GDPR - základné princípy a práva

1.1.  Definícia osobných údajov

Osobné údaje sú definované v Nariadení ako akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
Pod týmto termínom je možné rozumieť napríklad aj online identifikátor ako je IP adresa fyzickej osoby. Ide o rozširujúcu definíciu osobných údajov za účelom zabezpečenia ochrany akejkoľvek identifikovateľnosti fyzickej osoby.
Citlivé osobné údaje ako sú napr. spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby je možné spracovať len v prípade ak ide o stanovenú výnimku v Nariadení. Jednou z výnimok je aj prípad ak dotknutá osoba tieto údaje preukázateľne zverejní (ako napr. na sociálnej sieti).
Spracúvanie fotografií by sa nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne bude vzťahovať len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby.

1.2.  Princípy a zásady Nariadenia

Medzi zásady spracúvania osobných údajov patria: zákonnosť, spravodlivosť a transparentnosť; správnosť;  obmedzenie účelu; minimalizácia uchovávania; minimalizácia údajov; integrita a dôvernosť.
Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli stručné, ľahko prístupné a ľahko pochopiteľné, formulované jasne a jednoducho, a navyše ak je to vhodné, ľahko zrakovo vnímateľné. Takéto informácie by sa mohli poskytnúť v elektronickej podobe, napríklad pri oslovení verejnosti prostredníctvom webového sídla. Týka sa to najmä situácií, ako je napríklad online reklama, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli získané, kým a na aké účely. Keďže deťom prislúcha osobitná ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, by mali byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť.
Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú. Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania. Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne. Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania. Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné.
Najdôležitejším prínosom Nariadenia je nová zásada zodpovednosti podľa ktorej je prevádzkovateľ zodpovedný za súlad so všetkými zásadami a tento súlad musí vedieť preukázať. Čiže dôkazné bremeno je prenesené na prevádzkovateľa.
1.3.  Územná pôsobnosť Nariadenia:

Nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzky prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie. Nariadenie sa teda vzťahuje na každého, kto spracúva osobné údaje na území Európskej únie, ale i mimo nej, ak spĺňa nariadením stanovené podmienky. Nariadenie sa vzťahuje na spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, pričom spracovateľská činnosť súvisí s ponukou tovaru alebo služieb bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo so sledovaním ich správania, pokiaľ ide o ich správanie na území Únie. Pre potreby naplnenia predchádzajúceho bodu je prevádzkovateľ alebo sprostredkovateľ povinný písomne určiť svojho zástupcu v Únii.

1.4.  Práva jednotlivca podľa Nariadenia:
Právo byť informovaný zahŕňa povinnosť poskytovať "spravodlivé procesovanie informácií", typicky prostredníctvom oznámenia o ochrane osobných údajov. Zdôrazňuje potrebu transparentnosti nad tým, ako budete používať osobné údaje.
Právo prístupu k osobným údajom spočíva v práve získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a vymedzené informácie.
Právo na opravu osobných údajov ak sú tieto nesprávne alebo na doplnenie neúplných údajov.
Právo na vymazanie (tzv. právo na zabudnutie) je založené na princípe umožniť osobe požiadať o zmazanie a odstránenie osobných údajov a ta tam, kde neexistuje žiadny dôvod na ich ďalšie spracovanie. Každý môže požadovať, aby boli jeho osobné údaje vymazané pokiaľ osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo osoba nechce, aby boli tieto údaje ďalej spracúvané, odvolá svoj súhlas a nie je iný právny základ alebo legitímny dôvod na ich spracúvanie a uchovanie. V praxi to znamená napríklad, že ak niekto požiadal internetovú spoločnosť o vymazanie svojich osobných údajov, táto spoločnosť je povinná postúpiť túto požiadavku ďalším firmám, ktorým boli poskytnuté tieto osobné údaje. Toto právo je dlhodobo diskutované z hľadiska reálnej technologickej možnosti úplného vymazania osobných údajov. Nariadenia definuje povinnosť prevádzkovateľa vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.
Právo na obmedzenie spracúvania je povinnosť obmedziť Ďalšie spracovanie dát, avšak nie je povinnosť vymazať existujúce dáta. Čiže prevádzkovateľ si môže ponechať také množstvo údajov aby sa ubezpečil, že obmedzenie spracúvanie do budúcna bude zabezpečené.

Právo na prenosnosť osobných údajov k inému poskytovateľovi služieb znamená, že: „dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil“  Dotknuté osoby majú mať možnosť vymeniť poskytovateľa služieb vrátane prenosu ich osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné a to bez straty údajov (napríklad kontaktov či predchádzajúcich e-mailov) a potreby ich opätovného zadávania.

Profilovanie je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom. Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú. Nové pravidlá, ktoré Nariadenie prináša, obmedzujú použitie profilovania bez predchádzajúceho súhlasu dotknutej osoby. Profilovaním nesmie dochádzať k diskriminácii osoby, ktorej údaje sú spracúvané a takisto profilovanie nesmie byť založené na údajoch, ktoré sú definované ako.

Právo vedieť o porušení ochrany osobných údajov. Dotknutá osoba má právo byť informovaná, že došlo k ohrozeniu bezpečnosti jej osobných údajov. Samotné oznámenie porušenia ochrany osobných údajov dozornému orgánu je upravené v článku 33 Nariadenia, ktorý uvádza v odsekoch 1 a 2: „V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu príslušnému podľa článku 55 s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania. Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.“  Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom.
Osobitná ochrana pre deti a podmienky týkajúce sa súhlasu dieťaťa sú upravené v čl. 8 ods. 1 Nariadenia: „Ak sa uplatňuje článok 6 ods. 1 písm. a), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností. Členské štáty môžu právnym predpisom stanoviť na tieto účely nižšiu vekovú hranicu za predpokladu, že takáto nižšia veková hranica nie je menej než 13 rokov.“   Uvedené znamená, že deti pod určitou vekovou hranicou budú potrebovať súhlas rodiča alebo iného zákonného zástupcu, aby si mohli napríklad zriadiť účty na jednotlivých sociálnych sieťach ako Facebook, Instagram, pričom stanovenie vekovej hranice je ponechané vôli zákonodarcov členských štátov a to v rozmedzí veku dieťaťa od 13 do 16 rokov. Týmto spôsobom je zabezpečené, aby si štáty mohli nechať v platnosti súčasnú úpravu o súhlase zákonného zástupcu. Cieľom tejto úpravy je ochrana detí pred zdieľaním svojich osobných údajov bez uvedomovania si následkov takéhoto konania. Treba však podotknúť, že cieľom nie je obmedziť deťom prísun informácií, ktoré získavajú prostredníctvom internetu.

1.5.  Prenos osobných údajov do tretích krajín

Prevody môžu byť vykonané, ak Komisia rozhodla, že tretia krajina, územie, alebo jeden alebo viac špecifických odvetví v tretej krajine alebo medzinárodná organizácia zabezpečuje primeranú úroveň ochrany. Vtedy nie je potrebný žiadne osobitné povolenie na takýto prenos. Zoznam tretích krajín a medzinárodných organizácií o ktorých je vydané rozhodnutie Komisie že zaručuj primeranú úroveň ochrany osobných údajov je zverejnení na webovej stránke Komisie.