GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679) je súbor pravidiel férového narábania s osobnými údajmi. Na Slovensku ho dopĺňa zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a dozor vykonáva Úrad na ochranu osobných údajov Slovenskej republiky. Týka sa každého, kto spracúva osobné údaje, firiem každej veľkosti aj orgánov verejnej správy, pričom rozsah povinností má byť primeraný veľkosti a riziku spracúvania.
Obsah
Príde vám od veľkého odberateľa dotazník o ochrane osobných údajov, alebo sa ohlási kontrola, a zrazu hľadáte zložku „GDPR“, ktorú ste naposledy otvorili v roku 2018. V praxi sa s tým stretávam opakovane: GDPR sa vybavilo raz, ako jednorazová papierovačka pre úrad, a odvtedy sa k nemu nikto nevrátil.
A práve v tomto je zakopaný pes. Ťažisko GDPR nie je v pokutách, ale v dôvere a v poriadku, ktorý viete preukázať. Keď s údajmi ľudí narábate férovo a viete to doložiť, ochrana údajov nie je bremeno, ale poriadok, ktorý chráni vás aj vašich klientov. Keď ho spravíte raz a odložíte, tak pri prvej kontrole alebo pri úniku zistíte, že papier bez reálneho poriadku za vami nestojí. Pokuta je len to, čo príde, keď ten poriadok chýba.
Čo GDPR vlastne je (a čo nie je)?
GDPR nie je zoznam zákazov ani technická norma s návodom, čo kúpiť a nainštalovať. Je to súbor pravidiel, ako sa slušne správať k osobným údajom. Osobné údaje človeka nie sú vaše, sú vám len zverené na určitý účel, a GDPR hovorí, ako s nimi narábať, aby ste dôveru nezneužili.
Osobný údaj je pritom akákoľvek informácia, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby, priamo alebo nepriamo. Meno, e-mail, IP adresa, číslo zákazníka, fotka na intranete. Nemusí ísť o údaj, ktorý človeka identifikuje sám osebe: údaj o výške mzdy nikoho neidentifikuje, a osobným údajom je. A nie je to len „citlivá“ informácia, je to aj úplne bežný kontakt v databáze, na ktorý sa často zabúda.
Koho sa GDPR týka?
Tu sa stretávame s najčastejším omylom: „sme malí, nás sa to netýka“. GDPR sa neriadi veľkosťou firmy, ale činnosťou. Ak spracúvate osobné údaje, a to robí prakticky každý, kto má zamestnancov, zákazníkov alebo dodávateľov, vzťahuje sa na vás. Platí to pre firmy a organizácie každej veľkosti aj pre orgány verejnej správy.
Rozdiel medzi malou firmou a bankou nie je v tom, či GDPR platí, ale v tom, aké primerané opatrenia sa od nich očakávajú. Malá firma s jedným zoznamom klientov nepotrebuje zaviesť rovnaké opatrenia ako veľká inštitúcia. GDPR je v tomto flexibilné, žiada primeranosť. To je dobrá správa, ktorá sa v mori strašenia z pokút často stratí.
Na čom celé GDPR stojí?
Než sa dostaneme ku konkrétnym povinnostiam, treba pochopiť sedem zásad z článku 5 nariadenia, lebo z nich vyplýva väčšina ďalších povinností. Údaje sa majú spracúvať zákonne, spravodlivo a transparentne, len na vopred určený účel, v minimálnom potrebnom rozsahu, správne a aktuálne, uchovávané len dovtedy, dokým sú potrebné, a chránené pred neoprávneným prístupom, stratou aj zničením. Nad tým všetkým stojí zásada zodpovednosti: nestačí pravidlá dodržiavať, musíte to vedieť aj preukázať.
Tá posledná zásada je kľúč k celému GDPR. Súlad, ktorý neviete doložiť, akoby neexistoval. Preto sa toľko zaoberáme dokumentáciou, nie preto, že by úrad miloval papiere, ale preto, že bez záznamu neviete preukázať, že ste konali správne.
Časť povinností zo zásad neodvodíte, tie majú vlastný základ v konkrétnych článkoch nariadenia. Patrí sem záznam o spracovateľských činnostiach, hlásenie porušenia ochrany údajov, posúdenie vplyvu aj určenie zodpovednej osoby.
Na akom základe smiete spracúvať údaje?
Žiadne spracúvanie nie je „len tak“. Vždy musíte mať jeden zo šiestich právnych základov podľa článku 6: súhlas, plnenie zmluvy, zákonnú povinnosť, ochranu životne dôležitých záujmov, verejný záujem alebo oprávnený záujem. Výber správneho základu je jedno z najčastejších miest, kde firmy chybujú, a preto mu venujeme samostatný článok o právnych základoch.
Osobitnú pozornosť si zaslúži súhlas, lebo je najviac zneužívaný a nepochopený. Súhlas nie je univerzálny základ na všetko a v mnohých situáciách je dokonca nesprávnou voľbou, napríklad na spracúvanie, ktoré aj tak musíte robiť zo zákona. Kedy ho naozaj potrebujete a kedy si škodíte tým, že si ho pýtate, rozoberáme zvlášť.
Aké práva majú ľudia, ktorých údaje spracúvate?
GDPR dáva dotknutým osobám sadu práv: na prístup k svojim údajom, na opravu, na výmaz (známe aj ako právo na zabudnutie), na obmedzenie spracúvania, na prenosnosť, právo namietať a právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní vrátane profilovania. Ak spracúvate na základe súhlasu, človek ho môže kedykoľvek odvolať.
Pre firmu z toho plynie jediná praktická vec: keď takáto žiadosť príde, musíte na ňu vedieť odpovedať, spravidla do jedného mesiaca, pričom pri zložitých žiadostiach sa lehota dá predĺžiť o ďalšie dva mesiace. Ako si na to nastaviť jednoduchý postup, aby vás žiadosť nezaskočila, ukazujeme v článku o právach dotknutých osôb.
Čo z toho musíte reálne mať?
Tu sa GDPR z princípov mení na konkrétne procesy vo vašej organizácii. Každý má v sérii vlastný článok, tu ich len pomenujem, aby ste videli celok.
Potrebujete vedieť, aké údaje a prečo spracúvate, čo zachytáva záznam o spracovateľských činnostiach, teda ROPA podľa článku 30. Ak časť spracúvania robí za vás niekto iný, napríklad cloudová alebo mzdová služba, najprv určte jeho rolu. Ak koná podľa vašich pokynov, potrebujete s ním zmluvu podľa článku 28. Údaje musíte primerane zabezpečiť a pre prípad, že sa niečo pokazí, mať pripravený postup pri úniku údajov vrátane hlásenia úradu. Za istých okolností musíte mať určenú zodpovednú osobu, po anglicky DPO, a pri rizikovejších spracúvaniach vykonať posúdenie vplyvu na ochranu údajov.
Dve témy sa v projektoch objavujú najčastejšie: monitorovanie zamestnancov, kamery a sledovanie, kde sa GDPR prelína so Zákonníkom práce, a prenos údajov do tretích krajín, ktorý riešite vždy, keď sa údaje sprístupňujú mimo Európskeho hospodárskeho priestoru, typicky pri cloudových službách amerických poskytovateľov.
Prečo GDPR nie je samostatná oblasť?
Toto je pohľad, ktorý odlišuje formálny súlad od skutočného. Bezpečnostné opatrenia podľa článku 32 GDPR sa metodicky prekrývajú s informačnou bezpečnosťou podľa STN ISO/IEC 27001:2023 a kybernetickou bezpečnosťou podľa ZoKB. Líšia sa ale tým, čo chránia: systém manažérstva informačnej bezpečnosti chráni informácie organizácie, GDPR práva ľudí a ZoKB kontinuitu služby. Analýzu aktív a rizík preto viete použiť naprieč, závery nie. Rovnako posúdenie vplyvu je riadenie rizík aplikované na práva ľudí, nie na organizáciu.
S nástupom umelej inteligencie pribudol ďalší prienik, nariadenie (EÚ) 2024/1689 o umelej inteligencii. S GDPR sa stretáva najmä pri právnom základe pre trénovacie údaje, transparentnosti voči ľuďom a automatizovanom rozhodovaní.
Firma, ktorá tieto veci rieši oddelene, robí analýzu aktív a rizík zakaždým odznova. Kto vidí ich spoločný metodický základ, urobí ju raz a použije naprieč, hoci závery si musí vyhodnotiť pre každý režim zvlášť.
Kam GDPR smeruje?
GDPR nie je zamrznuté v roku 2018, hýbe sa na dvoch úrovniach naraz. Dôležité je pritom oddeliť, čo už platí, od toho, čo je zatiaľ len návrh.
Na európskej úrovni predložila Komisia 19. novembra 2025 balík Digital Omnibus, ktorý má zjednodušiť pravidlá a znížiť administratívnu záťaž. Balík sa rozdelil na dve časti. Časť o umelej inteligencii bola prijatá v júni 2026. Časť dotýkajúca sa GDPR a smernice ePrivacy je v polovici roka 2026 stále v rokovaní a jej podoba sa počas neho výrazne menila, viaceré pôvodne navrhované zmeny členské štáty z textu vypustili. Do prijatia platí GDPR v doterajšom znení.
Na slovenskej úrovni pripravil Úrad na ochranu osobných údajov dva nové zákony, ktoré majú nahradiť zákon č. 18/2018 Z. z. a odstrániť dvojkoľajnosť medzi ním a GDPR. Návrhy boli zverejnené 11. júna 2025 (legislatívne procesy LP/2025/305 a LP/2025/306) a stále prechádzajú legislatívnym procesom. Ak ste sa stretli s tvrdením, že nové slovenské pravidlá platia od januára 2026, nezodpovedá to skutočnosti, zákon č. 18/2018 Z. z. je naďalej účinný.
Kam to smeruje a čo to bude znamenať pre firmy a verejnú správu, sledujeme v samostatnom článku.
Odkiaľ vychádzať
Najrozumnejší vstupný bod nie je softvér ani stiahnuté vzory, ale otázka, ktorú si prekvapivo málo firiem položí: aké osobné údaje vlastne máme, odkiaľ, prečo a kde sú?
Prakticky to znamená prejsť si, aké kategórie údajov spracúvate, teda zamestnanci, zákazníci, dodávatelia a uchádzači o prácu, odkiaľ prichádzajú, v ktorých systémoch sú uložené, kto k nim má prístup, komu ich posielate a ako dlho ich uchovávate. Je to jedno pracovné stretnutie so všetkými, ktorí prichádzajú do styku s osobnými údajmi, a zmapovanie, ako údaje putujú firmou alebo organizáciou, ktoré ušetrí mesiace práce. Firmy, ktoré si toto mapovanie spravili, majú z čoho stavať zvyšok. Bez neho sa ďalšie kroky robia poslepiačky.
Tu zaznieva zvyčajná námietka: „na toto sme príliš malí“ alebo „spravíme si to sami, šablón je plný internet“. Šablónu smernice si naozaj stiahnete na pár klikov. Kde to ale zvyčajne uviazne, je práve tá dátová inventúra a správny právny základ pre každú činnosť zvlášť, lebo to za vás nespraví žiadny vzor, len znalosť vašich vlastných procesov. To je presne tá časť, kde býva rozdiel medzi „máme dokument“ a „obstáli sme pri kontrole“.
Ak si chcete urobiť rýchly obraz o tom, kde máte v ochrane údajov slabé miesta, a nechcete to riešiť sami, vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby. Pri externom výkone je pritom podstatná nezávislosť: článok 38 ods. 6 GDPR pripúšťa ďalšie úlohy len vtedy, keď nevzniká konflikt záujmov, preto nastavovanie súladu a jeho následné monitorovanie držíme oddelene. Viac informácií nájdete na našej stránke o ochrane osobných údajov. Ktorým mýtom a chybám sa cestou vyhnúť, zhrnieme na záver série.
Časté otázky
Čo je GDPR?
GDPR je Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane osobných údajov. Na Slovensku ho dopĺňa zákon č. 18/2018 Z. z. a dozor nad ním vykonáva Úrad na ochranu osobných údajov Slovenskej republiky.
Koho sa GDPR týka?
Každého, kto spracúva osobné údaje fyzických osôb, teda firiem a organizácií každej veľkosti aj orgánov verejnej správy. Rozhoduje činnosť, nie veľkosť.
Musí mať aj malá firma záznam o spracovateľských činnostiach?
Povinnosť viesť záznam má podľa článku 30 GDPR každý prevádzkovateľ aj sprostredkovateľ. Pre organizácie s menej než 250 zamestnancami existuje výnimka, tá sa však neuplatní, ak spracúvanie predstavuje riziko pre práva dotknutých osôb, ak nie je príležitostné, alebo ak zahŕňa osobitné kategórie údajov. Mzdová a personálna agenda príležitostná nie je, preto sa výnimka v praxi využije len zriedka a záznam potrebuje aj malá firma. Jeho rozsah je úmerný veľkosti a riziku.
Hrozia za porušenie GDPR pokuty aj malým firmám?
Áno. Úrad na ochranu osobných údajov SR dozoruje dodržiavanie GDPR a môže ukladať pokuty aj menším subjektom. V praxi ale posudzuje aj primeranosť a súčinnosť, preto sa oplatí vedieť preukázať, že ste konali správne.
Kedy musí firma mať zodpovednú osobu (DPO)?
Vtedy, keď to vyžaduje článok 37 GDPR, napríklad pri rozsiahlom systematickom monitorovaní alebo rozsiahlom spracúvaní osobitných kategórií údajov, a vždy pre orgány verejnej moci s výnimkou súdov pri výkone súdnej právomoci. Podrobnosti rozoberáme v článku o zodpovednej osobe.