Spojte sa s nami:

Odborník radí: Ako správne vypracovať podmienky ochrany osobných údajov alebo ako je to s tou informačnou povinnosťou podľa GDPR?

GDPR

Odborník radí: Ako správne vypracovať podmienky ochrany osobných údajov alebo ako je to s tou informačnou povinnosťou podľa GDPR?

Momentálne asi najaktuálnejšiu tému týchto dní, akou je GDPR, nie je potrebné bližšie predstavovať. Lustrovaním, vyhľadávaním a študovaním ste sa už určite odborne priblížili k pojmom, akými sú osobné údaje, zodpovedná osoba, prevádzkovateľ, sprostredkovateľ a pod. Ako to je však s tou zásadou transparentnosti spracúvania osobných údajov, ktorá sa tak vehementne spomína v novom Nariadení z dielne EÚ?

K témam GDPR môžete diskutovať na fóre – GDPR – ochrana osobných údajov / Slovensko / otázky a odpovede

Odporúčame :  Pracovné školenie GDPR na východe Slovenska: Poprad, Košice, Prešov + vzory, posúdenia vplyvu DPIA, metodika šifrovania

Predmetná zásada transparentnosti znamená, resp. vyžaduje, aby všetky informácie a komunikácie súvisiace so spracúvaním osobných údajov boli dotknutým osobám ľahko prístupné, ľahko pochopiteľné a formulované jasne a jednoducho.

Na druhej strane sa v úvode Nariadenia jedným dychom dodáva, že fyzické osoby by mali byť upozornené na všetky riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov. A tu sa dostávame k zásadnému problému. Ako zabezpečiť, aby tak rozsiahle informácie o spracúvaní osobných údajov boli ľahko pochopiteľné, jednoduché a jasné? V praxi určite ťažko.

Povinnosť informovať dotknutú osobu o základných podmienkach spracúvania osobných údajov je jednou z najzakladanejších povinností, ktoré upravuje GDPR. Je tomu tak, pretože bez ohľadu na to, aké osobné údaje spracúvate, na aký účel, či so súhlasom alebo bez súhlasu dotknutej osoby, vždy je potrebné splniť si svoju informačnú povinnosť a dotknutú osobu oboznámiť s informáciami uvedenými v článku 13 Nariadenia, prípadne ak osobné údaje nezískavate priamo od dotknutej osoby, tak s informáciami uvedenými v článku 14 Nariadenia (Nariadenie celé znenie nájdete tu – https://dataprotection.gov.sk).

Ako si teda správne plniť túto informačnú povinnosť?

Pokiaľ spracúvate osobné údaje na svojej webovej stránke (typicky ide o vypĺňanie formulárov s osobnými údajmi pre zasielanie newslettrov a marketing, zapojenia do súťaží, dodanie tovaru atď.), je možné si informačnú povinnosť splniť zverejnením podmienok spracúvania osobných údajov na tejto webovej stránke.

V prípade monitorovania svojej kamennej prevádzky kamerovým systémom, je vhodné umiestniť tieto podmienky v prevádzke na viditeľnom mieste, prípadne v rámci označenia, ktoré informuje o monitorovaní priestoru, odkázať na webovú stránku, kde budú podmienky zverejnené.

Pri spracúvaní osobných údajov zamestnancov je vhodné týchto informovať napríklad vyvesením podmienok v priestoroch, v ktorých sa vykonáva práca. Je potrebné zdôrazniť, že spôsoby plnenia informačnej činnosti je možné kumulovať, a teda v záujme istoty je možné podmienky zverejniť na webovej stránke a zároveň tieto fyzicky umiestniť v priestoroch, kde sa dotknutá osoba zdržiava, resp. je spôsobilá sa s podmienkami oboznámiť.

Častou otázkou v tejto súvislosti je, či podnikatelia môžu informácie o spracúvaní osobných údajov uviesť aj vo všeobecných obchodných podmienkach v prípade, ak spracúvajú osobné údaje v rámci uzatvárania zmlúv a dodania tovarov a/alebo služieb. Odpoveď je áno, avšak GDPR vyžaduje, aby tieto informácie boli jasne oddelené od iných častí všeobecných obchodných podmienok, napr. osobitným nadpisom a webovou podstránkou.

Ako teda pristupovať k samotnej informačnej povinnosti a čo by podmienky ochrany osobných údajov, prostredníctvom ktorých si prevádzkovateľ plní svoju informačnú povinnosť, mali obsahovať?

V tejto časti sa vzhľadom na rozsiahlosť danej témy budeme venovať iba prípadu, ak sa osobné údaje získavajú od dotknutej osoby. Správne vyhotovenie podmienok by malo obsahovať minimálne tieto okruhy informácií:

1. Na úvod predstavenie prevádzkovateľa aj s jeho identifikačnými údajmi vrátane jeho kontaktných údajov, pričom odporúčam uviesť nielen poštovú adresu, ale aj telefónne číslo a e-mailovú adresu.

2. Kontaktné údaje prípadnej zodpovednej osoby. V prípade, ak zodpovedná osoba nie je ustanovená, je vhodné uviesť informáciu, že ste zodpovednú osobu neurčili, nakoľko to nie je potrebné podľa GDPR.

3. Účely spracúvaniaprávny základ spracúvania. Ak existuje viacero účelov, je vhodné tieto prehľadne špecifikovať a ku každému uviesť aj právny základ, napr.:

  • účel: uzavretie zmluvy so zákazníkom, spracovanie objednávky zákazníka a riadne dodanie objednaného plnenia (tovaru, služby) zákazníkovi, vystavenie faktúry, spárovanie úhrady s objednávkou;
  • právny základ: článok 6 ods. 1 písm. b) Nariadenia – spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy.

 

4. Oprávnený záujem prevádzkovateľa, ak sa spracúvanie osobných údajov zakladá na tomto právnom základe (čl. 6 ods. 1 písm. f) Nariadenia). Je výslovne na uvážení prevádzkovateľa, ako oprávnený záujem zadefinuje, avšak odporúčam čo najširšie, prípadne aj odôvodnením, prečo neprevažujú záujmy alebo základné práva a slobody dotknutej osoby.

5. Príjemcovia alebo kategórie príjemcov. Sem zaraďujeme osoby, ktorým sa osobné údaje poskytujú, najčastejšie to budú sprostredkovatelia, napr. osoby zabezpečujúce účtovné služby pre prevádzkovateľa.

Odporúčame :  GDPR v praxi - Ako si František z Oravy svojpomocne vypracoval GDPR za 5 dní podľa tohoto návodu

6. V prípade, ak sa osobné údaje majú preniesť mimo Európskej únie do tretích krajín alebo medzinárodnej organizácie, informácie o tomto prenose primeranej úrovne ochrany osobných údajov. V tejto súvislosti si prevádzkovatelia často neuvedomujú, že pokiaľ majú webovú stránku, v rámci ktorej sa dáta ukladajú v dátovom centre, ktoré nie je umiestnené v Európskej únii, pôjde o prenos osobných údajov do tretích krajín a prevádzkovateľ je povinný riešiť túto oblasť.

7. Doba uchovávania alebo kritériá na jej určenie. Odporúča sa, pokiaľ to je možné, vždy stanoviť presnú dobu uchovávania, pričom jej dĺžku si určuje prevádzkovateľ, a to podľa účelu, pre ktorý spracúva osobné údaje (napr. ak pôjde o fakturačné údaje, ktoré budú nevyhnutné pre plnenie zmluvy, doba uchovávania by mala byť 10 rokov, nakoľko túto dobu určujú účtovné predpisy).

8. Informovanie dotknutej osoby o jej právach podľa GDPR. Ide o tieto práva: právo na prístup k osobným údajom, na ich opravu alebo vymazanie alebo obmedzenie spracúvania alebo právo namietať proti spracúvaniu, právo na prenosnosť. Odporúčam pri každom práve stručne oboznámiť dotknutú osobu, akým spôsobom môže právo uplatniť (napr. podaním žiadosti na adresu prevádzkovateľa alebo zmenením nastavenia webového prehliadača a pod.)

9. Poučenie dotknutej osoby odvolať súhlas so spracúvaním osobných údajov, pokiaľ sa pre spracúvanie vyžaduje jej súhlas.

10. Poučenie dotknutej osoby o možnosti podať návrh na začatie konanie o ochrane osobných údajov Úradu pre ochranu osobných údajov Slovenskej republiky.

11. Informovanie dotknutej osoby, či je poskytovanie zákonnou alebo zmluvnou požiadavkou alebo požiadavkou potrebnou na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia týchto údajov.

12. Ak dochádza k automatizovanému rozhodovaniu vrátane profilovania, tak informovanie o tejto skutočnosti.

Odporúčame :  GDPR v praxi: Opýtali sme sa odborníkov na to, kto musí riešiť GDPR a naopak, koho sa to vôbec nedotkne?

Ako vyplýva z vyššie uvedeného snažiť sa docieliť ľahkú pochopiteľnosť, jasnosť a jednoduchosť podmienok, je pri takom rozsahu informácií, aký je povinný prevádzkovateľ poskytnúť dotknutej osobe, veľmi problematické.

Okrem uvedeného najmä správna špecifikácia účelov a právnych základov spracúvania osobných údajov je ťažkým orieškom aj pre právnikov, nieto pre bežných podnikateľov, ktorí sa nešpecializujú na oblasť ochrany osobných údajov.

Nakoľko však možno predpokladať, že práve riadne a včasné plnenie informačnej povinnosti v súlade so základnou zásadou transparentnosti podľa GDPR, bude predmetom posudzovania zo strany Úradu pre ochranu osobných údajov Slovenskej republiky v prípade kontroly, oplatí sa investovať čas, ako aj financie do vypracovania detailných podmienok ochrany osobných údajov, ktoré budú plne súladné s GDPR.


O autorovi

JUDr. Lenka Katríková – je senior advokátkou v advokátskej kancelárii Stentors, pričom v oblasti advokácie pôsobí od roku 2010. V roku 2014 sa stala spoločníčkou a konateľkou advokátskej kancelárie sídliacej v Starom meste v Bratislave, v mene ktorej vykonávala advokáciu až do roku 2018.

Zameriava sa predovšetkým na oblasť obchodného práva vrátane práva obchodných spoločností a zmluvnej agendy, ochrany osobných údajov, pracovného práva, práva duševného vlastníctva so zameraním sa na právo ochranných známok, ako aj práva verejného obstarávania vrátane oblasti registra partnerov verejného sektora. Prínosom k jej skúsenostiam je aj participácia na rozsiahlych právnych auditoch a rôznych projektoch s cezhraničným prvkom.

Kontakt: www.stentors.eu / mail: katrikova@stentors.eu / mobil: +421 908 731 053

 

 

 

Odoberajte novinky Biznis klubu na Váš mail

* indicates required

Vyjadri svoj názor

Prepájam podnikateľov, organizujem rôzne stretnutia a vzdelávacie aktivity zamerané na podnikateľov. Rád diskutujem na témy o podnikaní a usmerňujem správnymi otázkami - takto spoločne hľadáme odpovede a riešenia. Som členom Slovenskej živnostenskej komory (predseda krajskej zložky v Nitre). Mám rád kávu, vo voľnom čase brázdim hory na horskom bicykli.

Viac v kategórii GDPR

Odporúčame

336x280-1502371483.png

Najčítanejšie:

Sledujte nás na Facebooku:

Odoberajte novinky Biznis klubu na Váš mail

* indicates required



Autori článkov pre portál:

Biznisklub.sk ISSN 2585-9250

Marek Štrba – šéfredaktor

Miroslav Gandžala – účtovníctvo

Michal Kučera – pokladnice, VRP

JUDr. Ondrej Mizerák – právo a legislatíva

JUDr. Martin Bajužík – advokát

Andrej Srnka – technické zabezpečenie / GDPR

JUDr. Katarína Kročková – ochrana osobných údajov / GDPR

Ing. Soňa Ondrejková – biznis mentoring a tvorba individuálnych biznis riešení

 

Advertisement
Na vrch