GDPR − čo nám prináša

Obsah aprílového dTestu

Aktuální číslo časopisu dTest 4/2024 Obsah aprílového dTestu

Sdílejte

Publikované v časopise 7/2018

Okrem prepracovaného systému ochrany spotrebiteľa prinieslo právo Európskej únie jednotlivcom v rámci členských štátov ešte jeden výdobytok, a to ochranu osobných údajov. Dňa 25. mája tohto roku nadobudlo účinnosť všeobecné nariadenie o ochrane osobných údajov, anglicky General Data Protection Regulation, teda skrátene GDPR. Nové nariadenie nadväzuje na predchádzajúci vývoj a podobne ako doterajšia úprava prináša jednotlivcom širokú škálu oprávnení vzhľadom na ich osobné údaje.

Použiteľnosť a pôsobnosť GDPR

Na úvod je potrebné si vysvetliť, čo presne je nariadenie EÚ. Na rozdiel od smerníc, ktorými sa právo členských štátov iba harmonizuje, takže je nutná transpozícia (prepísanie) smernice do vnútroštátneho právneho predpisu (napríklad do zákona), nariadenie je priamo uplatniteľné a aplikovateľné. Práva a povinnosti, ktoré GDPR vymedzuje, sa tak uplatnia priamo na všetkých občanov a spoločnosti zo všetkých členských štátov Únie. Môžete sa teda dovolať priamo ustanovení nariadenia a nie je potrebné, aby na tento účel náš zákonodarca prijal akýkoľvek ďalší právny predpis.

Keďže sú chránené osobné údaje, s ktorými sa nakladá v EÚ, musia sa pravidlami GDPR riadiť tiež spoločnosti so sídlom mimo priestorov EÚ, ktoré spracúvajú údaje občanov členských štátov. Uvedené platí v prípade, ak spoločnosti spracovávajú údaje v súvislosti s ponukou tovaru alebo služieb voči jednotlivcom EÚ alebo v rámci Únie monitorujú ich správanie.

Jednotlivec, teda fyzická osoba, o ktorej osobné údaje ide, je v reči nariadení oprávnená osoba. Ten, kto údaje spracováva (akýmkoľvek spôsobom s nimi nakladá), je zas prevádzkovateľ. Ak však s údajmi pracujete výlučne pri osobných alebo domácich činnostiach, prevádzkovateľom nie ste, pretože na takéto správanie sa GDPR vôbec nevzťahuje.

Kedy je na spracovanie osobných údajov nutný súhlas

Nariadenie pozná okrem súhlasu so spracovaním osobných údajov hneď niekoľko ďalších dôvodov, na základe ktorých možno údaje legálne spracovávať. Najčastejšie z nich je plnenie zmluvy. Keď napríklad uzavriete kúpnu zmluvu s e-shopom, nebolo by možné vám riadne doručiť tovar bez znalosti vášho mena, priezviska a adresy. Ďalej je na nutnú komunikáciu (zaslanie potvrdenia a faktúry) často potrebná tiež e-mailová adresa. Všetky tieto údaje preto môže e-shop z dôvodu plnenia zmluvy spracovať bez vášho súhlasu. Ak by ich však chcel použiť nad rámec zmluvy na reklamné účely, musí vás spravidla požiadať o súhlas.

Písomné vyhlásenie o súhlase a žiadosť o jeho udelenie musia byť odlíšiteľné od všetkých ostatných oznámení. GDPR tu stanovuje aj podmienky zrozumiteľnosti a jednoduchého prístupu s použitím jasných a jednoduchých jazykových prostriedkov. To znamená, že už nie je možné, aby ste súhlas so spracovaním udelili mimovoľne zaškrtnutím súhlasu s obchodnými podmienkami, v ktorých sú tieto informácie „ukryté“.

Tiež nie je možné súhlasom so spracovaním údajov podmieňovať plnenie zmluvy, teda dodanie tovaru alebo poskytnutie služby. Ak sa na vás v tomto duchu obráti nejaká spoločnosť s tvrdením, že bez udelenia vášho súhlasu so spracovaním osobných údajov vám už nemôže naďalej poskytovať svoje služby či s ich poskytovaním vôbec začať, nie je to pravda. Ak aj súhlas neudelíte, nesmiete byť pri plnení zmluvy nijako znevýhodnení.

Ďalej je možné spracovávať údaje, keď je to nevyhnutné, na splnenie právnej povinnosti prevádzkovateľa alebo na plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci. Ak teda má úrad zákonom predpísané, že musí z dôvodu evidencie nejaké údaje spracovávať, súhlas k tomu tiež nepotrebuje. Rovnako tak zamestnávateľ musí podľa Zákonníka práce a predpisov o sociálnom zabezpečení spracovávať mnoho údajov, a preto, že pri tom plní svoje právne povinnosti, môže tak robiť aj bez vášho súhlasu.

Právo na informácie a na prístup k údajom

Predovšetkým máte podľa GDPR právo na to, aby vás prevádzkovateľ transparentne a zrozumiteľne informoval o tom, čo sa s vašimi osobnými údajmi deje. GDPR predpisuje, že prevádzkovateľ musí osobe pri získaní údajov oznámiť zoznam základných informácií, aby bolo jasné, ako s údajmi nakladá. Napríklad ide o identifikačné a kontaktné údaje prevádzkovateľa, účel a právny základ spracovania, informácie o príjemcoch osobných údajov či o čase, počas ktorého budú u prevádzkovateľa údaje uložené.

Tým sa však vaše právo ani zďaleka nekončí. Keďže je jedným z hlavných prvkov úpravy ochrany osobných údajov zásada, že dotknutá osoba má mať nad informáciami o sebe kontrolu, vymedzuje nariadenie právo na prístup k nim. V podstate každej spoločnosti, úradu či fyzickej osoby sa môžete spýtať, či spracováva vaše osobné údaje. Pri kladnej odpovedi musíte dostať stanovené informácie a tiež kópiu svojich údajov. Prevádzkovateľ je vám v takejto situácii povinný oznámiť, na aký účel vaše údaje spracováva, komu údaje boli alebo budú sprístupnené, ako dlho mieni údaje uchovávať a tiež vás poučiť o vašich právach.

Každú žiadosť podľa GDPR musí prevádzkovateľ spracovať do jedného mesiaca od prijatia, a to bezplatne. To neplatí, ak sú žiadosti zjavne neodôvodnené alebo neprimerané (často sa opakujú). V takom prípade môže prevádzkovateľ buď uložiť primeraný poplatok za vybavenie, alebo žiadosti nevyhovieť. Pri kópii spracovávaných údajov platí, že bezplatne poskytuje prevádzkovateľ vždy len tú prvú.

Právo na opravu a „právo byť zabudnutý“

Len čo dôjde vo vašich osobných údajoch k nejakej zmene, máte právo na to, aby prevádzkovateľ bez zbytočného odkladu nepresnosti opravil, prípadne doplnil neúplné údaje. Právo na výmaz, čiže právo byť zabudnutý, v sebe zahŕňa základné pravidlo, že ak už nie sú údaje potrebné na účely, na ktoré boli zhromaždené, musia byť čo najskôr vymazané. To sa vzťahuje aj na situáciu, keď odvoláte súhlas so spracovaním svojich údajov − ak neexistuje žiadny ďalší právny dôvod na spracovanie (napríklad uzavretá zmluva), musí prevádzkovateľ údaje vymazať.

Právo byť zabudnutý je však vykladané ešte širšie. Podľa bývalej právnej úpravy už v roku 2014 rozhodol Súdny dvor Európskej únie, že internetové vyhľadávače sú zodpovedné za obsah, na ktorý odkazujú. Výsledkom takéhoto výroku v spore medzi španielskym občanom a spoločnosťou Google bolo, že Google musel vymazať výsledky vyhľadávania, ktoré sa zobrazili po zadaní mena Španiela, aj keď vyhľadávač len odkazuje na stránky s informáciami zverejnenými tretími stranami. Konkrétne Google môžete o odstránenie obsahu požiadať cez webový formulár, ktorý nájdete v sekcii najčastejších otázok v rubrike ochrana súkromia a zmluvné podmienky.

Právo na prenosnosť údajov a právo namietať

Zo všetkých oprávnení, ktoré GDPR obsahuje, sú novinkami iba prenositeľnosť údajov a námietka. Prenositeľnosť spočíva v tom, že ako dotknutá osoba máte právo od prevádzkovateľa získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a odovzdať ich inému prevádzkovateľovi bez toho, aby vám v tom ten pôvodný mohol brániť. Takýto postup je však možný len v prípade, keď sa údaje spracovávajú automatizovane na základe súhlasu alebo zmluvy. Ak je to technicky možné, môžete navyše požadovať, aby si prevádzkovatelia odovzdali údaje priamo medzi sebou. Zavedenie práva na prenositeľnosť má zjednodušiť prechody medzi rôznymi poskytovateľmi služieb, ktorí prenos údajov často komplikovali v snahe udržať si zákazníka.

Námietku môžete vzniesť proti spracovaniu, ktoré je vykonávané vo verejnom záujme alebo pri výkone verejnej moci alebo na účely oprávnených záujmov prevádzkovateľa. Jedným z oprávnených záujmov môže byť takzvaný priamy marketing, teda zasielanie ponúk, ktoré priamo súvisia so skorším nákupom a dajú sa preto očakávať. Napríklad môže ísť o ponuku stielok do topánok a impregnačného spreja od predajcu, u ktorého ste si predtým kúpili topánky. Ak vznesiete námietku proti priamemu marketingu, musí prevádzkovateľ prestať so spracovaním vašich údajov. V ďalších prípadoch môže v spracovaní pokračovať jedine vtedy, ak preukáže závažné oprávnené dôvody na spracovanie, ktoré prevažujú nad vašimi záujmami alebo nad vašimi právami a slobodami. Pokračovať v spracovaní možno tiež vtedy, ak sú údaje potrebné na určenie, výkon alebo obranu právnych nárokov.

Kam sa obrátiť

Dozorným orgánom v oblasti ochrany osobných údajov zostáva aj po účinnosti GDPR Úrad na ochranu osobných údajov. Ak teda budete mať v nejakej súvislosti podozrenie, že akýkoľvek prevádzkovateľ nezaobchádza s vašimi údajmi tak, ako by mal, alebo nebude chcieť vyhovieť napríklad vašej žiadosti o prístup k osobným údajom, môžete sa obrátiť na úrad so sťažnosťou. Na úrad máte možnosť sa obrátiť aj v prípade, keď máte podozrenie, že s vašimi údajmi zaobchádza nesprávne prevádzkovateľ z inej krajiny aj mimo EÚ.


Prihlásiť