Pravdepodobne ste už viacerí počuli o zmenách v ochrane osobných údajov, ktoré ovplyvnia všetkých,  čo spracúvajú osobné údaje fyzických osôb, čiže tieto údaje zbierajú, ukladajú na serveri, používajú pri dodaní tovarov a služieb, či na účely priameho marketingu. V poslednom čase sa články, pri ktorých spozornieme najmä kvôli výške pokuty pri porušení nového európskeho nariadenia GDPR, kopia. Keďže sumy, ktoré uvádzajú odborné portály, sú pre mnohých až likvidačné, naskakuje väčšine z nás husia koža.

Čo vlastne GDPR znamená?

 GDPR čiže General Data Protection Regulation je nariadenie o ochrane osobných údajov fyzických osôb. Účinnosť nadobudne 25. 05. 2018. Zámerom tejto zmeny je ochrana fyzických osôb, a to najmä pri použití nových technológií, napr. automatizovaného spracovania osobných údajov. V takomto prípade môže ísť o automatické emaily cieľovej skupine, zber osobných údajov za istý magnet zadarmo, napr. newsletter či ebook, tiež ich použitie s iným cieľom, zaškrtnutie jedného checkboxu, v ktorom je súhlas so spracovaním osobných údajov zároveň súhlasom s obchodnými podmienkami a pod.

 

Je nevyhnutné upozorniť na to, že už zákon o ochrane osobných údajov, ktorý platil doteraz (č. 122/2013 Z. z.) a bude nahradený novým (č. 18/2018 Z. z.) bol pomerne prísny. I keď prístup k bezpečnostným projektom a registráciám informačných systémov mal na Úrade na ochranu osobných údajov málokto a tieto povinnosti budú teraz vypustené, GDPR prinesú nové administratívne povinnosti.

Ako to vyzerá v praxi?

Nové nariadenie sa vás týka v prípade, že spracovávate osobné údaje fyzických osôb úplne, príp. čiastočne automatizovanými prostriedkami, ale aj manuálne, i keď takto sú spracovávané údaje určené stať sa súčasťou informačného systému. V tomto prípade sa stávate tzv. prevádzkovateľom pre účely GDPR, čiže máte hlavnú zodpovednosť za korektné spracovanie osobných údajov. Toto platí aj v prípade, že máte uzatvorené zmluvy s ďalšími tzv. sprostredkovateľmi. Môže ísť o účtovníka, poskytovateľa email marketingu či cloudových služieb atď.

Pozor: Dôležité je, že sa vaše servery aj servery sprostredkovateľov nachádzajú v EÚ. Proces spôsobu spracovania osobných údajov je oveľa náročnejší v prípade, že sú servery umiestnené mimo EÚ. Nariadenie sa vás ako prevádzkovateľa v EÚ týka, i keď spracovanie vykonávate mimo únie.

Čo osobné údaje zahŕňajú?

Osobný údaj fyzickej osoby v sebe zahŕňa všetko, čo môže danú osobu identifikovať. Ide o:

  1. Meno a priezvisko (i keď samé osebe nemusia byť identifikátorom, keďže fyzických osôb s rovnakým menom môže byť na Slovensku viac),
  2. dátum narodenia alebo IČO;
  3. telefónne číslo, fotografiu, číslo bankového účtu (napr. pri S.R.O. toto nie je osobný údaj), adresu trvalého pobytu v spojení s menom a priezviskom, emailovú adresu (a to aj všeobecnú, ak sa pri odoslaní emailu z nej osoba podpíše), často je to aj IP adresa či webové logy, ktoré sú záznamom o správaní sa osoby na internete;
  4. informácie o pohlaví, veku či sexuálnej orientácii, ale aj zdravotné údaje (i keď v tomto prípade ide o výrazne citlivé informácie).

Máme pre vás aspoň jednu pozitívnu správu, a to že tzv. E-privacy nariadenie, ktoré sa týka úpravy cookies politiky nadobudne svoju účinnosť najskôr v roku 2020. Ak teda máte na stránke banner s tlačidlom „súhlasiť s použitím cookies“, je to stále v poriadku.

Aké z toho vyplývajú povinnosti?

Prevádzkovateľ má podľa GDPR povinnosť spracúvať osobné údaje nasledovne:

 

  1. V súlade so zákonom, spravodlivo a transparentne. Je nutné, aby ste kedykoľvek mohli preukázať súlad s GDPR aj so zákonom, mať doklady o súhlasoch, forma súhlasu double opt-in atď.
  2. Iba na konkrétny, jednoznačne vymedzený a oprávnený účel. Napr. v prípade, že sú údaje poskytnuté na účel objednávky, nie je možné ich použiť na marketingové účely.
  3. V rozsahu, ktorý je primeraný a obmedzený na daný účel. V niektorých prípadoch stačí napr. len klientov email, v iných je nevyhnutné poznať aj jeho meno a priezvisko.
  4. V správnom a presnom znení. Je potrebná aktualizácia a okamžité vymazanie nesprávnych osobných údajov.
  5. Osobné údaje uchovávať len na dobu, ktorá je potrebná na daný účel. Napr. na marketingové účely je to doba 3-5 rokov, doba neurčitá nie je akceptovateľná.
  6. Je nevyhnutné zaručiť dostatočnú bezpečnosť údajov pomocou hesiel a šifrovania. Tu je zahrnutá aj povinnosť oznámiť úradu prípadné porušenie ochrany osobných údajov, a to do 72 hodín od jeho zistenia.

Je nevyhnutné, aby klient, čiže fyzická osoba, vedel už pri vytváraní objednávky, aké údaje sú od neho požadované, na aký účel, čo si nájde v emailovej schránke, ako dlho budú jeho údaje uchovávané a spracovávané a hlavne aké sú jeho práva.

 Pre začiatok by bolo fajn, keby ste si prešli svoje databázy a zamysleli sa, ktoré osobné údaje od klientov potrebujete, na aký účel ich používate a tiež na ako dlho tieto údaje potrebujete. Je nevyhnutné skontrolovať, či údaje potrebujete kvôli plneniu zmluvy, alebo to, či vám dané údaje poskytuje úplne cudzia osoba alebo už existujúci zákazník.

Zdielajte!

V prípade, záujmu o naše služby stačí vyplniť kontaktný formulár

Na Vaše dotazy odpovieme IHNEĎ a so všetkým Vám radi pomôžeme.