Rozhovor: GDPR sa týka každej spoločnosti

Od povinnosti implementovať pravidlá ochrany osobných údajov uplynul takmer rok. Ako si ju oslovili spoločnosti podnikajúce na Slovensku? Čo je dôležité pre obchodníkov?

 

Hovorili sme s JUDr. Katarínou Kročkovou zo spoločnosti KROČKA & PARTNERS. 

 

kkrockova v

 

Ako prijalo Slovensko pravidlá GDPR?


Slovenská republika zosúladila slovenskú národnú legislatívu s uvedeným Nariadením, a to zákonom č. 18/2018 Z. z.. Nariadenie o GDPR určuje, že je potrebné, aby si členské štáty upravili niektoré spracovateľské činnosti s ohľadom na národnú legislatívu. Vo všeobecnosti panuje názor, že ide o zdanlivo ďalšie byrokratické zaťaženie zo strany štátu.
Nedá sa komplexne povedať, ktorá sféra je na tom lepšie či horšie s implementovaním GDPR.

 

Nedostatky vnímam najmä v prevádzkach, ktoré využívajú napríklad kamerové systémy. Chýbajú základné informácie. Prevádzka je častokrát označená len piktogramom, chýba však označenie subjektu, ktorý je prevádzkovateľom kamerového systému, účel spracúvania osobných údajov, právny základ, kontakt na zodpovednú osobu a tiež informácia, kde dotknuté osoby nájdu bližšie informácie.


Všetko má svoj prirodzený vývoj a týka sa to aj na začiatku tak intenzívne diskutovanej problematiky GDPR. Evidujete v tejto oblasti zásadnejšie zmeny?


Treba povedať, že GDPR je stále živá oblasť. Aplikačná prax ukáže, ktoré ďalšie konkrétne otázky je potrebné zodpovedať pri implementácií. Úrad pre ochranu osobných údajov priebežne vydáva metodické pokyny k rôznym otázkam, ktoré aktuálne dopĺňame do dokumentácie. Boli vydané metodické pokyny k zákonnosti spracúvania, povinnosti prevádzkovateľa e-shopu a k spracúvaniu osobných údajov školami, vyjadrenia k fotografiám, postavenie právnických a fyzických osôb podnikateľov z pohľadu ochrany osobných údajov. Všetky tieto informácie sú zverejnené na stránke Úradu a možno si ich kedykoľvek pozrieť.


Kontroly sa tak dnes už týkajú aj GDPR. Ako prebiehajú a čo hrozí spoločnosti ak niečo v tejto oblasti poruší?
Kontroly v oblasti porušení osobných údajov vykonáva dozorný orgán, a tým je Úrad na ochranu osobných údajov. Úrad zverejňuje plán kontrol pre každý kalendárny rok, okrem toho vykonáva kontroly na základe podnetov.
Najvyššia možná pokuta, ktorú môže Úrad uložiť, je do výšky 20 000 000 €, alebo do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok danej firmy, podľa toho, ktorá suma je vyššia.


Na čo by si mal v súvislosti s GDPR dať pozor obchodník?


Každý podnikateľský subjekt, ktorý spracúva osobné údaje, by mal mať implementované GDPR. Týka sa to teda aj obchodníkov. Dodržiavať by mali Nariadenie aj Zákon. Spomenula by som pár príkladov vo všeobecnosti - poučenie zamestnancov, splnenie informačnej povinnosti voči dotknutej osobe, spracúvanie osobných údajov na základe zásad, určenie účelov spracúvania a ich právne základy, aby vykonal personálne, organizačné a technické opatrenia. Vzhľadom na to, že každý prevádzkovateľ má určité špecifiká, je potrebné, aby boli zapracované do dokumentácie GDPR.


Ako sa táto oblasť týka výrobcov a prvovýrobcov?


GDPR sa nevyhýba žiadnej spoločnosti ani oblasti, či ide o výrobcov alebo prvovýrobcov. GDPR sa týka každej spoločnosti, niektorej viac, niektorej menej. Všetko záleží na tom, aké osobné údaje spoločnosť spracúva, v akom rozsahu, na aký účel, aký má právny základ atď.


Špecifickou oblasťou je v tomto smere aj logistické odvetvie...


Tak, ako všetky spoločnosti, aj logistika má svoje špecifiká. V každom prípade ale tieto spoločnosti nakladajú s osobnými údajmi napríklad v prípade zamestnancov, klientov alebo už spomínaných kamerových systémov.


Veľa spoločností dnes stále nemá úplne jasno v tom, čo presne znamená pojem „ochrana osobných údajov“. Ako by ste ho vysvetlili?


Najskôr by som uviedla, čo sú osobné údaje. Podľa Článku 4 odsek 1 Nariadenia GDPR sú to akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“). Identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. Doplnila by som, že podľa Nariadenia sú osobnými údajmi aj e-mailová adresa a cookies. Firmy na ne pri implementácii zabúdajú, avšak treba ich určite ošetriť odborníkom na GDPR.


Ochranou osobných údajov je komplex všetkých činností, ktoré má prevádzkovateľ alebo sprostredkovateľ realizovať za účelom zabezpečenia ochrany údajov. Cieľom ochrany osobných údajov je teda dosiahnuť stav bezpečnosti a ochrany osobných údajov, napríklad prijatie personálnych, technických, organizačných opatrení atď. Výsledkom má byť zamedzenie úniku a neoprávnenej manipulácii s osobnými údajmi.


Mnohé spoločnosti stále tvrdia, že ich sa GDR netýka a preto žiadne potrebné kroky nepodnikajú. Je to správne?


GDPR sa týka, podľa môjho názoru, každej spoločnosti. Niektorých viac, niektorých menej. Už len keď má spoločnosť webovú stránku, využíva sociálne siete alebo má zamestnancov, všade tam spracováva osobné údaje. Naozaj si neviem predstaviť spoločnosť, ktorá by GDPR nemala mať implementované.


Spoločnostiam, ktoré sa rozhodnú využiť v tejto oblasti profesionála ponúkate pomoc. Ako vyzerá takáto spolupráca?
Prebieha nasledovne. Najskôr sa vykoná komplexný audit, určí sa tok osobných údajov, kde sa zistia aktuálne poznatky súvisiace s osobnými údajmi spracovávanými spoločnosťou. Tento audit sa vykonáva priamo u klienta, kedy nám klient odpovedá na otázky, ktoré nás nasmerujú ku konkrétnym nástrojom, za pomoci ktorých implementujeme Nariadenie GDPR pre danú spoločnosť.


Implementácia konkrétne obsahuje identifikáciu spracúvaných osobných údajov, analýzu bezpečnosti informačných systémov u prevádzkovateľa a aj posúdenie vplyvov na ochranu údajov (tzv. Data Protection Impact Assessment, skrátene DPIA), ktoré sa vyžaduje pri špecifickom, tzv. systematickom spracúvaní osobných údajov: pri automatizovanom spracovaní dát, spracovávaní osobných údajov vo veľkom množstve a pri systematickom monitorovaní verejne prístupných miest vo veľkom rozsahu. Týka sa to činností ako napríklad spracúvanie biometrických údajov fyzických osôb, spracúvanie genetických údajov fyzických osôb, systematické kamerové monitorovanie verejných priestorov (v jednotlivých mestách, obciach a dopravcami mestskej a prímestskej verejnej dopravy), sledovanie osôb súkromnými detektívnymi, resp. bezpečnostnými službami.

 

Ďalej sa nastavuje ochrana osobných údajov v súvislosti s informačnými systémami a vypracovanie návrhov bezpečnostných opatrení ako napríklad: personálne a organizačné opatrenia, likvidácia osobných údajov, zálohovanie a samozrejme, kontrolný mechanizmus.

 

Potrebné je preškoliť zamestnancov a nastaviť procesy v spoločnosti. Následne sa dohodneme s klientom aj na kontrole na časovej báze napríklad každé 2-3 mesiace, ako sa im podarilo implementovať GDPR a či prijali bezpečnostné, technické a personálne opatrenia v potrebnom a nami odporúčanom rozsahu. Samozrejme, vieme byť počas celého procesu nápomocní, táto miera však závisí od dohodnutej formy spolupráce s klientom.


Klienti často využívajú našu kanceláriu aj ako tzv. zodpovednú osobu v oblasti ochrany osobných údajov, najmä kvôli kontrolným mechanizmom a aktualizáciám v zmysle metodických pokynov.

 

Pripravil: dk
Foto: archív K. Kročkovej

Video

Aký bol Retail Summit 2022

Retail Podcast

Category Management 2: Koho zapojiť do vytvárania plánogramu

Otvoriť na novej karte

RETAIL SLOVNÍK

retail slovnik bannerLexikón najpoužívanejších odborných pojmov a skratiek v oblasti retailu

PARTNERSKÉ MÉDIÁ

 

Retail News CZ

 

Packaging Herald

banner KW

 

www.zahradnymagazin.sk