Základné informácie
ZÁKLADNÉ POJMY
- GDPR je
skratka pre označenie Nariadenia Európskeho parlamentu a Rady
(EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní
osobných údajov a o voľnom pohybe takýchto údajov
- Dotknutá
osoba je
fyzická osoba, ktorej osobné údaje sa spracúvajú napr.:
-
zákazník
e-shopu
-
osoba,
ktorá komunikuje cez kontaktný formulár
-
osoba,
ktorej sa zasiela newsletter
- zamestnanec
- študent
- Prevádzkovateľ je
osoba, ktorá určí účel a prostriedky spracúvania osobných
údajov, napr.:
- prevádzkovateľ
(vlastník) webovej stránky
- zamestnávateľ
- vysoká
škola
- Sprostredkovateľ je
osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa,
napr.:
- poskytovateľ
hostingu (pokiaľ zaisťuje uchovávanie osobných údajov, ktoré
nie sú šifrované)
- dopravca
zabezpečujúci dodanie tovaru z e-shopu
- externý
mzdový účtovník
- Informačný
systém na
účely ochrany osobných údajov je akýkoľvek usporiadaný súbor
osobných údajov. Informačný systém nemusí byť vedený len
v elektronickej podobe. Nejedná sa len o softvérové
riešenie.
-
databáza
osobných údajov obsiahnutých v objednávkach e-shopu
- databáza
kontaktných údajov
- kniha
návštev
- softvérové
riešenie na výpočet poistného
- Osoba
oprávnená spracúvať osobné údaje je
napríklad zamestnanec prevádzkovateľa alebo sprostredkovateľa,
ktorý v rámci svojej pracovnej činnosti spracúva osobné
údaje.
-
Spracúvanie
osobných údajov je
akákoľvek operácia alebo súbor operácií s osobnými
údajmi. Spracúvanie môže byť realizované automatizovanými
alebo neautomatizovanými prostriedkami, napr.:
-
získavanie
-
zaznamenávanie
-
uchovávanie
-
vymazanie
alebo likvidácia
KDE NÁJDEM INFORMÁCIE O OCHRANE OSOBNÝCH ÚDAJOV?
- Zákon
č. 18/2018 Z.z. o ochrane osobných údajov v znení
neskorších predpisov
(účinný od 25.05.2018)
- Nariadenie
Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane
fyzických osôb pri spracúvaní osobných údajov a o voľnom
pohybe takýchto údajov (GDPR) (účinné
od 25.05.2018)
-
Metodické
usmernenia Úradu na ochranu osobných údajov SR
SANKCIE ZA NEDODRŽANIE ZÁKONA
- za
porušenie zákona o ochrane osobných údajov hrozí sankcia:
- vo
výške 10 mil. alebo 2% celosvetového ročného obratu
spoločnosti
-
vo
výške 20 mil. alebo 4% celosvetového ročného obratu
spoločnosti
AKÚ DOKUMENTÁCIU VYŽADUJE GDPR?
- súčasťou
právnej dokumentácie na ochranu osobných údajov sú:
- Posúdenie
vplyvu na ochranu osobných údajov, mohol si sa s ním
stretnúť aj pod označením DPIA. Nie každý prevádzkovateľ je
však povinný vypracovať tento dokument. To, kedy je jeho
spracovanie povinné, vymedzuje priamo GDPR. Ide napríklad
o spracúvanie údajov o zdraví vo veľkom rozsahu.
-
Záznamy
o spracovateľských činnostiach, ktorých vzor nájdeš aj
na stránke Úradu na ochranu osobných údajov SR. Zatiaľ čo
DPIA bude prijímať menšia časť prevádzkovateľov,
vypracovanie záznamov o spracovateľských činnostiach je
povinné takmer pre každého.
AKO POSTUPOVAŤ V PRÍPADE PORUŠENIA OCHRANY OSOBNÝCH ÚDAJOV?
- porušením
bezpečnosti je náhodné alebo nezákonné
- Zničenie
OÚ
- Strata
OÚ
- Zmena
OÚ
- Neoprávnené
poskytnutie OÚ
- Neoprávnený
prístup k OÚ
- porušenie
môže viesť napríklad k:
- diskriminácii
- krádeži
identity
- zneužitiu
identity
- finančnej
strate
- poškodeniu
povesti
- neoprávnenému
zrušeniu pseudonymizácie
- k porušeniu
ochrany môže dôjsť:
- zvonka,
napr. kybernetický útok
- zvnútra
spoločnosti, napr. neoprávnené sprístupnenie údajov tretej
osobe
- úmyselne
- z nedbanlivosti
- Už
vopred nastav mechanizmus, ktorý odhalí bezpečnostný incident.
- To,
že sa včas neodhalí, prevádzkovateľa nijak neospravedlňuje.
- Máš
72 hodín na oznámenie incidentu Úradu na ochranu osobných
údajov, prípadne o incidente oboznám svojho nadriadeného.
V určitých prípadoch ti GDPR stanovuje povinnosť informovať
aj dotknutú osobu.
- V prípade,
ak dôjde k premeškaniu
lehoty 72 hodín,
k oznámeniu je zároveň potrebné pripojiť zdôvodnenie
omeškania.
- Ak
však bezpečnostný incident nepovedie k riziku pre práva
dotknutých osôb (napríklad vďaka Tvojmu dôslednému
šifrovaniu), nič oznamovať nemusíš.
- Aké
sú prípady z praxe?
- Zamestnancovi
bol ukradnutý služobný notebook, v ktorom boli uložené aj
osobné údaje klientov. Notebook bol však šifrovaný a šifrovací
kľúč mal k dispozícii len tento zamestnanec a konateľ
spoločnosti. Spoločnosť takýto bezpečnostný incident
neoznámila Úradu na ochranu osobných údajov SR. – postup
je v súlade s GDPR
-
Do online
databázy prevádzkovateľa bol zaznamenaný prístup z cudzieho
zariadenia. Táto databáza obsahuje údaje o platobných
kartách klientov. Prevádzkovateľ oznámil bezpečnostný incident
Úradu na ochranu osobných údajov SR. Tento incident však
neoznámil dotknutým osobám. – postup nie je v súlade
s GDPR
PRVÉ KROKY K ZOSÚLADENIU S GDPR
ČO VŠETKO JE POTREBNÉ POSÚDIŤ PRED ZAČATÍM SPRACÚVANIA OSOBNÝCH ÚDAJOV?
- Právny základ
- Účel spracúvania osobných údajov
- Rozsah osobných údajov
- Dobu spracúvania osobných údajov
- Mechanizmus pre uplatňovanie práv dotknutých osôb
- Poskytovanie osobných údajov tretím subjektom?
- Využívanie služieb sprostredkovateľa?
- Uskutočňovanie prenosu osobných údajov do tretích krajín alebo medzinárodnej organizácii
- Bezpečnostné opatrenia
AKO ZAISTIŤ SÚLAD S GDPR?
- Uskutočniť
audit spracúvaných osobných údajov, pri
ktorom preskúmate, kde všade dochádza k spracúvaniu
osobných údajov.
- Preskúmať,
za akým účelom sa
osobné údaje spracúvajú
- Minimalizovať
rozsah spracúvaných
osobných údajov
- Stanoviť
lehoty pre
spracúvanie osobných údajov
- Preskúmať
poskytovanie osobných údajov a prenos do tretích krajín
- Formulovať
informácie,
ktoré je potrebné poskytnúť dotknutej osobe pred začatím
spracúvania osobných údajov
- Upraviť
zmluvný vzťah so
sprostredkovateľom
- Nastaviť
postup pre zabezpečenie
výkonu práv dotknutej osoby a oboznámiť
s ním oprávnené osoby
- Prijať
mechanizmus pre oznamovanie
bezpečnostných incidentov a oboznámiť
s ním oprávnené osoby
- Vypracovať
bezpečnostnú dokumentáciu a primerane
s ňou oboznámiť oprávnené osoby
- Poveriť
zodpovednú osobu,
ak prevádzkovateľovi vznikne takáto povinnosť
- Poučiť
oprávnené osoby
-
Prijať
primerané bezpečnostné opatrenia
PRÁVNY ZÁKLAD
- Na akom právnom základe budú osobné údaje spracúvané?
- Vždy
hľadaj dôvod, prečo osobné údaje spracúvaš. Právny základ
si predstav ako základňu, o ktorú sa pri spracúvaní osobných
údajov musíš opierať. Bez základne predsa nemôžeš začať
stavať.
- Máš
6 možností
- Dovoľuje
ti spracúvanie osobných údajov zákon?
- Udelila
dotknutá osoba súhlas so spracúvaním osobných údajov?
- Alebo
je spracúvanie osobných údajov pre Teba nevyhnutné, pričom by
si si bez nich nevedel plniť zmluvné povinnosti?
- Alebo
ťa k tomu vedie oprávnený záujem?
- Využiť
môžeš taktiež životne dôležité záujmy, či plnenie úlohy
vo verejnom záujme.
- Na
spracúvanie osobných údajov musí vždy existovať jeden
z týchto právnych základov.
- Aké právne základy sú najčastejšie využívané v rámci webových stránok a e-shopov?
- súhlas so spracúvaním osobných údajov – napr. pre prihlásenie sa na odoberanie newslettera, členstvo vo vernostnom programe, účasť v spotrebiteľskej súťaži
- oprávnený záujem prevádzkovateľa – napr. kontaktovanie zákazníka e-shopu ohľadom nedokončenej objednávky
- spracúvanie osobných údajov je nevyhnutné na účely plnenia zmluvy – napr. v rámci objednávkového formulára e-shopu
ÚČEL SPRACÚVANIA
- Spracúvať sa smú len také osobné údaje, ktoré nevyhnutne potrebuješ
- Účelom spracúvania osobných údajov vo všeobecnosti môže byť napr. plnenie odvodových povinností zamestnávateľa vo vzťahu k zamestnancovi, plnenie záväzkov vyplývajúcich z uzatvorenej kúpnej zmluvy, a pod.
- Na aké účely môžu byť spracúvané osobné údaje na webovej stránke alebo v e-shope?
- poskytovanie zliav a iných výhod členom vernostného programu
- organizovanie a vyhodnotenie výsledkov spotrebiteľskej súťaže
- objednávka tovaru alebo služieb v rámci e-shopu
- zasielanie newslettera a informovanie zákazníka o nových produktoch alebo službách, o zľavách na produkty, o prebiehajúcich alebo plánovaných akciách a pod.
ROZSAH SPRACÚVANÝCH OSOBNÝCH ÚDAJOV
Ako správne vymedziť rozsah spracúvaných osobných údajov v rámci webovej stránky a e-shopu?
- Zachovaj zásadu minimalizácie osobných údajov
- Na vytvorenie objednávky prostredníctvom objednávkového formulára – titul, meno, priezvisko, adresa trvalého pobytu alebo prechodného pobytu, resp. adresa pre dodanie tovaru, e-mail, telefón
- Na vedenie vernostného programu – titul, meno, priezvisko, adresa bydliska, e-mailová adresa, resp. kontaktné údaje a ďalšie údaje relevantné pre vedenie vernostného programu (napr. ak je členstvo vo vernostnom programe podmienené splnením určitých požiadaviek)
DOBA SPRACOVANIA OSOBNÝCH ÚDAJOV
- Otázkou je, ako dlho chceš (a môžeš) osobné údaje uchovávať? Neustanovuje ti jej dĺžku zákon? Ak áno, musíš sa jej pridržiavať. Za iných okolností smie vyplývať zo súhlasu, prípadne si ju určíš sám. Zamysli sa preto však či je doba spracúvania primeraná?
- Ako správne nastaviť dobu uchovávania osobných údajov získavaných prostredníctvom webovej stránky alebo e-shopu?
- doba spracúvania osobných údajov na účely odoberania newslettera by mala byť nastavená v súlade s dobou, počas ktorej možno dôvodne predpokladať, že zákazník bude mať záujem o ďalšie služby alebo tovary e-shopu (napr. po dobu 3 rokov)
- doba spracúvania osobných údajov zadaných do objednávkového formulára by mala byť stanovená v súlade s premlčacími lehotami alebo záručnou dobou, v ktorých je zákazník e-shopu (resp. predávajúci) oprávnený uplatňovať nároky vyplývajúce zo zakúpeného tovaru
ĎALŠIE POVINNOSTI PODĽA GDPR
-
Pri
novej spracovateľskej operácií je potrebné zabezpečiť
aktualizáciu bezpečnostnej dokumentácie. Nezabudni aj na
doplnenie záznamu o spracovateľskej činnosti, do úvahy prichádza
aj poverenie zodpovednej osoby (ak ešte nebola poverená), či
konzultácie s Úradom na ochranu osobných údajov SR
-
Ak
na web zapracuješ nové funkcionality, premýšľaj, ako by mohli
ovplyvniť sféru osobných údajov. Zároveň o tom upovedom
„majiteľa“ webu.
AKÉ SÚ INFORMAČNÉ POVINNOSTI?
Pri získavaní osobných údajov je potrebné poskytnúť nasledovné údaje:
- Totožnosť a kontakt prevádzkovateľa
- Kontakt zodpovednej osoby
- Účel a právny základ spracúvania
- Príjemcovia
- Informácia, či sa plánuje prenos osobných údajov
- Doba uchovávania
- Informácie o právach dotknutej osoby
- Informácia, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou
- Existencia automatizovaného rozhodovania vrátane profilovania
VYMEDZENIE OSOBNÝCH ÚDAJOV
OSOBNÝ ÚDAJ VŠEOBECNE
- Osobnými
údajmi sú všetky informácie, ktoré identifikujú
alebo umožňujú identifikovať konkrétnu
fyzickú osobu.
- Osobné
údaje sa týkajú výlučne
fyzickej osoby (ochrana
osobných údajov sa čiastočne vzťahuje na údaje fyzickej osoby
podnikateľa)
- Môže
ísť o údaje zaznamenané v grafickej,
fotografickej, zvukovej, elektronickej alebo papierovej podobe
- V praxi
sem možno zahrnúť: meno,
priezvisko, titul, dátum narodenia, číslo občianskeho preukazu,
e-mail, údaje o zdravotnom stave, fotografie, záznamy
z kamerových zariadení, rodné číslo, lokalizačné údaje,
IP adresa, genetické údaje, či biometrické údaje
- Posúdenie
či tieto údaje sú osobným údajom závisí
od konkrétnej situácie,
a to najmä:
- od
kombinácie týchto údajov:
- Meno
a vek vo svojej kombinácii nie sú osobnými údajmi
- Meno,
priezvisko, adresa, dátum narodenia vo svojej kombinácii sú
osobnými údajmi
- od
geografického faktoru:
- napríklad
ak máme informácie o žene, ktorá jazdí na červenom aute
v malej obci, je pravdepodobné, že na základe týchto
údajov ju niekto identifikuje
- opačná
situácia nastane, ak na základe tých istých údajov budeme
hľadať takúto ženu v hlavnom meste. Je veľmi nízka
pravdepodobnosť, že ju niekto na základe týchto údajov
identifikuje
- Patria
sem aj údaje, ktoré poskytujú informácie o identite
fyzickej osoby,
a to o:
- fyzickej
- fyziologickej
- genetickej
- mentálnej
- ekonomickej
- kultúrnej
- sociálnej
identite
-
GDPR
rozširuje skupinu osobných údajov o tzv. online
identifikátory ako sú cookies či IP adresa
-
GDPR
zároveň rozlišuje tzv. osobitnú kategóriu osobných údajov
(napr. údaje o zdraví)
ČO VŠETKO JE OSOBNÝ ÚDAJ?
- Meno
a priezvisko v rámci menšej skupiny ľudí (napr.
v podmienkach zamestnávateľa) – áno
- Meno
a priezvisko bez územného ohraničenia - skôr nie
- Rodné
číslo (bez poznatku o ďalších osobných údajoch a bez
prístupu k databáze rodných čísel) – nie
- E-mailová
adresa v tvare meno.priezvisko@gmail.com –
skôr nie
- E-mailová
adresa v tvare meno.priezvisko@zamestnavatel.sk
– áno
-
Údaje
o mzde a iných príjmoch zamestnanca – áno
SPRACÚVANIE OSOBNÝCH ÚDAJOV
Za spracúvanie osobných údajov je potrebné považovať akékoľvek operácie s týmito údajmi, napríklad:
- získavanie prostredníctvom objednávkového či kontaktného formulára
- zaznamenávanie do elektronickej databázy, do papierového dotazníka
- usporadúvanie podľa roku narodenia
- uchovávanie v rámci softvérových riešení, v mobilných aplikáciách
- zmena
- vyhľadávanie prostredníctvom filtrovania
- prehliadanie v počítačovom programe na vedenie mzdového účtovníctva, v evidencii údajov softvérového riešenia
- využívanie
- poskytovanie prenosom do tretích krajín alebo medzinárodných organizácií
- kombinovanie osobných údajov medzi rôznymi evidenciami, databázami
- vymazanie a likvidácia
INFORMAČNÝ SYSTÉM
- Informačný systém je akýkoľvek usporiadaný súbor osobných údajov
- Nemusí byť vždy automatizovaný prostredníctvom výpočtovej techniky, môže byť vedený v listinnej ako aj elektronickej podobe, či kombinovane
- Príklady informačných systémov:
- IS Personalistika a mzdy
- IS Zmluvná agenda
- IS Účtovné doklady
- IS E-shop
- IS Webová stránka
- IS Spotrebiteľská súťaž
- IS Vernostný program
- IS Reklamácie
- Nejedná sa teda o informačný systém v zmysle „aplikácia“, „softvér“ či „databáza na serveri“
- Informačným systémom môže byť aj kartotéka, kniha návštev a pod.
SÚHLAS
SÚHLAS SO SPRACÚVANÍM OSOBNÝCH ÚDAJOV
- Súhlas by mal byť získaný tak, aby si bol schopný preukázať jeho udelenie. Písomná forma sa nevyžaduje, ale ... ústne udelenie súhlasu je v poriadku, pokiaľ si schopný preukázať jeho udelenie (napr.formou audionahrávky)
- Udelenie súhlasu elektronicky je možné preukázať zaznamenávaním logov či príznakov v databáze
- Zo súhlasu by malo byť zrejmé:
- kto súhlas udelil
- ako bol súhlas udelený
- kedy ho udelil
- o čom všetkom bola osoba pred udelením súhlasu informovaná
- údaj o tom, či bol súhlas odvolaný
- Súhlas nemusí byť udelený písomne, avšak táto forma je najvhodnejšia
- Súhlas so spracúvaním osobných údajov by nemal byť podmienený súhlasom s inými podmienkami (napr. VOP)
- Súhlas by mal byť formulovaný jednoducho a zrozumiteľne – tak, aby informáciám každý porozumel
- Pred udelením súhlasu je potrebné poskytnúť informácie, ktoré stanovuje GDPR
- Dotknutá osoba je oprávnená svoj súhlas kedykoľvek odvolať
- Súhlas by mal byť udelený aktívnym konaním dotknutej osoby (napr. nie je prípustné, aby na webovej stránke bolo vopred zaškrtnuté políčko pre udelenie súhlasu)
- Je určenie doby, na ktorú sa súhlas udeľuje v súlade s GDPR?
- na 3,6,11,... rokov od udelenia súhlasu – áno
- na dobu neurčitú - nie
- po dobu trvania pracovného pomeru - áno
- do doby odvolania súhlasu - nie
- bez uvedenia doby - nie
- V súhlase by malo byť vymedzené:
- osobné údaje, ktorých sa súhlas týka
- účel spracúvania
- doba spracúvania
- vyhlásenie, že dotknutej osobe boli poskytnuté zákonom stanovené informácie vrátane poučenia o jej právach
- vyhlásenie, že dotknutá osoba bola poučená o možnosti kedykoľvek odvolať svoj súhlas
- Predtým ako sa rozhodneš spracúvať osobné údaje na základe súhlasu, vylúč všetky ostatné možnosti. Dôvodov je niekoľko:
- súhlas je ľahko odvolateľný
- súhlas nie je jednoduché získať
- udelenie súhlasu nie je jednoduché hodnoverne preukázať
- získanie súhlasu môže byť vyhodnotené ako neslobodné
ZÁKLADNÉ PODMIENKY PRED UDDELENIE SÚHLASU
- Pred spracúvaním osobných údajov na základe súhlasu dotknutej osoby si over že nie je možné využiť iný právny základ (napr. oprávnený záujem).
- Preskúmaj, či žiadosť o udelenie súhlasu spĺňa stanovené podmienky
- je ľahko odlíšiteľná od iných
- astí dokumentu (prípadne webovej stránky)
- nie je súčasťou všeobecných obchodných podmienok
- nie je súčasťou iných formulárov (napr. formulárových zmlúv)
- Žiadosť o udelenie súhlasu ako aj súhlas samotný je formulovaný jasne a zrozumiteľne.
- Subjekty majú možnosť zaškrtnúť udelenie súhlasu, to znamená, že udelenie súhlasu nie je preddefinované (využíva sa opt-in namiesto opt-out). Nevyužívajú sa vopred zaškrtnuté políčka.
- Pred udelením súhlasu sú poskytované základné informácie o účeloch získavania súhlasu a ďalšie informácie uvedené v čl. 13 GDPR (plnenie informačnej povinnosti zahŕňa napr. informácie o totožnosti ).
- Žiadosť o udelenie súhlasu je formulovaná tak, aby bolo možné vyjadriť súhlas len s vybranými spracovateľskými operáciami, resp. s vybranými účelmi spracúvania.
- Pred udelením súhlasu sú dotknutej osobe poskytované informácie o tom, akým spôsobom je možné súhlas odvolať.
- V prípade, ak nedôjde k udeleniu súhlasu so spracúvaním osobných údajov, nie sú s takouto situáciou spájané žiadne negatívne následky.
- Udelenie súhlasu nie je podmienkou poskytovania služieb, resp. čerpania iných výhod, zliav a pod.
- Dôležitá je aj interná evidencia o podmienkach udelenia súhlasu (napr. akým spôsobom bol súhlas udelený, doba spracúvania, kedy bol súhlas udelený a pod.), ako i internú evidenciu o tom, k čomu konkrétny subjekt udelil súhlas so spracúvaním osobných údajov.
SUBJEKTY OCHRANY OÚ
KOHO SA TÝKA OCHRANA OSOBNÝCH ÚDAJOV?
- Chránené sú všetky osobné údaje fyzických osôb (za určitých okolností podliehajú ochrane aj údaje týkajúce sa fyzickej osoby podnikateľa, či určených osôb konajúcich v mene právnickej osoby)
- Povinnosti stanovené v GDPR sa týkajú všetkých, ktorí spracúvajú osobné údaje pre inú ako osobnú alebo domácu potrebu, napr.
- zamestnávateľov
- miest a obcí
- škôl
- nemocníc
- prevádzkovateľov e-shopov
- prevádzkovateľov webových stránok
- prevádzkovateľov kamerových systémov
VYUŽÍVANIE SLUŽIEB SPROSTREDKOVATEĽA
- Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa
- Ak by si si napríklad v budúcnosti založil vlastnú firmu a účtovníctvo by mal na starosti externý mzdový účtovník, vystupoval by voči tvojej firme ako sprostredkovateľ. Prečo? Prichádzal by do kontaktu s osobnými údajmi tvojich zamestnancov, či klientov, a to v mene tvojej firmy
- Medzi prevádzkovateľom a sprostredkovateľom musí byť uzatvorená zmluva o spracúvaní osobných údajov
- Dbaj na výber správneho a spoľahlivého sprostredkovateľa, ten by mal totiž spĺňať požiadavky na technické a organizačné opatrenia
- V prípade, že pri novej spracovateľskej operácií budete využívať služby sprostredkovateľa:
- vyberte sprostredkovateľa, ktorý poskytuje dostatočné záruky
- preverte jeho technickú a organizačnú pripravenosť (napr. prostredníctvom dotazníka)
- uzatvorte zmluvu o spracúvaní osobných údajov
- zabezpečte kontrolu dodržiavania povinností
- Sprostredkovateľom v rámci služieb webovej stránky a e-shopu môžu byť nasledovné subjekty:
- poskytovateľ šablóny e-shopu (nízka pravdepodobnosť)
- poskytovateľ webhostingu
- doručovatelia tovaru z e-shopu
- Posúdenie postavenia tretích subjektov, ktoré sa podieľajú na poskytovaní služieb webovej stránky alebo e-shopu závisí od konkrétnych okolností
PRÁVA DOTKNUTEJ OSOBY
Medzi práva dotknutej osoby patria:
- Právo na opravu
- Právo na „zabudnutie“
- Právo na prenosnosť
- Právo na prístup k údajom
- Právo namietať
- Právo namietať proti priamemu marketingu
- Právo podať sťažnosť
- Právo na súdnu ochranu
- Právo na náhradu škody a nemajetkovej ujmy
- Právo podať oznámenie o skutočnostiach nasvedčujúcich, že bol spáchaný trestný čin
ČO V PRÍPADE, AK DOTKNUTÁ OSOBA UPLATNÍ SVOJE PRÁVA?
Všeobecný
postup by mohol vyzerať nasledovne:
- Dotknutá osoba si uplatní právo poslaním žiadosti – väčšinou emailom, prípadne poštou
- Preskúmaj, či je sa jedná o dotknutú osobu, ktorej údaje sa spracúvajú – nezabudni na preskúmanie totožnosti. Práva môže uplatniť len osoba, ktorej sa osobné údaje týkajú.
- Následne, posúď či sú splnené podmienky GDPR pre uplatnenie tohto práva
- Ak žiadosť nespĺňa podmienky pre uplatnenie práva, informuj dotknutú osobu o dôvodoch nevyhovenia žiadosti a o možnosti podať sťažnosť Úradu na ochranu osobných údajov SR
- Nezabúdaj, že aj vybavenie žiadosti dotknutej osoby podlieha stanoveným lehotám.
UPLATŇOVANIE PRÁV DOTKNUTÝCH OSÔB
- Pred začatím spracúvania osobných údajov si nastav mechanizmus pre uplatňovanie práv dotknutých osôb
- V prípade, ak sa rozhodneš osobné údaje získané prostredníctvom webovej stránky uchovávať v osobitných databázach, je potrebné pri uplatnení práva dotknutej osoby zaistiť súčinnosť medzi tebou, t.j. osobou, ktorá dbá na správne fungovanie webovej stránky a „majiteľom“ webovej stránky, ktorý je zároveň prevádzkovateľom osobných údajov
- V rámci webovej stránky je potrebné:
- Poskytovať informácie o postupe, akým môže dotknutá osoba uplatniť svoje práva
- Poskytovať kontaktné údaje, prostredníctvom ktorých môže dotknutá osoba uplatňovať svoje práva
- Poskytovať kontaktné údaje na zodpovednú osobu, ak došlo k jej povereniu
KTO JE ZODPOVEDNÁ OSOBA?
- Zodpovedná osoba vykonáva dohľad nad dodržiavaním GDPR
- Vo firme by dohliada na to, aby všetky operácie, pri ktorých sa spracúvajú osobné údaje, boli vždy vykonávané s náležitým rešpektom k súkromiu jednotlivcov a boli v súlade s GDPR.
- Zodpovednú osobu však nemusí mať ustanovenú každá jedna firma
- V prípade, že bola vo vašej spoločnosti ustanovená zodpovedná osoba, odporúčame konzultovať s ňou otázky týkajúce sa spracúvania osobných údajov
WEBY A E-SHOPY
OSOBNÝ ÚDAJ NA WEBOVEJ STRÁNKE A E-SHOPE
- Prostredníctvom
webovej stránky môžu byť spracúvané nasledovné osobné údaje:
- osobné
údaje obsiahnuté v kontaktnom formulári: meno, priezvisko,
telefón, e-mail, korešpondenčná adresa, ako aj osobné údaje,
ktoré môžu byť obsiahnuté v tele doručovanej správy
- osobné
údaje získavané na účely zasielania newslettera: e-mailová
adresa
- osobné
údaje získavané na účely využívania nástrojov e-shopu ako
napr. opustený košík, upselling, segmentácia: informácie
o predchádzajúcich nákupoch, o správaní používateľa
na webovej stránke, o jeho preferenciách tovaru a služieb
- Je
e-mail osobným údajom?
- samotný
e-mail, ktorý nie je v kombinácii s inými údajmi (ako
napríklad, dátum narodenia, adresa trvalého pobytu a pod.)
môže byť osobným údajom
- e-mail,
ktorý nie je osobným údajom: slniecko123@gmail.com
- e-mail,
ktorý je osobným údajom: albert.novy@positive.sk
-
e-mailová
adresa, ktorá poskytuje údaje o mene, priezvisku
a zamestnávateľovi alebo inej príslušnosti k organizačnej
štruktúre bude zväčša osobným údajom (aj bez kombinácie
s inými údajmi)
AKO ZAISTIŤ SÚLAD WEBOVEJ STRÁNKY A E-SHOPU S GDPR?
Pri
spracúvaní osobných údajov prostredníctvom webovej stránky
a e-shopu je potrebné GDPR zohľadniť v nasledovných
častiach:
- kontaktný
formulár
- odoberanie
newslettera
- cookies
- objednávkový
formulár
- online
marketing (priamy marketing a behaviorálna reklama)
- vernostný
program
- ponuka
produktov e-shopu osobe mladšej ako 16 rokov
- wishlist
- narodeninové
priania pre zákazníka
- opustený
košík
- poskytnutie
zliav pre opätovnú návštevu e-shopu
- prehľad
o nákupoch zákazníka a zacielenie newslettera
(segmentácia)
- upselling
- zaistenie
webhostingu
- výkon
primeraných bezpečnostných opatrení
- poskytovanie
technickej podpory
- využívanie
krabicových riešení e-shopu
-
porušenie
ochrany osobných údajov