GDPR nadobudlo účinnosť už pred niekoľkými mesiacmi. Mnohým však nie je jasné, koho presne sa týka?

Požiadavky GDPR sa vzťahujú na každú spoločnosť či podnikateľa, ktorí pri svojej činnosti spracúvajú osobné údaje. Vzhľadom na to, že k spracúvaniu osobných údajov dochádza v rámci väčšiny činností, dá sa povedať, že GDPR sa vo väčšom či menšom rozsahu týka každej spoločnosti. Jedná sa najmä o spoločnosti, ktoré majú svojich zamestnancov, poskytujú svoje tovary alebo služby klientom, využívajú na webových stránkach určené druhy cookies, vo svojich priestoroch majú inštalovaný kamerový systém, realizujú priamy marketing,  prípadne uskutočňujú mnohé ďalšie činnosti, pri ktorých využívajú osobné údaje dotknutej osoby.

Aké sú základné kroky, ktoré by mala realizovať spoločnosť pri zapracovaní GDPR do svojich procesov?

Hlavným krokom v procese implementácie GDPR je uskutočnenie dôsledného auditu osobných údajov. Takýmto auditom je potrebné získať informácie o tom, v rámci akých činností dochádza k spracúvaniu osobných údajov, koho sa tieto osobné údaje týkajú, ako je stanovený rozsah a lehota pre spracúvanie týchto údajov, či sú osobné údaje poskytované ďalším subjektom, akým spôsobom je realizovaná cesta od samotného získania osobných údajov až po ich výmaz a likvidáciu, a v neposlednom rade preskúmať stav ochrany osobných údajov a dostatočnosť vykonávaných bezpečnostných opatrení. Audit osobných údajov je pomerne náročný proces, a preto odporúčame zveriť túto činnosť do rúk odborníka. Z výsledkov auditu totiž vychádza vymedzenie ďalších povinností, ktoré sa na konkrétnu spoločnosť podľa GDPR vzťahujú.

Za akých okolností môžeme hovoriť o spracúvaní osobných údajov? A ktoré údaje do tejto skupiny nepatria?

Osobným údajom je akákoľvek informácia, prostredníctvom ktorej identifikujete alebo môžete identifikovať konkrétnu osobu. Môže ísť o údaje zaznamenané v grafickej, fotografickej, zvukovej, elektronickej alebo listinnej podobe. Posúdenie či určité informácie sú osobným údajom, závisí od konkrétnej situácie. Rozhodujúca je najmä kombinácia údajov, kedy meno a vek vo svojom spojení nepredstavujú osobné údaje, prostredníctvom ktorých by mohlo dôjsť k identifikácii konkrétnej osoby, zatiaľ čo meno, priezvisko, dátum narodenia a adresa trvalého pobytu vo svojej kombinácii prestavujú spracúvanie osobných údajov.

Dôležité je aj posúdenie geografického faktoru. Napríklad, ak máme informácie o žene, ktorá jazdí na červenom aute v malej obci, je pravdepodobné, že na základe týchto údajov ju niekto identifikuje.

Opačná situácia nastane, ak na základe tých istých údajov budeme hľadať takúto ženu v hlavnom meste. Je veľmi nízka pravdepodobnosť, že ju niekto na základe týchto údajov identifikuje. Medzi osobné údaje je tak možno zaradiť informácie o fyzickej, fyziologickej, genetickej, mentálnej, ekonomickej, kultúrnej, či sociálnej identite (napr. údaje týkajúce sa mzdy, majetku, poberania dôchodku, sociálnych dávok, váhy, výšky, farby vlasov, očí, preferencií, IP adresa, cookies a iné).

Čo je to oprávnený záujem a kedy ho je možné využiť?

V rámci GDPR je vymedzených šesť samostatných právnych základov, ktoré poskytujú oprávnenie na spracúvanie osobných údajov. Oprávnený záujem je jedným z týchto právnych základov. Oprávnenie na spracúvanie osobných údajov v prípade existencie takéhoto oprávneného záujmu je rovnaké, ako v prípade, kedy by bol spoločnosti udelený súhlas so spracúvaním osobných údajov. Využitie oprávneného záujmu je však značne limitované. Pri spracúvaní osobných údajov na tomto právnom základe totiž nesmie dochádzať k neprimeraným zásahom do práv dotknutých osôb. Podmienkou jeho uplatnenia je uskutočnenie testu proporcionality. Využitie oprávneného záujmu za splnenia ďalších podmienok prichádza do úvahy napríklad pri spracúvaní osobných údajov na marketingové účely.

Ktoré subjekty boli kontrolované v rámci predchádzajúcej činnosti Úradu na ochranu osobných údajov SR, a čo bolo predmetom týchto kontrol?

V rámci predchádzajúcich kontrol Úradu na ochranu osobných údajov SR bolo v rámci plánovaných kontrol preskúmané napríklad spracúvanie osobných údajov bankami, poisťovňami, poskytovateľmi telekomunikačných služieb, agentúrami dočasného zamestnávania, obcami či mestami, športovými a lyžiarskymi strediskami, zábavnými centrami, poskytovateľmi marketingových služieb, či poskytovateľmi finančných služieb. Úrad na ochranu osobných údajov SR v rámci svojej webovej stránky každoročne dopredu zverejňuje plán kontrol. V prípade, že sa však nezaraďujete medzi subjekty uvedené v takomto pláne, neznamená to, že dozorný orgán nemôže uskutočniť kontrolu na základe prijatého podnetu. Predmetom kontrol plánovaných na rok 2018 je napríklad splnenie základných zásad spracúvania, existencia a uplatňovanie primeraného právneho základu, plnenie informačnej povinnosti, likvidácia osobných údajov a ďalšie.

Zavádza GDPR povinnosti aj vo vzťahu k webovým stránkam a e-shopom?

Každá spoločnosť by si mala uvedomiť, že aj v rámci webovej stránky či e-shopu dochádza k získavaniu a spracúvaniu osobných údajov. Požiadavky GDPR by mali byť zohľadnené najmä v rámci kontaktných formulárov, formulárov určených na prihlásenie sa na odoberanie newslettera, objednávkových formulárov, pri registračných formulároch či pri využívaní cookies a behaviorálnej reklamy. Jednou z najdôležitejších požiadaviek je zaistiť plnenie informačnej povinnosti aj pri osobných údajoch získavaných z webovej stránky či e-shopu a zaistenie bezpečnosti takto získaných údajov.