Firmy, ktoré nakladajú s osobnými údajmi svojich zákazníkov alebo používateľov, musia dodržiavať nariadenie Európskej únie o ich ochrane. Čo je to GDPR? Aké podmienky budú musieť po novom spoločnosti spĺňať? Máme pre vás všetky dôležité informácie vrátane 4 tipov ako GDPR implementovať.
GDPR (General Data Protection Regulation) je právna norma Európskej únie, ktorá nadobudla účinnosť už 25. mája 2018. Trošku krkolomný slovenský preklad skratky GDPR je „Všeobecné nariadenie o ochrane osobných údajov“. Pri zlom zaobchádzaní s osobnými údajmi hrozí pokuta až do výšky 20 miliónov EUR alebo 4 % z ročného obratu firmy. Takto vysoká suma môže byť likvidačná aj pre zabehnutú firmu s dobrým cashflow.
V súčasnosti, keď množstvo osobných údajov používateľov leží na serveroch mnohých poskytovateľov služieb, je nutné urobiť vo všetkom poriadok. Hlavným zmyslom GDPR je umožniť ľuďom (zákazníkom) kontrolovať svoje dáta. Ak teda prevádzkujete napríklad menší e-shop s predajom kávy, bude potrebné aj vo vašom prípade urobiť množstvo úprav v zaobchádzaní s údajmi zákazníkov.
Čo sú osobné dáta z pohľadu GDPR?
Váš zákazník totiž najprv musí súhlasiť s ukladaním týchto dát, ale neskôr môže kedykoľvek požiadať o ich kompletné zmazanie, prípadne o export k inému poskytovateľovi služieb. Z toho je zrejmé, že aj relatívne malý súkromník sa bude musieť postarať o celý rad technických záležitostí a zmeniť niektoré procesy. Napríklad bude potrebné vykonať aktualizáciu CMS (Content Management System), na ktorom beží predajný portál. Prípadne nakúpiť nové IT vybavenie vrátane moderného softvéru.
Pri analýze rizík s ohľadom na GDPR je potrebné vnímať papierové dokumenty ako mimoriadne riziko. Neuzamknuté a nezabezpečené citlivé papierové dokumenty s obsahom osobných alebo zdravotných údajov zamestnancov, prípadne klientov môžu spôsobiť rovnako závažný incident v oblasti GDPR ako elektronický, obrazový alebo zvukový únik dát.
Pracovné povinnosti a zodpovednosti zamestnancov za akékoľvek údaje, ktoré firma spracováva, sú tu kľúčové. Firma musí pre každého zamestnanca stanoviť jasné pravidlá správneho nakladania s elektronickými aj tlačenými údajmi, ktoré má firma v držbe. Takéto opatrenia uvedú v praxi požiadavky GDPR týkajúce sa nakladania s údajmi. Medzi tieto pravidlá môže patriť napríklad jasné stanovenie toho, ako sa smú používať tlačené dokumenty obsahujúce citlivé informácie, alebo správneho procesu ich skartovania podľa toho, ako citlivé sú údaje, ktoré dokument obsahuje.
i
Na území Slovenskej republiky sa používajú dva odlišné systémy, ktoré sa týkajú ochrany dokumentov a informácií:
Tieto dva systémy sa dopĺňajú, ale majú rozdielny účel: DIN rieši technickú bezpečnosť likvidácie, zatiaľ čo NBU rieši právnu klasifikáciu citlivých informácií.
Správne a poctivé skartovanie patrí medzi jednu zo sledovaných oblastí z pohľadu GDPR. Vďaka obstaraniu výkonnej a kvalitnej skartovačky ušetríte zodpovedným zamestnancom čas, ktorý môžu venovať riešeniu iných úloh. V závislosti od veľkosti prostredia možno vhodnou voľbou skartovacieho stroja ušetriť aj nejaký ten pracovný úväzok.
LEITZ IQ Home Office P4Kompaktná skartovačka s krížovým rezom je nepostrádateľným pomocníkom skôr do menšej kancelárie alebo na home office. Skartuje dokumenty v stupni utajenia DIN P4, takže si poradí aj s citlivejšími údajmi. Zvládne až 10 listov A4 naraz do koša s objemom 23 l, vyniká tichým chodom a technológiou proti zaseknutiu papiera (Anti‑Jam). |
Fellowes 125 CiInteligentný skartovač Fellowes 125 Ci s technológiou proti zaseknutiu papiera skartuje dokumenty krížovým rezom 4 × 38 mm v stupni utajenia P‑4. Bezpečnosť skartácie navyše potvrdzuje certifikát NBÚ. Skartovač zvládne zlikvidovať až 20 listov papiera gramáže 70 g/m² naraz rýchlosťou až 4,8 m/min. Okrem toho bez problémov zlikviduje dokumenty vrátane spôn, plastových kariet aj CD / DVD diskov. |
LEITZ IQ AutoFeed 150 P4Skartovačka s automatickým podávačom papiera, ktorú oceníte vo vyťaženejšej kancelárii. Stačí vložiť stoh až 150 listov, zavrieť veko a pokračovať vo svojej práci – nie je potrebné stáť pri stroji a vkladať jednotlivé listy. Skartuje krížovým rezom v stupni utajenia P‑4 do koša s objemom 44 l a zvládne až 30 minút nepretržitej prevádzky. Vyniká tichým chodom (55 dB), dotykovým ovládaním a technológiou Anti‑Jam, ktorá predchádza zaseknutiu papiera. |
Štyri jednoduché kroky, ktoré vám pomôžu zvýšiť bezpečnosť dát pomocou nástrojov Microsoftu.
Na každom notebooku/mobile/PC sa nachádza množstvo osobných alebo citlivých údajov. Ak zariadenie stratíte alebo vám ho ukradnú, nariadenie GDPR požaduje nahlásiť únik dozornému úradu a v prípade vysokého rizika aj dotknutým osobám, ktorých sa únik týkal. Keď ale dáta zašifrujete, a tak k nim znemožníte prístup, potom v prípade straty alebo krádeže nemusíte stratu zariadenia hlásiť. Šifrovaním si teda ušetríte veľa starostí.
Veľké množstvo osobných a citlivých údajov si vymieňame prostredníctvom dokumentov a emailov – objednávky, zmluvy, tabuľky s osobnými dátami, životopisy atď. Preto je potrebné dokumenty a poštu plne zabezpečiť proti úniku citlivých dát. Ak zavediete opatrenie, ako je zabezpečenie prístupu, dvojfaktorová autentizácia, šifrovanie obsahu pošty a komplexné zabezpečenie poštových serverov, zásadne znížite riziko úniku osobných a citlivých dát a vyhnete sa bezpečnostným incidentom, ktoré je podľa GDPR potrebné hlásiť. Microsoft 365 vám s tým pomôže.
S GDPR prichádza právo na vymazanie osobných údajov bez zbytočného odkladu, ak neexistuje právny dôvod na ich ďalšie spracovanie. Bežná prax ukazuje, že osobné údaje sú uložené na mnohých miestach (pošta, dokumenty, CRM, ERP atď.). Firmy preto potrebujú nástroj, ktorý im pomôže túto požiadavku splniť. Vďaka funkcii eDiscovery, dostupnej vo vybraných plánoch Microsoft 365, je prehľadávanie všetkých firemných dokumentov aj e-mailov veľmi jednoduché. Ľahko tak nájdete všetky výskyty osobných údajov konkrétneho klienta, ktoré sú určené na vymazanie.
GDPR vyžaduje, aby každá firma zaviedla primerané technické a organizačné opatrenia na ochranu osobných údajov. Medzi ne patrí aj pravidelná aktualizácia systémov. Bezpečné môžu byť len pravidelne aktualizované systémy, ktoré dostávajú najnovšie bezpečnostné záplaty. Preto vždy aktualizujte na najnovšiu dostupnú verziu. Microsoft svoje Windows 11 priebežne aktualizuje, najmä v oblasti bezpečnosti, takže máte istotu včasnej ochrany pred aktuálnymi hrozbami.
Dôležité upozornenie: podpora Windows 10 sa skončila 14. októbra 2025. Po tomto dátume už systém nedostáva bezpečnostné aktualizácie, čo predstavuje výrazné riziko. V kontexte GDPR môže používanie neaktualizovaného systému viesť aj k potenciálnym pokutám.
Ak váš počítač spĺňa požiadavky, odporúčame prechod na Windows 11. V opačnom prípade zvážte zapojenie do programu rozšírených bezpečnostných aktualizácií (ESU) alebo výmenu hardvéru.
Mnohé spoločnosti už dnes plnia významnú časť povinností vyplývajúcich z GDPR. Mnohé povinnosti vyplývajú aj zo zákona o ochrane osobných údajov, prípadne ISO certifikácie. Takéto subjekty majú výhodu a implementácia nariadenia GDPR pre nich bude celkovo jednoduchšia.
Čo však spoločnosti, na ktoré sa súčasná právna úprava nevzťahuje? V prvom rade by mali požiadať niektorú z poradenských firiem o vykonaní informačného auditu. Odborníci prejdú procesy vo vašej spoločnosti a identifikujú slabé, respektíve problematické miesta pri zaobchádzaní s používateľskými dátami, ktoré sú v rozpore s GDPR.
Pri realizácii zmien je potrebné dbať na minimalizáciu negatívnych dopadov na zákazníkov. Ani to však úplne nepôjde, prinajmenšom totiž bude potrebné osloviť ich so žiadosťou o drobné administratívne úkony. Môže byť potrebné aktualizovať informácie pre zákazníkov alebo upraviť právne základy spracúvania údajov.
Chcete naštartovať svoju pracovnú kariéru úplne novým smerom? Spoločne so zavedením GDPR vzniká úplne nová profesia Data Protection Officer – poverenec na ochranu osobných údajov. Môžeme vám garantovať, že okrem obrovského dopytu na pracovnom trhu na vás čaká vysoký plat, ale aj pomerne vysoká miera zodpovednosti. Aké bude vaše poslanie? Budete zabezpečovať, že spoločnosť nakladá so všetkými osobnými údajmi (zákazníkov, zamestnancov, partnerov atď.) úplne v súlade s nariadením GDPR. Náplň práce je teda vhodná pre bezpečnostných IT špecialistov s rozšírenou znalosťou práva. Na dosiahnutie statusu DPO je nutné zložiť prísnu certifikačnú skúšku.
V ktorých prípadoch je nutné zriadiť funkciu DPO?
Poverenec DPO musí byť v rámci spoločnosti relatívne nezávislá osoba bez možnosti akéhokoľvek konfliktu záujmov. Nemôžete teda napríklad túto funkciu odovzdať šéfovi IT oddelenia, ktorý by v podstate kontroloval sám seba. Samozrejme, nikde sa nepíše, že musí ísť o interného zamestnanca. Povereníka DPO vám veľa firiem ponúkne ako externú službu, čo môže byť do určitého množstva spracovávaných dát aj výhodnejšie.
Naplnenie podmienok GDPR môže byť pre niektoré firmy pomerne nákladné. Často je potrebné opustiť zastarané softvérové vybavenie, ktoré už nespĺňa požiadavky GDPR na ochranu osobných údajov. Osobitnú pozornosť treba venovať softvéru bez výrobnej podpory: po 14. októbri 2025 sa skončila podpora Windows 10 aj kancelárskych balíkov Office 2016 a 2019. Ich ďalším používaním bez bezpečnostných aktualizácií sa vystavujete riziku pokuty. Nepodporovaný softvér môže obmedziť účinnosť bezpečnostných nástrojov, vrátane antivírusových riešení, ktoré síce dokážu včas odhaliť niektoré hrozby, no nenahrádzajú bezpečnostné záplaty chýbajúce v zastaraných aplikáciách.
Na bezpečné uloženie osobných dát budú potrebné aj zmeny na strane vašich firemných serverov, a pokiaľ vaše servery ešte nešifrujú citlivé dáta, bude na to potrebné pristúpiť. Možno vám práve preto príde vhod profesionálne dátové úložisko typu NAS, na ktorom je nasadenie šifrovania pomerne jednoduchou záležitosťou.
Ak ste si doteraz mysleli, že GDPR sa vzťahuje iba na ochranu osobných údajov vo virtuálnom svete, musíme vás vyviesť z omylu. Akékoľvek tlačiarne alebo multifunkčné zariadenia musia byť správne nastavené v súlade s internými procesmi, aby spĺňali prísne požiadavky GDPR. Typickým riešením je používanie zabezpečenej tlače dostupnej až po autentizácii pomocou osobného PIN kódu alebo čipovej karty. Po vytlačení dokumentu však vzniká zásadná otázka – kam bezpečne uložiť materiály obsahujúce citlivé údaje?
V takom okamihu je potrebné siahnuť po trezoroch s vhodnou bezpečnostnou certifikáciou (napr. EN 1143‑1)), ktoré pomáhajú splniť požiadavky GDPR na bezpečné uloženie dokumentov. Správne zaobchádzanie s vytlačenými dokumentmi predstavuje ďalší kľúčový prvok, ktorému sa musia dôsledne venovať nielen veľké nemocnice, ale aj obecné úrady či školy. Odporúčame zvážiť zaobstaranie nábytkového trezoru s kvalitným bezpečnostným zámkom. Moderné kancelárske trezory ponúkajú prakticky riešené vnútorné usporiadanie vrátane oddelených schránok na uloženie dôležitých spisov, čo výrazne uľahčuje organizáciu a zvyšuje bezpečnosť dokumentácie.
GDPR je už niekoľko rokov bežnou súčasťou fungovania firiem, ktoré pracujú s osobnými údajmi. Väčšina spoločností má základné povinnosti zvládnuté – kľúčom k bezproblémovej prevádzke je dnes najmä priebežná údržba procesov a používanie aktuálneho softvéru.
Úplné znenie nariadenia GDPR nájdete na stránkach eur-lex-europa.eu.
Slovenská republika prijala adaptačnú legislatívu k GDPR – zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý nadobudol účinnosť 25. mája 2018 a nahradil predchádzajúci zákon č. 122/2013 Z. z. o ochrane osobných údajov. Tento zákon dopĺňa a spresňuje niektoré oblasti GDPR a zároveň stanovuje výnimky (napríklad pre žurnalistiku, akademický výskum či umeleckú tvorbu). Súčasťou právneho rámca je aj dohľad nad ochranou osobných údajov, ktorý vykonáva Úrad na ochranu osobných údajov SR.
GDPR predstavuje skratku General Data Protection Regulation čiže Všeobecného nariadenia o ochrane osobných údajov.
Vyčerpávajúce informácie na tému General Data Protection Regulation (GDPR) nájdete tiež na anglickej verzii wikipédie.
Slovenský preklad GDPR vo formáte PDF nájdete na stránkach http://eur-lex.europa.eu/legal-content/SK.
GDPR nadobudlo účinnosť 25. mája 2018.