Čo je GDPR?
GDPR je skratka z angličtiny pre (General Data Protection Regulation), znamená „Všeobecné nariadenie na ochranu osobných údajov“. Je nariadenie Európskej únie, ktoré chráni osobné údaje občanov. Zaväzuje firmy získať súhlas na spracovanie údajov, chrániť ich bezpečnosť a umožňuje ľuďom mať kontrolu nad tým, ako sú ich údaje použité.
GDPR nariadenie EÚ č. 2016/679, ktoré bolo vyhlásené 27. apríla 2016. Na Slovensku GDPR nahradilo predchádzajúci zákon o ochrane osobných údajov a jeho pravidlá sú platné v zákone č. 18/2018 Z.z. o ochrane osobných údajov. Toto nariadenie je platné od 25. mája 2018 a platí vo všetkých členských štátoch EÚ (vrátane Slovenska).
GDPR zákon
GDPR v praxi vznikol na posilnenie ochrany osobných údajov v reakcii na výzvy digitálnej éry, kde rýchly technologický pokrok ohrozoval súkromie používateľov.
Práva jednotlivcov
- Právo na prístup: Jednotlivci majú právo vedieť, aké osobné údaje o nich sú spracúvané.
- Právo na opravu: Môžu požiadať o opravu nepresných údajov.
- Právo na výmaz (právo byť zabudnutý): Môžu požiadať o vymazanie svojich údajov, ak už nie sú potrebné na účel, pre ktorý boli zhromaždené.
- Právo na obmedzenie spracovania: Jednotlivci môžu obmedziť spracovanie svojich údajov v určitých situáciách.
- Právo na prenášanie údajov: Môžu požadovať presun svojich údajov k inému poskytovateľovi služieb.
- Právo namietať: Majú právo namietať proti spracovaniu svojich údajov na základe určitých dôvodov.
Zodpovednosť prevádzkovateľov a sprostredkovateľov
- Zodpovedná osoba (Data Protection Officer – DPO): Organizácie, ktoré spracúvajú veľké množstvo osobných údajov alebo citlivé údaje, musia vymenovať zodpovednú osobu pre ochranu údajov.
- Posúdenie vplyvu na ochranu údajov (DPIA): Pre niektoré typy spracovania údajov, ktoré môžu predstavovať vysoké riziko pre práva a slobody jednotlivcov, je povinné vykonať DPIA.
- Záznamy o spracovateľských činnostiach: Organizácie musia viesť podrobnú evidenciu o tom, ako a prečo spracúvajú osobné údaje.
Bezpečnostné opatrenia
GDPR vyžaduje, aby organizácie implementovali technické a organizačné opatrenia na ochranu osobných údajov. Patrí tu šifrovanie, pseudonymizácia a pravidelné testovanie bezpečnostných systémov.
Inštrukcie pre dodržiavanie GDPR
- Vytvorte si interné smernice a školenia: Všetci zamestnanci by mali byť oboznámení s pravidlami GDPR a mali by byť vyškolení v oblasti ochrany osobných údajov.
- Zabezpečte správne postupy pre získavanie súhlasov: Súhlasy na spracovanie osobných údajov musia byť zrozumiteľné, ľahko dostupné a jednoznačné.
- Monitorujte a aktualizujte bezpečnostné opatrenia: Pravidelne prehodnocujte a aktualizujte svoje bezpečnostné postupy na ochranu údajov.
- Udržujte transparentnosť: Jasne informujte jednotlivcov o tom, ako ich údaje spracúvate, a umožnite im jednoduchý prístup k ich údajom.
Aby firmy a organizácie dodržiavali nariadenia GDPR, sú často využívané vzorové dokumenty. Pozrite si zoznam pre GDPR vzory zadarmo.
GDPR pokuty
Pokuty za porušenie GDPR môžu byť veľmi prísne a sú určené na odradenie od nedodržiavania nariadení. Maximálna výška pokuty môže dosiahnuť až 20 miliónov eur alebo 4 % z celkového ročného obratu spoločnosti, podľa toho, ktorá suma je vyššia. Okrem finančných sankcií môžu byť spoločnosti vystavené aj reputačnému riziku, čo môže mať negatívny dopad na ich obchodné vzťahy a dôveru zákazníkov.
GDPR cookies
Cookies sú malé súbory, ktoré webové stránky ukladajú do zariadenia návštevníka, aby sledovali jeho správanie a preferencie. Podľa GDPR musia webové stránky získať výslovný súhlas návštevníka pred tým, ako začnú cookies používať.
Tento súhlas musí byť informovaný, čo znamená, že užívateľ musí byť jasne informovaný o tom, aké údaje sa zhromažďujú a na aké účely. Taktiež musí byť poskytnutá možnosť odmietnuť použitie cookies alebo ich individuálne nastaviť. Cookies lišta by mala obsahovať tieto funkcie:
- Súhlas s cookies musí byť aktívny
- Rozdelenie cookies podľa účelu
- Transparentnosť informácií
- Možnosť vrátiť sa a opätovne zmeniť súhlas
- Výnimky z povinnosti získať súhlas
- Zodpovednosť tretej strany
Zdroje
Najčastejšie otázky a odpovede
Medzi osobné údaje patria napríklad:
- meno
- adresa
- e-mailová adresa
- telefónne číslo
- IP adresa
- lokalizačné údaje
- identifikačné čísla
- atď.
Podľa GDPR sú akékoľvek informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby. To znamená, že ide o údaje, ktoré priamo alebo nepriamo umožňujú určiť konkrétnu osobu.
Porušenie GDPR je možné nahlásiť Úradu na ochranu osobných údajov, ktorý má povinnosť riešiť takéto prípady.