GDPR pre firmy 2026 – Povinnosti a dokumentácia
Nariadenie GDPR (General Data Protection Regulation) je od 25. mája 2018 priamo účinné v celej Európskej únii vrátane Slovenska. Pre slovenských podnikateľov je kľúčovým právnym predpisom nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 spolu so zákonom č. 18/2018 Z.z. o ochrane osobných údajov. Každá firma, ktorá spracúva osobné údaje zamestnancov, zákazníkov alebo obchodných partnerov, musí dodržiavať stanovené pravidlá. Porušenie GDPR môže viesť k pokutám až do výšky 20 miliónov EUR alebo 4 % celosvetového ročného obratu.
Prehľad povinností podnikateľov podľa GDPR
Každý prevádzkovateľ, ktorý spracúva osobné údaje, musí splniť tieto základné povinnosti:
- Spracúvať osobné údaje len na zákonnom právnom základe
- Informovať dotknuté osoby o spracúvaní ich údajov (informačná povinnosť podľa čl. 13 a 14 GDPR)
- Viesť záznamy o spracovateľských činnostiach (čl. 30 GDPR)
- Zabezpečiť primerané technické a organizačné opatrenia na ochranu údajov
- Uzatvoriť sprostredkovateľské zmluvy s dodávateľmi, ktorí spracúvajú údaje v mene prevádzkovateľa (čl. 28 GDPR)
- V určitých prípadoch ustanoviť zodpovednú osobu (DPO)
- Nahlásiť bezpečnostný incident Úradu na ochranu osobných údajov SR do 72 hodín (čl. 33 GDPR)
- V stanovených prípadoch vykonať posúdenie vplyvu na ochranu údajov (DPIA)
Právne základy spracúvania osobných údajov
GDPR v článku 6 vymedzuje šesť právnych základov, na základe ktorých je spracúvanie osobných údajov zákonné. Pre firmy na Slovensku sú najdôležitejšie tieto štyri:
1. Súhlas dotknutej osoby (čl. 6 ods. 1 písm. a) GDPR)
Súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný. Dotknutá osoba musí mať možnosť súhlas kedykoľvek odvolať rovnako jednoducho, ako ho udelila. Súhlas sa typicky využíva pri marketingových aktivitách, zasielaní newsletterov alebo pri spracúvaní fotografií zamestnancov na webstránke firmy. Dôležité je, že súhlas nemôže byť podmienkou uzatvorenia zmluvy, ak spracúvanie údajov nie je pre plnenie zmluvy nevyhnutné.
2. Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR)
Tento právny základ oprávňuje spracúvanie údajov, ktoré je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrení pred uzatvorením zmluvy na žiadosť dotknutej osoby. Príkladom je spracúvanie mena, adresy a bankového spojenia zákazníka na účely dodania tovaru alebo poskytnutia služby podľa obchodnej zmluvy.
3. Zákonná povinnosť (čl. 6 ods. 1 písm. c) GDPR)
Mnohé spracovateľské operácie vyplývajú priamo zo zákona. Zamestnávateľ je napríklad povinný spracúvať osobné údaje zamestnancov na účely mzdovej agendy, odvodov do Sociálnej poisťovne a zdravotných poisťovní, daňových povinností voči finančnej správe alebo vedenia účtovníctva podľa zákona č. 431/2002 Z.z. o účtovníctve. Pri tomto právnom základe nie je potrebný súhlas dotknutej osoby.
4. Oprávnený záujem prevádzkovateľa (čl. 6 ods. 1 písm. f) GDPR)
Oprávnený záujem je najflexibilnejší, ale aj najkomplikovanejší právny základ. Prevádzkovateľ musí vykonať tzv. balančný test – porovnanie oprávnených záujmov prevádzkovateľa so záujmami a základnými právami dotknutej osoby. Oprávneným záujmom môže byť napríklad prevádzkovanie kamerového systému na pracovisku, zasielanie ponúk existujúcim zákazníkom (soft opt-in) alebo vymáhanie pohľadávok. Prevádzkovateľ musí byť schopný preukázať vykonanie balančného testu a jeho výsledok zdokumentovať.
Zodpovedná osoba (DPO) – kedy je povinná?
Podľa článku 37 GDPR je prevádzkovateľ povinný ustanoviť zodpovednú osobu (Data Protection Officer – DPO) v týchto prípadoch:
- Spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt (okrem súdov pri výkone ich súdnej právomoci)
- Hlavné činnosti prevádzkovateľa spočívajú v spracovateľských operáciách, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu (napr. e-shopy so sledovaním správania zákazníkov, poskytovatelia telekomunikačných služieb)
- Hlavné činnosti prevádzkovateľa spočívajú v spracúvaní osobitných kategórií údajov vo veľkom rozsahu (zdravotné údaje, biometrické údaje, údaje o členství v odboroch) alebo údajov týkajúcich sa uznania viny za trestné činy
DPO môže byť zamestnanec firmy alebo externý konzultant. Musí mať odborné znalosti v oblasti práva ochrany údajov a musí byť nezávislý – nesmie prijímať pokyny týkajúce sa výkonu svojich úloh. Kontaktné údaje DPO sa oznamujú Úradu na ochranu osobných údajov SR. Aj keď ustanovenie DPO nie je pre vašu firmu povinné, odporúčame určiť internú osobu zodpovednú za agendu ochrany osobných údajov.
Práva dotknutých osôb
GDPR priznáva dotknutým osobám rozsiahle práva, ktoré musí každá firma rešpektovať a zabezpečiť ich výkon. Prevádzkovateľ je povinný odpovedať na žiadosť dotknutej osoby bez zbytočného odkladu, najneskôr do jedného mesiaca od doručenia žiadosti:
- Právo na prístup k údajom (čl. 15) – dotknutá osoba má právo získať potvrdenie o tom, či sa jej osobné údaje spracúvajú, a ak áno, získať k nim prístup
- Právo na opravu (čl. 16) – právo na opravu nesprávnych alebo doplnenie neúplných osobných údajov
- Právo na vymazanie (právo byť zabudnutý) (čl. 17) – uplatňuje sa napríklad po odvolaní súhlasu alebo po splnení účelu spracúvania
- Právo na obmedzenie spracúvania (čl. 18) – dotknutá osoba môže požiadať o obmedzenie spracúvania napríklad počas overovania správnosti údajov
- Právo na prenosnosť údajov (čl. 20) – právo získať osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte
- Právo namietať (čl. 21) – najmä proti spracúvaniu na základe oprávneného záujmu alebo na účely priameho marketingu
- Právo na automatizované individuálne rozhodovanie (čl. 22) – právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní vrátane profilovania
Firma musí mať zavedené interné postupy na vybavovanie žiadostí dotknutých osôb a musí byť schopná preukázať ich dodržiavanie.
Pokuty za porušenie GDPR
GDPR zaviedlo dvojstupňový systém pokút, ktoré môže uložiť Úrad na ochranu osobných údajov SR:
| Stupeň porušenia | Maximálna pokuta | Príklady porušení |
|---|---|---|
| Nižší stupeň | 10 mil. EUR alebo 2 % obratu | Chýbajúce záznamy o spracovateľských činnostiach, neoznámenie bezpečnostného incidentu, chýbajúca sprostredkovateľská zmluva |
| Vyšší stupeň | 20 mil. EUR alebo 4 % obratu | Spracúvanie bez právneho základu, porušenie práv dotknutých osôb, nedodržanie podmienok súhlasu, neoprávnený prenos údajov do tretích krajín |
Pri určovaní výšky pokuty úrad zohľadňuje povahu, závažnosť a trvanie porušenia, počet dotknutých osôb, mieru zodpovednosti prevádzkovateľa, predchádzajúce porušenia a mieru spolupráce s úradom. V praxi Úrad na ochranu osobných údajov SR uložil pokuty slovenským firmám v rozsahu od niekoľko stoviek do niekoľko tisíc eur, pričom najčastejšie porušenia sa týkali nevyhovujúceho súhlasu, chýbajúcej informačnej povinnosti a nedostatočných bezpečnostných opatrení.
Posúdenie vplyvu na ochranu údajov (DPIA)
Podľa článku 35 GDPR je prevádzkovateľ povinný vykonať posúdenie vplyvu na ochranu osobných údajov (Data Protection Impact Assessment – DPIA) pred spracúvaním, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. DPIA je povinné najmä v týchto prípadoch:
- Systematické a rozsiahle hodnotenie osobných aspektov fyzických osôb založené na automatizovanom spracúvaní vrátane profilovania
- Rozsiahle spracúvanie osobitných kategórií údajov (zdravotné údaje, biometrické údaje, genetické údaje)
- Systematické monitorovanie verejne prístupných priestorov vo veľkom rozsahu (napr. kamerové systémy v obchodných centrách)
Úrad na ochranu osobných údajov SR zverejnil zoznam druhov spracovateľských operácií, pri ktorých je DPIA povinné. DPIA musí obsahovať systematický opis spracovateľských operácií, posúdenie nevyhnutnosti a primeranosti spracúvania, posúdenie rizík pre práva a slobody dotknutých osôb a opatrenia na riešenie týchto rizík. Ak z DPIA vyplynie, že spracúvanie by viedlo k vysokému riziku bez prijatia opatrení, prevádzkovateľ je povinný pred spracúvaním konzultovať s Úradom na ochranu osobných údajov SR (čl. 36 GDPR).
Bezpečnostné opatrenia a evidencia spracovateľských činností
Článok 32 GDPR vyžaduje, aby prevádzkovateľ prijal primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti primeranej riziku. Medzi odporúčané opatrenia patria:
- Pseudonymizácia a šifrovanie osobných údajov
- Zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania
- Schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade incidentu
- Pravidelné testovanie a hodnotenie účinnosti bezpečnostných opatrení
- Zavedenie prístupových práv – prístup k údajom len pre oprávnených zamestnancov
- Zálohovanie údajov a plán obnovy v prípade havárie
- Školenie zamestnancov v oblasti ochrany osobných údajov
Podľa článku 30 GDPR je každý prevádzkovateľ s viac ako 250 zamestnancami povinný viesť záznamy o spracovateľských činnostiach. Táto povinnosť sa však vzťahuje aj na menšie firmy, ak spracúvanie pravdepodobne povedie k riziku pre práva dotknutých osôb, nie je príležitostné, alebo zahŕňa osobitné kategórie údajov. V praxi to znamená, že takmer každá firma na Slovensku musí viesť túto evidenciu. Záznamy musia obsahovať identifikáciu prevádzkovateľa, účely spracúvania, opis kategórií dotknutých osôb a osobných údajov, kategórie príjemcov, lehoty na vymazanie a opis bezpečnostných opatrení.
Právny rámec ochrany osobných údajov na Slovensku
Ochrana osobných údajov na Slovensku sa riadi týmito právnymi predpismi:
- Nariadenie (EÚ) 2016/679 (GDPR) – priamo účinné nariadenie EÚ, ktoré stanovuje jednotný rámec ochrany osobných údajov
- Zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov – vnútroštátny vykonávací predpis, ktorý dopĺňa GDPR v oblastiach, kde nariadenie ponecháva priestor členským štátom
- Úrad na ochranu osobných údajov SR (sídlo: Hraničná 12, 820 07 Bratislava) – nezávislý dozorný orgán, ktorý dohliada na dodržiavanie predpisov o ochrane osobných údajov, prijíma sťažnosti dotknutých osôb a ukladá sankcie
Pre firmy zakladajúce novú s.r.o. je dôležité zahrnúť GDPR compliance do procesu vzniku spoločnosti od samého začiatku – ide o princíp ochrany údajov už v štádiu návrhu (privacy by design) podľa článku 25 GDPR.
Často kladené otázky
Musí moja malá firma dodržiavať GDPR?
ÁNO. GDPR sa vzťahuje na každý subjekt, ktorý spracúva osobné údaje, bez ohľadu na veľkosť. Aj živnostník, ktorý vedie databázu zákazníkov alebo zamestnáva čo i len jedného zamestnanca, musí dodržiavať pravidlá GDPR. Malé firmy majú určité úľavy (napríklad pri povinnosti ustanoviť DPO), ale základné povinnosti platia pre všetkých.
Aké dokumenty potrebujem mať pripravené pre GDPR?
Každá firma by mala mať minimálne tieto dokumenty: záznamy o spracovateľských činnostiach, informáciu pre dotknuté osoby (tzv. privacy policy), vzory súhlasov so spracúvaním osobných údajov, sprostredkovateľské zmluvy s dodávateľmi, interné smernice o ochrane osobných údajov, postupy na vybavovanie žiadostí dotknutých osôb a plán reakcie na bezpečnostné incidenty.
Čo robiť v prípade úniku osobných údajov?
Ak dôjde k porušeniu ochrany osobných údajov (napr. únik databázy, strata USB kľúča s údajmi, hackerský útok), prevádzkovateľ je povinný oznámiť incident Úradu na ochranu osobných údajov SR do 72 hodín od zistenia. Ak porušenie pravdepodobne povedie k vysokému riziku pre dotknuté osoby, musí o ňom informovať aj samotné dotknuté osoby bez zbytočného odkladu.
Môžem posielať marketingové e-maily bez súhlasu?
Závisí od situácie. Existujúcim zákazníkom môžete zasielať ponuky podobných produktov alebo služieb na základe oprávneného záujmu (tzv. soft opt-in), ale musíte im umožniť jednoduché odhlásenie. Pre nových potenciálnych zákazníkov potrebujete výslovný, dobrovoľný a informovaný súhlas v súlade s GDPR a zákonom č. 452/2021 Z.z. o elektronických komunikáciách.
Potrebujete právnu pomoc?
Kontaktujte našu advokátsku kanceláriu v Žiline pre bezplatnú úvodnú konzultáciu.