• Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

  • Referencie
  • EN

Vyhnú sa neziskové organizácie GDPR nariadeniam?

Neziskové organizácie sa nepovažujú za výnimku v súvislosti so všeobecným nariadením o ochrane údajov (GDPR). Toto európske nariadenie platí pre všetky subjekty, ktoré spracúvajú osobné údaje fyzických osôb v EÚ — bez ohľadu na ich právnu formu alebo cieľovú činnosť. To znamená, že aj neziskové organizácie, občianske združenia, nadácie či cirkevné spoločenstvá musia dodržiavať všetky povinnosti podľa GDPR, ak zhromažďujú alebo spracúvajú osobné údaje napríklad o svojich členoch, darcov, dobrovoľníkoch alebo prijímateľoch pomoci.

V nasledujúcom článku si podrobne vysvetlíme, ako sa GDPR týka neziskových organizácií, aké výnimky môžu a nemusia uplatňovať, aké povinnosti im z neho vyplývajú, ako zabezpečiť súlad s nariadením a čo im hrozí pri jeho porušení. Cieľom je pomôcť neziskovým organizáciám nielen porozumieť svojej právnej zodpovednosti, ale hlavne prijať praktické kroky na ochranu osobných údajov a budovanie dôvery medzi členmi a verejnosťou.

Pre koho platí GDPR a čo znamená v praxi?

GDPR (General Data Protection Regulation) je nariadenie Európskej únie, ktoré nadobudlo účinnosť 25. mája 2018 a týka sa spracúvania osobných údajov fyzických osôb žijúcich v EÚ. Nezáleží, či sa jedná o štátne inštitúcie, firmy alebo neziskové organizácie – ak subjekt spracúva osobné údaje, GDPR sa ho týka.

Osobné údaje – čo to presne je?

Osobné údaje sú akékoľvek informácie, ktoré môžu identifikovať konkrétnu osobu. Môže ísť o:

  • Meno a priezvisko
  • Emailová adresa
  • IP adresa
  • Adresa bydliska
  • Údaje o zdravotnom stave, rasovom pôvode, náboženskom presvedčení a pod. – tzv. citlivé údaje (osobitná kategória)

Prečo sa GDPR týka aj neziskových organizácií?

Neziskové organizácie často zhromažďujú údaje o svojich členoch, sympatizantoch, darcoch či prijímateľoch služieb. Pravidelne používajú e-maily, kontaktujú verejnosť prostredníctvom kampaní, alebo organizujú podujatia. Všetky tieto činnosti si vyžadujú spracovanie osobných údajov, a tým pádom spadajú pod pôsobnosť GDPR.

Existujú pre neziskové organizácie výnimky?

GDPR vo svojej podstate neoslobodzuje neziskové organizácie od povinností. Existujú však určité uľahčenia, ktoré závisia od typu spracovania a rozsahu operácií.

Kedy môžu neziskové organizácie uplatniť špecifické úľavy?

Úľavy môže nezisková organizácia využiť, ak:

  • Osobné údaje spracúva vo veľmi obmedzenom rozsahu (napr. iba e-mailové adresy pre zasielanie pozvánok)
  • Nevykonáva systematické a rozsiahle spracovanie citlivých údajov
  • Spracúva údaje len v rámci uzavretých skupín (napr. členovia spolku)

Napriek týmto výnimkám platí, že každá organizácia musí dodržiavať základné princípy GDPR, ako je transparentnosť, minimalizácia údajov a bezpečnosť dát.

Aké sú hlavné povinnosti neziskových organizácií podľa GDPR?

GDPR kladie dôraz na niekoľko kľúčových oblastí, ktoré sa týkajú aj neziskových subjektov:

1. Právny základ spracovania

Nezisková organizácia musí mať právny dôvod, prečo spracúva údaje. Najčastejšie ide o:

  • Súhlas dotknutej osoby – napríklad pri získavaní darcov
  • Zmluvný vzťah – napríklad s dobrovoľníkmi
  • Legitímny záujem – napr. pri uchovávaní evidencie členov

2. Informačná povinnosť

Organizácia musí jasne informovať jednotlivcov, ako používa ich údaje. To znamená spraviť dostupné:

  • Samostatné zásady spracúvania osobných údajov (privacy policy)
  • Vyhlásenie o tom, kto je prevádzkovateľom, aké údaje sa spracúvajú, ako dlho a komu sa poskytujú

3. Zabezpečenie údajov

Údaje musia byť technicky aj organizačne chránené – napríklad heslá, šifrovanie, obmedzený prístup, bezpečné cloudové úložiská a pod.

Spracovanie citlivých údajov v neziskových organizáciách

Mnohé neziskové organizácie pracujú s ľuďmi v ohrození – napr. so seniormi, zdravotne znevýhodnenými, obeťami násilia. V takých prípadoch môže dochádzať k spracúvaniu tzv. osobitných kategórií údajov – tzv. citlivých údajov, ako sú:

  • Údaje o zdravotnom stave
  • Náboženská alebo politická príslušnosť
  • Etnický pôvod
  • Údaje o trestnej činnosti

Spracovanie tohto typu údajov je mimoriadne citlivé a povolené len za špecifických podmienok, obvykle so výslovným súhlasom dotknutej osoby.

Je potrebný zodpovedná osoba (DPO) pre každú organizáciu?

Nie všetky neziskové organizácie musia vymenovať zodpovednú osobu (Data Protection Officer – DPO). Povinnosť vymenovať DPO vzniká vtedy, ak:

  • Organizácia vykonáva rozsiahle monitorovanie osôb
  • Dochádza k rozsiahlemu spracúvaniu citlivých údajov

V praxi väčšina malých a stredných neziskových organizácií nepotrebuje vlastného DPO, ale mali by mať aspoň poverenú osobu zodpovednú za správu údajov a GDPR dokumentáciu.

Praktické kroky k súladu s GDPR pre neziskové organizácie

Prehľadný zoznam činností, ktoré by organizácia mala vykonať:

  1. Audit osobných údajov – aké údaje sa zbierajú, prečo a kde sú uložené
  2. Určenie právneho základu pre každé spracovanie
  3. Vypracovanie a zverejnenie zásad ochrany osobných údajov
  4. Sledovanie procesov zberu súhlasov (napr. e-maily, registračné formuláre)
  5. Zabezpečenie údajov – heslovanie, aktualizácie softvéru, obmedzený fyzický prístup, atď.
  6. Dohody so spracovateľmi – externí IT dodávatelia, cloud služby a pod.

Ako riešiť incidenty a porušenie ochrany údajov?

Ak dôjde k úniku alebo neoprávnenému prístupu k údajom, organizácia musí konať rýchlo:

  • Oznámiť incident Úradu na ochranu osobných údajov do 72 hodín
  • Informovať dotknuté osoby, ak ide o vážne narušenie ich práv
  • Viesť záznam o incidente – čo sa stalo, ako sa to riešilo, aké opatrenia boli prijaté

Pokuty a sankcie, ktorým môžu neziskovky čeliť

Aj neziskové organizácie môžu čeliť sankciám za porušenie GDPR. Tieto môžu zahŕňať:

  • Pokuty až do výšky 20 miliónov eur alebo 4 % z celkového obratu (podľa toho, ktorá suma je vyššia)
  • Upozornenia alebo obmedzenia spracovania
  • Poškodenie reputácie

V praxi sa úrad zvyčajne snaží najprv pomôcť organizácii opraviť chyby, ale pri vážnych alebo opakovaných porušeniach môže dôjsť aj k finančným postihom.

Záver: GDPR ako príležitosť, nie len povinnosť

Hoci dodržiavanie GDPR znamená pre neziskové organizácie isté administratívne náklady a zmeny v procesoch, zároveň prináša aj pozitíva. Dôsledná ochrana osobných údajov buduje dôveru u členov, darcov, verejnosti aj partnerov. Navyše zlepšuje interné procesy, zamedzuje zbytočnému zberu údajov a zvyšuje transparentnosť fungovania každej organizácie.

Každá nezisková organizácia by si mala uvedomiť, že GDPR nie je prekážkou, ale modernou výzvou ako chrániť ľudí, ktorým slúži.

Neriskujte pokutu až 10 000 €. Pomôžeme vám vypracovať smernicu NIS 2 pre vašu organizáciu alebo firmu. Bude si to vyžadovať 30 min vášho času a ani nemusíte nikam cestovať.

Akciová ponuka do 20. 2. 2026

Implementácia smernice NIS 2
15 EUR
20,00 EUR / mesiac

Často kladené otázky

Čo je phone scam?

Úvod Telefónny podvod, známy tiež ako „phone scam,“ je čoraz bežnejší spôsob, akým sa podvodníci snažia získať osobné údaje alebo peňažné prostriedky od ľudí. Využívajú pri tom telefónne hovory alebo textové správy, ktoré sa môžu zdať dôveryhodné, avšak ich skutočným cieľom je podviesť obeť. Podvodníci sa často vydávajú za autority, ako sú banky, vládne inštitúcie […]

Zobraziť celú odpoveď

Čo je USB-borne attack?

**Čo je USB-borne attack?** USB-borne attack, alebo útok prenosom cez USB, je bezpečnostná hrozba, ktorá využíva USB zariadenie na šírenie škodlivého softvéru alebo na zneužitie systému. Tieto útoky patria medzi najstaršie a najrozšírenejšie metódy kybernetických útokov, pretože USB zariadenia sú bežne používané na prenos dát medzi počítačmi. Útočníci môžu manipulovať s USB zariadeniami tak, aby […]

Zobraziť celú odpoveď

Čo je to kybernetický útok DNS spoofing?

Čo je to kybernetický útok DNS spoofing? DNS spoofing je jednou z foriem kybernetických útokov, ktorá sa zameriava na kompromitovanie systému doménových mien (DNS), ktorý slúži ako „internetové telefónne zoznamy“. Vďaka DNS prebieha preklad doménových mien ako „www.priklad.sk“ na IP adresy, ktoré sú pre počítače zrozumiteľné. DNS spoofing umožňuje útočníkovi manipulovať s odpoveďami DNS serverov, […]

Zobraziť celú odpoveď

Čo je to kybernetický útok XSS (Cross-site scripting)?

Čo je to kybernetický útok XSS (Cross-site scripting)? XSS (Cross-site Scripting) je druh kybernetického útoku, ktorý sa využíva na vloženie škodlivého kódu do webových aplikácií. Útočníci môžu takto manipulovať s webovým obsahom, ukradnúť údaje alebo vykonať iné škodlivé aktivity. Hoci sa tento útok môže zdať jednoduchý, jeho dôsledky môžu byť významné a zasiahnuť používateľov i […]

Zobraziť celú odpoveď

Čo je pharming?

Pharming je relatívne nový druh kybernetického podvodu, ktorý ohrozuje bezpečnosť používateľov internetu. Je to technika, ktorá útočníkom umožňuje presmerovať legitímny webový prenos na falošné webové stránky. Tieto podvodné stránky často vyzerajú takmer identicky ako pôvodné stránky, čo znamená, že neopatrní používatelia môžu nevedomky zadať svoje osobné údaje, heslá a iné citlivé informácie, ktoré potom útočníci […]

Zobraziť celú odpoveď