Dozviete sa to najdôležitejšie z pohľadu GDPR – na koho sa vzťahuje, kedy a ako môžete osobné údaje spracúvať, aké sú vaše základné povinnosti a tiež, čo robiť s cookies.
Pri zbieraní a spracúvaní osobných údajov zbystrite pozornosť, pretože pravdepodobne potrebujete splniť množstvo zákonných požiadaviek. Od spísania právnych dokumentov, až po zabezpečenie technickej bezpečnosti spracúvania v digitálnom svete, ako aj v tom fyzickom.
Okrem národných zákonov, existuje na úrovni EÚ aj známe nariadenie GDPR. GDPR sa považuje za jedno z najprísnejších predpisov, i keď silná ochrana je aj napr. v Kalifornii – pozri náš blog GDPR vs. CCPA k rozdielom.
GDPR sa vás týka vždy, ak:
- máte prevádzku v EÚ a v súvislosti s jej činnosťou spracúvate dáta (napr. ak osobné údaje uchovávate v cloude, pričom dátové centrá sú umiestnené mimo EÚ), a ak
- máte prevádzku kdekoľvek a spracúvate osobné údaje osôb, ktoré sa v EÚ nachádzajú (nemusia byť občania EÚ) a:
- spracúvanie súvisí s ponukou tovaru alebo služieb týmto osobám v EÚ (napr. ak má americká spoločnosť e-shop aspoň v jednom jazyku krajiny v EÚ a dodáva tovar osobám v EÚ), alebo
- súvisia so sledovaním ich správania, pokiaľ ide o ich správanie na území EÚ (napr. ak cez cookies monitorujete a profilujete EÚ používateľa vašej web stránky, aby ste vedeli, s akou reklamou ho neskôr osloviť).
Za nedodržanie GDPR môžu byť uložené astronomické pokuty až do výšky 20M EUR alebo 4% celkového svetového obratu. Pre menšie podniky sú však typické najskôr napomenutia a potom pokuty na úrovni spodných sadzieb. Na Slovensku bolo v tejto súvislosti udelených do 100 pokút s priemernou výškou cca. 3.700 EUR. Pokiaľ ide o množstvo pokút, v Česku je situácia podobná, pričom najvyššia uložená pokuta bola okolo 10.000 EUR (250.000 CZK).
1. Právny základ spracúvania osobných údajov
Osobné údaje môžu byť spracúvané, iba ak na takéto spracúvanie existuje tzv. právny základ. Príklady právnych základov sú:
- Súhlas dotknutej osoby – Súhlas by mal byť formulovaný jednoznačne, získaný oddelene (napr. aktívnym zakliknutím opt-in políčka (vopred nevyplneného), pri ktorom bude uvedené len znenie súhlasu, žiadny iný nesúvisiaci text) a v jednom súhlase by mal byť spomenutý najviac jeden účel spracúvania.
Príklad súhlasu:
- Plnenie zo zmluvy – Ak je spracúvanie nevyhnutné na plnenie zmluvy s vašim zákazníkom (napr. spracúvate osobné údaje zákazníkov vášho e-shopu, ktoré vyplnili za účelom dodania tovaru, ktorý im máte doručiť podľa vašich všeobecných obchodných podmienok) súhlas sa nevyžaduje, nakoľko plnenie zmluvných povinností sa považuje za samostatný právny základ.
- Plnenie zákonnej povinnosti – Súhlas sa nevyžaduje ani v prípade, ak si plníte zákonnú povinnosť (napr. prihlasujete zamestnancov na sociálnu a zdravotnú poisťovňu).
2. Ako sa môžu osobné údaje spracúvať?
- Na konkrétny a výslovne uvedený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom (napr. email zákazníka získaný na účel komunikácie s cieľom dodania tovaru sa nesmie bez osobitného ďalšieho súhlasu využívať na marketing).
- V rozsahu nevyhnutnom na dosiahnutie účelu, na ktoré sa zbierajú (napr. pre aplikáciu, ktorej účelom je poskytnúť len komunikačnú platformu, nie je nevyhnutný zber dát týkajúcich sa zdravia, preto by sa nemali zbierať).
- Dovtedy, kým je to potrebné na účely, na ktoré sa spracúvajú (napr. osobné údaje neúspešného uchádzača o zamestnanie získané za účelom obsadenia konkrétnej pracovnej pozície by sa nemali spracúvať po tom, ako sa výberové konanie skončí).
- Spôsobom, ktorý zaručuje ich primeranú bezpečnosť.
3. Vaše hlavné povinnosti podľa GDPR
- Vypracovať zásady spracúvania osobných údajov (Privacy Policy) – informačný materiál (často zverejnený na webe), ktorý dotknutú osobu zrozumiteľne informuje o všetkom dôležitom, t. j. aké dáta sa spracúvajú, na aký účel, na ako dlho, komu sa poskytujú, aké práva má dotknutá osoba, atď.
- Prijať technické a organizačné opatrenia s cieľom zabezpečiť bezpečnosť spracúvania osobných údajov (napr. šifrovanie firemných počítačov, pseudonymizácia údajov, pravidlá manipulácie s fyzickými nosičmi údajov, politika čistého stola a pod.) – mal by existovať aj interný materiál, ktorý tieto opatrenia popisuje.
- Vyplniť vzorový záznam o spracovateľských činnostiach zverejnený slovenským Úradom na ochranu osobných údajov TU alebo českým TU, v ktorom zachytíte tie najdôležitejšie informácie o toku všetkých osobných údajov, ktoré sa spracúvajú.
- Ak majú k zozbieraným osobným údajom prístup a oprávnenia interné osoby, je potrebné vypracovať poverenia s inštrukciami, ako dáta spracúvať a ak externé osoby, tzv. sprostredkovatelia (napr. vaši účtovníci, majitelia cloudov, na ktorých beží appka alebo platobných brán, ktoré máte implementované do webu), je potrebné uzatvorenie sprostredkovateľských zmlúv.
- V niektorých komplexnejších prípadoch spracúvania údajov (napr. ak sa cez aplikáciu sleduje poloha alebo zdravie užívateľa vo veľkom rozsahu) je tiež potrebné:
- určiť tzv. zodpovednú osobu, ktorá bude zabezpečovať zákonnosť spracúvania osobných údajov,
- posúdiť vplyv plánovaných spracovateľských operácií na ochranu osobných údajov, výsledkom čoho má byť písomný dokument, a
- predkonzultovať spracúvanie s kompetentným úradom.
Zodpovednou osobou (tzv. DPO – Data Protection Officer) môže byť fyzická alebo právnická osoba, interná alebo externá, pričom by malo ísť o osobu, ktorá má odborné znalosti ohľadom práva a postupov v oblasti ochrany osobných údajov (nemusí však ísť o právnika) a ideálne aj z oblasti IT a bezpečnosti. Online je možné vyhľadať množstvo firiem, ktoré poskytujú služby zodpovednej osoby.
4. Cookies
Netreba zabúdať na cookies, ktoré sú tiež považované za osobné údaje. Pravidlom je, že okrem cookies, ktoré sú nevyhnutné k tomu, aby aplikácia fungovala, nie je možné cookies používať bez toho, aby ich používateľ aktívne odsúhlasil. Týka sa to vlastných cookies aj cookies tretích strán (napr. google analytics). Ideálne je preto nastaviť cookies okno/banner, ktoré užívateľovi vyskočí hneď po navštívení webu resp. spustení aplikácie, kde bude mať užívateľ možnosť rozhodnúť sa, či si jednotlivé typy cookies rozdelené podľa účelov (marketingové, analytické, funkčné) zapne alebo nie (ideálne cez opt-in políčko). Ak tak neurobí, defaultne by mali ostať vypnuté.