Keďže k spracúvaniu osobných údajov dochádza v najrôznejších životných situáciách (monitoring kamerovým systémom, vedenie mzdovej a personálnej agendy, spracúvanie objednávok či reklamácií zákazníkov, vedenie evidencie o pacientoch, poskytovanie reklamných a marketingových služieb atď.), takmer každý podnikateľ by mal uvedenému nariadeniu venovať patričnú pozornosť. Zároveň si toto nariadenie netreba mýliť s novelou zákona o ochrane osobných údajov, ktorá je v legislatívnom procese. Tá by mala riešiť najmä oblasti, ktorým sa GDPR nevenuje a jej navrhovaná účinnosť je od 1.1.2018.

GDPR - hlavné zmeny, ktoré od 25.5.2018 prináša európske nariadenie č. 2016/679

I keď je nariadenie č. 2016/679 (GDPR) pomerne rozsiahle, medzi hlavné zmeny, ktoré podnikateľov ovplyvnia najviac, môžeme zaradiť predovšetkým nasledujúce novinky:

• Okruh osobných údajov sa podľa GDPR rozšíri o údaje technického charakteru

Tradičný okruh osobných údajov, medzi ktoré zaraďujeme napr. meno, priezvisko a adresu zákazníka, v určitých prípadoch tiež email či telefónne číslo, bude od 25.5.2018 rozšírený o ďalšie údaje technického charakteru, akými sú IP adresa alebo súbory cookies.

• Podľa GDPR sa sprísnia pravidlá pre udelenie a preukázanie súhlasu so spracovaním osobných údajov

• Zatiaľ čo niektoré osobné údaje sa spracúvajú na základe zákona alebo v rámci plnenia zmluvných povinností, iné údaje podnikatelia získavajú na základe súhlasu dotknutej osoby. Takýto súhlas musí byť podľa GDPR konkrétny, slobodný, informovaný a jednoznačný (t.j. nemôže byť súčasťou obchodných podmienok), pričom podnikateľ musí byť schopný kedykoľvek preukázať, že súhlas so spracovaním osobných údajov mu bol skutočne udelený, napr. s využitím tzv. double-opt-in metódy. Táto skutočnosť bude mať významný vplyv napríklad na spracúvanie osobných údajov na účely marketingu alebo na používanie súborov cookies, ktoré sa od 25.5.2018 bude musieť zmeniť. Zároveň platí, že odvolanie súhlasu so spracovaním osobných údajov by malo byť rovnako jednoduché ako jeho získanie.

• Podľa GDPR budú sprísnené podmienky pre spracúvanie osobných údajov osôb mladších ako 16 rokov

V súvislosti s ponukou služieb informačnej spoločnosti (využívanie sociálnych sietí, registrácia na rôznych webových stránkach atď.) GDPR zavádza podmienku, že spracúvanie osobných údajov osoby mladšej ako 16 rokov na základe súhlasu je legálne len vtedy, ak k tomu udelil súhlas jej zákonný zástupca. Keďže overenie veku návštevníka webovej stránky je prakticky nemožné, text pri zaškrtávacom políčku pre udelenie súhlasu so spracovaním osobných údajov by mal v záujme prevádzkovateľa webovej stránky obsahovať aspoň doplňujúcu vetu typu: „Prehlasujem, že ak mám menej ako 16 rokov, tak som požiadal svojho zákonného zástupcu (rodiča) o súhlas so spracovaním mojich osobných údajov.“ Iné riešenie pre overenie získania rodičovského súhlasu so spracúvanímosobných údajov je len ťažko predstaviteľne. Mnohí prevádzkovatelia budú zároveň dopĺňať svoje obchodné podmienky o oznámenie typu: „Naše služby nie sú určené pre osoby mladšie než16 rokov", čím sa povinnosti overovania rodičovského súdhlasu úplne vyhnú.

• GDPR zavádza povinnosť ustanoviť tzv. zodpovednú osobu (DPO, Data Protection Officer)
• Podnikatelia, ktorí systematicky, pravidelne a vo veľkom rozsahu monitorujú dotknuté osoby (napr. pri retargetingu a rôznych formách behaviorálnej reklamy), musia podľa GDPR ustanoviť zodpovednú osobu, ktorá bude mať na starosti kontrolu postupov pri spracúvaní osobných údajov, poskytovanie informácií či spoluprácu s Úradom na ochranu osobných údajov. Zodpovednou osobou môže byť externý dodávateľ služieb ako i vlastný zamestnanec, avšak iba za splnenia prísnych (najmä kvalifikačných) podmienok.