GENERAL DATA PROTECTION REGULATION
René Magerčiak
Abstract
Today, personal data protection is one of the most discussed areas of law. The main focus is the GDPR regulation. In the article we present the basic concepts and area of this issue. We will also show some of the main regulations of the GDPR, but we also talk how can be their violation sanctioned.
Key words: GDPR, personal data, processing
Abstrakt
V dnešnej dobe je ochrana osobných údajov jedna z najviac diskutovaných právnych oblastí. Dôvodom pozornosti je hlavne nariadenie GDPR. V článku si predstavíme základné pojmy a oblasti tejto problematiky. Rovnako si ukážeme niektoré z hlavných nariadení GDPR ale tiež ako môže byť ich porušenie sankcionované.
Kľúčové slová: GDPR, osobné údaje, spracúvanie
Úvod
GDPR je najprísnejší zákon o ochrane súkromia a bezpečnosti na svete. Je to v podstate súbor pravidiel, ktorých cieľom je dať občanom EÚ väčšiu kontrolu nad svojimi osobnými údajmi. V dnešnej dobe, čoraz viac ľudí zveruje svoje osobné údaje a ich zneužívanie je každodenným javom.[20] Cieľom GDPR je eliminovať únik a zneužívanie osobných údajov a to aj hrozbou vysokých pokút.
Osobný údaj
Osobným údajom sú akékoľvek informácie, ktoré sa týkajú fyzickej osoby, ktorú je možno priamo alebo nepriamo identifikovať[14]. Sú to napríklad meno, identifikačné číslo, etnický pôvod alebo pohlavie. Osobným údajom sú však aj lokalizačné údaje, emailové adresy a dokonca aj webové súbory cookies.[1]
Na koho sa GDPR vzťahuje?
GDPR sa vzťahujú na všetky organizácie pôsobiace v EÚ ale aj všetky organizácie mimo EÚ, ktoré ponúkajú tovary a služby zákazníkom alebo iným podnikom v EÚ[11]. V konečnom dôsledku, sa GDPR dotýka každého, kto spracúva osobné údaje fyzických osôb EÚ. Najčastejšie ide o zamestnávateľov, dodávateľov, subjektov poskytujúcich služby alebo prevádzkovateľov webov a e-shopov.[5]
Spracúvanie osobných údajov
Na to aby boli osobné údaje pre spoločnosť užitočné, je potrebné ich spracovanie. Je to metóda zhromažďovania údajov a ich následné uvedenie do použiteľných informácii. Údaje sa zhromažďujú, zaznamenávajú, filtrujú, triedia, analyzujú, ukladajú a podobne. Pre úplné pochopenie a používanie osobných údajov, je potrebné ich konvertovanie do čitateľného formátu. Najčastejšie sa využívajú grafy či tabuľky.[3]
Čo GDPR znamená pre občanov?
Z dôvodu veľkého množstva zneužitia osobných údajov a hackerských útokov bolo množstvo dôverných údajov odhalených na internete[8]. Veľkou zmenou, ktorú GDPR prináša, je poskytnutie práva spotrebiteľom vedieť kedy došlo k napadnutiu ich údajov. Organizácie musia jasne a zrozumiteľne uvádzať, ako informácie od zákazníkov využívajú. GDPR tiež prináša možnosť zabudnutia údajov pre ľudí, ktorí už nechcú, aby boli ich osobné údaje spracúvané, v prípade, že neexistujú dôvody na uchovanie týchto údajov. Týmto právam spotrebiteľov sa musia organizácie prispôsobiť.[4]
Kľúčové požiadavky nariadenia GDPR
- Zákonné, spravodlivé a transparentné spracovanie. Zákonné v tomto prípade znamená, že všetko spracovanie musí byť založené na legitímnom účele. Spravodlivé zas, že spoločnosti preberajú zodpovednosť a neporušujú požiadavku zákonnosti. Transparentné hovorí, že spoločnosť musí osoby informovať o všetkých činnostiach spracovania ich údajov.
- Obmedzenie účelu[17]. Očakáva sa, že spoločnosti zhromažďujú iba tie údaje, ktoré sú pre nich nevyhnutné. Rovnako že dané údaje neuchovávajú po dokončení účelu spracovania. Je preto potrebné dodržať 3 požiadavky, ktorými sú: zakázanie spracúvania osobných údajov mimo legitímneho účelu, nepožadovať údaje, ktoré nie sú nevyhnutné a vymazať údaje po dokončení ich účelu.
- Práva dotknutej osoby Dotknuté osoby majú právo požadovať informácie o údajoch, ktoré spoločnosť má a čo s nimi robí. Tiež majú právo žiadať o opravu údajov, namietať proti spracovaniu alebo požiadať o vymazanie osobných údajov.[12]
- Súhlas. Každá spoločnosť, ktorá má v úmysle spracúvať osobné údaje, musí dotknutú osobu požiadať o výslovný súhlas k tejto činnosti[18]. Tento súhlas môže dotknutá osoba kedykoľvek odvolať. V prípade, že vek dotknutej osoby je menší ako 16 rokov[9], je potrebný výslovný súhlas zákonného zástupcu danej osoby.
- Porušenie ochrany osobných údajov. Organizácie musia viesť register porušenia ochrany osobných údajov a na základe ich závažnosti by mali informovať dotknutú osobu ako aj regulačný orgán do 72 hodín od zistenia porušenia ochrany osobných údajov[7].
- Prenosy údajov. Prevádzkovateľ osobných údajov je za zabezpečenie ochrany osobných údajov a dodržiavania požiadaviek GDPR zodpovedný aj v prípade, že spracúvanie údajov vykonáva tretia strana. Musí zabezpečiť ochranu údajov keď ich prenáša mimo spoločnosti alebo inému subjektu v rámci spoločnosti.[13]
- Integrita a dôvernosť. Spracovanie sa musí vykonávať spôsobom, ktorý zabezpečí primeranú bezpečnosť, integritu a dôvernosť ( napríklad pomocou šifrovania )[16]
- Úradník pre ochranu údajov. V prípade, že v organizácii dochádza k významnému spracovaniu osobných údajov, mala by organizácia poveriť úradníka pre ochranu údajov. Tento úradník bude mať zodpovednosť za to, aby spoločnosti radil o dodržiavaní požiadaviek GDPR.[10]
- Povedomie. Je potrebné aby organizácie medzi zamestnancami vytvárali povedomie o požiadavkách GDPR, aby zabezpečili informovanosť zamestnancov o svojich zodpovednostiach v súvislosti s ochranou osobných údajov[19]
Sankcie za porušenie GDPR
Žiadna spoločnosť by nemala zanedbávať povinnosti ustanovené v GDPR. Za ich porušenie, môžu byť spoločnosti uložené až likvidačné pokuty.[15] Kdežto podľa starého zákona bolo možné uložiť pokutu do maximálnej výšky 200 000 eur, po výrazných zmenách z roku 2018 môžu byť pokuty udelené aj v niekoľkých miliónoch eur[6] V prípade porušenia povinností môže úrad uložiť:
- v prípade menej závažného porušenia pokutu až do výšky 10 000 000 eur. V prípade podniku do 2% celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá zo súm je vyššia.
- v prípade závažného porušenia pokutu až do výšky 20 000 000 eur. V prípade podniku do 4% celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá zo súm je vyššia.
- poriadkovú pokutu a to až do výšky 2 000 eur alebo poriadkovú pokutu až do výšky 10 000 eur.[6]
Nový zákon ustanovuje aj premlčacie lehoty, ktoré je potrebné dodržiavať. Pokuty a poriadkové pokuty majú osobitnú lehotu a zodpovedajú závažnosti porušenia povinností. Pokutu je možné uložiť do dvoch rokov, odkedy úrad zistil porušenie a najneskôr do piatich rokov, odkedy došlo k porušeniu povinností. Prvá spomenutá je takzvaná subjektívna lehota, druhá je objektívna lehota a musia byť dodržané súčasne. V prípade poriadkovej pokuty je lehota 6 mesiacov od dňa, kedy došlo k porušeniu. ( takzvaná objektívna lehota )[6].
Záver
Nariadenie GDPR je náročné, rozsiahle a existuje veľké množstvo požiadaviek ktoré z nariadenia GDPR vychádzajú. Je preto potrebné venovať mu dostatočnú pozornosť a úsilie pri implementácii jednotlivých požiadaviek.[2] Pokiaľ sa spoločnosť chce vyhnúť problémom spojeným s porušením GDPR, mala by dostatočne vzdelávať aj svojich zamestnancov. Je potrebné aby vedeli ako dodržiavať nariadenia prípadne ako postupovať pri neúmyselnom úniku osobných údajov.
Použitá literatúra
- [1] BÁNOŠ, J. Čo sú osobné údaje? Čo je osobný údaj? Čo patrí medzi osobné údaje. In [online]. 2019. [cit. 2020-12-01]. Dostupné na internete: <https://www.banos.sk/sluzby/ochrana-osobnych-udajov/co-patri-medzi-osobne-udaje>.
- [2] BHATIA, P. GDPR summary: Overview of 10 key requirements. In [online]. 2019. [cit. 2020-12-01]. Dostupné na internete: <https://advisera.com/eugdpracademy/knowledgebase/a-summary-of-10-key-gdpr-requirements/>.
- [3] DUGGAL, N. What Is Data Processing: Types, Methods, Steps of Data Processing Cycle. In Simplilearn.com [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.simplilearn.com/what-is-data-processing-article>.
- [4] PALMER, D. What is GDPR? Everything you need to know about the new general data protection regulations. In ZDNet [online]. [cit. 2020-12-01]. Dostupné na internete: <https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/>.
- [5] POHORELÁ, P. GDPR v skratke. In Podnikajte.sk [online]. 2019. [cit. 2020-12-01]. Dostupné na internete: <https://www.podnikajte.sk/zakonne-povinnosti-podnikatela/gdpr-v-skratke>.
- [6] POHORELÁ, P. Ukladanie pokút podľa GDPR. In Podnikajte.sk [online]. 2018. [cit. 2020-12-01]. Dostupné na internete: <https://www.podnikajte.sk/zakonne-povinnosti-podnikatela/pokuty-podla-gdpr>.
- [7] VESELÝ, P. 72 hodín. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [8] VESELÝ, P. Definice kybernetické bezpečnosti, kybernetických útoků a kybernetické kriminality. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 160–175. ISBN 978-80-7380-758-0.
- [9] VESELÝ, P. Osobné údaje detí. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [10] VESELÝ, P. Povinnosť určenia zodpovednej osoby. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [11] VESELÝ, P. Pôsobnosť nového zákona podľa GDPR. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
- [12] VESELÝ, P. Právo dotknutej osoby informovanosť o všetkých osobných údajoch. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [13] VESELÝ, P. Právo dotknutej osoby na prenosnosť údajov. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [14] VESELÝ, P. Revízia osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
- [15] VESELÝ, P. Sankcie za porušenie GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [16] VESELÝ, P. Šifrovanie dát a osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [17] VESELÝ, P. Účely spracúvania osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
- [18] VESELÝ, P. Získanie súhlasu dotknutej osoby. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
- [19] VESELÝ, P. Zvyšovanie povedomia zamestnancov v oblasti ochrany osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [20] WOLFORD, B. What is GDPR, the EU’s new data protection law? In GDPR.eu [online]. 2018. [cit. 2020-12-01]. Dostupné na internete: <https://gdpr.eu/what-is-gdpr/>.
Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2
Indexed : GOOGLE SCHOLAR