GDPR - základné informácie

Reforma pravidiel ochrany údajov je legislatívny balík navrhnutý za účelom aktualizácie a modernizácie princípov Smernice o ochrane údajov z roku 1995. Unifikovaná a aktuálna legislatíva ochrany údajov je nevyhnutná pre zaručenie základných práv jednotlivcov na ochranu ich osobných údajov, podporu vývoja digitálnej ekonomiky a zefektívnenie boja proti transnacionálnemu zločinu a terorizmu. Jedným z hlavných dôvodov snahy o reformu ochrany osobných údajov je práve rozvíjajúci sa kyberpriestor a putovanie osobných údajov v kyberpriestore. O uvedenom svedčí aj cieľ reformy - posilniť právo na súkromie v online prostredí a podporiť digitálnu ekonomiku Európy. Reformný balík pre ochranu údajov bol navrhnutý predovšetkým ako prostriedok na posilnenie práv na ochranu súkromia online zabezpečením, aby ľudia boli lepšie informovaní o svojich právach a viac si kontrolovali svoje informácie.

Reforma ochrany osobných údajov je základ pre vytvorenie jednotného digitálneho trhu, ktorý je prioritou Únie a má za cieľ slobody spojené s jednotným trhom EÚ rozšíriť na digitálny svet a tým podporiť rast a zamestnanosť v EÚ. V nadväznosti na Lisabonskú stratégiu  sa stratégiou Európa 2020  zaviedla digitálna agenda pre Európu ako jedna zo siedmich hlavných iniciatív, pričom sa uznala kľúčová úloha využívania informačných a komunikačných technológií, aby EÚ uspela vo svojom úsilí do roku 2020.
V predstavách Komisie má reforma znamenať väčšiu kontrolu občanov nad osobnými údajmi. Posilniť by sa malo právo byť zabudnutý aj upozornenia o zneužití dát. Jednotná legislatíva prinesie úspory, menej byrokracie a zároveň prísnejšie tresty za priestupky.
Osobné údaje sú všetky údaje týkajúce sa jednotlivca, jeho osobného, pracovného alebo verejného života. Môže ísť o akékoľvek informácie – meno, fotografiu, emailovú adresu, bankové spojenie, príspevky na sociálnych sieťach, zdravotné informácie alebo IP adresu počítača. V digitálnom veku má zhromažďovanie a uchovávanie osobných údajov veľký význam. Údaje používajú všetky podniky – od poisťovní a bánk až po sociálne médiá a vyhľadávače. V globalizovanom svete sa prenos údajov do tretích krajín stal dôležitým faktorom každodenného života. V online prostredí neexistujú hranice a „cloud computing“ zmenil pohľad na miesto uchovávania údajov. Preto zhromažďovanie, analýza, výmena a zneužívanie údajov a riziko „profilovania“ podnietené technickým vývojom dosiahli nebývalé rozmery a vyžadujú prísne pravidlá na ochranu údajov, ako sú rozhodné právo a vymedzenie zodpovedností všetkých zainteresovaných strán, pokiaľ ide o vykonávanie právnych predpisov EÚ v oblasti ochrany údajov.
Nový právny základ stanovený v článku 16 ZFEÚ a skutočnosť, že v článku 8 Charty základných práv , sa právo na ochranu osobných údajov uznáva za samostatné právo a rovnako sa v jej článku 7 za samostatné právo uznáva právo na rešpektovanie súkromia a rodinného života, plne vyžadujú a podporujú komplexný prístup k ochrane údajov vo všetkých oblastiach, v ktorých sa osobné údaje spracúvajú.
Účinný európsky a medzinárodný režim na ochranu údajov je nevyhnutným základom pre cezhraničný tok osobných údajov a súčasné rozdiely v právnych predpisoch na ochranu údajov a v ich presadzovaní ovplyvňujú ochranu údajov a osobné slobody, právnu istotu a jasnosť v zmluvných vzťahoch, rozvoj elektronického obchodu a elektronického podnikania, dôveru spotrebiteľov v systém, cezhraničné transakcie, svetové hospodárstvo a jednotný európsky trh a v tejto súvislosti je výmena údajov dôležitá, keď umožňuje a zaisťuje verejnú bezpečnosť na vnútroštátnej i medzinárodnej úrovni.

Reformný balík obsahuje dva právne predpisy a to :
Nariadenie európskeho parlamentu a rady (EÚ) 2016/679  (ďalej len ako „Všeobecné nariadenie o ochrane údajov“ alebo „Nariadenie“) a
Smernica európskeho parlamentu a rady (EÚ) 2016/680  (ďalej len ako „smernica o všeobecnej ochrane osobných údajov“ alebo „Smernica“)
Prijatie reformného balíka je míľnikom vo vývoji prinášajúcom širokú škálu počítačovej bezpečnosti súvisiacej implementácie pre členské štáty EÚ a súkromný sektor.
Cieľom balíka je zjednotenie právnej úpravy ochrany osobných údajov v členských štátoch Európskej únie so zameraním sa na zvýšenie práv dotknutých osôb ako aj zjednodušenie pravidiel spracúvania osobných údajov pre prevádzkovateľov pôsobiacich v Európskej únii.


Hlavné prvky reformy sú: – ochrana údajov ako základné právo; – pokrytie všetkých typov situácií a odvetví, – technicky neutrálny právny rámec, ktorý zahŕňa rôzne postupy spracúvania údajov, – predchádzanie fragmentácii a poskytnutie právnej istoty jednotlivcom, podnikom a verejným subjektom, – zaistenie harmonizácie spracúvania osobných údajov zo strany orgánov presadzovania práva a výmena týchto údajov medzi nimi, – zaistenie ochrany jednotlivcov z EÚ v prípade, že sú osobné údaje zasielané do tretích krajín, a poskytnutie bezpečných a flexibilných nástrojov pre medzinárodný tok údajov.  

Všeobecné nariadenie o ochrane údajov

EÚ musí byť vybavená komplexným, súdržným, moderným a kvalitným rámcom, schopným účinne chrániť základné práva jednotlivcov, predovšetkým súkromie, v súvislosti s každým spracovaním osobných údajov jednotlivcov v rámci EÚ i mimo nej a za každých okolností, aby mohla riešiť početné problémy spojené s ochranou údajov, ako sú problémy spôsobené globalizáciou, technologickým rozvojom, nárastom činností uskutočňovaných na internete, používaním v súvislosti so stále väčším množstvom aktivít, ako aj otázky bezpečnosti (t. j. boj proti terorizmu). Zámerom Nariadenia je preto harmonizovať národné zákony na ochranu osobných údajov po celej EÚ za súčasného oslovenia nového technologického rozvoja bez potreby implementácie do národných poriadkov. Napriek tomu to však stále ostávajú oblasti, v ktorých budú naďalej pretrvávať rozdiely medzi jednotlivými členskými štátmi.  
Cieľom návrhu nariadenia je posilniť práva a poskytnúť jednotlivcom efektívne a funkčné prostriedky, ktoré zaistia, že budú plne informovaní o tom, čo sa s ich osobnými údajmi deje, a ktoré im umožnia účinnejší výkon ich práv. Pozitívum predstavuje aj posilnenie zodpovednosti tých, ktorí osobné údaje spracúvajú. Prevádzkovatelia tak budú musieť vykonávať operácie s osobnými údajmi dôslednejšie rešpektujúc právo fyzických osôb na súkromie.

Zavádza právo dotknutej osoby na prenosnosť údajov, t. j. na prenesenie údajov z jedného systému elektronického spracovania do iného bez toho, aby jej v tom prevádzkovateľ bránil. Ako predpoklad uplatnenia tohto práva a s cieľom zlepšiť prístup fyzických osôb k ich osobným údajom sa tu stanovuje právo získať od prevádzkovateľa tieto údaje v štruktúrovanej forme a v bežne používanom elektronickom formáte.  Zjednoduší sa prenos údajov medzi jednotlivými prevádzkovateľmi. Budú stanovené spôsoby, ktoré dotknutej osobe uľahčia uplatnenie jej práv stanovených v tomto nariadení, vrátane mechanizmov pre vyžiadanie si bezplatného prístupu k údajom, ich opravu, výmaz a na uplatnenie práva namietať. Prevádzkovateľ by mal byť povinný odpovedať na žiadosť dotknutej osoby v stanovenej lehote a uviesť dôvody v prípade, že nemôže vyhovieť žiadosti dotknutej osoby. Rovnako ustanovuje povinnosť pre prevádzkovateľov poskytnúť transparentnú a ľahko dostupnú informáciu subjektom údajov o ich spracúvaných údajoch.
Základnými princípmi v pravidlách ochrany údajov EÚ sa stanú aj „Ochrana údajov by design“ a „Ochrana údajov by default“ – znamená to, že ochranné záruky majú byť začlenené do produktov a služieb od najzákladnejších stupňov vývoja a základné nastavenia rešpektujúce súkromie majú byť štandardom – napr. na sociálnych sieťach alebo v mobilných aplikáciách.
V článku 22 sa zohľadňuje diskusia o „zásade zodpovednosti“ a podrobne sa tu opisuje zodpovednosť a povinnosť prevádzkovateľa dodržiavať ustanovenia tohto nariadenia a preukázať dosiahnutie súladu, a to aj prostredníctvom prijatia interných pravidiel a mechanizmov na zabezpečenie takéhoto súladu.
Zavádza sa povinnosť pre prevádzkovateľov a sprostredkovateľov vykonávať posúdenie vplyvu na ochranu údajov pred vykonávaním operácií spracovania spojených s rizikami. Ďalej sa zavádza povinnosť určiť úradníka pre ochranu údajov pre verejný sektor a v prípade súkromného sektora pre veľké podniky, alebo ak hlavné činnosti prevádzkovateľa alebo sprostredkovateľa pozostávajú z operácií spracovania, ktoré si vyžadujú pravidelné a systematické monitorovanie.
Návrh potvrdzuje už existujúcu povinnosť členských štátov zriadiť nezávislý orgán dohľadu na národnej úrovni. Zároveň sa snaží o zavedenie mechanizmu pre vytvorenie jednotnosti v aplikácii práva ochrany údajov v EÚ. Komisia obzvlášť navrhuje v prípade, že sa spracovanie osobných údajov vykonáva vo viac ako jednom členskom štáte, ustanoviť jeden kompetentný dohľadný orgán pre kontrolu všetkých týchto činností. Tento princíp, známy ako one-stop-shop, znamená, že v každom prípade bude príslušným orgánom orgán členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ miesto hlavnej činnosti.
Zároveň návrh Komisie zahŕňa zriadenie Európskeho výboru pre ochranu údajov. Tento bude pozostávať z vedúcich predstaviteľov dozorných orgánov z jednotlivých členských štátov členského štátu a európskeho dozorného úradníka pre ochranu údajov. pozostávať zo zástupcov všetkých 28 nezávislých dozorných orgánov a nahradí pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, ustanovenú článkom 29 smernice 95/46/ES.
„Ochrana údajov bude tak významná, ako protimonopolizácia v intenciách compliance rizika. Podľa Nariadenia ochrana údajov už nebude oblasťou, kde by si podniky mohli dovoliť neuvážene riskovať.“
Pri pohybe osobných údajov za hranice sa môže zvýšiť riziko z hľadiska možnosti fyzických osôb uplatniť práva ochrany údajov, a to najmä pokiaľ ide o ich schopnosť chrániť sa pred nezákonným využitím alebo zverejnením týchto informácií. Návrh tiež zahŕňa úpravu prenosu osobných údajov do tretích krajín a medzinárodných organizácií. V tejto oblasti dostáva Komisia oprávnenia hodnotiť úroveň ochrany poskytovanú územným alebo sprostredkujúcim sektorom v tretej krajine. V prípadoch, kde Komisia neprijala rozhodnutie o primeranosti územia alebo sektora, môže sa prenos osobných údajov uskutočniť v určitých prípadoch alebo keď sú poskytnuté náležité záruky (štandardné ustanovenia o ochrane údajov, záväzné korporátne pravidlá, zmluvné doložky).
Návrh priznáva právo dotknutých osôb podať žalobu dozornému orgánu ako aj ich právo na súdny prostriedok nápravy, odškodnenie a vyvodenie zodpovednosti. Zavádza veľmi prísne sankcie pre prevádzkovateľov a sprostredkovateľov, ktorí porušia pravidlá ochrany údajov.


Smernica o ochrane osobných údajov spracúvaných za účelom vymáhania práva

Špecifická povaha policajných a súdnych činností vyžaduje špecifické pravidlá ochrany osobných údajov, aby bolo možné zabezpečiť voľné prúdenie údajov a spoluprácu medzi členskými štátmi v týchto oblastiach. Navrhovaná smernica sa zameriava na ochranu práv jednotlivcov na ochranu ich osobných údajov za súčasnej garancie vysokej úrovne verejnej bezpečnosti. Tento návrh sa aplikuje na cezhraničné i národné spracúvanie údajov kompetentnými orgánmi členských štátov za účelom vymáhania práva. Nepokrýva činnosti vykonávané inštitúciami, orgánmi, úradmi alebo agentúrami EÚ, rovnako ako ani činnosti spadajúce mimo rámca únijného práva.
Cieľom smernice je nahradiť rámcové rozhodnutie o ochrane údajov 2008/977/SVV, ktoré v súčasnosti upravuje spracúvanie osobných údajov v oblasti policajnej a justičnej spolupráce v trestných veciach, avšak pre členské štáty z neho vyplýva povinnosť aplikovať určenú úroveň ochrany osobných údajov len v súvislosti s ich cezhraničnou výmenou.
V porovnaní s rámcových rozhodnutím z roku 2008 prináša smernica komplexnú právnu úpravu, keďže sa má vzťahovať aj na ochranu osobných údajov pri ich spracúvaní na vnútroštátnej úrovni, čím by sa mala dosiahnuť minimalizácia rozdielov medzi jednotlivými úpravami a z toho vyplývajúca posilnená úroveň ochrany údajov.
Medzi princípmi návrh smernice stanovuje, že členské štáty musia zabezpečiť, aby osobné údaje boli spracúvané zákonne, zhromažďované na určité, presne vymedzené a legitímne účely, a nesmú prekračovať hranice účelu, na ktorý sú spracúvané. Aj keď zahŕňa povinnosti členských štátov poskytnúť zrozumiteľnú informáciu a zabezpečiť jednotlivcovo právo na prístup, taktiež stanovuje obmedzenia, ktoré umožňujú členským štátom prijať právne opatrenia obmedzujúce právo na prístup.
Popisuje zodpovednosť kontrolóra, vrátane prvkov zo všeobecného nariadenia o ochrane údajov ako napr. poskytnúť oznámenie o porušení a vymenovanie úradníka pre ochranu údajov (data protection officer). Prenos do tretej krajiny sa môže uskutočniť, iba ak je to potrebné na účely vymáhania práva a ak Komisia prijala rozhodnutie o vhodnosti úrovne ochrany, ktorú poskytuje táto krajina. Pokiaľ neexistuje rozhodnutie o vhodnosti, prenos údajov sa môže uskutočniť na základe dostatočných záruk. Navyše je k týmto možnostiam predpokladané ustanovenie pre osobitné účely. Dohliadajúce orgány môžu byť tie isté, ako tie zriadené podľa nariadenia o ochrane údajov.
Zavádza pravidlá o povinnej vzájomnej pomoci a všeobecnú povinnosť spolupracovať. Zároveň stanovuje, že Európska poradná rada pre ochranu údajov (the European Data Protection Advisory Board) môže tiež plniť svoje úlohy pre vykonávanie činností zahrnutých v tejto smernici.