Čo je to GDPR a koho sa týka

Skratka GDPR (General Data Protection Regulation) znamená v preklade “Všeobecné nariadenie o ochrane osobných údajov”. GDPR je na Slovensku prenesené do Zákona č. 18/ 2018 Z.z. Zákon o ochrane osobných údajov, ktorý do platnosti vstúpil 25.5. 2018.

Dotknuté osoby
  • všetky fyzické osoby, ktorých údaje sú spracúvané
Prevádzkovateľ
  • ten, kto vymedzí účel a prostriedky spracúvania osobných údajov a spracúva ich
Sprostredkovateľ
  • ten, kto spracúva osobné údaje v mene prevádzkovateľa
Oprávnené osoby
  • zamestnanci mzdového a personálneho oddelenia, manažéri ale aj radoví zamestnanci, ktorí majú prístup ku osobným údajom zamestnancov
Zodpovedné osoby
  • známe aj pod názvom Data Protection Officer (DPO), špecificky vyškolení špecialisti, ktorí pomáhajú prevádzkovateľom a sprostredkovateľom dosiahnuť súlad s nariadením GDPR a dotknutým osobám pomáhajú zorientovať sa či domôcť sa svojich práv

A čo je to spracúvanie osobných údajov? Spracúvaním alebo spracovateľskou činnosťou je ktorákoľvek z týchto činností: 

  • získavanie,

  • zaznamenávanie,

  • usporadúvanie,

  • štruktúrovanie,

  • uchovávanie,

  • zmena,

  • vyhľadávanie,

  • prehliadanie,

  • využívanie,

  • poskytovanie prenosom, šírením alebo iným spôsobom,

  • preskupovanie alebo kombinovanie,

  • obmedzenie,

  • vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.

Prevádzkovateľ spracúva osobné údaje na presne vymedzený účel. Účel je, inak povedané, odpoveďou na otázku „Prečo potrebujeme tieto osobné údaje?“ Účel musí byť v súlade s právnym základom, ktorý je definovaný v článku 6 GDPR, odsek 1.

Zákazník e-shopu je dotknutou osobou napríklad voči predajcovi, návštevník hotela voči hotelu. Každý prevádzkovateľ, bez ohľadu na veľkosť podniku, má povinnosť zabezpečiť ochranu osobných údajov.

To neznamená, že ich nikomu nepošle. Niekomu niektoré údaje poslať  resp. sprístupniť musí – napríklad príjemcom ako sociálna poisťovňa či daňový úrad, iným môže – ako napríklad externej účtovnej kancelárii, ktorá spracúva mzdy či kuriérovi.

Tieto práva a povinnosti sú predmetom internej smernice, záznamu o spracovateľských činnostiach a rôznych zmlúv a ďalších dokumentov, skrátka dokumentácie. Dobre pripravená dokumentácia je podstatná z viacerých dôvodov. Pevádzkovateľ povinnosť dokumentovať svoje spracovateľské činnosti a prijaté bezpečnostné opatrenia. Jednak kvôli sebe a svojim zamestnancom, aby každý vedel, čo má a čo nesmie robiť, tiež však v prípade kontroly zo strany úradu musí prevádzkovateľ zdokladovať, dokázať, aké opatrenia prijal. 

Prevádzkovateľ vs Sprostredkovateľ

Dobrým príkladom ako odlíšiť Prevádzkovateľa od Sprostredkovateľa môže byť taká bežná spolupráca ako firemné vzdelávanie. Realizátor vzdelávacích aktivít je prevádzkovateľom a dotknutými osobami sú všetky fyzické osoby, ktoré sa prihlásili alebo zúčastnili školenia. Avšak ak realizuje vzdelávanie pre firemných zákazníkov, ocit sa v roli sprostredkovateľa, pretože osobné údaje účastníkov školenia spracúva len sprostredkovane. 

K tomu dôjde v prípade, keď napríklad zamestnávateľ vzdelávaciu agentúru požiada, aby na firemnom školení viedla prezenčnú listinu a po skončení napísala hodnotiacu správu. Zamestnávateľ presne vymedzil účel a rozsah spracúvaných údajov jeho zamestnancov, ktoré agentúra má v jeho mene spracovať.

Podmienkou zákonného spracúvania osobných údajov je aj podpisánie sprostredkovateľskej zmluvy, v ktorej sú vzájomné povinnosti vymedzené. Lektor bez výsloveného súhlasu nesmie na školení urobiť fotografie a použiť ich na svojej webstránke alebo na sociálnych sieťach. Ak je ale súčasťou školenia nácvik na kameru alebo zamestnávateľ požiada o fotodokumentáciu zo školenia, tak ju agentúra – Sprostredkovateľ – urobí a odovzdá Prevádzkovateľovi.

Povinnosti Prevádzkovateľov

Pomerne častým omylom v súvislosti GDPR je predstava, že ak je firma maličká, tak jej sa GDPR netýka. GDPR sa ale týka každej spoločnosti, bez ohľadu na počet zamestnancov. Cieľom nariadenia GDPR je chrániť všetky osobné údaje fyzických osôb. Právne pôsobnosti GDPR v tomto základnom prehľade nešpecifikujem, pretože tento prehľad má ambíciu sprostredkovať len základné informácie.

Prevádzkovateľom je:

  • každý orgán štátnej správy
  • orgán územnej samosprávy
  • iný orgán verejnej moci
  • akákoľvek právnická alebo fyzická osoba, ktorá sama alebo spoločne s inými vymedzí účel a podmienky spracúvania osobných údajov a spracúva osobné údaje fyzických osôb vo vlastnom mene

Podľa GDPR smie prevádzkovateľ spracúvať osobné údaje len v týchto konkrétnych prípadoch (GDPR čl. 6, ods. 1):

Spracúvanie Príklad
Spracúvanie nevyhnutné na plnenie zmluvy (písm. b) Kúpno-predajná zmluva, zákonník práce, zmluva o predaji alebo prenájme nehnuteľnosti, zmluva o požičaní motorového vozidla, zmluva o preprave osôb, skrátka akákoľvek ústne alebo písomne uzavretá zmluva.
Spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa (písm. c) Napríklad zamestnávateľ musí dodržiavať isté zákonné povinnosti zamestnávateľa a s tým súvisiace zákony, ktorých je okolo dvadsať. 
Spracúvanie nevyhnutné na účely oprávnených záujmov (písm. f) Napríklad zamestnávateľ má právo monitorovať zamestnancov pomocou kamerového systému, lebo jeho oprávneným záujmom je dodržanie špecifického technologického postupu, bezpečnosť a ochrana zdravia pri práci a ochrana svojho majetku.
Spracúvanie za účelom ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby  (písm. e) a spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi (písm. d) Týka sa sa hlavne orgánov verejnej moci, orgánov verejného zdravotníctva, samospráv a štátnych útvarov
Spracúvanie na základe súhlasu (písm. a) Ak dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov na jeden alebo viaceré konkrétne účely, tak prevádzkovateľ môže jej údaje spracúvať. Pozor ale, súhlas napríklad v zamestnaneckom vzťahu nie je odporúčaný, nakoľko existuje súhlas musí byť aktívne daný, informovaný, dobrovoľný. 

Povinnosť menovať zodpovednú osobu zamestnávateľom s viac ako 250 zamestnancami, alebo tým, ktorí zamestnávajú menej zamestnancov, ale spracúvajú veľké množstvo údajov vrátane vykonávania profilovania a automatizovaného spracúvania osobných údajov dotknutých osôb. Ostatné spoločnosti ju môžu vymenovať dobrovoľne. Pozor, menovací dekrét nestačí! Splnené musia byť všetky náležitosti, ako odborné predpoklady a nezávislosť, a nesmie ani dôjsť ku konfliktu záujmov, čo automaticky vylučuje vlastníkov, konateľov a manažérov spoločnosti.

Prečítajte si -> Týka sa vás povinnosť menovať zodpovednú osobu?

Zavedenie GDPR krok po kroku

Medzi základné kroky pre zavedenie GDPR do organizácie patrí

  • Vypracovanie dokumentácie
    • Interná smernica o ochrane osobných údajov,
    • Zásady spracúvania osobných údajov,
    • Analýza vplyvu spracovateľských operácií (v niektorých prípadoch),
    • Záznam o spracovateľských činnostiach Prevádzkovateľa,
    • Záznam o spracovateľských činnostiach Sprostredkovateľa,
    • Sprostredkovateľské zmluvy,
    • Testy proporcionality,
  • Prijatie a popísanie personálnych opatrení, ktoré môžu mať podobu vnútropodnikových smerníc, zaškolenia zamestnancov, ktorí prichádzajú do styku s osobnými údajmi dotknutých osôb,
  • Optimalizovaná kľúčová a prístupová politika
  • Prijatie technických opatrená, ako napríklad obmedzenie prístupov, zabezpečenie serverovne, zabezpečenie dverí a skriniek zámkami, protipožiarne opatrenia, zálohovanie a podobné

Platí priama úmera, že čím jednoduchšie procesy vo firme máte alebo čím je vaše podnikanie jednoduchšie, tým jednoduchšia je aj vaša dokumentácia. S vašim GDPR konzultantom by ste mali skonzultovať aké informačné systémy budete popisovať, a ktoré z používaných nástrojov a postupov sú GDPR citlivé. Je napríklad rozdiel používať len e-mail a návštevnú knihu, a mať databázu XY zákazníkov na cloude či kamery v každom rohu prevádzky.

Najčastejšie omyly

Prevádzkovatelia si častokrát neuvedomujú, že sú prevádzkovateľmi v zmysle GDPR a mysia si, že žiadne údaje nespracúvajú. Najčastejšie argumentujú, že oni „si len zapíšu adresu a meno“, že oni „nikam nič neposielajú“ a podobne. Presne tieto činnosti sa však v úradníckom jazyku nazývajú spracovateľské činnosti a vzťahujú sa na ne zákonné povinnosti.

Ďalším častým omylom býva, že prevádzkovatelia nevypracujú príslušnú dokumentáciu, pretože sa domnievajú, že ak údaje spracúvajú na základe zákonnej povinnosti, tak “nepotrebujú GDPR”. Príkladom takého omylu môže byť spolok, ktorého členovia “sú predsa dobrovoľnými členmi”, alebo spoločnosť, v ktorej “zákazník u nich nakupuje dobrovoľne”, alebo „podľa zákona musíme toto evidovať“. Pritom práve tieto firmy majú úplne nespochyniteľný právny základ pre spracúvanie osobných údajov, a to sppracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, stačí to len evidovať, popísať a informovať dotknutné osoby.

Ak správne popíšete svoje pracovné procesy, spôsoby ako osobné údaje chránite, overíte si svojich dodávateľov a zaškolíte svojich zamestnancov – a to čo si stanovíte ako normu v rámci zákona budete aj dodržiavať – ochránite sa v prípade incidentov pred nepríjemnými pokutami. 

, , , , , , ,