Základné informácie k GDPR
Všeobecné nariadenie o ochrane údajov (anglicky General Data Protection Regulation, skrátene GDPR), plným názvom Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), je nariadenie Európskej únie, ktorého cieľom je výrazné zvýšenie ochrany osobných údajov občanov. V Úradnom vestníku Európskej únie bolo vyhlásené 27. apríla 2016. Nariadenia, v schválenom znení, sú priamo účinné pre každý členský štát EÚ. V slovenskom právnom poriadku je nariadenie premietnuté aj do zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov z 29. novembra 2017. Zákon 18/2018 Z. z. je účinný na Slovensku rovnako ako GDPR od 25. mája 2018. Zákon bol priamo aj nepriamo aktualizovaný v roku 2019 (v znení č. 35/2019 Z. z. (nepriamo), 221/2019 Z. z.).
Časť smernice sa zaoberá ochranou osobných údajov (doslovne "ochranou fyzických osôb pri spracúvaní osobných údajov") ale aj o voľnom pohybe údajov (všeobecne, napríklad právnických osôb, teda nielen osobných údajov), preto sa názov prekladá všeobecnejšie ako Všeobecné nariadenie o ochrane údajov, rovnako ako názov, ktorý mala pôvodná smernica 95/46/ES, ktorú GDPR nahradila. GDPR všeobecne určuje zásady, povinnosti, kódexy správania a ďalšie postupy najmä pre „prevádzkovateľov“ „sprostredkovateľov“ ale aj „tretie strany“, ktorými nie sú len firmy ale všeobecne fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt.
GDPR nie je jediná relevantná smernica EÚ. Problematiku osobných údajov v elektronickej komunikácií upravuje aj staršia smernica číslo 2002/58/ES. GDPR upravilo svoj vzťah voči tejto smernici tak, že GDPR neukladá "dodatočné povinnosti, pokiaľ ide o spracúvanie v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb vo verejných komunikačných sieťach v Únii, v prípadoch, keď podliehajú konkrétnym povinnostiam s rovnakým cieľom stanoveným v smernici.“ (Článok 95 GDPR)
Nariadenie chráni základné práva a slobody fyzických osôb so zameraním na právo ochrany osobných údajov. Stanovuje pravidlá ochrany fyzických osôb a pravidlá pre voľný pohyb (ktorý sa nesmie obmedziť ani zakázať) osobných údajov v Európskej únii (Článok 1, ods. 1-3). Táto konzistentná úroveň ochrany fyzických osôb v celej Únii má zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu (preambula, ods.13).
Ak zahrnieme úplne všetky spôsoby získavania a používania osobných údajov na Slovensku, tak GDPR z veľkej časti túto oblasť pokrylo, nie však úplne. Kým väčšina spôsobov získavania a používania osobných údajov je zaraditeľná pod konkrétnu právnu úpravu, pri niektorých operáciách s osobnými údajmi nie je úplne jasné, ktorú časť pokrýva GDPR a ktorú nepokrýva, a ktorá je teda pokrytá slovenským zákonom o ochrane osobných údajov (18/2018 Z. z.) a inými právnymi predpismi, napríklad zákonom č. 351/2011 Z. z. o elektronických komunikáciách.