Na úvod vás oboznamujeme, že všeobecné ustanovenia týkajúce sa ochrany osobných údajov vstúpia do platnosti 25. Mája 2018. Aby bolo jasné, GDPR sa bude dotýkať každej inštitúcie či podnikateľského subjektu, ktorý akýmkoľvek spôsobom spracúva alebo zbiera osobné údaje fyzických osôb. V akých situáciách sa vás nariadenie GDPR dotýka?
Pozor na predčasné potvrdenie o zbere osobných údajov
Ak prevádzkujete internetový e-shop či webový portál, kde od nich vyžadujete súhlas so spracovaním osobných údajov. Je nevyhnutné, aby súhlas vyjadril samotný klient. Napríklad konkrétne políčko nesmie byť označené automaticky. Ide o to, aby bol súhlas konkrétny a slobodný.
Spracovanie osobných údajov v rámci obchodných podmienok je neplatné
V prípade, že uzavretá zmluva alebo obchodné podmienky akéhokoľvek podnikateľského subjektu obsahujú súhlas pre spracovanie osobných údajov pre marketingové účely, takýto súhlas je neplatný. Súhlas totiž nebol konkrétny a bol neslobodný. Zaškrtnutie obchodných podmienok pri uzatváraní zmluvy teda nesmie znamenať, že osoba súhlasí so spracovaním osobných údajov. Súčasťou totiž zvyčajne býva aj zasielanie reklamných ponúk na e-mail. Zákazník však musí slobodne vyjadriť, či s takýmto niečím súhlasí.
Preukázateľnosť udelenia súhlasu so spracovaným osobných údajov
Podnikateľský subjekt musí byť schopný za každých okolností preukázať, že osobou mu bol súhlas na spracovanie osobných údajov naozaj udelený. Odporúčané je používanie tzv. double opt-in nástrojov, ktoré umožňujú zaslanie overujúceho mailu o spracovaní osobných údajov, ktorý potvrdí samotná osoba. Pri nedokázaní tejto skutočnosti hrozí sankčný trest.
Cookies iba so súhlasom
Údaje tzv. cookies sú podľa GDPR považované za osobné údaje. Preto k ich spracovaniu nesmie prísť skôr, ako to nepotvrdí samotný návštevník webu. Prevádzkovateľ webu je teda povinný urobiť opatrenia, aby súbory cookies boli zbierané až potom, čo to potvrdí samotná osoba.
Súhlas maloletých iba so súhlasom zákonného zástupcu
Prevádzkovateľ každého webu musí vynaložiť maximálne úsilie, aby si overil, že pri zbieraní osobných údajov u maloletej osoby vyjadril súhlas i zákonný zástupca. Overenie veku návštevníka je prakticky nemožné, preto by okrem súhlasu so spracovaním osobných údajov malo pribudnúť potvrdenie o tom, že ak má osoba menej ako 16 rokov, zákonný zástupca povolil súhlas so samotným spracovaním osobných údajov.
Prenos osobných údajov ku konkurencii
Pri vedení databázy používateľov vášho webu či platenej/neplatenej aplikácie je možné, že užívateľ vás požiada o poskytnutie osobných údajov inému webu. Vyhovieť takejto žiadosti ste povinný, ak:
- Správcovi webu boli poskytnuté osobné údaje samotným používateľom.
- Osoba odsúhlasila spracovanie osobných údajov v rámci zmluvy.
- Spracovanie údajov bolo automatizované. (registrácia…)
Ak boli tieto podmienky dodržané, prevádzkovateľ je povinný takéto údaje poskytnúť bezplatne a v metadátach. To znamená vo formáte XML, CSV alebo iná forma metadát.
Záznamy o spracovaní osobných údajov
Povinnosťou určitých podnikateľských subjektov bude viesť si evidenciu o spracúvaní osobných údajov. Túto povinnosť bude mať každý zamestnávateľ, ktorý zamestnáva aspoň 250 zamestnancov. Takisto podnikateľské subjekty, ktoré pracujú s údajmi o zdravotnom stave. Výnimkou nebudú ani e-shopy alebo prevádzkovatelia kamerového systému so záznamom (aplikácie).
Evidencia si vyžiada vo firme zodpovednú osobu
Podnikatelia zrejme budú podnietení k tomu, aby takúto osobu vo svojej firme zamestnali. V praxi je totiž pre bežného podnikateľa pomerne náročné zorientovať sa v rámci možných prípadov GDPR, ktoré môžu nastať. Osobné údaje rôzneho druhu sú spracúvané veľmi rozsiahle. Z tohto vyplýva, že pri veľkom rozsahu povinnosť ustanoviť zodpovednú osobu je nevyhnutná.
DPIA – Analýza pre ochranu osobných údajov
Pred samotným procesom spracovania osobných údajov je prevádzkovateľ povinný vypracovať analýzu vplyvov v prípade, že:
- Spracovanie môže znamenať vysoké riziko pre práva sa slobody dotknutých osôb
- Dozorný orgán označí spracovanie za rizikové
- Ide o definíciu samotného nariadenia v čl. 35 ods. 3 GDPR
Ako sa pripraviť na GDPR?
- Zanalyzovať nastavenie a dôvod spracovania osobných údajov a o aký druh osobných údajov ide.
- Porovnať súčasné nastavenie spracúvania osobných údajov s nariadením GDPR
- Určiť si harmonogram pre vykonanie zmien.
- Samotné zavedenie do praxe. Implementácia nariadení, správne vedenie dokumentov a zaistenie nutných služieb pre spracovanie osobných údajov.
Zavedenie a predovšetkým správne zavedenie GDPR do praxe si vyžaduje určitý čas a preto je nutné minimálne sa so všetkými zmenami oboznámiť včas. V takom prípade si dokážete určiť, čo presne je nutné doplniť, zmeniť, prípadne prestať vykonávať. Po 25. máji sa po porušení totiž môžete dočkať vysokej pokuty až do výšky 20 miliónov eur alebo až do výšky 4% celkového ročného obratu.