Ochrana osobných údajov podľa GDPR
Čo je to GDPR
GDPR je nariadenie Európskeho parlamentu pre ochranu osobných údajov, ktoré bolo zapracované do Zákona o ochrane osobných údajov a nadobudlo úćinnosť 25.5.2018. Závádza prísnejšie pravidlá pre spracovanie osobných údajov a vyžaduje samostatný súhlas dotknutnuje osoby na každý účel spracovania dát.
GDPR spríňuje existujúce nariadenia a rozširuje definíciu osobných údajov aj o ID čísla užívateľov či IP adresy.
Čo sú to Cookies ?
Cookies sú malé súbory, ktoré si váš internetový prehliadač ukladá do vášho počítača, Tieto súbory môžu obsahovať osobné údaje a ďalšie informácie poterbné na to, aby webové stránky vedeli fungovať správne a pamätali si vaše nastavenia. Môžu sa však využívať aj na ďalšiu indetifikáciu, sledovanie aktivít, cielenie reklamy či profilovanie..
Na používaníe Cookies je podľa ePrivacy poterbný súhlas podľa typu cookies. GDPR definuje požiadavky na spôsob získavania súhlasu.
Typy cookies a poterbný súhlas.
1. Cookies Dôležité pre správne fungovanie systému. Sú to systémové cookies (tzv. first party), nevyžadajú súhlas uživateľa a nemajú možnosť vypnutia.
Príklad:
Cookie devcap, ktoré pomáha identifikovať či používate stránku z počítača alebo z mobilu a prispôsobiť stránku vašej obrazovke.
Bez toho cookie by sa stránka nezobrazila správne.
2, Cookies pre Nastavenia pre vyšší užívateľský komfort. Nepoterbujú súhlas vopred, ale užívateľ má možnosť vypnúť spracovanie takýchto cookies. (opt-out)
Príklad:
Cookie: minimize-assistant-offer, ktoré si pamätá, že ste zmenšili pop-up okno a pri ďalšej návšteve a už ho počas vašej aktuálnej návštevy stránky viac nezobrazuje. Pri vypnutí Vám bude systém zobrazovať ponuku na pri každom zobrazení strínky počas trvania návštevy webu (relácie)
3. Cookies Štatistika slúžia pre analýzu návštevnosti stránky. Využívame službu na tento účel Google Analytics s anonymizáciou IP adries, aby neboli spracovávané osobné údaje, ktoré môžu byť použíté na identifkáciu konkrétnej osoby. Cookies per sledovanie štatistické sledovanie návštevnosti je možné vypnúť , (opt-out)
4. Cookies Personalizácia slúžia na sledovanie návštevnosti s identifikáciou konkrétnej osoby a prispôsobovaniu obsahu podľa. Jedná sa o profiláciu, ktorá si vyžaduje súhlas vopred. (opt-in)
príklad: vid - jedinečný idenfifikátor návštevníka, ktorý využívame interne a zdieľame ho aj s Google Analyics bez anonymizácie
5. Cookie Remarketing slúžia na cielenú personalizovanú maketingovú, obsahuje osobný identifikátor a je zdieľaný s tretími stranami. Vyžaduje súhlas vopred. (optin)
Príklad: Google Adwords Remarketing, Facebook Pixel
Ako rieši Audience Toolkit požiadavky GDPR ?
Nová verzia Audiecence Toolkit nasadená všetkým zákazníkom k dátumu platnosti GDPR 25.5.2018 obsahuje všetky potrebné úpravy pre splnenie povinností.
Nakoľko doterajší súhlas s používanim Cookies formou oznámenia (Cookie notice) nespĺňa požiavaky GDPR na nepredvolený jednoznačný a samostatný súhlas na účely personalizovanej analytiky a remarketingu je pred používaním týchto funkcií ATK poterbné znova získať súhlas. Aby nedošlo k úplnej strate údajov o návštevnosti webu, implementovali sme režim anonymnizovaných IP adries v Google Analytics a aktivovali ho na všekých stránkach, nakoľko si nevyžaduje súhlas vopred. Stači možnosť vypnúť (opt-out), ktorú majú návštevníci stránok postavených na ATK k dispozícii.
Návštvníkom je dostupná systémová stránka kde vidíte reálne aktuálne cookies, ktoré vaša implementácia ATK využíva.
http://www.atk.digital/sk/sukromie/cookies Táto stránka funguje aj na vašom ATK webe. /sk/sukromie/cookies,
V prípade, ak chcete, aby sa návštevníkom zobrazovali žiadosti o ďalšie súhlasy vo forme pop-up okna, môžete si to nastavť v konfiguračnom súbore, alebo požiadajte našu zákaznícku podporu a radi vám s tým pomôžeme.
Samostatné prihlásenie do na odoberanie noviniek formou newslettra sa považuje za súhlas so spracovaním emailovej adresy na účel zasielania newslettra.
Osobné údaje v objednávke a faktúrach upravujú iné predpisy, preto na niech nie je poterbný samosatný súhlas podľa GDPR.
Pri spracovaná žiadostí o zamestnanie, podanie či podanie inej ziadosti v ATK je súhlas žiadateľa evidovaný samosatne s centrálom správou a možnosťou ovlať súhlas.
Časté otázky
Prečo GDPR ?
V dobe sociálnych sietí a internetu je možné veľmi jednoducho zbierať osobné údaje a využívať ich v marketingu. Stačí jedna návšteva stránky a už Vás môže sledovať reklama na Facebooku. YouTube či iných stránkach. Osobné dáta pomáhajú cieliť reklamu, ktorá je hlavným zdrojom príjmu väčšiny veľkých internetových stránok. Zdieľanie týchto dát s tretími stranami bez výsleslovného súhlasu vopred už nebude možné.
Dobrý úmysel, nedomyslené detaily. Ak by ste chceli striktne dodržiavať GDPR, mali by ste si pred zaevidovaním kontaktu (emailu alebo viztky) do svojho adresára v počíatači či mobile požiadať o písomný časovo obmedzený súhlas na zaevidovanie, pretože meno, email, telefón či IP adresa sú podľa GDPR osobné údaje. predpokladáme, že príslušné nariadenia a zákony budú aktualizované a nejasnosti vyriešené.
Spracovávame osobné údaje pri prevádzke eshopu. Je potrebný ďalší súhlas v zmysle GDPR ?
V zmysle § 13 odsek b) a odsek c) môžete spracovávať osobné údaje nevyhnutné na plnenie zmluvy uzatvorenej pred platnosťou GDPR alebo spracovávať osobné údaje potrebné podľa osobitných predpisov zákonne aj bez dodatočného súhlasu.
Musím opätovne žiadať o súhlas , napr. pre newsletter ?
V zmysle § 110 ods. 11 zákona č. 18/2018 Z. z. sa považuje súhlas, ktorý spĺňa podmienky a bol získaný pred platnosťou GDPR, za súhlas platný v zmysle GDPR. Teda napr. ak užívateľ poskytol súhlas samostatne na zasielanie emailov formou newslettra a má možnosť sa kedykoľvek odhlásiť z odoberania, nepotrebujete opätovne žiadať o súhlas.
Je potrebné šifrovanie SSL ?
Nie, uvedenie možnosti šifrovania, alebo pseudonymizácie v čl. 32 ods. 1 pís. a) nariadenia je len príkladom možných bezpečnostných opatrení, ktoré môže prevádzkovateľ zaviesť
Máme viac ako 250 zamestnancov, ako máme viesť evidenciu ?
V prípade, ak ste firma nad 250 zamestnancov, alebo spracovávate osobité osobné údaje (biometrické údaje, zdravotný stav, viera, rasa ..) máte povinnosť viesť záznamy o spracovatelských činnostiach súvisiacich so spracovaním osobných údajov.
https://dataprotection.gov.sk/uoou/sk/content/vzor-zaznamov-o-spracovatelskych-cinnostiach
Ako nahlásiť porušovanie GDPR ?
Porušenie ochrany je možné nahlásiť vyplnením formulára na stránke Úradu pre ochranu osobných údajov.
https://dataprotection.gov.sk/uoou/sk/content/oznamenie-porusenia-ochrany-osobnych-udajov-0
Ako je to s pokutami?
Pokuty sú najväčších strašiakom GDPR, ale reálne ide o poslednú možnosť. Ak Úrad pre ochranu osobných údajov zistí porušenie zákona, najprv vyzve na opravu. Ak nedôjde k oprave následne dôrazne upozorní. Ďalším krokom je zákaz ďalšieho spracovania osobných údajov a aŽ potom prichádzajú na rad pokuty vo výške až do výšky 20 mil. EUR resp. 4% z obratu spoločnosti.