Novinky, Strana 3

Ako GDPR súvisí so smernicou o súkromí a elektronických komunikáciách

GDPR (Všeobecné nariadenie o ochrane údajov) a smernica o súkromí a elektronických komunikáciách (ePrivacy Directive, často nazývaná aj „cookie zákon“) sú dva základné právne predpisy EÚ, ktoré sa venujú ochrane súkromia a osobných údajov v digitálnom prostredí. Hoci majú spoločný cieľ – chrániť práva jednotlivcov – ich rozsah, zameranie a pravidlá sa v niektorých oblastiach líšia a zároveň sa dopĺňajú.

 Ako sa tieto predpisy dopĺňajú a prekrývajú

• Súhlas a cookies: ePrivacy Directive vyžaduje, aby webové stránky získali informovaný súhlas pred uložením cookies alebo podobných technológií do zariadenia používateľa (okrem technicky nevyhnutných cookies). GDPR potom stanovuje, aké má byť znenie a forma tohto súhlasu, aby bol platný – teda musí byť slobodný, konkrétny, informovaný a jednoznačný.
• Elektronický marketing: ePrivacy Directive upravuje pravidlá pre zasielanie marketingových e-mailov a iných elektronických správ (napr. vyžaduje súhlas príjemcu). Ak sa v tejto komunikácii spracúvajú osobné údaje (napr. e-mailová adresa), platí zároveň GDPR a je potrebné zabezpečiť aj jeho požiadavky.
• Dôvernosť komunikácie: ePrivacy Directive chráni dôvernosť obsahu aj metaúdajov elektronickej komunikácie, a to aj v prípadoch, keď nejde o osobné údaje. Ak však komunikácia obsahuje alebo generuje osobné údaje, platí popri ePrivacy Directive aj GDPR.
• Sankcie a dohľad: Porušenia oboch predpisov môžu viesť k vysokým pokutám. GDPR stanovuje prísnejšie sankcie (až do 20 miliónov eur alebo 4 % celosvetového obratu), ePrivacy Directive má podobné, ale ich výška a uplatňovanie závisí od národných orgánov.

Príklady súbežného uplatnenia

• Cookies: Na používanie cookies potrebujete súhlas podľa ePrivacy Directive. Ak cookies zhromažďujú osobné údaje (napr. IP adresu), musíte zároveň splniť požiadavky GDPR na spracovanie osobných údajov a informovať používateľa o spracovaní týchto údajov.
• E-mail marketing: Na zasielanie newsletterov potrebujete súhlas podľa ePrivacy Directive. Ak uchovávate e-mailové adresy, musíte ich spracúvať v súlade s GDPR (napr. umožniť prístup, opravu, výmaz údajov).

Lex specialis: Ktorý predpis má prednosť?

V oblasti elektronickej komunikácie a cookies má ePrivacy Directive charakter lex specialis, teda špeciálneho predpisu, ktorý má prednosť pred GDPR v otázkach, kde sa ich pôsobnosť prekrýva. GDPR sa však uplatňuje na všetky ďalšie aspekty spracovania osobných údajov.

Budúcnosť: ePrivacy Regulation

Smernica o súkromí a elektronických komunikáciách sa mala nahradiť priamo uplatniteľným nariadením ePrivacy Regulation, ktoré by zosúladilo pravidlá naprieč EÚ a lepšie ich prepojilo s GDPR. Tento proces však zatiaľ nebol ukončený a smernica stále platí.

GDPR a smernica o súkromí a elektronických komunikáciách sa navzájom dopĺňajú: GDPR poskytuje všeobecný rámec pre ochranu osobných údajov, zatiaľ čo ePrivacy Directive rieši špecifické otázky elektronickej komunikácie, cookies a marketingu. V praxi často platia obe naraz a organizácie musia zabezpečiť súlad s oboma predpismi, aby chránili práva jednotlivcov a vyhli sa sankciám.

GDPR vzory (šablóny) sú vopred pripravené dokumenty, ktoré majú organizáciám uľahčiť splnenie povinností podľa nariadenia GDPR. Zahŕňajú najmä vzorové zásady ochrany osobných údajov, záznamy o spracovaní, súhlasy, zmluvy so sprostredkovateľmi či interné smernice. Ich využitie má svoje výhody aj nevýhody, ktoré je potrebné zvážiť pred rozhodnutím, či sú pre vašu organizáciu vhodným riešením.

Výhody GDPR vzorov

• Úspora času a zdrojov

Šablóny umožňujú rýchlejšie vytvoriť potrebnú dokumentáciu bez nutnosti začínať od nuly. To je výhodné najmä pre malé firmy a živnostníkov, ktorí nemajú kapacitu na rozsiahle právne analýzy.

• Konzistentnosť a prehľadnosť

Vzory zabezpečia jednotný štýl a štruktúru dokumentácie, čo uľahčuje správu a aktualizácie.

• Odborné spracovanie

Kvalitné šablóny bývajú pripravené odborníkmi na GDPR a právnikmi, takže obsahujú všetky povinné náležitosti a zohľadňujú legislatívne požiadavky.

• Finančná dostupnosť

Vzorová dokumentácia je často cenovo výhodnejšia ako individuálne právne služby alebo komplexné konzultácie.

• Praktické návody a metodiky

Niektoré balíky obsahujú aj manuály, projektové plány či odporúčania, ktoré uľahčujú implementáciu GDPR v praxi.

Nevýhody GDPR vzorov

• Obmedzená prispôsobiteľnosť

Šablóny nemusia presne zodpovedať špecifikám konkrétnej organizácie, jej procesom a rizikám. Vyžadujú úpravy na mieru, inak hrozí neúplný alebo nesprávny súlad s GDPR.

• Riziko zastaranosti

Nie všetky vzory sú pravidelne aktualizované podľa zmien v legislatíve alebo odporúčaní úradov, čo môže viesť k použitiu neaktuálnych dokumentov.

• Nedostatočné pokrytie rizík a špecifík

Vzory často nezahŕňajú pokročilé oblasti ako analýza rizík, test proporcionality či posúdenie vplyvu (DPIA), ktoré sú pre niektoré firmy povinné.

• Možnosť nesprávnej aplikácie

Bez dostatočných znalostí môže organizácia nesprávne určiť právny základ, opomenúť povinné zmluvy so sprostredkovateľmi alebo nesprávne reagovať na žiadosti dotknutých osôb.

• Generický jazyk

Šablóny často používajú všeobecné formulácie, ktoré nemusia vystihovať konkrétne procesy a kultúru organizácie, čo môže znižovať dôveru a transparentnosť.

Pre koho sú GDPR vzory vhodné?

• Malé firmy a živnostníci

Pre subjekty s jednoduchými procesmi a obmedzenými zdrojmi môžu byť vzory dostačujúce, ak ich dokážu správne prispôsobiť a doplniť podľa vlastnej situácie.

• Organizácie s GDPR znalosťami

Ak má firma interného odborníka alebo skúsenosti s ochranou údajov, môže šablóny využiť ako základ a prispôsobiť ich do plne vyhovujúcej podoby.

• Ako východisko alebo inšpirácia

Vzory môžu poslúžiť ako obsahový návod, ktorý pomôže identifikovať potrebné oblasti dokumentácie.

Pre koho nie sú GDPR vzory vhodné?

• Stredné a veľké organizácie so zložitými procesmi

Firmy s komplexnou štruktúrou, viacerými pobočkami, zahraničnými aktivitami alebo spracovaním citlivých údajov potrebujú individuálne riešenia a právne poradenstvo na mieru.

• Organizácie bez znalostí GDPR

Ak firma nemá dostatočné povedomie o ochrane osobných údajov, môže nesprávne aplikovať vzory a vystaviť sa riziku pokút alebo reputačnej ujmy.

GDPR vzory môžu byť užitočným nástrojom na zjednodušenie dokumentácie a úsporu nákladov najmä pre malé firmy a začínajúcich podnikateľov. Ich použitie však vyžaduje základné znalosti problematiky a dôsledné prispôsobenie konkrétnym podmienkam organizácie. Pre väčšie alebo zložitejšie firmy je vhodnejšie investovať do individuálne pripravenej dokumentácie a odborného poradenstva, aby bol súlad s GDPR skutočne komplexný a bez rizika.

Sprostredkovateľská zmluva v zmysle GDPR (často označovaná aj ako „zmluva o spracúvaní osobných údajov“) je základným dokumentom, ktorý upravuje vzťah medzi prevádzkovateľom (tým, kto určuje účely a prostriedky spracúvania osobných údajov) a sprostredkovateľom (tým, kto spracúva osobné údaje v mene prevádzkovateľa).

Prečo je sprostredkovateľská zmluva dôležitá?

Táto zmluva je povinná podľa článku 28 GDPR a jej cieľom je zabezpečiť, aby spracúvanie osobných údajov prebiehalo v súlade s právnymi požiadavkami a aby boli jasne definované práva a povinnosti oboch strán. Zmluva tiež chráni prevádzkovateľa pred rizikami a zodpovednosťou v prípade porušenia ochrany údajov zo strany sprostredkovateľa.

Kedy je potrebná?

Sprostredkovateľská zmluva sa uzatvára vždy, keď externý subjekt spracúva osobné údaje v mene prevádzkovateľa – napríklad pri outsourcingu účtovníctva, IT služieb, cloudových riešení či marketingových agentúr. Zmluva musí byť uzatvorená pred začatím spracúvania údajov, najneskôr v deň jeho začatia.

Čo musí sprostredkovateľská zmluva obsahovať?

Podľa GDPR musí zmluva obsahovať minimálne tieto náležitosti:

• Predmet, povahu, účel a dobu spracúvania osobných údajov
• Typ osobných údajov a kategórie dotknutých osôb
• Práva a povinnosti prevádzkovateľa (napr. poskytovanie pokynov sprostredkovateľovi)
• Povinnosti sprostredkovateľa, najmä:
• spracúvať údaje len na základe písomných pokynov prevádzkovateľa,
• zabezpečiť dôvernosť a mlčanlivosť všetkých osôb, ktoré majú k údajom prístup,
• prijať primerané technické a organizačné opatrenia na ochranu údajov,
• dodržať podmienky zapojenia ďalšieho sprostredkovateľa (subsprostredkovateľa) len so súhlasom prevádzkovateľa a za rovnakých podmienok,
• pomáhať prevádzkovateľovi pri plnení povinností voči dotknutým osobám (napr. vybavovanie žiadostí o prístup, opravu, výmaz),
• oznamovať prevádzkovateľovi akékoľvek porušenie ochrany údajov bez zbytočného odkladu,
• po skončení spracúvania údaje vrátiť alebo zlikvidovať podľa pokynov prevádzkovateľa,
• umožniť prevádzkovateľovi audit alebo kontrolu plnenia povinností podľa GDPR,
• informovať prevádzkovateľa, ak by jeho pokyny boli v rozpore s GDPR.

Ďalšie odporúčané ustanovenia

Okrem povinných náležitostí je vhodné v zmluve upraviť aj:

• spôsob riešenia zodpovednosti a náhrady škody,
• detailné bezpečnostné opatrenia,
• špecifikáciu postupu pri ukončení zmluvy a likvidácii údajov,
• postupy pri prenose údajov mimo EÚ/EHP.

Forma zmluvy

Sprostredkovateľská zmluva musí byť uzatvorená písomne, za čo sa považuje aj elektronická forma.

Sprostredkovateľská zmluva podľa GDPR je povinným právnym nástrojom na ochranu osobných údajov v prípadoch, keď externý subjekt spracúva údaje v mene prevádzkovateľa. Jej obsah a uzatvorenie sú kľúčové pre preukázanie súladu s GDPR a minimalizáciu rizík pre obe zmluvné strany. Prevádzkovatelia by mali vždy presne špecifikovať podmienky spracúvania a pravidelne kontrolovať plnenie zmluvy zo strany sprostredkovateľa.

Rozdiel medzi pseudonymizáciou a anonymizáciou osobných údajov spočíva v miere ochrany identity a v právnych dôsledkoch podľa GDPR.

Pseudonymizácia

• Definícia: Pseudonymizácia je proces, pri ktorom sa identifikačné údaje nahradia pseudonymom (napr. číselným kódom alebo iným identifikátorom), ktorý sám o sebe neumožňuje priamu identifikáciu osoby. K pôvodnej identite je však stále možné sa dostať, ak existuje dodatočná informácia (napr. zoznam, ktorý prepája pseudonymy s reálnymi osobami) a táto informácia je uchovávaná oddelene a chránená.
• Právny status: Pseudonymizované údaje sa podľa GDPR stále považujú za osobné údaje, pretože existuje možnosť spätného priradenia identity. Na takéto údaje sa teda vzťahujú všetky povinnosti GDPR.
• Príklad: Výskumný súbor, kde sú mená nahradené kódmi, pričom výskumník má osobitný súbor, ktorý umožňuje spätne zistiť, komu ktorý kód patrí.

Anonymizácia

• Definícia: Anonymizácia je proces, pri ktorom sa všetky identifikačné informácie odstránia alebo zmenia tak, že už nie je možné žiadnym spôsobom identifikovať konkrétnu osobu – a to ani s použitím ďalších informácií. Anonymizácia je nezvratná a nie je možné obnoviť pôvodnú identitu.
• Právny status: Údaje, ktoré boli skutočne anonymizované, sa už nepovažujú za osobné údaje a nevzťahuje sa na ne GDPR. Takéto údaje je možné voľne používať, napríklad na štatistické alebo výskumné účely.
• Príklad: Súbor údajov, kde boli všetky identifikátory odstránené a nie je možné žiadnym spôsobom určiť, komu údaje patria.
• Pseudonymizácia znižuje riziko zneužitia údajov, ale stále umožňuje spätnú identifikáciu, preto sa na ňu vzťahuje GDPR.
• Anonymizácia úplne odstraňuje možnosť identifikácie osoby – takéto údaje už nie sú osobnými údajmi a GDPR sa na ne nevzťahuje.

Rozlišovanie medzi týmito pojmami je kľúčové pre správne nastavenie ochrany údajov a právneho súladu v organizácii.

Oprávnený záujem je jedným zo šiestich právnych základov spracúvania osobných údajov podľa GDPR. Je považovaný za najflexibilnejší právny základ, ale jeho použitie je viazané na splnenie konkrétnych podmienok a nie je vhodný pre všetky situácie.

Kedy možno použiť oprávnený záujem

Oprávnený záujem možno použiť, ak sú splnené tieto tri podmienky (tzv. trojstupňový test):

1. Účelový test: Spracúvanie sleduje skutočný, konkrétny a zákonný záujem prevádzkovateľa alebo tretej strany (napr. prevencia podvodov, zabezpečenie IT bezpečnosti, priame marketingové aktivity, administratívne účely, ochrana majetku).
2. Test nevyhnutnosti: Spracúvanie je nevyhnutné na dosiahnutie tohto záujmu a neexistuje menej invazívny spôsob, ako ho dosiahnuť.
3. Vyvažovací test: Záujem prevádzkovateľa neprevažuje nad právami a slobodami dotknutých osôb. Musí sa posúdiť, či by dotknuté osoby spracúvanie rozumne očakávali, či má spracúvanie minimálny dopad na ich súkromie a či by im nespôsobilo neprimeranú ujmu.

Oprávnený záujem je často vhodný, ak:

• použitie údajov je v súlade s očakávaniami dotknutej osoby,
• spracúvanie má minimálny dopad na súkromie,
• spracúvanie je v záujme prevádzkovateľa alebo tretej strany (napr. marketing existujúcim zákazníkom, prevencia podvodov, zabezpečenie siete).

Kedy oprávnený záujem použiť nemožno

Oprávnený záujem nemožno použiť, ak:

• existuje iný vhodnejší právny základ (napr. zákonná povinnosť, zmluva, súhlas),
• spracúvanie by bolo pre dotknutú osobu neočakávané alebo by jej spôsobilo ujmu,
• práva a slobody dotknutej osoby prevažujú nad záujmom prevádzkovateľa,
• ide o spracúvanie citlivých údajov (osobitné kategórie údajov, napr. zdravie, rasa, náboženstvo) – tu je použitie oprávneného záujmu veľmi obmedzené a väčšinou nevhodné,
• spracúvanie je vykonávané verejným orgánom pri plnení jeho úloh ako verejnej moci.

Oprávnený záujem nie je vhodný, ak by dotknuté osoby s vysokou pravdepodobnosťou nesúhlasili, ak by boli o spracúvaní informované, alebo ak by spracúvanie bolo v rozpore s ich očakávaniami.

Ako správne postupovať

• Vykonajte posúdenie oprávneného záujmu (LIA): Dokumentujte účel, nevyhnutnosť a vyváženie záujmov voči právam jednotlivca.
• Transparentnosť: Informujte dotknuté osoby o spracúvaní na základe oprávneného záujmu.
• Rešpektujte práva dotknutých osôb: Umožnite im namietať proti spracúvaniu ich údajov na tomto právnom základe.

Oprávnený záujem možno použiť, ak je spracúvanie v záujme prevádzkovateľa, je nevyhnutné a neprevažuje nad právami dotknutých osôb. Nemožno ho použiť pri spracúvaní citlivých údajov, ak existuje vhodnejší právny základ, alebo ak by spracúvanie bolo pre dotknuté osoby neprimerané či neočakávané.

Súhlas je jedným zo šiestich právnych základov na spracúvanie osobných údajov podľa GDPR. Je vhodné ho použiť najmä vtedy, keď chcete, aby dotknutá osoba výslovne a slobodne súhlasila s konkrétnym účelom spracúvania jej údajov – a zároveň nemáte k dispozícii iný vhodnejší právny základ (napr. zmluva, zákonná povinnosť, oprávnený záujem).

Kedy je vhodné použiť súhlas?

1. Marketingové účely

Ak chcete zasielať newsletter, reklamné e-maily alebo iné marketingové oznámenia, potrebujete od príjemcu výslovný a informovaný súhlas. Súhlas musí byť konkrétny pre daný účel a príjemca ho môže kedykoľvek odvolať.

2. Výskumné účely

Pri zbere osobných údajov na výskumné alebo štatistické účely je vhodné získať explicitný súhlas účastníkov. Musia byť jasne informovaní o účele, rozsahu a potenciálnych rizikách.

3. Spracúvanie citlivých údajov

Ak spracúvate citlivé údaje (napr. o zdraví, rasovom/etnickom pôvode, sexuálnej orientácii), súhlas musí byť výslovný, informovaný a konkrétny.

4. Spracúvanie údajov detí

Pri spracúvaní údajov detí do 16 rokov je potrebný súhlas rodiča alebo zákonného zástupcu.

5. Automatizované rozhodovanie

Ak používate automatizované rozhodovanie alebo profilovanie, je často potrebné získať výslovný súhlas a dotknutú osobu informovať o procese a dôsledkoch.

Kedy nie je vhodné použiť súhlas?

• Ak existuje iný vhodnejší právny základ (napr. plnenie zmluvy, zákonná povinnosť, oprávnený záujem), je lepšie použiť ten.
• Ak nemôžete zabezpečiť skutočne slobodnú voľbu (napr. ak je súhlas podmienkou pre poskytnutie služby a osoba nemá reálnu možnosť odmietnuť).
• Ak je spracúvanie nevyhnutné na výkon verejnej moci alebo splnenie zákonnej povinnosti.

Ako má vyzerať platný súhlas?

• Musí byť slobodne daný, konkrétny, informovaný a jednoznačný (napr. zaškrtnutím políčka, podpisom).
• Osoba musí byť jasne informovaná o účele spracúvania a o možnosti svoj súhlas kedykoľvek odvolať.
• Súhlas nesmie byť vopred zaškrtnutý alebo podmienkou pre využitie služby, ak to nie je nevyhnutné.

Súhlas je vhodné použiť najmä pri marketingu, výskume, spracúvaní citlivých údajov, údajov detí a pri automatizovanom rozhodovaní. Vždy musí byť slobodný, konkrétny, informovaný a odvolateľný. Ak je k dispozícii iný právny základ, je často vhodnejšie použiť ten.

Kybernetická bezpečnosť je v súčasnosti jedným z najdôležitejších pilierov ochrany organizácií, štátov aj jednotlivcov. S rastúcou digitalizáciou, rozvojom cloudových služieb, internetu vecí (IoT) a umelej inteligencie narastá aj riziko kybernetických útokov, ktoré môžu mať vážne finančné, reputačné aj spoločenské dôsledky.

Základy kybernetickej bezpečnosti

Kybernetická bezpečnosť zahŕňa ochranu systémov, sietí a dát pred neoprávneným prístupom, zneužitím, poškodením alebo zničením. Kľúčové princípy zahŕňajú:

• Identifikáciu a ochranu dát: Citlivé informácie je potrebné identifikovať a chrániť šifrovaním, správou prístupov a monitorovaním aktivít.
• Prevenciu a detekciu: Opatrenia na predchádzanie útokom (firewally, antivírusy, školenia) a schopnosť rýchlo odhaliť a reagovať na incidenty.
• Odpoveď a obnova: Pripravenosť na rýchlu reakciu pri útoku a schopnosť obnoviť normálnu prevádzku.

Vplyv kybernetickej bezpečnosti

• Podniková bezpečnosť: Úniky dát môžu firmám spôsobiť stratu dôvery zákazníkov, pokuty a prerušenie prevádzky. Priemerná cena dátového úniku dosahuje milióny dolárov a môže viesť až k zániku firmy.
• Osobná bezpečnosť: Jednotlivci čelia riziku krádeže identity, finančných strát a zneužitia osobných údajov.
• Národná bezpečnosť: Kybernetické útoky môžu ochromiť kritickú infraštruktúru štátov (energetika, zdravotníctvo, doprava) a vyžadujú koordinovanú obranu medzi vládami a súkromným sektorom.

Najlepšie postupy v kybernetickej bezpečnosti

• Vzdelávanie a tréning: Ľudský faktor je najčastejšou príčinou incidentov. Pravidelné školenia zamestnancov a budovanie povedomia o hrozbách výrazne znižujú riziko.
• Aktualizácie a záplaty: Pravidelné aktualizovanie softvéru a systémov eliminuje známe zraniteľnosti.
• Zálohovanie dát: Pravidelné zálohy umožňujú obnovu dát po útoku alebo havárii.
• Monitorovanie a analýza: Kontinuálne sledovanie systémov a analýza bezpečnostných udalostí umožňuje rýchlu reakciu na incidenty.
• Silné heslá a viacfaktorová autentifikácia: Komplexné heslá a dvojfaktorová autentifikácia výrazne zvyšujú ochranu účtov.

Budúcnosť kybernetickej bezpečnosti

Vývoj technológií ako umelá inteligencia, strojové učenie a kvantové výpočty prinesie nové možnosti ochrany, ale aj nové typy útokov. Kybernetická bezpečnosť sa bude musieť neustále prispôsobovať meniacim sa hrozbám, ako sú AI-generované útoky, zraniteľnosti v IoT zariadeniach či štátom sponzorované kyberútoky.

Kybernetická bezpečnosť je nevyhnutnou súčasťou moderného digitálneho sveta. Chráni dáta, infraštruktúru a dôveru zákazníkov aj občanov. Investície do technológií, vzdelávania a najlepších postupov sú kľúčové pre minimalizáciu rizík a budovanie odolného digitálneho prostredia pre firmy, štáty aj jednotlivcov.

Informačná povinnosť je základnou požiadavkou GDPR, ktorá zabezpečuje transparentnosť spracúvania osobných údajov. Každá organizácia, ktorá spracúva osobné údaje, je povinná informovať dotknuté osoby o tom, ako a prečo ich údaje spracúva – a to ešte pred začatím samotného spracúvania.

Aké informácie musia byť poskytnuté?

Podľa článkov 13 a 14 GDPR musí informačná povinnosť obsahovať najmä tieto informácie:

• Totožnosť a kontaktné údaje prevádzkovateľa (a prípadne zástupcu alebo zodpovednej osoby/DPO)
• Účel a právny základ spracúvania osobných údajov
• Oprávnené záujmy (ak je právnym základom oprávnený záujem)
• Príjemcovia alebo kategórie príjemcov osobných údajov
• Prenos údajov do tretích krajín alebo medzinárodných organizácií (a informácie o zárukách, ak sa prenos uskutočňuje)
• Obdobie uchovávania osobných údajov alebo kritériá na jeho určenie
• Práva dotknutých osôb (napr. právo na prístup, opravu, výmaz, obmedzenie spracúvania, prenosnosť údajov, právo namietať)
• Právo na odvolanie súhlasu (ak je právnym základom súhlas)
• Právo podať sťažnosť dozornému orgánu
• Zákonná alebo zmluvná požiadavka na poskytnutie údajov (či je poskytnutie povinné a aké sú dôsledky neposkytnutia)
• Existencia automatizovaného rozhodovania vrátane profilovania (ak sa vykonáva)

Kedy a ako poskytovať informácie?

• Priamy zber údajov: Informácie musia byť poskytnuté najneskôr v čase získavania osobných údajov (napríklad pri registrácii, vyplnení formulára).
• Nepriamy zber údajov (od tretej strany): Informácie musia byť poskytnuté v primeranej lehote, najneskôr do jedného mesiaca, alebo pri prvom kontakte s dotknutou osobou, prípadne pri prvom poskytnutí údajov ďalšiemu príjemcovi.

Informácie musia byť poskytnuté stručne, transparentne, zrozumiteľne a ľahko dostupným spôsobom, v jazyku zrozumiteľnom cieľovej skupine (napríklad aj deťom).

Ako zabezpečiť súlad s informačnou povinnosťou?

• Aktualizujte zásady ochrany osobných údajov a ďalšie informačné materiály, aby obsahovali všetky povinné informácie.
• Zverejnite informácie na webovej stránke alebo ich poskytnite priamo pri zbere údajov (napr. v papierovom alebo elektronickom formulári).
• Používajte jasný a jednoduchý jazyk a zabezpečte, aby informácie boli ľahko dostupné a pochopiteľné pre všetky dotknuté osoby.
• Pravidelne revidujte a aktualizujte informačné povinnosti podľa zmien v procesoch alebo legislatíve.

Informačná povinnosť podľa GDPR je kľúčová pre transparentnosť a dôveru. Organizácie musia dotknuté osoby jasne a včas informovať o všetkých podstatných aspektoch spracúvania ich osobných údajov, a to spôsobom, ktorý je zrozumiteľný a ľahko dostupný.