Ochrana údajov na základe všeobecného nariadenia o ochrane údajov

Vo všeobecnom nariadení o ochrane údajov sa stanovujú podrobné požiadavky pre spoločnosti a organizácie týkajúce sa získavania, uchovávania a spravovania osobných údajov. Požiadavky sa uplatňujú na európske organizácie, ktoré spracúvajú osobné údaje jednotlivcov v EÚ, a na organizácie mimo EÚ, ktoré sa zacieľujú na ľudí žijúcich v EÚ.

Kedy sa uplatňuje všeobecné nariadenie o ochrane údajov?

Všeobecné nariadenie o ochrane údajov sa uplatňuje, keď:

  • vaša spoločnosť spracúva osobné údaje a má sídlo v EÚ bez ohľadu na to, kde sa skutočné spracúvanie údajov uskutočňuje,
  • vaša spoločnosť je usadená mimo EÚ, ale spracúva osobné údaje v súvislosti s ponukou tovaru alebo služieb jednotlivcom v EÚ alebo monitoruje správanie jednotlivcov v rámci EÚ.

Podniky, ktoré nemajú sídlo v EÚ a spracúvajú údaje občanov EÚ, musia vymenovať zástupcu v EÚ.

Kedy sa všeobecné nariadenie o ochrane údajov neuplatňuje?

Všeobecné nariadenie o ochrane údajov sa neuplatňuje, keď:

  • dotknutá osoba je mŕtva,
  • dotknutá osoba je právnickou osobou,
  • spracúvanie sa vykonáva osobou konajúcou na účely, ktoré nesúvisia s jej obchodnou činnosťou, podnikaním alebo povolaním.

Čo sú osobné údaje?

Osobné údaje sú všetky informácie o identifikovanej alebo identifikovateľnej osobe, ktorá sa nazýva aj dotknutá osoba. Osobné údaje zahŕňajú informácie, ako sú:

  • meno,
  • adresa,
  • číslo OP/pasu,
  • príjem,
  • kultúrny profil,
  • adresa internetového protokolu (IP),
  • údaje, ktoré uchováva nemocnica alebo lekár (ktoré individuálne identifikujú osobu na zdravotné účely).

Osobitné kategórie údajov

Nemôžete spracúvať osobné údaje o:

  • rasovom alebo etnickom pôvode,
  • sexuálnej orientácii,
  • politických názoroch,
  • náboženských alebo filozofických presvedčeniach,
  • členstve v odborových zväzoch,
  • genetických, biometrických alebo zdravotných informáciách s výnimkou špecifických prípadov (napr. ak ste dostali výslovný súhlas alebo spracúvanie je potrebné z dôvodov významného verejného záujmu na základe práva EÚ alebo vnútroštátneho práva),
  • uznaní viny za trestné činy a priestupky, pokiaľ to nie je povolené právom EÚ alebo vnútroštátnym právom.

Kto spracúva osobné údaje?

Počas spracúvania môžu osobné údaje prechádzať rôznymi spoločnosťami alebo organizáciami. V rámci tohto cyklu existujú dva hlavné profily, ktoré sa zaoberajú spracúvaním osobných údajov:

Prevádzkovateľ – rozhoduje o účele a spôsobe, akým sa spracúvajú osobné údaje.

Sprostredkovateľ – uchováva a spracúva údaje v mene prevádzkovateľa.

Kto monitoruje, ako sa osobné údaje spracúvajú v rámci spoločnosti?

Monitorovaním spracúvania osobných údajov a poskytovaním informácií a poradenstva zamestnancom, ktorí spracúvajú osobné údaje, v súvislosti s ich povinnosťami je poverená zodpovedná osoba, ktorá môže byť určená spoločnosťou. Zodpovedná osoba takisto spolupracuje s orgánom pre ochranu osobných údajov, pričom slúži ako kontaktné miesto pre orgán pre ochranu osobných údajov a jednotlivcov.

Kedy by ste mali vymenovať zodpovednú osobu?

Vaša spoločnosť je povinná vymenovať zodpovednú osobu, ak:

  • pravidelne alebo systematicky monitoruje jednotlivcov alebo spracúva osobitné kategórie údajov,
  • toto spracúvanie je hlavnou podnikateľskou činnosťou,
  • spracúva údaje vo veľkom rozsahu.

Napríklad, ak spracúvate osobné údaje s cieľom zacieliť reklamu prostredníctvom vyhľadávačov na základe správania ľudí na internete, vyžaduje sa, aby ste určili zodpovednú osobu. Ak však iba raz ročne posielate klientom propagačné materiály, nepotrebujete mať zodpovednú osobu. Podobne, ak ste lekár a získavate údaje o zdraví pacientov, pravdepodobne nepotrebujete mať zodpovednú osobu. Ak však spracúvate osobné údaje týkajúce sa genetiky alebo zdravia pre nemocnicu, potom sa vyžaduje mať zodpovednú osobu.

Zodpovedná osoba môže byť pracovníkom vašej organizácie alebo ňou môže byť externá osoba na základe zmluvy o poskytovaní služieb. Zodpovedná osoba môže byť jednotlivcom alebo súčasťou organizácie.

Spracúvanie údajov pre inú spoločnosť

Prevádzkovateľ môže využívať len sprostredkovateľa, ktorý ponúka dostatočné záruky, ktoré by mali byť súčasťou písomnej zmluvy medzi zúčastnenými stranami. Zmluva musí obsahovať aj viaceré povinné doložky, ako napr. to, že sprostredkovateľ bude spracúvať osobné údaje, len ak mu dá na to pokyn prevádzkovateľ.

Prenos údajov mimo EÚ

Pri prenose osobných údajov mimo EÚ by sa na údaje mala naďalej vzťahovať ochrana zabezpečovaná všeobecným nariadením o ochrane údajov. To znamená, že ak budete údaje exportovať do zahraničia, vaša spoločnosť musí zabezpečiť dodržiavanie jedného z týchto opatrení:

Ochrana údajov, ktorá sa uplatňuje v danej krajine mimo EÚ, sa z pohľadu EÚ považuje za primeranú.

Vaša spoločnosť uskutoční potrebné opatrenia, aby zabezpečila primerané záruky, ako sú osobitné doložky v rámci dohodnutej zmluvy so subjektom v krajine mimo EÚ importujúcim osobné údaje.

Vaša spoločnosť uplatňuje osobitné dôvody na prenos (odchýlky), ako je súhlas jednotlivca.

Kedy sa umožňuje spracúvanie údajov?

Na základe pravidiel EÚ o ochrane údajov by ste mali údaje spracúvať spravodlivo a zákonným spôsobom na určené a legitímne účely a spracúvať len údaje, ktoré sú potrebné na splnenie tohto účelu. Na spracúvanie osobných údajov sa vyžaduje, aby ste spĺňali jednu z týchto podmienok:

  • máte súhlas dotknutej osoby,
  • osobné údaje potrebujete na plnenie zmluvných záväzkov voči dotknutej osobe,
  • osobné údaje potrebujete na splnenie právnej povinnosti,
  • osobné údaje potrebujete na ochranu životne dôležitých záujmov dotknutej osoby,
  • osobné údaje spracúvate na účely plnenia úlohy vo verejnom záujme,
  • konáte v oprávnených záujmoch svojej spoločnosti, pokiaľ sa tým závažným spôsobom neovplyvňujú základné práva a slobody osoby, ktorej údaje sa spracúvajú.

Ak práva dotknutej osoby prevažujú nad záujmami vašej spoločnosti, dané osobné údaje nemôžete spracúvať.

Súhlas so spracúvaním údajov

V rámci všeobecného nariadenia o ochrane údajov sa uplatňujú prísne pravidlá na spracúvanie údajov na základe súhlasu. Účelom týchto pravidiel je zabezpečiť, že dotknutá osoba rozumie, čoho sa týka jej súhlas. To znamená, že súhlas by sa mal poskytnúť slobodným, konkrétnym, informovaným a jednoznačným spôsobom na základe jasne a jednoducho formulovanej žiadosti. Súhlas by sa mal poskytnúť súhlasným prejavom vôle, ako napríklad označením políčka na internetovej stránke alebo podpisom formulára.

Ak niekto poskytne súhlas so spracúvaním svojich osobných údajov, tieto údaje môžete spracúvať len na účely, na ktoré bol súhlas poskytnutý. Musíte ďalej umožniť odvolanie poskytnutého súhlasu.

Poskytovanie transparentných informácií

Jednotlivcom musíte poskytnúť jasné informácie o tom, kto osobné údaje o nich spracúva a prečo. Informácie musia zahŕňať minimálne toto:

  • kto ste,
  • prečo spracúvate osobné údaje,
  • aký je právny základ,
  • (prípadne) kto získa tieto údaje.

V niektorých prípadoch musia poskytované informácie obsahovať aj:

  • kontaktné údaje prípadnej zodpovednej osoby,
  • aký oprávnený záujem spoločnosť sleduje, ak je to právnym dôvodom na spracovanie údajov,
  • opatrenia uplatňované na prenos údajov do krajiny mimo EÚ,
  • ako dlho sa budú údaje uchovávať,
  • práva na ochranu údajov jednotlivca (t. j. právo na prístup, opravu, vymazanie, obmedzenie, námietku, prenosnosť atď.)
  • ako možno súhlas odvolať (ak je súhlas právnym dôvodom na spracúvanie),
  • či existuje zákonná alebo zmluvná povinnosť poskytnúť údaje,
  • v prípade automatizovaného rozhodovania, informácie o použitom postupe, význame a dôsledkoch, pokiaľ ide o uvedené rozhodnutie.

Poskytované informácie by mali byť formulované jasne a jednoducho.

Osobitné pravidlá týkajúce sa detí

Ak získavate osobné údaje od dieťaťa na základe súhlasu, napríklad v súvislosti s používaním účtu na sociálnych médiách alebo účtu na sťahovanie, musíte najprv získať rodičovský súhlas, napr. prostredníctvom poslania oznámenia rodičovi alebo zástupcovi. Vek, do ktorého sa osoba považuje za dieťa, závisí od miesta bydliska, ale pohybuje sa v rozmedzí od 13 do 16 rokov.

Právo na prístup a právo na prenosnosť údajov

Pre všetkých jednotlivcov musíte zabezpečiť, aby mali právo na bezplatný prístup k svojim osobným údajom. Ak dostanete takúto žiadosť, musíte danej osobe:

  • povedať, či spracúvate jej osobné údaje,
  • povedať podrobnosti o spracúvaní (účel spracúvania, kategórie dotknutých osobných údajov, príjemcov údajov atď.),
  • poskytnúť kópiu osobných údajov, ktoré sa spracúvajú (v dostupnom formáte).

Ak je spracúvanie založené na súhlase alebo zmluve, dotknutá osoba môže požiadať o vrátenie svojich osobných údajov alebo o ich prenos do inej spoločnosti. Toto sa nazýva právo na prenosnosť údajov. Údaje by ste mali poskytnúť v bežne používanom a strojovo čitateľnom formáte.

Právo na opravu a právo namietať

Ak je niekto presvedčený, že jeho osobné údaje sú nesprávne, neúplné alebo nepresné, má právo na zabezpečenie opravy bez zbytočného odkladu.

V takomto prípade by ste mali oznámiť všetkým príjemcom údajov, ktorým boli takéto osobné údaje poskytnuté, ich prípadnú zmenu alebo vymazanie. Ak niektoré osobné údaje, ktoré ste poskytli ďalej, boli nesprávne, je možné, že budete mať povinnosť o tom informovať každého, kto s nimi prišiel do kontaktu (pokiaľ to nepredstavuje vynaloženie neprimeranej námahy).

Jednotlivec môže takisto hocikedy namietať proti spracúvaniu svojich osobných údajov na konkrétny účel, keď ich vaša spoločnosť spracúva na základe vášho oprávneného záujmu alebo v rámci úlohy vo verejnom záujme. Pokiaľ nemáte oprávnený záujem, ktorý prevažuje nad záujmom jednotlivca, musíte dané osobné údaje prestať spracúvať.

Podobne vás jednotlivec môže požiadať o obmedzenie spracúvania svojich osobných údajov, kým sa stanoví, či váš oprávnený záujem prevažuje nad jeho záujmom. V prípade priameho marketingu však máte vždy povinnosť zastaviť spracúvanie osobných údajov, ak vás o to jednotlivec požiada.

Právo na vymazanie (právo na zabudnutie)

Za niektorých okolností môže jednotlivec požiadať prevádzkovateľa, aby jeho osobné údaje vymazal, napríklad ak tieto údaje už nie sú potrebné na plnenie účelu spracúvania. Vaša spoločnosť to však nie je povinná urobiť ak:

  • spracúvanie je potrebné na účely rešpektovania slobody prejavu a práva na informácie,
  • musíte tieto osobné údaje uchovávať na účely dodržania zákonnej povinnosti,
  • existujú iné dôvody vo verejnom záujme uchovávať tieto osobné údaje, ako napríklad verejné zdravie alebo na účely vedeckého alebo historického výskumu,
  • potrebujete tieto osobné údaje uchovávať na účely preukázania právneho nároku.

Automatizované rozhodovanie a profilovanie

Jednotlivci majú právo nepodliehať rozhodnutiu, ktoré sa zakladá len na automatickom spracúvaní. Existujú však niektoré výnimky z tohto pravidla, napríklad ak dali výslovný súhlas s automatizovaným rozhodnutím. Okrem prípadov, keď je automatizované riešenie založené na nejakom právnom predpise, vaša spoločnosť musí:

  • poskytnúť jednotlivcovi informácie o automatizovanom rozhodovaní,
  • poskytnúť jednotlivcovi právo mať toto automatizované rozhodnutie preskúmané osobou,
  • dať jednotlivcovi možnosť odvolať sa proti automatizovanému rozhodnutiu.

Napríklad, ak banka automatizuje svoje rozhodnutie o tom, či určitému jednotlivcovi poskytne úver alebo nie, tento jednotlivec by mal byť informovaný o tom, že rozhodnutie je automatizované, a mať možnosť odvolať sa proti rozhodnutiu a požiadať o ľudský zásah.

Porušenia ochrany údajov – poskytovanie riadneho oznámenia

K porušeniu ochrany údajov dôjde vtedy, keď sa osobné údaje, za ktoré máte zodpovednosť, buď náhodne, alebo nezákonne poskytnú neoprávneným príjemcom, dočasne sa zamedzí prístup k nim alebo sa zmenia.

Ak dôjde k porušeniu ochrany údajov a toto porušenie predstavuje riziko pre práva a slobody jednotlivcov, mali by ste to oznámiť orgánu pre ochranu osobných údajov do 72 hodín od okamihu, keď ste sa dozvedeli o porušení ochrany.

V závislosti od toho, či toto porušenie ochrany údajov predstavuje pre ovplyvnené osoby vysoké riziko, môže sa vyžadovať, aby vaša spoločnosť informovala všetkých ovplyvnených jednotlivcov.

Odpovedanie na žiadosti

Ak vaša spoločnosť dostane žiadosť od jednotlivca, ktorý chce uplatniť svoje práva, mali by ste na žiadosť odpovedať bez zbytočného odkladu a v každom prípade do jedného mesiaca od prijatia žiadosti. Lehota na odpoveď môže byť predĺžená o dva mesiace v prípade zložitých alebo viacerých žiadostí, pokiaľ bude jednotlivec o tomto predĺžení informovaný. Žiadosti by sa mali riešiť bezplatne.

V prípade zamietnutia žiadosti musíte jednotlivca informovať o dôvodoch zamietnutia a o jeho práve podať sťažnosť orgánu pre ochranu osobných údajov.

Posúdenia vplyvu

Vykonávanie posúdenia vplyvu na ochranu údajov je povinné vždy, keď by plánované spracúvanie údajov predstavovalo vysoké riziko pre práva a slobody jednotlivcov, napr. keď sa používajú nové technológie.

Takéto vysoké riziko existuje, ak:

  • sa na hodnotenie jednotlivcov používajú automatizované mechanizmy na spracúvanie údajov a profilovanie,
  • sa vo veľkom rozsahu monitoruje verejne prístupné miesto (napr. kamerovým systémom),
  • sa vo veľkom rozsahu spracúvajú osobitné kategórie údajov alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky (napr. zdravotné údaje).

Poznámka: Orgány pre ochranu osobných údajov môžu medzi vysoko rizikové zaradiť aj iné kategórie spracúvania údajov.

Ak sa prostredníctvom opatrení určených na základe posúdenia vplyvu na ochranu údajov nepodarí odstrániť všetky identifikované vysoké riziká, pred uskutočnením plánovaného spracúvania údajov sa vyžaduje konzultácia s orgánom pre ochranu osobných údajov.

Vedenie záznamov

Musíte byť schopný dokázať, že vaša spoločnosť koná v súlade so všeobecným nariadením o ochrane údajov a plní všetky uplatniteľné povinnosti – osobitne na základe žiadosti alebo v rámci inšpekcie z orgánu pre ochranu údajov.

Jedným zo spôsobov, ako toto robiť, je viesť podrobné záznamy o záležitostiach, ako sú:

  • meno a kontaktné údaje vášho podniku, ktorý sa zaoberá spracúvaním údajov,
  • dôvod(-y) na spracúvanie osobných údajov,
  • opis kategórií jednotlivcov poskytujúcich osobné údaje,
  • kategórie organizácií, ktoré prijímajú osobné údaje,
  • prenos osobných údajov do inej krajiny alebo organizácie,
  • obdobie uchovávania osobných údajov,
  • opis bezpečnostných opatrení používaných pri spracúvaní osobných údajov.

Vaša spoločnosť by mala mať k dispozícii písomné postupy a usmernenia, pravidelne ich aktualizovať a oboznamovať s nimi zamestnancov.

Ak je vaša spoločnosť MSP alebo mikropodnik, nemusíte viesť záznamy o činnostiach týkajúcich sa spracúvania, pokiaľ:

  • sa nevykonávajú pravidelne,
  • neovplyvňujú práva alebo slobody dotknutých osôb,

netýkajú sa citlivých údajov alebo záznamov vedených v registri trestov.

Špecificky navrhnutá a štandardná ochrana údajov

Špecificky navrhnutá ochrana údajov znamená, že by vaša spoločnosť mala zohľadniť ochranu údajov v počiatočnej fáze plánovania nového spôsobu spracúvania osobných údajov. V súlade s touto zásadou musí prevádzkovateľ urobiť všetky nevyhnutné technické a organizačné kroky na vykonávanie zásad ochrany údajov a ochranu práv jednotlivcov. Takéto kroky by mohli zahŕňať napríklad aj používanie pseudonymizácie.

Štandardná ochrana údajov znamená, že vaša spoločnosť by vždy mala zabezpečiť štandardné nastavenia tak, aby čo najviac zohľadňovali ochranu súkromia. Ak sú napríklad možné dva druhy nastavenia súkromia, pričom jedno z nich neumožňuje prístup k osobným údajom druhých, toto by sa malo použiť ako štandardné nastavenie.