Som malý podnikateľ alebo živnostník - čo by som mal vedieť o GDPR?

14.03.2019

Nariadenie Európskeho parlamentu a Rady EÚ známe ako GDPR vstúpilo do platnosti 25. mája 2018. Ak ste vlastníkom malej firmy alebo živnostníkom a nestihli ste termín, netreba zúfať, všetko sa stále dá vyriešiť. Konať by ste však mali vo vlastnom záujme čo najskôr. V tomto stručnom prehľade si povieme, čo by ste mali vedieť o GDPR a prečo je to dôležité.

Napriek osvete naprieč médiami sa medzi samostatne hospodáriacimi živnostníkmi a malými podnikateľmi nájdu aj takí, ktorí nepovažujú riešenie GDPR za dôležité a myslia si, že sa týka skôr veľkých spoločností, prípadne nadnárodných koncernov. 

Toto tvrdenie sa však nezakladá na skutočnosti a GDPR sa týka skutočne aj toho najmenšieho živnostníka, ktorý nejakým spôsobom spracúva osobné údaje. Stačí, keď si vypýta od svojho zákazníka fakturačné údaje. Už v tomto momente sa stáva prevádzkovateľom osobných údajov. 

Ak tieto údaje navyše posunie svojej externej účtovníčke, táto sa stáva sprostredkovateľom osobných údajov a je potrebné, aby s ňou uzatvoril sprostredkovateľskú zmluvu. V nej musí presne zadefinovať, akým spôsobom, v akom rozsahu a na akú dlhú dobu môže sprostredkovateľ (účtovníčka) spracúvať osobné údaje, ktoré ste jej poskytli ako prevádzkovateľ. Inými slovami, účtovníčka môže spracúvať osobné údaje len tak, ako ste jej to určili a dovolili. Aby ste lepšie pochopili pojmy, môžete si prečítať aj článok Prevádzkovateľ vs sprostredkovateľ - aký je medzi nimi rozdiel?

Ďalším omylom, ktorý sa všeobecne stále dosť traduje, je predpoklad, že Úrad na ochranu osobných údajov bude kontrolovať len "tých veľkých" hráčov a malé firmy a živnostníkov nechajú inšpektori na pokoji. Nuž, ani toto, žiaľ, nie je pravda. Pokojne sa môžete stať predmetom námatkovej kontroly, aj ak máte jednoosobovú s.r.o.-čku bez zamestnancov.

V tejto súvislosti sa žiada uviesť vcelku trefný a priamočiary odkaz súčasnej predsedníčky Úradu na ochranu osobných údajov Sone Pőtheovej :

GDPR sa týka každého podnikateľa! Niektorého viac, niektorého menej. Samozrejme validné premenné sú počet informačných systémov, počet zamestnancov, štruktúra firmy a tak ďalej ... 

Moloch menom GDPR - malým podnikom sa môže zdať náročný!

GDPR je jednou z najväčších a najrozsiahlejších právnych úprav riešiacich ochranu osobných údajov v globálnom meradle - a všetky podniky musia mať svoje procesy a dokumenty nastavené a vypracované tak, aby boli v súlade s GDPR. Ako sme už spomínali, toto nariadenie nadobudlo účinnosť 25. mája 2018 aj spolu s novým slovenským Zákonom č. 18/2018 Z.z. o ochrane osobných údajov a uplatňuje sa na všetky spoločnosti, ktoré sa zaoberajú osobnými údajmi občanov v rámci Európskej únie bez ohľadu na veľkosť, odvetvie alebo krajinu pôvodu podnikania.

Zabezpečenie súladu s GDPR sa môže zdať obzvlášť náročné pre vlastníkov malých podnikov, ktorí nedisponujú toľkými finančnými zdrojmi, aby si mohli dovoliť zaplatiť si predražené riešenie u špecializovaných firiem zaoberajúcich sa implementáciou GDPR. Takisto nie je správnou voľbou siahnuť po príliš lacných riešeniach v podobe vzorov zmlúv. Tie nemusia presne sedieť na vašu spoločnosť, ani na procesy, ktoré v nej prebiehajú. Navyše, pred samotnou implementáciou GDPR, je potrebné prostredníctvom auditu a konzultácií zistiť, čoho presne sa GDPR vo vašej firme týka a na základe toho stanoviť požiadavky na súlad. Potom nasleduje samotná implementácia. Taký je korektný postup. A na základe tejto "mustry" viete určiť, že ide o solídne riešenie, na ktoré sa môžete plne spoľahnúť.

Čo by mali majitelia malých podnikov vedieť o GDPR a prečo je to dôležité?

Členské štáty EÚ navrhli GDPR v roku 2012, aby vytvorili konzistentný legislatívny rámec pojednávajúci o ochrane osobných údajov. Ustanovenia GDPR určujú, že:

  • každý, kto sa zaoberá spracovaním údajov spotrebiteľov v EÚ vrátane subjektov tretích strán zapojených do spracovania údajov, môže byť zodpovedný za porušenie ustanovení zakotvených v GDPR.
  • keď dotknutá osoba (= osoba, ktorej údaje sú spracúvané) už nechce, aby spoločnosť spracúvala jej osobné údaje, musia sa vymazať.
  • spoločnosti, ktoré zhromažďujú údaje o zákazníkoch alebo spracúvajú citlivé údaje vo veľkom rozsahu, majú povinnosť určiť zodpovednú osobu (= akéhosi styčného dôstojníka pre ochranu osobných údajov). Toto sa však väčsinou - a naštastie - netýka malých a stredných podnikov.
  • spoločnosti aj živnostníci musia národnému orgánu (Úradu na ochranu osobných údajov SR) oznámiť vážne porušenie ochrany údajov, alebo ich únik do 72 hodín od zistenia takéhoto tzv. bezpečnostného incidentu.
  • pre deti do veku 16 rokov je na spracúvanie ich osobných údajov potrebný súhlas rodiča alebo iného zákonného zástupcu.
  • dotknuté osoby majú právo na prenos údajov, aby mohli ľahko prenášať svoje údaje medzi rôznymi, hlavne webovými službami (= majú však aj ďalšie rôzne práva, ktorým sa pozrieme bližšie na zúbky v inom článku).

Dôsledky týchto rozsiahlych požiadaviek na dodržiavanie predpisov pre menšie podniky poukazujú na potrebu stratégie pripravenosti na GDPR.

Miera kompatibility s GDPR?

Potrebujete mať skontrolované a aktualizované bezpečnostné opatrenia aj bezpečnostnú smernicu na ochranu osobných údajov, ktoré sú kompatibilné s GDPR. Ak vaša firma nemá bezpečnostnú smernicu (= smernicu o ochrane osobných údajov), je nevyhnutné ju vyhotoviť, a to tak, že bude používať postupy v súlade s pravidlami GDPR. Na ochranu osobných údajov v informačných systémoch sa odporúča používať šifrovanie. Tento bod netreba zanedbať, pretože môže pomôcť vašej firme vyhnúť sa veľkým pokutám v prípade bezpečnostného incidentu.

  • Pripravte sa na žiadosti o prístup k údajom od dotknutých osôb, ale aj uplatňovanie iných ich práv. GDPR stanovuje, že dotknuté osoby majú právo na prístup k svojim údajom, právo opraviť nepresné údaje, namietať spracúvanie ich údajov, alebo dokonca právo žiadať úplne vymazať svoje údaje. Takéto žiadosti musia byť spracované a ukončené v požadovanom časovom rámci (spravidla do jedného mesiaca). Musíte tiež svojich zákazníkov a iné dotknuté osoby informovať o tom, ako narábate s ich údajmi. Musíte im posktytnúť odpovede na otázky ako a prečo vaša spoločnosť spracúva ich osobné údaje, kto má k nim prístup a ako dlho vaša spoločnosť uchováva tieto údaje.
  • V prípade potreby súhlasu so spracúvaním osobných údajov (pretože právnych základov na spracúvanie je podľa GDPR oveľa viac, ako v minulosti a súhlas je viacmenej poslednou inštanciou = o tom neskôr), musí byť takýto súhlas jasný, konkrétny, preukázateľný, informovaný, slobodný a kedykoľvek odvolateľný. Vysvetlenie všetkých týchto "atribútov" súhlasu presahuje rozsah tohto článku, takže do podrobností nebudeme zachádzať. Vaši zákazníci by si mali byť schopní vybrať, či sa budú nachádzať vo vašom mailing liste alebo nie a taktiež by mali mať kontrolu nad tým, ako používate ich údaje. Podľa GDPR musí byť súhlas vo forme žiadosti oddelenej od ostatných podmienok (= nesmie sa napríklad spájať dohromady so všeobecnými obchodnými podmienkami, čo bolo donedávna a ešte, žiaľ, aj je bežnou praxou). Ak vám dá zákazník napríklad súhlas na zasielanie newslettera, nedáva vám to ako malému podnikateľovi možnosť používať jeho údaje na niečo iné. Jednotlivci by tiež mali vedieť, ako sa odhlásiť z vášho mailing listu a ako postupovať, ak chcú vymazať všetky svoje údaje z vašej databázy.
  • Pri príprave na riešenie GDPR compliance pre vašu firmu treba spraviť úvodnú konzultáciu, aby ste pochopili predpisy o ochrane osobných údajov a ako by mohli ovplyvniť vaše podnikanie. Treba zhodnotiť už existujúce postupy a procesy vo vašej firme a zistiť, kde je zhoda a kde, naopak, bude potrebné urobiť zmeny v procesoch aj dokumentácii, aby bolo všetko kóšer podľa GDPR. Objednajte sa ešte dnes na bezplatnú úvodnú konzultáciu.

Zodpovedné osoby, školenia zamestnancov a dodávateľský reťazec

Vaša malá firma nemusí potrebovať zodpovednú osobu (DPO = Data Protection Officer) na plný úväzok, ak vaše podnikanie nespracúva veľké objemy osobných údajov. GDPR však zavádza povinnosť poveriť konkrétnu osobu alebo osoby na spracúvanie údajov. Môže to byť váš zamestnanec, konateľ, spoločník, ale aj externý dodávateľ. Takáto osoba bude potom údaje spracovávať výlučne na základe vášho poverenia a len na základe vašich pokynov ako prevádzkovateľa. V kocke je to jednoduché: akejkoľvek osobe, ktorá má prístup k osobným údajom, musíte dať písomné poverenie na spracúvanie, poučiť ju a dať jej jasné pokyny o podmienkach spracúvania osobných údajov, ktoré musí dodržiavať.

Podľa GDPR musia podniky rýchlo zistiť závažné porušenie pravidiel a do 72 hodín o tom informovať príslušné orgány. Ak máte zamestnancov, ich zaškolenie môže naučiť každého vo vašom podniku, čo predstavuje porušenie osobných údajov a ako ho identifikovať. Zamestnanci by mali tiež chápať potrebu oznámiť chyby alebo porušenie osobe zodpovednej za ochranu údajov veľmi promptne, aby sa vyhovelo 72-hodinovému oknu na oznamovanie.

Potrebné je aj skontrolovať vaše zmluvy s dodávateľmi tretích strán, ktorí tiež musia dodržiavať nové predpisy. Musíte vedieť, ako budú tieto tretie strany ukladať, spracovávať a pristupovať k údajom vašej firmy. Je nevyhnutné poznať, aké postupy má vypracované váš obchodný partner na splnenie predpisov a ako sa táto spoločnosť bude zaoberať porušeniami. Dokonca aj v prípade, že tretia strana nesprávne spracúva údaje, vaša spoločnosť by mohla byť sankcionovaná. Jednoducho povedané, musíte mať prehľad o dátových tokoch do vašej firmy, v rámci nej, ale aj z nej či mimo nej.

Prečo nie je dobré podceniť GDPR?

Môžeme ísť od pokút až po nároky na odškodnenie od dotknutých osôb. To všetko sú vážne dôvody, aby sa vaša spoločnosť stala kompatibilnou s nariadením GDPR. Nedodržanie pravidiel GDPR môže priniesť nemalé pokuty, pričom strop sa uvádza až do výšky 20 miliónov eur alebo 4% ročných príjmov spoločnosti, podľa toho, ktorá hodnota je vyššia, dokonca aj v prípade, že nedodržanie je náhodné

Aby sme však uviedli veci na pravú mieru, Úrad na ochranu osobných údajov SR pokutu nemusí udeliť pri každom porušení. Ak nejde o nič závažné, môže nariadiť prijatie opatrení na nápravu zistených nedostatkov. Ak sa rozhodne predsa uložiť pokutu, zohľadní okolnosti každého individuálneho prípadu tak, aby výška pokuty bola síce primeraná, ale na druhej strane účinná a odrádzajúca. Takže učičíkať sa, že "to snáď nebude také zlé" a zaspať na vavrínoch nie je vôbec dobrá stratégia.

Pre malé spoločnosti s neustálymi naliehavými operatívnymi prioritami nemusí byť GDPR hlavným cieľom. Ale nikto nechce, aby boli jeho údaje stratené, ukradnuté, poškodené, zneužité alebo zdieľané bez jeho súhlasu. Ak budete robiť všetko, čo môžete, aby ste ochránili osobné údaje svojich zákazníkov, môže to byť jedinečným predajným motívom, ktorý môžete využiť na zvýšenie hodnoty vašej firmy a rešpektu voči vášmu brandu.

Preukázať potenciálnym a existujúcim zákazníkom, že vaša firma je v súlade s novými pravidlami ochrany osobných údajov nielenže zabráni nákladným chybám, ale zároveň dokazuje vašu snahu získať si dôveru vašich zákazníkov a byť spoločnosťou, ktorá rešpektuje dôležitosť náležitej ochrany osobných údajov.

Bc. Rastislav Teplánský