GDPR

Čo je to GDPR a koho sa týka

Skratka GDPR (General Data Protection Regulation) znamená v preklade “Všeobecné nariadenie o ochrane osobných údajov”. GDPR je na Slovensku prenesené do Zákona č. 18/ 2018 Z.z. Zákon o ochrane osobných údajov, ktorý do platnosti vstúpil 25.5. 2018.

KTO JE KTO

Dotknuté osoby
  • všetky fyzické osoby, ktorých údaje sú spracúvané
Prevádzkovatelia
  • každý, kto vymedzí účel a prostriedky spracúvania osobných údajov a spracúva ich
Sprostredkovatelia
  • každý, kto spracúva osobné údaje v mene prevádzkovateľa
Oprávnené osoby
  • zamestnanci mzdového a personálneho oddelenia alebo manažéri, ktorí majú prístup ku osobným údajom zamestnancov
Zodpovedné osoby
  • známe aj pod názvom Data Protection Officer (DPO), špecificky vyškolení špecialisti, ktorí pomáhajú prevádzkovateľom a sprostredkovateľom dosiahnuť súlad s nariadením GDPR a dotknutým osobám pomáhajú zorientovať sa či domôcť sa svojich práv

Ako zamestnanec som dotknutou osobou voči zamestnávateľovi, ktorý spracúva moje osobné údaje ako prevádzkovateľ. Tento prevádzkovateľ ručí za ochranu mojich osobných údajov, ktoré poskytuje alebo ku ktorým má prístup, sprostredkovateľ. Tým môže byť napríklad externá mzdová kancelária, zdravotná služba alebo SBS, ktorá stráži areál firmy.

Ako zákazník som dotknutou osobou napríklad voči predajcovi kníh, ktorý spracúva moje osobné údaje ako prevádzkovateľ. Tento prevádzkovateľ ručí za ochranu mojich osobných údajov, ktoré poskytuje alebo ku ktorým má prístup, sprostredkovateľ.

Ako majiteľ webovej stránky, zamestnávateľ a realizátor vzdelávacích aktivít som prevádzkovateľom. Avšak ak realizujem vzdelávanie firemných zákazníkov, ocitám sa v roli sprostredkovateľa, ak vediem prezenčnú listinu, píšem hodnotiacu správu alebo iným spôsobom spracúvam osobné údaje ich zamestnancov. Voči nim sú prevádzkovateľom spracúvania oni. 

Povinnosť menovať zodpovednú osobu zamestnávateľom s viac ako 250 zamestnancami, alebo tým, ktorí zamestnávajú menej zamestnancov, ale spracúvajú veľké množstvo údajov vrátane profilácie dotknutých osôb. Ostatné spoločnosti ju môžu vymenovať dobrovoľne. Pozor, menovací dekrét nestačí! Splnené musia byť všetky náležitosti, ako odborné predpoklady a nezávislosť, a nesmie ani dôjsť ku konfliktu záujmov, čo automaticky vylučuje konateľov.

Povinnosti prevádzkovateľov

Pomerne častým omylom v súvislosti GDPR je predstava, že ak je firma maličká, tak jej sa GDPR “až tak” netýka alebo, že “my to nebudeme musieť riešiť, my sme malá firma”. GDPR sa ale týka každej spoločnosti, bez ohľadu na počet zamestnancov. Cieľom tohto nariadenia je totiž chrániť všetky osobné údaje, ktoré spracúvate. Pozrime sa spoločne, aké povinnosti sa týkajú každého prevádzkovateľa. 

Prevádzkovateľom je:

  • každý orgán štátnej správy
  • orgán územnej samosprávy
  • iný orgán verejnej moci
  • akákoľvek právnická alebo fyzická osoba, ktorá sama alebo spoločne s inými vymedzí účel a podmienky spracúvania osobných údajov a spracúva osobné údaje fyzických osôb vo vlastnom mene

Podľa GDPR smie prevádzkovateľ spracúvať osobné údaje len v týchto konkrétnych prípadoch:

SpracúvaniePríklad
Spracúvanie nevyhnutné na plnenie zmluvyKúpno-predajná zmluva, zákonník práce, zmluva o predaji alebo prenájme nehnuteľnosti, zmluva o požičaní motorového vozidla, zmluva o preprave osôb, skrátka akákoľvek ústne alebo písomne uzavretá zmluva.
Spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľaNapríklad zamestnávateľ musí dodržiavať isté zákonné povinnosti zamestnávateľa a s tým súvisiace zákony, ktorých je okolo dvadsať. 
Spracúvanie nevyhnutné na účely oprávnených záujmovNapríklad zamestnávateľ má právo monitorovať zamestnancov pomocou kamerového systému, lebo jeho oprávneným záujmom je dodržanie špecifického technologického postupu, bezpečnosť a ochrana zdravia pri práci a ochrana svojho majetku.
Spracúvanie za účelom ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby  a spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľoviTýka sa sa hlavne orgánov verejnej moci, orgánov verejného zdravotníctva, samospráv a štátnych útvarov
Spracúvanie na základe súhlasuAk dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov na jeden alebo viaceré konkrétne účely, tak prevádzkovateľ môže jej údaje spracúvať. Pozor ale, súhlas napríklad v zamestnaneckom vzťahu nie je odporúčaný, nakoľko existuje súhlas musí byť aktívne daný, informovaný, dobrovoľný. 

Implementácia GDPR krok po kroku

Hoci sa môže zdať, že všetci predsa vieme, čo sa s osobnými údajmi robiť smie a čo nie, v prípade akéhokoľvek incidentu, bude prevádzkovateľ povinný preukázať pred dozorným orgánom, že urobil maximálnu možnú prevenciu. 

Medzi preventívne opatrenia patria:

  • Personálne opatrenia, ktoré môžu mať podobu vnútropodnikových smerníc, patričného zaškolenia zamestnancov, ktorí prichádzajú do styku s osobnými údajmi dotknutých osôb.
  • Optimalizovaná kľúčová a prístupová politika
  • Technické opatrenia, ako napríklad obmedzenie prístupov, zabezpečenie serverovne, zabezpečenie dverí a skriniek zámkami a podobné

Najčastejšie omyly

Prevádzkovatelia si častokrát neuvedomujú, že sú prevádzkovateľmi v zmysle GDPR a mysia si, že tiadne údaje nespracúvajú. Najčastejšie argumentujú slovami, že oni „si len zapíšu adresu a meno“, že oni „nikam nič neposielajú“ a podobne. Je to žiaľ omyl.

Ďalším častým omylom býva, že prevádzkovatelia nevypracujú príslušnú dokumentáciu, pretože sa domnievajú, že ak údaje spracúvajú na základe zákonnej povinnosti, tak “nepotrebujú GDPR”. Príkladom takého omylu môže byť spolok, ktorého členovia “sú predsa dobrovoľnými členmi”, alebo spoločnosť, v ktorej “zákazník u nich nakupuje dobrovoľne”, alebo „podľa zákona musíme toto evidovať“.

Paradoxom pritom je, že práve tieto firmy mávajú často úplne jasný právny základ pre spracúvanie osobných údajov, pre ktorý ani nemusia robiť proporčné testy, ktoré sú nutné pri právnom základe “oprávnený záujem”.

Prečo by ste mali venovať čas a pozornosť dokumentácii?

Ak správne popíšete svoje pracovné procesy, spôsoby ako osobné údaje chránite, overíte si svojich dodávateľov a zaškolíte svojich zamestnancov – a to čo si stanovíte ako normu v rámci zákona budete aj dodržiavať – ochránite sa v prípade incidentov pred nepríjemnými pokutami. 

Čo je to vlastne spracovanie osobných údajov? 

Množstvo vydarených vtipov pomerne trefne pomenovali hlavný problém GDPR, ktorým je nejasnosť pojmu “osobný údaj”, “veľké množstvo” (podobnosť s množstvom väčším ako malým je čisto náhodná) a to nešťastné spracúvanie. Podnikatelia na meet-upoch a konferenciách v dobrom rozmare žartujú, že si nemôžu vymeniť vizitky alebo odporúčať hľadaného odborníka lebo GDPR. 

Spracovaním osobných údajov rozumieme akékoľvek automatizované alebo neautomatizované nakladanie s údajmi, ich používanie a správu v databázach či iných úložiskách ako počítač, mobil a iné.

Príklady:

  1. Odovzdanie a prebratie vizitky nie je spracovaním osobných údajov. K nemu dôjde, až si údaje z tej vizitky založíte do vizitkára alebo nascanujete do PC alebo prepíšete údaje do tabuľky či CRM vo vašom firemnom počítači. 
  2. Malé kaderníctvo alebo vizážistka môže aj naďalej mať uložené telefónne čísla na svoje zákazníčky, lekár aj naďalej môže poznať meno svojich pacientov, skrinky vo fabrike v šatni môžu byť označené menom zamestnanca, ktorému skrinka patrí. Stále je však potrebná primeraná ochrana osobných údajov.
  3. A čo životopis? Ak kandidát pošle CV do firmy, vy si ho prečítate a vymažete či zahodíte, nespracúvate ho. Ak ho však uložíte na ďalšie kontaktovanie v budúcnosti, spracúvate ho a vzťahujú sa na vás všetky povinnosti prevádzkovateľa. Ste na ne pripravení? 

Autor: Martina Javůrková, MBA