Nejde len o zavedenie novej právnej úpravy, ale o úplne novú európsku koncepciu vnímania ochrany osobných údajov fyzických osôb. Filozofiou nového nariadenia je návrat k ochrane ľudských práv, a to nielen zamestnancov, ale všetkých, ktorých sa osobné údaje týkajú, či už ide o ich ľudskú dôstojnosť, právo na súkromný život a iné. Nariadenie pritom predpokladá zostavenie správnej formy ochrany osobných údajov primárne z pohľadu dotknutej osoby a nie z pohľadu ochrany podniku, a to môže mať na podniky zásadný dopad.
Informovaných súhlasov bude menej
Darina Parobeková z advokátskej kancelárie Ružička Csekes dáva praktický príklad z praxe: „Ak doteraz firma od zamestnanca pýtala rôzne osobné údaje a odôvodňovala ich použitie na rôzne účely tzv. informovaným súhlasom, po novom bude zamestnávateľ musieť zamestnancovi riadne odôvodniť, čo a na aký účel si bude od zamestnanca pýtať a ako bude tieto údaje spracúvať. Informované súhlasy úplne nevymiznú, ale bude ich z môjho pohľadu oveľa menej aj na Slovensku.“
Takmer bez výnimiek: Nariadeniu GDPR podlieha veľká korporácia i kvetinárstvo
Nariadenie si rovnako dalo za cieľ zaručiť konzistentnosť, ktorou sa má poskytnúť právna istota a transparentnosť pre všetky hospodárske subjekty vrátane mikro, malých a stredných podnikov. Aj z tohto dôvodu obsahuje nariadenie veľmi málo výnimiek. Jedným z príkladov sú práve mikro, malé a stredné podniky, ktoré nemusia viesť záznamy o spracovateľských činnostiach (v zmysle požiadaviek článku 30 ods. 1 a 2), za podmienky, že zamestnávajú menej ako 250 osôb a nie je pravdepodobné, že spracúvanie povedie k riziku pre práva a slobody dotknutej osoby a pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie osobných údajov.
„Vzhľadom na veľmi limitujúcu definíciu je pravdepodobné, že pôjde o veľmi malé podniky, ktoré takmer nikdy nespracúvajú osobné údaje, čo si je dosť ťažké v dnešnej dobe predstaviť. GDPR sa prakticky týka aj prevádzok typu kvetinárstvo alebo stánok s rýchlym občerstvením, ak je v nej zamestnaný aspoň 1 zamestnanec,“ vysvetľuje Darina Parobeková.
Štát v osvete GDPR absentuje; aktívne sú len komerčné subjekty
Ďalším krokom na podporu menších subjektov, ktoré sa môžu ľahko v dôsledku účinnosti GDPR ocitnúť v komplikovanej situácii, je apel na združenia a iné orgány zastupujúce prevádzkovateľov alebo sprostredkovateľov, aby s podporou dozorných orgánov, členských štátov, výboru a Európskej komisie, vypracovali kódexy správania. Účelom takýchto kódexov je uľahčiť uplatňovanie nariadenia, pričom by sa zohľadnili osobitné črty spracúvania v určitých odvetviach a osobitné potreby mikro, malých a stredných podnikov. Išlo by napríklad o malých živnostníkov s niekoľkými zamestnancami, pre ktorých bude pravdepodobne zavedenie nariadenia do praxe náročný byrokratický boj.
Darina Parobeková upozorňuje, že kódexy sú nateraz „tabula rasa“ a je vhodné, aby sa štát aktívne vložil do podpory ich vytvárania: „Povinnosťou štátu je o tomto nariadení dostatočne informovať a vzdelávať. Zatiaľ sa v tejto sfére viac aktivizuje komerčný segment a GDPR propaguje viac ako orgány, ktoré sú tým poverené. Do istej miery to nie je v poriadku, pretože komerčný subjekt, ktorý si na tom zakladá svoje podnikanie, môže podať skreslené informácie.“
Súčasne by mali byť osobitné potreby mikro, malých a stredných podnikov zohľadnené aj pri zavádzaní certifikačných mechanizmov ochrany osobných údajov, pečatí a značiek slúžiacich na účely preukázania súladu s nariadením.
Príprava na GDPR je mravčia práca
V neposlednom rade je potrebné zdôrazniť, že hlavným rozdielom pri spracúvaní osobných údajov v mikro, malom alebo strednom podniku oproti veľkým a nadnárodným korporáciám bude zrejme akési oslobodenie od povinnosti „vykonať posúdenie vplyvu na ochranu údajov“ alebo „Data Protection Impact Assesment“, ktoré sa predovšetkým vzťahuje na väčšie subjekty alebo subjekty zamerané na hospodárske využívanie osobných údajov fyzických osôb. Ide o také spracúvanie, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, vykonávané najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania. V niektorých prípadoch nariadenie priamo deklaruje povinnosť vykonať takéto posúdenie, a to pri použití profilovania, spracúvaní vo veľkom rozsahu osobitných kategórií údajov alebo údajov o uznaní viny za trestné činy a priestupky alebo pri systematickom monitorovaní verejne prístupných miest vo veľkom rozsahu.
Dôležité zoznamy chýbajú
Nariadenie zároveň poverilo dozorné úrady, aby vypracovali a zverejnili zoznam tých spracovateľských operácií, ktoré vždy podliehajú požiadavke na posúdenie vplyvu. „Na takýto zoznam si však v slovenských podmienkach ešte budeme musieť chvíľu počkať. Treba však upozorniť, že posúdenie vplyvu sa netýka len veľkých podnikov. Aj mikro, malý alebo stredný podnik sa môže kvalifikovať na posúdenie vplyvu, ak bude využívať niektorý z vyššie uvedených spôsobov spracúvania údajov,“ konštatuje Darina Parobeková.
GDPR sa dotkne aj krajín mimo EÚ
Zároveň smernica rozširuje aj okruh podnikov, na ktoré sa nariadenie vzťahuje. Rozhodujúcim kritériom už nie je miesto sídla spracovateľa, ale aj pôvod osobných údajov. Po novom územná pôsobnosť zahŕňa aj tých spracovateľov osobných údajov, ktorí nie sú usadení v únii, ale ich činnosť súvisí s ponukou tovarov alebo služieb dotknutým osobám v únii alebo so sledovaním správania dotknutých osôb, pokiaľ ide o správanie na území únie, prípadne to vyplýva z medzinárodného práva. „Napríklad aj spoločnosť, ktorá sídli na Ukrajine, ale spracúva osobné údaje zamestnancov, ktorí sú z niektorej z krajín EÚ, sa musí podriadiť GDPR. Naopak, ak firma z EÚ má na Ukrajine pobočku, veľmi pravdepodobne spracúva údaje zamestnancov podľa GDPR aj v tejto pobočke, ak pochádzajú tieto osobné údaje z územia únie,“ dopĺňa Darina Parobeková.
Pre niektoré podniky môže byť už neskoro
„V súlade s vyššie uvedeným bolo pre každý podnik bez ohľadu na jeho veľkosť vhodné, avšak nie povinné, aby začal s prípravou na GDPR čo najskôr. Príprava, špeciálne v prípade tohto nariadenia, je dlhodobý proces. Právny základ nariadenia nie je zložitý, avšak jeho uvedenie do praxe môže byť naozaj náročné po viacerých stránkach,“ uzatvára Darina Parobeková. Je dobre mať na pamäti, že pokuta za porušenie povinností podľa GDPR môže dosiahnuť 20 miliónov eur alebo 4 % celosvetového obratu za predchádzajúci účtovný rok.
RC