Všeobecné nariadenie o ochrane osobných údajov GDPR je dosť zložité a zdá sa, že mnohé firmy sa stále snažia pochopiť, čo pre ne znamená, dokonca aj v tejto neskoršej fáze. Tak, ako dobre rozumiete novému zákonu vy?
Koho sa týka
Nariadenie GDPR sa vzťahuje na každého, kto spracováva osobné údaje fyzických osôb úplne alebo čiastočne a to napríklad automatizovanými prostriedkami, ako aj manuálne, ale takto spracované údaje sú určené na to, aby sa stali súčasťou informačného systému. V takom prípade ste na účely GDPR tzv. prevádzkovateľom a hlavná zodpovednosť za spracovanie osobných údajov je na vás. A to aj vtedy, ak máte zmluvy s ďalšími tzv. sprostredkovateľmi, napríklad účtovník, poskytovateľ cloudových služieb, poskytovateľ e-mail marketingu a pod. Pri GDPR je dôležité, aby servery a servery sprostredkovateľov boli v EÚ. Ak by boli umiestnené mimo EÚ, proces zosúladenia spôsobu spracovania osobných údajov s GDPR je omnoho zložitejší. Nariadenie sa na vás ako prevádzkovateľa v EÚ vzťahuje bez ohľadu na to, či spracovanie vykonávate v EÚ alebo mimo EÚ.
Treba sa báť byrokracie?
Pre väčšinu európskych firiem znamená príchod GDPR najmä viac byrokracie a vyššie nároky na uchovávanie dokumentov. Na druhej strane si však mnohí uvedomujú, že tak budú mať vyššiu úroveň bezpečnosti údajov. Mnoho spoločností v Európe sa obáva, že GDPR môže ohroziť jej obchodný model. Samozrejme v tom čase by už väčšina spoločnosti mala mať implementáciu GDPR za sebou, ale stále sa nájdu aj taký, ktorí to akosi podceňujú. Mali by si sami zistiť, aké povinnosti sa na ne vzťahujú alebo sa poradiť s konzultantmi. Práve nesprávne informácie o GDPR často vyvolávajú paniku a zbytočný strach o budúcnosť firiem.
Nový spôsob súhlasu
Aby bol súhlas so spracovaním osobných údajov v súlade s nariadením GDPR musí byť:
- na konkrétny účel, na každý nový účel samostatný,
- preukázateľný,
- odlíšiteľný od iných skutočností na webovej stránke (napr. od objednávky),
- odvolateľný,
- informovaný,
- slobodný, vylučuje to automaticky začiarknuté checkboxy so súhlasom, príklad ak zákazník nezačiarkne súhlas so zasielaním newsletterov na jeho e-mail, musí mu byť umožnené napriek tomu nakupovať v e-shope.
Právo na zabudnutie
Pre prevádzkovateľov je to náročné a znamená nielen vymazanie všetkých osobných údajov zo systémov, ale aj zabudnutie zverejnených osobných údajov. GDPR tu ukladá povinnosť prevádzkovateľom, aby informovali aj ostatných prevádzkovateľov, ktorí spracovávajú osobné údaje dotknutej osoby o jej žiadosti o výmaz, ak žiada absolútne zabudnutie. Netreba zabúdať na zákonné povinnosti archivovať účtovné doklady alebo mzdovú agendu, kde je zákonná povinnosť uchovávať tieto doklady aj niekoľko desiatok rokov. Vo vzťahu k týmto evidenciám sa žiadosti o výmaz nemôžet vyhovieť, keďže plnenie zákonných povinností preváži nad záujmami zákazníka, ktorý žiada o výmaz.
Ako sa GDPR darí
Mnohé e-mailové schránky sa koncom mája 2018 zaplnili viac ako obyčajne. Firmy, e-shopy a rôzne internetové služby si od užívateľov pýtali nové povolenie, aby ich mohli kontaktovať aj naďalej. Jednou zo základných noviniek GDPR pre bežných ľudí je, že budú lepšie vedieť, čo spoločnosti s ich osobnými údajmi robia. Doteraz sa mohlo stať, že používatelia poriadne nevedeli, na čo všetko dali súhlas, ak si poriadne neprešli všetky právnicky napísane vysvetlenia konkrétnej služby, na ktorú dali svoje súhlas. GDPR už všetky doterajšie súhlasy, ktoré nespĺňajú podmienky nariadenia so spracovaním údajov, ruší a po novom sa už vyžaduje nový explicitný súhlas. Spoločnosti musia jasne, tak aby to každý pochopil, vysvetliť, aké údaje zbierajú, na ako dlho, čo s nimi robia a kto ďalší k ním bude mať prístup.