GDPR dokumentáciu vypracujeme za vás
GDPR (General Data Protection Regulation) je všeobecné nariadenie Európskeho parlamentu a Rady (EÚ), ktoré určuje pravidlá pri spracúvaní osobných údajov. Okrem zásad, určených týmto nariadením sa pri manipulácii s osobnými údajmi v našich podmienkach riadime zároveň aj zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Podľa čl. 5 ods. 2 všeobecného nariadenia o ochrane údajov, je každý prevádzkovateľ zodpovedný za súlad spracúvania osobných údajov s týmto nariadením, pričom súlad musí vedieť preukázať. Hovoríme o jednej zo základných zásad spracúvania – zásade zodpovednosti. Preukazovanie je vykonávané jednak skutkovým stavom a zároveň správnou dokumentáciou, ktorá odzrkadľuje prijaté bezpečnostné opatrenia.
Analýzy spracúvania
Opatrenia, ktoré firma alebo organizácia prijme pre ochranu spracúvaných osobných údajov musia vždy zodpovedať úrovni rizika, ktoré spracúvanie predstavuje. Každá organizácia preto musí vyhodnotiť riziko, ktoré spracúvanie prináša, pričom berie ohľad na: účel spracúvania osobných údajov, rozsah osobných údajov, charakter spracúvaných osobných údajov, kategórie dotknutých osôb a pod.
Vyhodnotenie rizika je realizované v dvoch fázach:
- analýzou prahových hodnôt, pričom ak je jej výsledkom vysoké riziko pre práva a slobody fyzických osôb má prevádzkovateľ povinnosť vykonať posúdenie vplyvu podľa čl. 35 všeobecného nariadenia o ochrane údajov
- a analýzou rizík, kde dochádza k vyhodnoteniu rôznych hrozieb a dopadov pre fyzické osoby.
Interné predpisy v organizácii
Každá firma alebo organizácia je povinná prijať a vedieť preukázať, že opatrenia v oblasti personálnej bezpečnosti sú dostatočné pre ochranu tých osobných údajov, ktoré vo svojich podmienkach spracúva. Pre oblasť personálnej bezpečnosti zároveň platí, že prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, bude spracúvať osobné údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.
Plnenie tejto povinnosti je obvykle zabezpečované interným predpisom, s ktorým sa zamestnanci oboznamujú a podľa ktorého postupujú.
Záznamy o spracovateľských činnostiach
Podľa článku 30 všeobecného nariadenia každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Nariadenie ďalej presne vymedzuje rozsah údajov, ktoré záznamy musia mať.
Hodnotenie povinnej dokumentácie kontrolným úradom
Viackrát sme mali tú česť spolupracovať s organizáciami, v ktorých Úrad na ochranu osobných údajov SR v predchádzajúcom období preveroval dodržiavanie pravidiel ochrany spracúvaných osobných osobných údajov. Tu je pár záverov, ktoré sa týkajú hodnotenia dokumentácií, ktoré sme vypracovali pre našich klientov:
„Kontrolovaná osoba v priebehu kontroly predložila kontrolnému orgánu dokumentáciu tvorenú Bezpečnostným projektom a dvoma internými predpismi (Bezpečnostné opatrenie pre manipuláciu s osobnými údajmi a Bezpečnostné opatrenie pre riadenie spracúvania osobných údajov) …. Na základe uvedených skutočností kontrolný orgán vo vzťahu k reálne prijatým opatreniam a ich dokumentácii konštatoval súlad s požiadavkami §19 a 20 zákona o ochrane osobných údajov.“
„Vo vzťahu k bezpečnostným opatreniam zameraným na ochranu osobných údajov prevádzkovateľ v čase kontroly predložil bezpečnostný projekt spracovaný podľa zákona o ochrane osobných údajov, ktorého štruktúra zodpovedá dikcii §5 ods. 1 vyhlášky č. 164/2013 Z. z. o rozsahu dokumentácii bezpečnostných opatrení … Na základe uvedených skutočností kontrolný orgán konštatoval súlad s dikciou §19 ods. 1 zákona o ochrane osobných údajov.“
„Predložený bezpečnostný projekt obsahuje v zmysle §5 ods. 1 vyhlášky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení bezpečnostný zámer, analýzu bezpečnosti IS a bezpečnostné smernice, ktoré svojim obsahom napĺňajú obsahové náležitosti vyžadované §4 cit. vyhlášky, a preto možno konštatovať, že prevádzkovateľ prijal bezpečnostné opatrenia v dostatočnom rozsahu a v zmysle zákona o ochrane osobných údajov.“