Nariadenie GDPR – "ľudskou "rečou"
Môže sa zdať, že nariadenie GDPR je čosi zahalené rúškom tajomstva, akýsi strašiak, o ktorom každý počul, ale nikto celkom presne nevie, či sa ho to týka a ak áno, čo potom robiť. Môžete ušetriť peniaze, ak si to vypracujete sami, nemusí byť nevyhnutné podstúpiť audit a platiť agentúry.
Pre všetkých podnikateľov, ktorí obchodujú vo veľkom, ako aj pre stredné a väčšie podniky tento článok napísaný nie je. Tých čakajú povinnosti väčšieho rozsahu (samozrejme moje odporúčania sa im zídu tiež). Tento článok je pre Vás – pre živnostníkov a drobných podnikateľov (čo do počtu zamestnancov a zákazníkov). Zvlášť venujte pozornosť tomu tí, ktorí obchodujú cez e-shop alebo používajú rôzne e-mail nástroje na odosielanie mailov a pod.
Takže čo nariadenie GDPR je a čo to pre Vás znamená?
Čo sú to osobné údaje?
Osobné údaje sú údaje o fyzickej osobe - čiže každej osobe ako takej. Sú to také údaje, ktoré jednoznačne identifikujú konkrétnu osobu. Medzi bežné osobné údaje patrí: titul, meno, priezvisko, dátum narodenia, číslo občianskeho preukazu, fotografia, atď. Alebo telefónne číslo na súkromný mobil. Alebo e-mail konkrétnej osoby (čiže mail typu priezvisko@doména.sk, nie anonymného typu 12345@doména.sk). Zákon hovorí aj o tom, že sem patria údaje, ktoré identifikujú človeka aj nepriamo - čiže napr. také údaje, podľa ktorých by sa dalo zistiť, o akú osobu sa jedná - napr. ak je niekto verejne známy pod svojou prezývkou (napr. Sajfa z rádia Expres), alebo popis nejakej osoby, špeciálny identifikátor, lokalizačné údaje, pevná IP adresa, údaje cookies. Pochopili ste správne, že kombinácia nepriamych identifikačných údajov potom umožňuje poskytnúť dostatok informácii na to, aby sa podľa nej dal vytvoriť profil osoby a teda jednoznačne identifikovať nejakú osobu.Čo osobné údaje nie sú?
Osobné údaje nie sú údaje o podnikateľskom subjekte - čiže fakturačné údaje živnostníka, firmy, údaje verejnej, či súkromnej organizácie, všeobecné e-mailové adresy, čísla firemných mobilov a pevných liniek.Kedy nariadenie GDPR začne platiť?
Musím si dať urobiť audit, bezpečnostný projekt, certifikát?
Ako sa ma týka nariadenie GDPR?
Variant A - Som živnostník a k osobným údajom okrem mňa nemá nikto prístup
Variant B - K osobným údajom má prístup viac osôb
Variant C - Osobné údaje poskytujete inej osobe (správcovi)
Vysvetlenie oficiálnych pojmov nariadenia GDPR
- Dotknutá osoba = každá osoba, ktorej sa osobné údaje týkajú. Touto osobou sa myslí fyzická osoba (čiže aj podnikateľ a živnostník ale ako fyzická osoba, nie ako podnikateľský subjekt).
- Informačný systém = pod týmto pojmom rozumejte aj obyčajný súbor v Exceli, v ktorom si ukladáte osobné údaje. Samozrejme sem spadajú všetky elektronické systémy, či už sú uložené vo vašom počítači alebo využívané on-line.
- Oprávnená osoba = každá konkrétna fyzická osoba, ktorá prichádza do kontaktu s osobnými údajmi a má takéto poverenie od prevádzkovateľa (čiže napríklad každý zamestnanec, ktorý túto prácu vykonáva v rámci svojich pracovných povinností). Vášho zamestnanca teda poučíte o tom, ako treba nakladať s osobnými údajmi a spíšete záznam o tomto poučení, ktorý obaja podpíšete.
- Prevádzkovateľ = podnikateľ alebo živnostník.
- Sprostredkovateľ = je to každý, kto spracúva osobné údaje v mene prevádzkovateľa (čiže sa tým myslí nielen osoba, ale aj iný podnikateľský subjekt – napr. iná firma, ktorá vám spravuje údaje, vaša externá účtovníčka alebo povedzme správca nejakého on-line systému). Takáto osoba alebo firma musí mať s prevádzkovateľom (Vami) uzatvorenú Sprostredkovateľskú zmluvu. Vašou povinnosťou zo Zákona je najať si iba takého sprostredkovateľa, ktorý je schopný zabezpečiť dostatočné záruky, aby osobné údaje boli spracúvané v súlade so Zákonom.
- Subdodávateľ (sprostredkovateľ sprostredkovateľa) = niekto ďalší, kto spracúva osobné údaje pre sprostredkovateľa (čiže pre toho, koho ste si najali vy). Ak nejaký sprostredkovateľ nevykonáva pre vás spracovanie osobných údajov sám, ale na túto činnosť si najíma niekoho ďalšieho, tak potom vám nedokáže zaručiť bezpečnosť, pamätajte na to pri uzatváraní Sprostredkovateľskej zmluvy.
- Tretia strana = fyzická alebo právnická osoba, agentúra, a pod. či, že ktokoľvek, kto na základe poverenia od prevádzkovateľa (čiže od vás) spracúva osobné údaje. Znamená to, že tretia strany to robí pre vás ako službu, ale pod vlastnou hlavičkou, čiže nie vo vašom mene. Príklad: Mailchimp - internetový nástroj Americkej firmy, ktorá vám umožňuje viesť si databázu osôb, ktorým môžete posielať maily. Alebo Facebook, atď. Takáto firma, teda vykonáva on-line služby samostatne v rámci svojej podnikateľskej činnosti (čiže nie pod vašim menom).
Čo všetko teda musím urobiť?
- Zmapovať tok osobných údajov (premyslieť si a s písať čo robím s osobnými údajmi, kam ich evidujem) a špecifikovať aké osobné údaje zbieram.
- Viesť si záznamy o spracovateľských činnostiach (čiže viesť o predchádzajúcom bode záznam).
- Splniť si informačnú povinnosť podľa č. 13 a 14 Nariadenia GDPR (tým sa myslí informovať všetkých svojich súčasných aj budúcich zákazníkov, návštevníkov webu a pod. o tom, ako a čo sa deje s osobnými údajmi a aké majú práva a možnosti títo zákazníci.
- Podpísať zmluvu so sprostredkovateľom (ak pre mňa osobné údaje spracúva externá firma).
- Podpísať so zamestnancami dodatok k zmluve - dohodu o mlčanlivosti (ak zamestnancov mám).
- Posúdiť, či môžem údaje poskytovať aj tretej strane a či tieto údaje idú do tretích krajín (napr. firme, ktorá sídli v Amerike).
- Určiť dobu uchovávania osobných údajov.
- Spísať "smernicu" - čiže nejaký dokument, kde budú popísané aké bezpečnostné opatrenia robím preto, aby osobné údaje neunikli.
- Podpísať s oprávnenými osobami poverenia na prístup k osobným údajom (zamestnancom, ktorí budú pre vás spracovanie osobných údajov vykonávať).
Kto má záujem o pomoc s vypracovaním potrebných dokumentov GDPR, môžete mi napísať a poradiť sa.
Odporúčam vyplniť dotazník, ktorý Vám pomôže si premyslieť ako spracúvate údaje - Dotazník GDPR nájdete TU
© Ing. Marian Baláž, 2018, Copyright – Všetky práva autora vyhradené! Kopírovanie obsahu je možné len s výslovným súhlasom autora!