Pravidlá ochrany osobných údajov (GDPR)
Už o niekoľko dní, presne 25. mája 2018, nadobudne účinnosť nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES, ktoré pre účely tohto článku budeme zjednodušene označovať ako ,,GDPR nariadenie.“ Cieľom prijatia tohto GDPR nariadenia je zaistenie rovnakej úrovne ochrany osobných údajov vo všetkých členských krajinách Európskej únie. Netýka sa len zamestnávateľov či štátnych orgánov, má dopad aj na prevádzkovateľov webstránok, webové servery a celkovo na prenos údajov prostredníctvom internetu.

Možno si poviete, že Vás sa to netýka, no opak môže byť pravdou. Týka sa Vás pokiaľ ste poskytli svoje osobné údaje cez internet, aby Vám mohol byť doručený objednaný tovar, pokiaľ komunikujete cez e-mail, alebo ste na druhej strane mosta, teda prevádzkovateľom a osobné údaje, ktoré sú Vám poskytnuté, spracúvate. Pokiaľ ste tým, kto osobné údaje poskytuje, máte najmä práva, no pokiaľ údaje spracúvate, najmä povinnosti.

Čo je osobný údaj?

V prvom rade je potrebné uviesť, že osobným údajom sa vo všeobecnosti rozumie akýkoľvek údaj, ktorý sa týka určitej fyzickej osoby, ktorú možno priamo alebo nepriamo identifikovať, a to napr. meno, priezvisko, adresa a dátum narodenia, ale aj telefónne číslo, emailová adresa, IP adresa, cookies či lokalizačné údaje. Pokiaľ z uvedených údajov alebo na základe ich kombinácie možno fyzickú osobu identifikovať, pôjde o jej osobné údaje.

Spracúvanie v súlade s nariadením GDPR

Každé spracúvanie osobných údajov musí byť vykonávané v súlade s nariadením GDPR, resp. so zákonom o ochrane osobných údajov č. 18/2018 Z. z. Každý kto údaje spracúva, tak musí zabezpečiť ich dôvernosť a bezpečnosť, a za tým účelom prijať primerané technické, personálne a organizačné opatrenia tak, aby spracúvané osobné údaje neboli sprístupnené nepovolaným osobám. Každý prevádzkovateľ, teda ten kto ich spracúva, by mal osobné údaje zoskupovať do súborov či informačných systémov podľa účelu, na ktorý ich spracúva. Každý osobný údaj tak musí mať svoj účel spracúvania, čo slúži tiež na splnenie zásady obmedzenia účelu, ale aj minimalizácie osobných údajov, v zmysle ktorej sa majú spracúvať len nevyhnutne potrebné osobné údaje. Napr. bezdôvodné spracúvanie osobného údaju ako je pohlavie užívateľa určitého portálu, by bolo porušením zákona.

Bezpečnosť serverov

Prevádzkovatelia, ktorí spracúvajú, resp. získavajú osobné údaje prostredníctvom webových portálov, musia dbať na to, aby server s údajmi poskytoval také dostatočné technické a organizačné záruky, aby osobné údaje na ňom uložené boli dostatočne chránené pred únikom, náhodným zničením, zneužitím alebo inou udalosťou, v dôsledku ktorej by mohlo dôjsť k narušeniu ochrany osobných údajov a v konečnom dôsledku ohroziť práva dotknutých osôb, teda tých, ktorých sa osobné údaje týkajú.

Prenos osobných údajov

Aktivita na webe určite zahŕňa aj prenos osobných údajov, či už prostredníctvom chatov na webových portáloch, sociálnych sieťach alebo e-mailových správ. Tento prenos rovnako musí byť chránený tak, aby osobné údaje, ktoré sa prenášajú nebolo možné sprístupniť neoprávneným osobám a zabezpečiť ich ochranu pred nežiaducim únikom. Pozornosť treba upriamiť najmä v prípade, pokiaľ sa prenos uskutočňuje na server, nachádzajúci sa v tretej krajine, teda mimo štátov Európskej únie. V takom prípade je potrebné zistiť, či Európska komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené odvetvia v danej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany osobných údajov. Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie sa môže uskutočniť len vtedy, ak sa poskytnú primerané záruky ochrany osobných údajov. V opačnom prípade taký prenos osobných údajov vyžaduje osobitné povolenie.

Cookies na webe

Ochrana osobných údajov sa dotýka aj súborov cookies, ktoré môžu weby využívať na získavanie osobných údajov ich návštevníkov. Tieto súbory sa umiestňujú vo Vašom počítači a web z nich získava údaje, napr. si zapamätá predvoľby vyhľadávania a umožňuje získavať informácie o návštevníkovi, ktoré môže následne analyzovať a na základe nich web vylepšovať. Existuje viacero typov cookies súborov a účelov ich využitia, no niektoré z nich získavajú osobné údaje užívateľa, napr. emailovú adresu alebo IP adresu. V takom prípade sa stávajú prevádzkovateľom osobných údajov, a teda sú povinní prijať opatrenia, ktoré osobné údaje ochránia pred neželaným únikom či zneužitím. Spracúvať osobné údaje získané z cookies možno však len na základe výslovného súhlasu dotknutej osoby, alebo jej oprávneného záujmu podľa zákona o ochrane osobných údajov.

Pokiaľ prostredníctvom webu získavate osobné údaje, a teda ich spracúvate, vzťahuje sa na Vás zákon o ochrane osobných údajov, porušením ktorého Vám môže byť zo strany Úradu na ochranu osobných údajov uložená pokuta do výšky 20 miliónov eur alebo do výšky 4% z ročného obratu spoločnosti. Úrad na ochranu osobných údajov bude dohliadať na dodržiavanie zákona aj nariadenia GDPR už čoskoro, a v prípade kontroly práve prevádzkovateľ bude musieť preukázať, že osobné údaje spracúva v súlade s nariadením GDPR.

Autor: JUDr. Jozef Lukajka, PhD