Čo je nové pre rok 2026, Strana 5

Ak pracujete s osobnými údajmi, skôr či neskôr narazíte na dve slová, ktoré znejú podobne, ale v praxi znamenajú zásadne odlišné veci: pseudonymizácia a anonymizácia.

A nie je to len slovíčkarčenie. Z pohľadu GDPR, je rozdiel medzi nimi často rozdielom medzi tým, či:

• stále spracúvate osobné údaje (a musíte mať právny základ, plniť informačné povinnosti, riešiť práva dotknutých osôb, bezpečnosť, zmluvy so sprostredkovateľmi a podobne), alebo
• už pracujete s údajmi, ktoré nie sú osobnými údajmi (a GDPR sa na ne v zásade nevzťahuje).

Ako odborník a poradca pre GDPR to vysvetlím prakticky, s príkladmi a s dôrazom na to, čo je podstatné pri kontrolách, auditoch a nastavovaní procesov.

Prečo tieto pojmy ľudia zamieňajú

V bežnej reči sa často hovorí „zrušili sme mená, tak je to anonymné“. Lenže v GDPR svete to takto jednoduché nie je.

Dôvod je jednoduchý: identifikácia osoby neznamená iba „poznám meno“. Identifikácia môže byť:

• priama (meno, rodné číslo, e-mail typu meno.priezvisko@…),
• nepriama (kombinácia údajov, ktorá v praxi stačí na určenie konkrétnej osoby),
• alebo dokonca pravdepodobnostná (stačí vysoká miera istoty, že ide o tú istú osobu).

A práve tu sa láme rozdiel medzi pseudonymizáciou a anonymizáciou.

Rýchla definícia (v jednej minúte)

Pseudonymizácia

Nahrádza identifikačné údaje pseudonymom (napríklad kódom), pričom stále existuje spôsob, ako sa dá osoba spätne identifikovať, typicky cez samostatne uložený kľúč alebo doplnkové informácie.

• Pseudonymizované údaje sú podľa GDPR stále osobné údaje.
• Dôvod: re-identifikácia je možná (aj keď je sťažená).

Anonymizácia

Nezvratne odstráni alebo upraví identifikátory tak, aby už nebolo možné osobu identifikovať žiadnym rozumným spôsobom.

• Anonymizované údaje nie sú osobné údaje.
• GDPR sa na ne nevzťahuje (ak je anonymizácia skutočne robustná a nezvratná).

Pseudonymizácia: čo to presne je a čo nie

Pseudonymizácia typicky vyzerá takto:

• Meno a priezvisko nahradíte kódom: Zákazník_000153
• E-mail nahradíte interným identifikátorom: ID_7842
• Rodné číslo nahradíte tokenom: TKN-9F4A-22

Dôležité však je, že niekde existuje tabuľka alebo mechanizmus, ktorý hovorí:

• Zákazník_000153 = Jana Nováková, nar. …, e-mail …

Táto „mapa“ môže byť:

• samostatný súbor,
• databázová tabuľka,
• šifrovaný kľúč,
• tokenizačný systém,
• alebo dokonca „len“ prístup do iného systému, ktorý umožní spárovanie.

Typický cieľ pseudonymizácie

Cieľom je znížiť riziko pri spracúvaní údajov, najmä:

• keď s údajmi pracuje viac ľudí alebo tímov,
• keď sa údaje používajú na analýzy,
• keď sa prenášajú do testovacieho prostredia,
• alebo keď sa zdieľajú so sprostredkovateľom.

Pseudonymizácia je v GDPR vnímaná ako bezpečnostné opatrenie a dobrá prax, ale nie ako „vypnutie GDPR“.

Anonymizácia: kedy sa údaje naozaj „odpoja“ od osoby

Anonymizácia znamená, že už neexistuje rozumný spôsob, ako údaje priradiť ku konkrétnej osobe.

Často to zahŕňa:

• odstránenie priamych identifikátorov,
• generalizáciu (napríklad vekové pásma namiesto presného dátumu narodenia),
• agregáciu (napríklad počty návštev, nie história konkrétneho používateľa),
• potlačenie alebo maskovanie jedinečných znakov,
• a zohľadnenie rizika spätného spájania s inými datasetmi.

Pozor na „falošnú anonymizáciu“

Veľmi častá chyba je predstava, že stačí odstrániť mená. Lenže aj bez mena môže byť človek identifikovateľný, ak dataset obsahuje napríklad:

• presnú polohu,
• presné časy aktivít,
• jedinečné kombinácie vlastností,
• alebo stabilné identifikátory zariadenia.

Skutočná anonymizácia musí brať do úvahy aj to, že niekto môže mať prístup k ďalším údajom, ktorými by vedel dataset „dopárovať“.

Najdôležitejší právny dôsledok: GDPR sa správa inak

Pseudonymizované údaje = osobné údaje

Ak údaje len pseudonymizujete, stále musíte riešiť všetko, čo s osobnými údajmi súvisí:

• právny základ spracúvania,
• informačné povinnosti,
• doby uchovávania,
• práva dotknutých osôb,
• bezpečnostné opatrenia,
• zmluvy so sprostredkovateľmi,
• posúdenie rizík (prípadne DPIA),
• a dokumentáciu (záznamy o spracovateľských činnostiach).

Pseudonymizácia vám však pomôže preukázať princíp integrity a dôvernosti a v praxi znižuje dopady incidentov.

Anonymizované údaje = nie sú osobné údaje

Ak sú údaje skutočne anonymizované:

• GDPR sa na ne nevzťahuje,
• nevznikajú práva dotknutých osôb voči týmto údajom,
• a nie ste viazaní požiadavkami GDPR pre daný dataset.

Ale pozor: musíte si vedieť obhájiť, že anonymizácia je reálne nezvratná. Pri pochybnostiach sa často posudzuje prísne, najmä ak ide o veľké datasety, správanie používateľov a online identifikátory.

Praktický príklad: analýza návštevnosti webu a cookies

V praxi sa s týmto rozdielom stretávam najmä pri webových stránkach, analytike a cookies.

Mnohé weby používajú cookies:

• na pohodlné prehliadanie,
• na zlepšovanie výkonu a použiteľnosti,
• na analýzu návštevnosti a správania používateľov.

Kedy to môže byť osobný údaj

Ak analytika pracuje s identifikátormi, ktoré vedia rozlišovať používateľa (napríklad klientské ID, reklamné identifikátory, kombinácie parametrov zariadenia), tak aj keď „nepoznáte meno“, stále môže ísť o osobné údaje.

Pseudonymizácia v analytike

Niektoré nastavenia (napríklad skrátenie IP, nahradenie identifikátorov tokenom, oddelené uloženie mapovania) môžu pripomínať pseudonymizáciu.

Výsledok: riziko sa zníži, ale GDPR typicky stále platí, lebo identifikácia alebo odlíšenie používateľa je stále možné.

Anonymizácia v analytike

Ak zbierate iba agregované štatistiky, ktoré sa nedajú priradiť k jednotlivcom (napríklad „za deň prišlo 1 240 návštev, z toho 35 % z mobilu“ bez akejkoľvek per-user histórie), ste bližšie k anonymizácii.

V online prostredí je však anonymizácia náročná. Dôvodom je množstvo nepriamych identifikátorov a možnosť prepojenia datasetov.

Konkrétne príklady: pseudonymizácia vs anonymizácia

Príklad 1: Zoznam zákazníkov

• Pseudonymizácia: namiesto mena v zozname máte ID_10025, ale účtovný systém vie dohľadať, kto to je.
• Anonymizácia: ponecháte len informáciu typu „zákazník z regiónu X nakúpil produkt Y“ bez možnosti spätne určiť, o koho išlo.

Príklad 2: Databáza e-mailov pre newsletter

• Pseudonymizácia: e-mail nahradíte hashom, ale ak máte pôvodné e-maily inde, viete ich priradiť.
• Anonymizácia: ponecháte len agregované metriky kampane (otvorenia, kliky) bez identifikácie príjemcov a bez možnosti spätnej väzby na konkrétne osoby.

Príklad 3: Testovacie prostredie (dev/test)

• Pseudonymizácia: vývojári pracujú s reálnymi dátami, len sú „prelepené“ ID-čkami. Kľúč existuje.
• Anonymizácia: testovacie dáta sú generované alebo upravené tak, že sa nedajú priradiť k reálnym osobám.

Najčastejšie omyly, ktoré vidím v praxi

1) „Keď odstránim meno, je to anonymné.“

Nie. Bez mena môže osoba ostať identifikovateľná cez iné údaje.

2) „Hashovanie je anonymizácia.“

Zvyčajne nie. Hash je často stabilný identifikátor. Ak niekto pozná vstup (napríklad e-mail), vie si ho znovu zahashovať a porovnať. A ak máte „soľ“ (salt), stále je to často len pseudonymizácia, lebo existuje spôsob mapovania alebo overenia.

3) „Pseudonymizované dáta už nepodliehajú GDPR.“

Nepresné. Pseudonymizácia je bezpečnostné opatrenie, nie vyňatie z režimu GDPR.

4) „Anonymizácia je vždy jednoduchšia a lepšia.“

Nie vždy. Anonymizácia môže výrazne znížiť použiteľnosť dát. Niekedy potrebujete pracovať s individuálnou históriou (napríklad na riešenie reklamácií). Vtedy je pseudonymizácia praktickejšia, ale musíte dodržať GDPR.

Ako si položiť správnu kontrolnú otázku

Keď chcete rozlíšiť, či ide o pseudonymizáciu alebo anonymizáciu, pýtajte sa takto:

1. Existuje kľúč, tabuľka alebo iná informácia, ktorá umožní spätné priradenie?
2. Ak áno, je to pseudonymizácia.
3. Vie niekto (vy alebo iný subjekt) s rozumným úsilím osobu identifikovať, aj keď nepriamo?
4. Ak áno, stále ide o osobné údaje.
5. Je proces nezvratný a obhájiteľný aj voči riziku prepojenia s inými datasetmi?
6. Ak áno, ste bližšie k anonymizácii.

Prečo je rozlíšenie kľúčové pre bezpečnosť a compliance

Rozlíšenie medzi pseudonymizáciou a anonymizáciou je kľúčové, lebo ovplyvňuje:

• rozsah povinností podľa GDPR,
• rizikový profil spracúvania,
• nastavenie interných prístupov (kto čo vidí),
• zmluvné vzťahy so sprostredkovateľmi,
• reakciu na incidenty,
• a často aj to, či potrebujete súhlas (napríklad v oblasti cookies a analytiky, podľa konkrétneho nastavenia a právneho posúdenia).

Pseudonymizácia je výborný nástroj na znižovanie rizík, ale nemala by sa používať ako „zámienka“, že GDPR sa už netýka.

Anonymizácia je silný nástroj, ale len vtedy, ak je urobená poctivo. Inak riskujete, že budete pracovať s osobnými údajmi, pričom sa mylne domnievate, že ide o anonymné dáta.

Praktické odporúčanie na záver

Ak si nie ste istí, držte sa konzervatívneho pravidla:

• Ak existuje čo i len rozumná možnosť re-identifikácie, berte to ako pseudonymizáciu a teda ako osobné údaje.
• Ak chcete tvrdiť anonymizáciu, pripravte si argumentáciu, prečo je identifikácia reálne vylúčená, a zohľadnite aj riziko kombinácie s inými dátami.

V praxi je často najlepšie nastaviť spracúvanie tak, aby ste mali:

• pseudonymizáciu ako štandardné bezpečnostné opatrenie (najmä v systémoch a analytike),
• a anonymizáciu tam, kde chcete pracovať so štatistikami bez potreby identifikácie (reporty, prehľady, benchmarky).

Ak chcete, pošlite mi stručný popis vášho konkrétneho použitia (napríklad analytika webu, CRM, testovacie prostredie, zdieľanie dát s dodávateľom) a poviem vám, či ste skôr v režime pseudonymizácie alebo anonymizácie, a čo to znamená pre GDPR povinnosti.

Často kladené otázky

Čo je pseudonymizácia podľa GDPR?

Pseudonymizácia je proces nahradenia identifikačných údajov pseudonymom, napríklad kódom, pričom stále existuje spôsob, ako osobu spätne identifikovať cez samostatne uložený kľúč alebo doplnkové informácie. Podľa GDPR sú pseudonymizované údaje stále považované za osobné údaje.

Aký je rozdiel medzi pseudonymizáciou a anonymizáciou?

Rozdiel spočíva v možnosti spätnej identifikácie osoby. Pseudonymizácia umožňuje re-identifikáciu prostredníctvom kľúča alebo iných údajov, zatiaľ čo anonymizácia nezvratne odstráni alebo upraví identifikátory tak, že už nie je možné osobu identifikovať žiadnym rozumným spôsobom. Anonymizované údaje už nie sú osobné údaje a GDPR sa na ne nevzťahuje.

Prečo ľudia často zamieňajú pojmy pseudonymizácia a anonymizácia?

V bežnej reči sa často hovorí „zrušili sme mená, tak je to anonymné“, no z pohľadu GDPR identifikácia osoby nie je len o mene. Identifikácia môže byť priamou, nepriamou alebo pravdepodobnostnou, čo znamená, že aj bez mena môže byť osoba identifikovateľná. Preto je dôležité rozlišovať medzi pseudonymizáciou a anonymizáciou správne.

Kedy sa používa pseudonymizácia v praxi?

Pseudonymizácia sa používa na zníženie rizika pri spracovaní osobných údajov, najmä keď s údajmi pracuje viac ľudí alebo tímov, pri analýzach, prenose do testovacích prostredí či zdieľaní so sprostredkovateľmi. Je to bezpečnostné opatrenie podľa GDPR a dobrá prax na ochranu údajov.

Čo znamená robustná a nezvratná anonymizácia?

Robustná a nezvratná anonymizácia znamená také odstránenie alebo úpravu identifikátorov v údajoch, ktorá znemožňuje akýmkoľvek rozumným spôsobom spätnú identifikáciu osoby. Ak je anonymizácia skutočne dôkladná, tieto údaje už nie sú považované za osobné a GDPR sa na ne nevzťahuje.

Ako GDPR vníma pseudonymizované údaje?

GDPR považuje pseudonymizované údaje stále za osobné údaje, pretože existuje možnosť ich spätnej identifikácie. Pseudonymizácia slúži ako bezpečnostné opatrenie na zníženie rizík pri spracovaní týchto údajov, ale neznamená oslobodenie od povinností vyplývajúcich z GDPR.

Oprávnený záujem patrí medzi najčastejšie skloňované právne základy spracúvania osobných údajov podľa GDPR. Zároveň je aj jedným z najčastejšie zneužívaných. V praxi sa s tým stretávam pravidelne: „Nechceme riešiť súhlasy, tak to dáme na oprávnený záujem.“ Takto to však nefunguje.

Oprávnený záujem nie je „voľná karta“ na spracúvanie údajov. Je to právny základ, ktorý môžete použiť iba vtedy, keď splníte konkrétne podmienky, viete ich obhájiť a najmä viete preukázať, že práva dotknutých osôb nemajú prevahu.

V tomto článku si to rozoberieme prakticky: kedy oprávnený záujem dáva zmysel, kedy je to riziko a kedy je to priamo nesprávne.

Čo je oprávnený záujem podľa GDPR

Oprávnený záujem je právny základ spracúvania podľa čl. 6 ods. 1 písm. f) GDPR. V skratke hovorí:

Spracúvanie je zákonné, ak je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, okrem prípadov, keď majú prednosť záujmy alebo základné práva a slobody dotknutej osoby.

Z toho vyplývajú tri podmienky, ktoré musia byť splnené naraz:

1. Existuje legitímny (oprávnený) záujem prevádzkovateľa alebo tretej strany.
2. Spracúvanie je nevyhnutné na dosiahnutie tohto záujmu.
3. Vyváženie záujmov dopadne v prospech prevádzkovateľa (teda práva a slobody dotknutej osoby nemajú prednosť).

Ak zlyhá čo i len jedna podmienka, oprávnený záujem použiť nemôžete.

Oprávnený záujem v praxi: čo je „legitímny“ záujem

Legitímny záujem musí byť:

• skutočný a konkrétny (nie abstraktné „chceme rásť“),
• zákonný (nie v rozpore s právnymi predpismi),
• jasne formulovaný (musíte vedieť popísať účel spracúvania),
• často aj rozumne očakávateľný z pohľadu dotknutej osoby.

Typické legitímne záujmy, ktoré bývajú v praxi relevantné:

• bezpečnosť (sieťová bezpečnosť, prevencia incidentov),
• prevencia podvodov a zneužití,
• ochrana majetku a osôb (napríklad kamerový systém, ak je nastavený správne),

Podmienka „nevyhnutnosti“: najčastejšie podceňovaná

Nestačí, že spracúvanie je „užitočné“ alebo „pohodlné“. Musí byť nevyhnutné na dosiahnutie účelu.

Položte si otázky:

• Viem účel dosiahnuť aj bez osobných údajov?
• Viem ho dosiahnuť s menším rozsahom údajov?
• Viem ho dosiahnuť iným, menej invazívnym spôsobom?

Ak existuje rozumnejšia, menej invazívna alternatíva, oprávnený záujem je slabší a v teste vyváženia často neobstojí.

Test vyváženia záujmov: prečo je kľúčový

Tretia podmienka je najdôležitejšia: musíte posúdiť, či oprávnený záujem neprebije práva a slobody dotknutej osoby. Toto sa robí cez tzv. Legitimate Interest Assessment (LIA), teda posúdenie oprávneného záujmu.

Pri vyvažovaní sa typicky hodnotí:

• vzťah dotknutej osoby k prevádzkovateľovi (zákazník, návštevník webu, zamestnanec, náhodný okoloidúci),
• rozumné očakávania dotknutej osoby (očakáva takýto typ spracúvania?),
• povaha údajov (bežné údaje vs. citlivé údaje),
• dopad spracúvania (sledovanie, profilovanie, vplyv na súkromie, riziko diskriminácie),
• záruky a opatrenia (minimalizácia, pseudonymizácia, kratšie lehoty, jednoduché námietky, opt-out).

V praxi sa oprávnený záujem často „rozpadne“ práve tu, pretože prevádzkovateľ spracúva viac údajov, dlhšie, invazívnejšie, než je potrebné, alebo bez transparentnosti.

Kedy možno oprávnený záujem použiť (typické situácie)

Nižšie sú príklady, kde oprávnený záujem často dáva zmysel, ak je spracúvanie nastavené primerane a máte spracované LIA.

1) Bezpečnosť a prevencia incidentov (IT a sieťová bezpečnosť)

Monitorovanie prístupov do systému, logovanie bezpečnostných udalostí, detekcia škodlivého správania alebo prevencia útokov bývajú typicky oprávneným záujmom.

Podmienky úspechu:

• jasne definovaný účel (bezpečnosť, nie „chceme vedieť, čo zamestnanci robia“),
• minimálny rozsah údajov (čo najmenej identifikátorov),
• primerané lehoty uchovávania,
• prístup k logom len pre oprávnené osoby.

2) Prevencia podvodov a ochrana pred zneužitím služieb

E-shopy, banky, poisťovne, ale aj menšie služby môžu mať oprávnený záujem odhaľovať podvodné objednávky, neoprávnené prístupy alebo zneužitie zliav.

Pozor na:

• automatizované rozhodovanie so zásadným dopadom (tu už vstupujú ďalšie pravidlá GDPR),
• neprimerané profilovanie.

3) Marketing voči existujúcim zákazníkom (nie vždy, ale často)

Pri marketingu je oprávnený záujem „tenký ľad“, ale v niektorých prípadoch je obhájiteľný, najmä ak ide o existujúcich zákazníkov a primeranú komunikáciu.

Čo zvyčajne zvyšuje šancu, že oprávnený záujem obstojí:

• komunikácia súvisí s tým, čo si zákazník kúpil alebo o čo prejavil záujem,
• frekvencia je primeraná,
• dotknutá osoba má jednoduchú možnosť namietať/odhlásiť sa,
• nejde o rozsiahle profilovanie naprieč webmi a aplikáciami.

V slovenskom kontexte však nezabudnite, že pri e-mail marketingu vstupujú do hry aj pravidlá elektronických komunikácií. GDPR nie je jediný predpis.

4) Základná analytika a zlepšovanie služieb (opatrne)

Mnohé weby chcú analyzovať návštevnosť a zlepšovať funkcionalitu, výkon a použiteľnosť. Teoreticky sa to dá niekedy postaviť na oprávnenom záujme, ale závisí od konkrétneho nastavenia.

Rozhodujú detaily:

• či ide o údaje identifikujúce používateľa,
• či dochádza k zdieľaniu s tretími stranami,
• či ide o sledovanie naprieč webmi,
• či používate profilovanie.

Ak používate cookies a nástroje, ktoré nie sú striktne nevyhnutné, často sa v praxi dostanete k tomu, že bez súhlasu to jednoducho nie je bezpečné riešenie. Oprávnený záujem býva obhájiteľnejší pri agregovaných štatistikách, krátkych lehotách a bez zdieľania údajov s externými partnermi.

5) Uplatňovanie právnych nárokov a obrana

Uchovávanie komunikácie alebo podkladov pre prípad reklamácie, sporu či vymáhania pohľadávky môže byť oprávneným záujmom, pokiaľ to nejde priamo cez zákonnú povinnosť.

Kedy oprávnený záujem použiť nemožno (a prečo)

Tu sú situácie, kde je oprávnený záujem buď neprípustný, alebo veľmi pravdepodobne neobhájiteľný.

1) Keď existuje vhodnejší právny základ

Ak spracúvanie robíte preto, že:

• plníte zmluvu s dotknutou osobou,
• máte zákonnú povinnosť,
• potrebujete súhlas,
• chránite životne dôležité záujmy,
• vykonávate úlohu vo verejnom záujme,

tak oprávnený záujem nemá byť „náhradný“ dôvod. V praxi je častá chyba, že prevádzkovateľ označí oprávnený záujem aj tam, kde ide jednoznačne o plnenie zmluvy (napríklad spracúvanie adresy na doručenie tovaru).

2) Keď je spracúvanie pre dotknutú osobu neočakávané alebo invazívne

Ak by bežný človek nečakal, že jeho údaje budete spracúvať týmto spôsobom, je to problém.

Príklady rizikových situácií:

• rozsiahle sledovanie správania návštevníkov webu naprieč stránkami,
• kombinovanie údajov z viacerých zdrojov bez jasného vysvetlenia,
• cielená reklama založená na detailnom profile.

Čím invazívnejšie spracúvanie, tým ťažšie sa oprávnený záujem obhajuje.

3) Keď práva a slobody dotknutej osoby prevažujú

Aj keď máte legitímny účel, môžete prehrať test vyváženia. Typicky vtedy, keď:

• spracúvate veľký rozsah údajov,
• spracúvanie má výrazný dopad (napríklad reputačný, finančný),
• dotknuté osoby sú zraniteľné (deti, pacienti, zamestnanci v silne nerovnom postavení),
• používate automatizované hodnotenie alebo profilovanie.

4) Keď spracúvate osobitné kategórie údajov (citlivé údaje)

Pri osobitných kategóriách údajov (napríklad zdravotné údaje, biometria na jedinečnú identifikáciu, údaje o náboženstve, sexuálnej orientácii, politických názoroch) vám oprávnený záujem podľa čl. 6 nestačí. Potrebujete aj splnenie výnimky podľa čl. 9 GDPR.

V praxi: „Dáme to na oprávnený záujem" pri citlivých údajoch je takmer vždy nesprávne, ak nemáte jasný právny titul a výnimku.

5) Keď ste orgán verejnej moci a spracúvate v rámci úloh

Verejné orgány spravidla nemajú používať oprávnený záujem pri spracúvaní, ktoré vykonávajú v rámci svojich úradných úloh. Tam sa opierajú o verejný záujem alebo zákonnú povinnosť.

LIA: ako má vyzerať posúdenie oprávneného záujmu (praktická osnova)

Ak máte oprávnený záujem, spravte si LIA a uložte ho do dokumentácie. Nemusí to byť román, ale musí to byť zrozumiteľné a obhájiteľné.

Odporúčaná štruktúra LIA obsahuje štyri hlavné oblasti: účel a oprávnený záujem, test nevyhnutnosti, test vyváženia a záver s garancami.

1. Účel a oprávnený záujem

• Čo konkrétne chcete dosiahnuť a prečo je to legitímne.

2. Test nevyhnutnosti

• Prečo je spracúvanie potrebné.
• Aké alternatívy ste zvažovali (a prečo nestačia).
• Minimalizácia rozsahu údajov.

3. Test vyváženia

• Aké sú rozumné očakávania dotknutej osoby.
• Aký je dopad na súkromie.
• Riziká a zmierňujúce opatrenia.

4. Záver

• Prečo oprávnený záujem obstojí.
• Aké garancie ste nastavili.
• Kedy LIA prehodnotíte (napríklad pri zmene nástroja alebo účelu).

Pri niektorých spracovaniach môže byť potrebné aj DPIA (posúdenie vplyvu na ochranu údajov), najmä pri systematickom monitorovaní alebo profilovaní. LIA a DPIA nie sú to isté, ale môžu sa v praxi dopĺňať.

Transparentnosť: čo musíte povedať dotknutým osobám

Oprávnený záujem vyžaduje vysokú mieru transparentnosti. V informačnej povinnosti (zásady ochrany osobných údajov) by ste mali uviesť minimálne:

• že právnym základom je oprávnený záujem,
• aký je váš konkrétny oprávnený záujem,
• kategórie údajov, príjemcovia, lehoty uchovávania,
• informáciu o práve namietať.

Pri cookies a online analytike sa transparentnosť rieši aj cez cookie lištu a preferencie. Zásady musia sedieť s realitou. Ak v texte tvrdíte, že „cookies slúžia len na komfortné prehliadanie“, ale v pozadí beží reklamné profilovanie, je to problém.

Právo namietať: praktická povinnosť, nie formalita

Ak spracúvate na oprávnený záujem, dotknutá osoba má právo namietať. A vy musíte:

• námietku umožniť podať jednoducho,
• vyhodnotiť ju bez zbytočného odkladu,
• ak nemáte závažné oprávnené dôvody, spracúvanie ukončiť.

Pri priamom marketingu je to ešte prísnejšie: ak osoba namieta proti spracúvaniu na účely priameho marketingu, spracúvanie na tento účel sa musí zastaviť.

Rýchly kontrolný zoznam: použiť oprávnený záujem alebo nie?

Skúste si odpovedať:

• Viem jasne pomenovať legitímny účel a záujem?
• Je spracúvanie nevyhnutné, alebo len pohodlné?
• Očakáva to dotknutá osoba v danom kontexte?
• Spracúvam len minimum údajov a len primeraný čas?
• Nejde o citlivé údaje alebo zraniteľné osoby?
• Mám hotové a uložené LIA?
• Informoval som dotknuté osoby a viem vybaviť námietky?

Ak pri viacerých bodoch váhate, je to signál, že potrebujete prepracovať nastavenie alebo zvoliť iný právny základ.

Záver

Oprávnený záujem je užitočný právny základ, keď spracúvanie dáva zmysel, je primerané, očakávateľné a máte ho zdokumentované. Vtedy vie pokryť bezpečnosť, prevenciu podvodov, určité formy marketingu voči existujúcim zákazníkom či rozumné zlepšovanie služieb.

Zároveň je to právny základ, ktorý sa najľahšie „prestreľuje“. Ak je spracúvanie invazívne, neočakávané, zasahuje do súkromia alebo ide o citlivé údaje, oprávnený záujem je buď nepoužiteľný, alebo veľmi rizikový.

Ak si nie ste istí, spravte LIA poctivo. Pri GDPR platí jednoduché pravidlo: nie je dôležité, čo si myslíte, ale čo viete preukázať.

Často kladené otázky

Čo je oprávnený záujem podľa GDPR a aké podmienky musí spĺňať?

Oprávnený záujem je právny základ spracúvania osobných údajov podľa čl. 6 ods. 1 písm. f) GDPR. Spracúvanie je zákonné, ak je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, pričom nesmú mať prednosť práva a slobody dotknutej osoby. Musia byť splnené tri podmienky: existuje legitímny záujem, spracúvanie je nevyhnutné na jeho dosiahnutie a vyváženie záujmov dopadne v prospech prevádzkovateľa.

Čo znamená legitímny záujem v kontexte GDPR?

Legitímny záujem musí byť skutočný, konkrétny, zákonný a jasne formulovaný účel spracúvania osobných údajov. Okrem toho by mal byť z pohľadu dotknutej osoby rozumne očakávateľný. Príklady zahŕňajú bezpečnosť, prevenciu podvodov alebo ochranu majetku.

Prečo je podmienka nevyhnutnosti dôležitá pri oprávnenom záujme?

Spracúvanie údajov musí byť nevyhnutné na dosiahnutie oprávneného záujmu, nie len užitočné alebo pohodlné. Ak existuje menej invazívna alternatíva alebo menší rozsah údajov postačuje, oprávnený záujem nemôže byť použitý ako právny základ.

Ako funguje test vyváženia záujmov (Legitimate Interest Assessment)?

Test vyváženia záujmov hodnotí, či oprávnený záujem prevádzkovateľa prevažuje nad právami a slobodami dotknutej osoby. Posudzuje sa vzťah medzi dotknutou osobou a prevádzkovateľom, očakávania dotknutej osoby a možné riziká pre jej práva.

Môže sa oprávnený záujem použiť namiesto súhlasu na spracovanie osobných údajov?

Nie vždy. Oprávnený záujem nie je „voľná karta“ na obchádzanie súhlasov. Môže sa použiť len ak sú splnené všetky zákonné podmienky vrátane testu vyváženia, a ak práva dotknutej osoby nemajú prednosť.

Aké sú bežné príklady oprávneného záujmu v praxi?

Bežné legitímne záujmy zahŕňajú zabezpečenie sieťovej bezpečnosti, prevenciu podvodov a zneužití, ochranu majetku a osôb (napríklad správne nastavený kamerový systém). Tieto účely musia byť jasne definované a nevyhnutné pre spracovanie osobných údajov.

Súhlas so spracúvaním osobných údajov je v praxi jedna z najčastejšie skloňovaných tém GDPR. A zároveň jedna z najčastejšie nesprávne použitých.

Mnohé firmy si totiž súhlas „pre istotu“ pýtajú takmer na všetko. Od fakturácie až po vybavenie reklamácie. Lenže súhlas nie je univerzálna poistka. Je to jeden zo šiestich právnych základov spracúvania podľa GDPR a z pohľadu rizika patrí k tým náročnejším. Ak je súhlas zvolený nesprávne, alebo je nastavený tak, že nie je platný, spracúvanie je nezákonné.

V tomto článku vám vysvetlím, kedy je súhlas správna voľba, kedy sa mu radšej vyhnúť, a ako si ho nastaviť tak, aby obstál pri kontrole aj pri reálnych námietkach dotknutých osôb. Píšem to ako odborník a poradca pre GDPR, prakticky a bez zbytočnej právničiny.

Súhlas je len jeden zo šiestich právnych základov

GDPR pozná 6 právnych základov spracúvania osobných údajov (čl. 6):

1. súhlas
2. plnenie zmluvy
3. zákonná povinnosť
4. ochrana životne dôležitých záujmov
5. úloha vykonávaná vo verejnom záujme alebo pri výkone verejnej moci
6. oprávnený záujem

Súhlas je vhodný vtedy, keď:

• spracúvanie nie je nevyhnutné na zmluvu ani na zákonnú povinnosť,
• neviete sa rozumne oprieť o oprávnený záujem (alebo by to bolo „na hrane“),
• a dotknutá osoba má skutočnú slobodu voľby povedať „áno“ alebo „nie“ bez negatívneho dopadu.

Súhlas má jednu špecifickú vlastnosť: dá sa kedykoľvek odvolať. A vy musíte odvolanie rešpektovať. Preto sa súhlas nehodí na spracúvania, ktoré potrebujete robiť stabilne a predvídateľne.

Najčastejšia chyba: súhlas ako podmienka služby

Základné pravidlo znie: ak niečo potrebujete, aby ste poskytli službu alebo splnili zmluvu, nepýtajte si na to súhlas.

Príklady:

• E-shop potrebuje meno, adresu, telefón (pre doručenie) a fakturačné údaje. To je plnenie zmluvy, nie súhlas.
• Účtovníctvo, archivácia faktúr a plnenie povinností podľa daňových predpisov. To je zákonná povinnosť, nie súhlas.
• Vybavenie reklamácie, uplatnenie práv a obrana právnych nárokov. Typicky zmluva, zákonná povinnosť alebo oprávnený záujem, nie súhlas.

Ak by ste v takýchto prípadoch postavili poskytnutie služby na súhlase, vytvárate falošnú voľbu. Dotknutá osoba reálne nemôže odmietnuť, ak chce službu. Taký súhlas potom nie je „slobodne daný“, a tým pádom je neplatný.

Kedy je súhlas správna voľba (a prečo)

1) Marketing, ktorý nie je „nevyhnutný“ pre službu

Najtypickejší prípad: newsletter, promo e-maily, marketingové SMS alebo personalizované ponuky.

Tu súhlas často dáva zmysel najmä vtedy, keď:

• nejde o existujúcich zákazníkov v režime „soft opt-in“ (ak je vôbec použiteľný podľa pravidiel pre elektronickú komunikáciu),
• chcete posielať marketing širšej skupine (napr. leadom, návštevníkom webu),
• alebo chcete robiť cielenie, ktoré už ide nad rámec rozumného oprávneného záujmu.

Ako to vyzerá v praxi:

• checkbox „Chcem dostávať newsletter“ pri registrácii alebo v pätičke webu,
• jasný popis, čo budete posielať a ako často (aspoň rámcovo),
• informácia, že súhlas možno kedykoľvek odvolať (napr. odhlásenie v pätičke e-mailu).

Pozor: súhlas na marketing podľa GDPR nie je jediná povinnosť. Pri e-mailoch a cookies vám do hry vstupujú aj pravidlá ePrivacy (na Slovensku typicky cez zákon o elektronických komunikáciách). Preto odporúčam nastaviť marketingové súhlasy spolu s posúdením komunikačných pravidiel, nie izolovane.

2) Cookies a podobné technológie (najmä analytika a marketing)

Cookies často slúžia na:

• zlepšenie výkonu webu a použiteľnosti,
• analýzu návštevnosti,
• marketingové cielenie a remarketing.

V praxi rozlišujte:

• nevyhnutné cookies (na fungovanie webu, bezpečnosť, základné nastavenia): typicky bez súhlasu, na základe nevyhnutnosti
• analytické cookies (meranie návštevnosti, štatistiky): často vyžadujú súhlas, závisí od nastavenia a miery zásahu do súkromia
• marketingové cookies (profilovanie, remarketing): spravidla vyžadujú súhlas

Dobrá cookie lišta nie je len dizajnový prvok. Z pohľadu compliance rozhoduje, či:

• je odmietnutie rovnako jednoduché ako prijatie,
• sú účely jasne pomenované,
• sú súhlasy granulárne (samostatne analytika, marketing atď.),
• viete preukázať, kedy a s čím osoba súhlasila,
• a viete zabezpečiť odvolanie súhlasu.

3) Spracúvanie osobitných kategórií údajov (citlivé údaje)

GDPR spravidla zakazuje spracúvanie tzv. osobitných kategórií údajov (napr. údaje o zdraví, rasovom alebo etnickom pôvode, sexuálnej orientácii, politických názoroch, náboženskom vyznaní), pokiaľ nemáte výnimku podľa čl. 9.

Jednou z najčastejších výnimiek je výslovný súhlas.

Kedy to reálne nastáva:

• wellness alebo zdravotné služby, kde pracujete s údajmi o zdravotnom stave,
• zamestnávateľ, ktorý získava zdravotné údaje mimo povinných rámcov,
• výskumné alebo dotazníkové projekty, kde sa pýtate na citlivé charakteristiky.

Tu je dôležité slovo „výslovný“. V praxi to znamená vyšší štandard: jasné potvrdenie, bez pochybností, často samostatný checkbox s jasným textom. A veľmi dobré informačné povinnosti.

4) Výskum, štatistika a zber dát nad rámec bežnej prevádzky

Ak zbierate dáta na výskumné účely alebo interné štatistiky, súhlas môže byť vhodný najmä vtedy, keď:

• ide o údaje, ktoré nepotrebujete na zmluvu,
• ide o rozsiahlejšie sledovanie správania,
• alebo ide o citlivejšie otázky v prieskumoch.

Príklad: zákaznícky prieskum, ktorý obsahuje aj otázky mimo samotného produktu, alebo spája odpovede s konkrétnou osobou a jej správaním na webe.

Pri výskume sa často dá pracovať aj s anonymizáciou. Ak viete dáta skutočne anonymizovať, GDPR sa na anonymné dáta nevzťahuje. Mnohé firmy si to však zamieňajú s pseudonymizáciou, ktorá stále osobným údajom je.

5) Údaje detí (a rodičovský súhlas)

Ak poskytujete online služby priamo deťom a spracúvanie stojí na súhlase, potrebujete v určitých prípadoch súhlas rodiča alebo zákonného zástupcu (čl. 8). V praxi je najťažšie nastaviť:

• overenie veku,
• mechanizmus získania a preukázania rodičovského súhlasu,
• primeranú informačnú povinnosť pre dieťa.

Ak váš biznis cieli na deti (apky, hry, vzdelávanie), odporúčam riešiť to individuálne, lebo nesprávne nastavenie je vysoko rizikové.

6) Automatizované rozhodovanie a profilovanie

Ak robíte automatizované rozhodovanie, ktoré má právne účinky alebo podobne významný dopad (napr. automatické zamietnutie žiadosti, scoring), GDPR vyžaduje splnenie prísnych podmienok (čl. 22). V niektorých situáciách sa to opiera o:

• nevyhnutnosť pre zmluvu,
• oprávnenie v práve,
• alebo výslovný súhlas.

Aj keď nepôjdete cez súhlas, stále musíte plniť informačné povinnosti a zabezpečiť práva dotknutej osoby (napr. možnosť ľudského zásahu, vyjadriť stanovisko, napadnúť rozhodnutie), ak ide o režim čl. 22.

Kedy súhlas nepoužívať (aj keď sa to „tak robí“)

Súhlas nepoužívajte najmä vtedy, keď:

Spracúvanie je nevyhnutné na zmluvu

Typicky e-shop, SaaS, členské služby. Ak bez údajov neviete dodať službu, právny základ má byť plnenie zmluvy.

Spracúvanie je povinné podľa zákona

Účtovníctvo, dane, povinné evidencie. Súhlas tu nemá čo robiť, lebo aj keby ho osoba odvolala, vy aj tak musíte spracúvať ďalej. To by bol rozpor.

Oprávnený záujem je primeraný a obhájiteľný

Bezpečnosť, prevencia podvodov, základná interná analytika v primeranom rozsahu, ochrana právnych nárokov. V týchto prípadoch je často vhodnejší oprávnený záujem. Musíte však spraviť test proporcionality (LIA) a dať možnosť namietať.

Nie je reálna sloboda voľby

Najmä vzťah zamestnávateľ a zamestnanec. Súhlas v pracovnoprávnych vzťahoch je problematický, lebo existuje nerovnováha. Niekedy sa použiť dá, ale musí to byť výnimočné a skutočne dobrovoľné.

Súhlas je „zabalený“ do všeobecných podmienok

Súhlas musí byť oddelený, jasný a konkrétny. Nie schovaný v texte, ktorý nikto nečíta.

Ako má vyzerať platný súhlas (kontrolný zoznam)

Platný súhlas musí byť:

Slobodne daný

• odmietnutie nesmie zhoršiť službu, ak spracúvanie nie je nevyhnutné
• žiadne „ak nesúhlasíš, nemôžeš použiť web“ pri marketingu alebo analytike, ak nie sú nevyhnutné
• žiadny nátlak, žiadne zavádzanie

Konkrétny (špecifický)

• samostatné účely, samostatné voľby
• „súhlasím so spracúvaním na marketing“ je málo, ak robíte viac vecí (newsletter, SMS, profilovanie, odovzdanie partnerom)

Informovaný

Dotknutá osoba musí vedieť:

• kto údaje spracúva (prevádzkovateľ)
• na aké účely
• aké údaje (aspoň kategórie)
• komu sa údaje poskytujú (kategórie príjemcov, prípadne konkrétni partneri)
• ako dlho (alebo kritériá)
• že súhlas možno kedykoľvek odvolať a ako
• aké má práva

Jednoznačný (unambiguous)

• aktívny úkon: checkbox, podpis, nastavenie v účte
• žiadne predškrtnuté políčka
• žiadne „pokračovaním súhlasíte“ pri účeloch, kde sa vyžaduje súhlas

Preukázateľný

Vy musíte vedieť dokázať:

• kto súhlasil (identifikátor)
• kedy
• s čím konkrétne (verzia textu, účely)
• akým spôsobom (webový formulár, call centrum)
• a že bol informovaný

Odvolanie súhlasu: technicky jednoduché a bez následkov

Odvolanie súhlasu musí byť:

• rovnako jednoduché ako jeho udelenie,
• bez „presviedčania“ a bez skrytých krokov,
• a bez negatívneho dopadu na službu, ak dané spracúvanie nie je nevyhnutné.

Príklady dobrej praxe:

• odhlasovací link v každom marketingovom e-maile,
• nastavenia súkromia v účte,
• v cookie lište možnosť zmeniť voľby neskôr (napr. ikonka alebo odkaz „Nastavenia cookies“).

A dôležitý detail: odvolanie súhlasu neznamená automaticky, že musíte vymazať všetko. Musíte zastaviť spracúvanie, ktoré stálo na súhlase. Ak však niektoré údaje potrebujete ďalej uchovať z iného dôvodu (napr. preukázanie, že súhlas existoval, alebo obrana nárokov), môže to byť opreté o iný právny základ. Toto treba mať dobre zdokumentované.

Praktické príklady: čo je súhlas a čo nie

E-shop

• doručenie objednávky: zmluva
• faktúra a účtovníctvo: zákonná povinnosť
• newsletter: súhlas (alebo iný režim podľa pravidiel e-mail marketingu, ak ste ho oprávnene použili)
• remarketingové cookies: súhlas

Fitness centrum

• evidencia členstva: zmluva
• fotky na sociálne siete z tréningu: súhlas (ideálne, ak sú osoby rozpoznateľné)
• zdravotné obmedzenia klienta: často výslovný súhlas alebo iná výnimka podľa čl. 9 podľa situácie

SaaS B2B

• správa účtu používateľa: zmluva
• bezpečnostné logy: oprávnený záujem
• produktové novinky na e-mail: často oprávnený záujem pri existujúcom zákazníkovi (s možnosťou opt-out), alebo súhlas, podľa nastavenia a právnych pravidiel komunikácie
• analytické cookies tretích strán: súhlas

Prečo firmy súhlas preceňujú a čo s tým

Súhlas pôsobí jednoducho: človek klikne a je to vybavené. Lenže pri GDPR platí opak. Súhlas je „krehký“:

• ľudia ho odvolávajú,
• musíte ho vedieť preukázať,
• kontrola sa pýta na detaily,
• a ak je súhlas neplatný, nemáte náhradný právny základ, lebo ste si ho vopred nezvolili a nezdokumentovali.

Preto v dobre nastavenej dokumentácii vidíte kombináciu právnych základov. Na to, čo je nevyhnutné, sa dá zmluva alebo zákonná povinnosť. Na rozumné prevádzkové spracúvania oprávnený záujem. A súhlas len tam, kde je skutočne dobrovoľný a kde dáva zmysel, že osoba má kontrolu.

Odporúčanie na záver (ak to chcete mať nastavené správne)

Ak si nie ste istí, či použiť súhlas alebo iný právny základ, nepýtajte si súhlas „pre istotu“. Najprv si urobte jednoduchú mapu spracovateľských činností:

• aký účel,
• aké údaje,
• kto má prístup,
• ako dlho,
• aké riziká,
• a aký právny základ je najvhodnejší.

Až potom nastavte formuláre, checkboxy, cookie lištu a texty informačných povinností.

Ak chcete, napíšte mi, aký typ webu alebo služby riešite (e-shop, B2B, HR, zdravotníctvo, appka) a aké spracúvania máte (newsletter, cookies, CRM, profilovanie). Ako GDPR poradca vám viem navrhnúť, kde je súhlas správny a kde je bezpečnejšie použiť zmluvu, zákonnú povinnosť alebo oprávnený záujem, vrátane toho, ako to správne odkomunikovať v zásadách ochrany osobných údajov.

Často kladené otázky

Čo je súhlas so spracúvaním osobných údajov podľa GDPR?

Súhlas je jeden zo šiestich právnych základov spracúvania osobných údajov podľa GDPR, ktorý znamená slobodné a jednoznačné vyjadrenie vôle dotknutej osoby povoliť spracovanie jej osobných údajov na konkrétny účel.

Kedy je vhodné použiť súhlas ako právny základ spracúvania osobných údajov?

Súhlas je vhodný, keď spracúvanie nie je nevyhnutné na plnenie zmluvy alebo zákonnú povinnosť, keď nie je možné sa oprieť o oprávnený záujem, a keď dotknutá osoba má skutočnú slobodu voľby povedať áno alebo nie bez negatívneho dopadu.

Prečo by som nemal používať súhlas ako podmienku pre poskytovanie služby?

Použitie súhlasu ako podmienky služby vytvára falošnú voľbu, pretože dotknutá osoba nemôže odmietnuť súhlas, ak chce službu. Takýto súhlas nie je slobodne daný a tým pádom je neplatný podľa GDPR.

Aké sú najčastejšie chyby pri získavaní súhlasu so spracúvaním údajov?

Najčastejšou chybou je žiadať si súhlas takmer na všetko vrátane fakturácie alebo vybavenia reklamácie, kde platí iný právny základ (napríklad plnenie zmluvy alebo zákonná povinnosť), čo vedie k nezákonnému spracúvaniu údajov.

Kedy je súhlas správnou voľbou pre marketingové aktivity?

Súhlas je správny najmä pri zasielaní newsletterov, promo e-mailov alebo marketingových SMS, ak ide o širšiu skupinu osôb mimo existujúcich zákazníkov a ak chcete robiť cielený marketing nad rámec oprávneného záujmu.

Ako funguje odvolanie súhlasu a čo to znamená pre spracúvanie údajov?

Dotknutá osoba môže svoj súhlas kedykoľvek odvolať a prevádzkovateľ musí toto odvolanie rešpektovať. To znamená, že spracúvanie na základe súhlasu musí byť ukončené okamžite po odvolaní.

Digitálny svet je dnes prirodzeným prostredím pre prácu, podnikanie aj bežný život. Nakupujeme online, komunikujeme cez aplikácie, využívame cloudové služby, inteligentné zariadenia v domácnostiach a čoraz častejšie aj nástroje umelej inteligencie. Spolu s pohodlím však rastie aj riziko. Kybernetická bezpečnosť už dávno nie je téma „len pre IT oddelenie“. Je to otázka kontinuity podnikania, ochrany súkromia, dôvery zákazníkov a v širšom kontexte aj národnej bezpečnosti.

Ako odborník a poradca pre GDPR vnímam kybernetickú bezpečnosť aj cez prizmu ochrany osobných údajov. V praxi platí jednoduché pravidlo: bez primeranej bezpečnosti nie je možné dlhodobo zabezpečiť ani súlad s GDPR, ani dôveru ľudí, ktorých údaje spracúvate.

Prečo kybernetická bezpečnosť dnes rozhoduje

Digitalizácia priniesla efektivitu, ale zároveň zväčšila „útočnú plochu“. Kým kedysi boli dáta uložené v kancelárii na jednom serveri, dnes sú rozptýlené v cloude, v mobiloch, v SaaS aplikáciách, v e-mailoch, v externých úložiskách a často aj v zariadeniach typu IoT.

Riziká sa zvyšujú najmä kvôli týmto trendom:

• Cloudové služby a práca na diaľku: prístup k dátam odkiaľkoľvek je výhoda, no zároveň výzva pri nastavovaní prístupov a kontroly.
• IoT zariadenia: kamery, senzory, inteligentné zámky a ďalšie zariadenia sú často slabo zabezpečené a aktualizované nepravidelne.
• Umelej inteligencia a automatizácia: pomáha aj útočníkom, napríklad pri tvorbe presvedčivých phishingových správ alebo automatizovanom vyhľadávaní zraniteľností.
• Prepojené dodávateľské reťazce: aj keď máte bezpečnosť dobre nastavenú, slabým miestom môže byť dodávateľ, integrátor alebo externý správca.

Kybernetická bezpečnosť preto chráni nielen samotné systémy, ale aj dôsledky incidentov, ktoré sú často drahšie než samotná technická obnova.

Čo je kybernetická bezpečnosť (prakticky)

Kybernetická bezpečnosť je súbor procesov, technológií a opatrení, ktoré chránia:

• systémy a zariadenia (servery, počítače, mobily),
• siete (interné siete, Wi‑Fi, VPN),
• aplikácie a služby (web, e-shop, CRM, cloud),
• dáta (obchodné, osobné, finančné),

pred neoprávneným prístupom, poškodením, zmenou, únikom alebo zneprístupnením.

V praxi nejde o jeden nástroj. Ide o kombináciu pravidiel, ľudí a technológií, ktoré spolu tvoria odolné prostredie.

Základné princípy kybernetickej bezpečnosti

Ak by sme to mali zhrnúť do prehľadného rámca, vo väčšine organizácií sa bezpečnosť skladá z troch pilierov: identifikácia a ochrana, prevencia a detekcia, reakcia a obnova.

1) Identifikácia a ochrana dát (najmä osobných)

Najprv musíte vedieť, aké dáta máte, kde sú a kto k nim pristupuje. V kontexte GDPR je to úplný základ, pretože bez prehľadu neviete posúdiť riziká ani nastaviť primerané opatrenia.

Praktické opatrenia:

• Klasifikácia dát (napr. verejné, interné, dôverné, osobné údaje).
• Riadenie prístupov: prístup len pre tých, ktorí ho skutočne potrebujú (princíp minimálnych oprávnení).
• Šifrovanie: šifrovanie diskov, záloh a prenosu údajov (napr. TLS), pri citlivých dátach aj šifrovanie na úrovni databáz alebo súborov.
• Správa identít: centrálne účty, kontrola oprávnení, pravidelné revízie prístupov, rýchla deaktivácia účtov pri odchode zamestnanca.

2) Prevencia a detekcia (zabrániť, ale aj včas odhaliť)

Mnohé útoky nie sú sofistikované. Sú úspešné preto, lebo organizácia nemá základné opatrenia alebo ich nevie vynucovať.

Typické prvky:

• Firewall a segmentácia siete: obmedzenie toho, čo sa môže s čím spájať.
• Antivírus/EDR: ochrana koncových zariadení, detekcia podozrivého správania.
• E-mailová bezpečnosť: filtrovanie phishingu a škodlivých príloh, ochrana domény (SPF, DKIM, DMARC).
• Logovanie a monitoring: zbieranie logov a vyhodnocovanie bezpečnostných udalostí, aby ste vedeli odhaliť incident skôr, než spôsobí škody.
• Bezpečné konfigurácie: vypnuté nepotrebné služby, pravidlá pre prístupy, bezpečné nastavenie cloudu.

3) Reakcia a obnova (keď sa niečo stane)

Otázka dnes často neznie „či“, ale „kedy“ nastane bezpečnostný incident. Dobre nastavená reakcia dokáže dramaticky znížiť škody, prestoje a právne riziká.

Dôležité sú najmä:

• Incident response plán: kto robí čo, komu sa hlási incident, ako sa eskaluje, aké sú kroky izolácie a analýzy.
• Zálohy a obnova: pravidelné testovanie obnovy, oddelené zálohy, ideálne aj offline alebo nezmeniteľné úložiská (ochrana proti ransomvéru).
• Cvičenia a simulácie: napríklad phishing testy alebo tabletop cvičenia na reakciu pri úniku dát.
• Právny a komunikačný plán: kedy komunikovať zákazníkom, partnerom a v prípade GDPR, aj dozornému orgánu.

Prečo je kybernetická bezpečnosť kľúčová pre firmy, jednotlivcov aj štát

Dopad na firmy: prestoje, strata dôvery a pokuty

Kybernetický incident môže spôsobiť:

• prerušenie prevádzky (výroba, objednávky, fakturácia, e-shop),
• finančné straty (výkupné, forenzná analýza, obnova, právne služby),
• poškodenie reputácie (zákazníci odídu rýchlo, návrat je pomalý),
• zmluvné sankcie (porušenie SLA, záväzkov voči partnerom),
• regulačné dôsledky (GDPR a bezpečnostné povinnosti).

Z pohľadu GDPR je dôležité uvedomiť si, že pokuta nie je jediný problém. Často je bolestivejšie to, že musíte incident zdokladovať, vyšetrovať, informovať dotknuté osoby a následne investovať do nápravných opatrení pod tlakom času.

Dopad na jednotlivcov: krádež identity a zneužitie účtov

Pre bežných ľudí sú typické riziká:

• prevzatie e-mailu alebo sociálnych sietí,
• zneužitie platobných údajov,
• krádež identity (napríklad na úvery alebo podvody),
• vydieranie cez kompromitované fotografie, účty alebo správy.

Veľa incidentov začína nenápadne. Jedno kliknutie na falošnú stránku, opakovane používané heslo alebo neaktualizovaný telefón a problém je na svete.

Dopad na štát: kritická infraštruktúra a strategické riziká

Štát a verejné služby sú závislé od digitálnych systémov. Útoky môžu zasiahnuť:

• energetiku, vodárenstvo, dopravu,
• nemocnice a zdravotnícke systémy,
• registre a služby verejnej správy,
• komunikačné a informačné systémy.

V tejto oblasti už nejde len o peniaze, ale aj o bezpečnosť obyvateľov a stabilitu krajiny. Preto sa čoraz viac hovorí aj o legislatívnych požiadavkách, odolnosti a povinnom reportingu incidentov.

Cookies a kybernetická bezpečnosť: prečo to spolu súvisí

Na mnohých weboch sa používajú cookies na pohodlné prehliadanie, analýzu návštevnosti a zlepšovanie webu. Z pohľadu bezpečnosti je dôležité, aby:

• boli cookies nastavené bezpečne (napríklad Secure, HttpOnly, primerané SameSite),
• sa citlivé údaje neukladali do cookies nevhodným spôsobom,
• analytické a marketingové nástroje boli kontrolované z hľadiska prístupu k údajom a prenosov mimo EÚ.

Tu sa často stretáva bezpečnosť s GDPR a ePrivacy pravidlami. Nestačí mať len „cookies lištu“. Dôležité je vedieť, aké technológie na webe bežia a aké riziká prinášajú.

Overené best practices, ktoré znižujú riziko najrýchlejšie

Ak by som mal vybrať opatrenia s najvyšším prínosom, ktoré dávajú zmysel takmer všade, sú to tieto:

1. Školenia a bezpečnostné povedomie zamestnancov
2. Phishing a sociálne inžinierstvo sú stále najčastejším vstupným bodom. Krátke, pravidelné školenia a praktické testy sú účinnejšie než jednorazová prezentácia raz ročne.
3. Pravidelné aktualizácie systémov a aplikácií
4. Patch management je základ. Zraniteľnosti v bežných systémoch sú často verejne známe a útočníci ich zneužívajú automatizovane.
5. Silné heslá a viacfaktorové overenie (MFA)
6. MFA výrazne znižuje riziko prevzatia účtov aj pri úniku hesiel. Pre kritické systémy by malo byť MFA štandardom.
7. Zálohovanie a test obnovy
8. Zálohy bez testu obnovy sú iba dobrý pocit. Overte, že viete obnoviť kľúčové systémy v realistickom čase.
9. Priebežný monitoring a analýza udalostí
10. Čím skôr incident odhalíte, tým lacnejšie ho riešite. Aj menšia firma môže mať zmysluplný monitoring, či už interne alebo cez externého partnera.
11. Riadenie prístupov a pravidelné revízie oprávnení
12. Najmä pri odchodoch zamestnancov, zmenách rolí a externistoch. Účty a prístupy sa musia upratovať priebežne.

Budúce výzvy: AI útoky, IoT a štátom podporované kampane

Kybernetická bezpečnosť nie je statická. Útočníci sa prispôsobujú rýchlo.

• AI generované útoky: presvedčivejšie phishingy, deepfake hlasové podvody, automatizované prieskumy a personalizované správy.
• IoT zraniteľnosti: rast počtu zariadení znamená rast rizík, najmä ak výrobca prestane poskytovať aktualizácie.
• Štátom podporované útoky: sofistikované kampane, ktoré cielia na strategické odvetvia a často sa ťažko pripisujú konkrétnemu aktérovi.

To všetko znamená, že bezpečnosť musí byť dlhodobý program, nie jednorazový projekt.

Záver: bezpečnosť je investícia do dôvery a odolnosti

Kybernetická bezpečnosť v dnešnom digitálnom svete chráni organizácie, štát aj jednotlivcov. V praxi chráni dáta, infraštruktúru a najmä dôveru. A dôvera je v digitálnej ekonomike mena, ktorú si budujete roky a môžete ju stratiť za jeden deň.

Ak chcete začať pragmaticky, urobte tri veci: zmapujte svoje dáta a prístupy, zaveďte MFA a zálohovanie s testom obnovy, a nastavte školenia proti phishingu. Potom na tom stavajte ďalej. Kybernetická bezpečnosť je kombinácia rozumných pravidiel, disciplíny a technológií, ktoré spolu vytvárajú odolné digitálne prostredie.

Často kladené otázky

Prečo je kybernetická bezpečnosť dnes nevyhnutná pre podniky aj jednotlivcov?

Kybernetická bezpečnosť je kľúčová, pretože digitalizácia rozšírila útočnú plochu – dáta sú uložené v cloude, mobiloch, IoT zariadeniach či SaaS aplikáciách. Bez primeranej ochrany hrozí strata dôvery zákazníkov, porušenie GDPR a ohrozenie kontinuity podnikania.

Čo zahŕňa pojem kybernetická bezpečnosť v praxi?

Kybernetická bezpečnosť predstavuje súbor procesov, technológií a opatrení na ochranu systémov, sietí, aplikácií a dát pred neoprávneným prístupom, poškodením, únikom alebo zneprístupnením. Ide o kombináciu pravidiel, ľudí a technológií vytvárajúcich odolné digitálne prostredie.

Aké sú základné princípy kybernetickej bezpečnosti?

Bezpečnosť sa skladá z troch pilierov: identifikácie a ochrany dát (najmä osobných), prevencie a detekcie hrozieb, ako aj reakcie a obnovy po incidente. Tieto kroky zabezpečujú komplexnú ochranu organizácie i jej údajov.

Ako súvisí kybernetická bezpečnosť s ochranou osobných údajov podľa GDPR?

Bez primeranej kybernetickej bezpečnosti nie je možné zabezpečiť súlad s GDPR ani dôveru osôb, ktorých údaje spracúvate. Ochrana dát znamená vedieť, aké údaje máte, kde sú uložené a kto k nim má prístup, čo je základom pre nastavenie primeraných bezpečnostných opatrení.

Aké riziká prinášajú moderné technológie ako cloudové služby a IoT zariadenia?

Cloudové služby umožňujú prístup k dátam odkiaľkoľvek, čo zvyšuje nároky na správu prístupov a kontrolu. IoT zariadenia často bývajú slabo zabezpečené a nepravidelne aktualizované, čím predstavujú potenciálne vstupné body pre útoky.

Prečo je dôležité riadiť prístupy k dátam v rámci kybernetickej bezpečnosti?

Riadenie prístupov zabezpečuje, že k citlivým alebo osobným údajom majú prístup len oprávnené osoby podľa princípu potreby vedieť. To minimalizuje riziko neoprávneného prístupu či úniku dát a pomáha dodržiavať požiadavky GDPR.

Ak máte web, e-shop, ambulanciu, firmu s kamerovým systémom, posielate newsletter alebo len zbierate kontakty cez formulár, tak spracúvate osobné údaje. A hneď na začiatku prichádza jedna z najčastejšie podceňovaných povinností podľa GDPR: informačná povinnosť.

Ako odborník a poradca pre GDPR to vidím opakovane. Organizácia má zmluvy, bezpečnostné opatrenia, niekedy aj záznamy o spracovateľských činnostiach, ale „to najviditeľnejšie“ smerom k ľuďom chýba alebo je neúplné. Výsledok je jednoduchý: riziko pokuty, sťažností a hlavne strata dôvery.

V tomto článku vám zrozumiteľne vysvetlím:

• čo je informačná povinnosť,
• kedy ju musíte splniť,
• aké informácie sú povinné,
• ako to urobiť prakticky (web, cookies, formuláre, offline),
• na čo si dať pozor, aby informácie neboli len „papierovo“, ale naozaj v súlade s GDPR.

Čo je informačná povinnosť a prečo na nej GDPR stojí

Informačná povinnosť znamená, že dotknutú osobu musíte vopred (alebo v zákonných lehotách) informovať, ako budete spracúvať jej osobné údaje.

GDPR tým sleduje jednu základnú hodnotu: transparentnosť. Ľudia majú vedieť:

• kto ich údaje spracúva,
• prečo,
• na akom právnom základe,
• ako dlho,
• komu ich poskytnete,
• aké majú práva a ako ich uplatnia.

Prakticky: nestačí mať spracovanie „legálne“. Musí byť aj zrozumiteľne vysvetlené.

Kedy musíte informácie poskytnúť (priame vs. nepriame získanie údajov)

GDPR rozlišuje dve situácie:

1) Údaje získavate priamo od osoby

Typicky:

• kontaktný formulár,
• objednávka v e-shope,
• registrácia účtu,
• prihlásenie na newsletter,
• žiadosť o cenovú ponuku,
• papierový formulár na recepcii.

Kedy informovať: najneskôr v čase získania osobných údajov.

Inými slovami: keď človek zadáva údaje, už vtedy musí mať možnosť sa dozvedieť, čo sa s nimi bude diať.

2) Údaje získavate nepriamo (z iného zdroja)

Napríklad:

• získate kontakt od obchodného partnera,
• pracujete s databázou z verejných zdrojov,
• dostanete údaje od sprostredkovateľa,
• využijete leady od tretej strany.

Kedy informovať:

• do jedného mesiaca od získania údajov, alebo
• pri prvom kontakte s osobou, alebo
• pri prvom poskytnutí údajov inému príjemcovi (ak k tomu dôjde skôr).

Toto je častá chyba v B2B: firma si povie „veď je to pracovný kontakt“. Aj pracovný e-mail môže byť osobný údaj. A informačná povinnosť tým nezmizne.

Čo presne musíte uviesť: povinné náležitosti podľa GDPR

Nižšie je praktický zoznam toho, čo musí byť v informáciách (najčastejšie v dokumente „Zásady ochrany osobných údajov“ alebo „Informácie o spracúvaní osobných údajov“).

1) Kto údaje spracúva (identita a kontakt prevádzkovateľa)

Uveďte:

• názov firmy/organizácie,
• sídlo,
• IČO (odporúčané),
• kontakt (e-mail, telefón, adresa),
• prípadne kontaktný bod pre GDPR otázky.

Ak máte zástupcu v EÚ (typicky mimo EÚ subjekty), uveďte aj jeho údaje.

2) Kontaktné údaje zodpovednej osoby (DPO), ak je určená

Ak máte určenú zodpovednú osobu, uveďte:

• meno alebo aspoň funkčný kontakt,
• e-mail/telefón.

Pozor: ak DPO nemáte a nemáte povinnosť ju určiť, nič „nevymýšľajte“. Častá prax je dať do politiky „DPO: info@firma.sk“, hoci DPO formálne neexistuje. To je riziko.

3) Účely spracúvania

Účely musia byť konkrétne, nie vágne. Príklady:

• vybavenie objednávky a doručenie tovaru,
• správa používateľského účtu,
• vybavovanie dopytov,
• zasielanie newslettera,
• marketing na sociálnych sieťach,
• zabezpečenie priestorov kamerovým systémom,
• účtovníctvo a plnenie zákonných povinností.

4) Právny základ spracúvania

Ku každému účelu patrí právny základ, napríklad:

• plnenie zmluvy,
• plnenie zákonnej povinnosti,
• oprávnený záujem,
• súhlas,
• ochrana životne dôležitých záujmov (zriedkavé),
• verejná moc/verejný záujem (najmä verejný sektor).

Dôležité: nesprávne zvolený právny základ je jedna z najdrahších chýb. Ak napríklad posielate marketing bez súhlasu, musíte mať jasne odôvodnený oprávnený záujem a zároveň umožniť jednoduchý opt-out. V mnohých prípadoch je však bezpečnejšie pracovať so súhlasom, najmä pri cookies a niektorých formách online marketingu.

5) Oprávnené záujmy (ak sa na ne spoliehate)

Ak je právny základ „oprávnený záujem“, musíte ho pomenovať. Napríklad:

• ochrana majetku a bezpečnosť (kamera),
• prevencia podvodov,
• základná marketingová komunikácia s existujúcimi zákazníkmi.

Odporúčam mať k tomu aj interné posúdenie (LIA). Do informácií dávate stručné vysvetlenie.

6) Príjemcovia alebo kategórie príjemcov

Uveďte, komu údaje poskytujete. Typicky:

• kuriérske spoločnosti,
• poskytovateľ e-shop platformy,
• hosting a správa servera,
• účtovník,
• poskytovateľ e-mailingu,
• IT podpora,
• právne služby.

Môžete uviesť konkrétnych príjemcov alebo kategórie. Dôležité je, aby to nebolo „nikomu“ a potom v realite posielate údaje tretím stranám.

7) Prenosy do tretích krajín a záruky

Ak používate nástroje mimo EÚ/EHP (časté pri marketingu, analytike, cloude), musíte uviesť:

• že dochádza k prenosu do tretej krajiny alebo medzinárodnej organizácie,
• aké sú záruky (napr. rozhodnutie o primeranosti, štandardné zmluvné doložky),
• prípadne informáciu o tom, ako získať kópiu záruk alebo kde sú dostupné.

Tu sa často lámu cookies a analytické nástroje. Nestačí len napísať „používame Google“. Treba popísať prenosy a právny rámec.

8) Doba uchovávania alebo kritériá na jej určenie

Ľudia majú vedieť, ako dlho údaje držíte:

• „po dobu trvania zmluvy a následne X rokov“,
• „do odvolania súhlasu“,
• „po dobu vybavenia žiadosti a následne X dní/mesiacov“,
• „kamerové záznamy 15 dní“ (príklad, vždy podľa odôvodnenia).

Ak neviete presnú dobu, uvediete kritériá.

9) Práva dotknutej osoby

Musíte jasne uviesť práva, najmä:

• právo na prístup,
• opravu,
• vymazanie,
• obmedzenie spracúvania,
• prenosnosť údajov,
• namietať (najmä pri oprávnenom záujme a priamom marketingu).

A prakticky: ako ich uplatniť (kam napísať, čo uviesť v žiadosti).

10) Právo odvolať súhlas (ak je relevantný)

Ak spracúvate na základe súhlasu, musíte povedať:

• že súhlas je možné kedykoľvek odvolať,
• že odvolanie nemá vplyv na zákonnosť spracúvania pred odvolaním,
• ako odvolanie spraviť (odkaz, e-mail, nastavenia účtu, cookie lišta).

11) Právo podať sťažnosť dozornému orgánu

Na Slovensku je to Úrad na ochranu osobných údajov SR. Uveďte, že osoba má právo podať sťažnosť, ideálne aj s odkazom na web úradu.

12) Zákonná alebo zmluvná povinnosť poskytnúť údaje a následky neposkytnutia

Ak sú údaje potrebné napríklad na uzatvorenie zmluvy alebo splnenie zákona, napíšte:

• ktoré údaje sú povinné,
• prečo,
• čo sa stane, ak ich osoba neposkytne (napr. nemožno dodať tovar, nemožno vybaviť reklamáciu).

13) Automatizované rozhodovanie a profilovanie (ak existuje)

Ak robíte automatizované rozhodovanie vrátane profilovania s právnymi alebo podobne významnými účinkami, musíte to uviesť a vysvetliť:

• logiku,
• význam,
• predpokladané dôsledky.

V praxi veľa organizácií profilovanie nerobí v zmysle GDPR prísnej definície, ale ak používate pokročilé reklamné systémy, personalizáciu alebo scoring, oplatí sa to posúdiť.

Ako majú informácie vyzerať: stručne, zrozumiteľne a prístupne

GDPR nežiada, aby ste napísali 10 strán právničiny. Žiada, aby informácie boli:

• stručné (bez balastu),
• transparentné (nič neskrývať),
• zrozumiteľné (bežný človek tomu rozumie),
• ľahko dostupné (nie schované),
• v jazyku, ktorému cieľová skupina rozumie.

Z praxe odporúčam:

• vrstvený prístup: krátke zhrnutie + detailná verzia,
• krátke vety, jasné nadpisy, zoznamy,
• minimum interných skratiek.

Praktické príklady: web, formuláre a cookies

Informačná povinnosť na webe (privacy policy)

Najčastejší spôsob je publikovať dokument na webe, napríklad:

• „Ochrana osobných údajov“
• „Zásady ochrany osobných údajov“
• „Informácie o spracúvaní osobných údajov“

Dajte odkaz do pätičky webu, k formulárom a všade, kde zbierate údaje.

Formuláre (kontaktný, dopyt, registrácia)

Pri formulári odporúčam:

• krátku informáciu priamo pri tlačidle odoslania,
• odkaz na detailné zásady,
• ak ide o súhlas (napr. newsletter), samostatný checkbox bez predzaškrtnutia.

Príklad logiky:

• Dopyt: právny základ môže byť predzmluvný vzťah alebo oprávnený záujem.
• Newsletter: spravidla súhlas (a jednoduché odhlásenie).

Cookies a „komfortné prehliadanie“

Pri cookies je dôležité oddeliť:

• nevyhnutné cookies (na funkčnosť),
• analytické cookies (analýza návštevnosti a zlepšovanie webu),
• marketingové cookies (reklama a remarketing).

Ak používate cookies na analýzu návštevnosti a zlepšovanie webu alebo na marketing, väčšinou potrebujete:

• jasné informácie, čo sa zbiera a prečo,
• správne nastavený súhlasový mechanizmus (cookie lišta),
• možnosť súhlas odmietnuť a neskôr zmeniť.

Len text „Cookies používame pre vaše pohodlie“ nestačí. Je to síce bežná veta, ale bez konkrétností je informačne slabá.

Kde organizácie najčastejšie robia chyby

Z praxe pri kontrolách a auditoch sa opakujú najmä tieto problémy:

1. Chýba právny základ ku konkrétnemu účelu alebo je uvedený nesprávne.
2. Neuvádzajú sa príjemcovia (pritom sa údaje posielajú kuriérom, e-mailingovej službe, hostingu).
3. Prenosy mimo EÚ sú ignorované alebo opísané nejasne.
4. Doba uchovávania je „po dobu nevyhnutnú“ bez vysvetlenia, čo to znamená.
5. Práva osôb sú skopírované ako zo zákona, ale chýba praktický postup uplatnenia.
6. Cookies: lišta existuje, ale nesprávne. Napríklad nie je možné odmietnuť, alebo sa cookies ukladajú ešte pred súhlasom.
7. Informácie sú ťažko dostupné alebo napísané tak, že im bežný človek nerozumie.

Ako splniť informačnú povinnosť v praxi (krátky postup)

Ak to chcete spraviť poriadne a bez chaosu, postupujte takto:

1. Spíšte účely spracúvania (čo robíte s údajmi v celej organizácii).
2. Ku každému účelu určte kategórie údajov, právny základ, doby uchovávania, príjemcov.
3. Overte, či máte sprostredkovateľské zmluvy tam, kde treba (hosting, účtovníctvo, e-mailing).
4. Skontrolujte prenosy do tretích krajín a nastavte záruky.
5. Napíšte informácie v ľudskej slovenčine, ideálne v štruktúre podľa bodov vyššie.
6. Zverejnite a prepojte ich na miestach zberu údajov (web, formuláre, papierové tlačivá).
7. Pravidelne aktualizujte: pri zmene procesov, dodávateľov, nástrojov, legislatívy.

Prečo sa oplatí byť transparentný aj nad rámec minima

GDPR je v tomto logické. Keď ľudia chápu, čo robíte s ich údajmi, menej sa boja a menej podávajú sťažnosti. Transparentnosť nie je len „splnenie povinnosti“. Je to aj reputačná poistka.

Ak používate cookies na komfortné prehliadanie, analýzu návštevnosti a zlepšovanie webu, povedzte to jasne. Ak posielate newsletter, vysvetlite frekvenciu a obsah. Ak máte kameru, označte priestor a vysvetlite lehotu uchovania.

Zhrnutie

Informačná povinnosť je povinnosť informovať ľudí o spracúvaní ich osobných údajov jasne, včas a zrozumiteľne. Musíte uviesť najmä identitu prevádzkovateľa, účely a právne základy, príjemcov, prenosy do tretích krajín, dobu uchovávania, práva dotknutých osôb, možnosť odvolať súhlas, právo podať sťažnosť a informáciu o tom, či je poskytnutie údajov povinné.

Ak si nie ste istí, či vaše texty a nastavenia (najmä cookies) skutočne spĺňajú GDPR, oplatí sa urobiť krátku revíziu. V praxi to býva jedna z najrýchlejších úprav, ktorá výrazne zníži riziká.

Často kladené otázky

Čo je informačná povinnosť podľa GDPR a prečo je dôležitá?

Informačná povinnosť znamená, že dotknutú osobu musíte vopred alebo v zákonných lehotách informovať o spracovaní jej osobných údajov. Je to základná hodnota GDPR – transparentnosť. Ľudia musia vedieť, kto ich údaje spracúva, prečo, na akom právnom základe, ako dlho, komu ich poskytnete a aké majú práva.

Kedy musím poskytnúť informácie o spracovaní osobných údajov?

Ak získavate údaje priamo od osoby (napríklad cez formulár alebo objednávku), musíte ju informovať najneskôr v čase získania údajov. Ak údaje získavate nepriamo (napríklad od obchodného partnera alebo z verejných zdrojov), informácie musíte poskytnúť do jedného mesiaca od získania údajov, pri prvom kontakte s osobou alebo pri prvom poskytnutí údajov inému príjemcovi.

Aké informácie musia byť súčasťou informačnej povinnosti podľa GDPR?

Musíte uviesť identitu a kontaktné údaje prevádzkovateľa (názov firmy, sídlo, IČO, e-mail, telefón), účel a právny základ spracovania, dobu uchovávania údajov, príjemcov údajov a práva dotknutej osoby vrátane spôsobu ich uplatnenia.

Ako zabezpečiť, aby informačné povinnosti boli v súlade s GDPR a nie len „papierové“?

Informácie musia byť zrozumiteľné a ľahko dostupné pre dotknuté osoby. Na webe by mali byť jasne viditeľné v sekcii ochrany osobných údajov alebo pri formulároch. Pri offline spracovaní by mali byť k dispozícii tlačené materiály alebo iné vhodné spôsoby komunikácie. Dôležité je pravidelne aktualizovať tieto informácie podľa aktuálnych spracovateľských aktivít.

Platí informačná povinnosť aj pre pracovné kontakty v B2B prostredí?

Áno, aj pracovný e-mail môže byť osobným údajom a naň sa vzťahuje GDPR. Preto musí firma splniť informačnú povinnosť aj pri takýchto kontaktoch – napríklad informovať zamestnancov obchodného partnera o spracovaní ich údajov.

Ako prakticky implementovať informačnú povinnosť na webe a pri online formulároch?

Na webe sa odporúča mať dokument „Zásady ochrany osobných údajov“ alebo „Informácie o spracovaní osobných údajov“, ktorý je ľahko dostupný. Pri online formulároch by mala byť viditeľná krátka informácia alebo odkaz na tieto zásady ešte pred odoslaním údajov. Tiež je potrebné zabezpečiť súhlas so spracovaním tam, kde je to relevantné.