Kedy sa GDPR a nový zákon o ochrane osobných údajov dotkne aj bežného podnikateľa?
Čo je to GDPR a aký je rozdiel medzi GDPR a novým zákonom o ochrane osobných údajov? Aké sú sankcie a koho sa dotýka? Odpovede na tieto otázky ale aj viac sa dozviete v tomto článku.
Čo je GDPR?
GDPR (General Data Protection Regulation) alebo všeobecné nariadenie na ochranu osobných údajov. Ide o nariadenie Európskej únie, ktoré upravuje a nahrádza doterajší zákon o ochrane osobných údajov. Ochrana fyzických osôb v súvislosti so spracovávaním osobných údajov patrí medzi základné ľudské práva. Najdôležitejší je rešpekt súkromného a rodinného života či uchovávanie citlivých informácií o ostatných.
Kedy príde v účinnosť?
Súbor ucelených pravidiel na ochranu dát nadobudne účinnosť 25.5.2018. Dotkne sa aj vás? V roku 2016 bolo GDPR schválené. Do 25. 5. 2018 musia všetci zrevidovať a zjednotiť informačné systémy a postupy pri práci s údajmi. Ich tok je v rámci Únie podporovaný a nariadenie zaručuje vysokú ochranu pred zneužitím citlivých informácií.
Okrem toho na Slovensku v ten istý deň začína platiť tiež nový zákon o ochrane osobných údajov, ktorý však z veľkej časti len kopíruje GDPR. Obe regulácie tak z pohľadu bežného slovenského podnikateľa upravujú tie isté povinnosti, ktoré nemusia byť splnené osobitne podľa GDPR a osobitne podľa zákona.
Aké budú sankcie?
Záleží hlavne na charaktere a závažnosti incidentu. Pokuty však môže dosiahnuť až 4% z celkového obratu spoločnosti alebo až 20 miliónov €. Podľa toho, ktorá suma je vyššia.
Koho sa GDPR dotýka?
Každého, kto zhromažďuje a spracováva osobné údaje Európanov, vrátane spoločností a inštitúcií mimo EÚ, ktoré pôsobia na našom trhu. Nariadenie je platné pre firmy, inštitúcie, jednotlivcov – zamestnancov, zákazníkov, klientov ale aj dodávateľov naprieč všetkými odvetviami. Rovnako sa týka aj tých, ktorí analyzujú chovanie užívateľov webov a aplikácií (bankové inštitúcie a poisťovne, zdravotníctvo, verejná správa, e-shopy, výroba a služby).
V čom GDPR spočíva?
GDPR nahradí zákon o ochrane osobných údajov na Slovensku s cieľom ochrany digitálneho práva všetkých občanov. Hlavým bodom je upravený spôsob spracovávania osobných údajov. Pri porušeniach hrozia vysoké pokuty.
Najvýznamnejšie povinnosti:
- ustanovenie zodpovednej osoby,
- upravenie príslušnej dokumentácie podľa novej právnej úpravy,
- zmena súhlasu so spracovaním osobných údajov,
- likvidačné pokuty za porušenie povinnosti.
Kedy je potrebné stanoviť zodpovednú osobu:
- orgán verejnej moci a verejnoprávny subjekt,
- subjekty, ktorých hlavnou činnosťou sú spracovateľské operácie, ktoré si vyžadujú pravidelné monitorovanie osôb,
- subjekty, ktoré spracovávaj informácie, ktoré sa týkajú viny za trestné činy
Čo je osobný údaj podľa GDPR a nového zákona o ochrane osobných údajov?
Za osobný sa považuje taký údaj, na základe ktorého možno priamo alebo nepriamo identifikovať konkrétneho človeka. Niekedy k tomu stačí jediný údaj, napríklad rodné číslo, inokedy skupina údajov, ktoré by sami o sebe neboli považované za osobné.
Vysvetlenie: Zatiaľ čo meno a priezvisko, napr. Ján Novák, nie je možné priradiť ku konkrétnej osobe (takéto meno má totiž veľa ľudí, ibaže by išlo o malú obec s jediným Jánom Novákom), meno a priezvisko v spojení s fotografiou alebo s adresou, na ktorej daná osoba býva, už dokážu identifikovať konkrétneho človeka a sú preto spoločne považované za osobné údaje.
Ak teda podnikateľ spracúva údaje, ktoré nie sú osobné, povinnosťami vyplývajúcimi z GDPR a zo zákona o ochrane osobných údajov sa nebude musieť zaoberať. Ak ale osobné údaje spracúva (zhromažďuje, zverejňuje, vyhodnocuje a pod.), či už sú to osobné údaje zamestnancov alebo zákazníkov, problematike osobných údajov by mal venovať zvýšenú pozornosť, aspoň v nižšie spomínaných situáciách.
- Používanie osobných údajov zamestnancov na iné než zákonom stanovené účely – firemné prezentácie, fotky na sociálnych sieťach, webe podľa GDPR
Každý podnikateľ, ktorý zamestnáva čo i len jedného zamestnanca, spracúva tiež jeho osobné údaje, najčastejšie pri plnení zákonom stanovených povinností, napríklad pri prihlasovaní zamestnanca do zdravotnej a sociálnej poisťovne. Podnikateľ k tomu nepotrebuje žiaden osobitný súhlas zamestnanca a nemusí si voči nemu plniť špeciálne povinnosti.
Ak ale podnikateľ spracúva osobné údaje zamestnancov na iné než zákonom stanovené účely, napríklad pri zobrazovaní fotografie alebo osobného telefónneho čísla zamestnanca na webovej stránke alebo vo firemných prezentáciách, potrebuje k tomu osobitný súhlas.
Aby bol takýto súhlas platný, musí byť hlavne dostatočne jasný a konkrétny, slobodný (nesmie byť zahrnutý do pracovnej zmluvy bez samostatného zaškrtávacieho políčka alebo podpisu) a informovaný (okrem informácie o tom, na aké účely budú osobné údaje zamestnanca použité, musí obsahovať tiež informácie o jeho právach, napr. o práve takýto súhlas kedykoľvek odvolať).
- Vplyv GDPR a nového zákona o ochrane osobných údajov na vedenie databázy zákazníkov na účely zasielania reklamných správ – katalógov, SMS či newsletteru
Mnohí podnikatelia svojim zákazníkom zasielajú katalógy, reklamné SMS alebo newsletter. Keďže kontaktné údaje zákazníkov (prípadne potenciálnych zákazníkov prihlásených k odberu noviniek) sú považované za osobné, pričom podnikateľ tieto údaje používa na iné účely než za účelom dodania objednaného tovaru či služby, k ich spracúvaniu potrebuje výslovný súhlas adresáta reklamných správ.
Ako už bolo uvedené vyššie, jednou z náležitostí platného súhlasu je, že tento súhlas je vyjadrený slobodne.
Ak teda podnikateľ získava napríklad emailové adresy za pomoci vopred zaškrtnutého check-boxu v eshope, prípadne na základe súhlasu, ktorý je neoddeliteľnou súčasťou zmluvy alebo VOP, súhlas so spracovaním takto získaných emailových adries bude neplatný.
Neplatný bude taktiež nedostatočne informovaný súhlas (bez bližšieho vysvetlenia práv zákazníka, napr. aktívnym odkazom na podmienky ochrany osobných údajov) alebo nejednoznačný súhlas vyjadrený holou vetou „súhlasím so spracovaním osobných údajov“.
Ak podnikateľ spracúva kontaktné údaje zákazníkov na marketingové účely na základe neplatného súhlasu, riskuje tým uloženie pokuty až do výšky 20.000.000 EUR.
Aby toho nebolo málo, podnikateľovi hrozí rovnaké riziko aj pri súhlasoch získaných v minulosti – pred účinnosťou GDPR.
Keďže podnikateľ by mal byť schopný kedykoľvek preukázať, že každý z kontaktov nachádzajúcich sa v jeho marketingovej databáze bol získaný platne, mal by prijať minimálne nasledovné opatrenia:
- Vymazať kontakty, ktoré boli do databázy zaradené bez samostatného súhlasu – napr. len na základe zaslania objednávky. Prípadne získať nový súhlas.
- Overiť, či súhlas získaný v minulosti spĺňa všetky povinné náležitosti, ktoré by mal spĺňať podľa GDRP a nového zákona o ochrane osobných údajov.
- Skontrolovať nastavenie zaškrtávacích políčok na webe, formuláre a dokumenty obsahujúce súhlas so spracovaním osobných údajov.
- Skontrolovať, či VOP a/alebo podmienky ochrany osobných údajov odkazujú na aktuálnu legislatívu (t.j. od 25.5.2018 nie na zákon č. 122/2013, ale na zákon č. 18/2018 a GDPR) a či obsahujú všetky povinné informácie.
- Pri elektronicky získavaných kontaktoch začať používať metódu double-opt-in – najskôr zákazníkovi zaslať email pre overenie, že kontaktné údaje zadal on sám a do marketingovej databázy ho zaradiť až po kliknutí na aktivačný odkaz umiestnený v tomto emaily.
- Odovzdávanie osobných údajov tretím stranám alebo spracúvanie údajov pre tretie strany – prenosy údajov podľa GDRP
Podnikateľ môže pri spracúvaní osobných údajov vystupovať buď v roli tzv. prevádzkovateľa, kedy osobné údaje spracúva sám pre seba, alebo v roli tzv. sprostredkovateľa, kedy osobné údaje spracúva pre niekoho iného napr. účtovník pri vedení personálnej a mzdovej agendy.
Ak teda podnikateľ spracúva osobné údaje pre niekoho iného alebo ak spracúvaním osobných údajov zamestnancov či zákazníkov poveril ďalšiu osobu, potom by medzi týmito osobami mala byť uzavretá špeciálna zmluva o spracúvaní osobných údajov.
Príkladom, kedy dochádza k odovzdávaniu osobných údajov medzi prevádzkovateľom a sprostredkovateľom (kedy je potrebná zmluva o spracúvaní osobných údajov), môže byť spolupráca s externým poskytovateľom:
- účtovných služieb,
- právnych služieb,
- služieb personálnych agentúr pri sprostredkúvaní zamestnania,
- webhostingových služieb a iných IT riešení, pri ktorých má poskytovateľ prístup k osobným údajom (napr. mailchimp),
- reklamných služieb,
- telemarketingových služieb,
- rôznych iných druhov sprostredkovateľských služieb (cestovné, poisťovacie a iné agentúry).
- Pravidelné spracúvanie osobných údajov alebo spracúvaní osobných údajov osobitných kategórií
Ak podnikateľ spracúva osobné údaje osobitných kategórií (napríklad informácie o zdravotnom stave) alebo spracúva osobné údaje pravidelne (napríklad eshop), musí viesť interné záznamy o spracovateľských činnostiach.
GDPR a zákon o ochrane osobných údajov pritom rozlišujú medzi záznamami prevádzkovateľa a záznamami sprostredkovateľa. Vypracovanie tohto dokumentu by mal preto podnikateľ radšej skonzultovať s odborníkom.
Ide o dokument, ktorý do istej miery nahrádza doterajšie bezpečnostné projekty, ktoré od 25.5.2018 nebudú regulované.
- GDPR a používanie kamerového systému s funkciou záznamu
Podnikatelia, ktorí majú vo svojich obchodoch, výrobných či kancelárskych priestoroch nainštalované kamery by mali spozornieť, pokiaľ je ich kamerový systém vybavený funkciou záznamu (videozáznam sa ukladá, nedochádza len k živému prenosu). V takejto situácii totiž dochádza k spracúvaniu osobných údajov zákazníkov, zamestnancov či návštevníkom, pri ktorom by mal podnikateľ aspoň:
- označiť priestor ako monitorovaný,
- zaistiť, aby nedochádzalo k monitorovaniu cudzích priestorov,
- mať vypracované vyššie spomínané záznamy o spracovateľských činnostiach,
- prijať vhodné technické a organizačné opatrenia na zabezpečenie videozáznamu.
Na záver
Vyššie uvedené príklady predstavujú len malú časť situácií, pri ktorých dochádza k spracúvaniu osobných údajov. Množstvo podnikateľov pri svojej činnosti vykonáva aj iné operácie s osobnými údajmi, ktoré vyžadujú špecifické technické nastavenie, vypracovanie alebo úpravu príslušnej dokumentácie a prijatie bezpečnostných opatrení, pri ktorých sa odporúča konzultácia s odborníkom. V praxi tak pôjde napríklad o:
- spracúvanie osobných údajov osôb mladších ako 16 rokov (v určitých prípadoch je potrebný rodičovský súhlas),
- využívanie niektorých analytických nástrojov fungujúcich na pozadí webovej stránky (aj cookies či nezamaskovaná IP adresa sú považované za osobné údaje),
- využívanie rôznych webových nástrojov tretích strán na účely emailingu, hodnotenia nákupov, helpdesku a i.),
- spracúvanie a analyzovanie údajov pre účely cielenia reklamy,
- zaznamenávanie telefónnych hovorov pri vedení zákazníckej linky alebo poskytovaní telemarketingových služieb,
- zber a nakladanie s osobnými údajmi o zdravotnom stave,
- využívanie biometrických dochádzkových systémov.
Ak potrebujete podrobnejšie vysvetlenie zmien, ktoré sa týkajú spracovávania osobných údajov, naštudujte si Nariadenie Európskeho parlamentu a rady (EÚ) 2016/ 679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa ruší smernica 95/46/ES.
Zdroj: www.podnikajte.sk, gdpr-slovensko.sk