Čo by ste mali vedieť

Stále je veľa majiteľov firiem čo nenevedia, že ak spracúvajú osobné údaje (čo skoro určite robia), vyplývajú pre nich z GDPR a zákona o ochrane osobných údajov povinnosti:

Čo to znamená pre vás?

  • Ak spracúvate osobné údaje v informačnom systéme, musíte dodržiavať základné zásady spracúvania osobných údajov upravené v čl. 5 GDPR. Aby to nebolo také jednoduché, tak je potrebné vedieť preukázať, že ste urobili všetko pre to, aby zasady boli v praxi dodržané. Na takéto preukazovanie, o ktoré može požiadať dozorný orgán (Úrad na ochranu osobných údajov SR), je viac ako vhodné mať zdokumentované prijaté bezpečnostné a organizačné opatrenia. V minulosti bol takýmto zdrojom dokumentácie bezpečnostný projekt, ktorý vo veľkej miere pomôže aj dnes (ak nemáte nič iné), ale nie je šitý na GDPR (zatiaľ).
  • Špeciálne poučenie pre každého vášho zamestnanca, ktorý pracuje s osobnými údajmi, bolo požadované predchádzajúcou legislatívou. GDPR priamu požiadavku v tomto smere neobsahuje, ale je v záujme každého prevádzkovateľa informačného systému, aby jeho zamestnanci vedeli čo a ako robiť s osobnými údajmi, za ktoré nesie zodpovednosť. Určite odporúčame, aby v ráci organizačných opatrení bolo aspoň základné poučenie/školenie vykonané. Vyslovene povinnou je však mlčanlivosť, ktorou podľa zákona o ochrane osobných údajov musí zamestnávateľ zaviazať svojich zamestnancov. Či to bude samostatná dohoda alebo súčasť pracovnej zmluvy už  GDPR ani zákon nerieši.
  • Podmienky, za ktorých musíte vymenovať zodpovednú osobu, sa zvoľnili. Malých firiem či tretieho sektora sa to prakticky nebude takmer nikdy týkať. Ak aj áno, lebo vykonávajú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu alebo spracúvanie citlivých údajov vo veľkom rozsahu, tak už nie je potrebná žiadna  skúška na úrade.
  • Ak pre vás spracúva osobné údaje niekto iný, napr. externý účtovník, podľa zákona je on vašim sprostredkovateľom a musíte s nim uzatvoriť zmluvu podľa čl.  28 GDPR.
  • Ak spracúvate osobné údaje len pre účely, ktoré vyžaduje zákon (hlavne pracovno-právna agenda), tak spravidla viac robiť nemusíte.
  • V ostatných prípadoch je potrebné riešiť právny základ ako je napríklad súhlas so spracovaním osobných údajov, zmluva s dotknutou osobou alebo niektorá iná možnosť podľa čl.  6 ods. 1 GDPR. Praktickejšie ako získavanie súhlasov, ktoré možu byť kedykoľvek odvolané, je do zmluvy s človekom, ktorého údaje spracúvate alebo do podmienok používania online služby doplniť informácie o spracovaní osobných údajov. Pokiaľ sú údaje vyslovene potrebné len na dodanie tovarov a služieb, tak súhlas riešiť nemusíte. Dodatočný marketing tak však zaradíme len veľmi ťažko.
  • Ak máte kamerový systém a monitorujete verejne dostupné priestory, tak tento právny základ sa ponovom v GDPR nenachádza. K dispozícii je oprávnený záujem, ale k jeho nasadeniu odporúčame pristupovať opatrne a nezasahovať zbytočne do práv monitorovaných subjektov.  Pre monitorovanie interných priestorov a zamestnancov je potrebné pamäťať aj na povinnosti vyplývajúce zo Zákonníka práce.
  • Toto sú len najbežnejšie prípady. Ak plánujete údaje poskytovať niekomu inému, alebo ich spracúvate mimo EÚ, chcete spracúvať citlivejšie informácie, riešite verejný záujem a pod. vtedy začína sranda a musíte riešiť aj ďalšie veci.
  • Váš osobný adresár alebo korešpodenciu, tak  na to máme stále výnimku. GDPR cez  ňu však neobídete, lebo sa týka výlučne domácich a osobných činností, kam biznis nepatrí.

Čo vám hrozí, ak to nesplníte?

Zákon o ochrane osobných údajov spolu so Slovenskou obchodnou inšpekciou s obľubou zneužívali neprajníci, ktorí uškodiť organizácii. „Pošlú“ na vás kontrolu a máte problém. Nedá sa predpokladať, že by sa to malo s príchodom GDPR zmeniť. Zažili sme viacero kontrol, inšpektor a jeho analytici boli úplne OK. Keď videli, že to s ochranu osobných údajov myslíme dobre a máme zákonom požadovanú dokumentáciu, nechceli nám robiť problémy. V prípade nedostatkov by však mohli udeliť aj obrovské pokuty.

Čo sú osobné údaje?

  • Osobný údaj je akýkolvek údaj o “určenej alebo určiteľnej fyzickej osobe”.
  • Osobu určíte typicky podľa jej mena a adresy, ale nie len.
  • Osobnými údajmi nie sú napr. meno (ak nie je v kombinácii s ďalšími údajmi; lebo v princípe môže byť viac ludí, ktorí sa volajú rovnako), login a pod.
  • Ak je to možné, tak sa vyhnite osobitným kategóriám osobných údajov (citlivým údajom). Tie si vyžadujú prísnejší režim.
  • Rodné číslo už nie je citlivým údajom, ale aj tak platí zákaz jeho zverejňovania a používať ho môžeme len vtedy, ak je to nevyhnutné.
  • Staručké  vyjadrenie úradu vlastne hovorí, že treba používať zdravý rozum.

Kde sa okrem nášho webu dozviete viac?