Stále je veľa majiteľov firiem čo nenevedia, že ak spracúvajú osobné údaje (čo skoro určite robia), vyplývajú pre nich z GDPR a zákona o ochrane osobných údajov povinnosti:
Čo to znamená pre vás?
- Ak spracúvate osobné údaje v informačnom systéme, musíte dodržiavať základné zásady spracúvania osobných údajov upravené v čl. 5 GDPR. Aby to nebolo také jednoduché, tak je potrebné vedieť preukázať, že ste urobili všetko pre to, aby zasady boli v praxi dodržané. Na takéto preukazovanie, o ktoré može požiadať dozorný orgán (Úrad na ochranu osobných údajov SR), je viac ako vhodné mať zdokumentované prijaté bezpečnostné a organizačné opatrenia. V minulosti bol takýmto zdrojom dokumentácie bezpečnostný projekt, ktorý vo veľkej miere pomôže aj dnes (ak nemáte nič iné), ale nie je šitý na GDPR (zatiaľ).
- Špeciálne poučenie pre každého vášho zamestnanca, ktorý pracuje s osobnými údajmi, bolo požadované predchádzajúcou legislatívou. GDPR priamu požiadavku v tomto smere neobsahuje, ale je v záujme každého prevádzkovateľa informačného systému, aby jeho zamestnanci vedeli čo a ako robiť s osobnými údajmi, za ktoré nesie zodpovednosť. Určite odporúčame, aby v ráci organizačných opatrení bolo aspoň základné poučenie/školenie vykonané. Vyslovene povinnou je však mlčanlivosť, ktorou podľa zákona o ochrane osobných údajov musí zamestnávateľ zaviazať svojich zamestnancov. Či to bude samostatná dohoda alebo súčasť pracovnej zmluvy už GDPR ani zákon nerieši.
- Podmienky, za ktorých musíte vymenovať zodpovednú osobu, sa zvoľnili. Malých firiem či tretieho sektora sa to prakticky nebude takmer nikdy týkať. Ak aj áno, lebo vykonávajú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu alebo spracúvanie citlivých údajov vo veľkom rozsahu, tak už nie je potrebná žiadna skúška na úrade.
- Ak pre vás spracúva osobné údaje niekto iný, napr. externý účtovník, podľa zákona je on vašim sprostredkovateľom a musíte s nim uzatvoriť zmluvu podľa čl. 28 GDPR.
- Ak spracúvate osobné údaje len pre účely, ktoré vyžaduje zákon (hlavne pracovno-právna agenda), tak spravidla viac robiť nemusíte.
- V ostatných prípadoch je potrebné riešiť právny základ ako je napríklad súhlas so spracovaním osobných údajov, zmluva s dotknutou osobou alebo niektorá iná možnosť podľa čl. 6 ods. 1 GDPR. Praktickejšie ako získavanie súhlasov, ktoré možu byť kedykoľvek odvolané, je do zmluvy s človekom, ktorého údaje spracúvate alebo do podmienok používania online služby doplniť informácie o spracovaní osobných údajov. Pokiaľ sú údaje vyslovene potrebné len na dodanie tovarov a služieb, tak súhlas riešiť nemusíte. Dodatočný marketing tak však zaradíme len veľmi ťažko.
- Ak máte kamerový systém a monitorujete verejne dostupné priestory, tak tento právny základ sa ponovom v GDPR nenachádza. K dispozícii je oprávnený záujem, ale k jeho nasadeniu odporúčame pristupovať opatrne a nezasahovať zbytočne do práv monitorovaných subjektov. Pre monitorovanie interných priestorov a zamestnancov je potrebné pamäťať aj na povinnosti vyplývajúce zo Zákonníka práce.
- Toto sú len najbežnejšie prípady. Ak plánujete údaje poskytovať niekomu inému, alebo ich spracúvate mimo EÚ, chcete spracúvať citlivejšie informácie, riešite verejný záujem a pod. vtedy začína sranda a musíte riešiť aj ďalšie veci.
- Váš osobný adresár alebo korešpodenciu, tak na to máme stále výnimku. GDPR cez ňu však neobídete, lebo sa týka výlučne domácich a osobných činností, kam biznis nepatrí.
Čo vám hrozí, ak to nesplníte?
Zákon o ochrane osobných údajov spolu so Slovenskou obchodnou inšpekciou s obľubou zneužívali neprajníci, ktorí uškodiť organizácii. „Pošlú“ na vás kontrolu a máte problém. Nedá sa predpokladať, že by sa to malo s príchodom GDPR zmeniť. Zažili sme viacero kontrol, inšpektor a jeho analytici boli úplne OK. Keď videli, že to s ochranu osobných údajov myslíme dobre a máme zákonom požadovanú dokumentáciu, nechceli nám robiť problémy. V prípade nedostatkov by však mohli udeliť aj obrovské pokuty.
Čo sú osobné údaje?
- Osobný údaj je akýkolvek údaj o “určenej alebo určiteľnej fyzickej osobe”.
- Osobu určíte typicky podľa jej mena a adresy, ale nie len.
- Osobnými údajmi nie sú napr. meno (ak nie je v kombinácii s ďalšími údajmi; lebo v princípe môže byť viac ludí, ktorí sa volajú rovnako), login a pod.
- Ak je to možné, tak sa vyhnite osobitným kategóriám osobných údajov (citlivým údajom). Tie si vyžadujú prísnejší režim.
- Rodné číslo už nie je citlivým údajom, ale aj tak platí zákaz jeho zverejňovania a používať ho môžeme len vtedy, ak je to nevyhnutné.
- Staručké vyjadrenie úradu vlastne hovorí, že treba používať zdravý rozum.