GDPR, Odporúčame

1. 10. 2019

#1 Postačuje firmám vzorová dokumentácia ku GDPR?

#1 Postačuje firmám vzorová dokumentácia ku GDPR?

Túto otázku si pokladajú mnohé firmy, ako aj orgány verejnej správy. Ako zistíme, či vzorová dokumentácia je všetko, čo potrebujem pre plnenie povinností v súlade s GDPR Nariadením?1

V praxi sme sa stretli s rôznymi druhmi a typmi vzorovej dokumentácie. Aj v súčasnosti má veľa spoločností, obcí, škôl alebo iných orgánov len vzorovú dokumentáciu. Tá štandardne zahŕňa bezpečnostný projekt alebo bezpečnostné opatrenia, vzorovú zmluvu o poverení so spracúvaním osobných údajov, súhlas so spracovaním osobných údajov, prípadne „vzor“ nahlásenia bezpečnostného incidentu na Úrad na ochranu osobných údajov, štandardizované „zásady ochrany osobných údajov“ a pod.

Stačí nám vzorová dokumentácia? Dokážeme takto plniť všetky povinnosti vo vzťahu k ochrane osobných údajov?

Mnoho povinností vyplýva priamo z GDPR. Pre účely tohto článku si zhrnieme niektoré základné povinnosti vyplývajúce z Nariadenia:

1. Spracúvanie osobných údajov v súlade so zásadami GDPR

Zásady vyplývajú z jednotlivých ustanovení GDPR a sú definované v článku 5 Nariadenia. Osobné údaje sú subjekty povinné spracúvať:

  • zákonne, t. j. mať pre spracúvanie relevantný právny základ (právnym základom je napríklad súhlas, plnenie zmluvných alebo zákonných povinností, oprávnený záujem…),
  • spravodlivo a transparente, čo súvisí napríklad s informovaním dotknutej osoby o spracúvaní jej osobných údajov,
  • s obmedzením účelu, teda používať osobné údaje výlučne na účely, na ktorý boli získané,
  • tak, aby boli údaje minimalizované vzhľadom na účely, na ktoré sa spracúvajú. Zjednodušene, spracúvame len osobné údaje, ktoré potrebujeme,
  • len počas určenej doby, ktorá je minimalizovaná na potrebný čas spracúvania,
  • bezpečne, teda chrániť osobné údaje pred zneužitím, stratou, zničením…,
  • správne osobné údaje, teda prijať opatrenia, aby mohli byť osobné údaje opravené alebo vymazané.

Máte definované účely spracúvania?

Máte určené doby uchovávania pre účely spracúvania?

Spracúvate len potrebné osobné údaje?

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

2. Informovanie dotknutých osôb o spracúvaní osobných údajov

Jednou z najzásadnejších povinností je informačná povinnosť vo vzťahu k dotknutým osobám. Každý prevádzkovateľ (napr. podnikateľ, obec, škola a iní prevádzkovatelia) je povinný (ak je to možné) už pri získavaní osobných údajov oznámiť dotknutej osobe všetky informácie o spracúvaní jej osobných údajov. Táto povinnosť (mimo iné súvisiaca so zásadou spravodlivosti a transparentnosti) vyplýva z článku 12 a nasl. Nariadenia.

Každý prevádzkovateľ je povinný:

  • prijať opatrenia, ktorých účelom je poskytnutie informácií o spracúvaní,
  • formulovať podmienky spracúvania osobných údajov stručne, transparentne a zrozumiteľne, v ľahko dostupnej forme,
  • zabezpečiť výkon práv dotknutej osoby – ak dotknutá osoba uplatní svoje práva…

PREČÍTAJTE SI AJ: Povinnosti prevádzkovateľov vyplývajúce z Nariadenia GDPR sú samostatnou a rozsiahlou témou. Ak máte záujem sa v oblasti ochrany osobných údajov naďalej vzdelávať nájdete informácie spojené s touto problematikou v nasledovnej sekcii nášho webu – GDPR povinnosti.

Táto informačná povinnosť pre prevádzkovateľa znamená, že musí „oboznamovať“ dotknutú osobu o spracúvaní osobných údajov v súlade s článkom 13 Nariadenia alebo v súlade s článkom 14 Nariadenia. Tieto ustanovenia „píšu“ o tom, čo všetko musíme oznámiť dotknutej osobe. Dotknutú osobu musí prevádzkovateľ informovať o svojich údajoch (označenie a kontakt), zodpovednej osobe (ak bola poverená), účeloch spracúvania, príjemcoch, prenose mimo EÚ a o oprávnenom záujme, ak je právnym základom článok 6 ods. 1 písm. f) Nariadenia. Okrem toho, prevádzkovateľ uvádza dotknutej osobe aj dobu uchovávania, práva dotknutej osoby atď.

Poskytujete dotknutým osobám informácie o spracúvaní osobných údajov?

Prijali ste opatrenia, prostredníctvom ktorých zabezpečíte plnenie práv dotknutých osôb?

Viete preukázať, že dotknuté osoby sa mali možnosť so spracúvaním osobných údajov oboznámiť?

Odpovede na otázky v prvom a druhom bode vám pomôžu odpovedať na položenú otázku: postačuje vzorová GDPR dokumentácia k ochrane osobných údajov?

Ochrana osobných údajov je pre spoločnosti a subjekty spracúvajúce osobné údaje, preto je podľa nášho názoru nevyhnutná aktualizácia GDPR v každej firme. A aj z tohto dôvodu vzorová dokumentácia, ak postačovala včera, nemusí stačiť dnes. Príkladom je posledná aktualizácia Zákonníka práce2 alebo „nepopulárny“ zápis KÚV.

vypracovanie-gdpr-dokumentacia-securion


 


  1. Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe osobných údajov 

  2. Pozn.  novela Zákonníka práce účinná od 01.01.2020. 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

do you need advice?

We help companies fulfil their legislative obligations.

We will be happy to answer all your questions by e-mail, phone or in person.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.