GDPR je všeobecné nariadenie o ochrane osobných údajov, ktoré bolo prijaté v apríli 2016 a jeho účinnosť nastáva 25. 5. 2018.
Cieľom GDPR je v rámci európskeho priestoru chrániť práva občanov EÚ pri zaobchádzaní s ich dátami a osobnými údajmi. GDPR je skratka z anglického originálu General Data Protection Regulation. Účinnosť všeobecného nariadenia o ochrane osobných údajov platí pre všetky krajiny EÚ, Island, Nórsko a Lichtenštajnsko. Jedným zo zámerov GDPR je zaistenie väčšej a jednotnej ochrany osobných údajov v rámci európskeho priestoru.
Koho sa GDPR týka
Zjednodušene sa GDPR týka všetkých subjektov, teda firiem, inštitúcií, online služieb, ale aj jednotlivcov, ktorí spracovávajú dáta o Európanoch.
Nová kontrolná funkcia DPO
Pre väčších spracovávateľov dát je povinné zriadiť nezávislú kontrolnú funkciu DPO (Data Protection Officer). Voľne by sa táto funkcia dala preložiť ako splnomocnenec pre ochranu osobných údajov.
Čo subjekty v rámci GDPR neminie:
- Implementácia zámernej a nevyhnutnej ochrany dát.
- Vypracovanie posúdenia vplyvu na ochranu osobných údajov (DPIA – Data Protection Impact Assessment).
- Vymenovanie splnomocnenca pre ochranu osobných údajov (DPO) – je nutné len za určitých podmienok.
- Zavedenie tzv. pseudonymizácie osobných údajov.
- Vedenie záznamov o činnostiach spracovávania.
- Konzultácie s dozorným orgánom pred samotným spracovaním osobných údajov.
GDPR pokuty a sankcie
Pri porušení, nezavedení alebo nepripravenosti na pravidlá GDPR môžu hroziť subjektom astronomické pokuty.
Maximálna výška pokuty je 20.000.000 EUR alebo 4% z celkového ročného obratu spoločnosti (berie sa vyššia z možností). Výška pokuty závisí od niekoľkých faktorov ako sú dĺžka porušovania, počet poškodených občanov, kategórie osobných údajov a mnoho ďalších.
Dôležitou informáciou je, že maximálnou výškou môžu byť pokutované malé spoločnosti alebo nadnárodné korporácie. Navyše môžu byť subjekty spravujúce osobné údaje vystavené žalobám podaným fyzickými osobami, o ktorých osobné údaje sa jednalo.
Čo nové GDPR prináša:
- Možnosť podať námietku. Správca po námietke (napríklad proti spracovávaniu údajov) nebude môcť ďalej spracovávať údaje bez preukázateľne závažných dôvodov.
- Prístup k údajom (platí pre ľudí), ktoré sú o ľuďoch zhromažďované. Prístup by mal byť online.
- Právo byť zabudnutý. Ide o rozšírené právo vymazania osobných údajov, o ktoré užívateľ môže požiadať zo závažných dôvodov, ako napríklad nezákonné spracovanie osobných údajov, alebo zaniknutie pôvodného účelu spracovania osobných údajov.
- Po novom do osobných údajov patria aj technické parametre, ako je IP adresa, e-maily alebo cookies.
- Oznamovacia povinnosť v prípade úniku alebo ohrozenia zabezpečenia osobných dát. Osoba, ktorá zistí únik alebo ohrozenie dát, je povinná toto oznámiť na príslušný Úrad pre ochranu osobných údajov do 72 hodín od zistenia tejto skutočnosti. Vďaka tomuto sa kauzy o úniku dát nedostanú na povrch po mesiacoch až rokoch, ale takmer okamžite.
Autor: Tomáš Blaha