Ochrana osobných údajov je mimoriadne citlivou témou, avšak v čase prudkého rozmachu online biznisu aj veľmi aktuálnou. Je teda dôležité vyhnúť sa pri dodržiavaní zásad ochrany osobných údajov často sa opakujúcim chybám.
1. Chýbajúce zásady ochrany osobných údajov
Aj napriek značnej publicite, ktorej sa GDPR v čase svojho zavedenia (a po ňom) tešilo, aj dnes existujú firmy, ktoré si informačnú povinnosť plynúcu z tohto nariadenia neplnia. Ináč povedané, nemajú na svojich webových stránkach (prípadne ani v tlačenej podobe) zverejnené zásady ochrany osobných údajov.
Ide o prešľap veľkého kalibru, ktorý môže v prípade kontroly poverených orgánov vyústiť do nemalej pokuty. Horná hranica sankcií sa pohybuje v miliónoch eur. Zásady ochrany osobných údajov sú totiž právnym dokumentom vysokého významu a jeho absencia je neospravedlniteľná.
Existujú argumenty typu „veď aj tak to nikto nečíta“. Štatisticky zrejme stránky zásad ochrany osobných údajov naozaj patria k najmenej navštevovaným na webe, to však nič nemení na skutočnosti, že ich prítomnosť je povinná.
2. Okopírované zásady
Je dôležité podotknúť, že zásady ochrany osobných údajov nie sú ako univerzálny kus odevu, ktorý sedí každému. Ak teda uvažujete nad tým, že si ich prípravu zjednodušíte jednoduchým okopírovaním konkurenčnej webstránky, radšej si to rozmyslite.
Vami uvedené zásady osobných údajov totiž musia kontextuálne zodpovedať vášmu podnikaniu a spôsobu, akým prichádzate do styku s klientami a návštevníkmi vašej stránky. Pri kopírovaní totiž môžete vynechať nejaký dôležitý aspekt, ktorý sa inej spoločnosti netýka (napríklad preto, lebo nemajú na stránke sekciu na prihlásenie a vy áno) a vás áno.
V najhoršom scenári môže byť práve toto diera, na ktorú doplatíte. Pokuty sú opäť vysoké a preto odporúčame príprave právnej dokumentácie k GDPR (v kontexte vášho podnikania) venovať náležitú pozornosť.
3. Zásady ochrany osobných údajov na základe šablóny
Prípad veľmi podobný predošlému. Na internete si nájdete pseudo-univerzálnu šablónu na GDPR, uvediete právne informácie svojej spoločnosti, zverejnite na webe a celú záležitosť považujete za uzavretú. Chyba.
Opäť platí, že zásady musia byť pripravené podľa reálnej situácie spoločnosti, ktorá spracúva osobné údaje. Verejne dostupné šablóny síce pokrývajú základné ustanovenia ochrany údajov, ale sú v drvivej väčšine prípadov príliš všeobecné.
Kvalitne spracované zásady ochrany osobných údajov sú výsledkom predchádzajúceho auditu podniku. Je v nich nevyhnutné zohľadniť všetky situácie, v ktorých s osobnými údajmi narábate. Ľudovo povedané, zaplátať všetky diery.
4. Neaktuálne zásady
Aj keď sa nejedná o dokument, ktorý by podliehal častým zmenám, zásady ochrany osobných údajov si z času na čas vyžadujú aktualizáciu. Najmä vtedy, ak sa mení vaše podnikanie či konkrétne spôsoby zberu a spracovania osobných údajov.
Napríklad ste na webe sprevádzkovali sekciu na prihlásenie do užívateľského konta, prípadne ste začali zbierať nové druhy tzv. cookies, prípadne sa zmenili právne informácie (názov, sídlo a pod.) vašej spoločnosti.
Platí to aj opačne, mohol sa zmeniť zákon. Aj v takomto prípade musíte promptne zareagovať a legislatívnym zmenám prispôsobiť svoje firemné právne dokumenty.
V zásadách ochrany osobných údajov nesmie chýbať dátum, ku ktorému sú aktuálne.
5. Zásady citujúce nesprávne zákony a nariadenia
Ochranu osobných údajov sme tu mali už dávno predtým, než do účinnosť nadobudlo GDPR. Je však pravdou, že jeho predchodcovia neboli až natoľko sofistikovaní, resp. nepokrývali všetky oblasti, ktoré definuje toto európske nariadenie.
Vo všetkých štátoch EÚ je GDPR účinné od 25. mája 2018, v slovenskej legislatívnej praxi sa to premietlo do zákona č. 18/2018 Z. z. o ochrane osobných údajov, s nadobudnutím účinnosti v rovnakom dátume.
Do 24. mája 2018 u nás platil zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov. Tento zákon napríklad obsahuje neaktuálne poučenie o práva dotknutých osôb. Na základe tohto zákona nemožno vyžadovať súhlas so spracovaním osobných údajov.
Toto sa týka predovšetkým spoločností, ktoré si po 25. máji 2018 neaktualizovali svoje zásady ochrany, zberu a spracovania osobných údajov.
6. Zásady iba naoko, bez aplikácie v praxe
Kompletné a nepriestrelné zásady ochrany osobných údajov vychádzajú z praxe. Presne pomenúvajú aké osobné údaje spoločnosť zbiera a spracúva, akými spôsobmi tak robí, kde sú uložené, kto k ním má prístup a podobne.
Všetky uvedené skutočnosti musia mať základ v reálnych situáciách, resp. v kontexte vášho podnikania. Oboznámení teda s nimi musia byť aj poverení a zodpovední zamestnanci a musia ich, samozrejme, aj dodržiavať v praxi.
Platí, že ak ľudia považujú zásady ochrany osobných údajov iba za zdrap papiera, môže sa im to vypomstiť. Uistite sa preto, že sú šité na mieru vášmu podnikaniu a je s nimi dôkladne oboznámená minimálne jedna osoba, ktorá zodpovedá aj za ich aplikáciu v praxi.
7. Nedostatočné informovanie dotknutých osôb
Každý jeden človek, ktorého osobné údaje zbierate a spracúvate, musí byť o tomto zrozumiteľne informovaný, resp. musí mať k týmto informáciám prístup na vyžiadanie. Či je to návštevník webu, alebo zákazník kamenného podniku, ktorého zachytí kamerový systém.
Súčasťou dobrých zásad ochrany osobných údajov je teda aj informácia, kde presne dochádza k zberu týchto údajov (na webe, v predajni, na sociálnych sieťach) a za akým účelom (mzdové, reklamačné, marketingové a pod.), na ako dlho a za akých podmienok môže požiadať o ich výmaz. Nesmie chýbať tiež kontakt (mail, tel. číslo) na zodpovednú osobu, ktorá v prípade potreby zodpovie otázky s týmto súvisiace.
8. Neprístupné zásady
Zásady ochrany osobných údajov a vôbec celá dokumentácia GDPR by mali byť umiestnené na webovej stránke vašej spoločnosti, prípadne k dispozícii v predajni. A to takým spôsobom, aby sa k nim poľahky vedel dostať aj návštevník, ktorý na ňu zavítal po prvýkrát.
Nie je preto rozumné umiestňovať ich napríklad do pätičky, alebo ich formátovať malým písmom či nečitateľným fontom. Nemali by tiež byť skryté za množstvom iných odkazov, ale priamo dostupné minimálne z tzv. „domovskej stránky“ (z angl. homepage), ale ideálne aj jedným klikom z každej podstránky.
9. Nezrozumiteľné zásady
Už samotný charakter zásad ochrany osobných údajov, ktorý vychádza z legislatívy, z nich robí dokument o čosi náročnejší na pochopenie. Nemusí to však platiť vždy. Kľúčové je mať dokumentáciu k GDPR spracovanú jasným spôsobom, ktorému porozumie aj laik v oblasti ochrany osobných údajov, práva, či dokonca používania internetu.
Vyhnite sa právnemu žargónu a nič nehovoriacim formuláciám. Vyžadovať si súhlas s nezrozumiteľnými zásadami ochrany osobných údajov sa vám rovnako môže vypomstiť formou pokuty.
10. Zásady pripravené človekom bez praxe
Najistejším spôsobom, ako mať pripravené komplexné a spoľahlivé zásady ochrany osobných údajov, je zveriť ich prípravu kompetentným. Či už ide o právnika, ktorý má s GDPR a jeho implementáciou skúsenosti, alebo o spoločnosť, ktorej predmetom podnikania je práve ich tvorba.
Iba fundovaní jedinci a firmy totiž vyhotovia GDPR dokumentáciu na mieru šitú vaším potrebám. Jej obsah vychádza z auditu, ktorý nevyhnutne musí prebehnúť, ak chcete mať istotu, že vaše zásady chránia nielen verejnosť, návštevníkov webu a zákazníkov, ale aj vás.
Máte vo firme na starosti problematiku ochrany osobných údajov? Prihláste sa na školenie o Zákone ochrany osobných údajov. Lektorka nášho kurzu JUDr. Marcela Macová pôsobila na Úrade na ochranu osobných údajov 8 rokov, získate tak komplexné informácie z prvej ruky.