GDPR pre firmy — kompletný sprievodca ochranou osobných údajov
Sprievodca ochranou osobných údajov pre firmy podľa Nariadenia EÚ 2016/679 a zákona č. 18/2018 Z. z.: zásady, právne základy, práva dotknutých osôb, zodpovedná osoba (DPO), oznámenie porušenia a sankcie.
Čo je GDPR a prečo sa týka aj vašej firmy
GDPR (z anglického *General Data Protection Regulation*) je všeobecné nariadenie o ochrane údajov, oficiálne Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679. Ide o najkomplexnejší predpis o ochrane osobných údajov v histórii EÚ. Na rozdiel od smernice, ktorá sa preberá do národného práva, je nariadenie priamo účinné — platí rovnako v každom členskom štáte. Účinnosť nadobudlo 25. mája 2018.
Mnohí konatelia žijú v presvedčení, že GDPR je problém veľkých korporácií a technologických gigantov. Opak je pravdou. Nariadenie sa vzťahuje na každého, kto spracúva osobné údaje v súvislosti s podnikaním — od jednoosobovej s. r. o. cez e-shop, účtovnícku kanceláriu a ambulanciu až po výrobný podnik. Ak vediete databázu zákazníkov, posielate newsletter, máte kamerový systém, evidujete dochádzku alebo zbierate kontakty cez formulár, spracúvate osobné údaje a GDPR sa na vás vzťahuje.
Ak hľadáte konkrétne služby zavedenia GDPR namiesto teórie, pozrite stránku GDPR pre firmy na kľúč. Tento sprievodca je edukačný a ide do hĺbky legislatívy.
GDPR verzus zákon č. 18/2018 Z. z. — ako do seba zapadajú
Častý zdroj zmätku je vzťah európskeho nariadenia a slovenského zákona. Platia oba súčasne, ale každý plní inú úlohu. Nariadenie 2016/679 (GDPR) je nadradený, priamo účinný predpis — definuje zásady, právne základy, práva dotknutých osôb, povinnosti aj sankčný rámec. Nie je to transpozícia, neexistuje „slovenská verzia GDPR“.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov dopĺňa GDPR tam, kde nariadenie ponecháva členským štátom priestor na vlastnú úpravu (tzv. otvorené klauzuly) — postavenie dozorného orgánu, osobitosti rodného čísla, vekovú hranicu súhlasu dieťaťa či novinárske účely. Zákon 18/2018 nahradil predchádzajúci zákon č. 122/2013 Z. z. (ktorý predtým nahradil starší zákon č. 428/2002 Z. z.); oba sa už nepoužívajú.
Prakticky to znamená: keď hľadáte definíciu práva na výmaz alebo lehotu na ohlásenie porušenia, otvoríte GDPR. Keď riešite, či smiete žiadať rodné číslo alebo od akého veku platí súhlas tínedžera, otvoríte zákon 18/2018.
Základné pojmy — kto je kto v ochrane údajov
Aby ste GDPR vedeli aplikovať, musíte rozumieť štyrom rolám.
- Osobný údaj — akákoľvek informácia o identifikovanej alebo identifikovateľnej fyzickej osobe: meno, e-mail, telefón, IP adresa, lokalizačné údaje, fotografia. Osobitné kategórie (citlivé údaje) podľa čl. 9 GDPR sú údaje o zdraví, biometrii, genetike, náboženstve, politických názoroch či sexuálnej orientácii — s prísnejším režimom.
- Dotknutá osoba — človek, ktorého údaje sa spracúvajú: váš zákazník, zamestnanec, dodávateľ, návštevník webu.
- Prevádzkovateľ — ten, kto určuje účely a prostriedky spracúvania, typicky vaša firma. Nesie hlavnú zodpovednosť a znáša sankcie.
- Sprostredkovateľ — spracúva údaje v mene prevádzkovateľa (externý účtovník, mzdová firma, IT poskytovateľ, mailing, cloud). Vzťah s ním musí byť ošetrený sprostredkovateľskou zmluvou podľa čl. 28 GDPR.
Sedem zásad spracúvania osobných údajov (čl. 5 GDPR)
Celé GDPR stojí na siedmich zásadách podľa čl. 5. Sú to mantinely, ktoré musíte dodržať pri každom spracúvaní. Pri ich porušení hrozí najvyššia kategória pokút.
- Zákonnosť, spravodlivosť a transparentnosť — údaje spracúvate len na zákonnom základe, férovo a tak, aby o tom osoba zrozumiteľne vedela.
- Obmedzenie účelu — zbierate na konkrétny, výslovný a legitímny účel a nepoužijete ich na nezlučiteľný iný účel.
- Minimalizácia údajov — zbierate len tie údaje, ktoré sú na účel naozaj potrebné. Žiadne „pre istotu“.
- Správnosť — údaje udržiavate aktuálne a nesprávne bezodkladne opravujete alebo vymazávate.
- Minimalizácia uchovávania — uchovávate len dovtedy, kým je to nevyhnutné, potom mažete alebo anonymizujete.
- Integrita a dôvernosť — údaje primerane zabezpečíte pred neoprávneným prístupom, stratou či zničením.
- Zodpovednosť (accountability) — dodržiavanie predošlých šiestich zásad musíte vedieť preukázať. Nestačí pravidlá dodržiavať, treba mať o tom dôkazy.
Práve siedma zásada — zodpovednosť — robí z GDPR systém, kde „nemáme nič napísané, ale dodržiavame to“ neobstojí. Pri kontrole úrad žiada doklady.
Na akom právnom základe smiete spracúvať údaje (čl. 6 GDPR)
Žiadne spracúvanie nie je „len tak“. Každé musí mať jeden zo šiestich právnych základov podľa čl. 6 GDPR:
- Súhlas dotknutej osoby — slobodný, konkrétny, informovaný a jednoznačný prejav vôle; musí byť odvolateľný a preukázateľný.
- Plnenie zmluvy — keď spracúvanie potrebujete na uzavretie alebo plnenie zmluvy (dodanie objednávky, výplata mzdy).
- Zákonná povinnosť — keď vám spracúvanie ukladá iný zákon (účtovníctvo, dane, archivácia, BOZP a pracovnozdravotná dokumentácia).
- Životne dôležitý záujem — ochrana života a zdravia osoby (zriedkavé, napr. v zdravotníctve).
- Verejný záujem alebo výkon verejnej moci — typické pre orgány verejnej moci.
- Oprávnený záujem — flexibilný základ (priamy marketing voči existujúcim zákazníkom, sieťová bezpečnosť, vymáhanie pohľadávok); vyžaduje test proporcionality (balančný test).
Najčastejšia chyba firiem: na všetko žiadajú súhlas. V skutočnosti je súhlas často najslabší a najkrehkejší základ (dá sa kedykoľvek odvolať). Pre plnenie objednávky či vedenie mzdovej agendy súhlas vôbec netreba.
Práva dotknutej osoby (čl. 15 – 22 GDPR)
GDPR dáva ľuďom silné a vynútiteľné práva. Firma na ich uplatnenie musí reagovať spravidla do jedného mesiaca (čl. 12 GDPR).
| Právo | Článok | Čo znamená |
|---|---|---|
| Prístup | čl. 15 | Osoba sa môže pýtať, či a aké údaje o nej spracúvate, a dostať kópiu. |
| Oprava | čl. 16 | Oprava nesprávnych a doplnenie neúplných údajov. |
| Výmaz („na zabudnutie“) | čl. 17 | Vymazanie údajov, keď už nie sú potrebné alebo bol súhlas odvolaný. |
| Obmedzenie spracúvania | čl. 18 | Dočasné „zmrazenie“ spracúvania v sporných prípadoch. |
| Prenosnosť údajov | čl. 20 | Vydanie údajov v štruktúrovanom, strojovo čitateľnom formáte. |
| Námietka | čl. 21 | Námietka proti spracúvaniu na oprávnenom záujme a marketingu. |
| Automatizované rozhodovanie | čl. 22 | Právo nebyť predmetom čisto automatizovaného rozhodnutia s právnymi účinkami. |
Praktický dôsledok: musíte mať funkčný proces, ako žiadosti prijímate, overujete totožnosť žiadateľa, vyhľadáte údaje a v lehote odpoviete. Ignorovanie žiadosti je častým dôvodom sťažnosti na úrad.
Povinnosti firmy — dokumentácia, ktorú musíte mať
Vedľa zásad a práv ukladá GDPR firme konkrétne „papierové“ povinnosti. Práve ich kontroluje ÚOOÚ ako prvé.
Informačná povinnosť (čl. 13 – 14 GDPR)
Pri získavaní údajov musíte osobu zrozumiteľne informovať — kto ste, na aký účel a na akom základe údaje spracúvate, komu ich poskytujete, ako dlho ich uchovávate a aké má práva. Robí sa to dokumentom Zásady ochrany osobných údajov. Čl. 13 sa týka údajov získaných priamo od osoby, čl. 14 údajov z iného zdroja.
Záznamy o spracovateľských činnostiach (čl. 30 GDPR)
Čl. 30 GDPR vyžaduje viesť interný záznam o spracovateľských činnostiach — prehľad, aké údaje, na aký účel, na akom základe, ako dlho a komu ich spracúvate. Existuje výnimka pre organizácie pod 250 zamestnancov, tá však neplatí, ak spracúvanie nie je príležitostné, predstavuje riziko pre práva osôb alebo zahŕňa osobitné kategórie údajov — čo sa týka takmer každej reálnej firmy. V praxi preto záznamy potrebujete aj ako malá firma.
DPIA a bezpečnosť (čl. 35 a čl. 32 GDPR)
Ak spracúvanie pravdepodobne predstavuje vysoké riziko (rozsiahly kamerový systém, profilovanie, citlivé údaje vo veľkom rozsahu), musíte podľa čl. 35 GDPR vykonať posúdenie vplyvu (DPIA) ešte pred začatím. Zároveň čl. 32 GDPR žiada primerané technické a organizačné opatrenia — šifrovanie, riadenie prístupov, zálohovanie, pseudonymizáciu a školenie zamestnancov.
Zodpovedná osoba (DPO) — kedy ju firma musí mať (čl. 37 GDPR)
Zodpovedná osoba (Data Protection Officer, DPO) je interný alebo externý odborník, ktorý dohliada na súlad s GDPR, radí vedeniu a je kontaktným bodom pre dotknuté osoby aj úrad. Podľa čl. 37 GDPR (a § 44 zákona č. 18/2018 Z. z.) je jej určenie povinné v troch prípadoch:
- ste orgán verejnej moci alebo verejnoprávny subjekt;
- vaša hlavná činnosť spočíva v rozsiahlom systematickom monitorovaní dotknutých osôb (rozsiahle sledovanie správania, profilovanie);
- vaša hlavná činnosť spočíva v rozsiahlom spracúvaní osobitných kategórií údajov podľa čl. 9 (napr. zdravotnícke zariadenia).
Mimo týchto prípadov nie je DPO povinná, no mnohé firmy ju zriaďujú dobrovoľne, lebo zjednodušuje preukazovanie zodpovednosti. DPO musí mať odborné znalosti, nezávislé postavenie a dostatok zdrojov. Funkciu môže zastrešiť externý dodávateľ (DPO outsourcing) — pre malé a stredné firmy najčastejšie riešenie.
Únik údajov a oznámenie porušenia do 72 hodín (čl. 33 – 34 GDPR)
Porušenie ochrany osobných údajov (data breach) je každé narušenie bezpečnosti vedúce k zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo sprístupneniu údajov — od stratenej USB cez hacknutý e-shop až po e-mail odoslaný nesprávnemu príjemcovi.
- Oznámenie dozornému orgánu (čl. 33 GDPR, § 40 zákona č. 18/2018 Z. z.) — porušenie ohlásite Úradu na ochranu osobných údajov SR bez zbytočného odkladu, najneskôr do 72 hodín od momentu, keď ste sa o ňom dozvedeli. Výnimkou je prípad, keď porušenie pravdepodobne nepovedie k riziku pre práva osôb.
- Oznámenie dotknutej osobe (čl. 34 GDPR) — ak porušenie pravdepodobne povedie k vysokému riziku, musíte bez zbytočného odkladu informovať aj samotných ľudí, ktorých sa to týka.
Každé porušenie — aj to, ktoré nehlásite — musíte interne zdokumentovať. Pripravený plán reakcie na incident (kto rozhoduje, kto hlási, v akej lehote) je rozdiel medzi zvládnutým incidentom a pokutou za zmeškané hlásenie.
Sankcie za porušenie GDPR (čl. 83)
GDPR má jeden z najprísnejších sankčných rámcov v EÚ. Čl. 83 GDPR rozlišuje dve úrovne pokút podľa závažnosti porušenia.
| Úroveň | Maximálna pokuta | Typické porušenia |
|---|---|---|
| Nižšia sadzba (čl. 83 ods. 4) | do 10 mil. € alebo 2 % celosvetového ročného obratu (vyššia suma) | chýbajúce záznamy (čl. 30), povinnosti sprostredkovateľa, chýbajúca DPIA, neurčenie DPO |
| Vyššia sadzba (čl. 83 ods. 5) | do 20 mil. € alebo 4 % celosvetového ročného obratu (vyššia suma) | porušenie zásad (čl. 5), právnych základov (čl. 6), práv osôb (čl. 15–22), pravidiel prenosu |
Pokuta sa určuje podľa toho, ktorá zo súm (pevná alebo percentuálna) je vyššia. Úrad pri výške zohľadňuje povahu, závažnosť a trvanie porušenia, úmysel, spoluprácu a prijaté opatrenia. Vedľa pokút môže nariadiť nápravné opatrenia vrátane dočasného alebo trvalého zákazu spracúvania. V slovenskej praxi sú pokuty zatiaľ nižšie než európske maximá, no počet rozhodnutí ÚOOÚ rastie.
Úrad na ochranu osobných údajov SR (ÚOOÚ) a kontrola
Dozorným orgánom na Slovensku je Úrad na ochranu osobných údajov Slovenskej republiky (ÚOOÚ), web dataprotection.gov.sk. Pozor na rozšírený omyl: GDPR nevymáha okresný úrad ani inšpektorát práce — výlučne ÚOOÚ.
Úrad prijíma a vybavuje sťažnosti dotknutých osôb, vykonáva kontroly (z vlastnej iniciatívy aj na podnet), prijíma oznámenia o porušení a ukladá pokuty. Kontrola sa najčastejšie spustí na základe sťažnosti zákazníka alebo zamestnanca. Pri nej úrad žiada práve dokumentáciu — záznamy o činnostiach, zásady ochrany údajov, súhlasy, sprostredkovateľské zmluvy a doklad o opatreniach. Firma, ktorá má dokumentáciu v poriadku, prejde kontrolou bez väčších problémov.
Slovenské špecifiká, ktoré GDPR sám neupravuje
Rodné číslo (§ 78 zákona 18/2018)
Rodné číslo je na Slovensku všeobecne použiteľný identifikátor s osobitným režimom podľa § 78 ods. 4 zákona č. 18/2018 Z. z. Smie sa využiť na identifikáciu osoby len vtedy, ak je to nevyhnutné na dosiahnutie účelu; pri spracúvaní na základe súhlasu musí byť súhlas výslovný a zverejňovanie rodného čísla je zakázané (okrem prípadu, keď ho zverejní sama osoba). Plošné zbieranie rodného čísla „do formulára pre istotu“ je typické porušenie.
Vek súhlasu dieťaťa = 16 rokov
Pri ponuke služieb informačnej spoločnosti (online služby) priamo dieťaťu je súhlas platný od 16 rokov podľa § 15 ods. 1 zákona č. 18/2018 Z. z. GDPR umožňoval členským štátom znížiť hranicu až na 13 rokov, Slovensko túto možnosť nevyužilo. Pre mladšie dieťa potrebujete súhlas zákonného zástupcu.
Monitorovanie zamestnancov (§ 13 Zákonníka práce)
Sledovanie zamestnancov (kamery, GPS, monitoring pošty či výkonu) upravuje vedľa GDPR aj § 13 ods. 4 Zákonníka práce. Zamestnávateľ nesmie bez vážnych dôvodov spočívajúcich v osobitnej povahe činnosti zasahovať do súkromia zamestnanca monitorovaním bez toho, aby ho vopred informoval o rozsahu, spôsobe a dobe trvania kontroly. Kamerový systém preto potrebuje právny základ, informačnú povinnosť, často DPIA a vždy informovanie zamestnancov.
Ako si firma zavedie GDPR od základov — postup krok za krokom
Nasledujúci postup zhŕňa, ako sa firma dostane z nuly do stavu súladu s GDPR.
Zmapujte spracovateľské činnosti Spíšte, aké osobné údaje zbierate, odkiaľ, kde sú uložené a komu ich posielate. Toto je dátový audit a základ všetkého ďalšieho.
Určte právny základ pre každý účel Podľa čl. 6 priraďte ku každému spracúvaniu jeden základ (zmluva, zákon, oprávnený záujem, súhlas).
Vypracujte záznamy o spracovateľských činnostiach Podľa čl. 30 zostavte register účelov, kategórií údajov, lehôt uchovávania a príjemcov.
Pripravte informačné povinnosti Vytvorte Zásady ochrany osobných údajov podľa čl. 13 – 14 pre web, zmluvy aj personálnu agendu.
Nastavte súhlasy tam, kde sú potrebné Pre marketing a cookies zabezpečte preukázateľný, odvolateľný súhlas — nie predzaškrtnuté políčko.
Uzavrite sprostredkovateľské zmluvy S každým dodávateľom, ktorý spracúva údaje za vás (účtovník, IT, hosting, mailing), podpíšte zmluvu podľa čl. 28.
Zaveďte technické a organizačné opatrenia Podľa čl. 32 nastavte prístupové práva, zálohy, šifrovanie a pravidlá pre zamestnancov.
Posúďte potrebu DPO a DPIA Overte, či vám čl. 37 ukladá zodpovednú osobu a či rizikové spracúvanie vyžaduje DPIA podľa čl. 35.
Nastavte proces pre práva dotknutých osôb Pripravte postup na vybavenie žiadostí podľa čl. 15 – 22 v zákonnej lehote.
Pripravte plán reakcie na porušenie Definujte, kto a ako ohlási incident úradu do 72 hodín podľa čl. 33 – 34.
Zaškoľte zamestnancov Najslabším článkom je človek — pravidelné školenie znižuje riziko incidentu aj pokuty.
Pravidelne kontrolujte a aktualizujte GDPR nie je jednorazový projekt; dokumentáciu revidujte pri každej zmene procesov, systémov či dodávateľov.
Najčastejšie mýty o GDPR
- „Sme malá firma, GDPR sa nás netýka.“ Týka sa každého, kto spracúva osobné údaje. Veľkosť ovplyvňuje rozsah povinností, nie ich existenciu.
- „Na všetko potrebujem súhlas.“ Súhlas je len jeden zo šiestich základov a často nie je vhodný. Plnenie objednávky či mzdovú agendu súhlas nevyžaduje.
- „GDPR zakazuje posielať newsletter zákazníkom.“ Priamy marketing voči existujúcim zákazníkom môže stáť na oprávnenom záujme, s možnosťou kedykoľvek namietať.
- „Stačí mať na webe vetu o ochrane údajov.“ Informačná povinnosť je len jeden z dokumentov. Bez záznamov, zmlúv a opatrení súlad nemáte.
- „GDPR a registratúra je to isté.“ Nie sú. Správa registratúry je samostatná oblasť podľa zákona č. 395/2002 Z. z. a GDPR ju nenahrádza.
- „Pokuty dáva okresný úrad.“ Sankcie podľa GDPR ukladá výlučne ÚOOÚ.
- „Keď nás nikto nenahlási, nič sa nedeje.“ Úrad môže konať aj z vlastnej iniciatívy a zodpovednosť musíte vedieť preukázať kedykoľvek.
Kontrolný zoznam pripravenosti na GDPR
Skôr než vás osloví zákazník so žiadosťou alebo úrad s kontrolou, prejdite si tento kontrolný zoznam:
- Máte aktuálne záznamy o spracovateľských činnostiach?
- Sú na webe a v zmluvách zrozumiteľné Zásady ochrany osobných údajov?
- Máte ku každému spracúvaniu určený právny základ?
- Sú súhlasy (marketing, cookies) preukázateľné a odvolateľné?
- Máte podpísané sprostredkovateľské zmluvy so všetkými dodávateľmi?
- Máte nastavené technické a organizačné opatrenia a kontrolu prístupov?
- Viete, či potrebujete DPO a či ste vykonali DPIA pri rizikových spracúvaniach?
- Máte proces na vybavenie práv dotknutých osôb v lehote a plán reakcie na porušenie do 72 hodín?
- Sú vaši zamestnanci zaškolení?
Ak ste pri viacerých bodoch zaváhali, GDPR vo firme reálne zavedené nemáte. Od teórie k zavedeniu vám pomôžu naše služby GDPR — dokumentácia, DPO outsourcing, audit, školenie aj zastupovanie pri kontrole ÚOOÚ.
Súvisiace služby a zdroje
GDPR pre firmy na kľúč
Vypracujeme dokumentáciu GDPR, prevezmeme funkciu zodpovednej osoby (DPO), zaškolíme a zastúpime vás pri kontrole ÚOOÚ.
BOZP — bezpečnosť a ochrana zdravia pri práci
Komplexné zabezpečenie BOZP pre vašu firmu — popri GDPR pod jednou strechou.
Pracovná zdravotná služba
PZS pre zamestnancov — zdravotný dohľad a posudky popri ochrane osobných údajov.
Civilná ochrana
Dokumentácia a plán ochrany zamestnancov — ďalšia zákonná agenda pod jednou strechou.
Kurzy a školenia
Školenie zamestnancov v oblasti bezpečnosti a ochrany údajov.
Slovník pojmov
Výkladový slovník kľúčových pojmov z BOZP, OPP, PZS a VTZ.
Stručná odpoveď
GDPR je všeobecné nariadenie EÚ o ochrane osobných údajov, ktoré na Slovensku platí priamo od 25. mája 2018 a dopĺňa ho slovenský zákon o ochrane osobných údajov. Vzťahuje sa na každú firmu aj živnostníka, ktorý spracúva údaje zákazníkov alebo zamestnancov. Kľúčové povinnosti sú právny základ spracúvania, informačná povinnosť, záznamy o spracovateľských činnostiach, primerané zabezpečenie a ohlásenie porušenia úradu do 72 hodín.
5,0z 5 · 31 hodnotení klientov Alpha Safety
Časté otázky o GDPR
Áno. GDPR sa vzťahuje na každého, kto spracúva osobné údaje v súvislosti s podnikaním, bez ohľadu na veľkosť. Malá firma a živnostník majú menej rozsiahle povinnosti ako korporácia, no základné pravidlá platia rovnako: právny základ, informačná povinnosť, zabezpečenie a zvyčajne aj záznamy o spracovateľských činnostiach.
GDPR je nariadenie EÚ 2016/679, ktoré platí priamo a nadradene v celej Únii. Zákon č. 18/2018 Z. z. ho na Slovensku len dopĺňa tam, kde nariadenie ponecháva priestor štátu, napríklad pri rodnom čísle, veku súhlasu dieťaťa či právomociach úradu. Oba predpisy platia súčasne.
Zodpovedná osoba je povinná, ak ste orgán verejnej moci, ak je vašou hlavnou činnosťou rozsiahle systematické monitorovanie osôb, alebo ak rozsiahlo spracúvate citlivé údaje. Mimo týchto prípadov DPO povinná nie je, no mnohé firmy ju zriaďujú dobrovoľne, často formou externého outsourcingu.
Porušenie ochrany údajov musíte ohlásiť Úradu na ochranu osobných údajov bez zbytočného odkladu, najneskôr do 72 hodín od chvíle, keď ste sa o ňom dozvedeli. Ak hrozí vysoké riziko pre dotknuté osoby, musíte informovať aj ich. Každý incident treba zdokumentovať, aj keď ho nehlásite.
GDPR rozlišuje dve úrovne. Nižšia sadzba je do 10 miliónov eur alebo 2 percent celosvetového ročného obratu, vyššia sadzba do 20 miliónov eur alebo 4 percent obratu, podľa toho, ktorá suma je vyššia. Výšku určuje úrad podľa závažnosti, trvania a spolupráce firmy.
Dozorným orgánom je výlučne Úrad na ochranu osobných údajov Slovenskej republiky so sídlom v Bratislave. Kontrolu nevykonáva okresný úrad ani inšpektorát práce. Úrad prijíma sťažnosti, vykonáva kontroly z vlastnej iniciatívy aj na podnet a ukladá sankcie.
Pri cookies a podobných technológiách, ktoré nie sú nevyhnutné na fungovanie webu, potrebujete platný súhlas návštevníka. Súhlas musí byť slobodný, preukázateľný a rovnako ľahko odvolateľný ako udelený. Predzaškrtnuté políčko ani samotné používanie webu za súhlas nestačí.
Monitorovanie zamestnancov je možné, ale len pri vážnom dôvode spočívajúcom v povahe činnosti a po splnení podmienok podľa § 13 ods. 4 Zákonníka práce. Zamestnancov musíte vopred informovať o rozsahu, spôsobe a dobe trvania kontroly, určiť právny základ, splniť informačnú povinnosť a pri rizikovom monitorovaní vykonať posúdenie vplyvu.
Na Slovensku platí pri online službách ponúkaných priamo dieťaťu veková hranica 16 rokov podľa § 15 ods. 1 zákona č. 18/2018 Z. z. Slovensko nevyužilo možnosť znížiť ju na 13 rokov. Pre mladšie dieťa potrebujete súhlas alebo schválenie zákonného zástupcu.
Rodné číslo má na Slovensku osobitný režim podľa § 78 zákona č. 18/2018 Z. z. Spracúvať ho smiete len vtedy, keď je jeho použitie naozaj nevyhnutné na daný účel a vyplýva to z osobitného zákona alebo s tým osoba súhlasí. Zverejňovanie rodného čísla je zakázané a plošné zbieranie do formulárov pre istotu je porušením.
Musí zrozumiteľne uvádzať, kto údaje spracúva, na aký účel a na akom právnom základe, komu ich poskytuje, ako dlho ich uchováva, aké práva má dotknutá osoba a ako si ich uplatní. Dokument býva zverejnený na webe a používa sa aj v zmluvách a personálnej agende.
Len dovtedy, kým je to na pôvodný účel nevyhnutné. Lehoty často určujú iné zákony, napríklad účtovné a daňové predpisy alebo pracovnoprávna archivácia. Po uplynutí účelu údaje musíte vymazať alebo anonymizovať. Doby uchovávania by ste mali mať zachytené v záznamoch o spracovateľských činnostiach.
Áno. Každý dodávateľ, ktorý spracúva osobné údaje vo vašom mene, je sprostredkovateľ a vzťah s ním musí byť ošetrený písomnou sprostredkovateľskou zmluvou podľa čl. 28 GDPR. Týka sa to externého účtovníka, mzdovej firmy, IT a hostingu, e-mailingovej platformy aj cloudových nástrojov.
Spravidla áno. Výnimka pre organizácie pod 250 zamestnancov neplatí, ak spracúvanie nie je len príležitostné, predstavuje riziko pre práva osôb alebo zahŕňa citlivé údaje. To sa týka takmer každej reálnej firmy, takže záznamy v praxi potrebujete viesť aj ako malý podnik.
Stačí, že o výmaz požiada, napríklad e-mailom. Vy musíte overiť jeho totožnosť, posúdiť, či výmaz nebráni inej zákonnej povinnosti uchovávať údaje, a v zákonnej lehote, spravidla do jedného mesiaca, žiadosti vyhovieť alebo odôvodnene odmietnuť. Celý postup by ste mali mať pripravený vopred.
Potrebujete pomoc s bezpečnosťou na pracovisku?
Kontaktujte nás ešte dnes a získajte bezplatnú konzultáciu. Náš tím odborníkov vám pomôže nájsť riešenie presne podľa vašich potrieb.