GDPR pre male firmy: Prakticky sprievodca
GDPR sa tyka kazdej firmy, ktora spracuvava osobne udaje
Vseobecne nariadenie o ochrane udajov (GDPR) platí od 25. maja 2018 a tyka sa kazdej firmy, zivnostnika ci organizacie, ktora spracuvava osobne udaje. Nie je dolezite, ci mate 2 alebo 200 zamestnancov – ak evidujete mena, e-maily, telefonne cisla alebo adresy zakaznikov, GDPR sa na vas vztahuje. Na Slovensku dozoruje dodrzavanie Urad na ochranu osobnych udajov SR (UOOSU).
1. Co GDPR od vas vyzaduje?
GDPR stoji na niekolkych zakladnych zasadach, ktore musite dodrziavat pri kazdej operacii s osobnymi udajmi:
Zakonnost, spravodlivost, transparentnost
Osobne udaje mozete spracuvavat len na zaklade zakonneho dovodu (suhlas, zmluva, zakonná povinnost, opravneny zaujem). Musite dotknutu osobu informovat, co s jej udajmi robite.
Ucelove obmedzenie
Udaje mozete zberat len na konkretny, vyslovne uvedeny a legitímny ucel. Nesmite ich pouzivat na iny ucel, nez na ktory boli povodne zozbierane.
Minimalizacia udajov
Zbierate len tie udaje, ktore skutocne potrebujete. Nepytajte sa na datum narodenia, ak vam staci e-mail.
Spravnost
Udaje musia byt presne a aktualne. Musite umoznit ich opravu.
Obmedzenie uchovávania
Udaje nesmite uchovavat dlhsie, nez je nevyhnutne. Po splneni ucelu ich musite vymazat.
Integrita a dovolnost
Musite zabezpecit primeranu bezpecnost udajov (sifrovanie, pristupove prava, zalohovanie).
2. Prakticke kroky pre malu firmu
GDPR nemusite implementovat cez drahe pravne kancelarie. Tu su konkretne kroky, ktore zvladne kazda mala firma:
Zmapujte, ake osobne udaje spracuvavate
Vytvorre si jednoduchy zoznam: ake udaje zberate, od koho, preco, kde ich uchovavate a kto k nim ma pristup.
Urcite pravny zaklad pre kazdy ucel spracovania
Najcastejsie: plnenie zmluvy (objednavka), zakonna povinnost (uctovnictvo), suhlas (newsletter), opravneny zaujem (priamy marketing existujucim zakaznikom).
Pripravte informacnu povinnost (Privacy Policy)
Dokument, ktory informuje zakaznikov o spracovani ich udajov. Musi byt dostupny na webe a v prevadzke.
Zabezpecte suhlas tam, kde je potrebny
Newsletter, marketing, cookies (analyticke a marketingove). Suhlas musi byt slobodny, konkretny, informovany a jednoznacny.
Nastavte zaznamy o spracovatelskych cinnostiach
Jednoducha tabulka s udajmi o tom, ake udaje spracuvavate, na aky ucel, na akom zaklade a ako dlho.
Uzavrite spracovatelske zmluvy s dodavatelmi
Ak pouzivate externy hosting, e-mailovy nastroj alebo uctovnika, potrebujete s nimi sprostredkovatelsku zmluvu (clanok 28 GDPR).
3. Najcastejsie chyby malych firiem
Na zaklade kontrolnej cinnosti UOOSU su najcastejsie porusenia:
Zasilanie newsletteru bez suhlasu
E-mailovy marketing vyzaduje dokazatelny suhlas (opt-in). Predvyplneny checkbox nestaci.
Chybajuca Privacy Policy na webe
Kazdy web, ktory zbiera akekolvek udaje (aj cez kontaktny formular), musi mat zasady ochrany udajov.
Cookies bez suhlasu
Analyticke a marketingove cookies vyzaduju predchadzajuci suhlas (cookie banner s moznostou odmietnut).
Uchovavanie udajov bez casoveho limitu
Neurcita doba uchovávania je porusenim GDPR. Musite mat jasne doby uchovávania pre kazdy ucel.
Chybajuca sprostredkovatelska zmluva
Ak pouzivate cloudové sluzby, musite mat so sprostredkovatelom pisomnu zmluvu (aj online Terms of Service mozu stacit).
Ignorovanie ziadosti dotknutych osob
Na ziadost o vymazanie, pristup alebo opravu musite reagovat do 30 dni.
4Pokuty a sankcie
GDPR rozlisuje dve urovne pokut:
Nizsia uroven
az 10 mil. EUR
Alebo 2 % z celkoveho svetoveho rocneho obratu. Za porusenia technickeho a organizacneho charakteru (chybajuce zaznamy, neoznamenie bezpecnostneho incidentu).
Vyssia uroven
az 20 mil. EUR
Alebo 4 % z celkoveho svetoveho rocneho obratu. Za zakladne porusenia (spracovanie bez pravneho zakladu, porusenie prav dotknutych osob, prevod udajov do tretej krajiny).
Pre male firmy: UOOSU na Slovensku zvycajne uklada pokuty v radoch tisicov az desattisicov eur. V roku 2024 bola najvyssia pokuta na Slovensku 60 000 EUR. Dozorny organ prihlada na velkost firmy, povahu porusenia a snahu o napravu.