V praxi sa často stretávame s otázkou, či sú subjekty spracúvajúce osobné údaje povinné prijať internú smernicu, prípadne iný obdobný interný dokument a čo by mal tento interný dokument (smernica) z pohľadu Nariadenia GDPR obsahovať.
Všeobecný GDPR postup pre vypracovanie smernice nepoznáme. Postupy pre interné dokumenty však majú mať oporu v tomto právnom predpise. V našom článku Vám prinášame prehľad, čo má obsahovať a ako ju pripraviť.
Povinnosť prijať interný dokument vo forme, akým bol napríklad bezpečnostný projekt informačného systému,1, GDPR priamo neustanovuje.
Nariadenie GDPR však subjektom spracúvajúcim osobné údaje (prevádzkovateľom alebo sprostredkovateľom) ukladá viacero povinností, ktoré sú povinní plniť. Subjekty sú zároveň povinné prijať aj interné postupy k vybavovaniu žiadostí dotknutých osôb, bezpečnostné opatrenia a pod.
Povinnosti možno plniť a postupy prijať formou interného predpisu, v ktorom sú zdokumentované. Bežné „pomenovanie“ tohto interného predpisu je interná smernica k ochrane osobných údajov.
V praxi sa stretávame s „internými predpismi“, v ktorých nie sú obsiahnuté požiadavky Nariadenia GDPR pre ochranu osobných údajov. To znamená, že obsahovo nie sú dostatočné pre plnenie povinností v oblasti ochrany osobných údajov a nestanovujú požadované postupy.
Tieto dokumenty bývajú pomenované ako:
Posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov slúži na úplne iné účely. Posúdenie vplyvu na ochranu osobných údajov posudzuje vplyv konkrétnych spracovateľských operácií2 na ochranu osobných údajov dotknutých osôb. Jeho obsah je vymedzený priamo GDPR, ako aj vyhláškou Úradu na ochranu osobných údajov SR o postupe pri posudzovaní vplyvu na ochranu osobných údajov.
Posúdenie vplyvu sa netýka všeobecných povinností prevádzkovateľa pri spracúvaní osobných údajov, ale iba vymedzených spracovateľských operácií a rizík, ktoré tieto spracovateľské operácie prinášajú. Posúdenie vplyvu tak nie je možné zamieňať s internou smernicou o ochrane osobných údajov. Dôvodom je, že posúdenie vplyvu nemá povinnosť zdokumentovať každý prevádzkovateľ. Postupy na plnenie povinností vyplývajúcich z GDPR, ktoré by mali byť obsahom internej smernice, je však povinný plniť každý subjekt spracúvajúci osobné údaje.
GDPR internú smernicu priamo nedefinuje, ale subjektom spracúvajúcim osobné údaje ukladá povinnosti:
Vzhľadom na uvedené odporúčame, aby interná smernica GDPR – k ochrane osobných údajov subjektu spracúvajúceho osobné údaje obsahovala najmä:
Článok pokračuje pod videoškolením. Pozrite si naše videoškolenie k dokumentácii GDPR:
V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.
Pri väčších spoločnostiach alebo nadnárodných spoločnostiach vyžadujú interné predpisy aj ďalšie informácie, ako aj „prepojenie“ nadnárodnej dokumentácie s dokumentáciou v spoločnosti na našom území. Stretli sme sa aj so situáciami, kedy materské spoločnosti prijímajú opatrenia a postupy k ochrane osobných údajov, avšak v dcérskej spoločnosti absentuje implementácia.
Konkrétne odporúčania pre väčšie a nadnárodné spoločnosti a obsah interného predpisu k ochrane osobných údajov sú napríklad:
Aj keď je „návodov“ ako si základný interný dokument v oblasti ochrany osobných údajov vypracovať veľmi veľa, v každom prípade je potrebné zohľadniť potreby a možnosti každého prevádzkovateľa a sprostredkovateľa.
Tak ako celá dokumentácia o ochrane osobných údajov, aj interná smernica GDPR (nazývaná aj organizačná smernica GDPR) by mala reflektovať na podmienky, rozsah a kontext, v ktorom prevádzkovateľ osobné údaje spracúva. Napokon, tak ako pri každom dokumente, aj pri internej smernici platí, že na to, aby bola účinná, je potrebné ju aj reálne zapracovať do praxe.
V prípade, ak potrebujete s tvorbou dokumentácie poradiť, neváhajte sa na nás obrátiť. Niekoľko odporúčaní k tomu, ako postupovať pri tvorbe celkovej dokumentácie o ochrane osobných údajov, sme Vám priniesli v jednom k vypracovanie dokumentácie GDPR.
Podmienky prijatia bezpečnostné projektu informačného systému ustanovoval § 19 zákona č. 122/2013 Z.z. o ochrane osobných údajov. ↩
Okolnosti, za ktorých je prevádzkovateľ alebo sprostredkovateľ povinný vykonať posúdenie vplyvu sú špecifikované v čl. 35 GDPR. Jednou z takýchto okolností je systematické monitorovanie verejne prístupných miest vo veľkom rozsahu, ku ktorým patrí napr. monitorovanie verejných priestranstiev v obci ↩
Pozn.: Zohľadňujúc pritom rôzne spôsoby plnenia tejto povinnosti a kategórie dotknutých osôb. ↩
Pozn.: Najmä s ohľadom na skutočnosť, že za súlad spracúvania osobných údajov s GDPR a inými predpismi o ochrane osobných údajov, ktoré vykonáva v mene prevádzkovateľa sprostredkovateľ, zodpovedá vždy prevádzkovateľ ↩
Okolnosti, za ktorých je prevádzkovateľ alebo sprostredkovateľ povinný určiť zodpovednú osobu, sú stanovené v čl. 35 GDPR ↩
Napr. vyplývajúcich zo schválených záväzných vnútropodnikových pravidiel. ↩
Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viacWe will be happy to answer all your questions by e-mail, phone or in person.
Vytvorené digitálnou agentúrou UPVISION
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.