Na otázky ohľadom osobných údajov a implementovania ich ochrany do procesov spoločností odpovedá JUDr. Katarína Kročková zo spoločnosti Kročka & Partners, ktorá sa zaoberá poradenstvom v oblasti ochrany osobných údajov.

 GDPR je témou, ktorá mnohým stále nedá spať. Ako je to teda s ochranou osobných údajov?

GDPR, skrátene „General Data Protection Regulation“, je komplexnou úpravou ochrany osobných údajov. Ako vieme, z legislatívneho pohľadu ho pokrýva Nariadenie Európskej únie, ktoré nadobudlo účinnosť 25.mája 2018 a Slovenská republika je týmto nariadením viazaná. Ochranu osobných údajov sme tu mali aj pred účinnosťou Nariadenia GDPR. Dovolím si povedať, že už zákon 122/2013 Z. z. bol prísny, avšak GDPR poníma ochranu osobných údajov komplexnejšie. Žijeme v digitálnej dobe, kedy si väčšinu informácií vieme dohľadať na internete. Ochrana osobných údajov a jej regulácia je preto veľmi potrebná. Spoločnosti častokrát spracúvajú osobné údaje, ktoré v skutočnosti nepotrebujú, databázy nie sú aktualizované, nemajú právne základy na spracovávanie či nastavené procesy.

Niektoré spoločnosti ale môžu namietať, že osobné údaje nespracovávajú. Teda, čo všetko možno považovať za osobné údaje?

Za osobné údaje možno považovať akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby, napríklad meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo odkaz na jeden či viaceré prvky, ktoré sú špecifické pre identitu tejto fyzickej osoby. Podľa Nariadenia GDPR sem patrí aj fotografia, e-mailová adresa a cookies. Vzhľadom na uvedené si dovolím povedať, že všetky firmy spracúvajú osobné údaje. Niektoré viac, niektoré menej. Stačí, ak má spoločnosť jedného zamestnanca, zriadenú webovú stránku, ktorá obsahuje napr. kontaktný formulár, využíva sociálne siete, všade tam spracováva osobné údaje.

Hovoríte, že GDPR je živým odvetvím...

GDPR je živé, nejde len o akúsi byrokratickú dokumentáciu, ktorú si založíte do archívu a v čase kontroly ju vytiahnete. Dokumentácia je v neustálom procese, a tomu zodpovedá aj nastavenie procesov v spoločnosti. Vždy odporúčam spoluprácu s odborníkom v tejto oblasti, ktorý spozná prostredie klienta, na základe toho určí rozsah implementácie a rovnako je aj súčinný pri ďalšej kontrolnej činnosti vo vnútri spoločnosti alebo zo strany Úradu na ochranu osobných údajov. O tom, že s GDPR treba neustále pracovať, svedčí aj fakt, že Úrad vydal metodické pokyny k rôznym problematikách, ktoré aktuálne dopĺňame do dokumentácie. Z tých nedávnych spomeniem napríklad metodické pokyny k zákonnosti spracovávania údajov, k povinnostiam prevádzkovateľa e-shopu, k spracovávaniu osobných údajov školami, k vyjadreniam k fotografiám či pokyny k postaveniu právnických a fyzických osôb podnikateľov z pohľadu ochrany osobných údajov.

Čo obnáša implementácia GDPR do chodu firmy? Ako tento proces prebieha?

Mať implementované GDPR znamená, že prevádzkovateľ (spoločnosť, organizácia, inštitúcia atď.) pozná toky osobných údajov, ktoré spracováva, informuje alebo informoval dotknuté osoby o spracovávaní ich osobných údajov, poučil svoje oprávnené osoby, má uzatvorené sprostredkovateľské zmluvy s dodávateľmi, ošetrenú webovú stránku a tak ďalej. Najskôr sa robí podrobný audit, identifikujú sa osobné údaje, ako aj miera bezpečnosti informačných systémov a následne sa implementujú navrhnuté bezpečnostné, organizačné a technické opatrenia, vrátane zálohovania a likvidácie osobných údajov. Školíme zamestnancov, nastavujeme procesy a samozrejmosťou sú aj kontrolné mechanizmy. Naši klienti využívajú našu kanceláriu aj ako takzvanú zodpovednú osobu v oblasti ochrany osobných údajov, najmä kvôli kontrolným mechanizmom a aktualizáciám v zmysle metodických pokynov.

Je implementácia GDPR časovo náročná?

Čo sa týka časové hľadiska, je to individuálne. Veľmi záleží na oblasti, v ktorej daná spoločnosť podniká. Pri menších spoločnostiach to môžu byť štyri týždne, pri väčších spoločnostiach môže implementácia trvať niekoľko mesiacov.

Niektorí sa možno stretli s pojmom DPIA? Koho sa to týka?

DPIA alebo „Data Protection Impact Assessment“ znamená posúdenie vplyvov na ochranu údajov a je súčasťou GDPR. V stručnosti, DPIA sa vyžaduje pri systematickom spracovávaní osobných údajov: pri automatizovanom spracovaní dát, spracovávaní osobných údajov vo veľkom množstve a pri systematickom monitorovaní verejne prístupných miest vo veľkom rozsahu. Týka sa to činností ako napríklad spracúvanie biometrických údajov fyzických osôb, spracúvanie genetických údajov fyzických osôb, systematické kamerové monitorovanie verejných priestorov (v jednotlivých mestách, obciach a dopravcami mestskej a prímestskej verejnej dopravy), sledovanie osôb súkromnými detektívnymi, resp. bezpečnostnými službami.

Profesionálna vizitka – JUDr. Katarína Kročková:

Vyštudovala právo na Právnickej fakulte Univerzity Komenského. Počas štúdia pracovala ako personalistka, neskôr zastávala post korporátneho právnika. Problematike ochrany osobných údajov sa venuje niekoľko rokov a poskytuje konzultácie a komplexné riešenia pri implementácii GDPR. Okrem tejto témy sa venuje pracovnému právu, otázkam obchodného registra a mediácii. V roku 2016 založila spoločnosť KROČKA & PARTNERS, v ktorej spolupracuje s expertami na pracovné právo a bezpečnosť ochrany osobných údajov v online prostredí. Je spoluautorkou publikácie Judikatúra v pracovnoprávnych veciach (2018), ktorá slúži personalistom, advokátom, zamestnávateľom a zamestnancom ako pomôcka v otázkach ukončenia pracovného pomeru. V súčasnosti sa spoluautorsky podieľa na publikácii Judikatúra v oblasti konania obchodných spoločností (predpokladaný termín: jeseň/zima 2019).

 

Viac informácií nájdete na www.krockapartners.sk.

(pr)