GDPR v praxi: čo musí mať každá firma skutočne v poriadku
Pokuta 20 miliónov eur alebo 4 % z celosvetového ročného obratu. To nie je strašenie, to sú reálne sankcie, ktoré môže Úrad na ochranu osobných údajov SR (ÚOOÚ) udeliť za porušenie GDPR. A pritom väčšina slovenských malých a stredných firiem stále pristupuje k ochrane osobných údajov štýlom: "máme podpísané súhlasy, to by malo stačiť." Nestačí. Poďme sa pozrieť, čo reálne musí mať vaša firma v poriadku a ako si vybrať najlepší spôsob, ako sa o to postarať.
Čo GDPR od firmy vlastne vyžaduje?
GDPR (General Data Protection Regulation) platí pre každú firmu, ktorá spracúva osobné údaje fyzických osôb. To v praxi znamená takmer všetkých. Evidujete zákazníkov? Máte zamestnancov? Posielate newsletter? Prevádzkujete e-shop alebo webovú stránku s kontaktným formulárom? Potom ste povinní dodržiavať GDPR bez ohľadu na to, či máte jedného alebo sto zamestnancov.
Základné povinnosti zahŕňajú:
- Vedenie záznamu o spracovateľských činnostiach (tzv. ROPA)
- Právny základ pre každé spracúvanie osobných údajov
- Informačné povinnosti voči dotknutým osobám (zákazníci, zamestnanci)
- Zmluvy so sprostredkovateľmi (napr. účtovník, marketingová agentúra, cloudový poskytovateľ)
- Nastavenie technických a organizačných bezpečnostných opatrení
- Postup pri bezpečnostnom incidente (únik dát)
- Politika uchovávania a likvidácie údajov
Otázka pre vás: Viete teraz povedať, na akom právnom základe spracúvate e-mailovú adresu vášho posledného zákazníka? Ak nie, pravdepodobne tu existuje medzera, ktorú treba vyplniť.
Interné riadenie GDPR vs. externý odborník: v čom sa líšia?
Firmy dnes riešia GDPR dvoma základnými spôsobmi. Buď si všetko riadia sami (zvyčajne poverená osoba interne), alebo si najímajú externého DPO (Data Protection Officer) či IT partnera. Každý prístup má svoje silné stránky aj riziká.
Interné riadenie GDPR
Poverený zamestnanec alebo konateľ sa stará o dokumentáciu, súhlasy a bezpečnosť údajov. Výhodou je priama znalosť firemných procesov. Nevýhodou je časová náročnosť, riziko zastaranej dokumentácie a absentujúci expertný pohľad pri incidentoch.
Objednať IT audit →Externý DPO / IT partner
Špecializovaný externý partner zabezpečuje priebežný dohľad, aktualizáciu dokumentácie a poradenstvo pri incidentoch. Firma sa môže sústrediť na podnikanie. Vyžaduje dobrú komunikáciu a odovzdanie interných procesov. Typická voľba pre rastúce firmy.
Pozrieť IT outsourcing →Prehľad výhod a nevýhod oboch prístupov
| Kritérium | Interné riadenie | Externý partner |
|---|---|---|
| Znalosť firemných procesov | Vysoká | Treba zaškoliť |
| Odborná aktuálnosť | Závisí od aktivity internej osoby | Pravidelne aktualizovaná |
| Riešenie incidentov | Pomalšie, menej skúseností | Rýchle a štandardizované |
| Časová záťaž na firmu | Vysoká | Nízka |
| Vhodnosť pre malé firmy | Áno, pri nízkej dátovej záťaži | Áno, najmä pri raste |
| Dokumentácia | Často zastaraná | Priebežne aktualizovaná |
Kde firmy najčastejšie zlyhávajú?
Na základe skúseností z praxe a usmernení ÚOOÚ sú najčastejšie medzery v týchto oblastiach:
- Chýbajúce alebo neaktuálne zmluvy so sprostredkovateľmi. Ak vaša účtovná firma, HR softvér alebo e-mailová platforma spracúva osobné údaje za vás, musíte mať s nimi podpísanú sprostredkovateľskú zmluvu podľa čl. 28 GDPR.
- Nesprávna politika cookies. Analytické a marketingové cookies vyžadujú aktívny súhlas, nie iba informáciu v pätičke webu.
- Absencia postupu pri bezpečnostnom incidente. Ak dôjde k úniku dát, máte 72 hodín na nahlásenie ÚOOÚ. Väčšina firiem nemá tento postup zdokumentovaný.
- Dlhé uchovávacie doby. Ak ste e-mailový kontakt dostali pred piatimi rokmi a od tej doby ste s ním nekomunikovali, veľmi pravdepodobne ho nemáte právo ďalej uchovávať.
Technické opatrenia, na ktoré sa zabúda
GDPR nie je len o papieroch. Článok 32 nariadenia vyžaduje primerané technické a organizačné opatrenia. V praxi to znamená šifrovanie diskov a príloh, nastavenie prístupových práv (kto vidí čo), zálohovanie s testovaním obnovy, zabezpečená firemná e-mailová komunikácia a pravidelné aktualizácie softvéru a operačných systémov. Ak vaša firma stále používa neaktualizované systémy, ide o reálne riziko aj z pohľadu GDPR. Pri tejto príležitosti sa oplatí prečítať aj náš článok o tom, kedy sa oplatí zmena medzi IT outsourcingom a interným IT-čkárom, pretože práve pri GDPR technickej stránke je rozdiel v odbornosti badateľný.
Ak si nie ste istí stavom vašej IT infraštruktúry, odporúčame začať IT auditom, ktorý odhalí konkrétne slabé miesta vrátane tých relevantných pre GDPR. Pre firmy, ktoré riešia komplexnejšiu firemnú správu IT, je výhodou, keď IT partner pozná celé prostredie a dokáže GDPR technické opatrenia riešiť systémovo.
Odporúčanie podľa typu firmy
Nie každá firma potrebuje rovnaké riešenie. Tu je stručný prehľad, čo odporúčame:
- Živnostník alebo mikrofirma (1 až 5 ľudí, minimum osobných údajov): Základná dokumentácia zvládnuteľná interne, ideálne s jednorázovou konzultáciou odborníka na nastavenie. Využite šablóny od ÚOOÚ.
- Malá firma (5 až 30 zamestnancov, e-shop, klienti): Odporúčame kombináciu: interná zodpovedná osoba plus externý IT partner pre technickú stránku. Pravidelný audit aspoň raz ročne.
- Stredná firma (30+ zamestnancov, citlivé údaje, viacero systémov): Externý DPO alebo IT partner s komplexnou správou. Ak spracúvate citlivé kategórie údajov (zdravie, financie), zvážte aj posúdenie vplyvu na ochranu údajov (DPIA). Inšpiráciou môže byť aj článok o externej správe IT a kedy sa firmám na Slovensku skutočne oplatí.
- Startup s rastovými ambíciami: Budujte správne návyky od začiatku. GDPR compliance je oveľa lacnejšie zaviesť hneď ako napravovať neskôr. Prečítajte si aj náš pohľad na škálovateľnú IT infraštruktúru pre startupy.
Zistite, kde má vaša firma medzery
IT audit odhalí konkrétne riziká v oblasti GDPR aj celkovej IT bezpečnosti vašej firmy, a to skôr ako to urobia kontrolóri.
Objednať IT auditAlebo nám rovno zavolajte. Úvodná konzultácia je u nás zadarmo:
📞 +421 948 07 97 07 · ✉️ linka@itpomoc.sk
O IT POMOC
IT POMOC je slovenská IT spoločnosť so sídlom v Bratislave (Čajakova 26), pôsobíme aj vo Viedni a Karlových Varoch. Máme za sebou 30+ rokov skúseností a viac ako 600 spokojných klientov v EÚ. Sme certifikovaní podľa ISO 27001 a ISO 9001. Veríme, že IT sa dá robiť aj s vášňou a úsmevom, a že najlepšia IT správa je tá, o ktorej viete len to, že nemáte žiadne problémy.
Čo by vás ešte mohlo zaujímať
Musím mať ako malá firma zodpovednú osobu (DPO)?
Nie každá firma má povinnosť menovať zodpovednú osobu. DPO je povinný pre orgány verejnej moci, firmy, ktoré systematicky monitorujú dotknuté osoby vo veľkom rozsahu, alebo spracúvajú citlivé kategórie údajov vo veľkom rozsahu. Aj keď nie ste povinní, vymenúvanie zodpovednej osoby alebo spolupráca s externým odborníkom je osvedčená prax, ktorá vám ušetrí problémy.
Čo sa stane, ak príde kontrola od ÚOOÚ a nie som pripravený?
ÚOOÚ môže uložiť pokutu, vydať napomenutie alebo nariadiť dočasné obmedzenie spracúvania údajov. Pri menej závažných porušeniach začína úrad spravidla napomenutím a výzvou na nápravu, pri závažných alebo opakovaných porušeniach však nasledujú finančné sankcie. Najlepšia obrana je preukázateľná snaha o súlad a aktuálna dokumentácia.
Stačí, ak mám na webe len banner s cookies a odkaz na súkromie?
Nie, cookie banner a zásady ochrany súkromia sú len jednou časťou GDPR. Okrem nich potrebujete právny základ pre každé spracúvanie, zmluvy so sprostredkovateľmi, interné záznamy o spracovateľských činnostiach a bezpečnostné opatrenia. Web je viditeľná vrstva, ale podstatná časť GDPR sa odohráva vo vnútri firmy.
Ako často treba aktualizovať GDPR dokumentáciu?
Dokumentáciu by ste mali aktualizovať vždy, keď sa zmení spôsob, akým spracúvate osobné údaje. Napríklad keď zavedete nový CRM systém, začnete posielať newsletter, zmeníte dodávateľa alebo rozšírite tím. Odporúča sa aj ročná kontrola celej dokumentácie, aby odrážala aktuálny stav firmy a prípadné zmeny v legislatíve.
Potrebujete pomôcť s IT vo vašej firme?
Kontaktujte nás pre nezáväznú konzultáciu.