Dreamstime

Čo môžete urobiť, aby vás GDPR nebudilo zo sna

Nové nariadenie EÚ o ochrane osobných údajov vstupuje do platnosti už 25. mája. Využite naše profesionálne služby a získajte platné súhlasy na spracovanie osobných údajov pomocou Mafra call centra.

Získanie súhlasov, platných podľa nových nariadení môže predstavovať pre firmy ťažko zvládnuteľný problém - z personálnych aj časových dôvodov.

Mafra call poskytuje všetky callcentrové služby na komerčné účely. Skúsený personál rozumie podnikaniu a je k dispozícii. Stačí dodať databázu klientov a naši pracovníci ich obvolajú, získajú platný súhlas. Ale nielen to. Zároveň aktualizujú údaje v databáze firmy, zaznačia všetky zmeny. Všetky hovory sú nahrávané a objednávateľ služby dostáva denný report o práci operátorov. Po ukončení práce firma dostane späť svoju databázu. Každý súhlas je možné v prípade potreby preukázať.

Služba je vhodná pre bežné firmy, ale aj e-shopy. Tým, že jeden operátor dokáže denne uskutočniť 110 hovorov, vie Mafra call v krátkom čase pre klientov získať potrebné súhlasy v súlade s GDPR.

Čo všetko sa mení a ako na to

Hlavným zámerom nariadenia známeho pod skratkou GDPR (General data protection regulation) je prinútiť organizácie k väčšej transparentnosti a zodpovednosti pri používaní osobných údajov a poskytnúť spotrebiteľom väčšiu kontrolu a možnosť voľby - komu, na aké účely a na ako dlho poskytnú údaje. Pod hrozbou vysokých pokút musia firmy preskúmať, resp. prehodnotiť ako zbierajú, ukladajú a používajú dáta.

Slovensko sa rozhodlo kvôli nariadeniu EÚ prijať nový zákon o ochrane osobných údajov, ktorý zosúladil vnútroštátnu úpravu ochrany s nariadením únie. Bol schválený 29. 11. 2017 a nájdete ho v Zbierke zákonov pod číslom 18/2018. Podľa odborníkov sme aj doteraz mali spolu s Nemeckom jeden z najprísnejších zákonov. Preto podniky, ktoré si nastavili pravidlá už podľa "starého" zákona, nebudú mať problém ani s prechodom na GDPR.

Nariadenie firmy nemôžu ignorovať

GDPR nedáva presný návod, ktoré opatrenia má firma urobiť a aké technológie použiť. Nebudú však postačovať formulárové bezpečnostné projekty stiahnuté z internetu alebo iné jednoduché vzory nastavenia ochrany osobných údajov. Firma musí mať nastavenie bezpečnosti ochrany osobných údajov „ušité na mieru“ po technickej aj formálnej stránke.

Majitelia a vedenie firiem, ale aj IT pracovníci, obchodní manžéri by mali zosumarizovať informácie, aké dáta podnik dostáva a spracúva, v akom rozsahu a s akým cieľom. Zodpovedná osoba by mala vyhodnotiť, aké právne základy spracúvania osobných údajov firma používa, aké sú riziká spracovania údajov a ako je potrebné ochranu zabezpečiť.

Čo sú osobné údaje a súhlas s ich spracovaním

Osobným údajom je akákoľvek informácia o identifikovanej alebo identifikovateľnej fyzickej osobe. Identifikovateľná osoba je osoba, ktorú možno priamo či nepriamo identifikovať, najmä napríklad menom, identifikačným číslom či zvláštnymi prvkami fyzickej, psychickej či spoločenskej identity.

Nové pravidlá znamenajú dodatočné povinnosti aj na strane prevádzkovateľov či sprostredkovateľov, napríklad v online reklame, kde veľa cookies môže byť po novom považovaných za online identifikátory.

Dotknutá osoba musí súhlas udeliť tak, aby bol konkrétny, slobodný, informovaný a jednoznačný. Zákon presne neurčuje formu, ale spracovateľ musí udelenie súhlasu preukázať, jeho existencia musí byť hodnoverná. Súhlas musí byť odlíšiteľný od iných skutočností, ktoré sú vo vzťahu medzi dotknutou osobou a spracovateľom údajov. Súhlas musí byť vyjadrený jasne a zrozumiteľne.

Dotknutá osoba môže súhlas odvolať kedykoľvek. O tejto možnosti musí byť poučená ešte pred tým, ako súhlas udelí. Odvolanie súhlasu musí byť rovnako jednoduché, ako jeho poskytnutie.

Zo skúseností doteraz väčšina firiem neinformovala ľudí o tom, že spracúva ich osobné údaje, na aký účel ich spracúva, komu sú sprístupňované a poskytované, kam sú prenášané, na akú dobu ich uchovávajú a podobne. To sa teraz zmení. „ Ak firma v rámci kontroly nepreukáže úradu, že poskytla dotknutej osobe príslušné informácie o spracúvaní jej osobných údajov, hrozí jej sankcia,“ objasňuje situáciu Pavol Szabó z GHS Legal.

Ako sa menia súhlasy

Slobodný je súhlas vtedy, keď má používateľ možnosť súhlas neudeliť, poskytnutie služby alebo predaj tovaru nemôže byť podmienený poskytnutím súhlasu na iný účel než je vybavenie objednávky. Online obchod teda nemôže podmieniť odoslanie objednávky súhlasom s rozposielaním marketingových ponúk. Súhlas je konkrétny vtedy, keď obsahuje účel spracovávania údajov a ich popis. Napríklad, že e-mailová adresa bude použitá na rozposielanie newslettrov alebo história objednávok na profiláciu zákazníka a zostavenie ponuky šitej na mieru a podobne. Súčasťou súhlasu musia byť aspoň základné informácie o spracúvaní, najmä kto a ako bude údaje spracovávať a používateľ musí byť poučený o tom, že súhlas môže kedykoľvek odvolať – takýto súhlas je informovaný. Jednoznačný je súhlas vtedy, keď je nepochybné, že používateľ prejavil vôľu súhlas udeliť. „Napríklad zaškrtol políčko, potiahol prst po obrazovke, zamával pred webkamerou, otočil o 360 stupňov telefón. Nič také, ako vopred zaškrknuté políčko už nebude akceptované,“ upozorňuje advokát.

Neplatnosť súhlasu na spracovanie údajov

Na dokončenie objednávky je dnes nutné zaškrtnúť políčko, ktorým sa poskytuje predajcovi súhlas spracúvať osobné údaje či posielať marketingové materiály. Po novom bude takto poskytnutý súhlas neplatný.

Čo sa stane s už udelenými súhlasmi?

Budú považované za platné len v prípade, že spĺňajú nové pravidlá. Inak musí podnikateľ získať nové súhlasy zákazníkov či ukončiť spracúvanie takýchto osobných údajov.

V súlade s GDPR musí spracovateľ osobných údajov dodržať:

Právo na "zabudnutie"
Nariadenie priznáva dotknutým osobám právo na "zabudnutie", čo znamená, že majú právo žiadať, aby ich údaje boli vymazané, zlikvidované a prestali byť spracúvané, ak neexistuje legitímny dôvod na ich uchovanie. Ide najmä o prípady ak sa osobné údaje spracúvali protiprávne, ak už nie sú potrebné na účel, na ktorý boli poskytnuté, ak nebol poskytnutý súhlas zákonného zástupcu (v prípade detí), alebo ak jednotlivec súhlas odvolal.

Právo na prenosnosť osobných údajov
Dotknutá osoba bude môcť požiadať o prenos osobných údajov vo forme, v akej ich prevádzkovateľ získal, v štruktúrovanej a čitateľnej podobe a prevádzkovať ich bude povinný na základe tejto žiadosti preniesť inému prevádzkovateľovi. Napríklad prenesenie údajov od jedného mobilného operátora k druhému.

Ochranu osobných údajov maloletých
Kto bude chcieť poskytnúť napríklad platené služby cez internet osobe mladšej ako 16 rokov, súhlas na spracúvanie osobných údajov tejto osoby bude musieť poskytnúť alebo schváliť jej zákonný zástupca, teda najčastejšie rodič. „To, či poskytovateľ tejto služby vynaložil primerané úsilie a zohľadnil dostupnú technológiu, aby si overil, že súhlas získal za týchto podmienok, bude musieť preukázať sám poskytovateľ tejto služby na prípadnej kontrole úradu,“ vraví Pavol Szabo.

Hlásiť únik osobných údajov
Ak prevádzkovateľ spracúvajúci osobné údaje príde na porušenie ich ochrany, ktoré môže predstavovať riziko pre dotknuté osoby, musí o tom podľa GDPR informovať Úrad na ochranu osobných údajov do 72 hodín od zistenia úniku. V oznámení musí odhadnúť počet poškodených, opísať povahu úniku, jeho pravdepodobné následky a prijať nápravné opatrenia na zmiernenie dosahov.

V závažnejších prípadoch bude musieť únik osobných údajov okamžite oznámiť aj samotnej dotknutej osobe. Za vysoké riziko pre práva dotknutých osôb sa dá považovať únik takých údajov, ktoré môžu hekeri zneužiť na vlastné obohatenie, vydieranie, na páchanie inej trestnej činnosti a podobne. Sú nimi napríklad zdravotné záznamy, čísla občianskych preukazov, čísla kreditných kariet, prístupové heslá do rôznych aplikácií a podobne.

Určiť zodpovednú osobu vo firme
Prevádzkovateľ je povinný ustanoviť zodpovednú osobu (Data Protection Officera) v prípade, že spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt, teda celoštátne, regionálne miestne orgány. Pozor, povinnosť poveriť zodpovednú osobu sa vzťahuje aj na subjekty, ktorých hlavnou činnosťou sú spracovateľské operácie vyžadujúce si pravidelné a systematické monitorovanie dotknutých osôb. Ide napríklad o cielenú internetovú reklamu pomocou e-mailu či využívanie kamerových systémov. Zodpovednú osobu budú musieť mať aj firmy, ktoré vykonávajú spracúvanie osobitnej kategórie osobných údajov vo veľkom rozsahu. Sú to napríklad poisťovne či banky. Za zodpovednú osobu možno ustanoviť napríklad člena personálu. Aj firma, ktorá nemá povinnosť určiť zodpovednú osobu, by tak mala urobiť, pretože potrebuje v podniku človeka, ktorý bude vedieť zabezpečiť koordináciu plnenia povinností zo zákona o ochrane osobných údajov.

Čo sa nepovažuje za spracovanie osobných údajov
Napríklad spracúvanie fotografie alebo podpisu bez získavania biometrických údajov sa nepovažuje za spracúvanie osobných údajov. Tie, ktoré sú anonymizované, alebo nie je možné identifikovať dotknuté osoby, sú dokonca úplne vyňaté spod pravidiel GDPR.

Osobné údaje, ktoré sú pseudonymizované (pseudonymizácia je oddelenie údajov od priamych identifikátorov, takže spojenie s identitou osoby nie je možné bez dodatočných informácií) v prípade, že kľúč, ktorý umožní opätovnú identifikáciu fyzickej osoby, je zabezpečený.

Viac informácií o službách Mafra call získate na http://www.mafracall.sk, Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript. alebo 0850 001 051

#GDPR