GDPR – čo musia plniť malí a strední podnikatelia

Súhlas so spracovaním údajov – samostatný dokument

Napriek početným metodickým usmerneniam Úradu na ochranu osobných údajov SR je dnes úplne bežné, že súhlas so spracovaním osobných údajov podnikatelia „zamaskujú“ do textu všeobecných obchodných podmienok. Zákazník teda akceptuje podmienky spracovania osobných údajov tak, že vyjadrí vôľu byť viazaný všeobecnými obchodnými podmienkami podnikateľa. Nové nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679), ktoré je všeobecne známe pod skratkou GDPR (z angl. General Data Protection Regulation) si kladie za cieľ tieto praktiky definitívne ukončiť.

Od mája tohto roku sa musí žiadosť o udelenie súhlasu prekladať zákazníkom tak, aby bola jasne odlíšiteľná od akýchkoľvek iných dokumentov týkajúcich sa iných skutočností. Žiadosť musí byť formulovaná zrozumiteľne, jasne a jednoducho a pokiaľ sa k nej musí zákazník prepracovať sám (napr. preklikať vo webovom rozhraní e-shopu), musí byť jej text ľahko dostupný.

Poskytnutím súhlasu zároveň nesmie byť podmienené uzatvorenie zmluvy so zákazníkom. Žiadosť o udelenie súhlasu by teda mala byť formálne oddelená od inej zmluvnej dokumentácie. Ak zákazníkom predkladáte obchodné podmienky na podpis v listinnej forme, nemal by byť súhlas zahrnutý v ich texte; ideálne by mal tvoriť samostatnú listinu, z ktorej bude vyplývať, že ju zákazník môže, ale nemusí akceptovať. Pokiaľ fungujete ako internetový obchod, zabezpečte, aby zákazník klikal na samostatné políčko pre súhlas s obchodnými podmienkami a na samostatné políčko pre súhlas so spracovaním osobných údajov.

Pamätajte, že zákazník musí vysloviť súhlas vždy vo vzťahu ku konkrétnemu účelu spracovania. V drvivej väčšine prípadov sa malým či stredným podnikateľom udeľuje súhlas pre spracovanie na marketingové a reklamné účely. Súhlas nepotrebujete len pre prípad, keď chcete zákazníkov kontaktovať s cielenými obchodnými ponukami. Mali by ste ho mať napríklad aj na ich zaradenie do databázy zákazníkov – fyzických osôb, s ktorými si pestujete dobré obchodné vzťahy tak, že im z času na čas (typicky na Vianoce) zasielate malé pozornosti (tzv. prezenty).

• VYPOČÍTAJTE SI VAŠU ČISTÚ MZDU NA NAŠEJ KALKULAČKE

Nové pravidlá vo vzťahu k neplnoletým

GDPR výrazne posilňuje aj ochranu osobných údajov maloletých detí. V tomto smere by mali spozornieť podnikatelia, ktorí žiadajú o súhlas so spracovaním osobných údajov v súvislosti s ponukou služieb tzv. informačnej spoločnosti. Platí to najmä pre rôzne e-shopy, ktoré od svojich zákazníkov žiadajú súhlas so spracovaním osobných údajov pre už spomínané marketingové účely.

Po nadobudnutí účinnosti novej právnej úpravy bude spracovanie osobných údajov na základe súhlasu dieťaťa v súlade so zákonom len vtedy, ak bude mať dieťa viac ako 16 rokov. Ak pôjde o mladšie dieťa, musí súhlas so spracovaním osobných údajov pre marketingové účely vyjadriť alebo schváliť rodič (prípadne iný zákonný zástupca dieťaťa – napr. osvojiteľ). Elektronické formy komunikácie sú zradné v tom, že umožňujú skryť identitu toho, kto komunikuje. E-shopy teda nemôžu osobu, ktorá sa tvári ako dospelá, pohodlne legitimovať a overiť tak pravdivosť tvrdenia o jej veku. Ťažko budú preverovať aj skutočnosť, či rodič naozaj schválil udelenie súhlasu so spracovaním údajov. Napriek tomu však GDPR kladie podmienku, aby bolo vynaložené primerané úsilie k overeniu, že rodič buď priamo vyjadril súhlas so spracovaním osobných údajov dieťaťa, alebo ho schválil.

Spomínané primerané úsilie môže vyzerať aj tak, že prevádzkovateľ e-shopu sa zákazníka pri udeľovaní súhlasu so spracovaním osobných údajov výslovne spýta, či má menej ako 16 rokov; zákazníci, ktorí zaškrtnú, že majú menej ako 16 rokov, následne výslovne prehlásia, že požiadali svojho zákonného zástupcu o súhlas so spracovaním svojich osobných údajov (pre požadovaný účel) a zákonný zástupca súhlas udelil. Prehlásenie by opäť mohlo byť riešené formou zaškrtávacieho políčka.

Na záver len dodajme, že ak ustanovenia GDPR o ochrane osobných údajov maloletých detí nebudú splnené, hrozí pokuta až do 2 % z celosvetového ročného obratu za predchádzajúci účtovný rok, resp. 10 000.000,- EUR (podľa toho, ktorá suma je vyššia).

GDPR a zamestnanci

V súvislosti s problematikou ochrany osobných údajov zamestnancov vydala tzv. pracovná skupina WP 29 (nezávislý európsky poradný orgán pre otázky ochrany údajov a súkromia) stanovisko, ktoré sa dotýka aj úpravy v GDPR.

Z praktických rád, ktoré skupina udeľuje v súvislosti s výkladom GDPR vo vzťahu k ochrane súkromia v zamestnaní, spomeňme najmä odporúčania ku kontrole zamestnancov na sociálnych sieťach, ktorú dnes (často len zo zvedavosti) fakticky realizuje temer každý menší zamestnávateľ.  

Uchádzačov o zamestnanie vo vašej firme nemôžete kontrolovať na sociálnych sieťach typu facebook, a to ani vtedy, ak majú tzv. verejné profily. Kontrola je prípustná len vtedy, keď je to potrebné pre posúdenie osobitných rizík vo vzťahu k uchádzačovi o konkrétnu funkciu; uchádzač musí byť o kontrole zároveň náležitým spôsobom informovaný (napr. v inzeráte pracovnej ponuky). Zákaz monitorovania profilu na sociálnych sieťach platí aj vo vzťahu k zamestnancom; zakázané je aj vyžadovanie, aby si vás zamestnanec pridal do okruhu priateľov.

Zdroj foto: shutterstock