Ochrana osobných údajov podľa GDPR
Čo je to GDPR
GDPR je nariadenie Európskeho parlamentu pre ochranu osobných údajov, ktoré bolo zapracované do Zákona o ochrane osobných údajov a nadobudlo účinnosť 25.5.2018. Závádza prísnejšie pravidlá pre spracovanie osobných údajov a vyžaduje samostatný súhlas dotknutnutej osoby na každý účel spracovania dát. GDPR sprísňuje existujúce nariadenia a rozširuje definíciu osobných údajov aj o ID čísla užívateľov či IP adresy.
Čo sú to Cookies?
Cookies sú malé súbory, ktoré si Váš internetový prehliadač ukladá do Vášho počítača, Tieto súbory môžu obsahovať osobné údaje a ďalšie informácie potrebné na to, aby webové stránky vedeli fungovať správne a pamätali si vaše nastavenia. Môžu sa však využívať aj na ďalšiu identifikáciu, sledovanie aktivít, cielenie reklamy či profilovanie..
Na používaníe Cookies je podľa ePrivacy potrebný súhlas podľa typu cookies. GDPR definuje požiadavky na spôsob získavania súhlasu.
Typy cookies a poterbný súhlas
1. Cookies Dôležité pre správne fungovanie systému. Sú to systémové cookies (tzv. first party), nevyžadajú súhlas uživateľa a nemajú možnosť vypnutia.
Príklad:
Cookie devcap, ktoré pomáha identifikovať či používate stránku z počítača alebo z mobilu a prispôsobiť stránku Vašej obrazovke.
Bez toho cookie by sa stránka nezobrazila správne.
2. Cookies Nastavenia pre vyšší užívateľský komfort. Nepotrebujú súhlas vopred, ale užívateľ má možnosť vypnúť spracovanie takýchto cookies. (opt-out)
Príklad:
Cookie: minimize-assistant-offer, ktoré si pamätá, že ste zmenšili pop-up okno a pri ďalšej návšteve ho viac nezobrazuje. Pri vypnutí Vám bude systém zobrazovať ponuku pri každom zobrazení strínky počas trvania návštevy webu (relácie).
3. Cookies Štatistika slúžia pre analýzu návštevnosti stránky. Využívame službu na tento účel Google Analytics s anonymizáciou IP adries, aby neboli spracovávané osobné údaje, ktoré môžu byť použíté na identifkáciu konkrétnej osoby. Cookies pre štatistické sledovanie návštevnosti je možné vypnúť, (opt-out)
4. Cookies Personalizácia slúžia na sledovanie návštevnosti s identifikáciou konkrétnej osoby a prispôsobovaniu obsahu. Jedná sa o profiláciu, ktorá si vyžaduje súhlas vopred. (opt-in)
Príklad:
Vid - jedinečný idenfifikátor návštevníka, ktorý využívame interne a zdieľame ho aj s Google Analyics bez anonymizácie.
5. Cookies Remarketing slúžia na cielenú personalizovanú maketingovú analýzu. Obsahuje osobný identifikátor a je zdieľaný s tretími stranami. Vyžaduje súhlas vopred. (optin)
Príklad: Google Adwords Remarketing, Facebook Pixel
Ako rieši Audience Toolkit požiadavky GDPR?
Nová verzia Audiecence Toolkit nasadená všetkým zákazníkom k dátumu platnosti GDPR 25.5.2018 obsahuje všetky potrebné úpravy pre splnenie povinností.
Nakoľko doterajší súhlas s používanim Cookies formou oznámenia (Cookie notice) nespĺňa požiadavky GDPR na nepredvolený jednoznačný a samostatný súhlas na účely personalizovanej analytiky a remarketingu je pred používaním týchto funkcií ATK poterbné znova získať súhlas. Aby nedošlo k úplnej strate údajov o návštevnosti webu, implementovali sme režim anonymizovaných IP adries v Google Analytics a aktivovali ho na všetkých stránkach, nakoľko si nevyžaduje súhlas vopred. Stačí možnosť vypnúť (opt-out), ktorú majú návštevníci stránok postavených na ATK k dispozícii.
Návštvníkom je dostupná systémová stránka kde vidíte reálne aktuálne cookies, ktoré vaša implementácia ATK využíva.
http://www.atk.digital/sk/sukromie/cookies Táto stránka funguje aj na vašom ATK webe. /sk/sukromie/cookies
V prípade, ak chcete, aby sa návštevníkom zobrazovali žiadosti o ďalšie súhlasy vo forme pop-up okna, môžete si to nastaviť v konfiguračnom súbore, alebo požiadajte našu zákaznícku podporu a radi Vám s tým pomôžeme.
Samostatné prihlásenie na odoberanie noviniek formou newslettra sa považuje za súhlas so spracovaním emailovej adresy na účel zasielania newslettra.
Osobné údaje v objednávke a faktúrach upravujú iné predpisy, preto na nich nie je potrebný samostatný súhlas podľa GDPR.
Pri spracovaní žiadostí o zamestnanie alebo podaní inej žiadosti v ATK je súhlas žiadateľa evidovaný samostatne. Súhlas je možné odvolať.
Časté otázky
- Prečo GDPR?
V dobe sociálnych sietí a internetu je možné veľmi jednoducho zbierať osobné údaje a využívať ich v marketingu. Stačí jedna návšteva stránky a už Vás môže sledovať reklama na Facebooku, YouTube či iných stránkach. Osobné dáta pomáhajú cieliť reklamu, ktorá je hlavným zdrojom príjmu väčšiny veľkých internetových stránok. Zdieľanie týchto dát s tretími stranami bez výslovného súhlasu vopred už nebude možné.
Dobrý úmysel, nedomyslené detaily. Ak by ste chceli striktne dodržiavať GDPR, mali by ste si pred zaevidovaním kontaktu (emailu alebo vizitky) do svojho adresára v počítači či mobile požiadať o písomný, časovo obmedzený súhlas na zaevidovanie, pretože meno, email, telefón či IP adresa sú podľa GDPR osobné údaje. predpokladáme, že príslušné nariadenia a zákony budú aktualizované a nejasnosti vyriešené.
- Spracovávame osobné údaje pri prevádzke eshopu. Je potrebný ďalší súhlas v zmysle GDPR?
V zmysle § 13 odsek b) a odsek c) môžete spracovávať osobné údaje nevyhnutné na plnenie zmluvy uzatvorenej pred platnosťou GDPR alebo spracovávať osobné údaje potrebné podľa osobitných predpisov zákonne aj bez dodatočného súhlasu.
- Musím opätovne žiadať o súhlas, napr. pre newsletter?
V zmysle § 110 ods. 11 zákona č. 18/2018 Z. z. sa považuje súhlas, ktorý spĺňa podmienky a bol získaný pred platnosťou GDPR, za súhlas platný v zmysle GDPR. Teda napr. ak užívateľ poskytol súhlas samostatne na zasielanie emailov formou newslettra a má možnosť sa kedykoľvek odhlásiť z odoberania, nepotrebujete opätovne žiadať o súhlas.
- Je potrebné šifrovanie SSL?
Nie, uvedenie možnosti šifrovania alebo pseudonymizácie v čl. 32 ods. 1 pís. a) nariadenia je len príkladom možných bezpečnostných opatrení, ktoré môže prevádzkovateľ zaviesť.
- Máme viac ako 250 zamestnancov, ako máme viesť evidenciu?
V prípade, ak ste firma nad 250 zamestnancov, alebo spracovávate osobité osobné údaje (biometrické údaje, zdravotný stav, viera, rasa..) máte povinnosť viesť záznamy o spracovateľských činnostiach súvisiacich so spracovaním osobných údajov.
https://dataprotection.gov.sk/uoou/sk/content/vzor-zaznamov-o-spracovatelskych-cinnostiach
- Ako nahlásiť porušovanie GDPR?
Porušenie ochrany je možné nahlásiť vyplnením formulára na stránke Úradu pre ochranu osobných údajov.
https://dataprotection.gov.sk/uoou/sk/content/oznamenie-porusenia-ochrany-osobnych-udajov-0
- Ako je to s pokutami?
Pokuty sú najväčším strašiakom GDPR, ale reálne ide o poslednú možnosť. Ak Úrad pre ochranu osobných údajov zistí porušenie zákona, najprv vyzve na opravu. Ak nedôjde k oprave, následne dôrazne upozorní. Ďalším krokom je zákaz ďalšieho spracovania osobných údajov a až potom prichádzajú na rad pokuty až do výšky 20 mil. EUR resp. 4% z obratu spoločnosti.