Domov / Tipy a rady / GDPR v praxi: čo musí mať každá firma v poriadku
IT Poradenstvo

GDPR v praxi: čo musí mať každá firma v poriadku

GDPR v praxi: čo musí mať každá firma v poriadku

Pokuta 20 miliónov eur. Alebo 4 % z celosvetového ročného obratu. To sú maximálne sankcie, ktoré hrozí firmám za porušenie GDPR. A hoci v praxi dostávajú takéto pokuty skôr veľké korporácie, malé firmy nie sú imúnne. Úrad na ochranu osobných údajov SR (ÚOOÚ) aktívne vyšetruje sťažnosti a kontroly pribúdajú. Otázka teda nestojí, či sa vás GDPR týka. Stojí tak, či ho máte skutočne v poriadku.

Prečo GDPR nie je len "papierovačka"

Mnohí majitelia firiem si myslia, že GDPR splnili tým, že niekde podpísali zmluvu a pridali cookie lištu na web. Realita je iná. GDPR je živý, každodenný proces, nie jednorazová akcia.

Každý deň vaša firma spracúva osobné údaje. E-maily od zákazníkov, faktúry s menami, záznamy zo kamerového systému, databáza zamestnancov. Každý z týchto procesov má pravidlá. A ak ich nespĺňate, vystavujete sa riziku, aj keď o tom neviete.

Otázka pre vás: Vedeli by ste dnes odpovedať na otázku zákazníka: "Aké moje údaje máte uložené a kde?" Máte na to odpoveď do 30 dní, inak porušujete zákon.

Čo konkrétne musíte mať v poriadku

Nie je možné pokryť všetko v jednom článku, no existuje niekoľko oblastí, kde firmy robia chyby najčastejšie.

Dokumentácia a záznamy o spracovateľských činnostiach

Každá firma, ktorá pravidelne spracúva osobné údaje, musí viesť záznamy o spracovateľských činnostiach. Ide o dokument, ktorý popisuje, aké údaje zbieráte, prečo, ako dlho a kto k nim má prístup. Väčšina malých firiem tento dokument nemá vôbec.

Právne základy spracúvania

Na každý účel spracovania osobných údajov musíte mať právny základ. Súhlas je len jeden z nich. Okrem súhlasu existuje napríklad plnenie zmluvy, zákonná povinnosť alebo oprávnený záujem. Ak nevieš, na akom základe spracúvate konkrétne údaje, to je problém.

Technické a organizačné opatrenia

GDPR nevyžaduje len papiere. Vyžaduje aj reálne zabezpečenie údajov. To znamená šifrované disky, správu prístupových práv, pravidelné zálohovanie a riešenie incidentov. Ak máte starý server bez šifrovania alebo zdieľate firemné heslá cez WhatsApp, ste v zóne rizika.

Práve tu sa GDPR stretáva s IT infraštruktúrou vašej firmy. Viac o tom, ako správne nastaviť firemnú IT bezpečnosť, nájdete v článku IT stratégia pre malú firmu: jednoduchý návod.

Zmluvy so spracovateľmi

Používate účtovný softvér v cloude? Externé marketingové nástroje? HR systém? Každá tretia strana, ktorá pracuje s osobnými údajmi vašich zákazníkov alebo zamestnancov, musí byť zmluvne zaviazaná podľa GDPR. Tieto zmluvy sa volajú spracovateľské zmluvy a ich absencia je jednou z najčastejších chýb.

83 %
malých a stredných firiem v EÚ podľa prieskumov ENISA nemá kompletné technické opatrenia v súlade s požiadavkami GDPR. Ide o oblasti ako šifrovanie, správa prístupov a plány obnovy po incidente.

Kde vznikajú problémy, ktoré vás môžu bolieť

Z pohľadu praxe vidíme u firiem stále rovnaké slabé miesta. Nie sú to len právne dokumenty, ale aj každodenné IT procesy.

  • Kamerové systémy bez informačných tabúľ a bez záznamu o dobe uchovávania.
  • E-mailový marketing posielaný bez platného súhlasu alebo bez možnosti odhlásenia.
  • Zamestnanci s prístupom k údajom, ku ktorým prístup nepotrebujú.
  • Zabudnuté účty bývalých zamestnancov, ktoré stále fungujú v systémoch.
  • Chýbajúci plán pre prípad úniku dát. GDPR vyžaduje nahlásiť incident ÚOOÚ do 72 hodín.

Tieto chyby nie sú výnimkou. Sú pravidlom. A práve preto odporúčame každej firme začať IT auditom, ktorý odhalí skutočný stav vašej infraštruktúry a procesov.

Audit

IT audit a GDPR analýza

Zistíme, kde presne máte medzery. Prejdeme technické zabezpečenie, dokumentáciu aj procesy a dostanete konkrétne odporúčania.

Pozrieť službu →
Správa IT

Firemná správa IT

Nemusíte riešiť IT sami. Staráme sa o vašu infraštruktúru, bezpečnosť aj súlad so zákonom dlhodobo a systematicky.

Pozrieť službu →

GDPR nie je DIY úloha

Toto je dôležité pochopiť. GDPR má právnu aj technickú rovinu. Ani skúsený účtovník, ani váš IT kolega ju sám nezvládne celú. Na to, aby ste boli skutočne v súlade, potrebujete kombináciu právneho a IT know-how.

Ak riešite otázku, či má vaša firma vlastného IT špecialistu alebo využiť externú pomoc, prečítajte si porovnanie v článku Kedy potrebujete vlastného IT pracovníka vs externú firmu.

Dobrou správou je, že väčšina firiem dá svoje GDPR do poriadku relatívne rýchlo, ak vedia, kde sú medzery. Problém je práve toto zistenie. Na to slúži audit. A na dlhodobé udržiavanie súladu slúži IT outsourcing, kde sa o technickú časť stará niekto iný a vy sa sústredíte na biznis.

Ak chcete vedieť viac o tom, čo GDPR v praxi vyžaduje, odporúčame priamo stránku Úradu na ochranu osobných údajov SR (ÚOOÚ), kde nájdete aktuálne usmernenia aj príklady z praxe.

Zistite, či ste GDPR v poriadku

Urobíme audit vašej IT infraštruktúry a odhalíme, kde presne máte medzery predtým, než to urobí kontrola.

Chcem IT audit

Alebo nám rovno zavolajte. Úvodná konzultácia je u nás zadarmo:
📞 +421 948 07 97 07  ·  ✉️ linka@itpomoc.sk

O IT POMOC

IT POMOC je slovenská IT spoločnosť so sídlom v Bratislave (Čajakova 26), pôsobíme aj vo Viedni a Karlových Varoch. Máme za sebou 30+ rokov skúseností a viac ako 600 spokojných klientov v EÚ. Sme certifikovaní podľa ISO 27001 a ISO 9001. Veríme, že IT sa dá robiť aj s vášňou a úsmevom, a že najlepšia IT správa je tá, o ktorej viete len to, že nemáte žiadne problémy.

Čo by vás ešte mohlo zaujímať

Musím mať zodpovednú osobu (DPO) aj keď mám malú firmu?

Nie každá firma musí menovať zodpovednú osobu (Data Protection Officer). Povinnosť vzniká napríklad vtedy, ak spracúvate osobné údaje vo veľkom rozsahu, pravidelne monitorujete osoby (napríklad kamerovým systémom vo veľkej prevádzke) alebo spracúvate citlivé kategórie údajov (zdravotné záznamy, biometrické údaje). Väčšina malých firiem DPO nepotrebuje, no odporúča sa konzultácia s odborníkom, aby ste mali istotu.

Čo sa stane, ak dôjde k úniku údajov?

Pri incidente, ktorý predstavuje riziko pre práva fyzických osôb, máte povinnosť nahlásiť ho ÚOOÚ do 72 hodín od zistenia. Ak incident ohrozuje aj samotné dotknuté osoby, musíte informovať aj ich. Preto je kľúčové mať vopred pripravený plán, kto čo robí a v akom čase. Improvizácia pri úniku dát je drahá, a to vo viac ako jednom zmysle.

Stačí mať na webe cookie lištu a vyhlásenie o ochrane súkromia?

Nie, ani zďaleka. Cookie lišta a zásady ochrany súkromia sú len viditeľná časť GDPR. Za nimi musí stáť skutočná ochrana: zabezpečené systémy, zmluvy so spracovateľmi, interné procesy a dokumentácia. Bez toho sú to len prázdne texty, ktoré vás pred pokutou nechránia.

Ako dlho môžeme uchovávať osobné údaje zákazníkov?

Údaje môžete uchovávať len tak dlho, kým trvá účel, na ktorý boli zhromaždené. Napríklad faktúra s osobnými údajmi sa uchováva z daňových dôvodov 10 rokov. Kontakty na marketingové účely len pokiaľ trvá súhlas. Každá kategória údajov by mala mať stanovenú dobu uchovávania v internej dokumentácii. Ak to nemáte nastavené, pravdepodobne uchovávate údaje dlhšie, než smíete.

Potrebujete pomôcť s IT vo vašej firme?

Kontaktujte nás pre nezáväznú konzultáciu.

+421 948 07 97 07 linka@itpomoc.sk
Zdieľaj:
29. Máj 2026 Autor: Peter Šrůtek
📞 Zavolať nám