: 15/03/2019

Ochrana údajov na základe všeobecného nariadenia o ochrane údajov

Rozhodnutie Spojeného kráľovstva uplatniť článok 50 ZEÚ: Viac informácií

Vo všeobecnom nariadení o ochrane údajov sa stanovujú podrobné požiadavky pre spoločnosti a organizácie týkajúce sa získavania, uchovávania a spravovania osobných údajov. Požiadavky sa uplatňujú na európske organizácie, ktoré spracúvajú osobné údaje jednotlivcov v , a na organizácie mimo EÚ, ktoré sa zacieľujú na ľudí žijúcich v EÚ.

Kedy sa uplatňuje všeobecné nariadenie o ochrane údajov?

Všeobecné nariadenie o ochrane údajov sa uplatňuje, keď:

Podniky, ktoré nemajú sídlo v EÚ a spracúvajú údaje občanov EÚ, musia vymenovať zástupcu v EÚ.

Kedy sa všeobecné nariadenie o ochrane údajov neuplatňuje?

Všeobecné nariadenie o ochrane údajov sa neuplatňuje, keď:

Čo sú osobné údaje?

Osobné údaje sú všetky informácie o identifikovanej alebo identifikovateľnej osobe, ktorá sa nazýva aj dotknutá osoba. Osobné údaje zahŕňajú informácie, ako sú:

Osobitné kategórie údajov

Nemôžete spracúvať osobné údaje o:

Kto spracúva osobné údaje?

Počas spracúvania môžu osobné údaje prechádzať rôznymi spoločnosťami alebo organizáciami. V rámci tohto cyklu existujú dva hlavné profily, ktoré sa zaoberajú spracúvaním osobných údajov:

Kto monitoruje, ako sa osobné údaje spracúvajú v rámci spoločnosti?

Monitorovaním spracúvania osobných údajov a poskytovaním informácií a poradenstva zamestnancom, ktorí spracúvajú osobné údaje, v súvislosti s ich povinnosťami je poverená zodpovedná osoba, ktorá môže byť určená spoločnosťou. Zodpovedná osoba takisto spolupracuje s orgánom pre ochranu osobných údajov, pričom slúži ako kontaktné miesto pre orgán pre ochranu osobných údajov a jednotlivcov.

Kedy by ste mali vymenovať zodpovednú osobu?

Vaša spoločnosť je povinná vymenovať zodpovednú osobu, ak:

Napríklad, ak spracúvate osobné údaje s cieľom zacieliť reklamu prostredníctvom vyhľadávačov na základe správania ľudí na internete, vyžaduje sa, aby ste určili zodpovednú osobu. Ak však iba raz ročne posielate klientom propagačné materiály, nepotrebujete mať zodpovednú osobu. Podobne, ak ste lekár a získavate údaje o zdraví pacientov, pravdepodobne nepotrebujete mať zodpovednú osobu. Ak však spracúvate osobné údaje týkajúce sa genetiky alebo zdravia pre nemocnicu, potom sa vyžaduje mať zodpovednú osobu.

Zodpovedná osoba môže byť pracovníkom vašej organizácie alebo ňou môže byť externá osoba na základe zmluvy o poskytovaní služieb. Zodpovedná osoba môže byť jednotlivcom alebo súčasťou organizácie.

Spracúvanie údajov pre inú spoločnosť

Prevádzkovateľ môže využívať len sprostredkovateľa, ktorý ponúka dostatočné záruky, ktoré by mali byť súčasťou písomnej zmluvy medzi zúčastnenými stranami. Zmluva musí obsahovať aj viaceré povinné doložky, ako napr. to, že sprostredkovateľ bude spracúvať osobné údaje, len ak mu dá na to pokyn prevádzkovateľ.

Prenos údajov mimo EÚ

Pri prenose osobných údajov mimo by sa na údaje mala naďalej vzťahovať ochrana zabezpečovaná všeobecným nariadením o ochrane údajov. To znamená, že ak budete údaje exportovať do zahraničia, vaša spoločnosť musí zabezpečiť dodržiavanie jedného z týchto opatrení:

Kedy sa umožňuje spracúvanie údajov?

Na základe pravidiel EÚ o ochrane údajov by ste mali údaje spracúvať spravodlivo a zákonným spôsobom na určené a legitímne účely a spracúvať len údaje, ktoré sú potrebné na splnenie tohto účelu. Na spracúvanie osobných údajov sa vyžaduje, aby ste spĺňali jednu z týchto podmienok:

Súhlas so spracúvaním údajov

V rámci všeobecného nariadenia o ochrane údajov sa uplatňujú prísne pravidlá na spracúvanie údajov na základe súhlasu. Účelom týchto pravidiel je zabezpečiť, že dotknutá osoba rozumie, čoho sa týka jej súhlas. To znamená, že súhlas by sa mal poskytnúť slobodným, konkrétnym, informovaným a jednoznačným spôsobom na základe jasne a jednoducho formulovanej žiadosti. Súhlas by sa mal poskytnúť súhlasným prejavom vôle, ako napríklad označením políčka na internetovej stránke alebo podpisom formulára.

Ak niekto poskytne súhlas so spracúvaním svojich osobných údajov, tieto údaje môžete spracúvať len na účely, na ktoré bol súhlas poskytnutý. Musíte ďalej umožniť odvolanie poskytnutého súhlasu.

Poskytovanie transparentných informácií

Jednotlivcom musíte poskytnúť jasné informácie o tom, kto osobné údaje o nich spracúva a prečo. Informácie musia zahŕňať minimálne toto:

V niektorých prípadoch musia poskytované informácie obsahovať aj:

Poskytované informácie by mali byť formulované jasne a jednoducho.

Osobitné pravidlá týkajúce sa detí

Ak získavate osobné údaje od dieťaťa na základe súhlasu, napríklad v súvislosti s používaním účtu na sociálnych médiách alebo účtu na sťahovanie, musíte najprv získať rodičovský súhlas, napr. prostredníctvom poslania oznámenia rodičovi alebo zástupcovi. Vek, do ktorého sa osoba považuje za dieťa, závisí od miesta bydliska, ale pohybuje sa v rozmedzí od 13 do 16 rokov.

Právo na prístup a právo na prenosnosť údajov

Pre všetkých jednotlivcov musíte zabezpečiť, aby mali právo na bezplatný prístup k svojim osobným údajom. Ak dostanete takúto žiadosť, musíte danej osobe:

Ak je spracúvanie založené na súhlase alebo zmluve, dotknutá osoba môže požiadať o vrátenie svojich osobných údajov alebo o ich prenos do inej spoločnosti. Toto sa nazýva právo na prenosnosť údajov. Údaje by ste mali poskytnúť v bežne používanom a strojovo čitateľnom formáte.

Právo na opravu a právo namietať

Ak je niekto presvedčený, že jeho osobné údaje sú nesprávne, neúplné alebo nepresné, má právo na zabezpečenie opravy bez zbytočného odkladu.

V takomto prípade by ste mali oznámiť všetkým príjemcom údajov, ktorým boli takéto osobné údaje poskytnuté, ich prípadnú zmenu alebo vymazanie. Ak niektoré osobné údaje, ktoré ste poskytli ďalej, boli nesprávne, je možné, že budete mať povinnosť o tom informovať každého, kto s nimi prišiel do kontaktu (pokiaľ to nepredstavuje vynaloženie neprimeranej námahy).

Jednotlivec môže takisto hocikedy namietať proti spracúvaniu svojich osobných údajov na konkrétny účel, keď ich vaša spoločnosť spracúva na základe vášho oprávneného záujmu alebo v rámci úlohy vo verejnom záujme. Pokiaľ nemáte oprávnený záujem, ktorý prevažuje nad záujmom jednotlivca, musíte dané osobné údaje prestať spracúvať.

Podobne vás jednotlivec môže požiadať o obmedzenie spracúvania svojich osobných údajov, kým sa stanoví, či váš oprávnený záujem prevažuje nad jeho záujmom. V prípade priameho marketingu však máte vždy povinnosť zastaviť spracúvanie osobných údajov, ak vás o to jednotlivec požiada.

Právo na vymazanie (právo na zabudnutie)

Za niektorých okolností môže jednotlivec požiadať prevádzkovateľa, aby jeho osobné údaje vymazal, napríklad ak tieto údaje už nie sú potrebné na plnenie účelu spracúvania. Vaša spoločnosť to však nie je povinná urobiť ak:

Automatizované rozhodovanie a profilovanie

Jednotlivci majú právo nepodliehať rozhodnutiu, ktoré sa zakladá len na automatickom spracúvaní. Existujú však niektoré výnimky z tohto pravidla, napríklad ak dali výslovný súhlas s automatizovaným rozhodnutím. Okrem prípadov, keď je automatizované riešenie založené na nejakom právnom predpise, vaša spoločnosť musí:

Napríklad, ak banka automatizuje svoje rozhodnutie o tom, či určitému jednotlivcovi poskytne úver alebo nie, tento jednotlivec by mal byť informovaný o tom, že rozhodnutie je automatizované, a mať možnosť odvolať sa proti rozhodnutiu a požiadať o ľudský zásah.

Porušenia ochrany údajov – poskytovanie riadneho oznámenia

K porušeniu ochrany údajov dôjde vtedy, keď sa osobné údaje, za ktoré máte zodpovednosť, buď náhodne, alebo nezákonne poskytnú neoprávneným príjemcom, dočasne sa zamedzí prístup k nim alebo sa zmenia.

Ak dôjde k porušeniu ochrany údajov a toto porušenie predstavuje riziko pre práva a slobody jednotlivcov, mali by ste to oznámiť orgánu pre ochranu osobných údajov do 72 hodín od okamihu, keď ste sa dozvedeli o porušení ochrany.

V závislosti od toho, či toto porušenie ochrany údajov predstavuje pre ovplyvnené osoby vysoké riziko, môže sa vyžadovať, aby vaša spoločnosť informovala všetkých ovplyvnených jednotlivcov.

Odpovedanie na žiadosti

Ak vaša spoločnosť dostane žiadosť od jednotlivca, ktorý chce uplatniť svoje práva, mali by ste na žiadosť odpovedať bez zbytočného odkladu a v každom prípade do jedného mesiaca od prijatia žiadosti. Lehota na odpoveď môže byť predĺžená o dva mesiace v prípade zložitých alebo viacerých žiadostí, pokiaľ bude jednotlivec o tomto predĺžení informovaný. Žiadosti by sa mali riešiť bezplatne.

V prípade zamietnutia žiadosti musíte jednotlivca informovať o dôvodoch zamietnutia a o jeho práve podať sťažnosť orgánu pre ochranu osobných údajov.

Posúdenia vplyvu

Vykonávanie posúdenia vplyvu na ochranu údajov je povinné vždy, keď by plánované spracúvanie údajov predstavovalo vysoké riziko pre práva a slobody jednotlivcov, napr. keď sa používajú nové technológie.

Takéto vysoké riziko existuje, ak:

Poznámka: Orgány pre ochranu osobných údajov môžu medzi vysoko rizikové zaradiť aj iné kategórie spracúvania údajov.

Ak sa prostredníctvom opatrení určených na základe posúdenia vplyvu na ochranu údajov nepodarí odstrániť všetky identifikované vysoké riziká, pred uskutočnením plánovaného spracúvania údajov sa vyžaduje konzultácia s orgánom pre ochranu osobných údajov.

Vedenie záznamov

Musíte byť schopný dokázať, že vaša spoločnosť koná v súlade so všeobecným nariadením o ochrane údajov a plní všetky uplatniteľné povinnosti – osobitne na základe žiadosti alebo v rámci inšpekcie z orgánu pre ochranu údajov.

Jedným zo spôsobov, ako toto robiť, je viesť podrobné záznamy o záležitostiach, ako sú:

Vaša spoločnosť by mala mať k dispozícii písomné postupy a usmernenia, pravidelne ich aktualizovať a oboznamovať s nimi zamestnancov.

Ak je vaša spoločnosť MSPen alebo mikropodnik, nemusíte viesť záznamy o činnostiach týkajúcich sa spracúvania, pokiaľ:

  • sa nevykonávajú pravidelne,
  • neovplyvňujú práva alebo slobody dotknutých osôb,
  • netýkajú sa citlivých údajov alebo záznamov vedených v registri trestov.

Špecificky navrhnutá a štandardná ochrana údajov

Špecificky navrhnutá ochrana údajov znamená, že by vaša spoločnosť mala zohľadniť ochranu údajov v počiatočnej fáze plánovania nového spôsobu spracúvania osobných údajov. V súlade s touto zásadou musí prevádzkovateľ urobiť všetky nevyhnutné technické a organizačné kroky na vykonávanie zásad ochrany údajov a ochranu práv jednotlivcov. Takéto kroky by mohli zahŕňať napríklad aj používanie pseudonymizácie.

Štandardná ochrana údajov znamená, že vaša spoločnosť by vždy mala zabezpečiť štandardné nastavenia tak, aby čo najviac zohľadňovali ochranu súkromia. Ak sú napríklad možné dva druhy nastavenia súkromia, pričom jedno z nich neumožňuje prístup k osobným údajom druhých, toto by sa malo použiť ako štandardné nastavenie.

Porušenie pravidiel a sankcie

Nedodržiavanie súladu so všeobecným nariadením o ochrane údajov môže mať v prípade niektorých porušení za následok uloženie vysokej pokuty až do výšky 20 miliónov EUR alebo 4 % celkového obratu vašej spoločnosti. Orgán pre ochranu osobných údajov môže uložiť dodatočné nápravné opatrenia, ako napríklad prikázať vám prestať spracúvať osobné údaje.

Ochrana údajov a súkromie na internete – najčastejšie otázky

Právne predpisy EÚ

Potrebujete pomoc asistenčných služieb?

Obráťte sa na špecializované asistenčné služby

Zdieľať túto stránku: