Na úvod vás oboznamujeme, že všeobecné ustanovenia týkajúce sa ochrany osobných údajov vstúpia do platnosti 25. Mája 2018. Aby bolo jasné, GDPR sa bude dotýkať každej inštitúcie či podnikateľského subjektu, ktorý akýmkoľvek spôsobom spracúva alebo zbiera osobné údaje fyzických osôb. V akých situáciách sa vás nariadenie GDPR dotýka?
Pozor na predčasné potvrdenie o zbere osobných údajov
Ak prevádzkujete internetový e-shop či webový portál, kde od nich vyžadujete súhlas so spracovaním osobných údajov. Je nevyhnutné, aby súhlas vyjadril samotný klient. Napríklad konkrétne políčko nesmie byť označené automaticky. Ide o to, aby bol súhlas konkrétny a slobodný.
V prípade, že uzavretá zmluva alebo obchodné podmienky akéhokoľvek podnikateľského subjektu obsahujú súhlas pre spracovanie osobných údajov pre marketingové účely, takýto súhlas je neplatný. Súhlas totiž nebol konkrétny a bol neslobodný. Zaškrtnutie obchodných podmienok pri uzatváraní zmluvy teda nesmie znamenať, že osoba súhlasí so spracovaním osobných údajov. Súčasťou totiž zvyčajne býva aj zasielanie reklamných ponúk na e-mail. Zákazník však musí slobodne vyjadriť, či s takýmto niečím súhlasí.
Podnikateľský subjekt musí byť schopný za každých okolností preukázať, že osobou mu bol súhlas na spracovanie osobných údajov naozaj udelený. Odporúčané je používanie tzv. double opt-in nástrojov, ktoré umožňujú zaslanie overujúceho mailu o spracovaní osobných údajov, ktorý potvrdí samotná osoba. Pri nedokázaní tejto skutočnosti hrozí sankčný trest.
Údaje tzv. cookies sú podľa GDPR považované za osobné údaje. Preto k ich spracovaniu nesmie prísť skôr, ako to nepotvrdí samotný návštevník webu. Prevádzkovateľ webu je teda povinný urobiť opatrenia, aby súbory cookies boli zbierané až potom, čo to potvrdí samotná osoba.
Prevádzkovateľ každého webu musí vynaložiť maximálne úsilie, aby si overil, že pri zbieraní osobných údajov u maloletej osoby vyjadril súhlas i zákonný zástupca. Overenie veku návštevníka je prakticky nemožné, preto by okrem súhlasu so spracovaním osobných údajov malo pribudnúť potvrdenie o tom, že ak má osoba menej ako 16 rokov, zákonný zástupca povolil súhlas so samotným spracovaním osobných údajov.
Pri vedení databázy používateľov vášho webu či platenej/neplatenej aplikácie je možné, že užívateľ vás požiada o poskytnutie osobných údajov inému webu. Vyhovieť takejto žiadosti ste povinný, ak:
Ak boli tieto podmienky dodržané, prevádzkovateľ je povinný takéto údaje poskytnúť bezplatne a v metadátach. To znamená vo formáte XML, CSV alebo iná forma metadát.
Povinnosťou určitých podnikateľských subjektov bude viesť si evidenciu o spracúvaní osobných údajov. Túto povinnosť bude mať každý zamestnávateľ, ktorý zamestnáva aspoň 250 zamestnancov. Takisto podnikateľské subjekty, ktoré pracujú s údajmi o zdravotnom stave. Výnimkou nebudú ani e-shopy alebo prevádzkovatelia kamerového systému so záznamom (aplikácie).
Podnikatelia zrejme budú podnietení k tomu, aby takúto osobu vo svojej firme zamestnali. V praxi je totiž pre bežného podnikateľa pomerne náročné zorientovať sa v rámci možných prípadov GDPR, ktoré môžu nastať. Osobné údaje rôzneho druhu sú spracúvané veľmi rozsiahle. Z tohto vyplýva, že pri veľkom rozsahu povinnosť ustanoviť zodpovednú osobu je nevyhnutná.
Pred samotným procesom spracovania osobných údajov je prevádzkovateľ povinný vypracovať analýzu vplyvov v prípade, že:
Zavedenie a predovšetkým správne zavedenie GDPR do praxe si vyžaduje určitý čas a preto je nutné minimálne sa so všetkými zmenami oboznámiť včas. V takom prípade si dokážete určiť, čo presne je nutné doplniť, zmeniť, prípadne prestať vykonávať. Po 25. máji sa po porušení totiž môžete dočkať vysokej pokuty až do výšky 20 miliónov eur alebo až do výšky 4% celkového ročného obratu.