Skratka GDPR (General Data Protection Regulation) znamená v preklade “Všeobecné nariadenie o ochrane osobných údajov”. GDPR je na Slovensku prenesené do Zákona č. 18/ 2018 Z.z. Zákon o ochrane osobných údajov, ktorý do platnosti vstúpil 25.5. 2018.
Dotknuté osoby |
|
Prevádzkovatelia |
|
Sprostredkovatelia |
|
Oprávnené osoby |
|
Zodpovedné osoby |
|
Ako zamestnanec som dotknutou osobou voči zamestnávateľovi, ktorému svoje osobné údaje poskytujem. Zamestnávateľ ich spracúva moje osobné údaje ako prevádzkovateľ na presne vymedzený účel. Ten účel musí byť v súlade s právnym základom, ktorých GDPR ponúka 6. Ako zákazník e-shopu som dotknutou osobou napríklad voči predajcovi, ako návštevníko hotela voči hotelu. Každý prevádzkovateľ, bez ohľadu na veľkosť podniku, má povinnosť zabezpečiť ochranu osobných údajov.
To neznamená, že ich nikomu nepošle. Niekomu niektoré údaje poslať musí – napríklad prijímateľom ako sociálna poisťovňa, iným môže – ako napríklad externej účtovnej kancelárii, ktorá spracúva mzdy či kuriérovi.
Tieto práva a povinnosti sú predmetom internej smernice, záznamu o spracovateľských činnostiach a rôznych zmlúv, skrátka dokumentácie, ktorú teraz nebudem dopodrobna popisovať. Dokumentácia je však podstatná a v prípade kontroly zo strany úradu ju prevádzkovateľ musí zdokladovať.
Prevádzkovateľ vs Sprostredkovateľ
Ako majiteľ webovej stránky, zamestnávateľ a realizátor vzdelávacích aktivít som prevádzkovateľom a mojimi dotknutými osobami sú všetky fyzické osoby, ktoré sa prihlásili alebo zúčastnili školenia. Avšak ak realizujem vzdelávanie pre firemných zákazníkov, ocitám sa v roli sprostredkovateľa, pretože osobné údaje účastníkov školenia spracúvam len sprostredkovane. Ako to je?
Môj klient, zamestnávateľ, ma požiada, aby som na firemnom školení viedla prezenčnú listinu a po skončení napísala hodnotiacu správu. Môj klient presne vymedzil účel a rozsah spracúvaných údajov (jeho zamestnancov), ktoré smiem alebo musím v jeho mene spracovať. Zamestnávateľ so mnou podpísal sprostredkovateľskú zmluvu, v ktorej sú tieto naše vzájomné povinnosti vymedzené. Preto si nesmiem na školení urobiť fotografie a použiť ich na svojej webstránke alebo facebooku, ani keby účastnici súhlasili. Ak je ale súčasťou školenia nácvik na kameru alebo zamestnávateľ požiada o fotodokumentáciu zo školenia, urobím ju a odovzdám. Či je to v súlade s legislatívou je vecou prevádzkovateľa a jeho zodpovednej osoby, ak vymenova.
Povinnosti prevádzkovateľov
Pomerne častým omylom v súvislosti GDPR je predstava, že ak je firma maličká, tak jej sa GDPR netýka. GDPR sa ale týka každej spoločnosti, bez ohľadu na počet zamestnancov. Cieľom nariadenia GDPR je chrániť všetky osobné údaje fyzických osôb. Právne pôsobnosti GDPR v tomto základnom prehľade nešpecifikujem, pretože tento prehľad má ambíciu sprostredkovať len základné informácie.
Prevádzkovateľom je:
- každý orgán štátnej správy
- orgán územnej samosprávy
- iný orgán verejnej moci
- akákoľvek právnická alebo fyzická osoba, ktorá sama alebo spoločne s inými vymedzí účel a podmienky spracúvania osobných údajov a spracúva osobné údaje fyzických osôb vo vlastnom mene
Podľa GDPR smie prevádzkovateľ spracúvať osobné údaje len v týchto konkrétnych prípadoch (GDPR čl. 6):
Spracúvanie | Príklad |
Spracúvanie nevyhnutné na plnenie zmluvy | Kúpno-predajná zmluva, zákonník práce, zmluva o predaji alebo prenájme nehnuteľnosti, zmluva o požičaní motorového vozidla, zmluva o preprave osôb, skrátka akákoľvek ústne alebo písomne uzavretá zmluva. |
Spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa | Napríklad zamestnávateľ musí dodržiavať isté zákonné povinnosti zamestnávateľa a s tým súvisiace zákony, ktorých je okolo dvadsať. |
Spracúvanie nevyhnutné na účely oprávnených záujmov | Napríklad zamestnávateľ má právo monitorovať zamestnancov pomocou kamerového systému, lebo jeho oprávneným záujmom je dodržanie špecifického technologického postupu, bezpečnosť a ochrana zdravia pri práci a ochrana svojho majetku. |
Spracúvanie za účelom ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby a spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi | Týka sa sa hlavne orgánov verejnej moci, orgánov verejného zdravotníctva, samospráv a štátnych útvarov |
Spracúvanie na základe súhlasu | Ak dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov na jeden alebo viaceré konkrétne účely, tak prevádzkovateľ môže jej údaje spracúvať. Pozor ale, súhlas napríklad v zamestnaneckom vzťahu nie je odporúčaný, nakoľko existuje súhlas musí byť aktívne daný, informovaný, dobrovoľný. |
Povinnosť menovať zodpovednú osobu zamestnávateľom s viac ako 250 zamestnancami, alebo tým, ktorí zamestnávajú menej zamestnancov, ale spracúvajú veľké množstvo údajov vrátane profilácie dotknutých osôb. Ostatné spoločnosti ju môžu vymenovať dobrovoľne. Pozor, menovací dekrét nestačí! Splnené musia byť všetky náležitosti, ako odborné predpoklady a nezávislosť, a nesmie ani dôjsť ku konfliktu záujmov, čo automaticky vylučuje konateľov.
Implementácia GDPR krok po kroku
Medzi základné kroky pre zavedenie GDPR do organizácie patrí
- Vypracovanie dokumentácie – Interná smernica o ochrane osobných údajov, Zásady spracúvania osobných údajov, Analýza vplyvu spracovateľských operácií, Záznam o spracovateľských činnostiach Prevádzkovateľa, Záznam o spracovateľských činnostiach Sprostredkovateľa, Sprostredkovateľské zmluvy, Testy proporcionality, súhlasy
- Personálne opatrenia, ktoré môžu mať podobu vnútropodnikových smerníc, zaškolenia zamestnancov, ktorí prichádzajú do styku s osobnými údajmi dotknutých osôb,
- Optimalizovaná kľúčová a prístupová politika
- Technické opatrenia, ako napríklad obmedzenie prístupov, zabezpečenie serverovne, zabezpečenie dverí a skriniek zámkami a podobné
Platí priama úmera, že čím jednoduchšie procesy vo firme máte alebo čím je vaše podnikanie jednoduchšie, tým jednoduchšia je aj vaša dokumentácia. S vašim GDPR konzultantom by ste mali skonzultovať aké informačné systémy budete popisovať, a ktoré z používaných nástrojov a postupov sú GDPR citlivé. Je napríklad rozdiel používať len e-mail a návštevnú knihu, a mať databázu XY zákazníkov na cloude či kamery v každom rohu prevádzky.
Najčastejšie omyly
Prevádzkovatelia si častokrát neuvedomujú, že sú prevádzkovateľmi v zmysle GDPR a mysia si, že žiadne údaje nespracúvajú. Najčastejšie argumentujú, že oni „si len zapíšu adresu a meno“, že oni „nikam nič neposielajú“ a podobne. Presne tieto činnosti sa však v úradníckom jazyku nazývajú spracovateľské činnosti a vzťahujú sa na ne zákonné povinnosti.
Ďalším častým omylom býva, že prevádzkovatelia nevypracujú príslušnú dokumentáciu, pretože sa domnievajú, že ak údaje spracúvajú na základe zákonnej povinnosti, tak “nepotrebujú GDPR”. Príkladom takého omylu môže byť spolok, ktorého členovia “sú predsa dobrovoľnými členmi”, alebo spoločnosť, v ktorej “zákazník u nich nakupuje dobrovoľne”, alebo „podľa zákona musíme toto evidovať“. Pritom práve tieto firmy majú úplne nepochybný právny základ pre spracúvanie osobných údajov, a to sppracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa.
Čo je to vlastne spracovanie osobných údajov?
Spracovaním osobných údajov rozumieme akékoľvek automatizované alebo neautomatizované nakladanie s údajmi, ich používanie a správu v databázach či iných úložiskách ako počítač, mobil a iné.
Ak správne popíšete svoje pracovné procesy, spôsoby ako osobné údaje chránite, overíte si svojich dodávateľov a zaškolíte svojich zamestnancov – a to čo si stanovíte ako normu v rámci zákona budete aj dodržiavať – ochránite sa v prípade incidentov pred nepríjemnými pokutami.
Autor: Martina Javůrková, MBA