GDPR (General Data Protection Regulation)

Všeobecné nariadenie o ochrane údajov je nariadenie, ktorým Európsky parlament, Rada Európskej únie a Európska komisia zamýšľajú posilniť a zjednotiť ochranu údajov pre všetkých jednotlivcov v rmci EÚ. Týka sa to aj vývozu osobných údajov mimo EÚ.

Hlavnými cieľmi GDPR je poskytnúť kontrolu občanovi a obyvateľom o ich osobných údajoch zjednodušiť regulačné prostredie pre medzinárodný obchod zjednotením nariadeia v rámci EÚ.

GDPR bolo prijaté v apríli 2016, ale platiť začne až od 25. Mája 2018. Predstavuje nový právny rámec ochrany osobných údajov v európskom priestore s cieľom hájiť čo najviacej práva občanov EÚ proti neoprávnenému zachádzaniu s ich dátami a osobnými údajmi. GDPR sa týka všetkých firiem a inštitúcií, ale aj online služieb a jednotlivcov, ktoré spracuvávajú dáta užívateľov. Zámerom zákonodarcov bolo dať európskym občanom väčšiu kontrolu nad tým, čo sa s ich dátami deje. GDSR preto zavádza pokuty za porušovanie nových, prísnejších pravidiel.

Konkrétne zmeny, ktoré GDPR prináša

Z konkrétnych zmien budú majiteľov webov zaujímať najmä tieto body:

dokumentácia a dokladovanie dozornému orgánu, že spracovávate iba tie údaje, ktoré sú nutné k danému účelu. Pre e-shopy sú to napr. meno, adresa a kontaktné údaje nutné k doručeniu objednávky.
nahlásenie úniku dát do 72h– ak zistíte, že vám unikli nejaké dáta, máte 3 dni na kontaktovanie Úradu pre ochranu osobných údajov.
udeľovanie jednoznačného a ničím nepodmieneného súhlasu so spracovaním údajov– ak podmieňujete odoslanie objednávky prihlásením sa do newslettra, s platným GDRP musia byť používatelia schopní nakúpiť bez súhlasu s odoberaním reklamných e-mailov.
zmazanie všetkých údajov– GDPR dáva používateľom právo na informovanie sa o narabání s ich údajmi a ich zmazanie, pokiaľ už neexistuje právny dôvod na ich ďalšie spracovanie.
nová definicia osobných údajov– po novom sú osobným údajom aj e-mailová adresa, IP adresa či dokonca cookies súbory v zariadení používateľa. Pridávajú sa aj genetické a biometrické údaje.

Ako vyhovieť GDPR

Na úvod bude najlepšie osloviť právnika, ktorý sa v danej tematike pohybuje. Prejdete s ním vaše konkrétne záležitosti a následne môžete kontaktovať dozorný orgán.

Jednotlivé kroky:

implementovať nutné zmeny– tak, aby ste vyhoveli podmienkam (právnik, IT)
vypracovať posúdenie vplyvu na ochranu osobných údajov (Data Protection Impact Assessment) –
vymenovať osobu, která bude oficiálně poverená ochranou osobných údajov (Data Protection Officer)
zaviesť tzv. pseudoanonymizáciu osobných údajov – skrytie identity človeka. Následne je možné o tejto osobe zbierať ďalšie údaje aj bez priamej totožnosti.
Pokuty za nedodržanie GDPR

Európski zákonodárci sa s tým nebabrali a stanovili sankcie až do 20 000 000 € alebo 4% z ročného obratu firmy. Pokuty sa budú týkať aj tých najmenších e-shopov a firiem. Mimo to, majitelia webov môžu byť žalovaní priamo používateľmi, ak dôjde k nejakým incidentom.

Serverové logy

Logy, ktoré zbiera webový server (access a error), neobsahujú osobné informácie (podľa nemeckých súdov, IP adresa nie je priamo nalinkovateľná na osobu, ciže nie je osobným údajom) – čo sa týka využitia, z našej strany sme tretia strana a logy sú dostupné iba na vyžiadanie klientom, ide o tzv. ladenie (debugging), prípadne tzv. hlásenie správy o incidente (incident reporting). Nie sú používané na žiadne profilovanie osoby, marketingové účely, ani podobne. Logy držíme po obmedzenú dobu (akonáhle presiahne stanovený deň, posledný log súbor je zmazaný, tzv. log rotation. Čo sa týka kompletných informácii o GDPR, je možné si viac prečítať priamo v našich VOP. Zabezpečujeme našim klientom na základe ich požiadaviek. V prípade akýchkoľvek ďalších otázok nás neváhajte kontaktovať.