Nové nariadenie Európskeho parlamentu a Rady (EÚ) 679/2016 o ochrane fyzických osôb pri spracúvaní osobných údajov, označované aj skratkou GDPR (General Data Protection Regulation), úplne mení pravidlá, ktoré musia firmy dodržiavať pri spracúvaní osobných údajov. Tieto nové pravidlá sú nastavené tak, že sa týkajú skoro každej firmy, od malých živnostníkov až po veľké spoločnosti. Občanom nariadenie dáva práva a firmám povinnosti tieto práva vykonávať.
GDPR sa týka naozaj každej firmy.
Na to aby firmy museli dodržiavať pravidlá spracúvanie osobných údajov podľa GDPR napríklad:
– stačí aby firma mala zamestnancov, to dokonca aj vtedy ak mzdy robí firma externe, pretože už výber zamestnancov, či príprava podkladov pre mzdy je spracúvanie osobných údajov,
– aj adresár obchodných partnerov a vystavovanie ponúk s kontaktami na osoby, ktoré sú identifikovateľné podľa e-mailovej adresy je spracúvanie osobných údajov
– alebo sledovanie služobných jázd pomocou GPS, či kamerový systém v prevádzke firmy je spracúvanie osobných údajov.
Doterajšia prax verzus nové pravidlá GDPR
V praxi sa často stretávam s názorom majiteľov a manažérov firiem, že ochrana osobných údajov sa ich netýka. Hovoria, že oni osobné údaje vôbec nespracúvajú. Argumentujú tým, že majú iba evidenciu zákazníkov (zväčša firiem) a mzdy im spracováva externá spoločnosť alebo účtovníčka. Ani netušia, ako veľmi sa mýlia. Ich presvedčenie a neznalosť čiastočne pramení z doterajšej praxe. Prísnejšie sa totiž posudzovalo predovšetkým spracovanie osobných údajov spolu s rodným číslom v programe (informačnom systéme), ktorý bol cez kancelársku počítačovú sieť pripojený na internet.
Podľa doteraz platného zákona 122/2013 Z. z. o ochrane osobných údajov bolo potrebné takýto systém oznámiť Úradu na ochranu osobných údajov a vymenovať zodpovednú osobu. Tá musela absolvovať príslušné skúšky. To väčšina firiem zo zákona robiť nemusela (alebo musela, no nevedela o tom) a v tejto nevedomosti pokračujú ďalej.
Možno si položíte otázku, či sú osobné údaje aj kontakty na zákazníkov?
Za osobný údaj možno považovať aj e-mailovú adresu, ak sa z nej dá identifikovať konkrétna fyzická osoba. Čo v prípade firemných e-mailov v tvare meno.priezvisko@firma.sk nie je problém. To je zároveň odpoveď na otázku, či je spracúvaním osobných údajov aj to, ak si v adresári evidujeme kontaktné údaje zákazníkov z radov firiem.
Aj častý argument, že mzdy zamestnancov spracováva externá účtovníčka neobstojí ako tvrdenie, že osobné údaje ako firma nespracúvate. Veď každá firma má evidenciu pracovných zmlúv, dochádzky zamestnancov a podkladov pre výpočet miezd. Aj toto je spracúvanie osobných údajov a podľa GDPR musí každá firma (prevádzkovateľ) vedieť preukázať (a mať zdokumentované), že ich spracúva v súlade so zákonom.
Ak má firma externú mzdovú účtovníčku má ešte povinnosť navyše.
A tou povinnosťou je dohodnúť si s ňou zmluvne, aké pravidlá pri ochrane osobných údajov musí dodržať. Dokonca aj to podľa akých pokynov ich bude spracúvať a akú súčinnosť poskytne v prípade potreby.
Nečakajte na kontrolu z Úradu na ochranu osobných údajov!
Ak si nie ste istí, aké povinnosti vašej firme z nariadenia GDPR ohľadom ochrany osobných údajov vyplývajú, spýtajte sa nás. Využite kontaktný formulár vpravo na stránke, alebo získajte návod na vyriešenie GDPR na praktickom workshope GDPR krok za krokom. (www.secutreo.sk/skolenie)