Už zostávajú len necelé dva mesiace na to, aby sa nielen slovenskí podnikatelia a inštitúcie pripravili na príchod GDPR (z ang. General Data Protection Regulation). Toto nariadenie z dielne EÚ je nadradené slovenskému zákonu o ochrane osobných údajov a taktiež nahrádza a dopĺňa zákony aj iným členským krajinám v Európskej únii vrátane Veľkej Británie, ktorá v čase príprav bola členom EÚ a zmeny musí zaviesť a uplatňovať aj po Brexite, pokiaľ bude dodávať služby do EÚ. V nasledujúcom rozhovore vám odborníci vysvetlia základné pojmy, podmienky, ale aj to, kto musí vypracovať GDPR a kto nemusí. Vyspovedáme Katarínu Kročkovú a Andreja Srnku, ktorí robia osvetu aj na školeniach priamo medzi ľuďmi.
Pridajte sa do skupiny a diskutujte k témam GDPR = www.facebook.com/groups/gdprslovensko/
-
Robíte školenia, pohybujete sa medzi podnikateľmi a zapájate sa aj do rôznych diskusií na FB k témam GDPR. Aký je váš názor na “pripravenosť” podnikateľov? Vedia, čo to vlastne je to “GDPR”?
Katka: Rozdelila by som ich do dvoch skupín. Prvou sú tí, ktorí už riešili povinnosti spojené s GDPR … a druhou skupinou sú tí, ktorí nemajú vôbec pojem, čo to GDPR vlastne je.
Andrej: GDPR je za dverami a stále sa stretávam s podnikateľmi, ktorí sa ma pýtajú “Čo je to to GDPR, musím to riešiť?”. Pritom je najvyšší čas na implementovanie GDPR.
-
Aký je rozdiel medzi našim aktuálnym slovenským zákonom o ochrane osobných údajov a tým novým EÚ nariadením, ktoré vstupuje do platnosti 25. mája 2018? V právnej a technickej rovine.
Katka: V právnej časti je tam viac zmien. Napríklad, pod osobný údaj bude patriť aj IP adresa, cookies, rodné číslo už nebude patriť pod citlivé údaje, vznikne viac povinností pre sprostredkovateľa a prevádzkovateľa, viac práv pre dotknuté osoby, zmeny v zodpovednej osobe, a s tým spojené zmeny v dokumentáciách (napr. bezpečnostný projekt nahradí posúdenie vplyvu), zmeny v kamerových systémoch, GPS a pod..
Andrej: Technické zabezpečenie ochrany osobných údajov v súčastnosti má mať každá firma. To, čo sa zásadne mení účinnosťou GDPR je vykonanie reálnych technických opatrení, ktoré sú zdokumentovateľné. Jednoducho povedané, technické zabezpečenie nestačí mať iba na papieri.
-
Základná otázka – čo všetko je považované za “osobný údaj”?
Katka: 🙂 Všetko, čím je možné určiť priamo alebo nepriamo konkrétnu osobu. Teda, niekedy to môže byť jeden údaj a niekedy viac navzájom súvisiacich údajov.
Andrej: Všetko, čo vedie k priamemu alebo nepriamemu identifikovanie osoby.
-
Osobný údaj je teda niečo na základe čoho viem identifikovať daného človeka. Ale čo ak sa bavíme aj o nepriamom osobnom údaji, alebo teda napr. “cookies”, “IP adresa”, “ID”, rôzne identifikátory, ktoré vedia “vystopovať” užívateľa a priradiť ho k nejakému účtu, ktorý vieme následne napríklad “remarketingovať” alebo pri affiliate marketingu priradiť partnera, cez ktorého prišiel klient nakúpiť?
Katka: Sú to osobné údaje, a je potrebné k nim tak aj pristupovať.
Andrej: Aj k nim odporúčam pristupovať ako k osobným údajom.
-
Asi veľmi častá reakcia, s ktorou sa stretávate je “ja GDPR nemusím riešiť, lebo mám len eshop a nerobím s osobnými údajmi” alebo prípadne “nemám zamestnancov a moja firma je one man show” – kde je teda tá hranica, kedy musíme / nemusíme riešiť GDPR?
Katka: Skúsila by som to rozdeliť nasledovne. GDPR nemusím riešiť ad 1/ ak ide o spracovanie osobných údajov zosnulých osôb, ad 2/ domáce činnosti (korešpondencia, diár s adresami, dátumami narodení členov rodiny, využívanie sociálnych sietí len pre súkromné účely), ad 3 / činnosti orgánov zameraných na prechádzanie trestnej činnosti /súdy, polícia/ …. Pokiaľ však ide o podnikateľský subjekt (podnikajúca FO alebo obchodná spoločnosť), je tu povinnosť riešiť GDPR.
Andrej: GDPR je pomerne rozsiahle a nestretol som sa s predmetom podnikania alebo firmou, ktorej by sa GDPR netýkalo. Niekoho sa týka viac, niekoho menej. Pri podnikaní sa nedokážeme vyhnúť pracovaniu s nejakými osobnými údajmi, preto sa GDPR týka každého podnikateľa. Nesmieme zabúdať ani na sprostredkovateľov, partnerov… daného podnikateľského subjektu.
-
“Som účtovník a údajne nemusím riešiť GDPR lebo firmy, ktoré robíme majú GDPR” – je toto tvrdenie správne?
Katka: Katka: URČITE NIE. Ako som spomínala, sprostredkovateľ má tiež povinnosti v zmysle nariadenia GDPR.
Andrej: NIE! Účtovníkov sa GDPR dotýka v plnom rozsahu, pretože pracujú s množstvom osobných údajov tretích strán.
-
Vedia si vypracovať GDPR aj firmy svojpomocne? Prípadne odporúčate aj túto voľbu? Aké tu striehnu skryté problémy a nedostatky, ktoré si možno hneď podnikatelia neuvedomujú?
Katka: Áno, pokiaľ má firma právnika a IT-čkara, ktorí sa rozumejú problematike ochrany OÚ, vie si to vypracovať v rámci svojej spoločnosti. GDPR nie je len o právnej stránke, ale aj o stránke technickej.
Andrej: Áno. Ak firma disponuje pracovnou silou zorientovanou v ochrane osobných údajov po technickej a právnej stránke.
-
Ako už bolo spomenuté – každá firma, ktorá rieši GDPR, by mala mať aj “zodpovednú osobu DPO” – kto to je? Aké musí mať vzdelanie a aké sú povinnosti tejto osoby voči firme?
Katka: Tak, ako je to v aktuálnom zákone, nie je povinnosť mať DPO. Zákon presne definuje, kedy je potrebné mať DPO, resp. ktorý prevádzkovateľ je povinný ho mať. Ja DPO odporúčam, pre lepšiu komunikáciu s dotknutými osobami, komunikáciou s dozorným orgánom, ako aj poradný orgán pre prevádzkovateľa. DPO osoba nemusí mať žiadne špeciálne vzdelanie, mala by sa vedieť orientovať v nariadení, zákone na ochranu osobných údajov a mala by byť technicky zdatná. DPO by nemal byť štatutárny zástupca alebo vedúci IT, aby neprišlo ku konfliktu záujmov.
Andrej: Mať DPO nie je povinnosť pre každú firmu, avšak dovolím si tvrdiť, že mať DPO je viac ako žiadúce. Je to osoba, ktorá dohliada nad správnym procesovaním nakladania s osobnými údajmi, to je pravidelne sa v danej problematike vzdeláva. GDPR vnímam ako mechanizmus, ktorý sa bude časom meniť a vyvíjať v každej firme, nakoľko firmy podliehajú prirodzeným zmenám ako je rozvoj, expandovanie … a tým sa aj mení štruktúra GDPR.
DPO môže byť akákoľvek osoba s dostatočným vzdelaním v oblasti technického alebo právneho zabezpečenia ochrany osobných údajov.
-
Na každú “akciu” existuje “reakcia”. Platí to aj v tomto prípade GDPR. Prečo sa podľa vás GDPR zavádza a ako ho vnímate vy?
Katka: Podľa mňa je to reakcia na nekontrolovateľné spracovanie osobných údajov, na úniky osobných údajov, ku ktorým prišlo vo veľkých korporáciách.
Andrej: GDPR je priama reakcia na masové zaobchádzanie s osobnými údajmi zo strany korporácií. Reagulácia sa dala očakávať. GDPR na jednej strane vítam, pretože jeho výsledkom má byť zodpovedné nakladanie s osobnými údajmi. Všeobecne sa predpokladá s nárastom vzdelanosti pri ochrane osobných údajoch. Na druhej strane, niektoré nariadenia sú zbytočne byrokratické a dokonca v súčasnom znení v praxi veľmi ťažko aplikovateľné.
-
Na internete sa nachádzajú rôzne vzory GDPR a podobné “predpripravené” šablóny. Na čo by si mali dávať pozor podnikatelia, ktorí siahnu aj po takejto voľbe lebo je “lacná” a “mám ju hneď”?
Katka: Každá minca má dve strany. Šablóny áno, ale treba si uvedomiť, pre koho sú určené a kto ich vytvoril. Odporúčala by som si zistiť, či firma, ktorá tieto šablóny ponúka, má aj nejaké skúsenosti s problematikou ochrany osobných údajov, či písala nejaké články, školila atď … alebo je to niekto, kto sa venuje úplne iným činnostiam a aktuálnu problematiku s GDPR vníma len ako možnosť “realizácie na trhu” bez náležitých odborných znalostí. Pre menšie spoločnosti, napr. bez zamestnancov, malé e-shopy, to môže byť riešením. Ďalej je potrebné prihliadať aj na to, či je v šablónach obsiahnuté aj nejaké technické odporúčanie.
Andrej: Pravdepodobnosť správnosti implementovania GDPR po stiahnutí šablóny je nízka. Každá firma je iná, a preto aj prístup by mal byť individuálny.
-
Téma GDPR je naozaj veľká a nedá sa zhrnúť do pár otázok a reakcií. Čo by ste odporučili čitateľom – tohoto článku z vašich skúseností a vypozorovaní z praxe?
Katka: Netreba sa toho báť a nenechať si to na poslednú chvíľu.
Andrej: Neodkladajte GDPR na poslednú chvíľu.
*legendy k pojmom
GDPR – General Data Protection Regulation – Všeobecné nariadenie o ochrane údajov
DPO – Data Protection Officer = zodpovedná osoba
Zákon platný do 24. mája 2018 – Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Zákon platný od 25. mája 2018 – Zákon č. 18/2018 Z. z o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Nariadenie z EÚ, ktoré dopĺňa naš zákon – NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679
Na naše otázky odpovedali:
Katarína Kročková – vyštudovala Právnickú fakultu Univerzity Komenského v Bratislave, desať rokov pracovala ako firemný právnik pre výrobnú spoločnosť. Počas materskej dovolenky pociťovala potrebu naďalej napredovať a učiť sa nové veci a to bol podnet pre založenie si vlastnej spoločnosti. Katarína sa zameriava na oblasti pracovnoprávneho poradenstva pre zamestnávateľov i zamestnancov, obchodného práva – zabezpečenie pohľadávok (vo všetkých štádiách pred, počas aj po ukončí zmluvného vzťahu), komplexnou agendou ohľadom pozemkov a nehnuteľností, mediácii (mimosúdnemu riešeniu sporov) aj poradenstvom vo veci ochrany osobných údajov GDPR (napr. pre E-shop), ktoré sú medzi podnikateľmi často zanedbávané napriek tomu, že sú častým dôvodom ukladania finančných sankcií štátnymi orgánmi. KONTAKT: www.krockapartners.sk
Andrej Srnka – Odborník na PPC kampane, remarketing a DLP specialist (internetová bezpečnosť). Svet elektronického obchodovania a online marketingu si ho získal od začiatku. Nastavovanie, dáta, grafy a čísla sa rýchlo stali jeho vášňou. Vyštudoval Materiálovotechnologickú fakultu STU, odbor výrobné zariadenia a systémy. Svoju prácu berie ako poslanie a púšťa sa do riešenia každého problému s entuziazmom. Ochotne preto rieši každú požiadavku klienta až dovtedy, kým nie je s výsledkom naozaj spokojný. Snaží sa vo svojom odbore neustále vzdelávať, pretože vie, že posúvať sa dopredu môže vždy. Taktiež sa stará o implementovanie DLP systémov, aplikovanie procesov na zvýšenie zabezpečenia na internete a kryptovanie. Skromne priznáva, že vyniká zmyslom pre stratégiu a empatia mu tiež nie je cudzia. Jeho prioritou je, aby klient odchádzal vždy spokojný a kvalita služieb neustále rástla. Kontakt: www.snowdenshop.sk alebo www.gdpr-eu.sk
