#1 Postačuje firmám vzorová dokumentácia ku GDPR?

Túto otázku si pokladajú mnohé firmy, ako aj orgány verejnej správy. Ako zistíme, či vzorová dokumentácia je všetko, čo potrebujem pre plnenie povinností v súlade s GDPR Nariadením?1

V praxi sme sa stretli s rôznymi druhmi a typmi vzorovej dokumentácie. Aj v súčasnosti má veľa spoločností, obcí, škôl alebo iných orgánov len vzorovú dokumentáciu. Tá štandardne zahŕňa bezpečnostný projekt alebo bezpečnostné opatrenia, vzorovú zmluvu o poverení so spraúcvaním osobných údajov, súhlas, prípadne „vzor“ nahlásenia bezpečnostného incidentu na Úrad na ochranu osobných údajov, štandardizované „zásady ochrany osobných údajov“ a pod.

Stačí nám vzorová dokumentácia? Dokážeme takto plniť všetky povinnosti vo vzťahu k ochrane osobných údajov?

Mnoho povinností vyplýva priamo z GDPR. Pre účely tohto článku si zhrnieme niektoré základné povinnosti vyplývajúce z Nariadenia:

1. Spracúvanie osobných údajov v súlade so zásadami GDPR

Zásady vyplývajú z jednotlivých ustanovení GDPR a sú definované v článku 5 Nariadenia. Osobné údaje sú subjekty povinné spracúvať:

  • zákonne, t. j. mať pre spracúvanie relevantný právny základ (právnym základom je napríklad súhlas, plnenie zmluvných alebo zákonných povinností, oprávnený záujem…),
  • spravodlivo a transparente, čo súvisí napríklad s informovaním dotknutej osoby o spracúvaní jej osobných údajov,
  • s obmedzením účelu, teda používať osobné údaje výlučne na účely, na ktorý boli získané,
  • tak, aby boli údaje minimalizované vzhľadom na účely, na ktoré sa spracúvajú. Zjednodušene, spracúvame len osobné údaje, ktoré potrebujeme,
  • len počas určenej doby, ktorá je minimalizovaná na potrebný čas spracúvania,
  • bezpečne, teda chrániť osobné údaje pred zneužitím, stratou, zničením…,
  • správne osobné údaje, teda prijať opatrenia, aby mohli byť osobné údaje opravené alebo vymazané.

Máte definované účely spracúvania?

Máte určené doby uchovávania pre účely spracúvania?

Spracúvate len potrebné osobné údaje?

2. Informovanie dotknutých osôb o spracúvaní osobných údajov

Jednou z najzásadnejších povinností je informačná povinnosť vo vzťahu k dotknutým osobám. Každý prevádzkovateľ (napr. podnikateľ, obec, škola a iní prevádzkovatelia) je povinný (ak je to možné) už pri získavaní osobných údajov oznámiť dotknutej osobe všetky informácie o spracúvaní jej osobných údajov. Táto povinnosť (mimo iné súvisiaca so zásadou spravodlivosti a transparentnosti) vyplýva z článku 12 a nasl. Nariadenia.

Každý prevádzkovateľ je povinný:

  • prijať opatrenia, ktorých účelom je poskytnutie informácií o spracúvaní,
  • formulovať podmienky spracúvania osobných údajov stručne, transparentne a zrozumiteľne, v ľahko dostupnej forme,
  • zabezpečiť výkon práv dotknutej osoby – ak dotknutá osoba uplatní svoje práva…

Táto informačná povinnosť pre prevádzkovateľa znamená, že musí „oboznamovať“ dotknutú osobu o spracúvaní osobných údajov v súlade s článkom 13 Nariadenia alebo v súlade s článkom 14 Nariadenia. Tieto ustanovenia „píšu“ o tom, čo všetko musíme oznámiť dotknutej osobe. Dotknutú osobu musí prevádzkovateľ informovať o svojich údajoch (označenie a kontakt), zodpovednej osobe (ak bola poverená), účeloch spracúvania, príjemcoch, prenose mimo EÚ a o oprávnenom záujme, ak je právnym základom článok 6 ods. 1 písm. f) Nariadenia. Okrem toho, prevádzkovateľ uvádza dotknutej osobe aj dobu uchovávania, práva dotknutej osoby atď.

Poskytujete dotknutým osobám informácie o spracúvaní osobných údajov?

Prijali ste opatrenia, prostredníctvom ktorých zabezpečíte plnenie práv dotknutých osôb?

Viete preukázať, že dotknuté osoby sa mali možnosť so spracúvaním osobných údajov oboznámiť?

Odpovede na otázky v prvom a druhom bode vám pomôžu odpovedať na položenú otázku: postačuje vzorová dokumentácia k ochrane osobných údajov?

Ochrana osobných údajov je pre spoločnosti a subjekty spracúvajúce osobné údaje, preto je podľa nášho názoru nevyhnutná aktualizácia GDPR v každej firme. A aj z tohto dôvodu vzorová dokumentácia, ak postačovala včera, nemusí stačiť dnes. Príkladom je posledná aktualizácia Zákonníka práce2 alebo „nepopulárny“ zápis KÚV.

V ďalšom článku vám prezradíme ďalšie povinnosti spojené s ochranou osobných údajov. Budeme písať o interných postupoch, ktoré je prevádzkovateľ povinný prijať a bezpečnostných opatreniach. 

gdpr-vypracovanie-securion

 

Pozrite si aj naše videoškolenie – čo má obsahovať dokumentácia ku GDPR:


 


  1. <em>Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe osobných údajov 

  2. Pozn.  novela Zákonníka práce účinná od 01.01.2020. 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.