Nariadenie GDPR a významnou udalosťou v roku 2022 bolo zavedenie nového nariadenia o súkromí a elektronických komunikáciách, ktoré nahradí existujúcu smernicu o súkromí a elektronických komunikáciách a očakáva sa, že bude fungovať v spojení s GDPR. Nariadenie o súkromí a elektronických komunikáciách poskytne ďalšie objasnenie pravidiel ochrany údajov v oblasti elektronickej komunikácie a bude obsahovať ustanovenia o používaní súborov cookie a iných technológií sledovania.
Ďalším vývojom v roku 2022 bolo usmernenie Schrems II od Európskeho výboru pre ochranu údajov, ktoré poskytuje podrobnejšie usmernenia o tom, ako zabezpečiť, aby prenosy údajov do krajín mimo EÚ boli v súlade s nariadením GDPR. V usmernení sa objasňuje, že spoločnosti musia pred prenosom osobných údajov vykonať posúdenie primeranosti ochrany, ktorú poskytuje prijímajúca krajina.
Napokon, v roku 2022 vláda Spojeného kráľovstva oznámila svoj zámer vytvoriť po brexite vlastný režim ochrany údajov, oddelený od nariadenia GDPR. Zatiaľ však nie je jasné, čo bude tento nový režim zahŕňať a ako sa bude líšiť od GDPR.
Čo je to nariadenie GDPR pre tých čo nevedeli:
Nariadenie GDPR (Všeobecné nariadenie ochrany údajov) je kľúčovým právnym predpisom, ktorý bol prijatý Európskou úniou s cieľom posilniť ochranu osobných údajov občanov EÚ a EHP (Európskeho hospodárskeho priestoru). Tento právny rámec vstúpil do platnosti v máji 2018, nahrádzajúc predchádzajúce smernice a legislatívu týkajúcu sa ochrany údajov.
Cieľom nariadenia GDPR je poskytnúť jednotný a súdržný prístup k ochrane osobných údajov v celej Európskej únii a zlepšiť práva jednotlivcov v súvislosti s ich údajmi. Toto nariadenie GDPR ukladá povinnosti organizáciám, ktoré spracúvajú osobné údaje, a zvyšuje transparentnosť a zodpovednosť voči jednotlivcom.
Nariadenie GDPR definuje osobný údaj ako akékoľvek informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby. To zahŕňa množstvo informácií, ktoré by mohli byť použité na identifikáciu konkrétnej osoby, priamo alebo nepriamo. Medzi tieto údaje patrí meno a priezvisko, adresa, čísla identifikácie, biometrické údaje, fotografie, informácie o zdravotnom stave a ďalšie.
Organizácie podliehajúce nariadeniu GDPR musia zabezpečiť, že spracúvanie osobných údajov je vykonávané v súlade s určitými princípmi, vrátane zákonnosti, spravodlivosti a transparentnosti. Musia tiež zabezpečiť, že údaje sú spracúvané iba za stanoveným účelom a že sú minimálne a primerané voči tomuto účelu.
Jedným z najdôležitejších aspektov GDPR je posilnenie práv jednotlivcov týkajúcich sa ich osobných údajov. GDPR udeľuje jednotlivcom právo na prístup k ich údajom, právo na opravu a vymazanie údajov, právo na obmedzenie spracúvania, právo na prenosnosť údajov a právo na námietku voči spracúvaniu.
Pre organizácie, ktoré nesplniajú požiadavky GDPR, existujú prísne sankcie. Medzi ne patria pokuty až do výšky 4 % celkového ročného obratu organizácie alebo 20 miliónov eur, v závislosti od toho, ktorá suma je vyššia. Tieto sankcie majú za cieľ zabezpečiť, že organizácie dodržiavajú právne predpisy týkajúce sa ochrany údajov a zabezpečujú súkromie a bezpečnosť údajov jednotlivcov.
V dnešnej dobe, keď je spracúvanie údajov neoddeliteľnou súčasťou podnikania, je dodržiavanie GDPR nevyhnutnosťou pre každú organizáciu. Implementácia tohto nariadenia nielenže chráni práva jednotlivcov, ale tiež pomáha budovať dôveru medzi zákazníkmi a posilňuje obraz organizácie ako zodpovednej a dôveryhodnej inštitúcie. Preto je dôležité, aby organizácie venovali primeranú pozornosť a zdroje na zabezpečenie súladu s GDPR.
Niekoľko ďalších udalostí súvisiacich s GDPR v roku 2022:
- Zvýšené pokuty: Členské štáty EÚ teraz ukladajú vyššie pokuty za porušenie GDPR. Napríklad Taliansko uložilo pokutu 2,5 milióna eur jednej spoločnosti za porušenie GDPR, zatiaľ čo Španielsko uložilo pokutu 8,15 milióna eur jednej spoločnosti.
- Nové usmernenia o oznamovaní porušenia ochrany údajov: V júli 2022 Európsky výbor pre ochranu údajov (EDPB) vydal nové usmernenia o tom, ako by spoločnosti mali postupovať pri oznamovaní porušenia ochrany údajov podľa nariadenia GDPR. Usmernenia poskytujú podrobnejšie pokyny o tom, kedy a ako by spoločnosti mali oznamovať porušenia ochrany údajov dotknutým osobám a dozorným orgánom.
- Aktualizované usmernenia o súhlase: EDPB tiež aktualizoval svoje usmernenia o súhlase podľa GDPR v roku 2022. V nových usmerneniach sa objasňuje, že spoločnosti musia získať výslovný súhlas dotknutých osôb na určité typy spracúvania údajov, ako je napríklad spracúvanie citlivých osobných údajov.
- Štít na ochranu osobných údajov medzi EÚ a USA: V júni 2022 Európska komisia oznámila, že neobnoví dohodu o štíte na ochranu súkromia medzi EÚ a USA, ktorá umožňovala prenos osobných údajov medzi EÚ a USA. Toto rozhodnutie bolo prijaté z dôvodu obáv týkajúcich sa postupov dohľadu USA a nedostatočnej ochrany osobných údajov občanov EÚ.
- Zvýšený dôraz na umelú inteligenciu: Zvýšený dôraz sa kladie na používanie umelej inteligencie (AI) a dodržiavanie GDPR. Európska komisia zverejnila návrh nového nariadenia o UI, ktorý obsahuje ustanovenia o transparentnosti, zodpovednosti a ochrane údajov. V návrhu sa tiež vyžaduje, aby spoločnosti vykonali posúdenie rizík v prípade vysoko rizikových systémov AI.
Stalo sa ešte predtým v roku 2021 pre zopakovanie:
- Francúzsky regulačný orgán udelil spoločnosti Google pokutu: V decembri 2021 francúzsky regulačný orgán pre ochranu údajov CNIL udelil spoločnosti Google pokutu vo výške 100 miliónov eur za umiestňovanie sledovacích súborov cookie do počítačov používateľov bez ich súhlasu. Regulačný orgán tiež nariadil spoločnosti Google, aby získavala súhlas používateľov transparentnejším spôsobom.
- Európsky parlament schválil zákon o digitálnych službách: V decembri 2021 Európsky parlament schválil zákon o digitálnych službách, ktorý obsahuje ustanovenia o regulácii online platforiem vrátane ochrany údajov. V zákone sa vyžaduje, aby online platformy prijali opatrenia na zabránenie nezákonnému obsahu, ako sú nenávistné prejavy a materiály týkajúce sa sexuálneho zneužívania detí, a stanovujú sa v ňom zvýšené požiadavky na transparentnosť reklamy na platformách.
- Dodržiavanie nariadenia GDPR zostáva pre spoločnosti výzvou: Z prieskumu, ktorý v roku 2021 uskutočnila právnická spoločnosť DLA Piper, vyplynulo, že spoločnosti majú stále problémy s dodržiavaním nariadenia GDPR. V prieskume sa zistilo, že od nadobudnutia účinnosti nariadenia GDPR v roku 2018 bolo v celej Európe nahlásených viac ako 160 000 oznámení o porušení ochrany osobných údajov a že pokuty za porušenie nariadenia GDPR sa zvyšujú.
- Rozhodnutie Spojeného kráľovstva o primeranosti: V júni 2021 vydala Európska komisia rozhodnutie o primeranosti, ktoré umožňuje voľný tok osobných údajov medzi EÚ a Spojeným kráľovstvom. Toto rozhodnutie platí štyri roky a môže byť obnovené.
- Nové štandardné zmluvné doložky: V júni 2021 Európska komisia vydala nové štandardné zmluvné doložky (SCC) na prenos údajov medzi krajinami EÚ a krajinami mimo EÚ. Nové SCC obsahujú dodatočné záruky ochrany údajov a vyžadujú, aby spoločnosti vykonávali posúdenie rizík pri vysoko rizikových prenosoch údajov.