Koho sa týka nariadenie GDPR?

Obecné nariadenie o ochrane údajov, známe ako GDPR (z ang. General Data Protection Regulation), sa týka každého, kto pracuje s osobnými údajmi občanov Európskej únie. Bez ohľadu na to, či ide o malú firmu, veľký korporátny subjekt, neziskovú organizáciu alebo jednotlivca, každá entita, ktorá zhromažďuje, spracúva alebo uchováva osobné údaje, má povinnosť dodržiavať pravidlá stanovené GDPR.

GDPR prinieslo zásadné zmeny v tom, ako organizácie pristupujú k ochrane súkromia svojich klientov, používateľov a zamestnancov. Nariadenie sa vzťahuje nielen na firmy sídliace v EÚ, ale aj na spoločnosti mimo EÚ, pokiaľ ponúkajú svoje služby alebo tovar občanom EÚ alebo monitorujú ich správanie.

V tomto článku podrobne objasníme, koho sa konkrétne GDPR týka, aké sú jeho hlavné prvky a povinnosti subjektov údajov a prevádzkovateľov. Poskytneme odpovede na časté otázky, aby ste získali jasný prehľad o vašich povinnostiach v oblasti ochrany osobných údajov.

Kto je subjektom GDPR?

GDPR sa vzťahuje na niekoľko typov subjektov, ktoré spracúvajú osobné údaje. Rozlišujeme najmä dva hlavné druhy zainteresovaných strán:

1. Prevádzkovatelia údajov

Prevádzkovateľ (angl. Controller) je osoba alebo organizácia, ktorá určuje účel a prostriedky spracúvania osobných údajov. Prevádzkovateľ teda rozhoduje, prečo a ako budú údaje spracúvané. Medzi typické príklady patrí:

• Firmy, ktoré uchovávajú údaje o zákazníkoch na účely objednávok alebo marketingu.
• Školy a univerzity spracúvajúce informácie o študentoch.
• Nemocnice uchovávajúce zdravotné záznamy pacientov.

2. Sprostredkovatelia údajov

Sprostredkovateľ (angl. Processor) je subjekt, ktorý spracúva údaje v mene prevádzkovateľa. Nemá právo sám určovať účely spracovania. Príklady:

• Externé IT spoločnosti, ktoré spravujú servery pre inú firmu.
• Účtovné firmy spracúvajúce osobné údaje zamestnancov klientov.
• Marketingové agentúry obsluhujúce databázy klientov.

Na koho sa GDPR vzťahuje geograficky?

GDPR má široký geografický dosah. Nezáleží na tom, kde sa organizácia nachádza, ale na tom, či zachádza s osobnými údajmi občanov EÚ. GDPR sa vzťahuje na:

Firmy v rámci EÚ

Všetky organizácie sídliace v rámci Európskej únie, ktoré spracúvajú osobné údaje, musia dodržiavať GDPR bez ohľadu na ich veľkosť alebo sektor pôsobenia.

Firmy mimo EÚ

GDPR sa tiež vzťahuje na akúkoľvek firmu mimo EÚ, pokiaľ:

• ponúka svoje výrobky alebo služby občanom EÚ, napríklad prostredníctvom e-shopov, aplikácií alebo predaja online kurzov,
• monitoruje správanie používateľov z EÚ (napr. prostredníctvom cookies, analytických nástrojov alebo AI algoritmov).

Ako GDPR definuje osobné údaje?

Osobné údaje pod GDPR predstavujú akékoľvek informácie, ktoré možno použiť na identifikáciu fyzickej osoby – buď priamo, alebo nepriamo. Tieto údaje zahŕňajú:

• Meno a priezvisko
• Emailová adresa
• Telefónne číslo
• IP adresa
• Fotografia
• Geolokačné údaje
• Zdravotné a biometrické dáta

Špeciálnu kategóriu tvoria citlivé údaje – ako napríklad:

• Údaje o zdraví
• Rasový alebo etnický pôvod
• Náboženské presvedčenie
• Biometrické údaje použité na identifikáciu

Spracovanie citlivých údajov je pod ešte prísnejšou reguláciou a vyžaduje výslovný súhlas dotknutej osoby.

Kto má pri GDPR konkrétne povinnosti?

Nariadenie GDPR priraďuje povinnosti na tri hlavné skupiny:

1. Prevádzkovatelia údajov

Majú hlavné zodpovednosti za súlad s GDPR:

• Zabezpečiť právny základ pre spracovanie (napr. súhlas, plnenie zmluvy, zákonnú povinnosť).
• Poskytovať informácie subjektom údajov o ich právach.
• Umožniť prístup, opravu alebo výmaz údajov po žiadosti.
• Uchovávať údaje len po dobu nevyhnutnú na určené účely.

2. Sprostredkovatelia údajov

Musí dodržiavať pokyny prevádzkovateľa a zabezpečiť technické a organizačné opatrenia na ochranu údajov.

3. Subjekty údajov (fyzické osoby)

Majú právo rozhodovať o svojich osobných údajoch a môžu si uplatňovať rôzne práva, ako napríklad:

• Právo na informácie
• Právo na prístup k údajom
• Právo na opravu údajov
• Právo byť zabudnutý (výmaz údajov)
• Právo namietať proti spracúvaniu

Ktoré organizácie najčastejšie podliehajú GDPR?

V podstate každá firma, združenie alebo inštitúcia, ktorá pracuje s osobnými údajmi občanov EÚ, bez ohľadu na veľkosť. Medzi najbežnejšie patria:

• Elektronické obchody
• Marketingové firmy
• Finančné inštitúcie
• Školy a univerzity
• Zdravotnícke zariadenia
• Štátna správa a samospráva
• Cestovné kancelárie

Namiesto domnienok je užitočné preveriť si svoj reálny dosah na ochranu údajov a pripraviť sa na audit alebo kontrolu v súlade s GDPR.

Aké sú sankcie za nedodržanie GDPR?

V prípade porušenia sú možné pokuty, ktoré v minulosti zasiahli aj globálne giganty ako Google či Facebook. Sankcie sa odvíjajú od závažnosti porušenia:

• Menšie porušenie môže viesť ku pokute do 10 miliónov EUR alebo 2 % celosvetového obratu.
• Závažné porušenie – napríklad nedovolené spracovanie údajov – môže viesť k pokute až do 20 miliónov EUR alebo 4 % z celkového obratu.

Okrem finančných postihov môže dôjsť aj k strate dôvery zákazníkov a poškodeniu reputácie firmy.

Záver

Nariadenie GDPR sa týka všetkých, ktorí spracúvajú osobné údaje občanov EÚ, bez ohľadu na ich sídlo alebo sektor pôsobnosti. Je dôležité pochopiť svoju úlohu – či ste prevádzkovateľ alebo sprostredkovateľ – a nastaviť procesy tak, aby boli v súlade so zákonnými požiadavkami.

Dodržiavanie GDPR prináša nielen zákonnú ochranu, ale aj posilňuje dôveru klientov. Pamätajte – GDPR nie je len o povinnostiach, je aj o etickom prístupe k ochrane súkromia.