• 02 - 581 010 62
  • Na našich stránkach používame súbory cookies. Pomáhajú nám vylepšovať web a služby. Pokračovaním súhlasíte so zberom dát.

    Čo je to smernica GDPRČo je to smernica GDPR
    Podnikanie

    Čo je to GDPR, základné pojmy, koho sa týka a ako sa pripraviť

    Čo je to GDPR a koho sa týka

     

    Skratka GDPR (General Data Protection Regulation) znamená v preklade “Všeobecné nariadenie o ochrane osobných údajov”. GDPR je na Slovensku prenesené do Zákona č. 18/ 2018 Z.z. Zákon o ochrane osobných údajov, ktorý do platnosti vstúpil 25.5. 2018.

     

    Keby GDPR bola hra, tak hráčmi by boli:

    • Dotknuté osoby: všetky fyzické osoby, ktorých údaje sú spracúvané
    • Prevádzkovatelia: každý, kto vymedzí účel a prostriedky spracúvania osobných údajov a spracúva ich
    • Sprostredkovatelia: každý, kto spracúva osobné údaje v mene prevádzkovateľa
    • Oprávnené osoby: napríklad zamestnanci mzdového a personálneho oddelenia alebo manažéri, ktorí majú prístup ku osobným údajom zamestnancov
    • Zodpovedné osoby: známe aj pod názvom Data Protection Officer (DPO), špecificky vyškolení špecialisti, ktorí pomáhajú prevádzkovateľom a sprostredkovateľom dosiahnuť súlad s nariadením GDPR a dotknutým osobám pomáhajú zorientovať sa či domôcť sa svojich práv

     

    Ako zamestnanec som dotknutou osobou voči zamestnávateľovi, ktorý spracúva moje osobné údaje ako prevádzkovateľ. Tento prevádzkovateľ ručí za ochranu mojich osobných údajov, ktoré poskytuje alebo ku ktorým má prístup, sprostredkovateľ. Tým môže byť napríklad externá mzdová kancelária, zdravotná služba alebo SBS, ktorá stráži areál firmy.

     

    Ako zákazník som dotknutou osobou napríklad voči predajcovi kníh, ktorý spracúva moje osobné údaje ako prevádzkovateľ. Tento prevádzkovateľ ručí za ochranu mojich osobných údajov, ktoré poskytuje alebo ku ktorým má prístup, sprostredkovateľ. Tým môže byť napríklad externý expedičný sklad.

     

    Pomerne častým omylom v súvislosti GDPR je predstava, že ak je firma maličká, tak jej sa GDPR “až tak” netýka alebo, že “my to nebudeme musieť riešiť, my sme malá firma”. GDPR sa ale týka každej spoločnosti, bez ohľadu na počet zamestnancov. Cieľom tohto nariadenia je totiž chrániť všetky osobné údaje, ktoré spracúvate. A nemusia to byť len osobné údaje vašich zamestnancov, ale aj zákazníkov či odoberateľov newsletterov. Pozrime sa spoločne, aké povinnosti sa týkajú každého prevádzkovateľa.

     

    Ste prevádzkovateľ? Toto sú zákonné povinnosti prevádzkovateľa vyplývajúce zo smernice GDPR

     

    Prevádzkovateľom je každý orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci a akákoľvek právnická alebo fyzická osoba, ktorá sama alebo spoločne s inými vymedzí účel a podmienky spracúvania osobných údajov a spracúva osobné údaje fyzických osôb vo vlastnom mene.

    Zastavme sa na chvíľu pri pojmoch ako účel a podmienky spracúvania. Podľa GDPR smiete spracúvať osobné údaje len v týchto konkrétnych prípadoch.

    Prvým prípadom je spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba. To môže byť napríklad kúpno-predajná zmluva.

    Ďalej môže byť spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa. Napríklad zamestnávateľ musí dodržiavať isté zákonné povinnosti zamestnávateľa a s tým súvisiace zákony, ktorých je okolo dvadsať.

    Najčastejšie je spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana. Napríklad zamestnávateľ má právo monitorovať zamestnancov pomocou kamerového systému, lebo jeho oprávneným záujmom je dodržanie špecifického technologického postupu, bezpečnosť a ochrana zdravia pri práci a ochrana svojho majetku.

    Medzi ďalšie právne základy patrí spracúvanie za účelom ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby  a spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

    A nakoniec je tu súhlas. Ak dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov na jeden alebo viaceré konkrétne účely, tak prevádzkovateľ môže jej údaje spracúvať. Pozor ale, súhlas napríklad v zamestnaneckom vzťahu nie je odporúčaný, nakoľko existuje súhlas musí byť aktívne daný, informovaný, dobrovoľný.

     

    Čo pre podnikateľov znamená GDPR v praxi a ako sa pripraviť?

     

    Hoci sa môže zdať, že všetci predsa vieme, čo sa s osobnými údajmi robiť smie a čo nie, v prípade akéhokoľvek incidentu, bude prevádzkovateľ povinný preukázať pred dozorným orgánom, že urobil maximálnu možnú prevenciu.

    Medzi preventívne opatrenia patria vnútropodnikové smernice a patričné zaškolenie zamestnancov, ktorí prichádzajú do styku s osobnými údajmi dotknutých osôb. Pozor, toto platí aj v prípade, ak na spracúvanie osobných údajov nepotrebujete súhlas dotknutej osoby.

    Ak správne popíšete svoje pracovné procesy, spôsoby ako osobné údaje chránite, overíte si svojich dodávateľov a zaškolíte svojich zamestnancov – a to čo si stanovíte ako normu v rámci zákona budete aj dodržiavať – ochránite sa v prípade incidentov pred nepríjemnými pokutami.

     

    Čo je to vlastne spracovanie osobných údajov?

     

    Množstvo vydarených vtipov pomerne trefne pomenovali hlavný problém GDPR, ktorým je nejasnosť pojmu “osobný údaj”, “veľké množstvo” (podobnosť s množstvom väčším ako malým je čisto náhodná) a to nešťastné spracúvanie. Podnikatelia na meet-upoch a konferenciách v dobrom rozmare žartujú, že si nemôžu vymeniť vizitky alebo odporúčať hľadaného odborníka lebo GDPR.

    Takmer sa žiada povedať – zachovajte paniku!

    Odovzdanie a prebratie vizitky nie je spracovaním osobných údajov. K nemu dôjde, až si údaje z tej vizitky založíte do vizitkára alebo nascanujete do PC alebo prepíšete údaje do tabuľky či CRM vo vašom firemnom počítači.

    Malé kaderníctvo alebo vizážistka môže aj naďalej mať uložené telefónne čísla na svoje zákazníčky, lekár aj naďalej môže poznať meno svojich pacientov, skrinky vo fabrike v šatni môžu byť označené menom zamestnanca, ktorému skrinka patrí. Fotograf  už potrebuje, ak chce zverejniť výsledky svojej práce – fotografie klientov – ich písomný súhlas. Neviem ako vám, ale mne to príde minimálne slušné.

    A čo životopis? Ak kandidát pošle CV do firmy, vy si ho prečítate a vymažete či zahodíte, nespracúvate ho. Ak ho však uložíte na ďalšie kontaktovanie v budúcnosti, spracúvate ho a vzťahujú sa na vás všetky povinnosti prevádzkovateľa. Ste na ne pripravení?

     

    Implementujeme GDPR alebo snažíme sa o súlad s nariadením

     

    V prvom rade si budete musieť trochu upratať v osobných údajoch, ktoré spracúvate. Je taká pekná slovná hračka, že GDPR znamená Get Data Protection Right. Je to ako doma, keď sa idete sťahovať a vezmete do ruky každú vec, pričom sa pýtate sami seba, na čo vám vlastne je a či ju fakt potrebujete do nového domu. Všetky existujúce procesy treba popísať a zanalyzovať. Začať môžete napríklad týmito otázkami:

    1. Aké údaje spracúvam?
    2. Aký je účel spracúvania týchto údajov?
    3. Na akom právnom základe stojí?
    4. Aké informačné systémy používam?
    5. Kto k nim má prístup?
    6. Aké sú prípadné riziká a ako ich viem eliminovať?
    7. Ako tieto údaje budem v budúcnosti ničiť, mazať alebo anonymizovať?

     

    Ak hovoríme o informačných systémoch, ide len o nešikovný preklad z angličtiny, nie nevyhnutne o sofistikovanú IT infraštruktúru alebo technológiu.

    Máte na recepcii návštevnú knihu? Komunikujete so zákazníkmi e-mailom? Posielajú vám uchádzači o zamestnanie životopisy? V počítači máte tabuľku so zoznamom mien a kontaktných údajov klientov? Máte archív alebo skriňu s osobnými zložkami zamestnancov? Máte databázu uchádzačov o zamestnanie alebo klientov? Vediete tabuľu výkonnosti jednotlivých tímov? Vyplácate mzdy? Zasielate ponuky vybraným klientom e-mailom? A čo kamerové systémy na pracovisku, e-maily s IP adresami alebo GPS?

    Ak ste odpovedali “áno” aspoň na jednu otázku, tak máte informačný systém. No a keď máte informačný systém, týkajú sa vás zákonné podmienky spracúvania osobných údajov.

    Samozrejme, okrem informačných systémov v zmysle GDPR potrebujete ošetriť aj tie naozajstné informačné systémy, teda počítačové siete, servery, e-maily, mobily, prídavné zariadenia a tak podobne. Najistejšou cestou ku zvládnutiu kybernetickej bezpečnosti v súlade s GDPR je investovať do certifikácie ISO 27001.

     

    Implementačná časť

    Po analýze pripravenosti na GDPR sa môžete pustiť do implementačnej časti:

    1. Ktoré údaje už nemusím alebo nemôžem spracúvať/ uchovávať?
    2. Ktoré údaje potrebujem anonymizovať alebo spracúvať inak, než doteraz? Ako?
    3. Ako presne budú spracúvané jednotlivé údaje pre jednotlivé účely?
    4. Ako sa zmenili právne základy na spracúvanie osobných údajov?
    5. Ktoré interné procesy a ako budú ovplyvnené GDPR?
    6. Ako presne budem o zmenách v spracúvaní informovať dotknuté osoby?
    7. Kto bude mať prístup k osobným údajom?
    8. Ako budem zabezpečovať prevenciu voči úniku osobných údajov? Čo budem robiť v prípade takého úniku?

     

    Všetky procesy musia byť zase presne popísané vo vnútropodnikovej smernici a následne musia byť zrozumiteľnou formou spísané aj ako zásady ochrany osobných údajov a sprístupnené dotknutým osobám. Popis v smernici je záväzný pre zamestnancov, ktorí pracujú s osobnými údajmi. Popis pre dotknuté osoby by mal byť napísaný čo najzrozumiteľnejšie vzhľadom na predpokladanú úroveň zamýšľanej cieľovej skupiny. Inak povedané, slovník cudzích slov nechajte v knižnici a píšte ako hovoríte – jasne, ľudsky, zrozumiteľne.

    Štandardy ochrany osobných údajov popísané v smernici  musia byť zohľadnené aj v pracovných postupoch a sú aj predmetom zmlúv s dodávateľmi služieb ako bezpečnostná služba, externá účtovná kancelária, zdravotná služba a iné podobné spoločnosti.

    Ako dlho vám bude trvať vykonanie týchto dvoch krokov záleží od veľkosti spoločnosti a od počtu informačných systémov, ale aj od toho, či údaje, ktoré spracúvate, majú platný a dostatočný právny základ.

    Ak sa vám z toho už teraz točí v hlave, nezúfajte, nie ste sami. Nie každá spoločnosť má zdroje na to, aby sa tejto analytickej a implementačnej časti venovala popri výrobe či poskytovaní služieb zákazníkom. Niektorí prevádzkovatelia si najmú na pomoc externého konzultanta, ktorý to za nich popíše a v súčinnosti s interným človekom implementuje, iné použijú nejaký online nástroj alebo si zakúpia krabicový systém. Všetko má svoje výhody aj nevýhody, je dôležité si ale zapamätať, že zodpovednosť za správnu implementáciu a súlad so zákonom nesie vždy prevádzkovateľ. Výhody a riziká si musí zvážiť každý sám.

     

    Určenie zodpovednej osoby

    Potrebujeme vymenovať Data Protection Officer? Kto môže byť zodpovedná osoba? Kto môže byť poverená osoba?  Ako zabezpečiť zaškolenie zodpovednej a oprávnenej osoby? Toto je prehľad najčastejších otázok mojich klientov a ak odpovede hľadáte aj vy, možno vám pomôžu nasledujúce riadky.

    Na výber veľmi nemajú prevádzkovatelia, ktorí sú zamestnávateľmi s viac ako 250 zamestnancami, alebo zamestnávatelia, ktorí síce zamestnávajú menej zamestnancov, ale spracúvajú veľké množstvo údajov vrátane profilácie dotknutých osôb. Títo prevádzkovatelia majú povinnosť vymenovať Data Protection Officera (DPO), ostatní nie.

    Ak vám zo zákona táto povinnosť nevznikla, tak je pre vás výhodnejšieho ho ani nemenovať. Aby ste sa cítili v problematike správneho zavedenia GDPR a ochrany osobných údajov istejší, tak stále môžete spolupracovať alebo vymenovať niekoho na pozíciu Data Protection Advisor alebo podobne nazvanú pozíciu.

    Obe tieto tieto pozície môžu byť outsorcované, teda zverené externej spoločnosti alebo internému odborníkovi. DPO má vo vzťahu ku organizácií právomoc zúčastňovať sa porád vedenia spoločnosti, pripomienkovať rozhodnutia a firemné procesy z pohľadu ochrany osobných údajov, nahliadať do zmlúv, spisov a zložiek, dávať návrhy na opatrenia, auditovať dodávateľov v mene organizácie, zastupovať organizáciu voči dozornému orgánu. Avšak pozor, z dôvodu možného konfliktu záujmov, DPO nemôže byť konateľ alebo štatutárny zástupca spoločnosti, ale ani iný manažér, ktorý priamo definuje interné procesy.

    Porozmýšľajte, koho vymenujete ako zodpovednú osobu.

     

    Tak si to zhrňme. Aby ste bola v bezpečí vaša spoločnosť a údaje, ktoré spracúvate, potrebujete:

    1. Urobiť analýzu spracúvania osobných údajov a rizík
    2. Zrevidovať, ktoré údaje ešte potrebujete, a na akom právnom základe ich budete spracúvať
    3. Navrhnúť primerané bezpečnostné opatrenia
    4. Upraviť pracovné postupy podľa potreby
    5. Spracovať vnútropodnikovú smernicu

     

    Ak ste malá spoločnosť či podnikateľ s malým počtom informačných systémov, tak môžete siahnuť po predpripravených vzoroch. Nie je ale isté, či bez aspoň dvoch konzultácií s odborníkom (pred a po príprave dokumentácie) nič neprehliadnete, nepodceníte. A ak ste firma väčšia, máte veľa informačných systémov, prípadne spracúvate veľké množstvo osobných údajov, tak spoluprácu, prípadne vypracovanie GDPR na mieru odborníkom naozaj stojí za zváženie. Situácií, ktoré pri spracúvaní môžu nastať a definícia pojmov, čo je čo, je totiž mimoriadne variabilná.

    Ako povedal klasik, môžeme o tom diskutovať, môžeme o tom viesť spory … ale GDPR implementovať potrebujeme. Koniec koncov, upratať s v osobných údajoch a databázach, ako aj zjednodušiť svoje administratívne procesy nemusí byť na škodu.

     

    Súhlasia vaši zákazníci so spracúvaním osobných údajov? Overte si, či je ich súhlas v súlade s GDPR

     

    Dobrá správa je, že podľa GDPR súhlas so spracúvaním osobných údajov nepotrebujete, ak vznikol platný právny základ. Napríklad na rozdiel od minulosti, podľa GDPR už nepotrebujete súhlas zamestnanca so spracúvaním osobných údajov pre účel vzniku pracovno-právneho pomeru a pre účely mzdovej agendy. Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby na základe osobitného zákona alebo zmluvného vzťahu s dotknutou osobou a takým osobitným zákonom je napríklad Zákonník práce, zákon o sociálnom poistení, zákon o zdravotnom poistení a iné.

    Nie celkom dobrá správa je, že napríklad “účely oprávnených záujmov” nemusia byť vždy kryštáľovo jasné. No a pomerne nepríjemná správa pre viacerých prevádzkovateľov bude, že získanie súhlasu so spracúvaním osobných údajov už nebude až tak jednoduché – a pre dotknutú osobu bude absolútne dobrovoľné.

     

    Ako to bolo doteraz

    Nedávno som si kupovala knihu z malého e-shopu. Po rekapitulácii objednávky som zaškrtla políčko, že súhlasím s obchodnými podmienkami a beriem na vedomie, že mi vzniká povinnosť platby. Stlačila som “Objednať” a nič. Opakovala som asi trikrát, kým som si všimla, že hore na stránke svieti oznam “Na účely nákupu musíte súhlasiť so spracúvaním osobných údajov na marketingové účely.”  Tú knihu som veľmi chcela, ale môj súhlas nebol vonkoncom dobrovoľný. Ba dokonca, je v rozpore s GDPR.

     

    “Súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.”

     

    A pozor, berú to naozaj vážne. Súhlas skrátka:

    • musí byť jednoznačný a aktívny prejav vôle dotknutej osoby
    • súhlas nesmie byť zapracovaný do textu obchodných podmienok
    • súhlas nesmie byť skrytý ani podmienený poskytnutím služby či dodaním tovaru
    • výnimkou môže byť len prípad, že je súhlas na plnenie obchodnej zmluvy, dodanie tovaru či poskytnutie služby nevyhnutný

     

    Prax:

    Vaše stránky nesmú po 25.5.2018 obsahovať žiadne preddefinované tlačidlá so súhlasom (bola by porušená podmienka, že súhlas aktívny) ani žiadne dodatočné podmienky. GDPR vyžaduje jednoduchú a jasnú formuláciu súhlasu – čo žiadame a prečo. Dokonca WP 29, pracovná skupina zaoberajúca sa praktickými otázkami implementácie GDPR, odporúča použiť okrem textu aj farebné symboly alebo piktogramy pre lepšiu zrozumiteľnosť.

    Ak vám dotknutá osoba poskytne svoje osobné údaje, pretože si chce stiahnuť e-knihu zadarmo, ktorú ste jej ponúkli, tak jej nemôžete potom na danú adresu posielať pozvánky na školenia.

    Ak ponúkate e-knihu s cieľom budovať svoju databázu kontaktov, tak pod prihlasovacím formulárom musíte pridať aj políčko na zaškrtnutie: “Súhlasím so zasielaním ponúk školení”, pričom ale stiahnutie e-knihy nemôžete podmieniť súhlasom na na zasielanie ponúk.

    Zákon o ochrane osobných údajov stanovuje, že súhlas so spracovaním osobných údajov musí obsahovať:

    1. kto súhlas udeľuje
    2. komu ho súhlas udeľuje
    3. na aký účel
    4. zoznam alebo rozsah osobných údajov spracovania
    5. čas platnosti súhlasu

    Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas a odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

    Špecifickou kategóriou sú maloletí, teda osoby do 16 rokov. Pri spracúvaní osobných údajov maloletého do 16 rokov, musí dať preukázateľný súhlas jeho zákonný zástupca alebo zákonný opatrovník.

    Hoci súhlas môže byť daný aj ústne (ak ho vie prevádzkovateľ dokázať), asi nebude pre vás veľkým prekvapením, že GDPR uprednostňuje pred súhlasom iné právne základy.

     

    O autorovi: Martina Javůrková, MBA pôsobí ako školiteľka,  konzultant a interim manažér. Špecializuje sa na oblasť riadenia ľudských zdrojov, HR procesy a problematiku ochrany osobných údajov. Vedie spoločnosť Dimensions Consulting Services s.r.o..

    Nezmeškajte ďalšie užitočné články
    a buďte o nich informovaný