Ako sa za dva roky zmenila ochrana osobných údajov?

Aj napriek tomu, že naša pozornosť sa v posledných týždňoch orientuje najmä na situáciu ohľadom ochorenia COVID-19, ktorá sa stala témou č. 1 pre väčšinu podnikateľov a občanov, radi by sme si pripomenuli aj máj 2018.  Práve ten si mnohí pamätáme ako mesiac „osobných údajov“.

Nariadenie EÚ č. 2016/679, známejšie ako „Nariadenie GDPR“, oslávi 25. mája 2020 dva roky od kedy sa stalo účinným. Táto právna úprava od základov zmenila koncepciu ochrany osobných údajov fyzických osôb v rámci EÚ.

Pred dvoma rokmi to bolo práve slovo „GDPR“, ktoré na nás vyskakovalo pomaly na každom rohu. Spájalo sa s viacerými novými povinnosťami, od informačných povinností vo vzťahu k dotknutým osobám, k prehodnocovaniu zákonnosti spracúvaných osobných údajov až po zavádzanie nových interných bezpečnostných procesov na zlepšenie ochrany osobných údajov.

Mailové schránky zahltilo veľké množstvo oznámení, v ktorých spoločnosti žiadali o opätovné zasielanie súhlasov s informovaním o novinkách a newslettroch. Dozvedeli sme sa, čo znamená slovo „cookies“. Strašiakom sa stali vysoké pokuty, ktoré môže uložiť Úrad na ochranu osobných údajov, ako garant ochrany osobných údajov na Slovensku.

Napriek tomu, že „boom“ okolo Nariadenia GDPR postupne pominul, ochrana osobných údajov a povinnosti, ktoré toto Nariadenie prinieslo, zostali. Pripomeňme si preto, čo toto Nariadenie GDPR prinieslo a ako sa za posledné dva roky od jeho účinnosti zmenila ochrana osobných údajov.

Nariadenie GDPR v skratke

• spresnilo definíciu pojmu „osobný údaj“;
• upravilo povinnosť poskytovať dotknutým osobám zrozumiteľne a ľahko dostupné informácie o spracúvaní ich osobných údajov;
• vymedzilo zásady spracúvania osobných údajov a určilo jasné právne základy na ich spracúvanie;
• bližšie špecifikovalo obsahové a formálne podmienky súhlasu so spracúvaním osobných údajov (o týchto sa môžete dočítať viac v našom staršom článku);
• zaviedlo povinnosť spracúvať osobné údaje len na konkrétne, presne vymedzené účely;
• obmedzilo automatizované spracúvanie osobných údajov a profilovanie;
• posilnilo bezpečnosť a ochranu pri spracúvaní osobných údajov (štandardná –  „data protection by default“ a špecifická ochrana – „data protection by design“);
• posilnilo väčšiu kontrolu fyzických osôb nad svojimi osobnými údajmi.

U nás viedlo k prijatiu samostatného zákona o ochrane osobných údajov, ktorý je publikovaný pod č. 18/2018 Z.z. ako zákon o ochrane osobných údajov.

Ochrana osobných údajov po dvoch rokoch. Išlo o pozitívnu zmenu?

Nariadenie GDPR, nepochybne, predstavuje najväčšiu reorganizáciu podmienok spracúvania a ochrany osobných údajov prijatú na pôde EÚ.

Nemožno mu uprieť, že po jeho prijatí sa zvýšila zodpovednosť spoločností pri zabezpečení lepšej ochrany spracúvaných osobných údajov, ako aj informovanosť a povedomie ľudí o ich právach pri spracúvaní ich osobných údajov. Fyzické osoby tak získali väčšiu kontrolu nad tým, ktoré ich osobné údaje a kým sú spracovávané.

Skutočnosť, že Nariadenie GDPR neostalo len v teoretickej rovine, predstavuje aj viacero pokút, ktoré boli v posledných dvoch rokoch uložené za jeho porušenie v jednotlivých členských štátoch EÚ.

Spomenieme napríklad Rakúsko, kde rakúska pošta dostala za porušenie pokutu vo výške 18 mil. EUR, alebo Veľkú Britániu a pokutu uloženú britským aerolíniám vo výške 183 mil. libier, prípadne Francúzsko, kde Google LLC. dostal pokutu vo výške 50 mil. V Českej republike rovnako evidujú prípad porušenia osobných údajov s vysokou pokutou vo výške 1,5 milióna českých korún. Na Slovensku zatiaľ k uloženiu takejto rekordnej pokuty nedošlo.

Aj napriek tomu, že je Nariadenie GDPR účinné už 2 roky, stále sa výklad jeho ustanovení spresňuje (napr. Rozsudok Súdneho dvora EÚ o tom, ako má vyzerať súhlas s používaním „cookies“). Nemožno mu však uprieť, že jeho prijatie znamenalo významný prínos pre ochranu osobných údajov.