Ste malý živnostník a myslíte si, že žiadnu ochranu osobných údajov nepotrebujete. Alebo máte v zásuvke firmy vypracované podklady k ochrane osobných údajov, ale nič ste reálne nezaviedli. Prípadne spolupracujete s viacerými externými spolupracovníkmi, no bez riadnej sprostredkovateľskej zmluvy. Spýtali sme sa Dušana Peška, riaditeľa spoločnosti SecuTreo, poskytujúcej služby v oblasti počítačovej bezpečnosti a ochrany údajov, na najčastejšie chyby, ktoré sa vyskytujú v praxi vo firmách, a prinášame jeho postrehy.
1. Nepochopenie a podcenenie ochrany osobných údajov
Veľké množstvo malých podnikateľov si myslí, že nespracúvajú osobné údaje. Je to omyl, aj keď vedú iba zoznam zákazníkov, ktorí si objednajú ich služby, už ide o spracúvanie a ochrana osobných údajov (GDPR) sa ich týka. GDPR sa teda týka napríklad aj kaderníčok, opravárov pračiek či spoločenstiev vlastníkov bytov.
TIP experta: Správne by mali mať veľmi malé firmy aspoň základnú dokumentáciu, bezpečnostné pravidlá a zmluvy so svojimi sprostredkovateľmi – napríklad externou účtovníčkou.
2. Formálne splnené podmienky, bez zavedenia do praxe
Veľa firiem sa spoľahlo na vzorovú dokumentáciu z internetu alebo narýchlo vypracovanú dokumentáciu podľa šablón. Ochranu osobných údajov však nemožno uspokojivo vyriešiť dokumentáciou v zásuvke, treba ju realizovať reálne.
Tip experta: Je vhodné mať prehľad o tom, aké osobné údaje vaša firma spracúva, kde sú uložené, ako sú zabezpečené, kto k nim má prístup. Pri kontrolách sa bude prihliadať na to, ako sa ochrana údajov realizuje v praxi. Dobre vyriešené GDPR teda predpokladá, aby zdokumentované pravidlá firma a jej pracovníci dodržiavali v praxi.
3. Nedostatky v informovaní dotknutých osôb
Nariadenie o ochrane osobných údajov zavádza povinnosť informovať dotknuté osoby o tom, kto a na aký účel osobné údaje spracúva, na základe akého právneho titulu, aké sú práva dotknutých osôb a podobne. Často si všímame nedostatočné označenia kamerových systémov v prevádzkach podnikov, kde tieto údaje chýbajú. Nezriedka možno natrafiť aj na e-shopy či dotazníky a formuláre, ktoré uvedené informácie neobsahujú, alebo sa odkazujú ešte na starý zákon č. 122 z roku 2013, čo svedčí o nepripravenosti týchto firiem.
Tip experta: Správne by firmy mali vždy pri získavaní údajov od dotknutých osôb informovať minimálne o účele, na ktorý údaje spracúvajú, a kontaktoch, kde možno získať ďalšie informácie.
4. Nesprávne vzory súhlasov na spracúvanie dát
Veľmi často a v rozpore s GDPR požadujú prevádzkovatelia a firmy súhlas na spracúvanie osobných údajov aj v prípadoch, kedy ho netreba, a formou, ktorá odporuje pravidlám udelenia súhlasu. Po správnosti nie je súhlas potrebný, ak spracúvate údaje v rámci zákonnej povinnosti (napríklad na účely miezd), alebo v rámci plnenia zmluvných podmienok (napríklad pri objednaní a dodaní tovaru a služieb), tu sú prevádzkovatelia povinní splniť si informačnú povinnosť, ale nie získavať súhlas.
Tip experta: Ak firmy potrebujú súhlas, napríklad na zasielanie marketingových informácií alebo na zverejnenie fotografií, vtedy musí žiadosť o súhlas byť predložená jasne a zrozumiteľne, na jeden konkrétny účel, s uvedením informácie, že dotknutá osoba môže svoj súhlas kedykoľvek odvolať.
5. Nedostatočné informovanie o kamerách na pracoviskách
Zatiaľ čo kamerové systémy, ktoré monitorujú verejne prístupné miesta (predajne, parkoviská a podobne), musia byť viditeľne označené pri každom vstupe do monitorovaného priestoru (napríklad pri chode, dverách atď.), tak pre kamerové systémy monitorujúce prevádzkové, výrobné či skladové priestory a prácu zamestnancov platia trochu iné pravidlá.
Tip experta: Monitorovanie zamestnancov na pracovisku by malo byť prerokované so zástupcami zamestnancov. Zamestnanci by mali byť o kamerovom systéme informovaní napríklad vnútropodnikovou smernicou. Plán monitorovaných priestorov by mal byť zverejnený na viditeľnom mieste, prístupnom zamestnancom. Tiež platí, že nemožno monitorovať priestory určené na oddych, kuchynky, šatne, sociálne miestnosti a podobne.
6. Zabúdanie na agendy, ktoré má každá firma
Firmy často zabúdajú v zázname o spracovateľských činnostiach uviesť, že osobné údaje spracúvajú aj na účely reklamácií, evidencie došlej a odoslanej pošty, korporátnej agendy (ide o evidenciu vlastníkov, štatutárov, zápisnice, výpisy z obchodného registra) a podobne.
Tip experta: Ak v zázname nie sú uvedené nedostatočné informácie a chýbajú tam účely spracovania, ktoré možno predpokladať v každej aktívnej firme, tak splnenie podmienok GDPR nebude v poriadku a treba ich tam doplniť.
7. Nedostatky pri sprostredkovateľských zmluvách
Väčšina firiem nespracúva osobné údaje sama, ale využíva služby externistov. Najčastejšie pri vedení účtovníctva a miezd. Takúto spoluprácu treba mať z pohľadu osobných údajov vyriešenú zmluvou. Firmy si často neuvedomujú, že vzťah prevádzkovateľ – sprostredkovateľ sa týka aj prípadnej spolupráce v oblasti bezpečnosti a ochrany zdravia pri práci (BOZP) a požiarnej ochrany (PO), pracovnej zdravotnej služby (PZS), preškoľovania vodičov, alebo hosťovania webovej stránky či správy reklamných kampaní v rámci online marketingu.
Tip experta: Zosúladenie spracúvania osobných údajov s GDPR predpokladá dôsledné vyriešenie zmlúv so všetkými sprostredkovateľmi.
8. Zabúda sa na informačnú povinnosť v rámci sociálnych sietí
Firmy, ktoré prevádzkujú fanúšikovské stránky na Facebooku a iných sociálnych sieťach, sú z pohľadu ochrany osobných údajov spoločnými prevádzkovateľmi týchto stránok (nejde teda o vzťah prevádzkovateľ a sprostredkovateľ). Ich povinnosťou je splniť si informačnú povinnosť voči dotknutým osobám (fanúšikom stránky), informovať ich prostredníctvom stránky o zásadách ochrany osobných údajov, byť pripravený na výkon ich práv a prípadnú oznamovaciu povinnosť.
Tip experta: Nestačí sa spoliehať na to, že si informačnú povinnosť plní samotná sociálna sieť, pokiaľ ide o stránku produktu, služby alebo značky, tieto povinnosti sa vzťahujú aj na jej správcu, teda na firmu, ktorá ju založila a spravuje ju.
9. Zverejňovanie údajov zamestnancov
Veľmi častým porušením pravidiel je zverejňovanie fotografií zamestnancov bez príslušného právneho titulu. Firmy by fotografie zamestnancov nemali zverejňovať, pokiaľ na to nemajú ich súhlas. V odôvodnených prípadoch môžu firmy namiesto súhlasu ako právny titul použiť oprávnený záujem, ale aj ten treba vedieť podložiť balančným testom, v ktorom firma preukáže, že jej záujem prevažuje nad záujmami zamestnanca, čo nemusí byť jednoduché. Rovnako by nemali ich fotografie používať vo firemných propagačných materiáloch, videách a podobne. Ak zamestnanec svoj súhlas dodatočne odvolá, nebudú sa dať vyrobené materiály použiť. Preto je lepšie využiť profesionálne služby a nákup fotografií, ktoré majú toto spracúvanie ošetrené zmluvou.
Tip experta: Na druhej strane však problémom nie je zverejnenie mena, priezviska a kontaktných údajov na pracovisku napríklad na vizitke či webovej stránke. Tieto údaje môže zamestnávateľ zverejniť v súlade so zákonom a nepotrebuje na to od zamestnanca súhlas.
10. Bezpečnosť komunikácie
Silným zlozvykom je vo firmách posielanie osobných údajov e-mailom. Zaslanie jedného životopisu alebo faktúry e-mailom ešte nemusí predstavovať riziko. Výmena údajov vo väčšom rozsahu, napríklad podklady pre mzdy s účtovníčkou či zoznamy odberateľov s reklamnou agentúrou, už isté riziko predstavujú.
E-mail je ako pohľadnica, ktokoľvek po ceste internetom, medzi poštovými servermi, si môže prílohy prečítať, skopírovať a zneužiť.
Tip experta: Z pohľadu GDPR je správne komunikáciu zašifrovať, alebo dáta zdieľať ukladaním na cloudové úložiská, ktoré sú šifrované (napríklad Microsoft OneDrive, SharePoint, Dropbox for Business, GoogleDrive a podobne). Je to pohodlné a v súlade s pravidlami ochrany osobných údajov.
