Čo je to GDPR a koho sa týka

GDPR / Od

GDPR: Ochrana osobných údajov nie je len formalita – je to zákonná povinnosť s tvrdými sankciami

V dnešnom nie len podnikateľskom svete je ochrana osobných údajov nevyhnutnou súčasťou každodenného fungovania každej firmy, úradu aj živnostníka. Od roku 2018 platí v celej Európskej únii jednotné nariadenie GDPR, ktoré nahradilo pôvodný zákon o ochrane osobných údajov. Hoci od jeho zavedenia ubehlo už niekoľko rokov, jeho význam a dosah sú dnes aktuálnejšie než kedykoľvek predtým a požiadavky EÚ sa stále viac a viac sprísňujú rôznymi novelami či doplnením zákonov.

Čo je GDPR?

GDPR (General DataProtectionRegulation) je všeobecné nariadenie o ochrane osobných údajov – záväzný právny predpis Európskej únie, ktorý stanovuje, ako majú subjekty spracúvať, uchovávať a chrániť osobné údaje fyzických osôb. Toto GDPR nariadenie platí pre všetky organizácie, ktoré pracujú s údajmi občanov EÚ – bez ohľadu na to, kde sídlia.

Koho sa GDPR týka?

Povinnosti vyplývajúce zo zákona GDPR sa týkajú všetkých subjektov, ktoré spracúvajú osobné údaje – či už ide o zamestnávateľov, obchodné spoločnosti, e-shopy, mestá, školy alebo neziskové organizácie. Ak pracujete s údajmi klientov, zamestnancov alebo dodávateľov, GDPR sa týka aj vás.

Neviete si rady s GDPR? Poradíme Vám

Aké súpovinnosti s GDPR?

Podľa nariadenia GDPR máte ako prevádzkovateľ alebo sprostredkovateľ údajov viacero zákonných povinností:

GDPR dokumentácia, dokumentácia patrí medzi základné vnútorné predpisy firiem. Každý zamestnávateľ, ktorý prichádza do kontaktu s osobnými údajmi (zamestnancov, kandidátov na prácu, zákazníkov, dodávateľov, sociálne siete, kamery, …), má povinnosť ju vypracovať.

Základná dokumentácia GDPR by mala obsahovať:

Záznamy o spracovateľských operáciách prevádzkovateľa,
Smernice s prílohami,
Osvedčenie,
Ostatné dokumenty, ktoré musíte dať podpísať napr. súhlasy zamestnancov 

Implementácia dokumentácie GDPR, informácie a pravidlá z dokumentácie musia byť implementované a využívané pri bežnom chode firmy v súlade s ochranou osobných údajov.

Implementácia GDPR znamená zavedenie vypracovanej dokumentácie do každodennej praxe firmy. Nestačí len vlastniť súbor dokumentov – skutočný súlad s nariadením GDPR nastáva až vtedy, keď sa pravidlá ochrany osobných údajov premietnu do interných procesov a správania zamestnancov.

Medzi hlavné kroky implementácie GDPR patrí:

  • zverejnenie informačných povinností (napr. na webe, pri kamerách, v e-shope),
  • poučenie oprávnených osôb a pridelenie zodpovedností,
  • uzatvorenie zmlúv so všetkými sprostredkovateľmi údajov,
  • nastavenie súhlasov pri spracovaní údajov (napr. pri registrácii, newsletteroch),
  • prijatie bezpečnostných, technických a personálnych opatrení,
  • označenie monitorovaných priestorov a informovanie zamestnancov.

Najčastejšie chyby vznikajú práve v tejto fáze – firmy síce dokumentáciu majú, ale nevykonajú konkrétne kroky, čím sa vystavujú riziku porušenia zákona.

 

Súhlasy dotknutých osôb – zamestnanci, klienti, dodávatelia, uchádzači o zamestnanie a pod. … ) sú zaevidované a podpísané.

Dotknuté osoby musíte oboznámiť o spracúvaní ich osobných údajov ešte PRED začatím samotného spracúvania, rovnako ako pri každej zmene spracúvania OÚ.

Súhlas môže byť vyžiadaný aj ústne, avšak kvôli argumentačnej hodnote a znášaní dôkazného bremena pri prípadnom spore, klientom vždy poskytujeme, a odporúčame žiadať si písomný súhlas. Ten môže byť tak papierový, ako aj elektronicky vyžiadaný.

 

Oprávnenie a poučenie zamestnancov, ktorí pracujú s osobnými údajmi listinnou formou a pravidelne sa aktualizujú.

Oprávnené osoby sú zamestnanci, ktorí v rámci svojej pracovnej pozície spracúvajú osobné údaje – typicky ide o personalistov, účtovníkov, administratívnych pracovníkov či vedúcich oddelení. Podľa článku 32 nariadenia GDPR je prevádzkovateľ povinný zabezpečiť, aby tieto osoby boli riadne poučené a preškolené v oblasti ochrany osobných údajov.

Školenie oprávnených osôb poskytuje nielen teoretický základ o právnych predpisoch, ale predovšetkým praktické usmernenie, ako správne spracúvať údaje – od ich získania až po výmaz. Pokrýva aj tému informačnej povinnosti, interných smerníc, bezpečnostných opatrení či oznamovania incidentov.

Dôležitou súčasťou školenia je aj poučenie oprávnených osôb, ktoré musí byť zdokumentované a archivované. Osoba sa oprávnenou stáva až po oficiálnom poučení a tento záznam musí prevádzkovateľ na požiadanie Úradu preukázať.

 

Web stránka spoločnosti má blok o GDPR resp. Ochrana osobných údajov kde máte záznamy o spracovateľských činnostiach prevádzkovateľa.

Na čo si dať pozor v prípade webu a spracúvania osobných údajov?

  • Kto nastaví cookies na web? Správna je spolupráca IT technik a poverená osoba na GDPR.
  • Prečo?IT technik urobí vizualizáciu /vzhľad ako to ma vyzerať a poverená osoba nami zaškolená vie čo tam má byť napísané.Nie každý IT technik má presné informácie o danej firme, poväčšine používajú šablóny pre všetky weby rovnaké alebo niekedy vôbec.

 

Sprostredkovateľské zmluvy s vašimi externými poskytovateľmi B2B služieb  na ochranu osobných údajov (napr. ext. účtovníčka, BOZP, PO, IT, školitelia.…)

Ak vaša firma spolupracuje s externými partnermi, ktorí vo vašom mene spracúvajú osobné údaje (napr. údaje o zamestnancoch, klientoch alebo dodávateľoch), ste podľa GDPR povinní uzatvoriť so všetkými týmito partnermi tzv. sprostredkovateľské zmluvy. Ide o zmluvy, ktoré presne definujú podmienky spracúvania údajov, zodpovednosti oboch strán a bezpečnostné požiadavky.

 

Informačné tabule, ktoré informujú o monitorovaní (kamerové systémy) majetku, resp. zamestnancov s predpísanou formou (nestačí mať piktogramy)

Ak vo vašej firme alebo prevádzke používate kamerový systém, ktorým monitorujete objekty, pracoviská alebo priamo zamestnancov, ste podľa GDPR povinní informovať dotknuté osoby o tomto monitorovaní transparentným a zákonne správnym spôsobom.

Mnohé firmy robia chybu, že použijú iba jednoduchý piktogram kamery s nápisom „Objekt je monitorovaný“. Takéto označenie však nestačí – podľa článku 13 GDPR a usmernení Úradu na ochranu osobných údajov je prevádzkovateľ povinný poskytnúť oveľa širší rozsah informácií.

Neviete si rady s GDPR? Poradíme Vám

Správna forma komunikácie s uchádzačmi o prácu,  žiadate o súhlas pre uchovanie v databáze.

Ak vám uchádzač pošle životopis, motivačný list alebo vyplní formulár cez webstránku, automaticky sa stávate prevádzkovateľom jeho osobných údajov – spracúvate napríklad meno, kontaktné údaje, údaje o vzdelaní, pracovných skúsenostiach a ďalšie citlivé informácie.

Tieto údaje môžete použiť len na účely konkrétneho výberového konania, na ktoré sa uchádzač prihlásil. Ak by ste si ich chceli uchovať aj po jeho ukončení (napr. pre budúce pracovné príležitosti), potrebujete na to jeho výslovný a preukázateľný súhlas.

Informačná povinnosť, je to poskytnutie informácií dotknutým osobám o spracovaní ich osobných údajov (ideálne formou podstránky na webe). Jej nesplnením porušujete nariadenie.

Informačná povinnosť (IP) je súbor zákonom stanovených informácií, ktoré je každý prevádzkovateľ povinný poskytnúť dotknutej osobe pri získavaní jej osobných údajov. Povinnosť platiť túto IP sa vzťahuje na všetkých prevádzkovateľov bez výnimky – vrátane tých, ktorí nemajú web, e-shop či zamestnancov.

Zákon presne definuje okamih aj rozsah poskytnutia informácií. Napríklad na webe musí byť IP dostupná cez preklik z cookie lišty alebo pri kontaktnom formulári. IP musí byť úplná a aktuálna – neúplné alebo chýbajúce informácie sú považované za porušenie zákona.

Informačná povinnosť sa vzťahuje aj na prípady, keď údaje neboli získané priamo od dotknutej osoby (napr. pri výberových konaniach). Pri monitorovaní kamerami sa IP poskytuje vo viacerých vrstvách – nestačí len piktogram s upozornením.

V praxi je ideálne IP digitalizovať a sprístupniť cez cloudové riešenie – napríklad ako odkaz v e-mailovom podpise alebo na firemných dokumentoch. Nesplnenie IP patrí medzi najčastejšie nedostatky identifikované pri kontrolách Úradu na ochranu osobných údajov.

Cookies lišta na web stránke

Správny formát súhlasu s Cookies pre návštevníkov webu podľa platného zákona o elektronickej komunikácií.

Cookies sú malé súbory, ktoré webstránky ukladajú do prehliadača používateľa – slúžia na zapamätanie preferencií, analýzu správania a cielenie reklamy. Ich používanie upravuje GDPR a zákon o elektronických komunikáciách č. 452/2021 Z. z., ktorý vyžaduje, aby návštevník udelil vopred informovaný súhlas, ak ide o marketingové alebo analytické cookies.

Výnimkou sú funkčné cookies, nevyhnutné pre správne fungovanie webu – pri nich sa súhlas nevyžaduje. Ostatné typy cookies možno ukladať len po aktívnom odsúhlasení návštevníkom, ktorý musí mať možnosť kedykoľvek svoj súhlas upraviť alebo odvolať.

Za správne nastavenie cookie lišty a uloženie dôkazov o súhlase zodpovedá prevádzkovateľ webu. Kontrolné právomoci majú Úrad na ochranu osobných údajov a Úrad pre reguláciu elektronických komunikácií.

Cezhraničný prenos osobných údajov

Cezhraničný prenos osobných údajov predstavuje každé spracúvanie údajov mimo územia Slovenskej republiky – vrátane prípadov, keď sú údaje fyzicky alebo digitálne uložené na serveroch v zahraničí, alebo spracúvané externými partnermi mimo SR. GDPR nariadenie rozlišuje tri základné situácie prenosu:

Prenos do členských štátov EÚ a EHP – v rámci tohto priestoru platí voľný pohyb osobných údajov, no prevádzkovateľ musí naďalej zabezpečiť zákonnosť, transparentnosť, minimalizáciu údajov a informovanie dotknutých osôb.

Prenos do tzv. bezpečných tretích krajín – teda krajín, ktoré podľa Európskej komisie zaručujú primeranú úroveň ochrany osobných údajov.

Prenos do krajín bez primeranej úrovne ochrany – možný len za splnenia prísnych podmienok, ako je použitie štandardných zmluvných doložiek, záväzných vnútropodnikových pravidiel alebo so súhlasom príslušného dozorného orgánu.

Každý prevádzkovateľ je zodpovedný za to, aby cezhraničný prenos prebiehal v súlade so zásadami GDPR.

Neviete si rady s GDPR? Poradíme Vám

Aké riziká hrozia pri porušení GDPR?

Porušenie GDPR môže mať vážne finančné a reputačné dôsledky. Úrad na ochranu osobných údajov môže pri zistení nedostatkov uložiť pokutu až do výšky 20 miliónov EUR alebo 4 % z celkového obratu spoločnosti – podľa toho, ktorá suma je vyššia. Najčastejšími chybami sú:

  • nezabezpečené formuláre na webe (napr. e-shop, kontaktný formulár),
  • chýbajúca alebo neúplná GDPR dokumentácia,
  • nesprávne získaný alebo neexistujúci súhlas dotknutých osôb,
  • únik osobných údajov (napr. emailové databázy, citlivé dokumenty),
  • nezákonné spracovanie údajov bývalých zamestnancov alebo klientov.

 

Prečo je vypracovanie GDPR riešenia odborníkmi dôležité?

GDPR nie je jednorazová úloha, ktorú “odfajknete” a vybavené. Je to proces, ktorý si vyžaduje kombináciu právneho rámca, interných pravidiel a technických opatrení. Nespoliehajte sa na stiahnuté vzory z internetu – tie nezohľadňujú špecifiká vášho podnikania a môžu byť neaktuálne.

Profesionálne vypracovanie GDPR dokumentácie vám pomôže:

  • vyhnúť sa pokutám a právnym sporom,
  • správne nastaviť interné procesy a školenia zamestnancov,
  • zabezpečiť dôveru zákazníkov a partnerov,
  • byť pripravený na kontrolu z Úradu na ochranu osobných údajov.

 

Ako vám vieme pomôcť s GDPR?

Naša služba zahŕňa kompletné vypracovanie GDPR dokumentácie na mieru vašej firme. Po úvodnej analýze pomôžeme so všetkým potrebným – zmluvy, smernice, záznamy o činnostiach, informačné povinnosti a zaškolíme vaše poverené osoby. Poskytujeme aj podporu počas kontroly či pri podozrení na porušenie.

Aký užitočný bol tento príspevok?

Kliknutím na hviezdičku ho ohodnotíte!

Priemerné hodnotenie 4.8 / 5. Počet hlasov: 38

Zatiaľ žiadne hlasy! Buďte prvý, kto ohodnotí tento príspevok.

Prihláste sa na odber noviniek