GDPR (General Data Protection Regulation) – Nariadenie Európskeho parlamentu a Rady č. 2016/679
GDPR je momentálne veľkým strašiakom pre mnohé firmy a inštitúcie, ale správnymi opatreniami alebo zmenami sa dá predísť problémom či prípadným pokutám. Ochrana osobných údajov by mala byť pozitívnou zmenou aj pre koncových užívateľov (spotrebiteľov), lebo aj vďaka GDPR ich osobné údaje nemôžu byť ďalej zneužívané na nevyžiadané marketingové účely.
Nariadenie Európskeho parlamentu a Rady č. 2016/679 je priamo účinný právny predpis, t. j. k jeho efektívnosti ho netreba implementovať slovenskou právnou úpravou. Zaoberá sa ochranou osobných údajov a právom fyzickej osoby na kontrolu spracovania osobných údajov. Nariadenie bolo prijaté v apríli 2016 a účinnosť nadobudne 25. mája 2018 vo všetkých štátoch Európskej únie. GDPR je potrebné riešiť a týka sa každého, či už ide o podnikateľa alebo fyzickú osobu. Pokuty za jeho nedodržanie sa šplhajú až do výšky 20 000 000 €.
Prečo sa zavádza GDPR?
- Nariadenie nás chráni, aby nám nechodili spamové e-maily.
- Ochrana proti otravným telefonickým ponukám.
- Sledovanie údajov napr. v banke, telekomunikáciách – profilovanie/škálovanie klientov
Čo sú osobné údaje?
- meno
- adresa
- trvalé bydlisko
- doručovacia adresa
- pohlavie
- vek
- dátum narodenia
- miesto narodenia
- rodné číslo
- osobný stav
- zdravotné znevýhodnenie
- fotografický záznam (Ak chceme zverejniť niekoho na webe, resp. sa len mihne vo videu, pokiaľ sa nejedná o verejné priestranstvo, potrebujeme jeho súhlas.)
- telefónne číslo
- e-mailová adresa (info@ nie je súkromný údaj, priezvisko@ už ním je)
- IP adresa
- cookies
- identifikačné číslo
- DIČ
- číslo občianskeho preukazu
- číslo vodičského preukazu
- číslo cestovného pasu
- príjem v zamestnaní
- evidencia prístupov wifi
- členstvo v odboroch
- náboženské vierovyznanie
- sexuálna orientácia
To znamená všetko, čím môžeme osobu identifikovať.
Je potrebné sa zamyslieť, na ktorých všetkých citlivých miestach môžete mať uložené osobné údaje. Môžu sa nachádzať napr. v:
- zmluve o dielo
- dohode o vykonaní práce
- faktúre
- e-mail marketingových nástrojoch
- kontaktných údajoch v mobilnom telefóne
- e-maile
- Google Analytics
Medzi výnimky ochrany osobných údajov patria:
- mŕtvi ľudia
- údaje určené pre osobnú potrebu
- údaje právnických osôb
- údaje zo zákona
Čo z toho vyplýva a aké kroky je potrebné podniknúť?
Ako prvé by sme mali analyzovať, aké dáta zbierame (IP adresy, mená, telefónne čísla, adresy, …), ako s nimi pracujeme, na aké účely ich využívame (fakturácia, sledovanie, e-mailová komunikácia, …), kde ich uchovávame, kto s nimi pracuje a stará sa o ne.
Na základe tejto analýzy je potrebné si nastaviť vnútorné procesy:
- skontrolovať zmluvné podmienky, ustanovenia na web stránkach a databázach,
- uzavrieť zmluvy so svojimi spracovateľmi osobných údajov,
- sprístupniť databázy len oprávneným osobám (zamestnancom) a upraviť pracovné zmluvy,
- zveriť zjednodušenie vnútorných procesov IT odborníkovi,
- viesť údaje/archív o požiadavkách/uplatňovaní GDPR.
Musíme tiež myslieť na to, že nemôžeme podmieňovať v zmluvách spracovanie osobných údajov pre marketingové účely.
Každé podnikanie má svoje špecifiká a každá spoločnosť spracováva rôzne osobné údaje rozličným spôsobom. Interné procesy v oblasti spracovania osobných údajov si musí každá spoločnosť nastaviť sama.
Tento článok slúži na informovanie a zhŕňa problematiku GDPR. Žiadna informácia v tomto článku nie je právne záväzná. Nariadenie GDPR a jeho implementáciu odporúčame konzultovať s právnikmi a odborníkmi, ktorí sa dlhodobejšie zaoberajú ochranou osobných údajov.
Celú metodiku k GDPR a novému zákonu o ochrane osobných údajov si môžete prečítať tu.
Hlavné zmeny v právnej úprave ochrany osobných údajov si môžete preštudovať tu.
Video príhovor predsedníčky úradu Soni Pőtheovej k nastupujúcej legislatíve v oblasti ochrany osobných údajov si môžete pozrieť tu.
Photo Copyright: marcinmaslowski / 123RF Stock Photo
