Skratka GDPR (General Data Protection Regulation) znamená v preklade “Všeobecné nariadenie o ochrane osobných údajov”. GDPR je na Slovensku prenesené do Zákona č. 18/ 2018 Z.z. Zákon o ochrane osobných údajov, ktorý do platnosti vstúpil 25.5. 2018. Týka sa každého prevádzkovateľa, ktorý spracúva osobné údaje.
Na území Slovenskej republiky platil pred účinnosťou tejto legislatívy zákon o ochrane osobných údajov, ktorý bol pomerne striktný, takže pre slovenských prevádzkovateľov by GDPR nemalo byť strašiakom. Napriek tomu sa ním stalo, a to najmä z dôvodu negatívnej medializácie, nešťastých výrokov ľudí z branže a najmä z dôvodu medializovaných pokút. Hlavnou zmenou pritom bolo čosi iné, a to rozšírenie a posilnenie práv dotknutých osôb.
Dotknuté osoby sú všetky fyzické osoby, ktorých údaje sú spracúvané. Je jedno, odkiaľ pochádzajú a akej sú národnosti, vstupom do priestoru EÚ / EHP, ak začnú byť ich údaje spracúvané, sú chránené podľa GPDR a vzťahujú sa na ne všetky práva dotknutých osôb. Osobný údaj je akýkoľvek údaj alebo súbor údajov, na základe ktorých je dotknutá osoba identifikovaná alebo identifikovateľná. Nie je to teda len meno a priezvisko, e-mail a telefónne číslo alebo adresa, ale aj iné identifikátory.
Spracúvaním alebo spracovateľskou činnosťou je ktorákoľvek z týchto činností: získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
Základné povinnosti prevádzkovateľa
Prevádzkovateľ môže spracúvať osobné údaje len zákonným spôsobom, teda musí mať nejaký právny základ. Prevádzkovateľ spracúva osobné údaje vyššie popísaným spôsobom z najekého dôvodu, na nejaký účel a to znamená, že osobné údaje, tkoré získal od dotknutej osoby nesmie spracúvať na iný účel než na ten, ktorý sleduje pri spracúvaní. Napríklad ak zbiera a eviduje, teda spracúva osobné údaje na účel doručenia objednávky, nemôže ich použiť na zasielanie newsletter. Na tento účel potrebuje súhlas dotknutej osoby.
Každý prevádzkovateľ má povinnosť zabezpečiť ochranu osobných údajov. To neznamená, že ich nikomu nepošle. Niekomu niektoré údaje poslať resp. sprístupniť musí – napríklad príjemcom ako sociálna poisťovňa či daňový úrad, iným môže – ako napríklad externej účtovnej kancelárii, ktorá spracúva mzdy či kuriérovi.
Prevádzkovateľ je povinný prijať technické a organizačné bezpečnostné opatrenia. Tie je povinný preukázať v prípade kontroly. Preukázať ich vie predložením tzv. Záznamu o spracovateľských činnostiach, ktorý vedie a priebežne akutalizuje, rôznych zmlúv a ďalších dokumentov, skrátka dokumentácie. V prípade, ak používa technológie ako kamerové systémy alebo monitorovanie zamestancov, musí vypracovať aj analýzu vplyvu spracovateľskej činnosti. Ak spracúva osobné údaje na právnom základe “oprávnený záujem prevádzkovateľa”, tak má zase povinnosť vypracovať balančné testy, v ktorých zhodnotí či jeho záujem je skutočne nadradený alebo v rovnováhe s právami dotknutej osoby na súkromie.
Medzi základné povinnosti prevádzkovateľa patrí aj poskytnúť dotknutej osobe informácie o spracúvaní, a to nejneskôr v čase začatia spracúvania osobných údajov. Väčšina prevádzkovateľov tak urobí zverejnením Zásad ochrany osobných údajov (Privacy policy) na svojom webe, ale môže tak vykonať napríklad aj na pozvánke, v päte newsletteru, plagátom na podujatí a podobne.
Prevádzkovateľ a Sprostredkovateľ
Prevádzkovateľom je každý orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci a akákoľvek právnická alebo fyzická osoba, ktorá sama alebo spoločne s inými vymedzí účel a podmienky spracúvania osobných údajov a spracúva osobné údaje fyzických osôb vo vlastnom mene.
Niektoré svoje činnosti môže delegovať na poskytovateľov služieb. Častým dôvodom je napríklad vedenie účtovníctva, spracovanie miezd, vzdelávanie, správa sociálnych sietí a podobné činnosti. Partneri, ktorí plnia svoje zmluvné povinnosti voči prevádzkovateľovi a pri plnení týchto poviností dochádza ku spracúvaniu osobných údajov, sa nazývajú sprostredkovatelia. Sprostredkovatelia môžu spracúvať len vybrané osobné údaje a len povoleným spôsobom. Podmienkou zákonného spracúvania osobných údajov je aj uzatvorenie sprostredkovateľskej zmluvy, v ktorej sú vzájomné povinnosti vymedzené.
Zavedenie GDPR krok po kroku
Medzi základné kroky pre zavedenie GDPR do organizácie patrí
- Vypracovanie dokumentácie
- Záznam o spracovateľských činnostiach Prevádzkovateľa / Záznam o spracovateľských činnostiach Sprostredkovateľa,
- Zásady spracúvania osobných údajov,
- Sprostredkovateľské zmluvy / Zmluvy alebo Dohody o spoločných prevádzkoteľoch (ak sú)
- Prijatie technických a organizačných bezpečnostných opatrení
- Interná smernica o ochrane osobných údajov,
- Zaškolenie zamestnancov, ktorí prichádzajú do styku s osobnými údajmi dotknutých osôb,
- Optimalizovaná kľúčová a prístupová politika, vrátane obmedzenia prístupov, zabezpečenia serverovne, dverí a skriniek zámkami, protipožiarne opatrenia, zálohovanie a podobné
Platí priama úmera, že čím jednoduchšie procesy vo firme máte alebo čím je vaše podnikanie jednoduchšie, tým jednoduchšia je aj vaša dokumentácia.
Najčastejšie chyby
Medzi najčastejšie chyby v súvislosti s GDPR patrí ignorácia nariadenia prevádzkovateľom a nesprávne vedená dokumentácia, ktorá je buď okopírovaná, alebo vygenerovaná nejakým systémom. Ďalšie nepríjemnosti sú výsledkom slabej spolupráce, keď prevádzkovateľ nedodá potrebné podklady a informácie, a právnik alebo GDPR konzultant ani pri najlepšej vôli nemôže vypracovať kvalitnú dokumentáciu. Častými chybami sú aj chýbajúce alebo nesprávne napísané Privacy policy, nezákonne získavané súhlasy, opomenutie vymenovať zodpovednú osobu (ak povinnosť vznikla), opomenutie vyškoliť zamestnancov.
Je dôležité, aby sa prevádzkovatelia naučili ku GDPR pristupovať rovnako zodpovedne ako ku svojim daňovým a účtovným povinnostiam. To v ideálnom prípade znamená – oboznámiť sa s obsahom a najať si niekoho, kto sa tomu bude venovať na odbornej úrovni.