Revolúcia v ochrane osobných údajov
Už v máji začnú platiť oveľa prísnejšie pravidlá na ochranu osobných údajov. Môže za to GDPR, nariadenie Európskej únie, ktorého cieľom je chrániť súkromie všetkých občanov v EÚ. Nové pravidlá ochrany osobných údajov sa dotknú skoro všetkých podnikateľov. Ak zamestnávate vo firme ľudí alebo spracovávate osobné údaje o vašich zákazníkoch a obchodných partneroch, pripravte sa na nové povinnosti. Za porušenie GDPR totiž hrozia miliónové pokuty, ktoré pre mnohé firmy môžu byť až likvidačné.
Rozšírenie pojmu osobný údaj
Za osobný údaj sa považuje akýkoľvek údaj, ktorý sa spája s konkrétnou osobou. Ide o údaj, cez ktorý vieme osobu priamo alebo nepriamo identifikovať. Podľa GDPR sa za osobný údaj považujú aj IP adresa počítača či GPS súradnice. Ak máme údaj o IP adrese a vieme prostredníctvom tohto údaju určiť, kde sa osoba nachádza, ide jednoznačne o osobný údaj. Vďaka lokalizačným údajom sa dá zistiť, kde sa osoba zdržiava, či kde pracuje.
GDPR sa dotkne všetkých e-shopov
Hlavu smútku majú určite prevádzkovatelia e-shopov, ktorí zbierajú na webe údaje o správaní svojich zákazníkov, aby im mohli zasielať cielené ponuky na základe analýzy ich správania. Údaje o správaní osôb získané profilovaním, sa po novom považujú za osobné údaje. GDPR definuje podmienky, kedy podnikateľ môže tento marketingový nástroj používať.
Spracúvajte osobné údaje v súlade so zákonom
GDPR umožňuje spracúvať osobné údaje na základe súhlasu. Ak nezískate súhlas, môžete osobné údaje spracúvať na základe iných dôvodov uvedených v nariadení:
 |
zmluvný vzťah – spracúvanie je nevyhnutné na plnenie zmluvy |
 |
zákonná povinnosť prevádzkovateľa – napr. zákonník práce, zákon o zdravotnom poistení |
 |
ochrana životne dôležitých záujmov fyzickej osoby |
 |
splnenie úlohy realizovanej vo verejnom záujme |
 |
oprávnený záujem prevádzkovateľa alebo tretej strany |
Vo vymenovaných právnych základoch už nenájdeme napr. priamy marketing v poštovom styku či monitorovanie priestorov prístupných verejnosti. Na základe týchto dôvodov už nebudete môcť osobné údaje spracúvať. To pre vás znamená, nájsť si od mája iný právny základ – súhlas alebo oprávnený záujem.
Prísnejšie požiadavky na súhlas so spracovaním osobných údajov
Ak spracúvate osobné údaje na základe súhlasu dotknutých osôb, od mája musíte dbať na to, aby bol súhlas formulovaný zrozumiteľne, jasne a jednoducho. Súhlas má byť jasným a aktívnym prejavom vôle. V prípade elektronických súhlasov je preto neprípustné, aby bolo políčko „súhlasím“ vopred predvyplnené. Rovnako súhlas nesmie byť skrytý v texte obchodných podmienok. Pozor na to, že dotknutá osoba má právo kedykoľvek súhlas odvolať, pričom odvolanie súhlasu musí byť rovnako jednoduché ako jeho získanie.
Získavate osobné údaje? Buďte transparentní!
Podľa súčasne platného zákona ste mali v určitých prípadoch povinnosť oboznámiť dotknutú osobu s informáciami ohľadom spracúvania jej osobných údajov. Podľa GDPR je dôležitá transparentnosť podnikateľa, a tak ste od mája povinní pri získavaní osobných údajov vyložiť karty na stôl. V ľahko zrozumiteľnej a dostupnej forme musíte vaším zákazníkom, novým zamestnancom či návštevníkom webu odovzdať dôležité informácie, napr. prečo spracúvate ich osobné údaje, ako dlho tieto údaje plánujete spracovávať alebo aké majú podľa zákona práva.
Zodpovedná osoba – áno či nie?
GDPR diktuje niektorým prevádzkovateľom, aby vymenovali zodpovednú osobu. Tento človek má pôsobiť ako garant dohliadajúci na ochranu osobných údajov a zároveň zástupca pri kontakte s Úradom na ochranu osobných údajov. Tejto povinnosť sa nevyhnú:
-
verejnoprávne subjekty ako obce, školy či nemocnice,
-
firmy, ktoré pravidelne a systematicky zbierajú údaje o dotknutých osobách vo veľkom rozsahu,
-
firmy, ktoré spracúvajú osobitnú kategóriu osobných údajov vo veľkom rozsahu (napr. údaje o zdraví, odtlačky prstov či členstvo v odborových organizáciách),
-
prevádzkovatelia, u ktorých to stanoví osobitný zákon.
