GDPR – veľmi stručné zhrnutie

Aktuálne sa na podnikateľské subjekty valí zo všetkých strán množstvo reklamných spotov, informácií a výziev, týkajúcich sa GDPR (úplný názov: Nariadenia EP a Rady (EÚ) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES). Je GDPR dôvodom na obavy ? Je to len ďalšia byrokratická záťaž, ktorú budú podnikateľské subjekty musieť znášať?

Odpoveď je zložitá, áno i nie. GDPR je určite dôvodom na obavy, pokiaľ podnikateľský subjekt – v zmysle terminológie GDPR prevádzkovateľ – doteraz považoval otázku ochrany osobných údajov za neužitočný a zbytočný byrokratický výmysel a celú tému, v tom lepšom prípade, vyriešil obstaraním niekoľkých dokumentov, ktoré prípadne stiahol z webu.

Naopak, ak subjekt riadne plnil doterajšiu legislatívu (napr. prijatím primeraných organizačných, technických a personálnych opatrení a vedením riadnym vedením predpísanej dokumentácie, resp. obstaraním bezpečnostného projektu, plnením registračnej a evidenčnej povinnosti, atď.), GDPR rozhodne dôvodom na obavy nie je.

Slovenská republika totiž už pred nadobudnutím plnej účinnosti GDPR aplikovala režim ochrany osobných údajov, ktorý možno považovať za jeden z najprísnejších v Európe (len pre zaujímavosť, režim aplikovaný v Taliansku je taktiež považovaný za veľmi prísny). Dôvodom je, že Slovenská republika implementovala smernicu 95/46/ES veľmi dôkladne a extenzívne. Mnoho noviniek, ktoré GDPR prináša, tak pre podmienky Slovenskej republiky žiadnou novinkou nebudú, ba dokonca v niektorých smeroch sa existujúce povinnosti zrušia (napr. povinnosť registrácie informačných systémov na Úrade na ochranu osobných údajov, bezpečnostný projekt ako inštitút výslovne vyžadovaný právnou normou).

Základnou podstatou GDPR je posunutie témy ochrany osobných údajov do centra pozornosti vedenia firmy a následné dosiahnutie ochrany čo do podstaty a nie len „na papieri“.

Ochrana osobných údajov nie je len témou pre právnika, ale aj a najmä pre expertov z oblasti informatickej bezpečnosti a IT.

Osobné údaje bude jednoducho potrebné považovať za predmet vysokej hodnoty, hodný maximálnej ochrany. Obstojí takmer biblické prirovnanie, osobný údaj rovná sa cenná perla.

Ak máme stručne zhrnúť niektoré rozdiely medzi GDPR a doterajšou právnou úpravou, tie sú nasledovné:

-    GDPR je právny predpis priamo aplikovateľný vo všetkých členských štátoch EÚ, čo znamená jednotný režim ochrany osobných údajov v rámci EÚ a teda aj uľahčený tok osobných údajov medzi podnikmi v rámci EÚ;

-    Mení sa územná pôsobnosť európskych noriem v oblasti osobných údajov zavedením prvkov extrateritoriality (napr. GDPR sa bude vzťahovať aj na prevádzkovateľov z územia mimo EÚ, pokiaľ budú spracúvať osobné údaje dotknutých osôb z EÚ, v súvislosti s ponukou tovarov a služieb týmto osobám);

-    Sprísňuje sa režim a náležitosti súhlasu dotknutej osoby, ako právneho podkladu pre spracúvanie osobných údajov;

-    Rozširuje sa uplatnenie princípu transparentnosti spracúvania osobných údajov definovaním nových detailov ohľadne informačnej povinnosti prevádzkovateľov vo vzťahu k dotknutým osobám;

-    Zavádza sa mechanizmus oznamovania porušení ochrany osobných údajov dozornému orgánu v určitej lehote (72 hodín);

-    Významne sa zvyšuje výška potenciálnych sankcií za neplnenie právneho režimu GDPR (verejne známe čísla 20 mil. Euro, resp. 4 % z celosvetového ročného obratu, ktoré často slúžia na strašenie podnikateľov, sú však len maximá, režim ukladania sankcií obsahuje striktné pravidlá primeranosti);

-    Kladie sa nový dôraz na plnenie princípu zodpovednosti (tzv. accountability)  prevádzkovateľa, ktorý musí byť schopný preukázať dodržiavanie GDPR, a to najmä zavedením vhodných technických a organizačných opatrení, zavedením primeraných politík ochrany osobných údajov, plnením ochrany údajov na štandardnej báze, alebo na špecifickej báze („data protection by default“ a „data protection by design“), atď. Nový režim a právne povinnosti pritom nie sú obmedzené len na tzv. prevádzkovateľov, ale aj na tzv. sprostredkovateľov (subjekty, ktoré spracúvajú osobné údaje v mene prevádzkovateľa, napr. externé účtovné firmy, externý mzdový účtovníci), ktorým GDPR ukladá nové povinnosti;

-    Upresňuje sa režim medzinárodného transferu osobných údajov a rozširuje sa okruh opatrení, prostredníctvom ktorých je možné transfer legálne realizovať (napr. prijatím záväzných vnútropodnikových pravidiel, schváleným kódexom správania alebo certifikačným mechanizmom);

-    Upravuje sa vzťah medzi dozornými orgánmi jednotlivých členských krajín EÚ s jednotlivými orgánmi na ochranu osobných údajov zavedením režimu spolupráce a konzistentnosti, definovaním pojmov „vedúci dozorný orgán“, ktorý bude mať pri cezhraničnom spracúvaní osobných údajov podnikov hlavné slovo, a ktorý bude určený podľa tzv. hlavnej prevádzkarne prevádzkovateľa v rámci EÚ.⁽¹⁾

Samozrejme, nie je účelom tohto príspevku podať o GDPR ucelený a úplný prehľad; problematika GDPR je totiž nanajvýš rozsiahla a je potrebné ju posudzovať a aplikovať vždy s prihliadnutím na okolnosti konkrétneho podniku a konkrétneho systému spracúvania osobných údajov.

Vzhľadom na blížiaci sa termín, od ktorého sa bude GDPR uplatňovať – 25.5.2018 – je však možné poskytnúť isté odporučenie pre ďalší postup: je  vhodné, aby si podniky čo najskôr vykonali analýzu súladu aktuálneho stavu režimu ochrany osobných údajov s režimom predpokladaným GDPR (tzv. GAP analysis), na základe ktorej následne pristúpia k prípadnej aktualizácii existujúcich opatrení a príslušnej dokumentácie. Dátum 25. máj 2018 ich tak nájde pripravených.