Nastaviť GDPR vo firme bude ako uviesť do života nový ekosystém

Príchodom nového európskeho nariadenia o ochrane osobných údajov, tzv. GDPR, naberá ochrana osobných údajov v Európskej únii nový rozmer. Nejde len o zavedenie novej právnej úpravy, ale o úplne novú európsku koncepciu vnímania ochrany osobných údajov fyzických osôb. Filozofiou nového nariadenia je návrat k ochrane ľudských práv, a to nielen zamestnancov, ale všetkých, ktorých sa osobné údaje týkajú, či už ide o ich ľudskú dôstojnosť, právo na súkromný život a iné. Nariadenie pritom predpokladá zostavenie správnej formy ochrany osobných údajov primárne z pohľadu dotknutej osoby a nie z pohľadu ochrany podniku, a to môže mať na podniky zásadný dopad. 

RUŽIČKA AND PARTNERS s. r. o. 11. 12. 2017 5 min.

    Informovaných súhlasov bude menej, Darina Parobeková z advokátskej kancelárie Ružička Csekes dáva praktický príklad z praxe: „Ak doteraz firma od zamestnanca pýtala rôzne osobné údaje a odôvodňovala ich použitie na rôzne účely tzv. informovaným súhlasom, po novom bude zamestnávateľ musieť zamestnancovi riadne odôvodniť, čo a na aký účel si bude od zamestnanca pýtať a ako bude tieto údaje spracúvať. Informované súhlasy úplne nevymiznú, ale bude ich z môjho pohľadu oveľa menej aj na Slovensku.“

    Takmer bez výnimiek

    Nariadeniu GDPR podlieha nadnárodná korporácia i kvetinárstvo Nariadenie si rovnako dalo za cieľ zaručiť konzistentnosť, ktorou sa má poskytnúť právna istota a transparentnosť pre všetky hospodárske subjekty vrátane mikro, malých a stredných podnikov. Aj z tohto dôvodu obsahuje nariadenie veľmi málo výnimiek. Jedným z príkladov sú práve mikro, malé a stredné podniky, ktoré nemusia viesť záznamy o spracovateľských činnostiach (v zmysle požiadaviek článku 30 ods. 1 a 2), za podmienky, že zamestnávajú menej ako 250 osôb a nie je pravdepodobné, že spracúvanie povedie k riziku pre práva a slobody dotknutej osoby a pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie osobných údajov. „Vzhľadom na veľmi limitujúcu definíciu je pravdepodobné, že pôjde o veľmi malé podniky, ktoré takmer nikdy nespracúvajú osobné údaje, čo si je dosť ťažké v dnešnej dobe predstaviť. GDPR sa prakticky týka aj prevádzok typu kvetinárstvo alebo stánok s rýchlym občerstvením, ak je v nej zamestnaný aspoň 1 zamestnanec,“ vysvetľuje Darina Parobeková.

    Štát v osvete GDPR absentuje

    Aktívne sú len komerčné subjekty. Ďalším krokom na podporu menších subjektov, ktoré sa môžu ľahko v dôsledku účinnosti GDPR ocitnúť v komplikovanej situácii, je apel na združenia a iné orgány zastupujúce prevádzkovateľov alebo sprostredkovateľov, aby s podporou dozorných orgánov, členských štátov, výboru a Európskej komisie, vypracovali kódexy správania. Účelom takýchto kódexov je uľahčiť uplatňovanie nariadenia, pričom by sa zohľadnili osobitné črty spracúvania v určitých odvetviach a osobitné potreby mikro, malých a stredných podnikov. Išlo by napríklad o malých živnostníkov s niekoľkými zamestnancami, pre ktorých bude pravdepodobne zavedenie nariadenia do praxe náročný byrokratický boj. Darina Parobeková upozorňuje, že kódexy sú nateraz „tabula rasa“ a je vhodné, aby sa štát aktívne vložil do podpory ich vytvárania: „Povinnosťou štátu je o tomto nariadení dostatočne informovať a vzdelávať. Zatiaľ sa v tejto sfére viac aktivizuje komerčný segment a GDPR propaguje viac ako orgány, ktoré sú tým poverené. Do istej miery to nie je v poriadku, pretože komerčný subjekt, ktorý si na tom zakladá svoje podnikanie, môže podať skreslené informácie.“

    Súčasne by mali byť osobitné potreby mikro, malých a stredných podnikov zohľadnené aj pri zavádzaní certifikačných mechanizmov ochrany osobných údajov, pečatí a značiek slúžiacich na účely preukázania súladu s nariadením. Bohužiaľ, k dnešnému dňu sa aj Slovenský úrad na ochranu osobných údajov môže odvolávať len na stále prebiehajúce rokovania na európskej úrovni, ktoré by mali udať ten správny smer pre všetky dozorné úrady pri zachovaní nevyhnutnej konzistentnosti.

    Príprava na GDPR je mravenčia práca

    V neposlednom rade je potrebné zdôrazniť, že hlavným rozdielom pri spracúvaní osobných údajov v mikro, malom alebo strednom podniku oproti veľkým a nadnárodným korporáciám bude zrejme akési oslobodenie od povinnosti „vykonať posúdenie vplyvu na ochranu údajov“ alebo „Data Protection Impact Assesment“, ktoré sa predovšetkým vzťahuje na väčšie subjekty alebo subjekty zamerané na hospodárske využívanie osobných údajov fyzických osôb. Ide o také spracúvanie, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, vykonávané najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania. V niektorých prípadoch nariadenie priamo deklaruje povinnosť vykonať takéto posúdenie, a to pri použití profilovania, spracúvaní vo veľkom rozsahu osobitných kategórií údajov alebo údajov o uznaní viny za trestné činy a priestupky alebo pri systematickom monitorovaní verejne prístupných miest vo veľkom rozsahu.

    Dôležité zoznamy chýbajú

    Nariadenie zároveň poverilo dozorné úrady, aby vypracovali a zverejnili zoznam tých spracovateľských operácií, ktoré vždy podliehajú požiadavke na posúdenie vplyvu. „Na takýto zoznam si však v slovenských podmienkach ešte budeme musieť chvíľu počkať. Treba však upozorniť, že posúdenie vplyvu sa netýka len veľkých podnikov. Aj mikro, malý alebo stredný podnik sa môže kvalifikovať na posúdenie vplyvu, ak bude využívať niektorý z vyššie uvedených spôsobov spracúvania údajov,“ konštatuje Darina Parobeková.

    GDPR sa dotkne aj krajín mimo EÚ

    Zároveň smernica rozširuje aj okruh podnikov, na ktoré sa nariadenie vzťahuje. Rozhodujúcim kritériom už nie je miesto sídla spracovateľa, ale aj pôvod osobných údajov. Po novom územná pôsobnosť zahŕňa aj tých spracovateľov osobných údajov, ktorí nie sú usadení v únii, ale ich činnosť súvisí s ponukou tovarov alebo služieb dotknutým osobám v únii alebo so sledovaním správania dotknutých osôb, pokiaľ ide o  správanie na území únie, prípadne to vyplýva z medzinárodného práva. „Napríklad aj spoločnosť, ktorá sídli na Ukrajine, ale spracúva osobné údaje zamestnancov, ktorí sú z niektorej z krajín EÚ, sa musí podriadiť GDPR. Naopak, ak firma z EÚ má na Ukrajine pobočku, veľmi pravdepodobne spracúva údaje zamestnancov podľa GDPR aj v tejto pobočke, ak pochádzajú tieto osobné údaje z územia únie,“ dopĺňa Darina Parobeková.

    Pre niektoré podniky môže byť aj teraz už neskoro

    „V súlade s vyššie uvedeným, je pre každý podnik bez ohľadu na jeho veľkosť vhodné, avšak nie povinné, aby začal s prípravou na GDPR už teraz. Príprava, špeciálne v prípade tohto nariadenia, je dlhodobý proces. Ani samotní tvorcovia nariadenia nemajú zrejme ešte úplnú predstavu o dôsledkoch nových koncepcií a s nimi spojených nákladoch na fungovanie podnikov. Právny základ nariadenia nie je zložitý, avšak jeho uvedenie do praxe môže byť naozaj náročné po viacerých stránkach,“ uzatvára Darina Parobeková. V každom prípade je dobré vedieť už teraz, ktoré povinnosti sa budú podniku týkať a začať si včas plánovať jednotlivé kroky. A to aj preto, že najvyššia pokuta za porušenie povinností podľa GDPR je 20 mil. eur alebo 4% celosvetového obratu za predchádzajúci účtovný rok.

     

    Darina

    Darina Parobeková