GDPR - NOVÉ PRAVIDLÁ PRI OCHRANE OSOBNÝCH ÚDAJOV NA WEBE A V CMS

Posledná právna úprava v oblasti ochrany osobných údajov vstúpi do účinnosti 25. mája 2018. Nové pravidlá sa budú týkať širokej skupiny subjektov vrátane všetkých majiteľov eshopov a podnikateľov, ktorí využívajú údaje na marketingové účely.

GDPR - čas na prípravu sa kráti

Na Slovensku vstúpi dňa 25. mája 2018 do účinnosti aj nový zákon č. 18/2018 Z. z. o ochrane osobných údajov (ďalej aj ako „zákon“). Pre uvedenie aktuálneho stavu do súladu s novou legislatívou tak ostávajú podnikateľom už len necelé tri mesiace. Pre všetkých našich klientov zabezpečujeme nasledovné a ďalšie činnosti tak, aby všetky webové stránky a CMS BUXUS spĺňali požiadavky ustanovené novými pravidlami v oblasti ochrany osobných údajov.

Komplexná príprava zahŕňa nasledovné kroky:

  1. Zhodnotenie súčasného stavu procesov pri spracúvaní osobných údajov (audit).
  2. Porovnanie súčasného stavu s novou legislatívou.
  3. Príprava konkrétnych návrhov riešení.
  4. Implementácia prijatých opatrení do praxe.

Audit CMS a webu

V rámci auditu webovej stránky zisťujeme, aké osobné údaje klient spracováva vrátane nasledovných informácií:

  • akými osobnými údajmi disponuje klient,
  • aké typy súborov používa,
  • na akom mieste a ako dlho sú uložené,
  • spôsob ochrany citlitých údajov,
  • spôsob zálohovania dát a ďalšie podľa potreby.

Frontend CMS a webu

Vo frontende CMS a webu zabezpečujeme pre klientov výkon nasledovných operácií:

  • hlásenie v check out, pomocou ktorého možno overiť, či má kupujúci aspoň 16 rokov (upravený formulár checkout process),
  • vyjadrenie súhlasu kupujúceho s novými podmienkami používania osobných údajov a možnosť vyjadrenia čiastočného súhlasu len s použitím údajov na konkrétne účely (upravený formulár checkout process),
  • formulár so žiadosťou o zrušenie digitálnej stopy klienta,
  • formulár so žiadosťou o zrušenie súhlasu dotknutej osoby za účelom spracúvania osobných údajov,
  • newsletter s novým vyjadrením pre existujúcich prijímateľov newslettera, v ktorom potvrdzujú svoj súhlas / nesúhlas s novým spôsobom spracúvania osobných údajov.

Backend CMS a webu

V backende CMS a webu zabezpečujeme pre klientov výkon nasledovných operácií:

  • zoznam a stav prijatých požiadaviek spolu so žiadosťami dotknutých osôb o zrušenie digitálnej stopy, ktorý predstavuje jednu z najvýznamnejších noviniek prijatej legislatívy,
  • implementujeme nástroj na prezeranie vyjadrených súhlasov / nesúhlasov dotknutých osôb s používaním ich osobných údajov,
  • poskytujeme nástroj na zaznamenávanie všetkých úprav, zobrazení a exportov všetkých osobných údajov,
  • umožňujeme možnosť prezerať záznamy o všetkých zobrazeniach, zmenách a realizovaných exportoch osobných údajov na Helpdesku ui42,
  • nastavujeme bariéru pre zasielanie osobných údajov do Google Analytics s variabilným symbolom objednávky a ID kupujúceho,
  • implementujeme podporu na vytváranie kópií databáz s anonymizáciou osobných údajov pre potreby testovania a vývoja webu.

V rámci činností smerujúcich k uvádzaniu webov a CMS do súladu s platnou legislatívou zabezpečujeme pre našich klientov aj zabezpečovanie a kryptovanie dát, ako aj ďalšie dôležité činnosti.

Ak potrebujete poradiť v oblasti správneho nastavenia eshopu alebo zosúladiť existujúci web s platnou legislatívou, neváhajte nás kontaktovať, radi vám so všetkým poradíme.

Pre lepšie pochopenie a orientáciu nižšie priblížime niektoré základné definície pojmov, ktoré používa nový slovenský zákon o osobných údajoch:

Osobné údaje sú všetky údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, ktorým je rodné číslo alebo iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, iný online identifikátor, alebo je osoba, ktorú možno identifikovať na základe jednej alebo viacerých charakteristík či znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.

Dotknutá osoba je každá fyzická osoba, ktorej sa osobné údaje týkajú. Osobné údaje dotknutej osoby spracúva prevádzkovateľ vo svojom informačnom systéme.

Súhlasom dotknutej osoby sa rozumie akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.

Spracúvaním osobných údajov sa rozumie akákoľvek spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä však nasledovné:

  • získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie a uchovávanie,
  • zmena, vyhľadávanie, prehliadanie, využívanie,
  • poskytovanie prenosom, šírením alebo iným spôsobom,
  • preskupovanie alebo kombinovanie,
  • obmedzenie a vymazanie, a to bez ohľadu na to, či sa vykonáva automatizovanými alebo neautomatizovanými prostriedkami.

Online identifikátor je identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu.

Informačným systémom sa rozumie akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, a to bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.

Porušením ochrany osobných údajov je akékoľvek porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k poskytnutiu neoprávneného prístupu k takým údajom.

Prevádzkovateľom je každý (fyzická osoba, právnická osoba, orgán štátnej správy alebo územnej samosprávy), kto spĺňa nasledovné podmienky:

  • sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, t.j. vopred určí zámer, ktorý sa viaže na určitú činnosť a výsledok, ktorý chce spracúvaním dosiahnuť,
  • sám alebo spoločne s inými určí podmienky spracúvania osobných údajov, t.j. akým spôsobom sa budú osobné údaje spracúvať,
  • spracúva osobné údaje fyzickej osoby a vo vlastnom mene,
  • spracúvanie osobných údajov vykonáva pravidelne a opakovane.

Zákon pozná aj negatívnu definíciu prevádzkovateľa. Ustanovuje, že prevádzkovateľom však v zmysle zákona nie je ten, kto spracúva osobné údaje pre vlastnú potrebu v rámci osobných alebo domácich činností (napríklad vedenie adresára, fotoalbumu) ani ten, kto získal osobné údaje bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v informačnom systéme a tieto údaje nebude ďalej systematicky spracúvať.

Sprostredkovateľ je osoba, ktorá spracúva údaje v mene prevádzkovateľa. Sprostredkovateľom je každý, kto spracúva údaje v mene prevádzkovateľa. Podobne ako prevádzkovateľ, aj sprostredkovateľ je každá osoba (fyzická osoba, právnická osoba, orgán štátnej správy alebo územnej samosprávy), ktorá spracúva osobné údaje, avšak nie vo vlastnom mene. Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa na základe, v rozsahu a za podmienok určených v písomnej zmluve uzatvorenej s prevádzkovateľom. Sprostredkovateľ si neurčuje účel a podmienky spracúvania osobných údajov, ale osobné údaje spracúva za účelom a podmienok vopred určených prevádzkovateľom.

Príjemca je každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou. Za príjemcu sa však nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov. Príjemcom je tak každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana. O príjemcu ide napr. aj v prípade služby na opravu pokazeného kamerového zariadenia, hostingových služieb alebo IT servisu.

Tretia strana je každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje. Treťou stranou je každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou. Tretia strana však tiež spracúva osobné údaje vo vlastnom mene rovnako ako prevádzkovateľ. Treťou stranou tak môže byť orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo právnická osoba alebo fyzická osoba, ktorej prevádzkovateľ poskytuje osobné údaje, a ktorá tieto osobné údaje ďalej spracúva ako prevádzkovateľ vo svojom vlastnom informačnom systéme.

Zodpovedná osoba je osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona,

Zástupca je fyzická osoba alebo právnická osoba so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ alebo sprostredkovateľ písomne poveril.

Podnikom je fyzická osoba – podnikateľ alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane združení fyzických osôb alebo združení právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť. Skupinou podnikov je ovládajúci podnik a ním ovládané podniky. 

Medzinárodnou organizáciou je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

Členským štátom je štát, ktorý je členským štátom Európskej únie (EÚ) alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.

Treťou krajinou je krajina, ktorá nie je členským štátom.

Ak hľadáte pomoc pri zosúladení údajov na vašom webe alebo v CMS BUXUS, neváhajte nás kontaktovať. Radi Vám poradíme a zabezpečíme pre Vás všetky nevyhnutné zmeny a príslušné riešenia pre váš web.