Odpoveď na otázku „Kto môže byť považovaný za dotknutú osobu podľa GDPR?“ je zdanlivo jednoduchá – ide o každú fyzickú osobu, ktorej osobné údaje sú spracúvané. Avšak, všeobecné nariadenie o ochrane údajov (GDPR) definuje a rozpracúva túto rolu oveľa komplexnejšie. V digitálnom veku, kedy takmer každá interakcia zanecháva digitálnu stopu, je kľúčové pochopiť, kto môže požívať práva dotknutej osoby, aké práva z toho vyplývajú a čo to znamená v praxi pre jednotlivcov aj pre organizácie.
V tomto článku sa podrobne pozrieme na to, koho GDPR označuje ako dotknutú osobu, na aké situácie sa toto právo vzťahuje, čo všetko zahŕňajú jej práva, ale aj kto je subjektom povinným chrániť tieto práva. Tento sprievodca je určený nielen jednotlivcom, ktorí si chcú lepšie chrániť svoje súkromie, ale aj firmám a inštitúciám, ktoré si chcú splniť svoje zákonné povinnosti.
Čo je to dotknutá osoba podľa definície GDPR
Dotknutou osobou v zmysle GDPR je fyzická osoba, ktorej sa osobné údaje týkajú. Ide o jednotlivca, ktorého osobné údaje sú spracúvané automatizovanými alebo manuálnymi prostriedkami, pokiaľ sú súčasťou informačného systému.
Tieto údaje môžu zahŕňať:
- Meno a priezvisko
- Adresa bydliska
- Telefónne číslo alebo e-mailová adresa
- Identifikačné čísla ako rodné číslo
- Lokalizačné údaje alebo IP adresa
- Online identifikátory ako cookies
Osoba sa stáva dotknutou len vtedy, ak je z týchto údajov možné ju identifikovať priamo alebo nepriamo. GDPR sa teda netýka anonymných dát, ktoré už nie je možné spojiť s konkrétnou osobou.
Právny rámec a pôvod ochrany dotknutých osôb
Európske všeobecné nariadenie o ochrane údajov (GDPR) nadobudlo platnosť v roku 2018 a stanovuje pravidlá spracovania osobných údajov. Podľa článku 4 GDPR je dotknutá osoba taká, ktorej osobné údaje sa spracúvajú. V praxi to znamená, že každý občan EÚ, ktorého údaje sú zaznamenávané, uchovávané alebo inak spracúvané, má svoje zákonné práva.
Cieľom GDPR je zabezpečiť rovnakú úroveň ochrany pre všetkých občanov EÚ a zvýšiť ich kontrolu nad vlastnými údajmi. Tento právny rámec zavádza princípy ako:
- Zákonnosť, spravodlivosť a transparentnosť
- Minimalizácia údajov
- Presnosť a bezpečnosť údajov
Kto všetko môže byť považovaný za dotknutú osobu
Dotknutou osobou podľa GDPR môže byť:
– Bežný občan
Každý jednotlivec, ktorý poskytne svoje údaje napríklad pri registrácii na webovej stránke, nakupovaní online, vypĺňaní dotazníka alebo pri kontakte so štátnym úradom.
– Zamestnanec
Pri nástupe do zamestnania zamestnávateľ spracúva osobné údaje zamestnanca. Aj zamestnanci majú postavenie dotknutých osôb a majú právo na informácie o tom, ako budú ich údaje spracované.
– Klient alebo zákazník spoločnosti
Firmy bežne spracúvajú údaje klientov – mená, adresy, telefóny, údaje o nákupoch. Každý zákazník je automaticky dotknutou osobou.
– Návštevník webovej stránky
Aj anonymný návštevník môže byť dotknutou osobou, ak možno z údajov (napr. IP adresa) jeho osobnosť identifikovať.
Typy osobných údajov, ktoré rozhodujú
Nie všetky údaje sú považované za osobné. GDPR definuje osobné údaje ako akékoľvek informácie, ktoré sa vzťahujú na identifikovanú alebo identifikovateľnú osobu.
Rozlišujeme základné a citlivé (špeciálne) osobné údaje:
Bežné osobné údaje:
- Meno, priezvisko
- Adresa, telefón, e-mail
- Dátum narodenia
- IP adresa, prevádzkové záznamy
Citlivé osobné údaje:
- Zdravotné informácie
- Genetické a biometrické údaje
- Údaje o sexuálnej orientácii
- Náboženské presvedčenie alebo etnický pôvod
Pri týchto údajoch GDPR vyžaduje zvlášť silné dôvody na spracovanie, väčšinou spolu s výslovným súhlasom dotknutej osoby.
Práva dotknutej osoby podľa GDPR
Dotknutá osoba má široký rozsah práv, ktoré musí každý prevádzkovateľ rešpektovať.
- Právo na prístup – osoba má právo vedieť, aké údaje sa o nej uchovávajú a ako sa používajú
- Právo na opravu – možnosť aktualizovať alebo opraviť nesprávne údaje
- Právo na výmaz (tzv. právo na zabudnutie) – osoba môže žiadať odstránenie svojich údajov
- Právo na obmedzenie spracúvania – keď je spracovanie sporné alebo nadbytočné
- Právo na prenosnosť údajov – možnosť preniesť si údaje k inému poskytovateľovi
- Právo namietať – napr. proti profilovaniu alebo priamemu marketingu
Prevádzkovateľ musí reagovať na žiadosť dotknutej osoby bez zbytočného odkladu, najneskôr do 1 mesiaca.
Kto je zodpovedný za ochranu práv dotknutých osôb
Za dodržiavanie práv dotknutých osôb zodpovedajú:
- Prevádzkovateľ osobných údajov – firma, úrad alebo organizácia, ktorá údaje spracúva
- Sprostredkovateľ údajov – subjekt, ktorý spracováva údaje v mene prevádzkovateľa (napr. IT firma, externý účtovník)
Tieto subjekty musia dodržiavať zásady ochrany údajov, mať technické a organizačné opatrenia a dokázať, že spracúvanie prebieha v súlade s GDPR.
Kedy nie je osoba považovaná za dotknutú
GDPR sa nevzťahuje na:
- Právnické osoby – firmy, spolky, nadácie
- Údaje spracované pre osobnú alebo domácu potrebu (napr. zoznam svojich kontaktov v mobile)
- Anonymizované údaje – ak už nie je možné osobu spätne identifikovať
Ak údaje nemožno priradiť ku konkrétnej osobe, žiadne práva dotknutej osoby sa na ne neuplatňujú.
Prečo je dôležité vedieť, kto je dotknutou osobou
Označenie dotknutej osoby nie je len teoretické definovanie – má praktický dopad na každého z nás:
- Mať kontrolu nad vlastnými údajmi
- Možnosť brániť sa proti zneužitiu údajov
- Využívanie digitálnych služieb bezpečne a zodpovedne
- Zvýšenie dôvery medzi firmou a klientom
Rovnako je kľúčové pre podniky vedieť, kto je dotknutou osobou, aby boli schopné správne reagovať na ich požiadavky, vyhnúť sa porušeniam GDPR a možným pokutám.
Záver
Byť dotknutou osobou podľa GDPR znamená byť subjektom práv v oblasti ochrany osobných údajov. V modernej spoločnosti, kde sú dáta jednou z najhodnotnejších komodít, je dôležité rozumieť svojmu postaveniu a právam. Každý jednotlivec, ktorého údaje sú spracúvané, má zákonom garantované práva, ktoré môže aktívne uplatňovať. Rovnako firmy a organizácie musia brať túto definíciu vážne a implementovať procesy ochrany osobných údajov tak, aby zabezpečili zákonnosť, transparentnosť a bezpečnosť svojich dátových operácií.
