GDPR ochrana osobných údajov

gdpr

Čo je GDPR?

Všeobecné nariadenie o ochrane osobných údajov, anglicky General Data Protection Regulation (odtiaľ skratka „GDPR“), celým názvom nariadenie Európskeho parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov ao zrušení smernice 95/46 / ES, je novou celoeurópsky priamo záväznú komplexné právne reguláciou, ktorá výrazne zvýši ochranu osobných údajov občanov. GDPR nadobúda účinnosť 25. mája 2018.

O čo ide?

GDPR je novou celoeurópskou právnou úpravou ochrany osobných údajov, ktorá úplne nahrádza, dopĺňa a sprísňuje súčasnú legislatívu. Norma nadobúda účinnosť dňom 25. mája 2018.

Týka sa mojej firmy?

GDPR sa týka všetkých podnikov, ktoré v rámci svojej činnosti spracúvajú osobné údaje. Norma inými slovami dopadá na akéhokoľvek podnikateľa, ktorý má aspoň jedného zamestnanca, má medzi svojimi klientmi fyzické podnikajúce osoby a pod.

Čo mi hrozí?

Za porušenie povinnosti ustanovenej GDPR môže správcov ukladané opatrenia, ako napríklad nariadenie uviesť spracovávanie do súladu so zákonom a pod. V závažnejších prípadoch aj peňažná pokuta.

Čo musím spraviť?

Každý podnikateľ by si mal analyzovať, ktoré povinnosti na neho budú dopadať a podľa toho vykonať implementáciu potrebných zmien. Zmeny sa určite budú týkať právnej dokumentácie.

Čo sú to osobné údaje?

Osobným údajom je akákoľvek informácia o identifikovanej alebo identifikovateľnej osobe, tj. Osobe, ktorú možno priamo alebo nepriamo identifikovať pomocou identifikátora, ako je napríklad meno, identifikačné číslo, lokačné údaje. Za osobný údaj sa považuje meno, adresa, telefónne číslo. Novo sú za osobný údaj považované sieťové identifikátory, medzi ktoré patrí napr. Cookies alebo IP adresa.

Ďalej sa rozlišuje citlivý údaj, čo je osobný údaj, ktorý vypovedá o rasovom či etnickom pôvode, politických postojoch, členstvo v politických organizáciách, náboženstva a svetonázoru, odsúdení za trestný čin, zdravotnom stave a sexuálnom živote subjektu údajov či genetický údaj. Citlivé osobné údaje sa spracovávajú pod oveľa prísnejším režimom, než ako je tomu u osobných údajov.

Nariadenie GDPR obsahuje definíciu spracovanie. Spracovaním sa rozumie akákoľvek operácia alebo súbor operácií s osobnými údajmi alebo súbory osobných údajov. Tieto operácie sú vykonávané buď bez pomoci alebo s pomocou automatizovaných postupov (zhromaždenia, zaznamenávanie alebo pozmenenie alebo vyhľadávanie).

Test súladu vašej organizácie s GDPR

Týmto vyhodnocujeme riziká spojené so spracovaním osobných údajov, prijímame opatrenia na minimalizáciu týchto rizík a zoznamujeme dotknutej osoby o zásadách spracovaní osobných údajov podľa nariadenia GDPR.

  1. ÁNO Máme osobné údaje zamestnancov, dodávateľov alebo zákazníkov (Meno, priezvisko, adresa, e-mail, telefón a ďalšie nevyhnutné osobné údaje)
  2. ÁNO Máme iba osobné údaje potrebné pre podnikanie
  3. ÁNO Nepotrebné osobné údaje nezhromažďujeme, pokiaľ zákon neprikazuje uchovanie údajov
  4. ÁNO Nositeľa osobných údajov zoznamujeme, že spracovávame ich osobné údaje a môžu u nás žiadať o vysvetlenie, o opravu, vymazanie údajov či podať námietku proti ich spracovaniu, nespokojní sa môžu obrátiť na orgán dohľadu Úrad pre ochranu osobných údajov.
  5. ÁNO Nemáme citlivé údaje ani nevedieme zdravotné záznamy (Okrem posudkov o zdravotnom stave a práceschopnosti zamestnancov).
  6. ÁNO Odovzdávame osobné údaje len zamestnancom a dodávateľom zaviazaným mlčanlivosťou
  7. ÁNO Máme osobné údaje v počítači a v telefóne chránené heslom
  8. ÁNO Máme osobné údaje v zamknutej miestnosti
  9. ÁNO Máme dôležité dokumenty s osobnými údajmi v normálnej uzamykateľnej skrini (Pracovné zmluvy a pod.)
  10. ÁNO Máme osobné údaje len pre svoje podnikanie (Plnenie zmlúv, objednávok a pod.)
  11. ÁNO Máme osobné údaje pre plnenie zákonných povinností (Vedenie účtovníctva, miezd a pod.)
  12. ÁNO Máme osobné údaje pre ochranu svojich záujmov (Správa pohľadávok, súdne / správne / iné konanie a pod.)
  13. ÁNO Nikomu neoprávnenému nesprístupňuje osobné údaje
  14. ÁNO Nikomu neposielame nevyžiadanú poštu
  15. ÁNO Zamestnanci vie, že musí chrániť osobné údaje a sú viazaní mlčanlivosťou
  16. ÁNO Zamestnanci vie, že osobné údaje nesmú sprístupňovať neoprávneným osobám
  17. ÁNO Dodávatelia vie, že musí chrániť osobné údaje a sú viazaní mlčanlivosťou
  18. ÁNO Dodávatelia vie, že osobné údaje nesmú sprístupňovať neoprávneným osobám

 

Odpovede ÁNO znamenajú, že principiálne všetko robíme v súlade s nariadením GDPR. Ak nie, urobíme vždy opatrenia potrebné k odpovedi ÁNO, potom máme opäť všetko v poriadku.

Cenník služieb
Často kladené otázky
Potrebujeme zodpovednú osobu?

Iba ak spracúvate údaje vo veľkom rozsahu napríklad 250 zamestnancov alebo klientov.

Je školenie ochrany údajov povinné pre zamestnancov?

Nie, avšak zamestnávateľ musí zabezpečiť u svojich zamestnancov aby vedeli ako narábať s osobnými údajmi.

Je potrebná dokumentácia pri spracúvaní údajov?

V závislosti od spracúvania údajov sú potrebné jednotlivé dokumenty ako napríklad súhlas dotknutej osoby so spracúvaním údajov a pod.

Musím pri objednávke používať súhlas dotknutej osoby so spracúvaním údajov?

Nie, pretože tam funguje právny základ osobitného zákona, ktorý povoľuje spracúvať fakturačné údaje pre vybavenie objednávky.

Kto môže byť zodpovedná osoba?

Ktokoľvek so skúsenosťami, musí byť nezávislý a bez konfliktu záujmu k činnosti.

Kto všetko spadá pod GDPR?

GDPR sa vzťahuje na všetky fyzické alebo právnické osoby, orgány verejnej moci, agentúry alebo iné subjekty, ktoré zhromažďujú alebo spracúvajú osobné údaje. Veľkosť subjektu tu nehrá žiadnu úlohu.

Bude sa GDPR riadiť aj živnostník?

Ak živnostník bude zhromažďovať alebo spracovávať osobné údaje, bude sa aj jeho týkať GDPR. Živnostník môže spracovávať osobné údaje svojich klientov alebo dodávateľov.

A čo eshop s dvomi zamestnancami a GDPR?

Áno, aj e-shop s dvoma zamestnancami sa bude riadiť GDPR. Ochrana osobných údajov sa týka nielen zamestnancov, ale aj zákazníkov, a to bez ohľadu na ich počet.

Čo je to "rozsiahle spracúvanie údajov"?

Tieto termíny nie sú v nariadení jasne definované, podľa výkladových vodítok WP 29 je rozsiahle spracovanie definované pomocou niekoľkých faktorov: počet dotknutých subjektov údajov, objem dát, trvanie spracovania, územný rozsah. Ako príklad rozsiahleho spracovania možno uviesť spracovávanie údajov o pacientoch v rámci bežnej činnosti nemocnice (spracovanie údajov o pacientoch jednotlivým lekárom sa však za rozsiahle nepovažuje). Rozsiahlym spracovaním bude aj spracovanie osobných údajov vyhľadávačom pre potreby cielené reklamy či spracovanie zákazníckych dát v rámci bežnej obchodnej činnosti poisťovne alebo banky.

Akú úlohu hrá úrad na ochranu osobných údajov?

Povinnosť registrácie (oznámenia spracovanie osobných údajov) s účinnosťou GDPR odpadá. GDPR Úrad zachováva a upravuje ho ako nezávislý dozorný úrad.

Mal by byť odopretý prístup zákazníkovi ktorý odmietol súhlas so spracúvaním osobných údajov?

Dotknuté osoby je udeliť jednoznačný a ničím nepodmienečný súhlas. Ak sa na spracovanie osobných údajov takýto súhlas potrebuje a subjekt tento súhlas neudelí, nemôže to byť dôvodom na odmietnutie poskytnúť službu, ak to samotná služba nevyžaduje. Konkrétny príklad u e-shope: ak poskytnem jej prevádzkovateľovi osobné údaje potrebné na zakúpenia výrobku, tak neudelenie súhlasu na zasielanie marketingových mailov nemôže byť dôvodom odmietnutia samotného zakúpení produktu.

Formulár pre cenovú ponuku GDPR

Spracúvate aj citlivé údaje?

Kde spracúvate údaje?

Aké informačné systémy používate?

Aké údaje spracúvate?

Aké zabezpečenie používate?

Máte už dosť písania stovky strán dokumentu?

Pripojte sa k našim tisícom používateľov