Aktuality

GDPR: Nevyhnutné dokumenty pre súlad s Nariadením GDPR

Nevyhnutné dokumenty pre súlad s Nariadením GDPR

Pri zavádzaní GDPR do spoločnosti je nevyhnutné vytvoriť minimálne tieto nasledovné dokumenty:

1) analýza rizík

2) smernice o ochrane osobných údajov

3) informácie o spracovaní osobných údajov pre subjekt údajov a ďalšiu verejnosť

4) záznamy o činnostiach spracovania

5) súhlas

6) interné a externé zmluvy

7) zmluva o spracovaní osobných údajov

8) zmluva pre poverenú osobu

9) záznam o preškolení zamestnancov

1. Analýza rizík

Pri zavádzaní Nariadenia GDPR je potrebné definovať, aké riziká existujú pri práci s osobnými údajmi v každej konkrétnej spoločnosti, následne sa od toho odvíjajú niektoré povinnosti určené Nariadením GDPR.

Otázky pokladané pri analýze rizík

  • Kto vykonáva analýzu?
  • Čo je potrebné chrániť?
  • Ako sú osobné údaje ohrozené?
  • Prečo sú osobné údaje v nebezpečenstve?
  • Ako sa brániť?
  • Ako vyhodnotiť riziká pre osobné údaje?
  • Ako ošetriť riziká pre osobné údaje?

Správa o analýze rizík slúži predovšetkým k preukázaniu súladu s Nariadením GDPR. Hodnotenie rizík pre osobné údaje je nevyhnutné pravidelne opakovať, pretože sa môžu vyskytnúť nové riziká.

2. Smernice o ochrane osobných údajov

Smernica o ochrane osobných údajov je zásadným a základným dokumentom, ktorý súvisí s Nariadením GDPR. Tento dokument obsahuje informácie o základných pravidlách spracovania osobných údajov v spoločnosti.

Smernica musí byť vytvorená v každej spoločnosti, v ktorej dochádza k spracovaniu osobných údajov fyzických osôb.

Informácie, ktoré sú nutné v smernici uvádzať, sa odvíjajú predovšetkým od veľkosti spoločnosti, spracovaných osobných údajov alebo účelu práce s osobnými údajmi.

V spoločnosti je možné vytvoriť jednu smernicu, ktorá bude zahŕňať všetky ustanovenia týkajúce sa spracovania a ochrany osobných údajov. Takisto je možné vytvoriť viacero dokumentov napríklad podľa oddelenia, osôb alebo činností. I v ďalších vnútropodnikových predpisoch a smerniciach je nutné skontrolovať definície a postupy pri práci s osobnými údajmi. Ak tieto ďalšie predpisy a smernice obsahujú informácie o spracovaní osobných údajov, bude nutné ho upraviť a zladiť s Nariadením GDPR.

3. Informácie o spracovaní osobných údajov pre subjekt údajov a ďalšiu verejnosť

K tomuto účelu je možné použiť nasledovné dokumenty:

  • Zásady ochrany osobných údajov
  • Informačná listina – osobné údaje od subjektu údajov
  • Informačná listina – osobné údaje, ktoré nie sú od subjektu údajov
  • Informačné memorandum

Pre plnenie informačnej povinnosti je možné zvoliť si jednu z týchto variant:

  • Použije sa dokument Zásady ochrany osobných údajov, ktorý bude verejne dostupný a spolu s ním sa použije jeden z dokumentov Informačná listina – podľa toho, od koho boli osobné údaje získané.
  • Použije sa dokument Informačné memorandum a tento dokument bude zverejnený a zároveň poskytovaný subjektom údajov vo chvíli, kedy sa začína spracovávanie ich osobných údajov.

Nariadenie GDPR nestanovuje formu splnenia informačných povinností (ústne, písomne, elektronicky). Vždy sa odporúča písomná forma pre možnosť preukázania súladu s Nariadením GDPR.

4. Záznamy o činnostiach spracovania

Tieto dokumenty je nutné vytvoriť v prípade, že má správca alebo spracovateľ povinnosť tieto záznamy viesť. Záznamy o činnostiach spracovania obsahujú všeobecné informácie o spracovaní a do istej miery predstavujú náhradu za oznamovaciu povinnosť, ktorá bola Nariadením GDPR zrušená. Záznamy o činnostiach spracovania popisujú jednotlivé postupy, pri ktorých dochádza k spracovaniu osobných údajov. Ide o akýsi prehľad spracovania. Nariadenie GDPR uvádza, že záznamy o činnostiach spracovania musia byť vyhotovené v písomnej podobe, čo zahŕňa aj elektronickú formu. Ak dozorný úrad požiada, musí mu správca alebo spracovateľ poskytnúť tieto záznamy o činnostiach spracovania.

5. Súhlas

Predchádzajúce súhlasy nespĺňajú požiadavky Nariadenia GDPR, preto je nutné získať nový súhlas. Takéto súhlasy musia byť získané aj od tých osôb, ktoré v minulosti súhlas už dali (no nebol v súlade s Nariadením GDPR).

Tento právny titul sa používa iba v prípade, že sa vykonáva spracovanie osobných údajov na základe súhlasu. Súhlas môže byť potrebný napríklad pre:

  • zasielanie obchodných informácii potenciálnym zákazníkom
  • zasielanie informácii o akciách usporiadaných správcom
  • spracovanie osobných údajov nad rámec plnenia zmluvy
  • zverejnenie fotiek zamestnancov na internetových stránkach spoločnosti
  • prieskum trhu

6. Interné a externé zmluvy

Je potrebné upraviť všetky zmluvy so zamestnancami, dodávateľmi alebo odberateľmi, aby obsahovali informácie o tom, ako sú spracovávané ich osobné údaje, prípadne musia byť zamestnanci viazaní mlčanlivosťou. Túto problematiku je možné riešiť dodatkami k zmluve o spracovaní osobných údajov alebo o mlčanlivosti.

7. Zmluva o spracovaní osobných údajov

Správca môže využiť iba tých spracovateľov, ktorý poskytujú dostatočné záruky zavedenia vhodných technických a organizačných opatrení, tak aby dané spracovanie spĺňalo požiadavky Nariadenia GDPR a aby bola zaistená ochrana práv subjektov údajov. Ak sú v spoločnosti využité služby externej spoločnosti pre nejakú prácu s osobnými údajmi (napríklad externé účtovníctvo) musia mať spísanú spracovateľskú zmluvu.

8. Zmluva pre poverenú osobu

V prípade, že má spoločnosť povinnosť menovať poverenú osobu pre ochranu osobných údajov, je nutné aby s touto osobou bola podpísaná zmluva. Správca a spracovateľ menuje poverenú osobu pre ochranu osobných údajov v každom prípade keď:

  • spracovanie vykonáva orgán verejnej moci alebo verejný subjekt s výnimkou súdov jednajúcich v rámci svojich súdnych právomocí
  • hlavnou činnosťou správa alebo spracovateľ spočívajú v úkonoch spracovania, ktoré kvôli svojej povahe, svojmu rozsahu alebo svojim účelom vyžadujú rozsiahle pravidelne a systematické monitorovanie subjektov údajov
  • hlavné činnosti správcu alebo spracovateľa spočívajú v rozsiahlom spracovaní zvláštnych kategórii údajov

9. Záznam o preškolení zamestnancov

Každý zamestnanec v spoločnosti musí prejsť školením zameraným na spracovanie osobných údajov súvisiace s Nariadením GDPR. Zápis zo školenia sa vytvára preto, aby bolo možné doložiť, že spoločnosť vedie kroky k tomu, aby bolo v súlade s Nariadením GDPR. Školenie zamestnancov je jednou z organizačných opatrení, ktorá sa zavádzajú pre ochranu osobných údajov.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.