Čo je to osobný údaj podľa GDPR a aké dôsledky má ich spracúvanie?

Čo patrí medzi osobné údaje a aké povinnosti sa spájajú so spracúvaním a ochranou osobných údajov.

Čo je to osobný údaj?

S pojmom osobný údaj a s problematikou jeho spracúvania sa v súčasnosti na dennej báze stretáva takmer každý podnikateľ, či už pri prevádzke internetového obchodu alebo portálu, pri používaní bezpečnostného kamerového systému, pri vedení personálno-mzdovej agendy svojich zamestnancov, ako i v mnohých iných situáciách.

K tomu, aby mohol byť nejaký údaj označený za osobný, sa musí týkať určitej alebo určiteľnej fyzickej osoby, t.j. sám alebo v spojení s ďalšími údajmi musí umožňovať jej priamu (napríklad meno, priezvisko a adresa) alebo nepriamu identifikáciu (napríklad unikátny kód v systéme). Údaje o právnickej osobe ako sú názov a identifikačné číslo občianskeho združenia či s.r.o. nie sú považované za osobné.

K najčastejšie spracúvaným osobným údajom, ktoré vyššie uvedenú definíciu spĺňajú, tak môžeme zaradiť meno a priezvisko, adresu, dátum narodenia, rodné číslo, biometrické údaje (snímky tváre, otlačky prstov, podpis a pod.), telefónne číslo alebo dostatočne určitú emailovú adresu - zatiaľ čo z adresy [email protected] sa jej držiteľ určí iba v spojení s ďalšími údajmi, pri adrese [email protected] je dostatočne zrejmé, že držiteľom danej adresy je Ján Novák, ktorý pôsobí v spoločnosti Podnikajte.sk, s.r.o..

Čo sa považuje za osobný údaj podľa GDPR?

Všeobecné nariadenie na ochranu osobných údajov (GDPR), ktoré nadobudne účinnosť 25.5.2018, okruh tradičných osobných údajov mierne rozširuje.

Pod pojem osobné údaje tak podľa GDPR po novom spadajú aj technické údaje typu IP adresa či súbory cookies. Aj pri týchto údajoch však platia vyššie uvedené pravidlá, t.j. k tomu, aby ich bolo možné označiť za osobné a mali tak pre podnikateľov určitý význam z hľadiska spracúvania a ochrany, musia umožňovať identifikáciu konkrétnej fyzickej osoby.

Zatiaľ čo maskovanú IP adresu alebo IP adresu pridelenú k sieti využívanej viacerými používateľmi nebude možné priradiť ku konkrétnej osobe, IP adresa (či už statická alebo aj dynamická) počítača v domácnosti vo väčšine prípadov osobným údajom bude.

Informácie, čo patrí do osobných údajov bližšie približujeme v článku Čo (nie) je osobný údaj? Je ním fotografia, telefónne číslo alebo názov firmy?

Kedy dochádza k spracúvaniu osobných údajov?

Pojem osobný údaj sám o sebe nezakladá podnikateľom žiadne povinnosti. Tie nastupujú až vtedy, keď hovoríme o jeho spracúvaní, ku ktorému nedochádza vždy. Ako príklad možno uviesť používanie bezpečnostného kamerového systému v kamennej predajni, ktorý nie je spojený s funkciou záznamu videa – pri monitorovaní predajne bez ukladania videa tak k spracúvaniu údajov nedochádza a podnikateľ má podľa zákona iba povinnosť označiť svoju predajňu upozornením (napr. piktogramom), že daný priestor je monitorovaný. O tom, či k spracúvaniu osobných údajov dochádza alebo nie, bude preto záležať na konkrétnych okolnostiach, od ktorých sa budú odvíjať taktiež rôzne zákonné povinnosti.

Aké sú najčastejšie povinnosti spojené so spracúvaním a ochranou osobných údajov?

Ako príklad povinností spojených so spracúvaním a ochranou osobných údajov možno uviesť:

  • Povinnosť oznámiť dotknutým osobám účel a rozsah spracúvania osobných údajov
  • Povinnosť získať súhlas so spracúvaním osobných údajov v prípadoch, kedy sa tieto údaje nespracúvajú na základe zákona, resp. v rámci plnenia zmluvy (napr. pri vybavení objednávky zákazníka), kedy súhlas dotknutej osoby nie je potrebný
  • Povinnosť informovať dotknutú osobu o tom, aké údaje sú nej spracúvané, a na jej žiadosť dané údaje v odôvodnených prípadoch vymazať
  • Povinnosť umožniť (v niektorých prípadoch) jednoduchý prenos osobných údajov od jedného poskytovateľa služieb k inému
  • Povinnosť (v niektorých prípadoch) viesť podrobné záznamy o spracúvaní osobných údajov
  • Povinnosť podstúpiť konzultáciu k ochrane osobných údajov s Úradom na ochranu osobných údajov
  • Povinnosť zaistiť rodičovský súhlas so spracúvaním osobných údajov detí do 16 rokov
  • Povinnosť určiť zodpovednú osobu pri ochrane osobných údajov

Pripomíname, že vyššie uvedený zoznam povinností je iba príkladný a pri mnohých podnikateľoch bude v skutočnosti oveľa dlhší, najmä v závislosti od druhu, účelu a spôsobu spracúvania osobných údajov.

Prečítajte si tiež

Pozrite si aj diskusiu o GDPR - ako sú firmy pripravené, aké problémy môže priniesť a ďalšie odpovede na otázky v článku GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia.

Našli ste chybu či nepresnosť v texte? Dajte nám o tom vedieť.

Viac podobných článkov nájdete na www.podnikajte.sk


Google Consent Mode v2: čo to je a aké zmeny prináša?

Firmy, ktoré chcú využívať remarketing, musia od 6. marca 2024 implementovať novú verziu Google Consent Mode. Čo sa mení?

Firmy môžu prísť o cookies: poskytovateľ cookie líšt čelí žalobe

Belgický dozorný orgán rozhodol, že cookie lišta od IAB Europe je v rozpore s GDPR, čo môže ovplyvniť aj slovenských prevádzkovateľov webov. Ako sa vyhnúť problémom?

Prenos osobných údajov z EÚ do USA: porušuje známa služba GDPR?

Európske dozorné orgány sa začínajú zaoberať prenosmi osobných údajov európskych užívateľov do USA. Do pozornosti sa dostala predovšetkým služba Google Analytics.

Cookies od 1.2.2022: odborníci o dopade nových pravidiel na podnikanie

Odborníci o tom, ako nový zákon o elektronických komunikáciách ovplyvní online podnikanie, aké zmeny treba zaviesť do konca januára a či to zvládnu aj podnikatelia bez pomoci programátora.
To najlepšie z Podnikajte.sk do vašej schránky