DATAROOM s.r.o.

Štúrova 63, 949 01, Nitra

Tel.: +421 / 37 652 4118

info@dataroom.sk

Často kladené otázky

Pred tým, ako nám pošlete správu, prečítajte si často kladené otázky

Čo považuje GDPR za osobné údaje?

Osobné údaje sú v súčasnej smernici z roku 1995 aj v GDPR definované ako všetky informácie
vzťahujúce sa k identifikovanej alebo identifikovateľnej fyzickej osobe.
Medzi všeobecné osobné údaje radíme meno, pohlavie, vek a dátum narodenia, osobný stav,
ale aj IP adresu a fotografický záznam. Vzhľadom k tomu, že sa GDPR vzťahuje aj na
podnikajúce fyzické osoby, radíme medzi osobné údaje aj tzv. organizačné údaje, ktorými sú
napríklad e-mailová adresa, telefónne číslo či rôzne identifikačné údaje vydané štátom.
Všeobecné nariadenie venuje špeciálnu pozornosť spracúvania osobitných kategórií
osobných údajov, ktorými sú údaje o rasovom alebo etnickom pôvode, politických názoroch,
náboženskom alebo filozofickom vyznaní, členstvo v odboroch, o zdravotnom stave,
sexuálnej orientácii a trestných deliktoch či právoplatnom odsúdení. Do kategórie citlivých
údajov nariadenie novo zahŕňa genetické, biometrické údaje a osobné údaje detí.
Spracúvanie citlivých osobných údajov podlieha oveľa prísnejšiemu režimu, než je tomu u
všeobecných údajov.
Genetickými údajmi sú osobné údaje týkajúce sa zdedených alebo získaných genetických
znakov určitej fyzickej osoby, ktoré vyplývajú z analýzy biologickej vzorky dotknutej fyzickej
osoby alebo z analýzy iného prvku, ktorá umožňuje získať rovnocenné informácie. Medzi
osobné údaje o zdravotnom stave by mali byť zahrnuté všetky údaje súvisiace so zdravotným
stavom, ktoré vypovedajú o telesnom alebo duševnom zdraví človeka.
Biometrickým údajom sú osobné údaje vyplývajúce z konkrétneho technického spracovania
týkajúce sa fyzických alebo fyziologických znakov alebo znakov správania fyzickej osoby,
ktoré umožňujú jedinečnú identifikáciu. Typickým biometrickým údajom je napr. snímka
tváre, odtlačok prsta, ale podľa poslednej judikatúry aj podpis.
Naopak, z pôsobnosti GDPR sú vylúčené anonymizované údaje, údaje zosnulých osôb a údaje
získané v rámci činnosti čisto osobnej povahy, ktoré nemajú obchodné či inštitucionálny
charakter. Týka sa to teda údajov, ktoré spracúvame pre osobnú potrebu a s nikým ich
nebudeme zdieľať.

Kto všetko spadá pod GDPR?

GDPR sa vzťahuje na všetky fyzické alebo právnické osoby, orgány verejnej moci, agentúry
alebo iné subjekty, ktoré zhromažďujú alebo spracúvajú osobné údaje. Veľkosť subjektu tu
nehrá žiadnu rolu.

Bude sa GDPR riadiť aj živnostník, ktorý nemá zamestnancov?

Pokiaľ živnostník bude zhromažďovať alebo spracúvať akékoľvek osobné údaje, bude sa
i jeho týkať GDPR. Živnostník môže spracúvať osobné údaje svojich klientov alebo
dodávateľov.

Bude sa GDPR riadiť e-shop, ktorý má 2 zamestnancov, ale spracúvava údaje stoviek zákazníkov?

Áno, i e-shop s dvomi zamestnancami sa bude riadiť GDPR. Ochrana osobných údajov sa týka
nielen zamestnancov, ale i zákazníkov, a to bez ohľadu na ich počet.

Musím si kvôli tomu kupovať špeciálny SW alebo HW?

Technické opatrenia by mali byť prijímané s prihliadnutím k povahe, rozsahu, kontextu a účelu spracúvania i k rôzne pravdepodobným a rôzne závažným rizikám pre práva a slobody fyzických osôb. Možno preto povedať, že veľká časť menších podnikov si nebude musieť zaobstarávať špeciálny SW alebo HW, pokiaľ zodpovedajú bežným štandardom zabezpečenia. Užívaný software by mal ideálne pochádzať od spoľahlivého dodávateľa, ktorý garantuje súlad s GDPR.

Dopadne GDPR aj na kontakty, ktoré sme získali pred zahájením platnosti GDPR? Potrebujeme, aby zákazníci poskytli znovu svoj súhlas, aby tento súhlas spĺňal nové podmienky?

Na tieto kontakty sa GDPR vzťahuje. Starší súhlas bude vyhovujúci za predpokladu, že spôsob jeho udelenia bude v súlade s GDPR. Pokiaľ je spracúvanie založené na súhlase, musí byť prevádzkovateľ schopný doložiť, že dotknutá osoba udelila súhlas so spracúvaním svojich údajov a tento súhlas bol udelený slobodne a bol konkrétny, informovaný, jednoznačný a ničím nepodmienený. Možno predpokladať, že v rade prípadov táto podmienka splnená nebude, najmä vtedy, kedy bol súhlas súčasťou súvisiacej zmluvnej dokumentácie alebo bol podmienkou pre čerpanie služieb.

Je právo na výmaz absolútnym právom? Pokiaľ zákazník, ktorému mám doručiť objednávku, požiada o výmaz, tak to musím urobiť? Aké sú následky výmazu?

Právo na výmaz nie je absolútnym právom. Môže sa uplatniť iba za predpokladu, že nie sú osobné údaje už potrebné pre účel, pre ktorý boli zhromažďované alebo spracúvané. Ďalej k výmazu nemôže dôjsť, pokiaľ existuje iná právna povinnosť alebo zákon, ktorý výmazu bráni, napr. zákon o archivácii obsahuje povinnosť organizácií archivovať dokumenty obsahujúce osobné údaje po určitú, zákonom stanovenú dobu.

Akú rolu bude zastávať Úrad na ochranu osobných údajov? Budem mať povinnosť registrovať sa na Úrade?

Povinnosť registrácie (oznámenie spracúvania osobných údajov) s účinnosťou GDPR odpadá. GDPR Úrad ho zachováva a upravuje ako nezávislý dozorný úrad.

Mal by byť odoprený prístup na web návštevníkovi, ktorý neodsúhlasil zber osobných údajov?

Dotknutá osoba musí udeliť jednoznačný a ničím nepodmienený súhlas. Pokiaľ sa k spracúvaniu osobných údajov taký súhlas potrebuje a osoba tento súhlas neudelí, nemôže to byť dôvodom k odmietnutiu poskytnúť službu, pokiaľ to samotná služba nevyžaduje. Konkrétny príklad u e-shopu: pokiaľ poskytnem jeho prevádzkovateľovi osobné údaje nevyhnutné k zakúpeniu výrobku, tak neudelenie súhlasu k zasielaniu marketingových mailov nemôže byť dôvodom odmietnutia samotného zakúpenia produktu.

Pokiaľ správu GDPR bude prevádzať externá firma, kto bude zodpovedný pri úniku citlivých dát? Dá sa zodpovednosť previesť na dodávateľskú firmu?

Povinnosť ochrany osobných údajov sa podľa GDPR vzťahuje ako na prevádzkovateľov, tak i sprostredkovateľov (externej organizácie, ktorá dáta spracúva). Obe entity sú teda zodpovedné za ich ochranu, keďže tieto dáta spracúvajú – i v prípade, že prevádzkovateľ iba dáta pozbiera a pošle sprostredkovateľovi.

Pokiaľ evidujeme údaje a ukladáme ich v Cloudových službách napr. od Google, má povinnosť zabezpečiť ochranu dát dodávateľská firma Google alebo my?

Poskytovatelia cloudových služieb musia zaistiť, aby ich služby boli v súlade s GDPR. Spoločnosť Google nedávno zverejnila na svojich webových stránkach, že na uvedenie do súladu ich služieb s GDPR intenzívne pracuje. Stále ste však zodpovední za dodržiavanie pravidiel nariadenia, GDPR má dopad na celú vašu organizáciu, informačné systémy, a to všetko za vás napr. presun všetkých osobných údajov do G-suite nevyrieši.

Berie sa ako osobný údaj i evidencia o dochádzke zamestnancov?

Zamestnanec je fyzická osoba a pokiaľ možno záznam o dochádzke jednoznačne spojiť s identifikátorom zamestnanca, potom sa jedná o osobný údaj.

Napíšte nám