GDPR a ochrana údajov

Typické témy

Čo všetko v gdpr a ochrana údajov riešime

Právne základy spracovania a minimalizácia údajov
Informačné povinnosti a privacy notice
Kamerové systémy, monitoring zamestnancov, GPS
HR agenda – dochádzka, mzdové údaje, prehliadky
Marketing, newslettery, cookies a online identifikátory
Zmluvy so sprostredkovateľmi, DPIA, bezpečnostné opatrenia
Incidenty, úniky dát a oznamovanie ÚOOÚ

GDPR a ochrana údajov – rýchly prehľad

GDPR a zákon o ochrane osobných údajov riešia, ako spracúvať osobné údaje zákonne, transparentne a bezpečne. V praxi sa GDPR dotýka takmer každého:

webu a cookies,
marketingu a newsletterov,
HR (zamestnanci, dochádzka, mzdy),
kamerových systémov,
outsourcingu IT a cloudu,
incidentov a únikov dát.

Najväčšia chyba v GDPR nie je „nemáme 100 strán dokumentácie“. Najväčšia chyba je, keď spracúvate údaje bez jasného účelu, bez právneho základu a bez toho, aby ste vedeli, komu a prečo dáta idú.

Kedy konať rýchlo

spúšťate nový web/appku/e-shop (cookies, formuláre, analytika),
plánujete kamery alebo monitoring (pracovisko, bytovka),
meníte dodávateľa IT/cloudu (DPA, subprocesori, prenosy),
stala sa chyba/incident (zle odoslaný email, únik databázy, kompromitované konto),
prišla vám žiadosť od osoby (prístup, výmaz, námietka) – lehoty sú zákonné.

Základné pojmy, ktoré potrebujete pochopiť

Prevádzkovateľ: rozhoduje o účele a prostriedkoch spracovania.
Sprostredkovateľ: spracúva údaje pre prevádzkovateľa (napr. hosting, CRM, mzdový systém).
Právny základ: prečo vôbec môžete spracúvať údaje (zmluva, zákon, oprávnený záujem, súhlas…).
Retencia: ako dlho údaje držíte (a kedy ich mažte/anonymizujete).
TOMs (technické a organizačné opatrenia): ako údaje chránite.

Najčastejšie GDPR scenáre (prakticky)

1) Web, cookies a analytika

Pri webe je dôležité:

mať zrozumiteľnú privacy informáciu,
rozumne nastaviť cookie banner a kategórie cookies (ak používate nástroje, ktoré to vyžadujú),
vedieť, čo sa zbiera (analytika, remarketing, formuláre).

Pozor na „tiché“ trackovanie – často je to prvý dôvod sťažností.

2) Marketing a newsletter

Kľúčové otázky:

na základe čoho posielate marketing (súhlas vs. oprávnený záujem),
ako odhlasovanie funguje v praxi,
komu údaje posielate (newsletter platformy, CRM).

3) HR (zamestnanci)

Pri HR spracúvate citlivé a rozsiahle údaje. Typicky:

dochádzka, mzdy, benefity,
zdravotné prehliadky/PN (v rozsahu podľa právnych predpisov),
nábor a životopisy (ako dlho ich držíte, kto má prístup).

HR je citlivé aj z pohľadu dôvery – dobrá transparentnosť je lepšia ako „nejako to prejde“.

4) Kamery a monitoring

Kamery a monitoring sú jedny z najrizikovejších tém:

treba mať jasný účel (bezpečnosť, ochrana majetku),
ohraničiť zábery (nech to nesníma viac, než treba),
nastaviť dobu uchovania a prístupy,
viditeľne označiť monitorovaný priestor a informovať.

Na pracovisku sú limity prísnejšie – kontrola zamestnancov musí byť primeraná a vopred komunikovaná.

5) Outsourcing, cloud a sprostredkovatelia (DPA)

Ak používate dodávateľov:

potrebujete zmluvne upravené spracovanie (DPA),
pýtajte sa na subprocesorov a bezpečnosť,
pri prenose mimo EÚ riešte právny režim a riziká.

6) Práva dotknutých osôb (DSAR)

Nastavte si proces:

kto žiadosť preberie,
ako overíte identitu,
kde údaje hľadáte (CRM, email, databázy),
ako a kedy odpoviete.

7) Incidenty a úniky dát

Incident response plán nemusí byť komplikovaný, ale musí existovať:

čo sa stalo (čas, rozsah, systém),
koho to môže ovplyvniť,
aké je riziko,
či treba hlásiť dozornému orgánu alebo informovať osoby,
aké opatrenia zabránia opakovaniu.

Checklist: dokumenty a „minimum compliance“

privacy notice (pre web, zákazníkov, zamestnancov),
záznamy o spracovateľských činnostiach (aspoň základný prehľad),
DPA so sprostredkovateľmi,
retenčné lehoty a pravidlá mazania,
proces pre žiadosti osôb,
incident response postup,
základné bezpečnostné pravidlá (prístupy, heslá, MFA, logovanie).

Ako pomôže eSudca.sk

eSudca.sk pomáha zorientovať sa: aký právny základ dáva zmysel, kde bývajú typické chyby a čo je „minimum“, aby ste znížili riziko sťažností a sankcií. Pri kamerách, väčších projektoch alebo incidente odporúčame odbornú konzultáciu.

Súvisiace články na eSudca.sk

Príklady otázok (inšpirácia)

Potrebujem súhlas na newsletter alebo mi stačí iný právny základ?
Ako nastaviť cookie banner, aby analytika nebežala bez súhlasu (ak je to potrebné)?
Môžem mať kamery na pracovisku / v bytovke a aké informovanie musím dať?
Ako dlho môžem uchovávať CV uchádzačov a mzdové doklady zamestnancov?
Čo má obsahovať DPA so sprostredkovateľom (hosting/CRM/mzdový systém)?
Prišla žiadosť o výmaz: kedy musím vymazať a kedy môžem odmietnuť?
Stal sa incident (zle odoslaný email/unikli dáta): aký je správny postup?

Praktický tip na záver

GDPR sa dá zvládnuť aj bez „papierovej fabriky“: majte jasný účel, právny základ, retenciu, informovanie a bezpečnosť. A všetko, čo rozhodnete, si stručne zdokumentujte.

Časté otázky · FAQ

Čo sa ľudia pýtajú

·01 Kedy potrebujem súhlas?

Len ak neexistuje vhodný iný právny základ; pri marketingu je súhlas najčastejší, pri zmluvnom plnení alebo zákonnej povinnosti nie.

·02 Ako dlho môžem údaje uchovávať?

Len počas účelu; definujte retenčné lehoty a pravidelné mazanie alebo anonymizáciu.

·03 Čo musí obsahovať informovanie?

Účel, právny základ, kategórie údajov, príjemcovia, doba uchovania, práva osôb, kontakt a možnosť podať sťažnosť.

·04 Potrebujem DPIA?

Pri vysokom riziku (monitoring, profilovanie, biometria) urobte posúdenie vplyvu a prijmite znižujúce opatrenia.

·05 Ako hlásiť únik dát?

Zaznamenajte incident, posúďte riziko; pri vysokom riziku oznámte ÚOOÚ a dotknuté osoby v zákonných lehotách.

·06 Aké pravidlá platia pre kamery?

Potrebujete právny základ, oznámenie o monitoringu, primerané zábery a dobu uchovania; na pracovisku platia prísnejšie limity.

Máte konkrétny problém?

Overte si vlastnú situáciu

Napíšte si vlastnú otázku a získajte odpoveď s citáciami zo zákonov a rozhodnutí súdov.

Overiť moju situáciu