Dňa 25.05.2018 sa v členských štátoch Európskej únie (ďalej len „EÚ“) začne uplatňovať nové Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „Nariadenie GDPR“), ktoré nahradí a zjednotí doterajšiu právnu úpravu. Súčasná právna úprava ochrany osobných údajov, ktorá vychádza zo Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 totiž nie je implementovaná rovnako vo všetkých krajinách EÚ a po viac ako dvadsiatich rokoch už ani nezodpovedala súčasným potrebám spoločnosti. Nižšie prinášame prehľad najdôležitejších zmien, ktoré Nariadenie GDPR prinesie.

Pôsobnosť

Oproti súčasnej úprave bude mať Nariadenie GDPR širšiu územnú pôsobnosť a nebude sa vzťahovať iba na prevádzkovateľov a sprostredkovateľov, ktorí spracúvajú osobné údaje v rámci svojej činnosti v EÚ, ale za určitých okolností aj na prevádzkovateľov a sprostredkovateľov, ktorí síce v EÚ nie sú usadení, no spracúvajú osobné údaje osôb, ktoré sa v EÚ nachádzajú.

Právo na zabudnutie

V prípade, ak budú splnené zákonné podmienky (napr. osobné údaje nie sú potrebné na účel spracúvania, oprávnená osoba súhlas odvolá alebo sú osobné údaje spracúvané nezákonne) bude prevádzkovateľ povinný, na žiadosť dotknutej osoby jej osobné údaje bez zbytočného odkladu vymazať.

Zodpovedná osoba

Orgánom verejnej moci, verejnoprávnym subjektom a vybraným prevádzkovateľom vznikne povinnosť určiť si zodpovednú osobu za spracúvanie osobných údajov.

Upozornenie na porušenie ochrany osobných údajov

Prevádzkovatelia a sprostredkovatelia budú povinní upozorniť dozorný orgán na to, že došlo k porušeniu ochrany osobných údajov a to bezodkladne (najneskôr do 72 hodín). V prípade, ak porušením došlo k vysokému riziku pre práva a slobody dotknutých osôb, budú prevádzkovateľ a sprostredkovateľ povinní oznámiť porušenie aj samotnej dotknutej osobe.

Zjednodušenie administratívy

Nariadenie GDPR upustilo od registračných a oznamovacích povinností a nahradilo ich povinnosťou viesť záznamy o spracovateľských činnostiach. Táto povinnosť sa však nebude týkať osoby, zamestnávajúcej menej ako 250 ľudí, pokiaľ neexistuje riziko, že spracúvanie povedie k ohrozeniu práv a slobôd dotknutých osôb, pokiaľ je spracúvanie príležitostné, alebo pokiaľ nespracúva osobitné kategórie údajov resp. osobné údaje týkajúce sa viny za trestné činy a priestupky.

Princíp one-stop-shop

Za účelom kontroly dodržiavania Nariadenia GDPR bude každý členský štát povinný zriadiť nezávislý dozorný orgán. Dozorné orgány všetkých členských štátov budú napomáhať k jednotnému uplatňovaniu Nariadenia GDPR a budú navzájom spolupracovať. Veľké spoločnosti, s prevádzkarňami vo viacerých krajinách EÚ, sa pritom budú riadiť rozhodnutím iba jedného dozorného úradu (väčšinou podľa sídla spoločnosti), a teda rozhodnutia nebudú vydávané pre každú prevádzkareň iným dozorným orgánom.