GDPR v praxi: Novému zákonu o ochrane osobných údajov sa prispôsobovala aj univerzita

V máji minulého roka vstúpilo do platnosti Nariadenie Európskej komisie týkajúce sa ochrany osobných údajov fyzických osôb. Od 25. mája 2018 je tak protokol GDPR – General Data Protection Regulation – akousi „príručkou“, ktorou sa musia riadiť všetky nielen podnikateľské subjekty na území EÚ.

Účelom tohto nariadenia je vo vyššej miere chrániť osobné údaje fyzických osôb (spotrebiteľov) pred prípadným zneužitím. Nelegálne nakladanie s osobnými údajmi a ich zneužívanie malými firmami či veľkými korporáciami (Facebook, Twitter, Amazon,…) sa stalo za posledné roky veľkým trendom. Facebook niekoľko mesiacov dozadu dostal pokutu 1,2 milióna eur za porušenie tohto nariadenia. Dôvodom malo byť spracovanie osobných údajov (pohlavie, vierovyznanie), ktoré Facebook zbieral a poskytoval tretím stranám bez súhlasu konkrétnych osôb. GDPR má práve voči takýmto nekalým praktikám bojovať. A čo teda prinieslo v praxi?

Týka sa všetkých (ne)podnikateľov

Zahŕňa každú inštitúciu, organizáciu, podnikateľský subjekt, ale po novom aj neziskové organizácie, ako napríklad cirkevné, darcovské spolky či politické strany. Nejde tak len o firmy, ktoré vykazujú zisk. Jednoducho povedané, každá inštitúcia, ktorá v nejakej podobe pracuje s osobnými údajmi, podlieha novej legislatívnej zmene. Rovnako tak tomuto nariadeniu podliehajú i firmy, ktoré pracujú s osobnými údajmi občana EÚ mimo jej územia.

Výnimkou nie je ani verejný sektor, a teda aj vysoké školy. Dôkazom toho je aj Univerzita Konštantína Filozofa v Nitre. Prispôsobiť sa novým nariadeniam musela aj ona. Príkladom môže byť napríklad začiatok zimného semestra v minulom roku.

Komplikácia so spôsobom prolongácie známky ISIC bola spôsobená aj nariadením GDPR. Ešte na jeseň minulého roka prorektorka pre vzdelávanie Jana Duchovičová pre Občas nečas potvrdila, že univerzita musela prijať opatrenia, ktoré boli podmienené legislatívnymi zmenami o ochrane osobných údajov. Išlo o to, že univerzita neposkytovala údaje a ani nevyberala poplatky za známky súkromnej spoločnosti (CKM SYTS). Tento fakt súvisel s poskytovaním osobných údajov tretím stranám.

Od momentu platnosti GDPR musí podnik vedieť preukázať, aké osobné údaje zbiera a na aký účel ich využíva. foto: Pixabay.com

Osobný údaj má definíciu

Nejeden človek by si zrejme myslel, že za osobný údaj možno považovať napríklad číslo občianskeho preukazu, rodné číslo alebo adresu trvalého bydliska. V zásade je to pravda, no je toho omnoho viac.

GDPR dnes osobný údaj definuje ako akúkoľvek informáciu slúžiacu k identifikácii fyzickej osoby. Každá informácia o sociálnom, psychickom či ekonomickom stave je osobným údajom. Za osobný údaj teda možno považovať aj meno, telefón, foto, video alebo IP adresu vášho počítača či súbory cookies. To sú presne tie súbory, ktoré „čítajú vaše myšlienky“ a od momentu, kedy navštívite e-shop s mobilmi, všade sa vám bude automaticky zobrazovať reklama s predajom mobilov.

Bez súhlasu to nejde

Súhlas so spracovaním osobných údajov by mal byť samozrejmosťou. Do 25. mája to tak byť nemuselo. Množstvo aj vašich osobných údajov sa dostalo do rúk spoločnostiam, s ktorými ste nikdy nič spoločné nemali. Tentoraz GDPR od podnikov žiada, aby súhlas so spracovaním osobných údajov vedeli preukázať.

Od momentu platnosti GDPR musí podnik vedieť preukázať, aké osobné údaje zbiera a na aký účel ich využíva. Súhlas musí byť vyčlenený, jasný a aktívny. Nehrozí teda, že medzi riadkami obchodných podmienok nájdete informáciu o spracovaní osobných údajov. Ak budete na webe, pre spracovanie osobných údajov musí byť vyčlenená zvlášť kolónka pre odsúhlasenie. Ako používateľ sa takisto musíte vedieť dočítať, k akému účelu a na ako dlho sú vaše osobné údaje spracúvané.

Spotrebiteľovi vznikajú hlavne práva

Primárnym účelom GDPR je pomáhať bežnému spotrebiteľovi. Práve preto toto nariadenie stavia do výhody práve fyzickú osobu, ktorá svoje osobné údaje poskytuje. Vznikajú jej teda práva na to byť riadne informovaný o tom, ako je s osobnými údajmi nakladané. Takisto má právo na vymazanie osobných údajov. Ak sa rozhodnete, že osobné údaje firme ďalej nechcete poskytovať, firma posúdi na základe vašej žiadosti dôvody vymazania a následne vykoná všetky potrebné procesy.

Za osobný údaj teda možno považovať aj meno, telefón, foto, video alebo IP adresu vášho počítača či súbory cookies. foto: Pixabay.com

Rovnako tak musia byť osobné údaje zabezpečené. Ak ich firme poskytnete v online podobe, musia byť šifrované. Ak ide o fyzické dokumenty, musia byť napríklad uzamknuté. Prístup k dokumentom by mali mať iba oprávnené osoby. V praxi tak podnikateľským subjektom vzniká množstvo požiadaviek, ktoré musia spĺňať. Sankcie, ktoré hrozia za porušenie, sú totiž hrozivé. Za nedodržanie nariadenia GDPR hrozí pokuta až do výšky dvadsať miliónov eur. Samozrejme, výška sankcie sa posudzuje od závažnosti pochybenia.

V praxi tak nové nariadenie prináša pre spotrebiteľa vítané zmeny a mali by sme sa v digitálnom priestore cítiť bezpečnejšie. Z pohľadu podnikov to také ružové nie je. Firmám sa zvýšili náklady na administratívnu prácu a navýšila sa i byrokratická zložka. Množstvo podnikov bolo nútených nechať si vypracovať audit a zaplatiť nemalú sumu za vypracovanie protokolov, ktoré sú v súlade s nariadením o ochrane osobných údajov. GDPR je tak naďalej dvojsečnou zbraňou a iba čas ukáže, do akej miery toto nariadenie dokáže osobné údaje chrániť.

Titulná fotografia: Viktória Záčeková

Zdieľajte článok

Komentáre: