Po niekoľkých mesiacoch práce so Všeobecným nariadením o ochrane údajov (GDPR) a s jeho implementáciou pre našich klientov by sme aj vám radi zhrnuli, ako sa postupuje pri jeho zavádzaní do každodenného života firmy alebo organizácie. Tento článok je určený najmä tým, ktorí ešte nemajú GDPR vyriešené, ale uvažujú o ňom a chcú vedieť, o čom GDPR je a čo môžu od neho očakávať.

GDPR sa týka všetkých okrem fyzických osôb – nepodnikateľov. Ak však fyzické osoby – nepodnikatelia majú napríklad doma bezpečnostné kamery, ktorými snímajú verejné priestory, GDPR sa vzťahuje aj na nich.

GDPR je podobná regulácia ako napríklad Zákonník práce, BOZP alebo účtovníctvo. Sú s nimi spojené náklady, ale majú svoj význam a prínos pre spoločnosť.

Zosúladenie svojich činností s GDPR sa začína analýzou aktuálneho stavu. Jej výsledkom je správa, v ktorej sú odporúčania na prijatie opatrení nevyhnutných k súladu s GDPR. Implementovanie týchto opatrení sa realizuje najčastejšie v spolupráci medzi odborníkom na GDPR a vami.

Po implementácii GDPR je potrebné váš súlad s týmto nariadením pravidelne monitorovať.

Viac podrobností nájdete v článku nižšie.

Koho sa GDPR týka?

V úvode si treba vysvetliť, koho sa GDPR týka. Kto mu musí venovať pozornosť, a naopak, kto môže ďalej pokojne žiť aj bez neho.

GDPR je povinný rešpektovať každý subjekt okrem bežných nepodnikajúcich fyzických osôb. Ak ste teda živnostník, obchodná spoločnosť, občianske združenie, samosprávny orgán, štátny orgán, nadácia, družstvo alebo iný subjekt odlišný od fyzickej osoby – nepodnikateľa, musíte pri svojej práci GDPR zohľadňovať. Existuje len zopár špeciálnych výnimiek, kedy niektoré subjekty nemusia byť v súlade s GDPR (ak spracúvajú údaje na trestnoprávne účely, ak vykonávajú činnosť, ktorá nepatrí do pôsobnosti práva EÚ).

Lenže GDPR sa v skutočnosti nevyhnú ani len všetky fyzické osoby – nepodnikatelia. Aj tieto osoby sa môžu ocitnúť v situáciách, ktoré režimu GDPR podliehajú. Ak máte na svojom dome namontované bezpečnostné kamery, ktoré čiastočne monitorujú aj verejný priestor (chodník pred domom), musíte takéto spracúvanie údajov prispôsobiť požiadavkám GDPR.

Ako môžete vidieť, GDPR platí naozaj pre veľké množstvo osôb. A napriek tomu je stále veľa takých, ktoré ho odmietajú a nechcú ho zavádzať do svojich vnútorných procesov. Považujú ho za byrokratickú nadbytočnosť, ktorá bezdôvodne odčerpáva zdroje z ich rozpočtov. A to sme sa ešte snažili vyjadriť tento negatívny názor na GDPR slušne. Je ale takýto postoj ku GDPR správny?

Ako sa správne postaviť ku GDPR?

Dávnejšie v minulosti neexistovali také inštitúty, ako pracovná doba, dovolenka, obedová prestávka alebo minimálna doba odpočinku zamestnanca. Dnes sú tieto pravidlá vzťahu medzi zamestnancom a zamestnávateľom bežne akceptované. Prečo boli zavedené? Lebo rôzni vtedajší zamestnávatelia využívali ich neexistenciu vo svoj prospech a bežné boli 12 a viac hodinové pracovné zmeny. Pri zavedení pravidiel, ktoré chránili zamestnancov, následne trpeli rozpočty zamestnávateľov a prichádzali o dovtedy dosahované zisky. To ale neznamenalo, že zavedenie týchto pravidiel bolo nesprávne.

Podobne je to aj s bezpečnosťou a ochranou zdravia pri práci (BOZP). Mnohé súčasné firmy musia vynakladať nemalé náklady na agendu BOZP, sústavné zaškoľovanie pracovníkov a úpravu svojich pracovných postupov. Je preto BOZP zlé a nepotrebné? Nie.

Alebo účtovníctvo. Prečo aj malé eseročky musia vykonávať túto nepríjemnú administratívnu činnosť? Lebo je to veľmi významný zdroj informácií o ich podnikaní a tiež významný zdroj informácií na kontrolu zákonnosti ich fungovania (či už z pohľadu daňového alebo trestného). Na účtovníctvo pritom firmy vynakladajú takisto nemalé náklady.

V časoch, kedy práca s dátami dokáže ovplyvňovať výsledky volieb v krajinách a určiť, kto nám bude vládnuť, je zavedenie kontroly a poriadku do práce s dátami určite namieste. GDPR túto ambíciu má. Jeho cieľom je zavedenie ochrany našich osobných dát. Veríme, že každý vidí trend ich neustále stúpajúcej hodnoty. Ich zneužitie môže mať vážne následky, hoci dnes sa nám môžu zdať tieto následky vzdialené a málo pravdepodobné.

Namieste teda podľa nás nie je otázka, či chrániť osobné údaje, ale ako ich chrániť čo najefektívnejšie. Dnes tu máme GDPR. Mali by sme ho prijať rovnako, ako sa kedysi prijal Zákonník práce, pravidlá BOZP alebo pravidlá účtovania. Aj tie sa postupne zlepšovali a zefektívňovali (aspoň väčšinou). Ak sa nám zdá na súčasnej ochrane osobných dát niečo zbytočné alebo zlé, zmeňme to. Ale chrániť by sme ich mali, lebo majú svoju hodnotu.

Prvý krok: analýza vášho stavu spracúvania osobných údajov

Ak spracúvate osobné údaje, ste subjektom, na ktorý sa vzťahuje GDPR a stotožňujete sa s tým, že osobné údaje treba chrániť a nejde tu len o byrokratickú prekážku vymyslenú nudiacimi sa úradníkmi a po peniazoch bažiacimi poradcami, mali by ste osloviť odborníka, ktorý sa tejto problematike venuje a vie vám pomôcť.

Tento odborník vám najskôr posúdi váš aktuálny stav a porovná ho stavom, ktorý by mal byť dosiahnutý, aby ste boli v súlade s GDPR. Na úvod budete musieť vybraného odborníka oboznámiť o týchto dvoch základných skutočnostiach:

» o vašom fungovaní – v čom pôsobíte, ako vykonávate svoje základné činnosti, aké zmluvy uzatvárate, s kým všetkým prichádzate do styku a podobne;

» o tom, kde všade a pri akých činnostiach spracúvate osobné údaje – pamätajte, že osobným údajom môže byť akýkoľvek údaj, ktorý je spôsobilý identifikovať dotknutú osobu (osobu, ktorej sa dané údaje týkajú).

Čím lepšie a komplexnejšie si nachystáte tieto informácie, tým ľahšie a rýchlejšie vám odborník na GDPR poradí, ako sa dostať do súladu s aktuálnymi pravidlami ochrany osobných údajov. Keďže odborník sa nebude musieť „hrať na vyšetrovateľa“ a zisťovať si tieto informácie postupne sám, jeho poradenstvo by vás malo vyjsť aj lacnejšie.

Po vykonanej analýze dostanete od odborníka správu o jej výsledku. Tá by mala obsahovať odporúčania, ktoré je potrebné prijať, aby ste boli v súlade s GDPR.

Druhý krok: implementácia GDPR

Na základe správy, ktorú ste získali od odborníka na GDPR, sa budete snažiť postupne dostať vaše interné procesy do súladu s GDPR. Odborník vám vypracuje a poskytne potrebnú dokumentáciu. Pôjde najmä o všeobecné pravidlá ochrany osobných údajov, rôzne poučenia pre dotknuté osoby, súhlasy so spracúvaním osobných údajov, záznamy, zmluvy o spracúvaní osobných údajov a podobne. Ďalej vám odborník povie, čo a kde by ste mali upraviť pri spracúvaní údajov, ktoré údaje by ste už možno nemali zbierať, ako si splniť svoje povinnosti voči dotknutým osobám, ako postupovať pri zavádzaní nových postupov vo vašej firme alebo organizácii a tak ďalej.

Pri implementácii si ale musíte uvedomiť jednu dôležitú vec. Odborník vám vie vo veľa záležitostiach poradiť, ale mnohé tieto rady musíte zaviesť do reálnej praxe sami. Toto pravidlo obzvlášť platí pre tých z vás, ktorí veľmi citlivo hľadia na náklady spojené s GDPR. Riešenia v podobe „implementácie GDPR na kľúč“ sú preto možné len do určitej mieri. Ak nechcete odovzdať odborníkovi kompletné prístupové heslá k svojim serverom, emailom, webom alebo rôznym vlastným softvérom, budete musieť niektoré jeho rady reálne vykonať sami (interne). Zároveň tým ale ušetríte náklady, ktoré by si inak odborník za túto prácu vypýtal.

Implementácia GDPR je teda akási spolupráca medzi vami a GDPR odborníkom, ktorá je riadená radami odborníka.

Stav po implementácii

Radi by sme vám povedali, že keď skončíte s implementáciou GDPR, máte pokoj. To by sme vám ale klamali, a to nebudeme.

Podobne, ako je to pri pravidlách účtovania alebo BOZP, aj pravidlá ochrany osobných údajov musíte dodržiavať neustále. To znamená, že ak budete plánovať čokoľvek nové vo svojej firme alebo organizácii (nový softvér, nové produkty, nové služby), budete sa musieť zamyslieť nad GDPR a svoje plánované činnosti robiť v súlade s ním. Vhodné bude v takom prípade kontaktovať odborníka, ktorý vám už robil prvotnú analýzu a implementáciu GDPR, lebo vás bude poznať. Jeho poradenstvo by tak v prípade zavádzania nových činností malo byť relatívne lacné.

Veľmi odporúčame klientom robiť si aj kontrolnú analýzu dodržiavania GDPR aspoň raz za 12 mesiacov. Takúto pravidelnú revíziu dodržiavania GDPR odporúčajú aj rôzne dokumenty viažuce sa ku GDPR a jeho aplikácii v praxi.

Komunikácia s úradom

Úrad na ochranu osobných údajov SR už vykonáva kontroly dodržiavania GDPR a rieši podnety podávané dotknutými osobami. Ak sa preto stanete jeho terčom, odporúčame vám čo najskôr kontaktovať odborníka na GDPR, aby vám pomohol s odpoveďou a ďalšou súčinnosťou pre úrad. Niekedy len stačí dohliadnuť na zopár detailov a vyhnete sa zbytočnej pokute. A to možno aj vtedy, ak ste v čase prvého kontaktu k úradom ešte neboli v súlade s GDPR. My sami sme sa už stretli s prípadom, kedy práve vďaka rýchlej a uvedomelej reakcii klienta bolo možné dobehnúť dovtedy stratený čas.

S GDPR alebo bez GDPR?

Či sa rozhodnete dodržiavať zákon a chrániť osobné údaje alebo sa celej problematike otočíte chrbtom, je na vás. Chápeme mnohých tých, ktorým sa pravidlá GDPR nepáčia. Sú drahé a obmedzujúce pri každodennej práci. Ale tak, ako vynaložíte určitú námahu na ochranu svojich peňazí, šperkov alebo iných hodnotných vecí, ktoré máte, mali by ste chrániť aj osobné údaje. Hoci možno pre vás ani nemajú hodnotu, ak ich stratíte, v nesprávnych rukách môžu narobiť citeľné škody pre vašu povesť, pre vaše okolie a najmä pre osoby, ktorých údaje ste zbierali a stratili.

Snažíme sa preto našim klientom pomôcť s GDPR. Vážime si každého, kto sa do ochrany osobných údajov púšťa a robíme všetko pre to, aby sme ho dali do súladu s GDPR čo najlacnejšie a s čo najmenším administratívnym zaťažením.

Nechajte si poradiť:

Ak patríte k tým, ktorí uvažujú o zavedení ochrany osobných údajov a o skutočnom dodržiavaní GDPR, neváhajte nás kontaktovať cez Online poradňu. Zašleme vám dotazník, po vyplnení ktorého vám doručíme základnú cenovú ponuku. Veríme, že vás oslovíme a spolu hravo zvládneme implementáciu GDPR do vašich každodenných činností.

Klientska zóna

Už ste členom našej Klientskej zóny? Nie? To nás mrzí. Členov našej Klientskej zóny pravidelne informujeme, keď na našom webe publikujeme nový článok, uvedieme novú právnu službu alebo inú významnú novinku. Zasielame im tiež stručné právne upozornenia na dôležitú novú legislatívu. Neprichádzajte o tieto informácie. Vstúpte aj vy zadarmo do Klientskej zóny:

Viac informácií o Klientskej zóne nájdete TU.