Firmy si často zhromažďujú údaje o svojich zákazníkoch a následne im posielajú ponuky svojich služieb. To však s príchodom GDPR už nie je také jednoduché. Aj tu nastali pravidlá v súvislosti s údajmi a kontaktmi na zákazníkov, ktorých firmy oslovujú. Na to všetko už dohliada nariadenie GDPR o ochrane osobných údajov, ktoré musí dodržiavať každý podnikateľ. Ako je to so spracovávaním takýchto údajov?
Súhlas nadovšetko
Každý kto získava, spracúva alebo inak zhromažďuje osobné údaje sa stáva spracovateľom osobných údajov. Na správu databázy osobných údajov o zákazníkoch je potrebný ich súhlas. Ten si môžu firmy vyžiadať priamo v písomnej zmluve alebo súhlas pripojiť napríklad k tlačidlu na odoslanie objednávky. Netreba zabudnúť, že pri každom súhlase so spracovaním osobných údajov musí byť uvedené, aké údaje sa budú spracovávať, za akým účelom a v akom rozsahu. Rovnako treba uviesť, že tento súhlas môže zákazník kedykoľvek odvolať.
Osobné údaje patria subjektu, to znamená nie tomu kto ich spracováva. Mnoho údajov o fyzických osobách je dnes voľne dostupných na internete. To ale neznamená, že sa tieto údaje môžu len tak využívať napríklad na marketingové účely a neplatia pre ne zásady o ochrane osobných údajov. S databázou vytvorenou s údajmi z internetu bez súhlasu osôb by s platnosť GDPR už mnohí podnikatelia mali problémy. Využitie takto získaných údajov potrebuje súhlas dotknutej osoby.
Čo s informačnými systémami
Povinnosť osobitnej registrácie sa vzťahuje na informačný systém, v ktorom prevádzkovateľ spracováva:
- osobné údaje nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany (§ 10 ods. 3 písm. g)), ak o tom rozhodne úrad podľa § 34 ods. 2 písm. b),
- biometrické osobné údaje, ak dotknutá osoba dala na spracovanie písomný alebo inak preukázateľný súhlas,
- biometrické osobné údaje nevyhnutné na plnenie zmluvy,
- biometrické osobné údaje nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany,
- aspoň jeden z osobitnej kategórie osobných údajov (napr. rasa, zdravotný stav apod.), a zároveň sa predpokladá ich prenos do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov.
Takáto registrácia informačného systému je spoplatnená vo výške správneho poplatku 50,-Eur.
Poučte svojich zamestnancov
Je potrebné zabezpečiť aj podmienky spracovania s osobnými údajmi zamestnancov. Každý kto prichádza do styku s osobnými údajmi musí byť poučený. O tomto poučený musí byť vyhotovený písomný záznam. Ak sa spracúvajú osobné údaje viac ako 20 osôb, mala by byť poverená zodpovedná osoba, ktorá bude vykonávať dohľad nad dodržiavaním zákona pri práci s osobnými údajmi.
Prenos údajov do inej krajiny
Pri prenose údajov o zákazníkoch do inej krajiny treba byť opatrný. V prvom rade je potrebné zistiť či daná krajina spĺňa požiadavku, tzv. adekvátnosti ochrany osobných údajov. Ak to nespĺňa, je treba pripraviť zmluvu o prenose údajov. To je potrebné len v prípade prenosu z EÚ do tretej krajiny, ktorá nemá ochranu v súlade so štandardmi EÚ. Krajiny, ktorých úroveň ochrany spĺňa štandardy sú napríklad Švajčiarsko, Argentína, USA Safe Harbour, Guernsey a Jersey.