Čo je GDPR (Nariadenie o ochrane osobných údajov)?
GDPR je nariadenie Európskej únie o ochrane osobných údajov, platné od 25. mája 2018. Reguluje, ako firmy zbierajú, spracúvajú a uchovávajú osobné údaje občanov EÚ, a za porušenie hrozia pokuty až do 20 miliónov EUR.
Definícia GDPR (Nariadenie
Čo je GDPR
GDPR (z anglického General Data Protection Regulation) je nariadenie Európskeho parlamentu a Rady EÚ č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov. Bolo prijaté 14. apríla 2016 a je záväzné od 25. mája 2018. Nahradilo predchádzajúcu smernicu o ochrane údajov z roku 1995.
GDPR sa vzťahuje na všetky organizácie, ktoré spracúvajú osobné údaje občanov EÚ — bez ohľadu na to, kde organizácia sídli. To znamená, že aj americká firma musí dodržiavať GDPR, ak má európskych zákazníkov.
Hlavné princípy GDPR
- Zákonnosť a transparentnosť — údaje sa smú spracúvať len na jasnom právnom základe a používateľ musí byť informovaný
- Obmedzenie účelu — údaje sa smú zbierať len na konkrétny, výslovne uvedený účel
- Minimalizácia údajov — zbierajte len údaje, ktoré naozaj potrebujete
- Presnosť — údaje musia byť aktuálne a správne
- Obmedzenie uchovávania — údaje sa nesmú uchovávať dlhšie, než je potrebné
- Integrita a dôvernosť — údaje musia byť chránené pred neoprávneným prístupom
Práva jednotlivcov podľa GDPR
GDPR zavádza rozsiahle práva pre občanov vrátane:
- Právo na prístup — máte právo vedieť, aké údaje o vás firma drží
- Právo na vymazanie (právo byť zabudnutý) — môžete požiadať o vymazanie vašich údajov
- Právo na prenosnosť — môžete si preniesť údaje k inej službe
- Právo namietať — môžete odmietnuť spracovanie vašich údajov na marketingové účely
Pokuty za porušenie
Podľa GDPR môžu dozorné orgány uložiť pokuty až do 20 miliónov EUR alebo 4 % celosvetového ročného obratu firmy (podľa toho, čo je vyššie). Napríklad spoločnosť Meta (Facebook) dostala v roku 2023 pokutu 1,2 miliardy EUR za nelegálny prenos údajov do USA.
Praktický príklad
Príklad: Prevádzkujete e-shop s oblečením a zbieráte mená, adresy a e-maily zákazníkov.
Podľa GDPR musíte: získať jasný súhlas so spracovaním údajov (nie predvyplnený checkbox), informovať zákazníkov čo s údajmi robíte, umožniť im údaje kedykoľvek vymazať a zabezpečiť, aby sa k nim nedostal nikto neoprávnený.
Ak to neurobíte: Zákazník podá sťažnosť na Úrad na ochranu osobných údajov SR a hrozí vám pokuta. Navyše stratíte dôveru zákazníkov, čo je pre malú firmu často horšie ako samotná pokuta.
Často kladené otázky
Čo je GDPR?
GDPR je nariadenie Európskej únie o ochrane osobných údajov, platné od 25. mája 2018. Reguluje, ako organizácie zbierajú, spracúvajú a uchovávajú osobné údaje občanov EÚ.
Vzťahuje sa GDPR na malé firmy?
Áno, GDPR sa vzťahuje na všetky organizácie, ktoré spracúvajú osobné údaje občanov EÚ — bez ohľadu na veľkosť. Aj živnostník s e-shopom musí GDPR dodržiavať.
Aké sú pokuty za porušenie GDPR?
Maximálna pokuta je 20 miliónov EUR alebo 4 % celosvetového ročného obratu firmy, podľa toho čo je vyššie. V praxi sa pokuty pre malé firmy pohybujú v tisícoch eur.
Čo sú osobné údaje podľa GDPR?
Osobné údaje sú akékoľvek informácie, ktoré identifikujú osobu — meno, e-mail, telefón, IP adresa, cookies, lokalizačné údaje, zdravotné záznamy a podobne.
Potrebujem súhlas na spracovanie údajov?
Nie vždy — GDPR pozná 6 právnych základov spracovania (napr. plnenie zmluvy, oprávnený záujem). Súhlas je len jedným z nich, ale je potrebný napríklad pre marketingové e-maily.
Súvisiace pojmy
Potrebujete pomôcť s webom?
Napíšte mi a poradím vám s vaším projektom. Prvá konzultácia je zadarmo a nezáväzná.