Vitajte na mojom blogu!

Nájdete tu:

zaujímavosti z oblasti vedy a techniky skúsenosti z praxe a cenné rady

piatok 18. mája 2018

GDPR - čo to pre vás znamená?

  • mája 18, 2018
  • by

Nariadenie GDPR – "ľudskou "rečou"

V poslednom čase sa akosi „roztrhlo vrece“ s ponukami podnikavcov, ktorí vám za určitú (nie malú) sumu vypracujú dokumenty a dávajú falošný pocit, že "všetko vybavia za vás". Fakt je ten, že vás aj tak čakajú povinnosti, ktoré musíte urobiť sám a takáto firma vám iba za peniaze poskytne dokumenty. No ale ako teda si to zjednodušiť a pochopiť to zjednodušene?

Môže sa zdať, že nariadenie GDPR je čosi zahalené rúškom tajomstva, akýsi strašiak, o ktorom každý počul, ale nikto celkom presne nevie, či sa ho to týka a ak áno, čo potom robiť. Môžete ušetriť peniaze, ak si to vypracujete sami, nemusí byť nevyhnutné podstúpiť audit a platiť agentúry.
Pre všetkých podnikateľov, ktorí obchodujú vo veľkom, ako aj pre stredné a väčšie podniky tento článok napísaný nie je. Tých čakajú povinnosti väčšieho rozsahu (samozrejme moje odporúčania sa im zídu tiež). Tento článok je pre Vás – pre živnostníkov a drobných podnikateľov (čo do počtu zamestnancov a zákazníkov). Zvlášť venujte pozornosť tomu tí, ktorí obchodujú cez e-shop alebo používajú rôzne e-mail nástroje na odosielanie mailov a pod.

Takže čo nariadenie GDPR je a čo to pre Vás znamená? 

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov - GDPR - General Data Protection Regulation  a nový Zákon č.18/2018 Z.z., sa snaží pomôcť, aby sme ako podnikatelia začali uvažovať o tom, že osobné údaje nepatria k verejne dostupným údajom pre kohokoľvek na svete. Inými slovami nás chce donútiť vytvoriť také opatrenia, aby nedochádzalo k náhodnému úniku týchto údajov, či dokonca ich zneužitiu inými osobami. Je našou povinnosťou osobné informácie chrániť, aby neprenikli verejne do sveta internetu alebo do cudzích rúk v papierovej forme a prijať také opatrenia, aby tieto dáta nemohli byť zneužité.  

Čo sú to osobné údaje?

Osobné údaje sú údaje o fyzickej osobe - čiže každej osobe ako takej. Sú to také údaje, ktoré jednoznačne identifikujú konkrétnu osobu. Medzi bežné osobné údaje patrí: titul, meno, priezvisko, dátum narodenia, číslo občianskeho preukazu, fotografia, atď. Alebo telefónne číslo na súkromný mobil. Alebo e-mail konkrétnej osoby (čiže mail typu priezvisko@doména.sk, nie anonymného typu 12345@doména.sk). Zákon hovorí aj o tom, že sem patria údaje, ktoré identifikujú človeka aj nepriamo - čiže napr. také údaje, podľa ktorých by sa dalo zistiť, o akú osobu sa jedná - napr. ak je niekto verejne známy pod svojou prezývkou (napr. Sajfa z rádia Expres), alebo popis nejakej osoby, špeciálny identifikátor, lokalizačné údaje, pevná IP adresa, údaje cookies. Pochopili ste správne, že kombinácia nepriamych identifikačných údajov potom umožňuje poskytnúť dostatok informácii na to, aby sa podľa nej dal vytvoriť profil osoby a teda jednoznačne identifikovať nejakú osobu.

Čo osobné údaje nie sú?

Osobné údaje nie sú údaje o podnikateľskom subjekte - čiže fakturačné údaje živnostníka, firmy, údaje verejnej, či súkromnej organizácie, všeobecné e-mailové adresy, čísla firemných mobilov a pevných liniek.

Kedy nariadenie GDPR začne platiť?

Tieto opatrenia potrebujete mať zavedené do 25.mája 2018. Neplašte sa, všetky tie úpravy a povinnosti, ktoré s týmto súvisia, sa dajú stihnúť v priebehu pár dní aj pre tých, ktoré túto povinnosť nestihnú (hoci by mali). Predovšetkým potrebujete nejako začať. 

Musím si dať urobiť audit, bezpečnostný projekt, certifikát?

Nariadenie hovorí o tom, že povinnosť určiť zodpovednú osobu (ktorá bude vyškolená na nakladanie s osobnými údajmi a bude mať podpísanú zmluvu) bude potrebné poveriť v tej firme, kde sa spracúvajú údaje „vo veľkom rozsahu“. Znamená, že ak máte veľké množstvo zákazníkov (ktorých údaje spracúvate) bude potrebné mať niekoho, kto bude dbať na dodržiavanie bezpečnostných opatrení týkajúcich sa nakladania s osobnými údajmi. Týka sa to najmä štátnych inštitúcií a veľkých podnikov. Takže odpoveď na otázku vás asi poteší – ak ste sa v tomto opise nenašli,  takúto povinnosť nemáte.

Ako sa ma týka nariadenie GDPR?

Obyčajne každý podnikateľ a firma vedie nejakú evidenciu osobných údajov (zbiera údaje o zákazníkoch) či už v nejakom informačnom systéme spolu s účtovníctvom, databáze v počítači, nejakej databáze na internete (nejakom on-line systéme), mobile alebo jednoducho iba v Exceli. Vo svete internetu je úplne bežné, že si každý, kto podniká, zaznamenáva mailové adresy a telefónne čísla nielen zákazníkov (ktorí už nakupovali), ale aj potencionálnych zákazníkov (čiže tých, ktorí ešte nič nekúpili, ale vzbudili záujem o nákup, či budúcu spoluprácu). Ak používate nejaký systém (môžme ho spokojne nazvať informačný systém), potrebujete ho zaevidovať. Teraz si odpovedzte na otázku, koľko a ktoré osoby vo vašom podnikaní majú prístup k takýmto osobným údajom?

Variant A - Som živnostník a k osobným údajom okrem mňa nemá nikto prístup

Ak takéto údaje spracúvate sám, tak potom je vaša situácia pomerne jednoduchá. 

Variant B - K osobným údajom má prístup viac osôb

Ak máte na firme viac osôb, je logické, že minimálne jedna z nich osobné údaje nejako zhromažďuje a spracúva. Prípadne k takýmto osobným údajom má prístup viac osôb, je potrebné vyhotoviť určitú dokumentáciu, ale nebojte sa, nie je to nič tragické. Potrebujete napísať záznam o poučení - medzi vami (podnikateľom) a zamestnancami (osobami, ktoré k osobným údajom majú prístup). Ak si s tým neviete dať rady, viem vám pomôcť.

Variant C - Osobné údaje poskytujete inej osobe (správcovi)

Ak osobné údaje poskytujete tretej strane - čiže osobe, ktorá u mňa nie je zamestnaná alebo inému subjektu (firme, organizácii a pod.), ktorá sa mi stará o správu mojej web stránky (napr. eshopu) a tieto údaje táto cudzia osoba spracúva, používa pre štatistické účely, zasielanie mailov alebo inak používa tieto údaje (napríklad pre marketingové účely a podobne), potom budete potrebovať vyhotoviť zmluvu so sprostredkovateľom (túto cudziu osobu teda nazývame sprostredkovateľ).

Vysvetlenie oficiálnych pojmov nariadenia GDPR

V súvislosti s nariadením GDPR tu máme niekoľko pojmov, ktoré si záverom môžeme vysvetliť:
  1. Dotknutá osoba = každá osoba, ktorej sa osobné údaje týkajú. Touto osobou sa myslí fyzická osoba (čiže aj podnikateľ a živnostník ale ako fyzická osoba, nie ako podnikateľský subjekt). 
  2. Informačný systém = pod týmto pojmom rozumejte aj obyčajný súbor v Exceli, v ktorom si ukladáte osobné údaje. Samozrejme sem spadajú všetky elektronické systémy, či už sú uložené vo vašom počítači alebo využívané on-line. 
  3. Oprávnená osoba = každá konkrétna fyzická osoba, ktorá prichádza do kontaktu s osobnými údajmi a má takéto poverenie od prevádzkovateľa (čiže napríklad každý zamestnanec, ktorý túto prácu vykonáva v rámci svojich pracovných povinností). Vášho zamestnanca teda poučíte o tom, ako treba nakladať s osobnými údajmi a spíšete záznam o tomto poučení, ktorý obaja podpíšete. 
  4. Prevádzkovateľ = podnikateľ alebo živnostník.
  5. Sprostredkovateľ = je to každý, kto spracúva osobné údaje v mene prevádzkovateľa (čiže sa tým myslí nielen osoba, ale aj iný podnikateľský subjekt – napr. iná firma, ktorá vám spravuje údaje, vaša externá účtovníčka alebo povedzme správca nejakého on-line systému). Takáto osoba alebo firma musí mať s prevádzkovateľom (Vami) uzatvorenú Sprostredkovateľskú zmluvu. Vašou povinnosťou zo Zákona je najať si iba takého sprostredkovateľa, ktorý je schopný zabezpečiť dostatočné záruky, aby osobné údaje boli spracúvané v súlade so Zákonom.
  6. Subdodávateľ (sprostredkovateľ sprostredkovateľa) = niekto ďalší, kto spracúva osobné údaje pre sprostredkovateľa (čiže pre toho, koho ste si najali vy). Ak nejaký sprostredkovateľ nevykonáva pre vás spracovanie osobných údajov sám, ale na túto činnosť si najíma niekoho ďalšieho, tak potom vám nedokáže zaručiť bezpečnosť, pamätajte na to pri uzatváraní Sprostredkovateľskej zmluvy.
  7. Tretia strana = fyzická alebo právnická osoba, agentúra, a pod. či, že ktokoľvek, kto na základe poverenia od prevádzkovateľa (čiže od vás) spracúva osobné údaje. Znamená to, že tretia strany to robí pre vás ako službu, ale pod vlastnou hlavičkou, čiže nie vo vašom mene. Príklad: Mailchimp - internetový nástroj Americkej firmy, ktorá vám umožňuje viesť si databázu osôb, ktorým môžete posielať maily. Alebo Facebook, atď. Takáto firma, teda vykonáva on-line služby samostatne v rámci svojej podnikateľskej činnosti (čiže nie pod vašim menom).

Čo všetko teda musím urobiť?

  1. Zmapovať tok osobných údajov (premyslieť si a s písať čo robím s osobnými údajmi, kam ich evidujem) a špecifikovať aké osobné údaje zbieram.
  2. Viesť si záznamy o spracovateľských činnostiach (čiže viesť o predchádzajúcom bode záznam).
  3. Splniť si informačnú povinnosť podľa č. 13 a 14 Nariadenia GDPR (tým sa myslí informovať všetkých svojich súčasných aj budúcich zákazníkov, návštevníkov webu a pod. o tom, ako a čo sa deje s osobnými údajmi a aké majú práva a možnosti títo zákazníci.
  4. Podpísať zmluvu so sprostredkovateľom (ak pre mňa osobné údaje spracúva externá firma).
  5. Podpísať so zamestnancami dodatok k zmluve - dohodu o mlčanlivosti (ak zamestnancov mám).
  6. Posúdiť, či môžem údaje poskytovať aj tretej strane a či tieto údaje idú do tretích krajín (napr. firme, ktorá sídli v Amerike).
  7. Určiť dobu uchovávania osobných údajov.
  8. Spísať "smernicu" - čiže nejaký dokument, kde budú popísané aké bezpečnostné opatrenia robím preto, aby osobné údaje neunikli.
  9. Podpísať s oprávnenými osobami poverenia na prístup k osobným údajom (zamestnancom, ktorí budú pre vás spracovanie osobných údajov vykonávať).

Kto má záujem o pomoc s vypracovaním potrebných dokumentov GDPR, môžete mi napísať a poradiť sa.
Odporúčam vyplniť dotazník, ktorý Vám pomôže si premyslieť ako spracúvate údaje - Dotazník GDPR nájdete TU
V prípade, že vám tento článok neodpovedal na nejaké vaše ďalšie otázky, môžete nájsť oporu na stránke Úradu na ochranu osobných údajov Slovenskej republiky TU.

© Ing. Marian Baláž, 2018, Copyright – Všetky práva autora vyhradené! Kopírovanie obsahu je možné len s výslovným súhlasom autora!

Tags:

Už viac ako desať rokov pracujem v stavebníctve v oblasi vykurovania a využívania energie z obnoviteľných zdrojov. Baví ma vytváranie, nastavovanie a riadenie procesov trvalého zlepšovania, ktoré má zároveň aj živí. Baví ma veda a technika a technológie vo všeobecnosti.

0 komentárov:

Zverejnenie komentára

Marian Baláž
ing.marian.balaz
Ružomberok, Slovakia

POŠLI MI SPRÁVU