Podnikateľov od 25.5.2018 čaká množstvo nových povinností v súvislosti s ochranou osobných údajov podľa európskeho nariadenia GDPR. Pripravili sme prehľad častých situácií, kedy sa podnikateľov GDPR dotkne aj keď o tom možno ani netušia.
Podstatné zmeny podľa GDPR vysvetlené na praktických príkladoch
V článku o GDPR- európskom nariadení č. 2016/679, sme si vymenovali niekoľko podstatných zmien v oblasti ochrany osobných údajov, ktoré od 25.5.2018 začnú platiť vo všetkých krajinách Európskej únie. Na nasledujúcich príkladoch sa tieto zmeny pokúsime vysvetliť:
1. Súhlas so spracovaním osobných údajov na vašom webe nemôže byť vopred zaškrtnutý
Ak ste prevádzkovateľom eshopu či webového portálu, na ktorom návštevníci vyjadrujú svoj súhlas so spracovaním osobných údajov pre marketingové účely a políčko pre udelenie súhlasu máte vopred zaškrtnuté, musíte ho zmeniť na nezaškrtnuté. Súhlas musí byť totiž dostatočne konkrétny, slobodný, informovaný a jednoznačný.
2. Súhlas so spracovaním osobných údajov na účely marketingu zahrnutý v obchodných podmienkach bude neplatný
Ak zmluva, obchodné podmienky alebo objednávkový formulár v eshope obsahujú ustanovenie, podľa ktorého sa súhlas so spracovaním osobných údajov pre marketingové účely udeľuje automaticky pri podpise zmluvy alebo odoslaním objednávky (pre takýto súhlas neexistuje samostatné zaškrtávacie políčko), súhlas so spracovaním údajov by bol neslobodný, t.j. neplatný, a spracúvanie osobných údajov pre marketingové účely by bolo protizákonné.
Príklad: S dokončením objednávky v eshope je spojené zaškrtnutie jediného políčka, ktorým zákazník vyjadruje súhlas s obchodnými podmienkami. Keďže súčasťou obchodných podmienok je aj súhlas so zasielaním reklamných ponúk na zadanú emailovú adresu, pričom zákazník pri dokončení objednávky nemal žiadnu možnosť vyjadriť slobodný súhlas so spracovaním osobných údajov na účely marketingu (napr. za pomoci druhého zaškrtávacieho políčka), udelenie súhlasu by bolo neslobodné a prevádzkovateľovi eshopu by hrozila pokuta do výšky 20.000.000 EUR.
3. Podnikateľ musí byť schopný kedykoľvek preukázať udelenie súhlasu so spracovaním osobných údajov
Nad rámec vyššie uvedených náležitostí súhlasu musí byť podnikateľ schopný kedykoľvek preukázať, že súhlas so spracúvaním osobných údajov mu bol skutočne udelený. Z tohto dôvodu sa prevádzkovateľom internetových portálov a eshopov odporúča používanie tzv. double opt-in nástrojov – zaslanie potvrdzujúceho emailu o spracovaní osobných údajov, ktorý bude následne potvrdený používateľom či zákazníkom. Ak podnikateľ nebude vedieť preukázať udelenie súhlasu, opäť mu bude hroziť vysoká pokuta.
Príklad: Prevádzkovateľ eshopu spracúva emailové adresy zákazníkov na účely marketingu, nepoužíva však žiaden nástroj pre double opt-in, ktorý by mu umožňoval preukázanie udelenia každého jednotlivého súhlasu. Podnikateľ má teda emailovú databázu, ktorá nezodpovedá požiadavkám GDPR, pričom neschopnosť preukázať udelenie súhlasu sa opäť považuje za porušenie zásad pri spracúvaní osobných údajov, za ktoré mu môže byť uložená pokuta až do výšky 20.000.000 EUR. Podnikateľom sa preto odporúča využitie double opt-in nástroja aj pri existujúcich emailových databázach (dodatočné potvrdenie súhlasov ), pri ktorých podnikateľ jednoducho nedokáže preukázať, kedy a akým spôsobom jednotlivé emailové adresy získal.
4. Cookies nesmiete zbierať skôr ako návštevník webu udelí súhlas
Keďže za osobný údaj sa podľa GDPR považujú tiež súbory cookies, k ich použitiu nesmie dôjsť skôr, než návštevník webovej stránky udelí súhlas. Ak dnes prevádzkovateľ webovej stránky využíva cookies, ktoré sa u návštevníka začnú ukladať ešte pred vyjadrením jeho súhlasu, od 25.5.2018 sa nastavenie systému bude musieť zmeniť.
5. Na spracovanie osobných údajov detí mladších ako 16 rokov bude potrebný súhlas rodičov
Každý, kto prevádzkuje eshop alebo web s určitou online službou a osobné údaje spracúva na základe súhlasu (napr. na marketingové účely), musí podľa GDPR vynaložiť primerané úsilie, aby si overil, že zákazníkovi mladšiemu než 16 rokov bol udelený rodičovský súhlas s odovzdaním jeho osobných údajov.
Keďže overenie veku návštevníka webu je takmer nemožné, súhlas so spracovaním osobných údajov pri zaškrtávacom políčku by mal byť doplnený o vetu v zmysle: „Prehlasujem, že ak mám menej ako 16 rokov, tak som požiadal svojho zákonného zástupcu (rodiča) o súhlas so spracovaním mojich osobných údajov.“
6. Prenos osobných údajov z vašej služby ku konkurencii budete musieť zabezpečiť bezplatne a v meta dátach
Predstavte si, že vediete databázu používateľov vašej webovej stránky či aplikácie a niektorý z nich sa na vás obráti so žiadosťou, aby ste jeho osobné údaje poskytli konkurenčnému webu či aplikácii. Kedy ste povinný takejto žiadosti vyhovieť? Podľa GDPR takáto povinnosť nastupuje len ak sú splnené nasledovné podmienky:
- Prevádzkovateľovi webu či aplikácie boli údaje poskytnuté samotným používateľom
- K spracovaniu týchto údajov došlo na základe súhlasu alebo v rámci plnenia zmluvy (napr. v záujme poskytnutia určitej služby)
- K spracovaniu údajov došlo automatizovane (napr. kliknutím na tlačidlo „zaregistrovať sa“)
Ak tieto podmienky nastali, prevádzkovateľ webu či aplikácie musí údaje v štruktúrovanej podobe (napr. vo formáte XML alebo CSV) na žiadosť používateľa poskytnúť inému prevádzkovateľovi.
Príklad: Zákazník používajúci platenú aplikáciu, do ktorej ukladá údaje o dôležitých udalostiach, pripomienky, lokalizačné údaje atď., objaví inú aplikáciu, ktorá umožňuje využitie rovnakých funkcií, avšak zadarmo. Namiesto toho, aby používateľ všetky údaje nanovo zaznamenával do novej aplikácie, podľa GDPR bude mať právo požiadať prevádzkovateľa pôvodne používanej aplikácie, aby všetky jeho údaje poskytol novému prevádzkovateľovi. Keďže GDPR má medzinárodnú pôsobnosť a dopadá aj na subjekty mimo EÚ, prevádzkou aplikácie či webu zahraničnou spoločnosťou sa podnikateľ uvedenej povinnosti nebude môcť vynúť.
7. Eshopy, prevádzkovateľmi kamerových systémov či zamestnávatelia s aspoň 250 zamestnancami budú musieť viesť záznamy o spracúvaní osobných údajov
Povinnosť viesť si špecifickú evidenciu o spracúvaní osobných údajov bude mať podľa GDPR každý podnikateľ, ktorý zamestnáva aspoň 250 zamestnancov. Ďalej sú to najmä tí podnikatelia (bez ohľadu na počet zamestnancov), ktorí spracúvajú zvláštne kategórie údajov, napríklad údaje o zdravotnom stave (typicky lekári), alebo ktorí osobné údaje nespracúvajú len príležitostne (fakticky každý eshop či prevádzkovateľ kamerového systému so záznamom).
8. Evidencia pacientov, retargeting, či prevádzka moderných aplikácií – nielen tieto dôvody donútia podnikateľov mať vo firme zodpovednú osobu
Funkciu zodpovednej osoby a povinnosť takúto osobu ustanoviť sme si bližšie vysvetlili v článku o GDPR a zodpovednej osobe. Keďže vymedzenie okruhu podnikateľov, ktorých sa táto povinnosť dotkne, je v praxi pomerne náročné, uvádzame niekoľko príkladov, v ktorých by malo byť ustanovenie zodpovednej osoby povinné:
- Vedenie evidencie pacientov v rámci poskytovania zdravotnej starostlivosti,
- Monitorovanie priestorov bezpečnostnou agentúrou za pomoci kamerového systému,
- Spracúvanie osobných údajov za účelom retargetingu,
- Vytváranie vernostných programov založených na analýze osobných údajov a chovania zákazníkov (behaviorálna reklama),
- Spracúvanie osobných údajov v rámci mobilnej či webovej aplikácie, ktorá vyhodnocuje polohu používateľa,
- Spracúvanie osobných údajov zákazníkov v rámci činnosti poisťovne alebo banky (profilovanie a bodovanie pre účely posúdenia rizík).
Pre všetky vyššie uvedené príklady platí, že osobné údaje musia byť spracúvané vo veľkom rozsahu (zatiaľ čo samostatného lekára sa povinnosť ustanoviť zodpovednú osobu pravdepodobne nedotkne, väčšej ambulancie už áno). Ak by nešlo o spracúvanie údajov vo veľkom rozsahu, povinnosť ustanoviť zodpovednú osobu by sa neuplatnila.
Mnohé spoločnosti už dnes zamestnávajú (alebo využívajú externé služby) zodpovednú osobu, no keďže GDPR zavádza úplne nové pravidlá, je možné, že takáto osoba nebude vyhovovať podmienkam, ktoré začnú platiť od 25.5.2018. Tým, ktorý už zodpovednú osobu majú, sa preto odporúča konzultácia s odborníkom ohľadom splnenia nových zákonných kritérií či nastavenia kompetencií.
9. Vypracovanie analýzy vplyvov na ochranu osobných údajov (DPIA - Data Protection Impact Assessment)
Podnikateľ je ešte pred začatím spracúvania osobných údajov povinný vypracovať tzv. analýzu vplyvov v nasledujúcich (zovšeobecnených) prípadoch:
- Ide o spracovanie, u ktorého je vysoko pravdepodobné, že bude mať za následok vysoké riziko pre práva a slobody dotknutých osôb
- Ide o prípad, ktorý je výslovne uvedený v čl. 35 ods. 3 GDPR
- Ide o spracovanie, ktoré za rizikové označí Úrad na ochranu osobných údajov
Príklad, kedy je podnikateľ povinný vypracovať analýzu vplyvov na ochranu osobných údajov (DPIA - Data Protection Impact Assessment): Poskytovateľ zdravotnej starostlivosti spracováva údaje o zdravotnom stave svojich pacientov. Ide tak o spracovanie citlivých údajov, pričom pacienti sú obzvlášť zraniteľné osoby, t.j. pre ich práva a slobody hrozí určité riziko.
Príklad, kedy je podnikateľ nie je povinný vypracovať analýzu vplyvov na ochranu osobných údajov (DPIA - Data Protection Impact Assessment): Eshop zobrazuje návštevníkom cielenú reklamu na základe histórie objednávok. Ide síce o profilovanie podľa čl. 35 ods. 3 GDPR, avšak pokiaľ nejde zároveň o systematické a rozsiahle spracovanie údajov zákazníkov, vypracovanie analýzy nebude potrebné.
Ako by sa mali podnikatelia pripraviť na GDPR?
GDPR predstavuje zásadnú reformu v oblasti ochrany osobných údajov, ktorou by sa mal zaoberať každý podnikateľ, verejnoprávny subjekt, nezisková či iná organizácia, ktorá čo i len príležitostne spracúva osobné údaje zákazníkov, zamestnancov, členov, pacientov, študentov alebo mnohých iných skupín osôb.
Správna príprava na GDPR by mala u každého takéhoto subjektu pozostávať z niekoľkých krokov, a síce:
- Vyhodnotenie súčasného nastavenia procesov pri spracúvaní osobných údajov (aké údaje a prečo ich spracúvam, ako s nimi nakladám)
- Porovnanie súladu nastavení procesov a dokumentov (formulárov, zmlúv, obchodných podmienok atď.) s požiadavkami podľa GDPR
- Definícia cieľového stavu (čo a ako by sa malo zmeniť, stanovenie harmonogramu)
- Návrh a samotná implementácia riešenia (úprava dokumentov, zaistenie potrebných služieb, napr. služieb zodpovednej osoby, implementácia technických zmien, napr. funkcie webu pre prenos osobných údajov).
Každý z vyššie uvedených krokov zaberie určitý čas, preto je vhodné pripraviť sa na GDPR s dostatočným predstihom a v spolupráci s kvalifikovaným odborníkom. Príprava totiž nemusí spočívať iba vo vypracovaní / aktualizácii potrebnej dokumentácie, ale aj v podstatných zmenách nastavenia IT systémov či v prijatí rôznych iných opatrení. Opomenutie nových povinností podľa GDPR môže pre podnikateľa znamenať uloženie pokuty až do výšky 20.000.000 EUR, prípadne až do výšky 4 % z celosvetového obratu za posledné účtovné obdobie, podľa toho, ktorá z týchto možností bude vyššia.
Pozrite si aj diskusiu o GDPR - ako sú firmy pripravené, aké problémy môže priniesť a ďalšie odpovede na otázky v článku GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia.
