Ochrana osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami EÚ

 

ZHRNUTIE K DOKUMENTU:

Nariadenie (EÚ) 2018/1725 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami EÚ a o voľnom pohybe takýchto údajov

AKÝ JE CIEĽ TOHTO NARIADENIA?

Nariadením:

• sa stanovujú pravidlá o tom, ako majú inštitúcie, orgány, úrady a agentúry EÚ zaobchádzať s osobnými údajmi* osôb, ktorými disponujú,
• sa podporujú základné práva a slobody osôb, predovšetkým právo na ochranu osobných údajov a právo na súkromie,
• sa zosúlaďujú pravidlá ochrany osobných údajov pre inštitúcie, orgány, úrady a agentúry EÚ s pravidlami všeobecného nariadenia o ochrane údajov (GDPR) a smernice (EÚ) 2016/680 známej ako smernica o presadzovaní práva, ktoré sa uplatňujú od mája 2018,
• sa zrušuje nariadenie (ES) č. 45/2001, ktoré predtým obsahovalo pravidlá týkajúce sa spracúvania osobných údajov inštitúciami, orgánmi, úradmi a agentúrami EÚ, a zabezpečuje, že tieto inštitúcie, orgány, úrady a agentúry budú dodržiavať tie isté prísne normy stanovené vo všeobecnom nariadení o ochrane údajov,
• sa zrušuje rozhodnutie č. 1247/2002/ES o európskom dozornom úradníkovi pre ochranu údajov (EDPS).

HLAVNÉ BODY

Osobné údaje musia byť:

• spracúvané zákonným, spravodlivým a transparentným spôsobom,
• získavané na konkrétne určené, výslovne uvedené a legitímne účely,
• primerané, relevantné a obmedzené na potrebný rozsah,
• presné a v prípade potreby aktualizované,
• uchovávané spôsobom, ktorý umožňuje identifikáciu dotknutých osôb len dovtedy, kým je to potrebné,
• spracúvané so zachovaním primeranej dôvernosti.

Prevádzkovateľ* je zodpovedný za súlad so všetkými uvedenými zásadami spracovania údajov a musí vedieť tento súlad preukázať.

Navyše osobné údaje:

• môžu byť prenášané príjemcovi v EÚ, ktorý nie je inštitúciou, orgánom, úradom alebo agentúrou EÚ, len pod podmienkou dodatočných záruk,
• môžu byť prenášané mimo EÚ len za prísnych podmienok,
• odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na účely individuálnej identifikácie fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby sa nesmú spracúvať okrem prípadov za osobitných okolností,
• vyžadujú primerané záruky, ak sa archivujú vo verejnom záujme alebo na vedecké, historické alebo štatistické účely.

Žiadosti o súhlas osoby s použitím jej údajov musia mať zrozumiteľnú a ľahko prístupnú formu a musia byť formulované jasne a jednoducho. Súhlas musí byť jednoznačným potvrdzujúcim úkonom danej osoby.

Osoby (označované v právnom predpise ako „dotknuté osoby“) majú právo:

• kedykoľvek svoj súhlas odvolať, pričom jeho odvolanie musí byť také jednoduché ako poskytnutie,
• vedieť, či sa ich osobné údaje spracúvajú, a mať k nim prístup,
• dosiahnuť opravu akýchkoľvek nepresných osobných údajov,
• odstrániť osobné údaje zo spracúvania alebo obmedziť ich spracúvanie, pokiaľ sú splnené určité podmienky,
• získať svoje osobné údaje poskytnuté prevádzkovateľovi v štruktúrovanom, bežne používanom, strojovo čitateľnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi,
• namietať proti využívaniu ich osobných údajov na účely verejného záujmy na základe ich konkrétnej situácie,
• nepodliehať rozhodnutiu založenému výlučne na automatizovanom spracúvaní, ktoré má pre ne právne dôsledky,
• sťažovať sa EDPS, ak sú presvedčené, že sa ich osobné údaje spracúvajú spôsobom, ktorý porušuje nariadenie,
• byť odškodnené za majetkovú alebo nemajetkovú ujmu, ktorú utrpeli pre úkony inštitúcie, orgánu, úradu alebo agentúry EÚ,
• poveriť neziskovú organizáciu, aby podala sťažnosť EDPS.

Prevádzkovatelia:

• musia pri získavaní takýchto údajov informovať dotknuté osoby jednoduchým jazykom a s použitím faktických informácií, ako sú kontaktné údaje prevádzkovateľa a účel spracovania osobných údajov,
• musia čo možno najskôr, no najneskôr do jedného mesiaca odpovedať na všetky žiadosti dotknutých osôb, napríklad na žiadosti o prístup k ich osobným údajom alebo o opravu ich osobných údajov,
• uplatňujú primerané technické a organizačné opatrenia vrátane pseudonymizácie* na zabezpečenie súladu spracúvania osobných údajov s nariadením,
• musia využívať služby iba tých sprostredkovateľov, ktorí spĺňajú požiadavky EÚ,
• podrobne evidujú spracúvanie údajov, za ktoré sú zodpovední,
• spolupracujú s EDPS,
• čo najskôr oznamujú EDPS a v niektorých prípadoch aj dotknutej osobe, že došlo k porušeniu ochrany osobných údajov,
• vykonávajú posúdenie vplyvu na ochranu údajov pri istom vysokorizikovom spracúvaní osobných údajov,
• zabezpečujú dôverný charakter a bezpečnosť svojich elektronických komunikačných sietí,
• informujú európskeho dozorného úradníka pre ochranu údajov o vypracovaní administratívnych opatrení alebo interných predpisov týkajúcich sa spracúvania osobných údajov.

Právnym predpisom sa vytvára pozícia európskeho dozorného úradníka pre ochranu údajov, ktorý sa vymenúva na päťročné funkčné obdobie, ktoré sa môže raz obnoviť. Nositeľ tejto funkcie so sídlom v Bruseli:

• koná úplne nezávisle,
• zachováva pri zaobchádzaní so všetkými dôvernými informáciami služobné tajomstvo,
• monitoruje spôsob, akým inštitúcie, orgány, úrady a agentúry EÚ uplatňujú tento právny predpis,
• zvyšuje povedomie verejnosti o spracúvaní osobných údajov a jej porozumenie tejto veci,
• vybavuje sťažnosti a vedie vyšetrovania,
• upozorňuje prevádzkovateľov a udeľuje im sankcie,
• postupuje veci Súdnemu dvoru, ktorý rieši všetky spory týkajúce sa tohto právneho predpisu,
• predkladá výročnú správu Európskemu parlamentu, Rade a Európskej komisii,
• spolupracuje s národnými dozornými orgánmi zodpovednými za ochranu údajov.

Rokovací poriadok EDPS

Rozhodnutím z 15. mája 2020 sa prijíma rokovací poriadok EDPS. Podrobne sa v ňom stanovujú:

• poslanie, hlavné zásady a organizácia EDPS,
• spôsob, akým bude monitorovať a zabezpečovať uplatňovanie nariadenia,
• postupy týkajúce sa jeho legislatívnych konzultácií, monitorovania technológií, výskumných projektov, súdnych konaní, a
• postupy spolupráce s národnými dozornými orgánmi a medzinárodnej spolupráce.

Osobitné pravidlá pre orgány, úrady a agentúry EÚ

Osobitné pravidlá platia pre orgány, úrady a agentúry EÚ, ktoré spracúvajú operačné osobné údaje* na účely presadzovania práva (napr. Eurojust). Týmto pravidlám je venovaná osobitná kapitola nariadenia. Pravidlá v tejto kapitole sú zosúladené so smernicou o presadzovaní práva. Navyše v ustanovujúcich aktoch týchto orgánov, úradov a agentúr sa môžu stanoviť konkrétnejšie pravidlá zohľadňujúce ich osobitné charakteristiky.

Spracúvanie operačných osobných údajov Europolom a Európskou prokuratúrou je vyňaté z rozsahu pôsobnosti nariadenia a namiesto toho sa riadi osobitnými ustanoveniami z právnych aktov, ktorými sa zriadili. Administratívne spracúvanie osobných údajov týmito orgánmi (napr. riadenie personálu) podlieha danému nariadeniu.

Zodpovedné osoby

Prevádzkovatelia okrem toho na obdobie troch až piatich rokov vymenúvajú zodpovedné osoby, ktorých úlohou je:

• poskytovať nezávislé poradenstvo o spracúvaní osobných údajov,
• monitorovať dodržiavanie pravidiel ochrany údajov.

Správy

Európska komisia musí do 30. apríla 2022 predložiť svoju prvú správu o uplatňovaní tohto nariadenia.

ODKEDY SA NARIADENIE UPLATŇUJE?

Nariadenie sa uplatňuje od 11. decembra 2018 s výnimkou prípadov spracovávania osobných údajov Eurojustom, v ktorých sa uplatňuje od 12. decembra 2019.

KONTEXT

V článku 8 Charty základných práv sa uvádza, že každý má právo na ochranu osobných údajov. V článku 16 Zmluvy o fungovaní EÚ sa toto právo ďalej rozvíja. Tento článok je právnym základom všetkých právnych predpisov EÚ o ochrane údajov.

Ďalšie informácie:

• Ochrana osobných údajov v EÚ (Európska komisia).

HLAVNÉ POJMY

HLAVNÝ DOKUMENT

Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39 – 98).

SÚVISIACE DOKUMENTY

Rozhodnutie Komisie (EÚ) 2020/969 z 3. júla 2020, ktorým sa stanovujú vykonávacie pravidlá týkajúce sa úradníka pre ochranu údajov, obmedzení práv dotknutých osôb a uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 a ktorým sa zrušuje rozhodnutie Komisie 2008/597/ES (Ú. v. EÚ L 213, 6.7.2020, s. 12 – 22).

Rozhodnutie európskeho dozorného úradníka pre ochranu údajov z 15. mája 2020, ktorým sa prijíma rokovací poriadok EDPS (Ú. v. EÚ L 204, 26.6.2020, s. 49 – 59).

Rozhodnutie európskeho dozorného úradníka pre ochranu údajov z 2. apríla 2019 o vnútorných pravidlách týkajúcich sa obmedzení určitých práv dotknutých osôb v súvislosti so spracúvaním osobných údajov v rámci činností vykonávaných európskym dozorným úradníkom pre ochranu údajov (Ú. v. EÚ L 99I, 10.4.2019, s. 1 – 7).

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88).

Následné zmeny nariadenia (EÚ) 2016/679 boli zapracované do pôvodného dokumentu. Toto konsolidované znenie slúži len na dokumentačné účely.

Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016, s. 89 – 131).

Pozri konsolidované znenie.

Posledná aktualizácia 14.01.2022