Všeobecné nariadenie o ochrane údajov

Všeobecné nariadenie o ochrane údajov (anglicky General Data Protection Regulation, skrátene GDPR), plným názvom Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), je nariadenie Európskej únie, ktorého cieľom je výrazné zvýšenie ochrany osobných údajov občanov. V Úradnom vestníku Európskej únie bolo vyhlásené 27. apríla 2016.^[1] Nariadenia, v schválenom znení^[2], sú priamo účinné pre každý členský štát EÚ. V slovenskom právnom poriadku je nariadenie premietnuté aj do zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov z 29. novembra 2017.^[3] Zákon 18/2018 Z. z. je účinný na Slovensku rovnako ako GDPR od 25. mája 2018. Zákon bol priamo aj nepriamo aktualizovaný v roku 2019 (v znení č. 35/2019 Z. z. (nepriamo), 221/2019 Z. z.).^[4]

Súvis s ostatnými právnymi úpravami

Časť smernice sa zaoberá ochranou osobných údajov (doslovne "ochranou fyzických osôb pri spracúvaní osobných údajov") ale aj o voľnom pohybe údajov (všeobecne, napríklad právnických osôb, teda nielen osobných údajov), preto sa názov prekladá všeobecnejšie ako Všeobecné nariadenie o ochrane údajov, rovnako ako názov, ktorý mala pôvodná smernica 95/46/ES, ktorú GDPR nahradila. GDPR všeobecne určuje zásady, povinnosti, kódexy správania a ďalšie postupy najmä pre „prevádzkovateľov“ „sprostredkovateľov“ ale aj „tretie strany“, ktorými nie sú len firmy ale všeobecne fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt.

GDPR nie je jediná relevantná smernica EÚ. Problematiku osobných údajov v elektronickej komunikácií upravuje aj staršia smernica číslo 2002/58/ES. GDPR upravilo svoj vzťah voči tejto smernici tak, že GDPR neukladá "dodatočné povinnosti, pokiaľ ide o spracúvanie v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb vo verejných komunikačných sieťach v Únii, v prípadoch, keď podliehajú konkrétnym povinnostiam s rovnakým cieľom stanoveným v smernici.“ (Článok 95 GDPR)

Ak zahrnieme úplne všetky spôsoby získavania a používania osobných údajov na Slovensku, tak GDPR z veľkej časti túto oblasť pokrylo, nie však úplne. Kým väčšina spôsobov získavania a používania osobných údajov je zaraditeľná pod konkrétnu právnu úpravu, pri niektorých operáciách s osobnými údajmi nie je úplne jasné, ktorú časť pokrýva GDPR a ktorú nepokrýva, a ktorá je teda pokrytá slovenským zákonom o ochrane osobných údajov (18/2018 Z. z.) a inými právnymi predpismi, napríklad zákonom č. 351/2011 Z. z. o elektronických komunikáciách.^[5]

Predmet a ciele

Nariadenie chráni základné práva a slobody fyzických osôb so zameraním na právo ochrany osobných údajov. Stanovuje pravidlá ochrany fyzických osôb a pravidlá pre voľný pohyb (ktorý sa nesmie obmedziť ani zakázať) osobných údajov v Európskej únii (Článok 1, ods. 1-3). Táto konzistentná úroveň ochrany fyzických osôb v celej Únii má zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu (preambula, ods.13).

Obsah (po kapitolách a oddieloch)

KAPITOLA I - Všeobecné ustanovenia

(Článok 1 - Predmet úpravy a ciele, 2 - Vecná pôsobnosť, 3 - Územná pôsobnosť, 4 - Vymedzenie pojmov)

KAPITOLA II - Zásady

KAPITOLA III - Práva dotknutej osoby

Oddiel 1 - Transparentnosť a postupy

Oddiel 2 - Informácie a prístup k osobným údajom

Oddiel 3 - Oprava a vymazanie

Oddiel 4 - Právo namietať a automatizované individuálne rozhodovanie

Oddiel 5 - Obmedzenia

KAPITOLA IV - Prevádzkovateľ a sprostredkovateľ

Oddiel 1 - Všeobecné povinnosti

Oddiel 2 - Bezpečnosť osobných údajov

Oddiel 3 - Posúdenie vplyvu na ochranu údajov a predchádzajúca konzultácia

Oddiel 4 - Zodpovedná osoba

Oddiel 5 - Kódexy správania a certifikácia

KAPITOLA V - Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám

KAPITOLA VI - Nezávislé dozorné orgány

Oddiel 1 - Nezávislé postavenie

Oddiel 2 - Príslušnosť, úlohy a právomoci

KAPITOLA VII - Spolupráca a konzistentnosť

Oddiel 1 - Spolupráca

Oddiel 2 - Konzistentnosť

Oddiel 3 - Európsky výbor pre ochranu údajov

KAPITOLA VIII - Prostriedky nápravy, zodpovednosť a sankcie

KAPITOLA IX - Ustanovenia o osobitných situáciách spracúvania

KAPITOLA X - Delegované akty a vykonávacie akty

KAPITOLA XI - Záverečné ustanovenia

Vecná pôsobnosť GDPR (článok 2)^[6]

Nariadenie sa vzťahuje na automatické spracovanie osobných údajov aj na neautomatizované spracovanie osobných údajov, ktoré tvoria súčasť informačného systému (IS) alebo sú určené na to, aby tvorili súčasť informačného systému.

Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:

• a) v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;
• b) členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V Zmluvy o EÚ;
• c) fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;
• d) príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.

Na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa uplatňuje nariadenie (ES) č. 45/2001. Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie uplatniteľné na takéto spracúvanie osobných údajov budú preskúmané a upravia sa tak aby boli v súlade s týmto nariadením. Naopak týmto nariadením nie je dotknuté uplatňovanie smernice 2000/31/ES (najmä pravidlá týkajúce sa zodpovednosti poskytovateľov služieb).

Osobné údaje podľa GDPR

Bližšie informácie v hlavnom článku: Osobný údaj

Nariadenie spresňuje a rozširuje okruh a definíciu osobných údajov v článku 4 odsek 1 takto: akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. Osobným údajom je teda aj emailová adresa, dokonca podľa nariadenia GDPR osobné údaje (online identifikátory) sú aj cookies,^[7] IP adresy, či iné virtuálne identifikátory.

Osobné údaje sú informácie o osobe, preto osobným údajom nie sú napr. údaje o právnickej osobe (o jej zamestnancoch už ale áno), údaje o osobách zomretých, nie sú to údaje, ktoré konkrétnu osobu nestotožňujú (napr. obyčajné bežné meno a priezvisko ak existujú viacerí jeho nositelia) a medzi osobné údaje nepatria údaje anonymizované, teda také, ktoré pôvodne možnosť identifikácie osoby obsahovali, ale taký identifikátor z nich bol odstránený.

Citlivé osobné údaje (napr. rodné číslo)

GDPR niektoré osobné údaje považuje za „citlivé“ (článok 4 ods. 13, 14 a 15, článok 9 a odôvodnenia 51 – 56 GDPR^[8], ktoré sa takto súhrnne nenazývajú ale sú uvádzané ako „genetické údaje“, „biometrické údaje“ „údaje týkajúce sa zdravia“), ktorých spoločným znakom je, že podliehajú osobitným podmienkam spracovania.^[8] Na stránkach Európskej komisie sú uvedené tieto^[8]:

• osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie;
• členstvo v odborových zväzoch;
• genetické údaje, biometrické údaje spracúvané len na účely identifikácie ľudskej bytosti;
• zdravotné údaje;
• údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie danej osoby.

V rámci stanovenia „kategórií“ osobných údajov, ktoré patria do osobitnej kategórie osobných údajov, došlo na Slovensku k zmenám platným od 25. 5.2018. Podľa Úrad na ochranu osobných údajov Slovenskej republiky (ÚOOÚ)^[9]:

• zákon č. 122/2013 Z. z. pozná osobitnú kategóriu osobných údajov, ktoré sú v uvedené v § 13 a odtiaľ vypadol z týchto citlivých osobných údajov údaj o členstve v politickej strane alebo hnutí a tiež
• rodné číslo. Slovenská republika prijala novú úpravu spracúvania rodného čísla, ako národného identifikátora a to v § 78 ods. 4 zákona č. 18/2018 Z. z., a to na základe splnomocňujúceho ustanovenia nariadenia v čl. 87. Stále platí, že rodné číslo je zakázané zverejňovať, právo zverejniť rodné číslo ma iba dotknutá osoby, ktorej sa týka.^[9]
• Zo zoznamu citlivých osobných údajov tiež vypadli údaje týkajúce sa uznania viny za trestné činy a priestupky, ktoré sa stali samostatnou kategóriou osobných údajov a sú uvedené v čl. 10 nariadenia.^[9]

Záväznosť

Nariadenie je záväzné vo svojej celistvosti a priamo uplatniteľné vo všetkých členských štátoch.

Z obsahu

Nariadenie definuje zásady spracovanie osobných údajov a podmienky zákonnosti ich spracovania. Upravuje tiež podmienky vyjadrenia poskytnutého súhlasu so spracovaním údajov a poskytovanie informácií a prístupu k osobným údajom.

Vybrané práva subjektu údajov

Mimo ďalších, má subjekt údajov nasledujúce práva:

• Na opravu
• Na výmaz (tzv. právo byť zabudnutý)
• Na obmedzenie spracovania

Prípady porušenia GDPR

V správe za rok 2019 sa NKÚ: píše "Nedostatočná alebo často len formálne deklarovaná bezpečnosť spracúvaných osobných údajov v IS verejnej správy môže byť zneužitá v neprospech štátu, a to vzhľadom na rastúce útoky neetických hackerov na IS verejnej správy, ktoré sú vedené s jediným cieľom – neoprávnene získať spracúvané osobné údaje. Ukázalo sa, že tento stav v rámci systému ochrany údajov existuje najmä z toho dôvodu, že na účel zabezpečenia osobných údajov spracúvaných v IS orgánov verejnej správy nie sú vyčlenené a ani systematicky vyčleňované potrebné finančné prostriedky, a to ani na odborníkov, ktorí by mali ochranu osobných údajov riadiť a správne implementovať potrebné opatrenia." Orgány verejnej moci a verejnoprávne subjekty spracúvajúce osobné údaje boli povinné od 25. mája 2018 určiť tzv. zodpovednú osobu. "Z vyjadrení kontrolovaných subjektov a ďalších zistení pri kontrole vyplynulo, že slabšie výsledky zavedenia inštitútu zodpovednej osoby do praxe idú na vrub aj nesprávneho prekladu názvu tejto osoby. Tomuto názvu totiž nezodpovedá ani preklad originálu textu Nariadenia (EÚ) tejto osoby v anglickom jazyku „Data protection officer“. Jeho doslovný preklad je „Úradník pre ochranu údajov“."^[10]

Za porušenie pravidiel spracúvania osobných údajov za tri roky od účinnosti zákona (2018 - 2021) udelil rozhodnutiami Úradu na ochranu osobných údajov SR (ÚOOÚ) desiatky pokút.^[11] Do konca roka 2019 na pokutách zaplatili najmä firmy, mestá či obce 78,3 tisíc eur.^[12] V roku 2020 to bolo celkovo 54 pokút vo výške 103 tisíc eur. Najvyššia pokuta dostala Sociálna poisťovňa vo výške 50 tisíc eur za to, že citlivé osobné údaje poistenca posielala do zahraničia formou nedoporučenej listovej zásielky 2. triedy.^[12] Najvyššia pokuta v roku 2020 vo výške 20 tisíc eur bola udelená Dopravnému podniku Bratislava (DPMB), pričom priemerná pokuta dosiahla úroveň 1 913 eur. Najviac pokút dostali mestá a obce najmä kvôli zverejneniu údajov zo zmlúv a rokovaní na webe, druhé v poradí boli školské zariadenia.^[13] Pre porovnanie, dve najvyššie pokuty do začiatku roka 2020 udelil Francúzsky úrad (CNIL) spoločnosti Google a to vo výškach 100 miliónov a 50 miliónov eur. Množstvo zaplatených pokút do začatku roka 2020 v celej Európskej únii sa odhaduje na 114 miliónov eur .^[12]

Relatívne veľa pokút súviselo s monitorovaním priestorov kamerovými systémami, ktoré upresňuje Usmernenie 3/2019 k spracúvaniu osobných údajov prostredníctvom kamerových systémov, ktoré vydal Európsky výbor pre ochranu osobných údajov. ÚOOÚ v prípade neuvedenia právneho dôvodu monitorovania príjazdovej cesty kamerovým systémom uložil okresnému mestu pokutu vo výške 9 000 EUR a za ďalšie porušenia rekordnú pokutu vo výške 20 000 EUR dopravcovi (pravdepodobne DPMB).^[11][14]

Prevádzkovateľ IS je povinný oznámiť ÚOOÚ prípad porušenia ochrany osobných údajov ^{[15] [16]} a tiež je možné nahlásiť priamo aj konanie smerujúce k porušeniu ochrany osobných údajov.^[17][18]

17. augusta 2021 Národné centrum zdravotníckych informácií podalo v súvislosti s únikom dát trestné oznámenie na neznámeho páchateľa, ktoré súviselo s tým, že spoločnosť Nethemba tvrdila, že NCZI nebolo opäť schopné ochrániť osobné dáta miliónov ľudí. Poukázala na to, ako je možné získať európske vakcinačné preukazy všetkých zaočkovaných občanov. NCZI odmietlo, že by nedokázalo dáta ochrániť. ^[19] Nethemba sa bránila, že rodné čísla neodcuzili, ale si ich vygenerovali a cez verejne dostupný portál len overili ich validnosť, nezískali ich nelegálnym alebo nelegitímnym spôsobom. Takže nedošlo k porušeniu zákona. Striktne odmietajú, že spoločnosť získala vakcinačné preukazy desiatich politikov. ^[20]

Referencie

1. Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov
2. L_2016119SK.01000101.xml [online]. eur-lex.europa.eu, [cit. 2019-10-15]. Dostupné online.
3. Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov [online]. Bratislava: Ministerstvo spravodlivosti SR, 2017-11-29, [cit. 2018-06-14]. Dostupné online.
4. S-EPI. 18/2018 Z. z. Zákon o ochrane osobných údajov | Aktuálne znenie [online]. Zákony pre ľudí, [cit. 2021-09-03]. Dostupné online.
5. KARAS, Mirek. Nevyžiadané e-maily a GDPR [online]. Denník N, 2018-07-16, [cit. 2019-10-15]. Dostupné online.
6. L_2016119SK.01000101.xml [online]. eur-lex.europa.eu, [cit. 2018-09-18]. Dostupné online.
7. Čo sú osobné údaje? Čo je osobný údaj? Čo patrí medzi osobné údaje [online]. www.banos.sk, [cit. 2019-01-10]. Dostupné online.
8. Ktoré osobné údaje sa považujú za citlivé? [online]. Web EK / Právny základ spracúvania údajov / Citlivé údaje, [cit. 2021-09-03]. Dostupné online.
9. Často kladené otázky k Nariadeniu a zákonu č. 18/2018 z. z. | Úrad na ochranu osobných údajov Slovenskej republiky [online]. dataprotection.gov.sk, [cit. 2021-09-03]. Dostupné online. Archivované 2021-09-03 z originálu.
10. Záverečná správa - Systém ochrany a bezpečnosti údajov vo verejnom sektore. [online]. NKÚ SK Portál, [cit. 2021-09-03]. Dostupné online. Archivované 2021-10-22 z originálu.
11. TRI ROKY S GDPR: NAJČASTEJŠIE PRÍPADY PORUŠENIA OCHRANY OSOBNÝCH ÚDAJOV PRI MONITOROVANÍ PRIESTORU KAMEROVÝM SYSTÉMOM [online]. havelpartners.cz, 2021-05-25, [cit. 2021-09-03]. Dostupné online.
12. ŽIVÉ.SK. Postrach menom GDPR: Koľko pokút udelili na Slovensku [online]. Živé.sk, 2020-01-27, [cit. 2021-09-03]. Dostupné online.
13. Tri roky GDPR na Slovensku. Vo výške a vymáhaní pokút patríme na chvost Európy [online]. www.trend.sk, 2021-05-25, [cit. 2021-09-03]. Dostupné online.
14. GDPR na Slovensku oslavuje tri roky - mýty sa nenaplnili [online]. 2021-05-25, [cit. 2021-09-03]. Dostupné online.
15. S-EPI s.r.o., AION CS s.r.o.. GDPR: Porušenie ochrany osobných údajov [online]. epi.sk, [cit. 2021-09-03]. Dostupné online.
16. Ústredný portál verejnej správy [online]. slovensko.sk, [cit. 2021-09-03]. Dostupné online.
17. Konanie o ochrane osobných údajov [online]. dataprotection.gov.sk, [cit. 2021-09-03]. Dostupné online. Archivované 2021-09-03 z originálu.
18. Spolok pre ochranu osobných údajov [online]. [Cit. 2021-09-03]. Dostupné online.
19. TASR. NCZI podalo v súvislosti s únikom dát trestné oznámenie. teraz.sk (Bratislava: TASR), 2021-08-17. Dostupné online [cit. 2021-09-03].
20. BLOG [online]. nethemba.com, 2021-08-19, [cit. 2021-09-03]. Dostupné online.

Externé odkazy

• GDPR na EUR-Lex vo všetkých úradných jazykoch (aj slovenčine) vo formátoch HTML, PDF a Official Journal
• GDPR (oficiálny slovenský preklad) na EUR-Lex vo formáte html
• Základné informácie o GDPR na stránkach EÚ
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov – slovenská legislatívna implementácia nariadenia

Zdroj

Tento článok je čiastočný alebo úplný preklad článku Obecné nařízení o ochraně osobních údajů na českej Wikipédii.