GDPR v skratke - ako by sa mal podnikateľ pripraviť?

Tomáš Vavro | 14.05.2018
GDPR v skratke - ako by sa mal podnikateľ pripraviť?

GDPR a ochrana osobných údajov vysvetlená na príkladoch a odporúčaniach pre bežného podnikateľa.

Základné informácie o GDPR a osobných údajoch

Čo je to GDPR?

GDPR (General Data Protection Regulation, skrátene teda GDPR) je univerzálne európske nariadenie, ktoré od 25.5.2018 zavádza novú úpravu práv a povinností v oblasti spracúvania a ochrany osobných údajov.

GDPR je záväzné pre každého, kto spracúva osobné údaje jednotlivcov nachádzajúcich sa v Európskej únii. GDPR sa teda dotýka absolútnej väčšiny európskych podnikateľov, ako aj podnikateľov so sídlom mimo EÚ, ktorí v rámci Európy (napr. cez webové stránky a aplikácie) ponúkajú svoj tovar či služby.

Čo je považované za osobný údaj?

Osobnými údajmi sú akékoľvek informácie o fyzickej osobe - jednotlivcovi, ktoré vytvárajú jeho identitu. Môže ísť teda o údaje konkrétnej osoby (napr. meno, priezvisko a adresa) alebo údaje, za pomoci ktorých možno určitého človeka spoľahlivo identifikovať (napr. vedúci obchodného oddelenia v konkrétnej spoločnosti).

Osobnými údajmi sú akékoľvek informácie o fyzickej osobe - jednotlivcovi, ktoré vytvárajú jeho identitu.

To, či podnikateľ spracúva nejaké osobné údaje, nemusí byť vždy úplne jednoznačné. Nižšie preto uvádzame demonštratívny zoznam údajov*, ktoré sa za osobné obvykle považujú (t.j. pri ktorých spracúvaní by sa podnikateľ mal problematikou GDPR zaoberať):

  • Meno a priezvisko, dátum narodenia a adresa
  • Rodné číslo
  • Telefónne číslo
  • Emailová adresa
  • Informácie o veku, pohlaví a vzdelaní
  • Informácie o zdravotnom stave, sexuálnej orientácii, rasovom či etnickom pôvode, politických názoroch a pod.
  • Fotografia alebo videozáznam zachycujúci tvár
  • Odtlačky prstov, dlane, hlas (zafarbenie) či iné biometrické údaje (napr. v súvislosti s prevádzkou špeciálnych dochádzkových systémov)
  • údaje z GPS sledovania služobných vozidiel
  • IP adresa a súbory cookies

Pri údajoch, ktoré sú označené tučným písmom, by mal podnikateľ ochrane osobných údajov venovať zvýšenú pozornosť, nakoľko ide o citlivé údaje osobitnej kategórie, ktorých spracúvanie sa vyznačujú prísnejšími povinnosťami.

*Poznámka: Aj pri vyššie uvedenom demonštratívnom zozname je vždy potrebné posudzovať, či daný údaj možno priradiť ku konkrétnej osobe. Zatiaľ čo meno a priezvisko Ján Novák sami o sebe nebudú osobným údajom, v spojení s dátumom narodenia alebo s označením malej obce, v ktorej nežije žiaden menovec, už o osobné údaje pôjde.

Kedy je potrebné zaoberať sa GDPR - v akých situáciách dochádza k spracúvaniu osobných údajov?

Spracúvaním osobných údajov sa rozumie úkon alebo súbor úkonov, ktoré podnikateľ vykonáva za určitým účelom. Ide najmä o:

  • zhromažďovanie (ukladanie),
  • usporadúvanie, zverejňovanie,
  • analyzovanie či iné používanie údajov,
  • ako aj ich poskytovanie ďalším osobám či likvidáciu.

K spracúvaniu osobných údajov pri podnikateľskej činnosti dochádza teda hlavne pri nasledovných činnostiach:

  • Spracúvanie objednávok zákazníkov
  • Vedenie personálnej a mzdovej agendy (spracúvanie životopisov, evidencia dochádzky, komunikácia so zdravotnou poisťovňou atď.)
  • Vedenie účtovníctva
  • Zasielanie reklamných ponúk zákazníkom (newsletter, tlačené katalógy atď.)
  • Vedenie zákazníckej linky so záznamom
  • Používanie kamerových systémov so záznamom
  • Organizovanie spotrebiteľských súťaží
  • Spravovanie užívateľských účtov na internetových stránkach alebo v mobilných aplikáciách
  • Zdieľanie fotografií a videozáznamov na internete a na sociálnych sieťach (napr. fotky členov tímu, záznamy z firemných akcií atď.)
  • Sledovanie zamestnancov (používanie počítačov, GPS sledovanie služobných áut atď.)

Čo je v súvislosti s príchodom GDPR potrebné zmeniť – odporúčania a návrhy opatrení pre bežných podnikateľov

Problematika spracúvania a ochrany osobných údajov je pomerne rozsiahla a je preto viac-menej nemožné nájsť univerzálny a dostatočne podrobný návod, ako sa s GDPR a novou reguláciou ochrany osobných údajov vysporiadať. Podnikateľom sa však vo všeobecnosti odporúča najmä:

  1. Dodržiavanie základných zásad ochrany osobných údajov
  2. Zavedenie alebo aktualizácia dokumentácie súvisiacej s ochranou osobných údajov
  3. Obnovenie v minulosti získaných súhlasov so spracovaním osobných údajov
  4. Kontrola zmlúv, obchodných podmienok, formulárov, interných procesov a i.

Dodržiavanie základných zásad ochrany osobných údajov

GDPR definuje niekoľko zásad, ktorými by sa mal riadiť každý, kto spracúva nejaké osobné údaje, a síce

Osobné údaje spracúvame len na základe legitímneho právneho základu

Vysvetlenie: Osobné údaje zamestnanca pri prihlásení do Sociálnej poisťovne spracúvam preto, lebo mi to ukladá zákon (právnym základom je teda zákonom stanovená povinnosť). Osobné údaje zákazníka pri vybavení objednávky spracúvam preto, lebo ich potrebujem na splnenie kúpnej zmluvy – na dodanie objednaného tovaru (právnym základom je teda plnenie zmluvy). Kamerový systém v predajni prevádzkujem preto, lebo mi môžu ukradnúť vystavený tovar (právnym základom je teda záujem prevádzkovateľa predajne chrániť svoj majetok). Ak takýto právny základ neexistuje, pravdepodobne budem potrebovať súhlas so spracovaním osobných údajov. Príkladom je súhlas zákazníka s odberom newsletteru, bez ktorého by som newsletter nemal posielať.

Spracúvame len tie osobné údaje, ktoré na daný účel skutočne potrebujem

Vysvetlenie: Pri nástupe zamestnanca do práce síce potrebujeme niektoré jeho údaje uvedené v občianskom preukaze, nepotrebujeme však kópiu celého občianskeho preukazu, preto ho neskenujeme.

Osobné údaje spracúvame len dovoleným spôsobom a výlučne na príslušné účely

Vysvetlenie: Ak sme osobné údaje zákazníka spracovali na účely dodania objednaného tovaru, nemôžeme ich používať na iné účely, napríklad na účely zasielania obchodných ponúk, pokiaľ k tomu nemáme osobitný súhlas.

Spracúvame len presné osobné údaje, ktoré v prípade potreby aktualizujeme

Vysvetlenie: Ak nám zamestnankyňa oznámi svoje nové priezvisko, spracúvané údaje o danej zamestnankyni aktualizujeme.

Osobné údaje spracúvam iba na nevyhnutnú dobu

Vysvetlenie: Pri organizovaní spotrebiteľskej súťaže spracúvame osobné údaje súťažiacich iba po dobu trvania súťaže. Akonáhle však súťaž skončí, vyhodnotíme výhercov a odovzdáme výhry, osobné údaje všetkých zúčastnených účastníkov viac nepotrebujeme a mali by sme ich preto odstrániť.

Osobné údaje, ktoré spracúvam, náležite chránim

Vysvetlenie: V kamennej predajni evidujem reklamácie zákazníkov. Reklamačné formuláre obsahujúce osobné údaje preto nemám vyložené na pulte, ale uchovávam ich v uzamykateľnom šuplíku. V prípade spoločného prístupu zamestnancov na jeden server chránim osobné údaje, ku ktorým by mali mať prístup len niektorí zamestnanci (prístup do zložky obsahujúceho údaje o zamestnancoch má len personalista, nie však všetci zamestnanci vo firme).

Osobám, ktorých osobné údaje spracúvam, transparentným spôsobom poskytujem potrebné informácie

Vysvetlenie: Sprievodný text check-boxu pre prihlásenie k newslettru v znení „Súhlasím s odberom newstelleru“ bez odkazu na bližšie informácie o ochrane osobných údajov je nedostatočný, nakoľko adresátovi newsletteru transparentným spôsobom neposkytuje potrebné informácie. Je preto potrebný aktívny odkaz na podmienky ochrany osobných údajov, ktoré budú obsahovať všetky povinné náležitosti podľa GDPR, napr. informáciu o možnosti odvolania súhlasu a mnohé ďalšie.

Zavedenie alebo aktualizácia dokumentácie súvisiacej s ochranou osobných údajov podľa GDPR

S ochranou osobných údajov sa spája tiež používanie rôznych dokumentov, ktorými sú hlavne:

  1. Súhlas so spracovaním osobných údajov
  2. Zmluva o spracúvaní osobných údajov
  3. Podmienky ochrany osobných údajov
  4. Záznamy o spracovateľských činnostiach
  5. Bezpečnostný projekt

Súhlas so spracovaním osobných údajov – existujúce formuláre pre udelenie súhlasu so spracovaním osobných údajov nemusia vyhovovať súčasným požiadavkám podľa GDPR. Podnikateľom sa preto odporúča dôkladná revízia používaných súhlasov. Ak podnikateľ súhlas so spracovaním osobných údajov nepoužíva vôbec a osobné údaje nemôže spracúvať na inom právnom základe, odporúča sa mu spracovanie úplne nového vzoru súhlasu.

Zmluva o spracúvaní osobných údajov – V prípade vzťahu dvoch podnikateľov, kedy jeden podnikateľ spracúva osobné údaje pre toho druhého, napr. ako účtovník pri vedení personálnej a mzdovej agendy alebo obchodný zástupca pri získavaní nových zákazníkov, mala by medzi týmito podnikateľmi existovať zmluva o spracúvaní osobných údajov. Tá upravuje povinnosti a postupy pri spracúvaní osobných údajov.

Podmienky ochrany osobných údajov podmienky ochrany osobných údajov by mali obsahovať všetky povinné náležitosti podľa GDPR. Za pomoci takýchto podmienok sú následne zákazníci informovaní o tom, na aké účely a ako dlho sú ich údaje spracúvané, komu môžu byť ďalej poskytnuté, aké má zákazník práva a i.

Záznamy o spracovateľských činnostiach – Ak podnikateľ zamestnáva aspoň 250 zamestnancov alebo spracúva osobné údaje pravidelne, prípadne spracúva osobné údaje osobitných kategórií (napr. údaje o zdravotnom stave), musí viesť tzv. záznamy o spracovateľských činnostiach. Takéto záznamy musí podnikateľ viesť, ak osobné údaje spracúva pre svoje vlastné účely (ako prevádzkovateľ), ako aj vtedy, ak osobné údaje spracúva pre niekoho iného (ako sprostredkovateľ).

Bezpečnostný projekt – podľa GDPR a nového zákona o ochrane osobných údajov už tento dokument nie je povinný. Ak už má podnikateľ spracovaný bezpečnostný projekt z minulosti, môže ho však aktualizovať a zapracovať do novo zavedených záznamov o spracovateľských činnostiach.

Obnovenie v minulosti získaných súhlasov so spracovaním osobných údajov

Mnohí podnikatelia dnes vo svojich marketingových databázach evidujú také osobné údaje, ktoré získali nezákonným spôsobom (napr. na základe vopred zaškrtnutého check-boxu pre súhlas s odberom newsletteru alebo na základe neslobodného súhlasu zahrnutého do VOP) alebo ktoré jednoducho nevyhovujú štandardom podľa GDPR (súhlas so spracovaním napr. nebol dostatočne informovaný – zákazník nebol dostatočne informovaný o svojich právach).

Podnikateľ pritom musí byť schopný kedykoľvek preukázať, že súhlas so spracovaním osobných údajov bol získaný legitímne a v súlade s GDPR, čo však pri rozsiahlych marketingových databázach dnes dokáže len málokto.

Podnikateľom sa preto odporúča buď opätovné zaistenie súhlasov so spracovaním osobných údajov, ideálne tzv. metódou double-opt-in, alebo vymazanie tých osobných údajov, pri ktorých si podnikateľ nie je istý, či boli získané v súlade so zákonom.

Ak podnikateľ v prípade kontroly zo strany Úradu na ochranu osobných údajov nebude schopný preukázať, ako získal súhlas so spracovaním osobných údajov konkrétneho človeka (dôkazné bremeno totiž nesie podnikateľ), hrozí mu uloženie pokuty až do výšky 20 000 000 EUR.

Kontrola zmlúv, obchodných podmienok, formulárov, interných procesov a i.

K spracúvaniu osobných údajom môže dochádzať rôznymi spôsobmi – za pomoci zmlúv, formulárov, emailov, činnosti obchodných zástupcov a pod. Podnikateľom sa preto odporúča prejsť si jednotlivé spôsoby získavania osobných údajov, skontrolovať pri nich dodržiavanie vyššie popísaných zásad, správnosť používanej dokumentácie a bezpečnostných opatrení. Ak sú bezpečnostne opatrenia nedostačujúce, odporúča sa napr. zavedenie šifrovania, obmedzenie prístupu k osobným údajom len pre niektorých zamestnancov, zaškolenie zamestnancov (napr. za pomoci internej smernice) a pod.

Najlepšie články do vášho mailu každý pondelok

Čítajte len to, čo vás naozaj zaujíma. Sumár vybraných článkov raz za týždeň, žiadny spam. Zasielanie newslettra si môžete kedykoľvek vypnúť.

Zvoľte si témy:

Vaše osobné údaje (email) budeme spracovávať len za týmto účelom v súlade s platnou legislatívou a zásadami ochrany osobných údajov. Súhlas potvrdíte kliknutím na odkaz, ktorý vám pošleme na váš email. Súhlas môžete kedykoľvek odvolať písomne, emailom alebo kliknutím na odkaz z ktoréhokoľvek informačného emailu.