GDPR Compliance Checklist pre právne kancelárie 2025
Právne kancelárie spracúvajú tisíce osobných údajov denne. GDPR pokuta môže dosiahnuť až 20 miliónov eur.
Tento praktický checklist vám pomôže zabezpečiť compliance a vyhnúť sa sankciám. Každý krok obsahuje konkrétne kroky a nástroje.
€20M
max. pokuta za GDPR porušenie
72h
na nahlásenie data breach
1 mesiac
lehota na výmaz údajov
1. Základná dokumentácia
Záznam spracovateľských činností (ZSČ)
Evidencia všetkých spracúvaných osobných údajov, účelov, príjemcov a lehôt uchovávania.
Interné smernice GDPR
Písomné pravidlá pre zamestnancov: ako spracúvať údaje, čo robiť pri data breach, atď.
Zmluvy so spracovateľmi
Každý dodávateľ (IT, účtovníctvo, archív) musí mať GDPR zmluvu o spracúvaní údajov (DPA).
2. Technické a organizačné opatrenia
Šifrovanie údajov
V prenose: HTTPS/TLS pre všetky komunikácie
V pokoji: Encrypted databázy, šifrované disky
Prístupové práva (Role-Based Access)
Nie každý zamestnanec potrebuje vidieť všetky údaje. Implementujte role:
- Partner: full access
- Advokát: prístup k svojim klientom
- Asistent: len viewing, bez exportov
Audit log (záznamy prístupov)
Logujte: kto, kedy, aké údaje videl/upravil/exportoval. Uchovávajte min. 1 rok.
Zálohy a disaster recovery
Denné automatické zálohy, šifrované, stored off-site (cloud EÚ). Testujte recovery 1x ročne.
Anonymizácia / Pseudonymizácia
Pre interné testy, analytics, reporty používajte anonymizované údaje. Odporúčame implementovať procesy pre anonymizáciu citlivých údajov.
3. Práva dotknutých osôb
Lehota na vybavenie žiadosti: 1 mesiac. Ak nestihnete, môžete predĺžiť o 2 mesiace, ale musíte klienta informovať do 1 mesiaca.
Právo na prístup (čl. 15 GDPR)
Klient má právo vedieť, aké údaje o ňom spracúvate. Musíte poskytnúť kópiu všetkých údajov.
Právo na opravu (čl. 16 GDPR)
Klient môže požiadať o opravu nesprávnych údajov (napr. zmenená adresa).
Právo na výmaz / "right to be forgotten" (čl. 17 GDPR)
Klient môže požiadať o vymazanie údajov. Výnimka: ak máte právnu povinnosť uchovávať (napr. archívne lehoty).
Právo na prenosnosť údajov (čl. 20 GDPR)
Klient môže požiadať o export údajov v strojovo čitateľnom formáte (JSON, CSV, XML).
4. Postup pri Data Breach (únik údajov)
Ak dôjde k úniku osobných údajov, máte 72 hodín na nahlásenie Úradu pre ochranu osobných údajov (ÚOOÚ).
Okamžité zadokumentovanie incidentu
Zapíšte: čo sa stalo, kedy, aké údaje unikli, koľko ľudí je dotknutých, ako k tomu došlo.
Posúdenie rizika
Nízke riziko (napr. úniku email adresy) vs. vysoké riziko (úniku zdravotných záznamov, finančných údajov).
Nahlásenie ÚOOÚ (do 72h)
Formulár na: dataprotection.gov.sk
Informovanie dotknutých osôb
Ak je riziko vysoké, musíte informovať aj klientov (email, list). Vysvetlite čo sa stalo a aké kroky podnikáte.
Nápravné opatrenia
Opravte zraniteľnosť, zmeňte heslá, aktualizujte bezpečnostné protokoly.
Tip: Vytvorte si Data Breach Response Plan dopredu. V strese incidentu nebudete improvizovať.
5. Školenie a osveta zamestnancov
Najväčšie bezpečnostné riziko sú ľudia, nie technológia. Väčšina GDPR incidentov je spôsobených ľudskou chybou.
Pravidelné školenia (min. 1x ročne): GDPR basics, phishing, bezpečné heslá, čo robiť pri data breach
Podpísanie NDA a GDPR záväzkov: každý zamestnanec pri nástupe
Testovanie (phishing simulations): pošlite fake phishing email a pozrite, kto klikne
Clear desk policy: žiadne dokumenty s osobnými údajmi nechávané na stole cez noc
Quick Wins: Implementujte dnes
Zapnite 2FA (two-factor authentication) na všetkých účtoch s prístupom k údajom
Aktivujte automatické zálohy (denné, šifrované, off-site)
Audit prístupových práv: kto má prístup k čomu? Odobratie zbytočných prístupov
Vytvorte Záznam spracovateľských činností (ZSČ): 2-3 hodiny práce
Prejdite na GDPR-ready nástroje: Lexi AI je built-in compliant
GDPR compliance nie je jednorazová úloha
Je to kontinuálny proces. Tento checklist vám pomôže nastaviť základ. Lexi AI zabezpečuje GDPR compliance built-in: šifrovanie, audit logy, role-based access, EU hosting, DPA templates.
14-dňová skúšobná verzia • Žiadna kreditná karta • EU hosting