Nemôžete vyplniť toto pole
Domov / Novinky 2026 / Ochrana osobných údajov – Ako postupovať krok za krokom

Ochrana osobných údajov – Ako postupovať krok za krokom

Ochrana osobných údajov dnes nie je „papierová povinnosť“, ktorú si odškrtnete a máte pokoj. Ako odborník a poradca pre GDPR to vidím v praxi stále rovnako: firmy často zavedú banner na cookies, niečo dopíšu do zásad ochrany osobných údajov a dúfajú, že to stačí. Lenže realita je inde. Kybernetické hrozby sa vyvíjajú, útočníci skúšajú nové cesty a osobné údaje sú pre nich hodnotná komodita.

Dobrá správa je, že k funkčnej ochrane osobných údajov sa dá dostať systematicky. Nie je to len o IT. Je to kombinácia procesov, právnych základov, zodpovedností, školení a primeranej technickej bezpečnosti. Nižšie máte postup krok za krokom, ktorý môžete použiť v malej firme aj v strednej či väčšej organizácii.

Krok 1: Ujasnite si, čo chcete chrániť a prečo

Začnite úplne jednoducho: čo vo firme považujete za citlivé a hodnotné?

  • údaje o zákazníkoch a kontaktoch (meno, e-mail, telefón, adresa)
  • údaje o zamestnancoch (mzdy, dochádzka, zdravotné údaje v rozsahu potrebnom)
  • finančné záznamy a účtovníctvo
  • prístupy do systémov, interné know-how a obchodné tajomstvá
  • komunikácia so zákazníkmi (CRM, e-mail, chat)
  • logy a identifikátory v online prostredí (vrátane cookies)

Ochrana osobných údajov je dôležitá pre všetky firmy bez ohľadu na veľkosť alebo odvetvie. Čím skôr si to nastavíte ako bežnú súčasť riadenia, tým menej budete hasiť problémov neskôr.

Krok 2: Zmapujte, aké osobné údaje spracúvate (inventúra spracúvania)

Toto je základ. Bez mapy neviete riadiť riziká ani splniť GDPR povinnosti.

Urobte inventúru spracúvania a pri každom „balíku“ údajov si odpovedzte:

  1. Aké údaje spracúvame? (bežné, osobitné kategórie, údaje o deťoch, údaje z kamerového systému)
  2. Odkiaľ ich máme? (web, formulár, e-mail, zmluva, telefonát, HR)
  3. Na aký účel? (plnenie zmluvy, účtovníctvo, marketing, bezpečnosť)
  4. Aký je právny základ? (zmluva, zákonná povinnosť, oprávnený záujem, súhlas)
  5. Kde sú uložené? (CRM, e-mail, šanóny, cloud, notebook, mobil, externý disk)
  6. Kto má prístup? (oddelenia, konkrétne roly, externí dodávatelia)
  7. Ako dlho ich držíme? (retencia, archívne lehoty, automatické mazanie)
  8. Komu ich poskytujeme? (účtovník, kuriér, hosting, marketingová agentúra)
  9. Prenášame ich mimo EÚ/EHP? (cloudové služby, analytika, e-mailové platformy)

Nezabudnite na „neviditeľné“ miesta: papierové dokumenty, prenosné zariadenia, USB, súkromné mobily, WhatsApp komunikáciu, poznámky v notese, fotky dokladov v telefóne.

Krok 3: Zaveďte evidenciu spracovateľských činností (ROPA)

GDPR predpokladá, že viete preukázať, čo robíte s osobnými údajmi. Preto je dôležitá evidencia spracovateľských činností (často sa používa skratka ROPA).

Nemusí byť komplikovaná. Podstatné je, aby obsahovala:

  • účely spracúvania
  • kategórie dotknutých osôb a údajov
  • príjemcov
  • prenosy do tretích krajín (ak existujú)
  • lehoty uchovávania
  • technické a organizačné bezpečnostné opatrenia

Tento dokument je praktický aj pre vás. Pomáha odhaliť duplicity, zbytočné zbery údajov a rizikové miesta.

Krok 4: Nastavte právne základy a minimalizáciu (zbierajte len to, čo potrebujete)

V praxi býva problém najmä pri marketingu a „pre istotu“.

  • Ak údaje potrebujete na dodanie služby alebo plnenie zmluvy, typicky nepotrebujete súhlas.
  • Ak ich musíte uchovať kvôli zákonu (účtovníctvo, dane), právny základ je zákonná povinnosť.
  • Ak chcete posielať newsletter alebo robiť cielenú reklamu, často vstupuje do hry súhlas alebo oprávnený záujem (podľa scenára).

Zároveň platí zásada minimalizácie: nežiadajte dátum narodenia, rodné číslo ani kopiu dokladu, ak na to nemáte jasný dôvod a oporu v predpise alebo zmluve. Menej údajov znamená menšie riziko pri incidente.

Krok 5: Dajte do poriadku informovanie (privacy notice) a interné pravidlá

Zákazníci a návštevníci webu

Každý by mal jednoducho pochopiť:

  • kto údaje spracúva (prevádzkovateľ)
  • na aké účely a na akom základe
  • komu sa údaje poskytujú
  • ako dlho sa uchovávajú
  • aké má dotknutá osoba práva (prístup, oprava, výmaz, námietka, prenosnosť)
  • ako podať sťažnosť

Texty majú byť zrozumiteľné aj pre bežného človeka, nie právnické slohy.

Zamestnanci a externí spolupracovníci

Tu potrebujete interné smernice a pravidlá tak, aby boli pochopiteľné v praxi:

  • kto môže s čím pracovať
  • ako sa narába s dokumentmi a e-mailami
  • ako sa používajú prenosné zariadenia
  • čo robiť pri podozrení na incident

Cieľom nie je mať 50-stranovú smernicu, ktorú nikto nečíta. Cieľom je mať pravidlá, ktoré ľudia vedia použiť.

Krok 6: Zvládnite cookies a online analytiku bez rizika

Na weboch sa najčastejšie riešia cookies. Niektoré cookies sú používané na komfortné prehliadanie, analýzu návštevnosti a zlepšovanie stránky. No z pohľadu práva je dôležité rozlíšiť:

  • nevyhnutné cookies (na fungovanie webu) – typicky bez súhlasu
  • analytické a marketingové cookies – často vyžadujú súhlas (závisí od nastavenia, miery identifikácie a lokálnej praxe)

Praktické minimum:

  • používajte banner, ktorý umožní odmietnuť rovnako jednoducho ako prijať
  • skontrolujte, aby sa analytika a marketing nespúšťali pred udelením súhlasu, ak je súhlas potrebný
  • majte evidenciu súhlasov a nastavte dobu platnosti
  • zosúlaďte banner, zásady cookies a realitu v tag manageri

Krok 7: Usporiadajte prístupy (access control) a heslá

Veľká časť incidentov nie je „hackerský film“. Je to zdieľané heslo, odomknutý notebook alebo účet bývalého zamestnanca.

Zaveďte:

  • prístupy podľa rolí (každý len to, čo potrebuje)
  • zákaz zdieľania účtov
  • povinné silné heslá a správcu hesiel
  • viacfaktorové overenie (MFA) všade, kde sa dá
  • proces nástupu a odchodu zamestnanca (zriadenie, zrušenie prístupov, vrátenie zariadení)

Toto je organizačné opatrenie, ktoré má obrovský efekt a stojí relatívne málo.

Krok 8: Šifrovanie, zálohy a obnova (aby incident nebol katastrofa)

Ak spracúvate osobné údaje, rátajte s tým, že incident sa môže stať. Rozdiel je v tom, či z neho bude „nepríjemnosť“ alebo existenčný problém.

Minimum, ktoré odporúčam:

  • šifrovanie notebookov a mobilov (najmä prenosné zariadenia)
  • šifrovanie citlivých dát v úložiskách, ak je to primerané
  • pravidelné zálohy s testom obnovy (nie len „zálohujeme“, ale „vieme obnoviť“)
  • oddelenie záloh od hlavného systému (ochrana pred ransomvérom)
  • jasne definované RPO/RTO (koľko dát si môžete dovoliť stratiť a ako rýchlo musíte obnoviť prevádzku)

Krok 9: Vyberte technológie primerane riziku (nie podľa módy)

Technológie nie sú cieľ, ale nástroj. V praxi sa najčastejšie oplatí kombinácia:

  • firewall a bezpečná konfigurácia siete
  • kvalitný antivírus a EDR podľa veľkosti firmy
  • detekcia a prevencia prienikov (IDS/IPS) tam, kde to dáva zmysel
  • DLP nástroje (Data Loss Prevention) pri citlivých dátach a väčšom objeme
  • šifrovanie, bezpečné cloudové nastavenia, MDM pre mobily
  • logovanie a monitoring (aby ste vedeli spätne zistiť, čo sa stalo)

Dôležitá poznámka: aj najlepší nástroj je slabý, ak nie je správne nastavený a pravidelne kontrolovaný.

Krok 10: Zmluvy s dodávateľmi a spracovateľmi (DPA)

Veľa firiem využíva externých dodávateľov: účtovník, mzdár, IT servis, hosting, CRM, e-mail marketing, call centrum. Ak dodávateľ spracúva osobné údaje pre vás, z pohľadu GDPR je to spravidla sprostredkovateľ a potrebujete mať upratané zmluvne:

  • predmet a trvanie spracúvania
  • typy údajov a kategórie osôb
  • bezpečnostné opatrenia
  • subdodávatelia
  • asistencie pri právach dotknutých osôb a incidentoch
  • vrátenie alebo vymazanie údajov po ukončení

Pri cloudových službách riešte aj to, či dochádza k prenosom mimo EÚ/EHP a na akom mechanizme sú postavené.

Krok 11: Školte ľudí pravidelne a prakticky

Ľudia sú najčastejšie najslabší aj najsilnejší článok zároveň. Školenie nemá byť jednorazová prezentácia „kvôli GDPR“. Má byť praktické:

  • ako rozpoznať phishing a podozrivé prílohy
  • čo robiť pri podozrení na únik (okamžité nahlásenie, nepanikáriť, nezahladzovať stopy)
  • ako posielať dokumenty bezpečne
  • ako pracovať s papiermi, skenmi, fotkami dokladov
  • pravidlá čistého stola a zamknutej obrazovky

Podstatné je aj to, aby ste podporovali kultúru hlásenia incidentov. Zamestnanec nemá mať strach nahlásiť chybu. Pri incidentoch rozhodujú minúty.

Krok 12: Pripravte plán reakcie na incident (Incident Response Plan)

Incident response plán nie je len pre korporácie. Aj malá firma potrebuje vedieť, čo robiť, keď:

  • uniknú prístupové údaje
  • stratí sa notebook
  • príde ransomvér
  • odíde e-mail s osobnými údajmi nesprávnej osobe
  • dôjde k úniku údajov z webu alebo cloudu

Plán má obsahovať:

  • ako incident rozpoznať a nahlásiť
  • kto je zodpovedný za technické kroky, komunikáciu a právne posúdenie
  • ako sa incident izoluje, rieši a dokumentuje
  • ako sa posudzuje riziko pre práva a slobody dotknutých osôb
  • kedy oznamovať incident úradu a dotknutým osobám (v prípade GDPR typicky do 72 hodín, ak je to potrebné)
  • ako spraviť poučenie a opatrenia po incidente

Odporúčam plán aspoň raz ročne otestovať na modelovej situácii. Aj krátke cvičenie ukáže diery.

Krok 13: Auditujte, testujte a zlepšujte (GDPR) nie je „hotovo“

Ochrana osobných údajov je proces. Aspoň raz ročne si prejdite:

  • interný audit súladu (dokumenty, realita v systémoch, prístupy)
  • externý audit alebo konzultáciu, ak nemáte interné kapacity
  • skeny zraniteľností, prípadne penetračné testy pri kritických systémoch
  • kontrolu dodávateľov a ich bezpečnostných garancií
  • kontrolu retencií a vymazávania (či sa údaje naozaj mažú)

Najdôležitejšie je prepojiť audit s konkrétnym plánom nápravy, termínmi a zodpovednosťami.

Krok 14: Zvládnite práva dotknutých osôb bez stresu

Skôr či neskôr príde požiadavka: prístup k údajom, oprava, výmaz, námietka, prenosnosť.

Pripravte si:

  • interný postup, kto požiadavku prijíma a vybavuje
  • overenie identity žiadateľa (primerane)
  • lehoty a šablóny odpovedí
  • prehľad systémov, kde údaje sú (pomôže inventúra z kroku 2)
  • spôsob, ako zdokumentovať vybavenie

Keď to nemáte, jedna žiadosť vie rozhodiť firmu na týždeň. Keď to máte, je to bežná agenda.

Praktické zhrnutie: čo urobiť tento týždeň

Ak chcete začať hneď a nechcete sa stratiť v detailoch, urobte toto:

  1. Zozbierajte, kde všade sú osobné údaje (systémy, papier, zariadenia).
  2. Spíšte hlavné spracovateľské činnosti a právne základy.
  3. Skontrolujte cookies a analytiku na webe (čo sa spúšťa pred súhlasom).
  4. Zaveďte MFA a správcu hesiel, upracte prístupy.
  5. Nastavte zálohovanie a otestujte obnovu.
  6. Pripravte jednoduchý incident plán a kontakty.
  7. Urobte krátke školenie ľudí s konkrétnymi príkladmi.

Záver

Ochrana osobných údajov nie je len o tom, aby ste „mali GDPR“. Je to o tom, aby ste vedeli, aké údaje spracúvate, prečo ich spracúvate, kto k nim má prístup a čo urobíte, keď sa niečo pokazí. Keď to postavíte krok za krokom, výsledkom bude vyššia bezpečnosť, lepšia kontrola nad firemnými informáciami a menšie riziko pokút, reputačných škôd či výpadkov.

Ak chcete, môžem vám pomôcť prejsť tento postup na mieru podľa toho, či ste e-shop, službová firma, výrobca, ambulancia alebo kancelária s HR agendou. Každé prostredie má svoje špecifiká, ale dobrý základ je vždy rovnaký.

Často kladené otázky

Prečo ochrana osobných údajov nie je len papierová povinnosť?

Ochrana osobných údajov nie je len formalita na odškrtnutie, pretože kybernetické hrozby sa neustále vyvíjajú a útočníci považujú osobné údaje za hodnotnú komoditu. Efektívna ochrana vyžaduje systematický prístup kombinujúci procesy, právne základy, zodpovednosti, školenia a technickú bezpečnosť.

Ako začať s ochranou osobných údajov vo firme?

Začnite tým, že si ujasníte, aké citlivé a hodnotné údaje vo firme máte – napríklad údaje o zákazníkoch, zamestnancoch, finančné záznamy či interné know-how. Tento krok je základom pre správne nastavenie ďalších opatrení.

Čo znamená inventúra spracúvania osobných údajov a prečo je dôležitá?

Inventúra spracúvania je podrobný záznam o tom, aké osobné údaje firma spracúva, odkiaľ ich má, na aký účel, kde sú uložené a kto k nim má prístup. Je to základ pre riadenie rizík a splnenie GDPR povinností.

Aké informácie by mala obsahovať evidencia spracovateľských činností (ROPA)?

Evidencia by mala obsahovať účely spracúvania, kategórie dotknutých osôb a údajov, príjemcov údajov, informácie o prenosoch do tretích krajín a lehoty uchovávania. Táto evidencia pomáha preukázať súlad s GDPR.

Na čo si treba dávať pozor pri mapovaní osobných údajov v rôznych formách?

Okrem elektronických dát nezabudnite na „neviditeľné“ miesta ako papierové dokumenty, prenosné zariadenia, USB kľúče, súkromné mobily alebo komunikáciu cez WhatsApp. Všetky tieto zdroje môžu obsahovať citlivé údaje.

Prečo je dôležité zaviesť ochranu osobných údajov už v malej firme?

Ochrana osobných údajov je dôležitá bez ohľadu na veľkosť firmy. Čím skôr ju nastavíte ako bežnú súčasť riadenia firmy, tým menej budete riešiť problémy v budúcnosti a lepšie ochránite svoje dáta pred kybernetickými hrozbami.

Predchádzajúci článok Ďalší článok

Čo potrebujete nájsť?