Zmeny sa skrývajú pod hlavičkou Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679. Nariadenie nahrádza reguláciu z polovice 90-tych rokov, ktorá už modernej dobe kybernetického sveta nestíhala. Európska komisia (EK) upozorňuje aj na to, že pôvodnú normu do svojej legislatívy zapracovala každá členská krajina po svojom, čo podľa EK spôsobovalo ťažkosti a prinášalo „právnu neistotu a administratívne náklady“.

Úspora a náklady

Ochranu osobných údajov od mája budúceho roku nebude upravovať 28 národných noriem, ale jedna európska. EK prínosy tejto zmeny odhaduje na 2,3 miliardy eur ročne. Zároveň bude dodržiavanie pravidiel sledovať jeden európsky orgán a nie národné úrady. Spoločnostiam to má podľa EK priniesť možnosť rýchlejšie rozhodovať a obmedziť byrokraciu.

Je pochopiteľné, že EK ako predkladateľ upozorňuje predovšetkým na pozitíva, nariadenie so sebou prináša aj množstvo náročných povinností.

GDPR, samozrejme, neobíde ani Slovensko. Podľa spoločnosti TÜV SÜD Slovakia sa nové povinnosti budú týkať až približne 530-tisíc slovenských subjektov. Náklady spojené so zmenou systémov a procesov odhaduje TÜV SÜD Slovakia na 40 miliónov eur.

Nariadenie GDPR stanovuje presný rámec oprávneného spracovania osobných údajov. Akékoľvek spracovávanie údajov, ktoré nebude zapadať do tohto rámca, je protiprávne. To je však princíp, ktorý ostáva zachovaný a nemení sa. Z pohľadu spoločností sa však objavujú plusy aj mínusy.

Pozitíva

Harmonizácia pravidiel

Práve zjednotenie právneho rámca je vlajkovou loďou EK. Niektoré oblasti však bude aj naďalej môcť konkrétnejšie stanovovať národná legislatíva. Ide napríklad o konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním. Záväznými môžu v tomto prípade byť ustanovenia národnej legislatívy či kolektívnej zmluvy. Preto sa firmy nemôžu spoľahnúť na to, že nie je potrebné brať do úvahy legislatívu platnú na národnej úrovni. Napriek tomu príchod GDPR môže značne zjednodušiť cezhraničné pôsobenie firiem.

Ochrana záujmov

Spoločnosti budú musieť na spracovanie osobných údajov získavať súhlas, prípadne budú musieť byť splnené iné presne určené okolnosti. Spoločnosti môžu spracovávať osobné údaje, ak je to v súlade so zásadnými záujmami dotknutých osôb. GDPR umožní širšie uplatnenie tohto princípu. Okrem ochrany záujmov dotknutých osôb bude dôvodom na spracovanie osobných údajov aj ochrana záujmov tých ľudí, ktorí sú v prirodzene blízkom vzťahu s dotknutou osobou.

„GDPR sa týka približne 530-tisíc slovenských firiem.“

Nové podmienky, ktoré umožňujú spracovanie osobných údajov

GDPR rozširuje okruh okolností, ktoré vytvárajú právny základ na spracovanie osobných údajov. Novinkou je spracovanie údajov vzhľadom na významný verejný záujem. Spracovať osobné údaje umožní GDPR aj v záujme ochrany verejného zdravia, novým dôvodom na spracovanie údajov sú aj historické, štatistické či vedecké dôvody. V týchto prípadoch budú mať teda spoločnosti voľnejšie ruky.

Spracúvanie bez potreby identifikácie

Ak spoločnosť pracuje s určitými osobnými údajmi, ktoré nevyžadujú zistenie totožnosti dotknutej osoby, firma nemusí uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby.

Identifikovanie dotknutej osoby

Práve dotknuté osoby získavajú s príchodom GDPR niektoré dodatočné práva. Predtým, než prevádzkovateľ tieto práva prizná, má právo žiadať potvrdenie identity.

Negatíva

Získanie súhlasu

Vyjadrenie súhlasu so spracovaním osobných údajov bude hrať naďalej dôležitú úlohu, podľa pravidiel GDPR však bude ťažšie ho získať. Prevádzkovateľ bude totiž musieť dokázať, že súhlas dostal. Zároveň bude mať dotknutá osoba možnosť svoj súhlas odvolať.

GDPR sprísňuje aj ochranu detí, to sa dotýka aj získavania súhlasu so spracovaním údajov. Za osoby mladšie ako šestnásť rokov totiž bude musieť vyjadriť súhlas rodič, čo môže spoločnostiam komplikovať situáciu. Veková hranica sa však v členských štátoch môže líšiť. Súhlas je zároveň možné odvolať.

Minimalizácia údajov

GDPR stanovuje, že spracovávať bude možné iba také údaje, ktoré firmy nevyhnutne potrebujú na svoju činnosť. Znamená to, že subjekty, ktoré pracujú s údajmi, musia dobre zvažovať, či konkrétny údaj nevyhnutne potrebujú. Zároveň môžu s údajmi pracovať iba v nevyhnutnom čase.

Transparentné spracovávanie

Výraznú záťaž pre prevádzkovateľov znamená spravodlivé, zákonné a transparentné pracovanie s údajmi. Okrem iného majú prevádzkovatelia povinnosť informovať dotknuté osoby o tom, na čo sú ich údaje používané. To si jednoducho vyžaduje dodatočnú prácu pri spracovaní údajov. S tým súvisí aj povinnosť prevádzkovateľov umožniť dotknutým osobám prístup k ich informáciám. Okrem toho je dodatočnou administratívnou záťažou aj prehĺbenie „práva byť zabudnutý“.

Zjednotenie pravidiel podľa Európskej komisie celkovo prinesie úsporu 2,3 miliardy eur ročne.

Zaťažujúce princípy „protection by design“ a „by default“

Firmy už pri vývoji svojich produktov a služieb, teda „by design“ a „by default“ musia myslieť na to, že majú povinnosti vyplývajúce z GDPR. To si môže vyžiadať aj komplikované zmeny vo výrobe. V praxi to môže znamenať napríklad zavedenie dodatočných opatrení smerujúcich k ochrane osobných údajov. V podstate musí každá spoločnosť uplatňovať špecificky navrhnutú ochranu súkromia. Firmy pri vývoji svojich produktov musia myslieť nielen na samotnú ochranu osobných údajov, ale aj na to, akým spôsobom s nimi pracovať. To znamená, že spoločnosti musia počítať napríklad s tým, že si dotknuté osoby budú uplatňovať svoje práva.

Územná platnosť

GDPR sa dotýka aj organizácií mimo EÚ, ktoré ponúkajú tovary a služby dotknutým osobám v EÚ, prípadne monitorujú ich správanie. To znamená, že povinnosti spojené s GDPR presahujú hranice EÚ, s tým je spojené množstvo dodatočných nákladov.

Právne dôvody na spracovanie osobných údajov, ktoré stanovuje GDPR