícii pojmu osobné údaje, čo všetko sa za osobné údaje považuje.

Profilovanie

Nariadenie (čl. 4 ods. 4) uvádza, že profilovaním je „akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom“.

Pojem profilovanie je novým pojmom. GDPR obsahuje opatrenia na obmedzenie automatizovaného individuálneho rozhodovania vrátane profilovania. Napr., ak sa získavajú osobné údaje od dotknutej osoby, je prevádzkovateľ povinný (oproti § 15 ods. 1 zákona o ochrane osobných údajov) navyše poskytnúť informáciu o existencii automatizovaného rozhodovania vrátane profilovania. Dotknutá osoba má právo namietať auto