GDPR osobné údaje sa najviac zmenili v roku 2018. Aké zmeny GDPR a nový zákon o ochrane osobných údajov prinesú do života firiem?
Predtým, než sa začneme venovať novinkám, si ozrejmíme, koho sa úprava osobných údajov dotýka, čo je osobný údaj, kto je prevádzkovateľom a kto spracovateľom osobných údajov. Tieto „informácie“ možno označiť ako ťažiskové „body“ pri ochrane osobných údajov.
GDPR osobné údaje – koho sa ochrana dotýka?
Podnikateľské subjekty, ktoré sú povinné ochranu osobných údajov riešiť, sú všetci zamestnávatelia, subjekty, ktoré majú kamerové systémy, webové stránky (či už jednoduché, alebo napr. e-shopy), ale aj napr. freelanceri (programátori, PPCčkari, analytici a pod.). Ešte stále si myslíte, že sa vás GDPR netýka? A keď k tomu zarátame pokutu do výšky astromických 20 000 000,- € alebo 4 % z obratu za predchádzajúce účtovné obdobie, získame vašu pozornosť?
Prevádzkovateľ vs. sprostredkovateľ
Keď už viete, že s pravdepodobnosťou blížiacou sa k istote sa vás to týka, zaslúžite si vedieť, „kto“ ste z pohľadu GDPR. Prevádzkovateľom je subjekt, ktorý spracúva osobné údaje vo vlastnom mene (napr. údaje o vlastných zamestnancoch, klientoch, ktorými sú fyzické osoby a pod.). Sprostredkovateľom je zase ten subjekt, ktorý spracúva osobné údaje v mene iného (teda spomínaní freelanceri, firmy, ktoré vám robia účtovníctvo a pod.). Medzi prevádzkovateľom a sprostredkovateľom musí byť uzatvorená tzv. zmluva o poverení sprostredkovateľa so spracovaním osobných údajov. Tej sa budeme venovať nižšie. Len z dôvodu motivácie k ďalšiemu čítaniu – za uzatvorenie tejto zmluvy je zodpovedný prevádzkovateľ.
Čo je osobný údaj?
Odbremeníme vás od vyčerpávajúceho čítania siahodlhého zákonného ustanovenia – osobným údajom je meno, priezvisko, ID (rodné číslo / dátum narodenia) a všetky ostatné údaje, prostredníctvom ktorých je možné identifikovať fyzickú osobu (to sa netýka živnostníka). Čiže to „ostatné“ môže byť: lokalizačný údaj, online identifikátor (IP adresa, cookies).
Už teraz možno vylúčiť, že väčšina z vás je GDPR „compliance“. Prečo? Lebo IP adresy a cookies sledujete a možno o tom ani neviete.
A ako zistiť, že vaše cookies, IP adresa alebo e-mail nie sú osobný údaj? Jednoducho, keď neviete identifikovať fyzickú osobu (označovaná ako dotknutá osoba) alebo keď máte o osobe tzv. „vizitkové údaje“ s e-mailovou adresou podnik@podnik.sk. Aj to je však pre istotu potrebné posúdiť vo vzťahu k ostatným dokumentom a spracúvaným osobným údajom.
Sú osobné údaje, ktoré nemožno spracúvať?
Áno, ale nie. GDPR stanovuje osobné údaje, ktoré nemožno spracúvať bez súhlasu dotknutej osoby – nazývajú sa „osobitné kategórie osobných údajov“. Medzi tieto údaje je zaradené rodné číslo, avšak to sa zmení a od 25.05.2018 nebude rodné číslo osobitnou kategóriu osobných údajov.
Ďalšími údajmi zaradenými do osobitnej kategórie sú údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, alebo členstvo v odborových organizáciách a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia, údajov týkajúcich sa sexuálneho života či sexuálnej orientácie fyzickej osoby.
Aj tieto údaje v určitých prípadoch možno používať. Napríklad, keď sa bavíme o údajoch týkajúcich sa zdravia, každý zamestnanec býva PN. Tento osobný údaj je možné spracúvať, keď je to na účely vyhotovovania jeho mzdy, ohlasovania voči zdravotnej a sociálnej poisťovni atď. Takéto výnimky existujú aj v ďalších prípadoch.
Právny základ – z akého dôvodu spracúvam osobné údaje?
Bez súhlasu alebo so súhlasom. Zdá sa to jednoduché? Pozrime sa na to trochu bližšie. GDPR vo všeobecnosti rozlišuje „iba“ medzi spracúvaním osobných údajov so súhlasu alebo bez súhlasu. Keď budeme konkrétnejší, dôvodov spracúvania je viacero:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov,
b) spracúvanie je nevyhnutné na plnenie zmluvy
c) spracúvanie je nevyhnutné na splnenie zákonnej požiadavky prevádzkovateľa
d) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby, spracúvanie je nevyhnutné na splnenie úlohy vo verejnom záujme, spracúvanie je nevyhnutné na účely oprávnených záujmov
e) oprávnený záujem.
Čiže – bod a) -> súhlas, body b) až e) -> bez súhlasu. Máte adresu, ale nemáte súhlas zákazníka so spracovaním osobných údajov a chcete poslať zákazníkovi tovar, ktorý si objednal? 1. Môžete mu ho poslať, lebo ste uzatvorili zmluvu. 2. Môžete mu poslať aj info o zásielke. 3. Môžete mu dokonca poslať aj ponuku kúpy ďalšieho tovaru. Rozdiel medzi bodom 1., 2. a 3. je v právnom základe. Zatiaľ čo bod 1. a 2. je právny základ „plnenie zo zmluvy“, bod 3. je vo väčšine prípadov oprávneným záujmom.
Oprávnený záujem je pre veľa krajín EÚ novinkou, ale slovenský zákon o ochrane osobných údajov ho už pozná. Napriek tomu budete musieť prekonzultovať svoje právne základy. Prečo? Niektoré právne základy spracúvania osobných údajov sú zrušené.
Nevýhodou súhlasu je, že je odvolateľný a je potrebné ho preukázať, konkrétne jeho poskytnutie.
Teda to, že nebol vynútený alebo podmienený a že osobné údaje sú spracúvané za účelom, za ktorým bol súhlas udelený.
To neplatí o ďalších právnych základoch, preto každý právny základ spracúvania osobných údajov je potrebné dostatočne špecifikovať a určiť, či nie je možné „napasovať“ spracúvanie niektorých osobných údajov pod iný právny základ. Napr. pod oprávnený záujem. Avšak aj tu platí, že účel spracúvania a rozsah spracúvania musí byť dodržaný. Stále čakáte, čo prevratné okrem dvoch núl vo výške možnej pokuty zavádza GDPR?
Informačný systém alebo ako stanoviť účel spracúvania osobných údajov
IS a účel spracúvania sú síce dva pojmy, ale zato úzko spojené. A sú spojené aj s právnym základom a musia hrať na jednu nôtu.
K právnemu základu je potrebné stanoviť (s)právny účel a je potrebné ich zaradiť do ešte správnejšieho informačného systému.
Informačné systémy sú napr. nasledovné: IS mzdy a personalistika, IS uchádzači o zamestnanie, IS fotografia, IS účtovné doklady, IS zmluvy, IS reklamácia, IS marketing, IS e-shop, IS súťaž a pod.
Každý IS má svoj účel – keď zbieram e-maily, účelom môže byť: a) informovanie o mojich reklamných ponukách, b) informovanie o reklamných ponukách môjho obchodného partnera, c) informovanie o plnení zmluvy, akciách a pod.
Spracúvame osobné údaje automatizovane? Jeden zákazník má záujem o ponuku A, iný zase o ponuku B. Chceme posielať v tom prípade zákazníkovi “nerelevantné” ponuky? Keď systém zaznamená túto skutočnosť vyhodí zákazníka A z databázy B, ide o tzv. profilovanie. To je taktiež nový pojem, ktorý zavádza GDPR.
Pri vypracovaní informačných systémov a stanovení účelov je potrebné zohľadniť viacero faktorov, ktoré je treba následne prepojiť s právnym základom. Tieto informácie sú potom pretavené do informačného systému.
Spracúvanie osobných údajov
Spracúvaním osobných údajov sa rozumie akákoľvek operácia s osobnými údajmi, t. j. operácia alebo súbor operácií s osobnými údajmi, alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením, alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.
GDPR stanovuje nové zásady spracúvania osobných údajov. Z nich stoja za zmienku zásada minimalizácie údajov a zásada minimalizácie uchovávania osobných údajov. Dôvodom je, že po novom je každý prevádzkovateľ oprávnený spracúvať len potrebný rozsah osobných údajov, vzhľadom na účel spracúvania osobných údajov. Takmer každá „operácia“ je teda „spracúvaním“.
GDPR osobné údaje a „Sprostredkovateľská zmluva“
Ako sme spomínali vyššie, prevádzkovateľ môže poveriť iného so spracúvaním osobných údajov. Tým je „sprostredkovateľ“ a prevádzkovateľ je povinný uzatvoriť zmluvu. Keď sa prevádzkovateľ a sprostredkovateľ výslovne dohodnú, môže sprostredkovateľ poveriť ďalšieho sprostredkovateľa atď.Práve prevádzkovateľ je povinný vybrať si toho „správneho“ sprostredkovateľa a uzatvoriť s ním zmluvu, inak mu hrozí pokuta. O čom je takáto zmluva? O tom, ako bude spracúvať sprostredkovateľ osobné údaje, ako ich vlastne môže spracúvať, v akom rozsahu, za akým účelom, v akej dobe…
Sprostredkovateľská zmluva musí obsahovať predmet a dobu spracúvania osobných údajov, povahu a účel spracúvania osobných údajov, okruh osobných údajov, kategórie dotknutých osôb, práva a povinnosti prevádzkovateľa a sprostredkovateľa atď.
Skontrolujte si, či máte s dodávateľmi uzatvorené zmluvy a ako znejú. Alebo či máte obsiahnutú túto úpravu aspoň v obchodných podmienkach. V súčasnosti platné sprostredkovateľské zmluvy alebo zmluvy, v ktorých je „sprostredkovateľská činnosť“ ustanovená bude potrebné prepracovať, aby boli GDPR „compliance“.
Čo teraz?
Predstavili sme vám podstatné informácie o ochrane osobných údajov. Pripravíme aj ďalšie informácie, týkajúce sa povinnosti informovania oprávnených osôb (napr. vašich zamestnancov) o tom, ako majú osobné údaje spracúvať.
Dáme vám vedieť aj to, ako je potrebné informovať dotknuté osoby (osoby, ktorých údaje spracúvate).
Ako sami vidíte, na GDPR je potrebné sa pripraviť a zosúladiť vaše databázy, ochranu (online-offline) s GDPR. Znenie vašich interných smerníc, zmlúv, informovaných súhlasov a pod. by taktiež potrebovali „refresh.
Zakladateľ UPVISION Digital agency
