Zmeny v oblasti ochrany osobných údajov od mája 2018

Od 25. mája 2018 sa začne vo všetkých členských štátoch Európskej únie, vrátane Slovenskej republiky uplatňovať nové Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov,

ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (označované aj ako General DataProtectionRegulation) /ďalej len ako „GDPR“/, čím dôjde k významným zmenám v oblasti ochrany osobných údajov fyzických osôb a tým aj zásadným zmenám v právach a povinnostiach prevádzkovateľov a sprostredkovateľov, ktorí osobné údaje spracúvajú. GDPR bude priamo záväzným a aplikovateľným právnym aktom v celej Európskej únii (EU), a teda aj v Slovenskej republike. Popri GDPR bude na Slovensku platiť aj nový zákon o ochrane osobných údajov č. 18/2018 Z.z. /ďalej len ako „zákon o ochrane osobných údajov“/. Nový zákon o ochrane osobných údajov v celom rozsahu ruší a nahrádza súčasný zákon č. 122/2013 Z.z.a predmetom jeho regulácie sú najmä tie oblasti, ktoré nespadajú do pôsobnosti GDPR, prípadne otázky, ktorých reguláciu GDPR prenecháva na vnútroštátnu úpravu.

GDPR sa predovšetkým snaží reagovať na rýchly technologický rozvoj, nárast v používaní internetu, IT, sociálnych sietí,cloudových služieb, s tým spojené nové podnikateľské modely a marketingové nástroje a v neposlednom rade na silnú globalizáciu v tejto oblasti. Jeho účelom je uľahčenie voľného pohybu osobných údajov v rámci EU a súčasne zaistenie rovnakej vysokej úrovne ochrany týchto osobných údajov v rámci celej EU a jednotných pravidiel pri ich uplatňovaní. Za svoj hlavný cieľ GDPR kladie zaistenie vysokej miery ochrany osobných údajov fyzických osôb ako realizácie ich základného práva a posilnenie práv dotknutých osôb, aby sa zabránilo neoprávnenému zaobchádzaniu s ich osobnými údajmi a tomu zodpovedajúce spresnenie povinností osôb, ktoré osobné údaje spracúvajú  alebo o ich spracúvaní rozhodujú.

Problematika ochrany osobných údajov sa dotýka každého, kto spracúva osobné údaje fyzických osôb na určitý účel. Pôsobnosť GDPR je v niektorých situáciách vylúčená, napr. v prípadoch spracúvania osobných údajov fyzickou osobou v priebehu výlučne osobnej alebo domácej činnosti, a teda bez prepojenia s profesijnou alebo komerčnou činnosťou. GDPR tieto osobné alebo domáce činnosti definuje najmä ako korešpondencia, uchovávanie adries, či využívanie sociálnych sietí a online činnosti vykonávané v kontexte takýchto činností. Avšak práve komerčná a profesijná oblasť, v rámci ktorej bežne dochádza ku spracúvaniu osobných údajov, je tak široká, že nová právna regulácia sa dotkne takmer všetkých podnikateľov, verejnoprávnych orgánov, inštitúcií a pod. Ku spracúvaniu osobných údajov dochádza v rôznych situáciách a spoločenských vzťahoch, napr. v zamestnaneckých vzťahoch, pri vzdelávaní, v obchodných vzťahoch, pri poskytovaní služieb (zdravotných, verejnoprávnych i súkromných), pri predaji tovaru zákazníkom  a mnohých ďalších. Preto je veľmi dôležité sa s novou právnou reguláciou oboznámiť a pripraviť sa na jej implementáciu do postupov a procesov jednotlivých prevádzkovateľov. Nová právna úprava sa samozrejme dotýka aj práv a povinností samotných fyzických osôb, ktorých údaje sa spracúvajú, tzv. dotknuté osoby, ktoré by sa rovnako mali oboznámiť so svojimi právami a povinnosťami, ktoré Nariadenie zavádza.