Kapitoly 01 Účinné od: 25. mája 2018

GDPR

Všeobecné nariadenie o ochrane údajov

Prehľad

Všeobecné nariadenie o ochrane údajov (GDPR) je základným kameňom práva EÚ na ochranu údajov. Nahradilo smernicu o ochrane údajov 95/46/ES a výrazne posilnilo práva jednotlivcov nad ich osobnými údajmi, pričom uložilo komplexné povinnosti správcov a sprostredkovateľov údajov.[1]

GDPR sa vzťahuje na akúkoľvek organizáciu spracúvajúcu osobné údaje jednotlivcov v EÚ, bez ohľadu na to, kde je organizácia založená. Tento extraterritoriálny rozsah urobil z GDPR de facto globálny štandard ochrany údajov.[2]

Kto musí dodržiavať

  • Správcovia údajov: Organizácie, ktoré určujú účely a prostriedky spracúvania osobných údajov
  • Sprostredkovatelia údajov: Organizácie, ktoré spracúvajú osobné údaje v mene správcov
  • Subjekty mimo EÚ: Akákoľvek organizácia ponúkajúca tovary/služby obyvateľom EÚ alebo monitorujúca ich správanie
  • Všetky sektory: Platí naprieč odvetviami s obmedzenými výnimkami pre orgány činné v trestnom konaní a národnú bezpečnosť

Kľúčové požiadavky pre vývojárov

Právny základ spracúvania

Každá operácia spracúvania musí mať platný právny základ podľa článku 6:[3]

  1. Súhlas: Dobrovoľne udelený, špecifický, informovaný a jednoznačný
  2. Zmluva: Nevyhnutný pre plnenie zmluvy s dotknutou osobou
  3. Právna povinnosť: Vyžadovaná právom EÚ alebo členského štátu
  4. Životne dôležité záujmy: Ochrana života dotknutej osoby alebo inej osoby
  5. Verejný záujem: Nevyhnutné pre úlohu v záujme verejnosti alebo výkon oficiálnej právomoci
  6. Oprávnené záujmy: Vyvážené voči právam dotknutej osoby (nie je dostupné pre verejné orgány)

Technické požiadavky

  • Minimalizácia údajov: Zhromažďovať len to, čo je nevyhnutné pre špecifikovaný účel
  • Obmedzenie uchovávania: Uchovávať osobné údaje len tak dlho, ako je potrebné
  • Integrita a dôvernosť: Zaviesť primerané bezpečnostné opatrenia
  • Ochrana súkromia už pri návrhu a predvolene: Vstavaná ochrana údajov do systémov od začiatku (článok 25)[4]

Práva dotknutých osôb

Aplikácie musia podporovať nasledujúce práva:

PrávoPopisDoba odpovede
Prístup (čl. 15)Poskytnúť kópiu osobných údajov a informácie o spracúvaní1 mesiac
Oprava (čl. 16)Opraviť nepresné osobné údajeBez zbytočného odkladu
Vymazanie (čl. 17)Vymazať údaje, keď už nie sú potrebnéBez zbytočného odkladu
Obmedzenie (čl. 18)Obmedziť spracúvanie v špecifických prípadochBez zbytočného odkladu
Prenosnosť (čl. 20)Poskytnúť údaje v strojovo čitateľnom formáte1 mesiac
Namietanie (čl. 21)Namietať proti spracúvaniu na základe oprávnených záujmovBez zbytočného odkladu

Oznámenie o porušení

  • Dozorovému orgánu: Do 72 hodín od zistenia (článok 33)[5]
  • Dotknutým osobám: Bez zbytočného odkladu pri vysokom riziku pre práva a slobody (článok 34)
  • Dokumentácia: Viesť záznamy o všetkých porušeniach bez ohľadu na povinnosť oznámenia

Pokuty

GDPR ustanovuje stupňovitú štruktúru pokút:

  • Nižšia úroveň: Až do 10 miliónov € alebo 2 % ročného globálneho obratu, podľa toho, čo je vyššie
  • Vyššia úroveň: Až do 20 miliónov € alebo 4 % ročného globálneho obratu, podľa toho, čo je vyššie[6]

Medzi hlavné uložené pokuty patria:

  • Amazon (Luxembursko, 2021): 746 miliónov €
  • Meta/Facebook (Írsko, 2023): 1,2 miliardy €
  • Google (Francúzsko, 2022): 90 miliónov €

Kontrolný zoznam implementácie

  • Identifikovať všetky aktivity spracúvania osobných údajov
  • Zriadiť právny základ pre každú operáciu spracúvania
  • Zaviesť správu súhlasov, kde je to potrebné
  • Vytvoriť oznámenia o ochrane súkromia spĺňajúce požiadavky transparentnosti
  • Vybudovať mechanizmy na spracovanie žiadostí dotknutých osôb
  • Zaviesť primerané bezpečnostné opatrenia
  • Zriadiť postupy na detekciu a oznámenie porušení
  • Vykonať hodnotenia vplyvu na ochranu údajov pri spracúvaní s vysokým rizikom
  • Vymenovať poverenca pre ochranu údajov, ak je to potrebné
  • Viesť záznamy o činnostiach spracúvania (RoPA)

Zdroje a odkazy

[1]
Nariadenie (EÚ) 2016/679 Európskeho parlamentu a Rady. EUR-Lex: Oficiálny text GDPR
[2]
Teritoriálny rozsah GDPR, článok 3. GDPR.eu: Teritoriálny rozsah
[3]
Zákonnosť spracúvania, článok 6. GDPR-Info: Článok 6
[4]
Ochrana údajov už pri návrhu a predvolene, článok 25. GDPR-Info: Článok 25
[5]
Oznámenie o porušení osobných údajov, článok 33. GDPR-Info: Článok 33
[6]
Správne pokuty, článok 83. GDPR-Info: Článok 83