Splnomocnenie a ochrana osobných údajov v kontexte GDPR

Ochrana osobných údajov sa stala kľúčovou témou v digitálnej ére. Správne nastavená ochrana osobných údajov buduje dôveru zákazníkov, partnerov aj investorov. Cieľom tohto článku je poskytnúť komplexný pohľad na problematiku ochrany osobných údajov v kontexte GDPR (General Data Protection Regulation), s dôrazom na praktické aspekty a dopad nových technológií.

Úvod do GDPR a jeho významu

GDPR, alebo Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, je európske nariadenie o ochrane osobných údajov, ktoré je platné a priamo uplatniteľné pre všetky štáty Európskej únie. Toto nariadenie vzniklo s cieľom stanoviť spoločné požiadavky na správne a legitímne spracúvanie osobných údajov fyzických osôb v celej EÚ. GDPR reguluje voľný tok osobných údajov a definuje, čo spadá pod ochranu osobných údajov. Na Slovensku bolo GDPR transponované do zákona č. 18/2018 Z. z. o ochrane osobných údajov.

Vplyv moderných technológií na ochranu osobných údajov

Nové technológie, digitálne platformy, aplikácie, internet vecí (IoT) a umelá inteligencia (AI) majú priamy dopad na ochranu osobných údajov. Pri vývoji a používaní týchto technológií vznikajú nové spracovateľské operácie s osobnými údajmi, od databáz klientov a zákazníkov, cez ich používateľské účty a správanie, až po spracúvanie údajov AI. Umelá inteligencia navyše uľahčuje profilovanie jednotlivcov a automatizované rozhodovanie o nich, napríklad v HR oddeleniach.

Praktický prístup k ochrane osobných údajov

Efektívny prístup k ochrane osobných údajov by mal byť praktický a zameraný na riešenia, ktoré fungujú v každodennej podnikateľskej praxi. Dôležité je minimalizovať zbytočnú byrokraciu a zamerať sa na implementáciu reálnych opatrení. Spoločnosti by mali držať krok s digitalizáciou a modernými technológiami, aby zabezpečili ochranu osobných údajov v dynamicky sa meniacom prostredí.

Kľúčové pojmy a definície

Pre lepšie porozumenie problematike ochrany osobných údajov je dôležité definovať kľúčové pojmy:

Prečítajte si tiež: GDPR pre materské školy

• GDPR: Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov.
• Dotknutá osoba: Každá fyzická osoba, ktorej osobné údaje sú spracúvané.
• Osobné údaje: Akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.
• Prevádzkovateľ: Fyzická alebo právnická osoba, ktorá určuje účely a prostriedky spracúvania osobných údajov.

Práva dotknutých osôb podľa GDPR

GDPR poskytuje dotknutým osobám rozsiahle práva, ktoré im umožňujú kontrolovať nakladanie s ich osobnými údajmi. Medzi tieto práva patria:

• Právo na prístup k osobným údajom: Právo vedieť, či sú osobné údaje spracúvané, a získať kópiu údajov a informácie o spracúvaní.
• Právo na opravu: Právo na opravu nepresných alebo neúplných osobných údajov.
• Právo na vymazanie ("právo byť zabudnutý"): Právo na vymazanie osobných údajov, ak už nie sú potrebné na účely, na ktoré boli získané, alebo ak bol odvolaný súhlas.
• Právo na obmedzenie spracúvania: Právo na obmedzenie spracúvania osobných údajov za určitých okolností.
• Právo na prenosnosť údajov: Právo na získanie osobných údajov v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a ich prenos k inému prevádzkovateľovi.
• Právo namietať proti spracúvaniu: Právo namietať proti spracúvaniu osobných údajov na základe oprávneného záujmu prevádzkovateľa.
• Právo nebýť predmetom automatizovaného rozhodovania: Právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní, vrátane profilovania.
• Právo odvolať súhlas: Právo kedykoľvek odvolať súhlas so spracúvaním osobných údajov.
• Právo podať sťažnosť: Právo podať sťažnosť dozornému orgánu, ak sa dotknutá osoba domnieva, že spracúvanie jej osobných údajov je v rozpore s GDPR.

Právne základy spracúvania osobných údajov

Spracúvanie osobných údajov je možné len na základe jedného z právnych základov uvedených v GDPR. Medzi najčastejšie právne základy patria:

• Súhlas dotknutej osoby: Spracúvanie je založené na dobrovoľnom, konkrétnom, informovanom a jednoznačnom súhlase dotknutej osoby.
• Plnenie zmluvy: Spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrení pred uzatvorením zmluvy na základe žiadosti dotknutej osoby.
• Zákonná povinnosť: Spracúvanie je nevyhnutné na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa.
• Ochrana životne dôležitých záujmov: Spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.
• Oprávnený záujem: Spracúvanie je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby.

Zlučiteľné účely spracúvania

V niektorých prípadoch môže vzniknúť potreba spracúvať osobné údaje aj na iné účely, ako boli pôvodne získané. Takéto spracúvanie je možné len vtedy, ak sú tieto ďalšie účely zlučiteľné s pôvodnými účelmi. GDPR definuje kritériá pre posúdenie zlučiteľnosti účelov.

Povinnosti prevádzkovateľa

Prevádzkovateľ má celý rad povinností, ktoré musí dodržiavať pri spracúvaní osobných údajov. Medzi tieto povinnosti patria:

• Zásada zákonnosti, spravodlivosti a transparentnosti: Spracúvanie osobných údajov musí byť zákonné, spravodlivé a transparentné vo vzťahu k dotknutej osobe.
• Obmedzenie účelu: Osobné údaje sa musia získavať na konkrétne, jednoznačné a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý je nezlučiteľný s týmito účelmi.
• Minimalizácia údajov: Osobné údaje musia byť primerané, relevantné a obmedzené na to, čo je nevyhnutné vzhľadom na účely, na ktoré sa spracúvajú.
• Presnosť: Osobné údaje musia byť presné a podľa potreby aktualizované.
• Obmedzenie uchovávania: Osobné údaje sa musia uchovávať vo forme, ktorá umožňuje identifikáciu dotknutých osôb len dovtedy, kým je to potrebné na účely, na ktoré sa spracúvajú.
• Integrita a dôvernosť: Osobné údaje sa musia spracúvať spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a pred náhodnou stratou, zničením alebo poškodením.
• Zodpovednosť: Prevádzkovateľ je zodpovedný za dodržiavanie zásad spracúvania osobných údajov a musí byť schopný preukázať ich dodržiavanie.

Bezpečnostné opatrenia

Prevádzkovateľ je povinný prijať primerané technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov pred náhodným alebo nezákonným zničením, stratou, pozmenením, neoprávneným prístupom, zverejnením alebo iným nezákonným spracúvaním. Tieto opatrenia by mali zohľadňovať stav techniky, náklady na implementáciu a povahu, rozsah, kontext a účely spracúvania, ako aj riziko pre práva a slobody fyzických osôb.

Prečítajte si tiež: Vzor splnomocnenia ÚPSVaR

Splnomocnenie a zastupovanie dotknutej osoby

Článok 80 GDPR upravuje možnosť, aby boli práva dotknutých osôb chránené nielen individuálne, ale aj prostredníctvom organizácií, združení a subjektov pôsobiacich vo verejnom záujme. Tieto subjekty môžu zastupovať jednotlivcov pred dozorným orgánom alebo súdom, čím sa posilňuje vymožiteľnosť práv a znižuje nerovnováha medzi jednotlivcom a veľkými prevádzkovateľmi. Na Slovensku je však potrebné splnomocnenie konkrétnej osoby na takéto zastupovanie.

Konanie o ochrane osobných údajov

Konanie o ochrane osobných údajov upravuje zákon č. 18/2018 Z. z. o ochrane osobných údajov. Účelom konania je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov, alebo k porušeniu zákona o ochrane osobných údajov alebo GDPR. Konanie začína na návrh dotknutej osoby alebo bez návrhu na základe zistenia úradu pri výkone dozoru.

Vzory dokumentov GDPR

Úrad na ochranu osobných údajov SR zverejňuje vzory dokumentov v oblasti ochrany osobných údajov, ktoré slúžia na zjednodušenie vypracovania potrebnej GDPR dokumentácie samotným prevádzkovateľom. Medzi tieto vzory patria napríklad interná smernica spoločnosti v oblasti ochrany osobných údajov, záznam o kategóriách spracovateľských činností, žiadosť o obmedzenie spracúvania osobných údajov, žiadosť o výmaz osobných údajov, súhlas so spracovaním osobných údajov, sprostredkovateľská zmluva GDPR a ďalšie.

Prečítajte si tiež: Rodičovský príspevok a splnomocnenie

tags: #splnomocnenie #ochrana #osobných #údajov #GDPR