25.05.2018 nadobudla účinnosť nová právna úprava v oblasti ochrany osobných údajov – jednak nariadenie GDPR, ako aj zákon č. 18/2018 Z. z. o ochrane osobných údajov v platnom a účinnom znení. Jednotlivým záležitostiam, ktoré sa vás môžu dotknúť, sme sa podrobne venovali v článkoch GDPR série.
Vybrali sme pre vás 10+1 najčastejších otázok s odpoveďami. Na niektoré z často kladených otázok však konkrétnejšiu odpoveď poskytne až prax ako aj stanoviská Úradu na ochranu osobných údajov zverejnené na webe úradu.
1. Na koho sa vzťahuje GDPR? Napr. prevádzkujem malý penzión a hostí zapisujem do ubytovacej knihy. Som povinný uskutočniť nejaké zmeny podľa GDPR?
GDPR sa v podstate vzťahuje na každého, kto spracúva osobné údaje ľudí, teda fyzických osôb (označovaných aj ako „dotknuté osoby“) a toto spracúvanie vykonáva úplne alebo čiastočne automatizovane (teda cez informačné systémy), alebo aj ručne (ak ide o osobné údaje, ktoré tvoria súčasť informačného systému, alebo sú určené na to, aby boli do počítačového systému zaradené).
GDPR sa však nevzťahuje výslovne na spracúvanie osobných údajov v rámci výlučne osobnej alebo domácej činnosti – napr. pri príležitostnej výrobe handmade výrobku raz za rok, a to aj vtedy ak údaj máte v počítači (teda nejedná sa o sústavnú činnosť = podnikanie), vám povinnosti podľa GDPR nevznikajú.
Ak prevádzkujete malý penzión a údaje o zákazníkoch zadávané do ubytovacej knihy zadávate následne do informačného systému – napr. účtovníčke – GDPR sa na vás vzťahuje. Vtedy si je potrebné zdôvodniť, ktoré z údajov zákazníkov skutočne potrebujete na účel poskytnutia ubytovania a vybavenia fakturácie (GDPR prinieslo zásadu minimalizácie použitých údajov). Napr. otázkou by bolo, či potrebujete na účel poskytovania ubytovania a následnej fakturácie aj dátum narodenia návštevníka. Ubytovaných zákazníkov potrebujete informovať pri zadávaní údajov o účele spracúvania týchto údajov a s účtovníčkou si následne potrebujete uzavrieť sprostredkovateľskú zmluvu.
2. Som SZČO a medzi mojich klientov patria aj živnostníci. Na vystavenie faktúry potrebujem ich fakturačné údaje (názov živnosti, ktorým býva najčastejšie vlastné meno osoby, adresu a údaje ako IČO a DIČ). Považujú sa ich fakturačné údaje za osobné údaje, čiže prihliada sa na nich ako na „bežnú“ fyzickú osobu, alebo sa na nich prihliada ako na podnikateľov?
GDPR nerozlišuje podnikateľov a nepodnikateľov – teda ak ja spracovávam údaje živnostníka, jeho údaje sú chránené podľa GDPR ako údaje fyzickej osoby. To, že spracovávate údaje klientov – SZČO za účelom vystavenia faktúry a uchovávate ich vo fakturačnom systéme, si viete vo svojej internej dokumentácii zdôvodniť, že sa jedná o povinnosť, ktorú vám ukladajú osobitné zákony. Odporúčam prečítať 2. časť GDPR série, kde píšem o plnení zákonnej povinnosti prevádzkovateľa v bode 2.
3. Sú údaje, ktoré získam z B2B komunikácie s firmou (email, telefónne číslo, IP adresa atď.) stále osobnými údajmi a vzťahuje sa na ne GDPR?
Osobným údajom podľa GDPR je každý údaj, ktorý dokáže priamo alebo nepriamo určiť konkrétneho človeka = fyzickú osobu. Logicky sú teda spod záberu GDPR vylúčené údaje firiem – s. r. o., a. s. a pod. Napriek tomu často máte kontaktný telefón alebo e-mail, z ktorého s vami komunikuje už konkrétny zamestnanec (kontaktná osoba) a v takom prípade už ide o osobný údaj tejto fyzickej osoby. Danú osobu viete identifikovať podľa mena a priezviska a pracovného zaradenia a uvedené údaje máte povinnosť chrániť podľa GDPR.
4. Mám s.r.o. s dvomi zamestnancami a zaoberám sa predajom tovaru, ktorému predchádza vypracovanie cenových ponúk, následné uzatváranie zmlúv a vystavovanie faktúr. Aké náležitosti sú potrebné z hľadiska GDPR?
Vo vzťahu k cenovým ponukám a ich vypracovaniu na základe zaslaných údajov od zákazníkov je potrebné splniť si vašu informačnú povinnosť voči potenciálnemu zákazníkovi o tom, že osobné údaje spracúvate na právnom základe plnenie zmluvy, kam patrí aj prípravná fáza pred uzavretím zmluvy. Na druhej strane údaje na účely vystavovania faktúr spracúvate na právnom základe plnenia vašich zákonných povinností vyplývajúcich z daňových a účtovných predpisov.
S účtovníkom by ste si mali uzatvoriť sprostredkovateľskú zmluvu.
Odpovede na otázky – čo je potrebné si vypracovať a čo nie, nájdete v časti o GDPR dokumentácii.
5. Je stále povinnosťou ustanoviť DPO = zodpovednú osobu? Kto môže / má byť DPO v jednoosobovej eseročke? Prípadne v malej firme s 5 ľudmi, kde je jeden alebo dvaja majitelia a traja zamestnanci?
Ustanovenie zodpovednej osoby nie je vašou povinnosťou v každom prípade. Nie je to povinnosťou napr. ak spracúvate osobné údaje v malom rozsahu napr. na účel vybavenia objednávok vašich zákazníkov a zasielania newslettera na účely ich informovania o vašich nových produktoch.
Povinnosť ustanoviť DPO máte napr. ak ste ako prevádzkovateľ orgánom verejnej moci, alebo ak je vašou hlavnou činnosťou monitorovanie dotknutých osôb vo veľkom rozsahu (napr. cez kamerový systém) príp. ak je váš biznis založený na spracúvaní tzv. extra citlivých osobných údajov (zdravotný stav, príslušnosť k etniku, príslušnosť k odborom a pod.).
DPO by mala mať znalosti v oblasti práva a ochrany osobných údajov. Od 25.05.2018 sa už nevyžaduje špeciálne školenie; odbornosť sa preukazuje dosiahnutým vzdelaním príp. dokladmi o absolvovaných školeniach. Zodpovedná osoba podlieha kontrole štatutárneho orgánu, a preto z dôvodu konfliktu záujmov v prípade jednoosobovej s.r.o. je najlepším riešením ustanovenie osoby odlišnej od konateľa spoločnosti, a to zamestnanca alebo externej osoby. Kontaktné údaje zodpovednej osoby musia byť dostupné osobám, ktorých údaje spracúvate – teda napr. zverejnené na vašej webovej stránke.
Navyše v prípadoch, ak máte povinnosť ustanoviť zodpovednú osobu, máte zároveň aj povinnosť oznámiť jej ustanovenie do funkcie Úradu na ochranu osobných údajov cez formulár na webstránke úradu.
6. Kam treba nahlásiť prípadný únik dát? Konkrétny email / tel.číslo a pod. Existuje na to nejaký formulár?
Áno, existuje na to formulár pre prevádzkovateľov zverejnený na stránke Úradu na ochranu osobných údajov.
Prostredníctvom uvedeného formulára máte povinnosť nahlásiť únik osobných údajov do 72 hodín, odkedy ste sa o ňom dozvedeli. Túto povinnosť však nemáte v prípade, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby, teda ak aj napriek úniku sú údaje chránené proti ich zneužitiu.
Otázky 7 – 10 a bonus o cookies nájdete v pokračovaní článku.
Všetky diely seriálu o GDPR:
- GDPR 2018: strašiak alebo pomocník?
- GDPR a spracovanie osobných údajov: stačí súhlas?
- GDPR: o čom všetkom informovať zákazníka?
- GDPR: právo na zabudnutie a ďalšie práva I.
- GDPR: právo na zabudnutie a ďalšie práva II.
- GDPR a analýza správania zákazníkov
- GDPR: administratíva prevádzkovateľa
- GDPR: sprostredkovateľská zmluva
- GDPR: kontrola, úrad, pokuty
- GDPR: 10 + 1 najčastejších otázok a odpovedí I. (práve čítate)
- GDPR: 10 + 1 najčastejších otázok a odpovedí II.
Pridať komentár