Novinky

Prichádza nový zákon o ochrane osobných údajov, ktorý nadobudne účinnosť v januári 2026 na Slovensku. Tento zákon predstavuje kľúčovú aktualizáciu súčasnej legislatívy v oblasti GDPR a ochrany osobných údajov a prináša významné zmeny ovplyvňujúce najmä malé a stredné firmy, ktoré tvoria chrbtovú kosť ekonomiky.

Nový zákon prináša dve základné oblasti úpravy:

1. Návrh zákona o zabezpečení ochrany fyzických osôb pri spracovaní osobných údajov, ktorý sa bude vzťahovať na väčšinu prevádzkovateľov dát a sprostredkovateľov okrem orgánov činných v trestnom konaní.

2. Samostatný zákon, ktorý upravuje spracovanie osobných údajov v oblasti trestného práva, čím sa jasne oddelí režim GDPR od pravidiel pre políciu a bezpečnostné orgány.

Medzi najdôležitejšie zmeny v novej legislatíve patria:

• Zúženie účelov spracúvania osobných údajov podľa čl. 6 GDPR, čo znamená prísnejšie definované pravidlá, za akých účelov môžu firmy spracovávať osobné údaje.

• Odstránenie nadbytočných či duplicitných ustanovení v existujúcom zákone, ktoré zbytočne rozširovali požiadavky alebo komplikovali aplikáciu GDPR.

• Upravené pravidlá posudzovania vplyvu na ochranu osobných údajov (Data Protection Impact Assessment – DPIA), najmä v prípadoch, kde je spracovanie osobných údajov povinnosťou vyplývajúcou zo zákona.

• Zavedenie princípu „privacy by design“ (ochrana údajov už vo fáze návrhu procesov), čo znamená, že firmy musia začleniť ochranu osobných údajov už do technických a organizačných opatrení.

• Zvýšenie zodpovednosti prevádzkovateľov údajov v rámci transparentnosti, informovania dotknutých osôb a získavania platných a jasných súhlasov. Zvýrazňuje sa právo na prístup k údajom a právo na ich vymazanie.

• Uľahčenia pre malé a stredné podniky, napríklad znížená administratívna záťaž pri vedení evidencie spracovania a menej prísne požiadavky podľa rozsahu a rizika spracovania.

• Všetky firmy musia aktualizovať interné zásady, personálne postupy a pravidelne školenia zamestnancov v oblasti GDPR, vrátane zavedenia správnych technických opatrení ako šifrovanie, riadenie prístupov, monitoring bezpečnostných incidentov a ich oznamovanie.

• Prísnejšie a viac sankcií za porušenia GDPR s možnými pokutami v miliónoch eur, čo výrazne zvyšuje finančné riziko neplnenia povinností.

Pre malé firmy to znamená potrebu systematického prístupu k ochrane osobných údajov, zároveň im však nový zákon sľubuje aj primerané zjednodušenia a zníženie byrokratickej záťaže. Pripravované legislatívne zmeny sú cieľom harmonizácie so smernicami EÚ a prispôsobenia sa novým hrozbám ako napríklad kybernetické útoky či zneužívanie umelej inteligencie.

Firmy by mali začať s detailným auditom svojho spracovania údajov, zaviesť primerané procesné a technické opatrenia, aktualizovať súhlasné formuláre a interné dokumenty, školenia a transparentne komunikovať so zákazníkmi a zamestnancami o ich právach. Nový zákon tak prináša výzvu, ale aj príležitosť posilniť dôveru a stabilitu v oblasti ochrany dát v digitálnej dobe.

Tento text slúži ako detailný prehľad o hlavných dôsledkoch a charakteristikách nového zákona o ochrane osobných údajov platného od roku 2026 na Slovensku. Je základom pre pochopenie významných legislatívnych zmien a ich praktického dopadu na podnikateľské prostredie, predovšetkým na malé a stredné podniky, ktoré tvoria veľkú časť trhu a ktoré zákon výrazne ovplyvní z hľadiska compliance a ochrany osobných údajov.​

Všeobecné nariadenie o ochrane údajov (GDPR) je základnou legislatívou Európskej únie, ktorá od roku 2018 upravuje pravidlá ochrany osobných údajov. Rok 2026 prináša významné zmeny a zjednodušenia GDPR, ktoré majú výrazný dopad najmä na malé a stredné firmy. Tieto novely si kladú za cieľ znížiť administratívnu záťaž pre malé podniky a poskytnúť im primerané a úmerné povinnosti pri spracúvaní osobných údajov bez toho, aby bola ohrozená bezpečnosť alebo práva občanov.

Zjednodušenia a rozšírenie výnimiek

V rámci plánovaných zmien sa výrazne rozširuje rozsah podnikov, ktoré môžu využiť výnimky zo zdĺhavých administratívnych povinností, napríklad povinnosti viesť záznamy o spracovateľských činnostiach. Zatiaľ čo predtým platilo, že firmy do 250 zamestnancov mohli byť od tohto oslobodené za určitých podmienok, nová regulácia zvyšuje tento limit na 500 alebo dokonca 750 zamestnancov pre niektoré prípady. Výnimka sa však vzťahuje len na spracovanie údajov s nízkym rizikom pre práva a slobody dotknutých osôb. Firmy, ktoré vykonávajú vysoko rizikové spracovanie osobných údajov, si budú musieť naďalej viesť prísnu evidenciu.​

Povinnosti malých firiem podľa GDPR v roku 2026

Aj keď malé firmy môžu mať zjednodušené pravidlá, ich povinnosti voči ochrane údajov zostávajú významné. Musia sa postarať, že spracúvanie údajov prebieha na zákonnom základe, najčastejšie na základe súhlasu, plnenia zmluvy alebo oprávneného záujmu. Transparentnosť je kľúčová – zákazníci a zamestnanci musia byť informovaní, aké údaje sa zbierajú, na aký účel a ako dlho ich firma uchováva.​

Malé firmy sa taktiež musia vyhýbať chybám, ako je získavanie súhlasov formou predvyplnených políčok, nezabezpečená správa dát alebo nedostatočné dokumentovanie súhlasov a zmlúv o spracovaní údajov so sprostredkovateľmi. V praxi je preto nevyhnutné mať dobre zavedené interné procesy a bezpečnostné opatrenia, vrátane aktualizovaného softvéru, obmedzenia prístupov a šifrovania citlivých údajov.​

Prípravy a odporúčania pre malé firmy

Malé firmy by mali začať mapovaním svojich procesov spracovania údajov a zistiť, aké typy dát zhromažďujú a spracúvajú. Vypracovanie interných dokumentov ako sú zásady ochrany osobných údajov a zmluvy so sprostredkovateľmi je základom, rovnako ako pravidelná aktualizácia technických opatrení na ochranu údajov.

Ak si firma nie je istá svojou GDPR súladnosťou, odporúča sa využiť odbornú pomoc alebo praktické šablóny a návody dostupné na trhu. Dodržiavanie GDPR pritom nie je len o legislatívnej povinnosti, ale aj o budovaní dôvery voči zákazníkom a obchodným partnerom, ktoré môže byť konkurenčnou výhodou.​

Nový zákon na Slovensku od 2026

Slovensko plánuje upraviť vlastné zákony na ochranu osobných údajov, ktoré majú harmonizovať pravidlá s európskym právom a zároveň reagovať na špecifiká miestneho prostredia. Medzi zásadné zmeny patrí rozšírenie povinností pre všetkých podnikateľov, vrátane malých podnikov, ktoré budú musieť lepšie zabezpečiť ochranu dát a sprísniť kontrolu nad spracovaním osobných údajov. Tieto zákony budú efektívne od januára 2026 a prinášajú komplexnejšie pravidlá compliance a vyššie sankcie za nedodržiavanie.​

Výzvy a príležitosti pre malé firmy v roku 2026

Malé firmy často zápasia s nedostatkom zdrojov a odborných znalostí na efektívne zvládnutie GDPR. Nové zjednodušenia im majú pomôcť lepšie riadiť riziká a zároveň eliminovať zbytočné administratívne zaťaženie. Súčasne však rastie tlak na transparentnosť a zodpovednosť v spracovaní údajov, čo podporuje dôveru zákazníkov a dlhodobú udržateľnosť podnikania.

Malé a stredné firmy by mali využiť tieto zmeny na zlepšenie svojich interných procesov, zavedenie digitálnych nástrojov na správu osobných údajov a budovanie vzťahu so zákazníkmi založeného na bezpečnosti a rešpekte k ich súkromiu.​

Ochrana osobných údajov je dnes nevyhnutnosťou pre každú firmu – bez ohľadu na jej veľkosť či odvetvie. Kybernetické hrozby sa neustále vyvíjajú a útočníci hľadajú nové spôsoby, ako získať prístup k citlivým informáciám. Od údajov o zákazníkoch cez finančné záznamy až po obchodné tajomstvá – všetky tieto informácie je potrebné chrániť pred neoprávneným prístupom, krádežou či poškodením.

1. Poznajte svoje údaje

Začnite tým, že si urobíte prehľad o všetkých údajoch, ktoré vo firme spracúvate. Zistite:

• Aké údaje spracúvate?
• Kde sa nachádzajú?
• Kto k nim má prístup?
• Ako sa používajú?

Nezabudnite ani na papierové dokumenty či prenosné zariadenia. Vytvorte si prehľadnú klasifikáciu údajov, aby ste vedeli, ktoré z nich sú najcitlivejšie a kde sú najväčšie riziká.

2. Nastavte jasné zásady a postupy

Po zmapovaní údajov je čas vytvoriť interné pravidlá a procesy na ich ochranu. Vaše zásady by mali byť v súlade s legislatívou (napr. GDPR) a mali by byť zrozumiteľné pre všetkých zamestnancov aj externých partnerov. Zamerajte sa najmä na:

• Kontrolu prístupov
• Správu hesiel
• Šifrovanie údajov
• Zálohovanie a obnovu dát
• Postupy pri incidentoch
• Pravidelné školenia

Zásady pravidelne aktualizujte podľa vývoja technológií a hrozieb.

3. Využívajte technické riešenia

Technológie sú vaším spojencom v boji proti kybernetickým hrozbám. Zabezpečte svoje systémy pomocou:

• Firewallov a antivírusov
• Systémov na detekciu a prevenciu prienikov
• Nástrojov na prevenciu straty údajov (DLP)
• Šifrovania dát

Pravidelne kontrolujte a aktualizujte použité technológie, aby ste boli vždy o krok pred útočníkmi.

4. Pravidelne auditujte a testujte

Neuspokojte sa s jednorazovým nastavením ochrany. Vykonávajte:

• Interné a externé audity
• Skenovanie zraniteľností
• Penetračné testy

Takto odhalíte slabé miesta a môžete ich včas odstrániť. Priebežne aktualizujte aj hodnotenie rizík.

5. Vzdelávajte svoj tím

Zamestnanci sú často najzraniteľnejším článkom bezpečnosti. Pravidelne ich školte o:

• Význame ochrany údajov
• Aktuálnych hrozbách
• Postupoch pri podozrivých aktivitách

Podporujte kultúru bezpečnosti a motivujte zamestnancov, aby akékoľvek incidenty nahlasovali bez odkladu.

6. Majte pripravený plán pre prípad incidentu

Aj pri najlepšej prevencii môže dôjsť k bezpečnostnému incidentu. Pripravte si plán, ktorý bude obsahovať:

• Postupy na odhaľovanie a riešenie incidentov
• Jasné rozdelenie zodpovedností
• Pravidelné testovanie pripravenosti

Tak minimalizujete škody a rýchlo obnovíte bežnú prevádzku.

Ochrana osobných údajov je neustály proces, ktorý si vyžaduje pozornosť, spoluprácu všetkých zamestnancov a pravidelné prispôsobovanie sa novým hrozbám. Sledujte aktuálne trendy, inovujte svoje postupy a budujte dôveru svojich zákazníkov aj partnerov.

Ak potrebujete profesionálnu pomoc s ochranou osobných údajov, radi vám poradíme a zabezpečíme komplexné riešenie na mieru vašej firme.

Aktualizácia dokumentácie GDPR je pre organizácie nevyhnutnosťou z viacerých zásadných dôvodov. Všeobecné nariadenie o ochrane údajov (GDPR), ktoré platí v celej EÚ od mája 2018, kladie na organizácie povinnosť nielen zabezpečiť ochranu osobných údajov, ale aj preukázať súlad s týmto nariadením prostredníctvom aktuálnej a úplnej dokumentácie.

Prečo je aktualizácia dokumentácie GDPR nevyhnutná?

• Preukázanie súladu: GDPR vyžaduje, aby organizácie vedeli kedykoľvek preukázať, že ich spracúvanie osobných údajov je v súlade s právnymi požiadavkami. Pravidelnou aktualizáciou dokumentácie môžu organizácie ľahko doložiť, že postupujú v súlade s nariadením a sú pripravené na kontrolu zo strany dozorných orgánov.
• Zodpovednosť a riadenie rizík: Presná a aktuálna dokumentácia umožňuje organizáciám identifikovať riziká spojené so spracovaním údajov a prijímať adekvátne opatrenia na ich minimalizáciu.
• Transparentnosť: Udržiavaním aktuálnych záznamov organizácie zabezpečujú transparentnosť voči dotknutým osobám a môžu jasne deklarovať, ako a prečo ich údaje spracúvajú.
• Prevencia pokút: Nedostatočná alebo zastaraná dokumentácia môže viesť k vysokým finančným sankciám v prípade porušenia GDPR.

Aká dokumentácia je pre GDPR súlad potrebná?

GDPR stanovuje povinnosť viesť a pravidelne aktualizovať viacero typov dokumentácie, medzi ktoré patria najmä:

• Záznamy o činnostiach spracovania (Record of Processing Activities) – obsahujú informácie o tom, aké osobné údaje sa spracúvajú, na aký účel, aké kategórie dotknutých osôb a príjemcov sú zapojené, a ďalšie náležitosti podľa článku 30 GDPR.
• Politika ochrany osobných údajov (Personal Data Protection Policy) – interný dokument, ktorý definuje zásady, pravidlá a opatrenia na ochranu osobných údajov v organizácii.
• Zásady uchovávania údajov a plán uchovávania (Data Retention Policy, Data Retention Schedule) – určujú, ako dlho sa jednotlivé kategórie údajov uchovávajú a kedy sa likvidujú.
• Súhlasy dotknutých osôb (Data Subject Consent Form) – dokumentujú získané súhlasy na spracovanie údajov, vrátane špeciálnych súhlasov (napr. rodičovských).
• DPIA register (Register posúdení vplyvu na ochranu údajov) – evidencia posúdení vplyvu na ochranu údajov pri spracovateľských operáciách s vysokým rizikom.
• Zmluvy so spracovateľmi (Supplier Data Processing Agreement) – zmluvné dokumenty s externými partnermi, ktorí spracúvajú osobné údaje v mene organizácie.
• Postupy a formuláre pre hlásenie porušenia ochrany údajov (Data Breach Response and Notification Procedure, Data Breach Notification Forms) – zabezpečujú včasné a správne nahlásenie incidentov dozornému orgánu aj dotknutým osobám.
• Odpovede na žiadosti dotknutých osôb – dokumentácia procesov a odpovedí na žiadosti o prístup, opravu, výmaz či prenositeľnosť údajov.

Ako zabezpečiť efektívnu aktualizáciu GDPR dokumentácie?

• Pravidelné revízie: Dokumentáciu je potrebné pravidelne kontrolovať a aktualizovať podľa zmien v procesoch, technológiách alebo legislatíve.
• Centralizované úložisko: Všetky dokumenty by mali byť uložené na jednom mieste, aby boli ľahko dostupné a vždy v aktuálnej verzii.
• Verzovanie a auditná stopa: Zmena v dokumentoch by mala byť zaznamenaná, aby bolo možné spätne dohľadať históriu úprav.
• Školenia zamestnancov: Priebežné vzdelávanie personálu o povinnostiach a postupoch podľa GDPR je kľúčové pre udržanie súladu.

Aktualizovaná a správne vedená dokumentácia je základom preukázateľného súladu s GDPR a ochrany vašej organizácie pred právnymi a finančnými rizikami.

Úradník pre ochranu údajov (Data Protection Officer, DPO) je nezávislá osoba alebo externý odborník, ktorého úlohou je zabezpečiť, aby organizácia spracúvala osobné údaje v súlade s platnými právnymi predpismi o ochrane údajov, predovšetkým s nariadením GDPR. DPO má kľúčovú úlohu v oblasti ochrany osobných údajov a pôsobí ako kontaktná osoba pre zamestnancov, dotknuté osoby aj dozorné orgány.

Kedy je potrebné vymenovať DPO?

Podľa GDPR je vymenovanie DPO povinné pre:

• verejné orgány a subjekty (okrem súdov pri výkone ich právomocí),
• organizácie, ktorých hlavné činnosti zahŕňajú pravidelné a systematické monitorovanie fyzických osôb vo veľkom rozsahu,
• organizácie, ktoré spracúvajú vo veľkom rozsahu špeciálne kategórie osobných údajov alebo údaje o trestných činoch a priestupkoch.

Aj organizácie, ktoré nemajú túto povinnosť, sa môžu rozhodnúť vymenovať DPO dobrovoľne.

Hlavné úlohy a povinnosti DPO

DPO vykonáva najmä tieto činnosti:

• informuje a radí organizácii a jej zamestnancom o povinnostiach v oblasti ochrany údajov,
• monitoruje súlad organizácie s GDPR a internými politikami, vrátane vykonávania auditov a školení,
• poskytuje poradenstvo pri posúdení vplyvu na ochranu údajov (DPIA) a dohliada na jeho realizáciu,
• spolupracuje s dozorným orgánom a pôsobí ako kontaktná osoba pre tento orgán aj pre dotknuté osoby,
• zabezpečuje odpovede na žiadosti a sťažnosti týkajúce sa spracúvania osobných údajov.

DPO musí mať odborné znalosti v oblasti ochrany údajov, byť nezávislý vo výkone svojej funkcie a mať priamy prístup k najvyššiemu vedeniu organizácie. Organizácia musí zverejniť kontaktné údaje DPO a zabezpečiť, aby bol včas zapojený do všetkých otázok týkajúcich sa ochrany osobných údajov.

DPO nie je osobne zodpovedný za dodržiavanie GDPR – zodpovednosť nesie samotná organizácia, no DPO zohráva zásadnú rolu pri zabezpečení a preukazovaní súladu s právnymi požiadavkami.

Limity pre uchovávanie osobných údajov podľa GDPR sa musia stanovovať nielen podľa účelu spracúvania, právnych či obchodných požiadaviek, ale aj podľa kategórií informačných systémov, v ktorých sú údaje spracúvané. Každý typ informačného systému vyžaduje špecifický prístup k nastavovaniu lehôt uchovávania, pričom tieto lehoty musia byť jasne zdokumentované a pravidelne revidované.

Kategórie informačných systémov a limity uchovávania údajov

1. Personálne a mzdové systémy

• Uchovávanie osobných údajov zamestnancov, pracovných zmlúv, mzdových listov a dochádzky.
• Typické lehoty: 5–10 rokov podľa pracovnoprávnych a daňových predpisov.
• Dôvod: Povinnosť uchovávať dokumentáciu pre účely kontroly zo strany úradov a pre prípad právnych sporov.

2. Účtovné a finančné systémy

• Spracúvanie faktúr, účtovných dokladov, daňových priznaní, bankových výpisov.
• Typické lehoty: 5–10 rokov podľa zákona o účtovníctve a daňových zákonov.
• Dôvod: Zákonná povinnosť archivácie pre účely auditu a daňových kontrol.

3. CRM a marketingové systémy

• Uchovávanie údajov o zákazníkoch, kontaktných osobách, histórii komunikácie, marketingových súhlasoch.
• Typické lehoty: do odvolania súhlasu alebo do naplnenia účelu (napr. ukončenie kampane), maximálne však niekoľko rokov.
• Dôvod: Po skončení marketingovej kampane alebo odvolaní súhlasu je potrebné údaje vymazať alebo anonymizovať.

4. Systémy správy zákazníckych služieb

• Uchovávanie údajov o reklamáciách, požiadavkách, podpore a spätnej väzbe.
• Typické lehoty: 2–5 rokov po uzavretí prípadu.
• Dôvod: Riešenie reklamácií, právne nároky, zlepšovanie služieb.

5. Systémy na správu prístupov a bezpečnosti

• Evidencia prístupov do priestorov, logy prístupov do IT systémov, kamerové záznamy.
• Typické lehoty: niekoľko mesiacov až 2 roky, podľa účelu a bezpečnostných požiadaviek.
• Dôvod: Prevencia a vyšetrovanie incidentov, ochrana majetku a osôb.

6. Archívne a dokumentačné systémy

• Dlhodobé uchovávanie dokumentov na účely archívu, výskumu alebo štatistiky.
• Typické lehoty: podľa osobitných právnych predpisov alebo do anonymizácie údajov.
• Dôvod: Výskum, historická dokumentácia, verejný záujem.

Praktické odporúčania pre správu limitov v informačných systémoch

• Viesť register informačných aktív (Information Asset Register), kde budú evidované všetky kategórie údajov, účely spracúvania a lehoty uchovávania.
• Prepojiť register s evidenciou spracovateľských činností (RoPA) a pravidelne ho aktualizovať pri každej zmene procesu alebo systému.
• Zaviesť automatizované procesy na upozorňovanie na uplynutie lehoty uchovávania a bezpečné vymazávanie alebo anonymizáciu údajov.
• Pravidelne revidovať a aktualizovať lehoty uchovávania podľa legislatívnych zmien, odporúčaní dozorných orgánov a interných potrieb.

Správne nastavenie a dodržiavanie limitov uchovávania osobných údajov v jednotlivých kategóriách informačných systémov je základom GDPR súladu. Každý systém by mal mať jasne definované pravidlá, dokumentované lehoty a procesy na bezpečné vymazanie údajov po uplynutí stanovenej doby, pričom tieto pravidlá musia byť pravidelne kontrolované a aktualizované.