Mnohí z vás už iste počuli o veľkých zmenách, ktoré sa dotknú kohokoľvek, kto spracúva osobné údaje fyzických osôb – t.j. osobné údaje zbiera, ukladá na serveroch, používa ďalej na priamy marketing alebo pri dodaní tovarov alebo služieb. Odvšadiaľ sa na nás hrnú články, ktoré „strašia“ predovšetkým výškou pokuty za porušenie nového európskeho nariadenia GDPR. Sumy, o ktorých sa píše na odborných portáloch, sú pre drvivú väčšinu z nás likvidačné a chápem, že mnohých už pri slove GDPR chytá zúfalstvo.
Prvý rébus – čo vlastne to tajomné GDPR znamená?
GDPR = General Data Protection Regulation, teda nariadenie o ochrane osobných údajov (fyzických osôb) je účinné od 25.05.2018. Od uvedeného dátumu je potrebné mať vo firme všetko v súlade s GDPR.
Cieľom uvedenej zmeny je chrániť fyzické osoby obzvlášť pri použití nových technológií, akými sú automatizované spracovanie osobných údajov = automatické e-maily cieľovým skupinám; zaškrtnutie jediného checkboxu, kde je súhlas so spracovaním osobných údajov zlúčený so súhlasom s obchodnými podmienkami; zbieranie osobných údajov za magnet zadarmo (newsletter, e-book) a ich použitie na iný účel, atď.
Je potrebné upozorniť na skutočnosť, že doterajší zákon o ochrane osobných údajov v SR č. 122/2013 Z. z. (ktorý bude nahradený novým zákonom č. 18/2018 Z. z.) bol už dosť prísny. Avšak všetkým je nám jasné, že bezpečnostné projekty a registrácie informačných systémov na Úrade na ochranu osobných údajov mal uskutočnené málokto (tieto povinnosti budú vypustené, ale GDPR prináša nové administratívne povinnosti, ku ktorým sa dostaneme v ďalších článkoch).
Koniec teórie – poďme na vec!
Nová právna úprava sa na vás vzťahuje, ak teda spracúvate osobné údaje fyzických osôb úplne alebo čiastočne automatizovanými prostriedkami, ako aj manuálne, ale takto spracované údaje sú určené na to, aby sa stali súčasťou informačného systému. V takom prípade ste na účely GDPR tzv. prevádzkovateľom a hlavná zodpovednosť za korektnosť spracovania osobných údajov je na vás. A to aj vtedy, ak máte zmluvy s ďalšími tzv. sprostredkovateľmi – napríklad účtovník, poskytovateľ cloudových služieb, poskytovateľ e-mail marketingu a pod.
Upozornenie: Je dôležité, aby vaše servery a servery vašich sprostredkovateľov boli v EÚ. Ak by boli umiestnené mimo EÚ, proces zosúladenia spôsobu spracovania osobných údajov s GDPR je omnoho zložitejší. Nariadenie sa na vás ako prevádzkovateľa v EÚ vzťahuje bez ohľadu na to, či spracovanie vykonávate v EÚ alebo mimo EÚ.
Čo všetko je osobný údaj?
Osobný údaj dotknutej osoby v ľudskej reči znamená čokoľvek, čo dokáže identifikovať danú fyzickú osobu, a teda:
- klasiku v podobe meno a priezvisko – hoci samé osebe nemusia identifikovať konkrétnu osobu, napr. údaj Peter Horváth, ktorých je na Slovensku skutočne veľa a také meno a priezvisko samo osebe osobným údajom nie je;
- dátum narodenia, IČO;
- ale je to aj fotografia, telefónne číslo, číslo bankového účtu fyzickej osoby (pri eseročke to osobný údaj nie je), adresa trvalého pobytu v spojení s menom a priezviskom, e-mailová adresa (aj všeobecne znejúca e-mailová adresa, ak vám niekto z nej napíše a podpíše sa), v mnohých prípadoch IP adresa, záznam o správaní sa konkrétnej osoby na internete (webové logy),
- info o veku, pohlaví, sexuálnej orientácii, zdravotnom stave (ako extra citlivé údaje) ak sú priraditeľné k danej osobe a pod.
Jednou z mála pozitívnych správ pri výpočte týchto osobných údajov je, že tzv. E-privacy nariadenie týkajúce sa úpravy novej cookies politiky bude účinné najskôr až od roku 2020, teda naďalej je v poriadku, ak máte na stránke tzv. cookie banner s tlačítkom súhlasiť s použitím cookies.
V kocke: aké máte povinnosti?
Prevádzkovateľ je podľa GDPR povinný osobné údaje spracovávať nasledovne:
- zákonným spôsobom, spravodlivo a transparentne – kedykoľvek vedieť preukázať súlad s GDPR a so zákonom, mať zdokladované súhlasy, double opt-in forma súhlasu, a pod.;
- len na konkrétne určený, výslovne uvedený a oprávnený účel – napr. ak sú údaje poskytnuté len na účel objednávky, nemožno ich použiť na zasielanie marketingových info;
- v primeranom rozsahu a obmedzene na nevyhnutný rozsah daný účelom – stačí mi na môj účel (napr. marketing) iba e-mail od klienta alebo potrebujem aj jeho meno a priezvisko?
- v správnom znení, podľa potreby aktualizovať a zabezpečiť bezodkladný výmaz nesprávnych osobných údajov;
- uchovávať osobné údaje len v dobe nevyhnutnej na uvedený účel, napr. na účely marketingu sa akceptuje doba 3 rokov, niektoré zdroje uvádzajú až 5 rokov, neakceptuje sa čas neurčitý;
- zaručiť primeranú bezpečnosť údajov cez heslá, šifrovanie; tu patrí aj povinnosť oznámiť úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako ste sa o ňom dozvedeli.
Váš klient (fyzická osoba) už pri uskutočňovaní objednávky musí vedieť aké údaje od neho potrebujete, na aký účel, čo ho bude čakať v e-mailovej schránke, po akú dlhú dobu budete jeho osobný údaj takto používať a v neposlednom rade aké má práva.
Na začiatok vám odporúčam prejsť si svoje databázy a zamyslieť sa, ktoré skupiny osobných údajov vašich klientov nevyhnutne potrebujete, na aký účel ich používate (či ide o váš marketing/marketing tretích osôb/reklamu podobných produktov, aké si už zákazník zakúpil) a na akú dlhú dobu dané osobné údaje potrebujete. Je dôležité si zmapovať, či údaje potrebujete na plnenie zmluvy (dodanie zakúpeného tovaru) a tiež, či vám údaje dáva úplne cudzia osoba alebo už existujúci zákazník.
Čoskoro sa vám opäť ozvem 🙂
Všetky diely seriálu o GDPR:
- GDPR 2018: strašiak alebo pomocník? (práve čítate)
- GDPR a spracovanie osobných údajov: stačí súhlas?
- GDPR: o čom všetkom informovať zákazníka?
- GDPR: právo na zabudnutie a ďalšie práva I.
- GDPR: právo na zabudnutie a ďalšie práva II.
- GDPR a analýza správania zákazníkov
- GDPR: administratíva prevádzkovateľa
- GDPR: sprostredkovateľská zmluva
- GDPR: kontrola, úrad, pokuty
- GDPR: 10 + 1 najčastejších otázok a odpovedí I.
- GDPR: 10 + 1 najčastejších otázok a odpovedí II.
2 komentáre