Spojte sa s nami:

GDPR v praxi: Opýtali sme sa odborníkov na to, kto musí riešiť GDPR a naopak, koho sa to vôbec nedotkne?

GDPR

GDPR v praxi: Opýtali sme sa odborníkov na to, kto musí riešiť GDPR a naopak, koho sa to vôbec nedotkne?

Už zostávajú len necelé dva mesiace na to, aby sa nielen slovenskí podnikatelia a inštitúcie pripravili na príchod GDPR (z ang. General Data Protection Regulation). Toto nariadenie z dielne EÚ je nadradené slovenskému zákonu o ochrane osobných údajov a taktiež nahrádza a dopĺňa zákony aj iným členským krajinám v Európskej únii vrátane Veľkej Británie, ktorá v čase príprav bola členom EÚ a zmeny musí zaviesť a uplatňovať aj po Brexite, pokiaľ bude dodávať služby do EÚ. V nasledujúcom rozhovore vám odborníci vysvetlia základné pojmy,  podmienky, ale aj to, kto musí vypracovať GDPR a kto nemusí. Vyspovedáme Katarínu Kročkovú a Andreja Srnku, ktorí robia osvetu aj na školeniach priamo medzi ľuďmi.

Pridajte sa do skupiny a diskutujte k témam GDPRwww.facebook.com/groups/gdprslovensko/

  1. Robíte školenia, pohybujete sa medzi podnikateľmi a zapájate sa aj do rôznych diskusií na FB k témam GDPR. Aký je váš názor na “pripravenosť” podnikateľov? Vedia, čo to vlastne je to “GDPR”?

Katka: Rozdelila by som ich do dvoch skupín. Prvou sú tí, ktorí už riešili povinnosti spojené s GDPR … a druhou skupinou sú tí, ktorí nemajú vôbec pojem, čo to GDPR vlastne je.

Andrej: GDPR je za dverami a stále sa stretávam s podnikateľmi, ktorí sa ma pýtajú “Čo je to to GDPR, musím to riešiť?”. Pritom je najvyšší čas na implementovanie GDPR.

  1. Aký je rozdiel medzi našim aktuálnym slovenským zákonom o ochrane osobných údajov a tým novým EÚ nariadením, ktoré vstupuje do platnosti 25. mája 2018? V právnej a technickej rovine.

Katka: V právnej časti je tam viac zmien. Napríklad, pod osobný údaj bude patriť aj IP adresa, cookies, rodné číslo už nebude patriť pod citlivé údaje, vznikne viac povinností pre sprostredkovateľa a prevádzkovateľa, viac práv pre dotknuté osoby, zmeny v zodpovednej osobe, a s tým spojené zmeny v dokumentáciách (napr. bezpečnostný projekt nahradí posúdenie vplyvu), zmeny v kamerových systémoch, GPS a pod..

Andrej: Technické zabezpečenie ochrany osobných údajov v súčastnosti má mať každá firma. To, čo sa zásadne mení účinnosťou GDPR je vykonanie reálnych technických opatrení, ktoré sú zdokumentovateľné. Jednoducho povedané, technické zabezpečenie nestačí mať iba na papieri.

  1. Základná otázka – čo všetko je považované za “osobný údaj”?

Katka: 🙂 Všetko, čím je možné určiť priamo alebo nepriamo konkrétnu osobu. Teda, niekedy to môže byť jeden údaj a niekedy viac navzájom súvisiacich údajov.

Andrej: Všetko, čo vedie k priamemu alebo nepriamemu identifikovanie osoby.

  1. Osobný údaj je teda niečo na základe čoho viem identifikovať daného človeka. Ale čo ak sa bavíme aj o nepriamom osobnom údaji, alebo teda napr. “cookies”, “IP adresa”, “ID”, rôzne identifikátory, ktoré vedia “vystopovať” užívateľa a priradiť ho k nejakému účtu, ktorý vieme následne napríklad “remarketingovať” alebo pri affiliate marketingu priradiť partnera, cez ktorého prišiel klient nakúpiť?

Katka: Sú to osobné údaje, a je potrebné k nim tak aj pristupovať.

Andrej: Aj k nim odporúčam pristupovať ako k osobným údajom.

  1. Asi veľmi častá reakcia, s ktorou sa stretávate je “ja GDPR nemusím riešiť, lebo mám len eshop a nerobím s osobnými údajmi” alebo prípadne “nemám zamestnancov a moja firma je one man show” – kde je teda tá hranica, kedy musíme / nemusíme riešiť GDPR?

Katka: Skúsila by som to rozdeliť nasledovne. GDPR nemusím riešiť  ad 1/ ak ide o spracovanie osobných údajov zosnulých osôb, ad 2/ domáce činnosti (korešpondencia, diár s adresami, dátumami narodení členov rodiny, využívanie sociálnych sietí len pre súkromné účely), ad 3 / činnosti orgánov zameraných na prechádzanie trestnej činnosti /súdy, polícia/ …. Pokiaľ však ide o podnikateľský subjekt (podnikajúca FO alebo obchodná spoločnosť), je tu povinnosť riešiť GDPR.

Andrej: GDPR je pomerne rozsiahle a nestretol som sa s predmetom podnikania alebo firmou, ktorej by sa GDPR netýkalo. Niekoho sa týka viac, niekoho menej. Pri podnikaní sa nedokážeme vyhnúť pracovaniu s nejakými osobnými údajmi, preto sa GDPR týka každého podnikateľa. Nesmieme zabúdať ani na sprostredkovateľov, partnerov… daného podnikateľského subjektu.

  1. “Som účtovník a údajne nemusím riešiť GDPR lebo firmy, ktoré robíme majú GDPR” – je toto tvrdenie správne?

Katka: Katka: URČITE NIE. Ako som spomínala, sprostredkovateľ má tiež povinnosti v zmysle nariadenia GDPR.

Andrej: NIE! Účtovníkov sa GDPR dotýka v plnom rozsahu, pretože pracujú s množstvom osobných údajov tretích strán.

  1. Vedia si vypracovať GDPR aj firmy svojpomocne? Prípadne odporúčate aj túto voľbu? Aké tu striehnu skryté problémy a nedostatky, ktoré si možno hneď podnikatelia neuvedomujú?  

Katka: Áno, pokiaľ má firma právnika a IT-čkara, ktorí sa rozumejú problematike ochrany OÚ, vie si to vypracovať v rámci svojej spoločnosti. GDPR nie je len o právnej stránke, ale aj o stránke technickej.

Andrej: Áno. Ak firma disponuje pracovnou silou zorientovanou v ochrane osobných údajov po technickej a právnej stránke.

  1. Ako už bolo spomenuté – každá firma, ktorá rieši GDPR, by mala mať aj “zodpovednú osobu DPO” – kto to je? Aké musí mať vzdelanie a aké sú povinnosti tejto osoby voči firme?

Katka: Tak, ako je to v aktuálnom zákone, nie je povinnosť mať DPO. Zákon presne definuje, kedy je potrebné mať DPO, resp. ktorý prevádzkovateľ je povinný ho mať. Ja DPO odporúčam, pre lepšiu komunikáciu s dotknutými osobami, komunikáciou s dozorným orgánom, ako aj poradný orgán pre prevádzkovateľa. DPO osoba nemusí mať žiadne špeciálne vzdelanie, mala by sa vedieť orientovať v nariadení, zákone na ochranu osobných údajov a mala by byť technicky zdatná. DPO by nemal byť štatutárny zástupca alebo vedúci IT, aby neprišlo ku konfliktu záujmov.

Andrej: Mať DPO nie je povinnosť pre každú firmu, avšak dovolím si tvrdiť, že mať DPO je viac ako žiadúce. Je to osoba, ktorá dohliada nad správnym procesovaním nakladania s osobnými údajmi, to je pravidelne sa v danej problematike vzdeláva. GDPR vnímam ako mechanizmus, ktorý sa bude časom meniť a vyvíjať v každej firme, nakoľko firmy podliehajú prirodzeným zmenám ako je rozvoj, expandovanie … a tým sa aj mení štruktúra GDPR.

DPO môže byť akákoľvek osoba s dostatočným vzdelaním v oblasti technického alebo právneho zabezpečenia ochrany osobných údajov.

  1. Na každú “akciu” existuje “reakcia”. Platí to aj v tomto prípade GDPR. Prečo sa podľa vás GDPR zavádza a ako ho vnímate vy?

Katka: Podľa mňa je to reakcia na nekontrolovateľné spracovanie osobných údajov, na úniky osobných údajov, ku ktorým prišlo vo veľkých korporáciách.

Andrej: GDPR je priama reakcia na masové zaobchádzanie s osobnými údajmi zo strany korporácií. Reagulácia sa dala očakávať. GDPR na jednej strane vítam, pretože jeho výsledkom má byť zodpovedné nakladanie s osobnými údajmi. Všeobecne sa predpokladá s nárastom vzdelanosti pri ochrane osobných údajoch. Na druhej strane, niektoré nariadenia sú zbytočne byrokratické a dokonca v súčasnom znení v praxi veľmi ťažko aplikovateľné.

  1. Na internete sa nachádzajú rôzne vzory GDPR a podobné “predpripravené” šablóny. Na čo by si mali dávať pozor podnikatelia, ktorí siahnu aj po takejto voľbe lebo je “lacná” a “mám ju hneď”?

Katka: Každá minca má dve strany. Šablóny áno, ale treba si uvedomiť, pre koho sú určené a kto ich vytvoril. Odporúčala by som si zistiť, či firma, ktorá tieto šablóny ponúka, má aj nejaké skúsenosti s problematikou ochrany osobných údajov, či písala nejaké články, školila atď … alebo je to niekto, kto sa venuje úplne iným činnostiam a aktuálnu problematiku s GDPR vníma len ako možnosť “realizácie na trhu” bez náležitých odborných znalostíPre menšie spoločnosti, napr. bez zamestnancov, malé e-shopy, to môže byť riešením. Ďalej je potrebné prihliadať aj na to, či je v šablónach obsiahnuté aj nejaké technické odporúčanie.

Andrej: Pravdepodobnosť správnosti implementovania GDPR po stiahnutí šablóny je nízka. Každá firma je iná, a preto aj prístup by mal byť individuálny.

  1. Téma GDPR je naozaj veľká a nedá sa zhrnúť do pár otázok a reakcií. Čo by ste odporučili čitateľom – tohoto článku z vašich skúseností a vypozorovaní z praxe?

Katka: Netreba sa toho báť a nenechať si to na poslednú chvíľu.

Andrej: Neodkladajte GDPR na poslednú chvíľu.

 

Chcem si vypracovať GDPR svojpomocne za pomoci návodu

 

*legendy k pojmom

GDPR – General Data Protection Regulation – Všeobecné nariadenie o ochrane údajov

DPO – Data Protection Officer = zodpovedná osoba

Zákon platný do 24. mája 2018 – Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Zákon platný od 25. mája 2018 – Zákon č. 18/2018 Z. z o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Nariadenie z EÚ, ktoré dopĺňa naš zákon – NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679

 

Na naše otázky odpovedali:

Katarína Kročková – vyštudovala Právnickú fakultu Univerzity Komenského v Bratislave, desať rokov pracovala ako firemný právnik pre výrobnú spoločnosť. Počas materskej dovolenky pociťovala potrebu naďalej napredovať a učiť sa nové veci a to bol podnet pre založenie si vlastnej spoločnosti. Katarína sa zameriava na oblasti pracovnoprávneho poradenstva pre zamestnávateľov i zamestnancov, obchodného práva – zabezpečenie pohľadávok (vo všetkých štádiách pred, počas aj po ukončí zmluvného vzťahu), komplexnou agendou ohľadom pozemkov a nehnuteľností, mediácii (mimosúdnemu riešeniu sporov) aj poradenstvom vo veci ochrany osobných údajov GDPR (napr. pre E-shop), ktoré sú medzi podnikateľmi často zanedbávané napriek tomu, že sú častým dôvodom ukladania finančných sankcií štátnymi orgánmi. KONTAKT: www.krockapartners.sk

 

Andrej Srnka – Odborník na PPC kampane, remarketing a DLP specialist (internetová bezpečnosť). Svet elektronického obchodovania a online marketingu si ho získal od začiatku. Nastavovanie, dáta, grafy a čísla sa rýchlo stali jeho vášňou. Vyštudoval Materiálovotechnologickú fakultu STU, odbor výrobné zariadenia a systémy. Svoju prácu berie ako poslanie a púšťa sa do riešenia každého problému s entuziazmom. Ochotne preto rieši každú požiadavku klienta až dovtedy, kým nie je s výsledkom naozaj spokojný. Snaží sa vo svojom odbore neustále vzdelávať, pretože vie, že posúvať sa dopredu môže vždy. Taktiež sa stará o implementovanie DLP systémov, aplikovanie procesov na zvýšenie zabezpečenia na internete a kryptovanie. Skromne priznáva, že vyniká zmyslom pre stratégiu a empatia mu tiež nie je cudzia. Jeho prioritou je, aby klient odchádzal vždy spokojný a kvalita služieb neustále rástla. Kontakt: www.snowdenshop.sk alebo www.gdpr-eu.sk

 

Chcem si dať vypracovať GDPR

 

 

Odoberajte novinky Biznis klubu na Váš mail

* indicates required


Vyjadri svoj názor

Prepájam podnikateľov, organizujem rôzne stretnutia a vzdelávacie aktivity zamerané na podnikateľov. Rád diskutujem na témy o podnikaní a usmerňujem správnymi otázkami - takto spoločne hľadáme odpovede a riešenia. Som členom Slovenskej živnostenskej komory (predseda krajskej zložky v Nitre). Mám rád kávu, vo voľnom čase brázdim hory na horskom bicykli.

Zobraziť komentáre

Viac v kategórii GDPR

Najčítanejšie:

Sledujte nás na Facebooku:



Odporúčame zo sveta ekonomiky



Odporúčame:

Autori článkov pre portál:

Biznisklub.sk ISSN 2585-9250

Marek Štrba – šéfredaktor

Miroslav Gandžala – účtovníctvo

Ing. Michal Kučera – pokladnice, VRP

Ing. Ondrej Mizerák M. Sc. – podnikateľské poradenstvo

JUDr. Martin Bajužík – advokát

Mgr. Andrej Srnka – technické zabezpečenie / GDPR

JUDr. Katarína Kročková – ochrana osobných údajov / GDPR

Ing. Soňa Ondrejková – biznis mentoring a tvorba individuálnych biznis riešení

JUDr. Lenka Katríková – obchodné právo, ochrana osobných údajov, duševné vlastníctvo

JUDr. Zuzana Niederlandová – právo a legislatíva

Ing. Emil BURÁK, PhD. – ekonóm a daňový odborník

Peter Tomčány – účtovníctvo a účtovné poradenstvo

 

Zobraziť všetkých autorov

Na vrch