Kedy sa GDPR a nový zákon o ochrane osobných údajov dotkne aj bežného podnikateľa?

Príklady častých situácií, pri ktorých by sa mal takmer každý podnikateľ zaoberať problematikou ochrany osobných údajov.

Čo je to GDPR a aký je rozdiel medzi GDPR a novým zákonom o ochrane osobných údajov?

GDPR (General Data Protection Regulation, skrátene teda GDPR) je európske nariadenie upravujúce problematiku ochrany osobných údajov, ktoré od 25.5.2018 začína platiť vo všetkých členských štátoch Európskej únie, teda aj na Slovensku. Okrem toho na Slovensku v ten istý deň začína platiť tiež nový zákon o ochrane osobných údajov, ktorý však z veľkej časti len kopíruje GDPR. Obe regulácie tak z pohľadu bežného slovenského podnikateľa upravujú tie isté povinnosti, ktoré nemusia byť splnené osobitne podľa GDPR a osobitne podľa zákona.

Viac o nariadení GDPR sa dočítate v článku: GDPR – Nové pravidlá v oblasti ochrany osobných údajov.

Čo je osobný údaj poda GDPR a nového zákona o ochrane osobných údajov?

Za osobný sa považuje taký údaj, na základe ktorého možno priamo alebo nepriamo identifikovať konkrétneho človeka. Niekedy k tomu stačí jediný údaj, napríklad rodné číslo, inokedy skupina údajov, ktoré by sami o sebe neboli považované za osobné.

Vysvetlenie: Zatiaľ čo meno a priezvisko, napr. Ján Novák, nie je možné priradiť ku konkrétnej osobe (takéto meno má totiž veľa ľudí, ibaže by išlo o malú obec s jediným Jánom Novákom), meno a priezvisko v spojení s fotografiou alebo s adresou, na ktorej daná osoba býva, už dokážu identifikovať konkrétneho človeka a sú preto spoločne považované za osobné údaje.

Ak teda podnikateľ spracúva údaje, ktoré nie sú osobné, povinnosťami vyplývajúcimi z GDPR a zo zákona o ochrane osobných údajov sa nebude musieť zaoberať. Ak ale osobné údaje spracúva (zhromažďuje, zverejňuje, vyhodnocuje a pod.), či už sú to osobné údaje zamestnancov alebo zákazníkov, problematike osobných údajov by mal venovať zvýšenú pozornosť, aspoň v nižšie spomínaných situáciách.

1. Používanie osobných údajov zamestnancov na iné než zákonom stanovené účely – firemné prezentácie, fotky na sociálnych sieťach, webe podľa GDPR

Každý podnikateľ, ktorý zamestnáva čo i len jedného zamestnanca, spracúva tiež jeho osobné údaje, najčastejšie pri plnení zákonom stanovených povinností – napr. pri prihlasovaní zamestnanca do zdravotnej a sociálnej poisťovne. Podnikateľ k tomu nepotrebuje žiaden osobitný súhlas zamestnanca a nemusí si voči nemu plniť špeciálne povinnosti.

Ak ale podnikateľ spracúva osobné údaje zamestnancov na iné než zákonom stanovené účely, napríklad pri zobrazovaní fotografie alebo osobného telefónneho čísla zamestnanca na webovej stránke alebo vo firemných prezentáciách, potrebuje k tomu osobitný súhlas.

Aby bol takýto súhlas platný, musí byť hlavne dostatočne jasný a konkrétny, slobodný (nesmie byť zahrnutý do pracovnej zmluvy bez samostatného zaškrtávacieho políčka alebo podpisu) a informovaný (okrem informácie o tom, na aké účely budú osobné údaje zamestnanca použité, musí obsahovať tiež informácie o jeho právach, napr. o práve takýto súhlas kedykoľvek odvolať).

2. Vplyv GDPR a nového zákona o ochrane osobných údajov na vedenie databázy zákazníkov na účely zasielania reklamných správ – katalógov, SMS či newsletteru

Mnohí podnikatelia svojim zákazníkom zasielajú katalógy, reklamné SMS alebo newsletter. Keďže kontaktné údaje zákazníkov (prípadne potenciálnych zákazníkov prihlásených k odberu noviniek) sú považované za osobné, pričom podnikateľ tieto údaje používa na iné účely než za účelom dodania objednaného tovaru či služby, k ich spracúvaniu potrebuje výslovný súhlas adresáta reklamných správ.

Ako už bolo uvedené vyššie, jednou z náležitostí platného súhlasu je, že tento súhlas je vyjadrený slobodne.

Ak teda podnikateľ získava napríklad emailové adresy za pomoci vopred zaškrtnutého check-boxu v eshope, prípadne na základe súhlasu, ktorý je neoddeliteľnou súčasťou zmluvy alebo VOP, súhlas so spracovaním takto získaných emailových adries bude neplatný.

Neplatný bude taktiež nedostatočne informovaný súhlas (bez bližšieho vysvetlenia práv zákazníka, napr. aktívnym odkazom na podmienky ochrany osobných údajov) alebo nejednoznačný súhlas vyjadrený holou vetou „súhlasím so spracovaním osobných údajov“.

Ak podnikateľ spracúva kontaktné údaje zákazníkov na marketingové účely na základe neplatného súhlasu, riskuje tým uloženie pokuty až do výšky 20.000.000 EUR.

Aby toho nebolo málo, podnikateľovi hrozí rovnaké riziko aj pri súhlasoch získaných v minulosti – pred účinnosťou GDPR.

Keďže podnikateľ by mal byť schopný kedykoľvek preukázať, že každý z kontaktov nachádzajúcich sa v jeho marketingovej databáze bol získaný platne, mal by prijať minimálne nasledovné opatrenia:

• Vymazať kontakty, ktoré boli do databázy zaradené bez samostatného súhlasu – napr. len na základe zaslania objednávky. Prípadne získať nový súhlas.
• Overiť, či súhlas získaný v minulosti spĺňa všetky povinné náležitosti, ktoré by mal spĺňať podľa GDRP a nového zákona o ochrane osobných údajov.
• Skontrolovať nastavenie zaškrtávacích políčok na webe, formuláre a dokumenty obsahujúce súhlas so spracovaním osobných údajov.
• Skontrolovať, či VOP a/alebo podmienky ochrany osobných údajov odkazujú na aktuálnu legislatívu (tj. od 25.5.2018 nie na zákon č. 122/2013, ale na zákon č. 18/2018 a GDPR) a či obsahujú všetky povinné informácie.
• Pri elektronicky získavaných kontaktoch začať používať metódu double-opt-in – najskôr zákazníkovi zaslať email pre overenie, že kontaktné údaje zadal on sám a do marketingovej databázy ho zaradiť až po kliknutí na aktivačný odkaz umiestnený v tomto emaily.

3. Odovzdávanie osobných údajov tretím stranám alebo spracúvanie údajov pre tretie strany – prenosy údajov podľa GDRP

Podnikateľ môže pri spracúvaní osobných údajov vystupovať buď v roli tzv. prevádzkovateľa, kedy osobné údaje spracúva sám pre seba, alebo v roli tzv. sprostredkovateľa, kedy osobné údaje spracúva pre niekoho iného napr. účtovník pri vedení personálnej a mzdovej agendy.

Ak teda podnikateľ spracúva osobné údaje pre niekoho iného alebo ak spracúvaním osobných údajov zamestnancov či zákazníkov poveril ďalšiu osobu, potom by medzi týmito osobami mala byť uzavretá špeciálna zmluva o spracúvaní osobných údajov.

Príkladom, kedy dochádza k odovzdávaniu osobných údajov medzi prevádzkovateľom a sprostredkovateľom (kedy je potrebná zmluva o spracúvaní osobných údajov), môže byť spolupráca s externým poskytovateľom

• účtovných služieb,
• právnych služieb,
• služieb personálnych agentúr pri sprostredkúvaní zamestnania,
• webhostingových služieb a iných IT riešení, pri ktorých má poskytovateľ prístup k osobným údajom (napr. mailchimp),
• reklamných služieb,
• telemarketingových služieb,
• rôznych iných druhov sprostredkovateľských služieb (cestovné, poisťovacie a iné agentúry).

4. Pravidelné spracúvanie osobných údajov alebo spracúvaní osobných údajov osobitných kategórií

Ak podnikateľ spracúva osobné údaje osobitných kategórií (napríklad informácie o zdravotnom stave) alebo spracúva osobné údaje pravidelne (napríklad eshop), musí viesť interné záznamy o spracovateľských činnostiach.

GDPR a zákon o ochrane osobných údajov pritom rozlišujú medzi záznamami prevádzkovateľa a záznamami sprostredkovateľa. Vypracovanie tohto dokumentu by mal preto podnikateľ radšej skonzultovať s odborníkom.

Ide o dokument, ktorý do istej miery nahrádza doterajšie bezpečnostné projekty, ktoré od 25.5.2018 nebudú regulované.

5. GDPR a používanie kamerového systému s funkciou záznamu

Podnikatelia, ktorí majú vo svojich obchodoch, výrobných či kancelárskych priestoroch nainštalované kamery by mali spozornieť, pokiaľ je ich kamerový systém vybavený funkciou záznamu (videozáznam sa ukladá, nedochádza len k živému prenosu). V takejto situácii totiž dochádza k spracúvaniu osobných údajov zákazníkov, zamestnancov či návštevníkom, pri ktorom by mal podnikateľ aspoň:

• označiť priestor ako monitorovaný
• zaistiť, aby nedochádzalo k monitorovaniu cudzích priestorov
• mať vypracované vyššie spomínané záznamy o spracovateľských činnostiach
• prijať vhodné technické a organizačné opatrenia na zabezpečenie videozáznamu.

Záver

Vyššie uvedené príklady predstavujú len malý zlomok situácií, pri ktorých dochádza k spracúvaniu osobných údajov. Množstvo podnikateľov pri svojej činnosti vykonáva aj iné operácie s osobnými údajmi, ktoré vyžadujú špecifické technické nastavenie, vypracovanie alebo úpravu príslušnej dokumentácie a prijatie bezpečnostných opatrení, pri ktorých sa odporúča konzultácia s odborníkom. V praxi tak pôjde napríklad o:

• spracúvanie osobných údajov osôb mladších ako 16 rokov (v určitých prípadoch je potrebný rodičovský súhlas)
• využívanie niektorých analytických nástrojov fungujúcich na pozadí webovej stránky (aj cookies či nezamaskovaná IP adresa sú považované za osobné údaje)
• využívanie rôznych webových nástrojov tretích strán na účely emailingu, hodnotenia nákupov, helpdesku a i.).
• spracúvanie a analyzovanie údajov pre účely cielenia reklamy
• zaznamenávanie telefónnych hovorov pri vedení zákazníckej linky alebo poskytovaní telemarketingových služieb
• zber a nakladanie s osobnými údajmi o zdravotnom stave
• využívanie biometrických dochádzkových systémov

Niektoré z vyššie spomenutých situácií sú bližšie vysvetlené v článku: 9 situácií, v ktorých by sa podnikatelia mali zaoberať ochranou osobných údajov podľa GDPR.

Pozrite si aj diskusiu o GDPR - ako sú firmy pripravené, aké problémy môže priniesť a ďalšie odpovede na otázky v článku GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia.