• advokátska kancelária Bratislava, Vajnorská 100/A

faq

Často kladené otázky (FAQ)

1.     Čo je to GDPR?

GDPR je anglická skratka pre všeobecné nariadenie o ochrane osobných údajov. GDPR ustanovuje nový právny rámec pre ochranu osobných údajov fyzických osôb v Európskej únii.

 

2.     Čo znamená dátum uplatňovania nariadenia GDPR?

Dátum uplatňovania je dátumom, od kedy je nariadenie spôsobilé vyvolať právne účinky voči fyzickým osobám a právnickým osobám, ktoré spadajú pod jeho pôsobnosť. Ide teda o dátum, od ktorého sa bude nariadenie aplikovať.

Nariadenie GDPR sa začne aplikovať od 25. mája 2018.

 

3.     Koho sa nariadenie GDPR týka?

Nariadenie sa bude aplikovať jednak na všetkých prevádzkovateľov a sprostredkovateľov usadených v Európskej únii, ale aj na prevádzkovateľov a sprostredkovateľov, ktorí síce nie sú usadení v Európskej únii, avšak ich spracovateľská činnosť ohľadom osobných údajov dotknutých osôb nachádzajúcich sa v Európskej únii súvisí s (i) ponukou tovarov a služieb týmto dotknutým osobám, alebo (ii) sledovaním  správania týchto dotknutých osôb.

 

4.     Aké sú sankcie za nesúlad s nariadením GDPR?

Nie každé porušenie ustanovení nariadenia musí nutne znamenať okamžité uloženie správnej pokuty. Uloženie správnej pokuty je len jednou z možných nápravných opatrení, ktorou v zmysle nariadenia GDPR disponujú dozorné orgány.

Výšky možných správnych pokút ukladaných v zmysle nariadenia GDPR sú rozdelené do dvoch skupín v závislosti od toho, akého porušenia sa prevádzkovateľ alebo sprostredkovateľ dopustil. Rozdelenie správnych pokút do dvoch skupín odzrkadľuje dôležitosť jednotlivých povinností, ktoré prevádzkovateľ alebo sprostredkovateľ porušil.

V prvej skupine porušení možno udeliť správnu pokutu až do výšky 10 mil. EUR alebo do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

V druhej skupine porušení možno udeliť správnu pokutu až do výšky 20 mil. EUR alebo do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

 

5.     Musím mať ustanovenú zodpovednú osobu (DPO)?

Povinnosť mať ustanovenú zodpovednú osobu sa automaticky nevzťahuje na všetkých prevádzkovateľov a sprostredkovateľov. Zodpovedná osoba (DPO) musí byť povinne ustanovená len v prípadoch, ak:

(i)             spracúvanie osobných údajov je vykonávané orgánom verejnej moci alebo verejnoprávnym subjektom,

(ii)            hlavnými činnosťami prevádzkovateľa (sprostredkovateľa) sú spracovateľské operácie, ktoré vyžadujú pravidelné a      systematické

                 monitorovanie dotknutých osôb vo veľkom rozsahu,

(iii)           hlavnými činnosťami prevádzkovateľa (sprostredkovateľa) je spracúvanie citlivých osobných údajov vo veľkom rozsahu,

(iv)           hlavnými činnosťami prevádzkovateľa (sprostredkovateľa) je spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy

                 a priestupky.

Za hlavné činnosti sa považujú podľa usmernenia WP29 primárne činnosti prevádzkovateľa (sprostredkovateľa) a nie vedľajšie, ktoré tvoria neoddeliteľnú súčasť  jeho core biznisu.

Spracúvanie údajov vo veľkom rozsahu sa hodnotí s ohľadom na počet dotknutých osôb, objem, rozsah údajov, položiek, trvanie, stálosť spracovateľskej činnosti a geografický rozsah. Napríklad za spracúvanie osobných údajov vo veľkom rozsahu sa považuje spracúvanie osobných údajov pacientov v nemocnici, cestujúcich v MHD, klientov poisťovne, banky, spracúvanie údajov internetovým prehliadačom ako aj spracúvanie údajov pri poskytovaní telekomunikačných a internetových služieb. Za spracúvanie osobných údajov vo veľkom rozsahu sa nepovažuje spracúvanie osobných údajov pacientov jedného lekára či jedného advokáta.

 

6.     Čo je to osobný údaj?

Osobnými údajmi sú v zmysle nariadenia GDPR akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Za identifikovateľnú fyzickú osobu je potrebné považovať každú osobu, ktorú možno akýmkoľvek spôsobom identifikovať či už priamo alebo aj nepriamo. Okrem tradičných osobných údajov ako meno, priezvisko, adresa či emailová adresa sa za osobné údaje budú podľa GDPR považovať aj lokalizačné údaje, online identifikátory ako IP adresa, plávajúca IP adresa, MAC adresa, cookies ako aj genetické faktory.

 

7.     Čo sú to osobitné kategórie osobných údajov?

Nariadenie GDPR upravuje aj osobitné kategórie osobných údajov, tzv. citlivé údaje, ktorých spracúvanie sa povoľuje len na základe presne vymedzených právnych základov. Ide napríklad o údaje ohľadom rasového alebo etnického pôvodu, politických názorov, náboženského alebo filozofického presvedčenia, o genetické údaje, zdravotné údaje ako aj biometrické údaje.

 

8.     Je rodné číslo osobitnou kategóriou osobných údajov?

GDPR nepovažuje národný všeobecný identifikátor, na Slovensku je to rodné číslo, za citlivý údaj. Ponecháva však podrobnosti jeho ochrany na národnú legislatívu. Preto aj v predkladanom novom zákone o ochrane osobných údajov sa ustanovuje pre rodné číslo rovnaká ochrana a pravidlá pre spracúvane ako pre citlivé osobné údaje. 

 

9.     Bude prevádzkovateľ povinný vypracovať bezpečnostný projekt podľa GDPR?

Podľa GDPR už nebude povinnosť vypracovať bezpečnostný projekt ale prevádzkovateľ bude povinný v osobitných spracovateľských operáciách (systematické monitorovanie verejne prístupných miest vo veľkom rozsahu, ak prevádzkovateľ spracúva osobitnú kategóriu osobných údajov vo veľkom rozsahu, ak prevádzkovateľ spracúva osobné údaje o uznaní viny za trestné činy a priestupky , profilovanie či automatické spracúvanie osobných údajov) vykonať posúdenie vplyvu (impact assessment), prípadne požiadať úrad o predchádzajúcu konzultáciu.

 

10.  Ako musím zabezpečiť osobné údaje dotknutých osôb?

Každý prevádzkovateľ má v zmysle nariadenia GDPR povinnosť vzhľadom na povahu, rozsah, kontext a účely spracúvaných osobných údajov dotknutých osôb, ako aj vzhľadom na možné riziká, prijať vhodné technické a organizačné opatrenia na zabezpečenie súladu spracovania osobných údajov s nariadením GDPR. Jednou z možností zabezpečenia osobných údajov je napríklad ich pseudonymizácia alebo šifrovanie.

 

11.  Čo je to bezpečnostný incident?

V zmysle nariadenia GDPR sa bezpečnostný incident nazýva ako „porušenie ochrany osobných údajov“, pričom je definovaný ako porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo neoprávnenému poskytnutiu osobných údajov, ktoré sa spracúvajú, alebo neoprávnený prístup k týmto údajom.

 

12.  Komu a v akej lehote musím hlásiť bezpečnostný incident?

V prípade, ak u prevádzkovateľa dôjde k porušeniu ochrany osobných údajov, je prevádzkovateľ povinný bez zbytočného odkladu po tom, čo sa o porušení ochrany dozvedel, oznámiť toto porušenie príslušnému dozornému orgánu. Prevádzkovateľ by mal ohlásenie vykonať podľa možnosti najneskôr do 72 hodín, a v prípade omeškania pripojiť k oznámeniu aj zdôvodnenie takéhoto omeškania. Oznámenie nie je potrebné vykonať v prípade, ak nie je pravdepodobné, že porušenie ochrany osobných údajov by viedlo k riziku pre práva a slobody dotknutých osôb.

V prípade, ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb, má prevádzkovateľ povinnosť bez zbytočného odkladu oznámiť porušenie ochrany osobných údajov aj dotknutej osobe.

 

 

 

 

Advokátsku kanceláriu Semančín & Partners nájdete v Polus Tower I, Vajnorská 100/A, Bratislava

Na vrch stránky