GDPR a ochrana údajov – rýchly prehľad

GDPR a zákon o ochrane osobných údajov riešia, ako spracúvať osobné údaje zákonne, transparentne a bezpečne. V praxi sa GDPR dotýka takmer každého:

• webu a cookies,

• marketingu a newsletterov,

• HR (zamestnanci, dochádzka, mzdy),

• kamerových systémov,

• outsourcingu IT a cloudu,

• incidentov a únikov dát.

Najväčšia chyba v GDPR nie je „nemáme 100 strán dokumentácie“. Najväčšia chyba je, keď spracúvate údaje bez jasného účelu, bez právneho základu a bez toho, aby ste vedeli, komu a prečo dáta idú.

Kedy konať rýchlo

• spúšťate nový web/appku/e-shop (cookies, formuláre, analytika),

• plánujete kamery alebo monitoring (pracovisko, bytovka),

• meníte dodávateľa IT/cloudu (DPA, subprocesori, prenosy),

• stala sa chyba/incident (zle odoslaný email, únik databázy, kompromitované konto),

• prišla vám žiadosť od osoby (prístup, výmaz, námietka) – lehoty sú zákonné.

Základné pojmy, ktoré potrebujete pochopiť

• Prevádzkovateľ: rozhoduje o účele a prostriedkoch spracovania.

• Sprostredkovateľ: spracúva údaje pre prevádzkovateľa (napr. hosting, CRM, mzdový systém).

• Právny základ: prečo vôbec môžete spracúvať údaje (zmluva, zákon, oprávnený záujem, súhlas…).

• Retencia: ako dlho údaje držíte (a kedy ich mažte/anonymizujete).

• TOMs (technické a organizačné opatrenia): ako údaje chránite.

Najčastejšie GDPR scenáre (prakticky)

1) Web, cookies a analytika

Pri webe je dôležité:

• mať zrozumiteľnú privacy informáciu,

• rozumne nastaviť cookie banner a kategórie cookies (ak používate nástroje, ktoré to vyžadujú),

• vedieť, čo sa zbiera (analytika, remarketing, formuláre).

Pozor na „tiché“ trackovanie – často je to prvý dôvod sťažností.

2) Marketing a newsletter

Kľúčové otázky:

• na základe čoho posielate marketing (súhlas vs. oprávnený záujem),

• ako odhlasovanie funguje v praxi,

• komu údaje posielate (newsletter platformy, CRM).

3) HR (zamestnanci)

Pri HR spracúvate citlivé a rozsiahle údaje. Typicky:

• dochádzka, mzdy, benefity,

• zdravotné prehliadky/PN (v rozsahu podľa právnych predpisov),

• nábor a životopisy (ako dlho ich držíte, kto má prístup).

HR je citlivé aj z pohľadu dôvery – dobrá transparentnosť je lepšia ako „nejako to prejde“.

4) Kamery a monitoring

Kamery a monitoring sú jedny z najrizikovejších tém:

• treba mať jasný účel (bezpečnosť, ochrana majetku),

• ohraničiť zábery (nech to nesníma viac, než treba),

• nastaviť dobu uchovania a prístupy,

• viditeľne označiť monitorovaný priestor a informovať.

Na pracovisku sú limity prísnejšie – kontrola zamestnancov musí byť primeraná a vopred komunikovaná.

5) Outsourcing, cloud a sprostredkovatelia (DPA)

Ak používate dodávateľov:

• potrebujete zmluvne upravené spracovanie (DPA),

• pýtajte sa na subprocesorov a bezpečnosť,

• pri prenose mimo EÚ riešte právny režim a riziká.

6) Práva dotknutých osôb (DSAR)

Nastavte si proces:

• kto žiadosť preberie,

• ako overíte identitu,

• kde údaje hľadáte (CRM, email, databázy),

• ako a kedy odpoviete.

7) Incidenty a úniky dát

Incident response plán nemusí byť komplikovaný, ale musí existovať:

1. čo sa stalo (čas, rozsah, systém),

2. koho to môže ovplyvniť,

3. aké je riziko,

4. či treba hlásiť dozornému orgánu alebo informovať osoby,

5. aké opatrenia zabránia opakovaniu.

Checklist: dokumenty a „minimum compliance“

• privacy notice (pre web, zákazníkov, zamestnancov),

• záznamy o spracovateľských činnostiach (aspoň základný prehľad),

• DPA so sprostredkovateľmi,

• retenčné lehoty a pravidlá mazania,

• proces pre žiadosti osôb,

• incident response postup,

• základné bezpečnostné pravidlá (prístupy, heslá, MFA, logovanie).

Ako pomôže eSudca.sk

eSudca.sk pomáha zorientovať sa: aký právny základ dáva zmysel, kde bývajú typické chyby a čo je „minimum“, aby ste znížili riziko sťažností a sankcií. Pri kamerách, väčších projektoch alebo incidente odporúčame odbornú konzultáciu.

Súvisiace články na eSudca.sk

• Monitoring zamestnancov a GDPR (2026)

• Kamerový systém v bytovke a GDPR

Príklady otázok (inšpirácia)

• Potrebujem súhlas na newsletter alebo mi stačí iný právny základ?

• Ako nastaviť cookie banner, aby analytika nebežala bez súhlasu (ak je to potrebné)?

• Môžem mať kamery na pracovisku / v bytovke a aké informovanie musím dať?

• Ako dlho môžem uchovávať CV uchádzačov a mzdové doklady zamestnancov?

• Čo má obsahovať DPA so sprostredkovateľom (hosting/CRM/mzdový systém)?

• Prišla žiadosť o výmaz: kedy musím vymazať a kedy môžem odmietnuť?

• Stal sa incident (zle odoslaný email/unikli dáta): aký je správny postup?

Praktický tip na záver

GDPR sa dá zvládnuť aj bez „papierovej fabriky“: majte jasný účel, právny základ, retenciu, informovanie a bezpečnosť. A všetko, čo rozhodnete, si stručne zdokumentujte.