Nová európska úprava ochrany osobných údajov: zásady spracúvania osobných údajov

Nové európske nariadenie o ochrane osobných údajov (GDPR) nadobudne v účinnosť od 25. mája 2018 vo všetkých štátoch Európskej únie a bude sa vzťahovať na všetky subjekty (tj. z celého sveta), ktoré sú aktívne na európskom trhu. Nariadenie zaručuje občanom Európskej únie vyššiu úroveň ochrany ich osobných údajov. Zásady, ktorým musí zodpovedať akékoľvek spracúvanie osobných údajov, sa nachádzajú v článku 5 odst. 1 a 2 GDPR a sú nasledujúce.

 

Zákonnosť, spravodlivosť a transparentnosť

Spracúvanie osobných údajov musí byť uskutočňované na základe právneho dôvodu (získanie súhlasu alebo zákonný dôvod). Osobné údaje musia byť spracúvané spravodlivým a transparentným spôsobom, ktorý je zrozumiteľný pre dotknutú osobu. Informácie ohľadne spracúvania osobných údajov musia byť dotknutej osobe poskytnuté presne, transparentne ľahko zrozumiteľnou a prístupnou formou.

 

Obmedzenie účelu

Osobné údaje môžu byť získavané len pre konkrétne určené, výslovne uvedené a legitímne účely. Ďalšie spracúvanie takýchto osobných údajov je povolené len vtedy, ak je spracúvanie zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne zhromaždené. Z tohto dôvodu bude musieť byť pre každý jednotlivý prípad spracúvania osobných údajov presne stanovený jeho konkrétny účel.

 

Minimalizácia údajov

Získavanie a spracúvanie osobných údajov musí byť obmedzené len na tie osobné údaje, ktoré sú relevantné a nevyhnutné k naplneniu stanoveného účelu.

 

Vecná správnosť

Spoločnosti budú musieť byť schopné preukázať, že osobné údaje sú vecne správne a aktuálne. Nesprávne údaje budú preto musieť byť bezodkladne vymazané alebo opravené. Spoločnosti budú musieť vykonávať z vlastnej iniciatívy pravidelné „aktualizačné kontroly“ osobných údajov.

 

Minimalizácia uchovávania

Uchovávanie osobných údajov je zásadne časovo obmedzené na dobu, ktorá je nevyhnutná pre dosiahnutie účelu spracúvania. Zároveň bude nevyhnutné dodržať zákonom stanovené lehoty uchovávania. Spoločnosti budú povinné taktiež skúmať, či nie je potrebné uskutočniť pseudonymizáciu alebo šifrovanie osobných údajov. Po pseudonymizácii nebude možné bez znalosti ďalších informácií, spojiť osobné údaje s konkrétnou fyzickou osobou. Za týmto účelom technické a organizačné opatrenia by mali byť prijaté.

 

Integrita a dovernosť

S cieľom zamedziť neoprávnenému alebo nezákonnému spracúvaniu osobných údajov, ako aj ich neúmyselnej strate alebo zničeniu príp. znehodnoteniu budú musieť byť prijaté vhodné opatrenia. Takéto opatrenia by sa mali prijať predovšetkým v oblasti organizačnej a IT, napr. obmedzením prístupu k osobným údajom pomocou prístupových hesiel, šifrovaním a podobne. Za týmto účelom budú musieť byť dodržiavané predovšetkým články 32 (Bezpečnosť spracúvania) a 35 (Posúdenie vplyvu na ochranu osobných údajov). Pokiaľ dôjde k porušeniu zabezpečenia osobných údajov v spojení s rizikom pre práva a slobody fyzických osôb, bude nevyhnutné túto skutočnosť v zmysle článku 33 nahlásiť Úradu pre ochranu osobných údajov. Prípadne – pokiaľ bude riziko vysoké – bude musieť byť informovaná priamo dotknutá osoba.

 

Zodpovednosť

Podľa zásady zodpovednosti (článok 5 odst. 2) vznikne spoločnostiam povinnosť preukázať, že dodržiavajú všetky vyššie uvedené zásady.

 

Kolegovia z našich pobočiek Vám budú kedykoľvek k dispozícii a radi Vám zodpovedajú prípadné ďalšie otázky.