FAQ - gdpr.sk

Základ GDPR

Others

Čo je GDPR

GDPR alebo aj všeobecné nariadenie o ochrane osobných údajov sa týka ochrany údajov a súkromia jednotlivcov v rámci EÚ, upravujúc import a export osobných údajov mimo oblastí EÚ.

Čo patrí k osobným údajom?

Podľa legislatívy GDPR môžeme za osobný údaj považovať akúkoľvek informáciu, týkajúcu sa identifikovateľnej alebo neidentifikovateľnej určenej alebo určiteľnej osoby (fyzickej). Identifikovateľná fyzická osoba je osoba, ktorú môžeme identifikovať či už nepriamo alebo priamo pomocou odkazu na jej identifikátor ako napríklad:
– meno, priezvisko,
– lokalizačné údaje,
– identifikačné číslo,
– online identifikátory – cookies, IP adresa a iné,
– odkazy na prvky špecifické pre fyziologickú, genetickú, fyzickú, mentálnu, ekonomickú, kultúrnu, či sociálnu identitu danej osoby,
– údaje, týkajúce sa osoby, ktoré nie je možne okamžite zistiť (funkcia, profesia a iné).

Jednotlivé prípady je nutné posudzovať jednotlivo pričom treba brať ohľad na všetky skutočnosti, ktoré môžu smerovať k identifikovaniu alebo identifikácií konkrétnej fyzickej osoby.

Koho sa týka nariadenie GDPR?

GDPR sa týka každého, kto spracuváva osobné údaje fyzických osôb prostredníctvom úplného či čiastočného automatizovania (informačné systémy) alebo ručne.

Odkedy je účinné nariadenie o ochrane osobných údajov?

Nariadenie GDPR prišlo do platnosti 25.5.2018.

V čom pomôže GDPR?

Európska únia schválila nariadenie GDPR dňa 25.8.2018 a udelila občanom viaceré nové práva. Vďaka týmto právam je možné lepšie ochraňovať vaše osobné údaje. Legislatíva GDPR priniesla právo na prístup k osobným údajom alebo právo na vymazanie osobných údajov z databázy organizácie.

Čo mení nariadenie GDPR?

Medzi dôležité zmeny, ktoré legislatíva GDPR priniesla, môžeme zaradiť:
– pokuty do výšky 20 miliónov eur alebo do výšky 4% celkového obratu danej spoločnosti za predchádzajúci účtovný rok v závislosti, ktorá suma je vyššia,
– posilnenie práv dotknutých osôb,
– nové pravidlá týkajúceho sa cezhraničného prenosu osobných údajov,
– nová úprava ohľadom súhlasu zo strany neplnoletých dotknutých osôb,
– oznamovanie a dokumentovanie bezpečnostných incidentov,
– opatrenia pre ochranu osobných údajov sa zjednotili v celej Európskej únií,
– bezpečnostná dokumentácia a nové tlačivá v súlade s legislatívou GDPR,
– povinnosť opätovne nahlásiť všetky IS – informačné systémy,
– záväzné vymenovanie ZO/DPO – zodpovednej osoby pre všetky školy a materské školy,
– záväzné vymenovanie ZO/DPO – zodpovednej osoby pre všetky obce a mestá.

Na koho sa vzťahuje ochrana osobných údajov?

GDPR sa vzťahuje najmä na orgány štátnej správy, územnej samosprávy, verejnej moci a v neposlednom rade na všetky ostatné právnické a fyzické osoby, ktoré pri výkone svojej podnikateľskej činnosti spracovávajú osobné údaje.

Ako chrániť svoje osobné údaje?

Vaše osobné údaje môžete chrániť viacerými spôsobmi a nie je to ani komplikované. Dôležité je premyslieť si, aké informácie poskytnete danej organizácií a pre aký účel použijú tieto informácie. Ak organizácií neposkytnete citlivé osobné údaje tak s nimi nemôžu pracovať.

Kybernetický útočníci môžu použiť rôzne podvodné praktiky na získanie osobných informácií. Napríklad pomocou Phishing techniky sa môžu pokúsiť o získanie prístupových hesiel. Pomocou podvodných napodobenín platobných alebo prihlasovacích formulárov môžete nevedomky poskytnúť vaše osobné údaje takzvaným „phisherom“.

Aké práva má dotknutá osoba?

Každá dotknutá osoba má právo požadovať prístup k jej osobným údajom, taktiež má právo na opravu, vymazanie, obmedzenie spracúvania či prenosnosť jej osobných údajov, kedykoľvek jej súhlas odvolať a podať sťažnosť príslušnému dozornému orgánu.

Aké osobné údaje GDPR vylučuje?

Z GDPR sa vylučujú osobné údaje, ktoré nazývame anonymizované údaje, ktoré žiadnym spôsobom neidentifikujú danú osobu.

Čo je najdôležitejšie pri zavádzaní GDRP?

Pochopenie manažmentom a definovaním stratégie (tzv. GAP analýza) zo strany riadenia informačnej bezpečnosti a plnenia požiadaviek GDPR (zmena procesov či úprava informačných systémov).

Ospravedlňuje ma náhodne porušenie ochrany osobných údajov?

Žiaľ, nie. Nariadenie platí pre každého rovnako. V prípade porušenia pravidiel prináša sankcie, s ktorými je potreba sa vysporiadať.

Aké sú sankcie za porušenie práv GDPR?

Výška pokuty za porušenie nariadení GDPR sa môže vyšplhať až na 20 miliónov eur alebo 4% ročného obratu danej spoločnosti, pričom závisí, ktorá sume je vyššia. Pokutu v maximálnej sume 10 miliónov eur alebo 2% ročného obratu danej firmy môžu udeliť pre:
– nie je súhlas zákonného zástupcu pri spracovaní osobných údajov osoby do 16 rokov,
– spracovanie osobných údajov môže prebiehať iba v súlade s pokynmi prevádzkovateľa,
– prevádzkovatelia a spracovávatelia musia implementovať opatrenia pre zabezpečenie dostatočnej ochrany osobných údajov,
– prevádzkovateľ je povinný oznámiť únik osobných údajov dozornému úradu do 72 hodín od zistenia tejto skutočnosti.

Existuje formulár pre nahlásenie úniku osobných údajov?

Áno, existuje. Prostredníctvom neho sa dá nahlásiť únik osobných údajov do 72 hodín, odkedy sa tento únik rozpoznal.

Ako dlho trvá implementovanie GDPR v závislosti od veľkosti podniku?

Na implementáciu sú potrebné isté kroky, ktoré sa vykonávajú vo vnútri spoločnosti. Na zavedenie GDPR vplýva množstvo faktorov, ktoré môžu ovplyvniť jej dĺžku.

Ako postupovať keď sa firma ešte vôbec nezaoberala ochranou osobných údajov?

Prvý krok spočíva v pochopení GDPR vyplývajúce z jeho povinností, termínov a sankcii. Druhý krok nesie v sebe vzdelávanie ľudí, ktorí budú priamo vykonávať činnosti spojené s implementáciou GDPR. Tretím krokom je analýza tejto implementácie.

Vzťahuje sa ochrana osobných údajov na údaje získané na základe B2B komunikácie (e-mail, telefónne čislo, IP adresa)?

Osobný údaj je každý údaj, ktorý dokáže priamo alebo nepriamo identifikovať fyzickú osobu. V tomto prípade sa jedná o údaje firmy, ktoré nespadajú pod GDPR, hoci v prípade kontaktu konkrétneho zamestnanca (ako zástupcu firmy) tieto jeho údaje pod zákon GDPR už spadajú, nakoľko je tento zamestnanec už identifikovateľný.

Čo robiť v prípade zlého zavedenia GDPR do podniku?

Ideálnym riešením je vykonanie certifikačného auditu podľa GDPR, ktorého výsledok sa oznámi aj príslušnému úradu.

Ako dlho môžem ukladať osobné údaje používateľov?

Na základe zákona GDPR by sa po realizovaní jednorázového nákupu v špecializovanom e-shope mali osobné údaje nakupujúceho uchovávať iba na potrebnú dobu kvôli možnému uplatneniu nároku kvôli poškodenému tovaru. Zákazník môže udeliť súhlas na zasielanie obchodných oznámení a maximálne sa osobné údaje môžu uchovávať po dobu, s ktorou súhlasil zákazník pri posielaní obchodných oznámení.

Čo znamená ochrana oznamovateľa?

Ochrana oznamovateľa má za úlohu poskytovať ochranu whistleblowerom, čiže osobám, ktoré sa rozhodli upozorniť na protispoločenskú činnosť (napr. korupcia) z vnútra danej inštitúcie, kde sú zamestnancami.

Novela zákona o ochrane oznamovateľov protispoločenskej činnosti nadobudla platnosť od 1. marca 2019 – Zákon č. 54/2019Z.z..

Oznamovanie protispoločenskej činnosti je vo verejnom záujme, oznamovateľ nahlási v dobrej viere a s úmyslom pomôcť pri odhalení protispoločenskej činnosti, ktorá je páchaná kolegom alebo nadriadením.

GDPR pre školstvo

Others

Na akom právnom základe môže škola zbierať osobné údaje o svojich žiakoch a ich zákonných zástupcoch?

Vzdelávacie inštitúcie a ich spracúvanie osobných údajov bez súhlasu dotknutých osôb sa týkajú len konkrétne určených výslovných a oprávnených účelov, a to len v tom prípade, ak im to ustanovuje zákon.

Môže škola/školské zariadenie zverejňovať získané údaje o svojich žiakoch na svojich webových sídlach, alebo na sociálnych sieťach (Facebook a iné..)?

Takéto nakladanie s osobnými údajmi podlieha povinnosti prevádzkovateľa, ktorý si musí vyžiadať súhlas dotknutých osôb. Jedná sa o údaje ako meno a priezvisko, dátum narodenia, trieda, príslušnosť ku škole a pod.

Musí mať škola/školské zariadenie uzavretú sprostredkovateľskú zmluvu s Ministerstvom školstva, vedy, výskumu a športu SR (ďalej len „MŠVVaŠ SR“)?

Nie, školské zariadenie nemusí mať uzavretú zmluvu s Ministerstvom školstva. Tá sa uzatvára iba s FO a PO, ktoré v mene školského zariadenia spracúvajú osobné údaje v ich informačných systémoch.

Komu môže ministerstvo školstva umožniť prístup k osobným údajom?

Ministerstvo môže udeliť prístup k osobným údajom školám a školským zariadeniam, zriaďovateľom, orgánom štátnej správy atď.

GDPR pre mestá a obce

Others

Týka sa zákon o GDPR aj miest a obcí?

Mestá a obce pri plnení svojich úloh spracúvajú osobné údaje, čiže aj tie sa musia podriadiť nariadeniu GDPR.

Musia mať aj malé obce súlad s GDPR?

Či malé či veľké, súlad s GDPR musia mať všetky obce bez ohľadu na rozlohu či počet obyvateľov.

Môže byť zodpovedná osoba aj zamestnanec úradu?

Samozrejme môže, avšak je potreba dbať na nezávislosť danej osoby pri výkone jej práce a s nakladaním osobných údajov, aby neprišlo ku konfliktu záujmov.

Koho sa GDPR v meste alebo obci dotýka?

GDPR sa týka rôznych oddelení mestských a obecných úradov (personálne oddelenie, oddelenia matriky, stavebných konaní, kontaktných centier).

GDPR pre nemocnice

Others

Potrebujú zdravotnícke zariadenia získavať od každého pacienta súhlas na spracovanie osobných údajov?

Zdravotnícke zariadenia nepotrebujú získavať písomné súhlasy svojich pacientov na účely spracovania osobných údajov. Takýto súhlas sa nevyžaduje, ak správa osobných údajov je nevyhnutná podľa osobitných predpisov.

Je povinné aj v zdravotníckych zariadeniach ustanoviť zodpovednú osobu?

Povinnosť zodpovednej osoby sa ukladá aj osobám, ktorých hlavnou činnosťou je správa osobných údajov týkajúcich sa zdravia, a to vo veľkom rozsahu, ale závisí to od konkrétnych okolností poskytovateľa zdravotnej starostlivosti.

Je potrebné vypracovať bezpečnostný projekt pre zdravotnícke zariadenia?

Nie, zákon upúšťa od vypracovania bezpečnostného projektu a smerníc, dokonca ani neukladá povinnosť viesť evidenciu informačného systému Úradu na ochranu osobných údajov SR. Avšak je povinnosť viesť záznam o spracovateľských činnostiach v listinnej či elektronickej podobe.

Aké sú povinnosti zdravotníckych zariadení v rámci GDPR?

Povinnosťou zdravotníckych zariadení je prijať primerané technické a organizačné opatrenia a bez zbytočného odkladu oznámiť dotknutej osobe (v tomto prípade pacientovi), ale aj Úradu na ochranu osobných údajov SR porušenie ochrany údajov.

GDPR pre hotely

Others

Je potrebné ustanoviť zodpovednú osobu pre GDRP hotelov?

Platí pre hotely, vykonávajúce rozsiahle spracúvanie osobných údajov (či už hostí alebo zamestnancov).

Je potrebné žiadať od hostí súhlas pre spracovanie osobných údajov?

Súhlas nie je potrebný v prípade, ak sú osobné údaje uchované v účtovnom systéme v prípade poskytovania ubytovania.

Aké osobné údaje sa môžu spracovávať pre ubytovacie účely?

V rámci ubytovacích účelov sa spracúvajú nasledovné osobné údaje (meno a priezvisko, číslo OP / pasu, adresa trvalého bydliska, doba ubytovania).

Podlieha GDRP monitorovanie hostí?

Ak sa jedná o dôvod oprávneného záujmu za účelom bezpečnosti hostí, tým pádom je používanie kamerového systému v poriadku. Avšak zaznamenané údaje by sa nemali evidovať príliš dlho, iba do doby nevyhnutnej na jej evidovanie. Odporúča sa nastavenie kamerového systému na automatické mazanie údajov a všetkých hostí je taktiež potreba o takomto procese informovať.

Aké najčastejšie súhlasy by sme mohli vyžiadať od našich hostí?

Najčastejšie súhlasy, ktoré môže žiadať prevádzkovateľ hotela od jeho hostí sú nasledovné (súhlas so spracovaním osobných údajov, súhlas na marketingové účely príp. súhlas so všeobecnými obchodnými podmienkami).

GDPR pre firmy

Others

Kedy treba riešiť GDPR v rámci firmy?

Nariadením GDPR je povinná sa riadiť každá firma, ktorá spracúva osobné údaje.

Každá firma, ktorá rieši GDPR, by mala mať aj zodpovednú osobu DPO?

Nie, zodpovedná osoba nie je povinnosť, avšak je lepšie, ak existuje. Vykonáva totiž dozor nad správnym nakladaním s osobnými údajmi.

Považujú sa fakturačné údaje za spracovanie osobných údajov?

Samozrejme, GDPR nerozlišuje, či sa jedná o údaje fyzickej osoby alebo SZČO.

Dokedy je potrebné nahlásiť únik osobných údajov?

Možnosť nahlásenia úniku osobných údajov sa dá vykonať do 72 hodín od zistenia porušenia.

GDPR pre e-shopy

Others

Vzťahuje sa GDPR aj na e-shopy?

Áno, či už sa jedná o malý či veľký e-shop, podriaďuje sa nariadeniu GDPR.

Čo ak e-shop nezískal súhlas na spracovanie osobných údajov ešte pred nadobudnutím účinnosti zákona?

Neexistuje žiadna výnimka, v takomto prípade je potreba získať opätovný súhlas, inak nemôžeme tieto údaje ďalej spracovávať.

Kedy je e-shop povinný preukázať oprávnené spracovanie osobných údajov?

V prípade akejkoľvek kontroly musí e-shop vedieť preukázať, že všetky údaje, ktoré spracováva má podložené súhlasmi od dotyčných osôb.

GDPR pre občianske združenia

Others

Vyhnú sa neziskové organizácie GDRP nariadeniam?

Nariadenie GDPR zasahuje do všetkých organizácií, medzi ktorými sú aj neziskové organizácie, ktoré taktiež spracovávajú veľké množstvo osobných údajov.

GDPR pre občianske živnostníkov

Others

Existuje výnimka pre živnostníkov?

Žiadna neexistuje. Pri spracúvaní akýchkoľvek osobných údajov je nariadenie GDPR povinnosťou.

Čo treba spraviť, ak chcem presunúť tieto údaje napr. externej účtovníčke?

Je potrebné uzatvoriť sprostredkovateľskú zmluvu, v ktorej je nutné definovať spôsob, v akom rozsahu a na akú dlhú dobu môže sprostredkovateľ osobné údaje spracúvať.

GDPR pre účtovníkov

Others

Aké postavenie má podľa GDPR externý účtovník?

Je potreba rozlišovať 2 subjekty, a to prevádzkovateľa, ktorý spracúva osobné údaje vo vlastnom mene, a sprostredkovateľa, ktorý spracúva osobné údaje v mene prevádzkovateľa (účtovník či účtovnícka firma).

Na základe čoho môže externý účtovník spracúvať osobné údaje dotknutých osôb ?

Na základe osobitnej zmluvy.

Aké sú základné povinnosti externého účtovníka podľa GDPR?

Povinnosť chrániť údaje, ktoré spracúva, viesť záznamy o spracovateľských činnostiach, oznamovať porušenia ochrany údajov, spolupracovať s Úradom na ochranu osobných údajov SR, vykonávať výmaz osobných údajov.

Aké sú sankcie za porušenie povinností externého účtovníka?

Úrad na ochranu osobných údajov môže účtovníkovi uložiť pokutu do výšky 10 000 000 € alebo ak ide o spoločnosť do 2% celkového ročného obratu za predchádzajúci rok podľa toho, ktorá suma je vyššia.

GDPR pre sankcie a pokuty

Others

Aké sankcie alebo pokuty nám hrozia pri porušení nariadenia o GDPR?

Spoločnostiam hrozia poriadkové pokuty do výšky 2000 € alebo do 10 000 €, pokuty môžu byť udelené aj do výšky 10 000 000 € alebo ak sa jedná o podnik do 2% celkového svetového ročného obratu za predchádzajúci rok, podľa toho, ktorá suma je vyššia a pokuty do 20 000 000 € alebo ak ide o podnik 4 % celkového svetového ročného obratu za predchádzajúci rok v závislosti, ktorá suma je vyššia.

Kybernetická bezpečnosť

Others

Ako postupovať pri úniku osobných údajov?

Treba zabezpečiť komplexnú bezpečnosť. Stupeň ochrany a postup v prípade kompromitácie presne definuje nariadenie GDPR.

Ako to je so samotným aplikovaním cookies a GDPR?

Cookies sa spracúvajú na základe oprávneného záujmu spoločnosti ako záujmu prevádzkovateľa. Návštevník stránky má právo vzniesť námietku, o čom musí byť poučený v texte po rozkliknutí tlačidla „Viac informácií“. Rovnako musí byť poučený o možnosti zmeny nastavenia vo svojom prehliadači.

Ktorý internetový prehliadač je najbezpečnejší?

Pri voľbe internetového prehliadača by rozhodujúci faktor mala byť jeho bezpečnosť. Veľké množstvo funkcií alebo ak je dizajnovo prepracovaný neznamená, že poskytuje prvotriednu ochranu vašich dát.

Kto by sa mal chrániť poistením kybernetických rizík?

Poistenie kybernetických rizík je vhodné najmä pre malé a stredné podniky prípadne samosprávy, ktoré majú menší objem financií pre následné riešenie kybernetického útoku. Ak by nastalo zlyhanie systému alebo chyba na strane zamestnanca má podnik k dispozícií financie z poistky, ktoré môže využiť na náhradu škody. Poistenie môžu využívať poskytovatelia služieb, obchodníci, alebo tí ktorí použivajú elektronické systémy, platobné terminály alebo automatizované systémy riadenia. V princípe sa môže poistiť ktokoľvek či už živnostník alebo právnická osoba, ktorá spracováva osobné údaje.

Poistenie u rôznych poskytovateľov je odlišné, ale dokáže pokryť finančné výdavky na ochranu dobrého mena, náklady určené na právnu ochranu, prešetrenie v súvislosti s porušením ochrany dát, výkupné určené pre útočníkov, fixné náklady a ušlý zisk, ak musí prevádzka prerušiť činnosť z dôvodu kybernetického útoku prípadne aj nároky tretej strany.

Zodpovedná osoba

Others

Kto je zodpovedná osoba (DPO)?

Zodpovedná osoba vykonáva činnosti spojené so spracúvaním osobných údajov, pre ktoré je typický pravidelný a systematický monitoring dotknutých osôb.

Kto je to oprávnená osoba?

Oprávnená osoba je FO, ktorá pravidelne prichádza do kontaktu s osobnými údajmi pri plnení svojich pracovných povinností a vykonáva rôzne spracovateľské operácie spojené s týmito údajmi.

Čo musí zodpovedná osoba spĺňať?

Zodpovedná osoba musí spĺňať určité odborné kvality, najmä odborné znalosti práva a procesov v oblasti ochrany osobných údajov.

Na koho sa vzťahuje povinnosť ustanoviť zodpovednú osobu?

Povinnosť ustanoviť zodpovednú osobu sa vzťahuje na orgány a inštitúcie verejnej moci, pri spracúvaní veľkého množstva dát, pri osobitnej kategórií osobných údajov a v prípade spracúvania osobných údajov o uznaní viny za trestné činy a priestupky.

Môžu mať viacerí podnikatelia tú istú zodpovednú osobu?

Ustanovenie zodpovednej osoby je spojené aj s dodatočnými nákladmi. Viacerí podnikatelia môžu mať ustanovenú tú istú zodpovednú osobu pričom podmienkou je aby táto zodpovedná osoba bola dostupná v jednotlivých podnikoch.