Čo pre podnikateľa znamená GDPR?
| 05.05.2022 | 3 min. čítania
So skratkou GDPR sa spája ochrana osobných údajov, najmä údajov o zákazníkoch, zamestnancoch či obchodných partneroch, ako aj povinnosti s tým spojené. Kedy by mal podnikateľ spozornieť a aké opatrenia by mal prijať, ak chce svoju činnosť vykonávať v súlade s GDPR?
Čo je to GDPR?
GDPR je skrátené označenie nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov (v angl. General Data Protection Regulation). Uvedené nariadenie, ktoré je priamo záväzné vo všetkých členských štátoch EÚ, nadobudlo účinnosť dňa 25. 5. 2018 – od tohto dátumu je GDPR pre podnikateľov hlavnou reguláciou, ktorou sa musia riadiť pri spracúvaní a ochrane osobných údajov.
Aké zákony, nariadenia a iná legislatíva sa týkajú GDPR?
GDPR je priamo záväzné nariadenie, a teda pre podnikateľov platí bez ohľadu na to, či na národnej úrovni v konkrétnom členskom štáte EÚ je alebo nie je prijatý špecifický zákon regulujúci spracovanie a ochranu osobných údajov – tým je zaručené univerzálne použitie rovnakých pravidiel naprieč celou EÚ.
Na Slovensku máme aj zákon č. 18/2018 Z. z. o ochrane osobných údajov.
Tento zákon z veľkej miery kopíruje obsah GDPR, a preto nižšie uvedené pojmy, povinnosti či riziká sú pre podnikateľov úplne rovnaké z pohľadu slovenskej legislatívy, ako aj z pohľadu GDPR.
Vysvetlenie základných pojmov v zmysle GDPR
GDPR používa rôzne pojmy, ktorých významom nemusí každý rozumieť. Pozrime sa na to, s akými pojmami v zmysle GDPR sa bežný podnikateľ môže stretnúť najčastejšie:
Čo je osobným údajom?
Osobným údajom je akýkoľvek údaj, ktorý sám o sebe, alebo v spojení s inými údajmi, identifikuje alebo je schopný identifikovať konkrétnu fyzickú osobu.
To znamená, že zatiaľ čo jednoduchý údaj ako „Peter Novák“ bez bližšieho kontextu nie je osobným údajov (môže byť niekoľko Petrov Novákov), údaj „Peter Novák, narodený 1. januára 1980, bytom v obci X“, už osobným údajom je (ide o konkrétnu osobu).
Osobným údajom v zmysle GDPR môžu byť aj technické údaje ako IP adresa či súbory cookies, ktoré sú za určitých okolností spôsobilé identifikovať konkrétne zariadenie a jeho používateľa.
Čo znamená spracúvanie osobných údajov?
Spracúvanie osobných údajov je akákoľvek operácia s osobnými údajmi – napríklad získavanie, uchovávanie, archivácia v databáze či založenie do firemnej dokumentácie, použitie údajov na zaslanie newslettra, poskytnutie údajov tretej osobe atď.
Kto je dotknutou osobou?
Dotknutou osobou je tá fyzická osoba, ktorej sa osobné údaje týkajú. Vo vyššie uvedenom názornom prípade bude teda dotknutou osobou pán Peter Novák.
Kto je prevádzkovateľ a kto sprostredkovateľ?
Prevádzkovateľom je ten, kto osobné údaje spracúva na svoje účely, zatiaľ čo sprostredkovateľom je niekto, kto osobné údaje spracúva na účely iného subjektu. Ak teda pán Peter Novák pracuje vo firme Z, potom firma Z ako zamestnávateľ pána Nováka spracúva jeho osobné údaje na vlastné účely, v rámci vedenia mzdovej agendy, a teda je považovaná za prevádzkovateľa.
Ak má firma Z externého účtovníka, ktorý spracúva osobné údaje pána Nováka v rámci vedenia mzdového účtovníctva pre firmu Z (teda pre účely firmy Z, nie pre vlastné účely), potom bude takýto účtovník považovaný v zmysle GDPR za sprostredkovateľa.
Kto je zodpovednou osobou?
Zodpovednou osobou môže byť interný zamestnanec prevádzkovateľa alebo externý dodávateľ služieb. Úlohou zodpovednej osoby (v angl. Data Protection Officer) je zabezpečovať plnenie určených povinností v zmysle GDPR – napríklad poskytovať prevádzkovateľovi odborné poradenstvo a školenia zamestnancov, odpovedať na podnety dotknutých osôb, kontrolovať správnosť spracúvania osobných údajov, nahlasovať prípadné porušenia ochrany osobných údajov atď.
Niektorí prevádzkovatelia (napr. vo verejnej správe) sú povinní mať zodpovednú osobu, no väčšina malých a stredných podnikateľov, až na určité výnimky, takúto povinnosť nemá. Povinnosť ustanoviť zodpovednú osobu odporúčame konzultovať s odborníkom v tejto oblasti. Zodpovedná osoba však môže byť ustanovená aj dobrovoľne.
Čo znamená súhlas so spracovaním osobných údajov?
Osobné údaje možno spracúvať na základe rôznych titulov – preto, že to prevádzkovateľovi ukladá zákon alebo zmluva, preto, že prevádzkovateľ má na tom oprávnený záujem, alebo preto, že dotknutá osoba mu udelila svoj súhlas.
Súhlas so spracúvaním osobných údajov je teda jedným z titulov, na základe ktorých môže podnikateľ legálne spracúvať osobné údaje dotknutej osoby. Podľa GDPR na jednej strane platí, že každý súhlas musí byť dostatočne určitý, informovaný (musí dotknutej osobe poskytnúť základné informácie), ale aj dobrovoľný a nepodmienený (nesmie byť vyjadrený napr. vopred zaškrtnutým políčkom alebo zahrnutý v zmluve).
Čo znamená oprávnený záujem?
Oprávnený záujem je samostatným právnym titulom, na základe ktorého môže prevádzkovateľ spracúvať osobné údaje. Ak napríklad podnikateľ prevádzkuje kamennú predajňu či sklad, môže mať oprávnený záujem na tom, aby mu z jeho priestorov neboli odcudzené uskladnené či vyložené veci, a preto si nainštaluje kamerový systém so záznamom.
Tým, že kamerový systém sníma a zaznamenáva podobizne návštevníkov priestorov, podnikateľ spracúva osobné údaje – na základe svojho oprávneného záujmu, ktorý spočíva v ochrane jeho majetku. Pri spracúvaní osobných údajov na základe tohto právneho titulu musí byť dotknutej osobe zabezpečené právo namietať.
GDPR v praxi – ako postupovať?
GDPR má dopad takmer na všetky aspekty podnikateľskej činnosti – na vzťahy so zákazníkmi, pracovnoprávnu agendu, prevádzku GPS lokalizátorov vo firemných autách či kamerových systémoch v prevádzke atď.
Bežný podnikateľ sa tak s GDPR najčastejšie stretne v nasledujúcich situáciách:
Výberové konanie a zamestnanie pracovníka
Pri výberových konaniach dochádza k spracúvaniu osobných údajov pri zbere a archivácii životopisov, pri komunikácii s uchádzačmi o zamestnanie a následne tiež pri samotnom zamestnávaní pracovníkov – napríklad pri nahlásení zamestnanca do zdravotnej poisťovne, pri výplate miezd, školení BOZP atď.
Vo väčšine prípadov podnikateľ spracúva takéto osobné údaje uchádzačov o zamestnanie a zamestnancov na základe toho, že mu to ukladá priamo zákon, alebo na základe zmluvy so zamestnancom.
Spracovanie osobných údajov zákazníka pri vybavení objednávky
Ak podnikateľ prijme objednávku, či už prostredníctvom e-shopu alebo v kamennej predajni, obvykle s takouto objednávkou prijíma aj osobné údaje zákazníka, akými sú meno, dodacia adresa a kontaktné údaje. Aj v takomto prípade platí, že podnikateľ osobné údaje spracúva na základe zmluvy (t. j. prijatej objednávky) so zákazníkom.
Spracovanie osobných údajov zákazníkov a obchodných partnerov v rámci marketingovej komunikácie
Súčasťou podnikateľskej činnosti je aj marketing zameriavajúci sa na propagáciu vlastných produktov a služieb. Tým, že podnikateľ adresuje svoju ponuku konkrétnym osobám, napríklad v rámci adresných letákov alebo za pomoci newslettera odosielaného na konkrétne e-mailové adresy, opäť pri tom spracúva osobné údaje adresátov. Odporúčaným právnym základom pri marketingovej komunikácii je súhlas dotknutej osoby.
Monitorovanie prevádzky
Podnikatelia prevádzkujúci sklad či kamennú predajňu, kde majú uskladnený alebo vystavený svoj tovar, môžu mať záujem zabezpečiť takýto tovar pred krádežou či zničením, a za týmto účelom vo svojej prevádzke inštalujú kamerové systémy.
V tomto prípade dochádza k spracúvaniu osobných údajov na základe oprávneného záujmu spočívajúceho v ochrane firemného majetku.
Aké hrozia podnikateľom pokuty, ak GDPR nedodržia?
Podnikatelia, ktorí si nedodržia povinnosti vyplývajúce z GDPR alebo ktorí nesplnia opatrenia uložené úradom na Ochranu osobných údajov, sa vystavujú riziku vysokej pokuty. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia všetky priťažujúce a poľahčujúce okolnosti podľa príslušných ustanovení GDPR.
Podľa GDPR platí, že Úrad na ochranu osobných údajov môže podnikateľovi uložiť:
- pokutu do 10 000 000 eur alebo do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia – za menej závažné porušenia povinností,
- pokutu do 20 000 000 eur alebo do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia – za závažné porušenia povinností,
- poriadkovú pokutu do výšky 2 000 eur,
- poriadkovú pokutu do výšky 10 000 eur.
Ako by mal podnikateľ postupovať, aby bol v súlade s GDPR?
Podnikatelia, ktorí chcú mať všetky procesy a dokumentáciu v súlade s GDPR, majú niekoľko možností, ako postupovať. Jednou z možností je použitie vzorov dokumentov zverejnených na webovej stránke Úradu na ochranu osobných údajov SR, prípadne iných európskych dozorných orgánov, ktoré sa zaoberajú zásadami ochrany osobných údajov, súhlasom so spracúvaním osobných údajov či poučením o spracúvaní osobných údajov, ktoré si podnikateľ môže prispôsobiť podľa potreby.
Ďalšou možnosťou je konzultácia s odborníkom (napr. s advokátom), ktorý podnikateľovi spracuje požadovanú dokumentáciu a potrebné odporúčania na mieru.
Tip pre vás:
Nechajte si poradiť od našich partnerov
Potrebujete konzultovať spracovanie osobných údajov pri marketingovej komunikácii? V spolupráci s partnerom Jaspravim.sk sme pre vás pripravili štartovací balíček v hodnote 100 eur, ktorý automaticky získate k účtu.
Zistiť viac
Tento článok bol pripravený v spolupráci s odborným portálom Podnikajte.sk.
Podobné správy
https://www.tatrabanka.sk/sk/business/navigacia-podnikatela/blog/gdpr-pre-firmy/