AlegsaOnline.com

Všeobecné nariadenie o ochrane údajov (GDPR)

GDPR je európske nariadenie (2016), účinné od 2018, ktoré jednotne upravuje ochranu osobných údajov v EÚ, rozširuje práva subjektov údajov a zavádza povinnosti, kontrolu a sankcie.

Autor: Leandro Alegsa Dátum vytvorenia: 21. februára 2022 Posledná aktualizácia: 19. apríla 2026

en.wikipedia.org · CC BY-SA 4.0

Prehľad

Všeobecné nariadenie o ochrane údajov, známe pod skratkou GDPR, je právne nariadenie Európskej únie prijaté v roku 2016 a uplatňované od 25. mája 2018. Nariadenie schválili Európsky parlament, Rada Európskej únie a navrhla ho Európska komisia. Cieľom je zabezpečiť jednotnú úroveň ochrany osobných údajov v celej Európskej únii a dať jednotlivcom väčšiu kontrolu nad ich údajmi. GDPR je nariadenie, teda priamo použiteľné vo všetkých členských štátoch bez potreby transpozície do vnútroštátneho práva, hoci ponecháva možnosť obmedzených národných výnimiek.

Zásady spracovania a práva osôb

GDPR vymedzuje základné zásady spracovania osobných údajov: zákonnosť, spravodlivosť a transparentnosť; účelové obmedzenie; minimalizácia údajov; správnosť; obmedzenie uloženia; integrita a dôvernosť; zodpovednosť (accountability). Na strane subjektov údajov zavádza viaceré práva, z ktorých najdôležitejšie sú:

právo na prístup k údajom,
právo na opravu a výmaz ("právo byť zabudnutý"),
právo na obmedzenie spracovania,
právo na prenositeľnosť údajov,
právo namietať voči spracovaniu a automatizovaným rozhodnutiam.

Organizačné požiadavky

Organizácie, ktoré spracúvajú osobné údaje, musia preukázať súlad s pravidlami. Medzi praktické povinnosti patrí vedenie záznamov o činnostiach spracovania, vykonanie posúdenia dopadu na ochranu údajov (DPIA) pri vysokom riziku, oznámenie porušenia ochrany údajov do 72 hodín príslušnému dozornému orgánu a, v určených prípadoch, vymenovanie poverenca pre ochranu údajov (DPO). Systém "one-stop-shop" zabezpečuje koordináciu medzi národnými dozornými orgánmi v cezhraničných prípadoch.

Rozsah pôsobnosti a prenos údajov

GDPR má široký teritoriálny dosah: vzťahuje sa nielen na spracovateľov v EÚ, ale aj na subjekty mimo EÚ, ktoré ponúkajú tovary alebo služby obyvateľom EÚ alebo monitorujú ich správanie. Prenos osobných údajov do tretích krajín môže prebiehať len na základe platných mechanizmov, napríklad rozhodnutia o primeranosti, štandardných zmluvných doložiek (SCC) alebo záväzných podnikových pravidiel (BCR).

Sankcie a praktický vplyv

Porušenie pravidiel GDPR môže viesť k vysokým pokutám, ktoré sú stanovené v dvoch stupňoch podľa závažnosti porušenia. Okrem finančných sankcií môže orgán nariadiť aj nápravu spracovania alebo obmedzenie činností. Pre firmy to znamenalo zásadné zmeny v oblasti marketingu, personálneho manažmentu, cloudových služieb a IT bezpečnosti. Regulácia kladie dôraz na transparentnosť voči dotknutým osobám a na princíp zodpovednosti pri návrhu služieb a produktov.

Vývoj a význam

GDPR nahradilo staršiu smernicu z 90. rokov a reflektuje technologický vývoj a digitalizáciu. Od prijatia došlo k mnohým rozhodnutiam súdov a výkladom dozorných orgánov, ktoré upresňujú praktickú aplikáciu pravidiel. Aj keď zákon stanovuje jednotné pravidlá, určité detaily, napríklad vek súhlasu pre spracovanie údajov maloletých, môžu upraviť členské štáty. GDPR tak zostáva základným právnym rámcom ochrany osobných údajov v EÚ s trvalým vplyvom na podniky i jednotlivcov.

Uplatňované pravidlá

Táto časť potrebuje viac informácií.

Všeobecné nariadenie o ochrane údajov presadzuje pravidlá, ktoré chránia ľudí pred rôznymi problémami v oblasti ochrany súkromia. Presadzuje právo ľudí zákonne súhlasiť s tým, aby spoločnosti používali ich súkromné informácie. Presadzuje tiež právo ľudí na to, aby spoločnosť už nemala prístup k ich súkromným informáciám. Presadzuje tiež, že používatelia majú právo povoliť, aby sa ich súkromné informácie stali verejnými alebo nie. Nariadenie tiež zabezpečuje, aby sa žiadne osobné údaje nespracúvali, ak používateľ spracovateľovi osobných údajov nepovolil ich spracovanie.

Časová os

25. januára 2012: Návrh GDPR bol zverejnený.
21. októbra 2013: Výbor Európskeho parlamentu pre občianske slobody, spravodlivosť a vnútorné veci (LIBE) hlasoval o tom, či sa GDPR má stať novým nariadením pre ľudí v Európe.
15. decembra 2015: Európsky parlament, Rada a Komisia (formálne zasadnutie trialógu) diskutujú o všeobecnom nariadení o ochrane údajov. V tento deň vznikol spoločný návrh GDPR.
17. decembra 2015: Výbor Európskeho parlamentu LIBE hlasoval za rokovania medzi tromi stranami.
8. apríla 2016: Európska únia prijala všeobecné nariadenie o ochrane údajov. Jediným členským štátom, ktorý hlasoval proti, bolo Rakúsko, ktoré argumentovalo, že viaceré aspekty nového nariadenia nie sú v porovnaní so smernicou o ochrane údajov uspokojivé.
14. apríla 2016: Európsky parlament prijal všeobecné nariadenie o ochrane údajov, ktoré nahradilo doterajšiu smernicu o ochrane údajov.
24. mája 2016: Všeobecné nariadenie o ochrane údajov sa začalo používať na celom svete, ale ešte sa plne neuplatňuje. Je to 20 dní po zverejnení všeobecného nariadenia o ochrane údajov v Úradnom vestníku Európskej únie.
25. mája 2018: Všeobecné nariadenie o ochrane údajov sa začne plne uplatňovať na celom svete. Od vytvorenia nariadenia uplynuli dva roky.
Júl/august 2018: GDPR sa začne uplatňovať na Islande, v Lichtenštajnsku a Nórsku. Tieto tri krajiny sa pripojili k Spoločnému výboru EHP, keďže sa všetky dohodli na dodržiavaní tohto nariadenia.

Otázky a odpovede

Otázka: Čo je to všeobecné nariadenie o ochrane údajov (GDPR)?

Odpoveď: GDPR je nariadenie prijaté Európskym parlamentom, Radou Európskej únie a Európskou komisiou, ktoré chráni osobné údaje ľudí v celej EÚ.

Otázka: Kedy nadobudlo účinnosť?

Odpoveď: Nariadenie nadobudlo účinnosť 25. mája 2018.

Otázka: Čo je cieľom nariadenia GDPR?

Odpoveď: Cieľom GDPR je poskytnúť občanom kontrolu nad ich osobnými údajmi a zjednodušiť predpisy pre hospodárske vzťahy s inými krajinami tým, že sa štandardizujú postupy EÚ.

Otázka: Nahrádza nejaké existujúce zákony?

Odpoveď: Áno, nahrádza smernicu o ochrane údajov z roku 1995.

Otázka: Je potrebné zmeniť miestne zákony, aby boli v súlade s GDPR?

Odpoveď: Nie, v rámci EÚ nie sú potrebné žiadne zmeny miestnych zákonov, keďže toto nariadenie je záväzné.

Otázka: Čo sa stane, ak niekto alebo spoločnosť nedodrží zákon GDPR? Odpoveď: Môže im hroziť pokuta až do výšky 20 000 000 eur alebo do 4 % zisku spoločnosti za predchádzajúci rok, podľa toho, ktoré číslo je vyššie.