Informačná povinnosť v zmysle GDPR je tu už takmer päť rokov. Pre mnohých však táto skratka symbolizuje niečo, čomu nerozumejú, alebo dokonca v nich vzbudzuje strach. Pritom platí, že každý podnikateľ, ktorý spracováva osobné údaje, by nemal pozabudnúť popri iných povinnostiach ani na túto problematiku. Vysvetliť nám ju prišiel Tomáš Jendrál, ktorý sa tejto téme ako právnik venuje profesionálne.
Táto skratka znamená General data protection regulation, alebo Všeobecné nariadenie na ochranu osobných údajov. Ako jednoducho vysvetľuje Tomáš Jendrál, plniť informačnú povinnosť musí každý podnikateľ, ktorý má svojich zamestnancov, má vlastnú webovú stránku, alebo má zákazníkov. Táto vaša povinnosť sa vzťahuje ku všetkým spomínaným, ale aj k ostatným osobám, o ktorých zbierate osobné údaje. Pod osobným údajom rozumieme akýkoľvek údaj o fyzickej osobe, ktorá je identifikovaná alebo identifikovateľná. Týka sa to aj IP adresy a EČV vozidla. Pretože existuje možnosť, že by bol tento údaj stotožnený s konkrétnou osobou. Túto osobu nazývame dotknutou osobou. Je to aj každý návštevník vašej webovej stránky. Na druhej strane máme prevádzkovateľa. Týmto pojmom sa rozumie každý podnikateľ, ktorý tieto údaje spracováva. Sprostredkovateľ je ten, kto spracováva tieto údaje v mene prevádzkovateľa. Typickým príkladom je externý účtovník, personalista alebo marketér. Nakoniec máme zodpovednú osobu. To je niekto, koho úlohou je spracovávať túto agendu. Môže byť interná ale aj externá. Týka sa však väčších organizácií, ale aj štátnych inštitúcií. Mať takúto zodpovednú osobnosť stanovuje za istých okolností zákon, alebo sa preto rozhodne sám podnikateľ, aby si zjednodušil prácu.
Ak získavate údaje priamo od dotknutej osoby, upravuje to článok 13 nariadenia GDPR. Sú tam uvedené aj všetky údaje, ktoré musíte poskytnúť osobe, od ktorej tieto osobné údaje získavate. Primárne sa jedná o vaše údaje ako prevádzkovateľa. V prostredí Slovenskej republiky sa obchodná spoločnosť definuje obchodným menom, sídlom, údajom IČO a registrom v ktorom je zapísaná. Ďalej je potrebné uviesť kontaktné údaje, účely spracovania osobných údajov s priradeným právnym základom. Takéto údaje spolu s právami dotknutých osôb tvoria takzvanú prvú vrstvu informačnej povinnosti. Firmy, ktoré sú zorientované v tejto problematike, uvádzajú tieto údaje aj na svojom kamerovom systéme.
Dobu uchovávania definuje článok 5 nariadenia GDPR. Základná zásada je minimalizácia uchovávania. Znamená to, že my musíme tieto osobné údaje spracovávať len po dobu nevyhnutnú na dosiahnutie účelu tohto spracovania.
Na záver nám Tomáš Jendrál porozprával o najčastejších chybách, ktorých sa firmy v tejto oblasti dopúšťajú. Úplne prozaickou je, že podnikatelia ani netušia, že majú nejakú informačnú povinnosť plniť a čo obsahuje. Ďalšou je, že podnikatelia si kúpia nejaký všeobecný GDPR dokument, ktorý nereflektuje pomery danej firmy. Častej chyby sa dopúšťajú aj externí účtovníci, ktorým účtovné systémy tlačia súhlasy so spracovaním osobných údajov, kde je nesprávne zvolený právny základ alebo všeobecné informačné povinnosti, ktoré opäť nereflektujú pomery v danej firme. V prípade webov sa podobnej chyby dopúšťajú ich tvorcovia, kde opäť tento dokument nezodpovedá pomerom konkrétnej firmy.
