Aká administratíva je v rámci GDPR povinná?

V prípade, že spracovávate osobné údaje vašich zákazníkov cez informačné systémy, príp. aj mimo nich, ale vašim cieľom je, aby sa ich súčasťou stali, stávate sa pre účely GDPR prevádzkovateľom. Znamená to, že v prípade vzniku akéhokoľvek problému (únik dát, nedostatočné zabezpečenie osobných údajov proti hackerom atď.) ste zodpovednou osobou vy. Výhodou však je, že od 25. mája 2018 už nie ste povinní vypracovať bezpečnostný projekt, ani zaregistrovať váš informačný systém na Úrade na ochranu osobných údajov.

 Vynára sa však mnoho otázok: Aké dokumenty by ste mali mať na vašej webovej stránke? Musíte pre účely spracovávania osobných údajov určiť tzv. zodpovednú osobu? Prezradíme vám, aké administratívne povinnosti musíte ako prevádzkovateľ od 25. mája spĺňať.

 

Dokumentácia vzťahujúca sa na zákazníka/čitateľa

Doteraz bolo nevyhnutné zverejnenie tzv. Ochrany osobných údajov (Privacy Policy) na webovej stránke. Privacy Policy nahrádzajú tzv. Zásady/Pravidlá spracúvania osobných údajov. Vychádzajú z nasledovných zložiek spracovávania osobných údajov:

  1. Zákonné zásady spracovávania osobných údajov – napr. spracovávanie osobných údajov len v nevyhnutnom rozsahu pre účely, ktoré sú založené na právnom základe.
  2. Majú v nich byť rozpísané účely spracovávania osobných údajov, aj právne základy, vzhľadom na ktoré sa údaje spracovávajú.
  3. Zásady majú vychádzať z práv dotknutých osôb (napr. vašich zákazníkov), ktorých osobné údaje spracovávate.
  4. Zásady spracovávania majú byť odrazom toho, ako vybavujete žiadosti zákazníkov na výkon ich práv (výmaz údajov a i.) a tiež majú riešiť vaše bezpečnostné opatrenia voči úniku dát. Taktiež majú obsahovať pokrytie splnenia povinnosti oznámiť únik osobných údajov dotknutej osobe aj úradu, a to do 72 hodín od toho, ako ste to zistili. Na stránke úradu pre takéto situácie nájdete formulár.
  5. Dôležitou povinnosťou je sprostredkovanie informácií vašim zákazníkom o vás ako o prevádzkovateľovi a kontaktnej osobe, ktorú môžu v prípade nejasností a problémov kontaktovať. Zásady spracovávania osobných údajov musia byť pre vás pri zákonnom spracovávaní osobných údajov alfou a omegou. Navyše musia odrážať vždy najnovšie a aktuálne poznatky o ochrane osobných údajov.

 

Interná dokumentácia alebo záznamy o spracovateľskej činnosti

 Záznamy o spracovateľskej činnosti slúžia ako váš spracovateľský denník pre účely spracovávania osobných údajov. Tieto záznamy môžu mať papierovú alebo elektronickú podobu.

Vzhľadom na osobné údaje, za ktorých spracovávanie zodpovedáte, by ste si mali prehľadne a pravidelne aktualizovať záznamy, ktoré majú obsahovať:

  1. vaše identifikačné číslo a kontaktné údaje,
  2. účely spracovania osobných údajov,
  3. opis kategórií osôb, ktorých údaje spracúvate, aj kategórií osobných údajov, ktoré spracúvate. Vysoký dôraz sa kladie na tzv. extra citlivé údaje, ku ktorým patria zdravotný stav, sexuálna orientácia atď.
  4. Informácie o vašich sprostredkovateľoch, ktorí za vás spracúvajú osobné údaje vašich zákazníkov,
  5. informácie o tom, či sa údaje prenášajú aj do tretích krajín, či sú aj v týchto krajinách osobné údaje takto chránené a ak nie, aké sú ponúknuté záruky ochrany,
  6. lehota a spôsob vybavenia žiadostí vašich zákazníkov (napr. právo na výmaz, doubleopt-in overenie čiže zdokladovanie už udelených súhlasov atď.),
  7. informácie týkajúce sa technických a organizačných bezpečnostných opatrení, ktoré boli prijaté pre účely spracúvania osobných údajov.

 

Je nutné určiť zodpovednú osobu?

DPO čiže dataprotection officer alebo zodpovedná osoba predstavuje osobu, ktorá sa musí pravidelne vzdelávať v oblasti ochrany osobných údajov a tiež je kontaktnou osobou pri komunikácii s Úradom na ochranu osobných údajov. Nie ste povinní ju určiť v prípade, že spracovávate osobné údaje v malom rozsahu. Môže ísť napr. o vybavenie objednávok či zasielanie newslettra vašim zákazníkom, ktorými ich informujete o nových produktoch či službách.

Podľa GDPR ste povinní určiť DPO v prípade, že prevádzkovateľ je orgánom verejnej moci, príp. ak k vašej hlavnej činnosti patrí monitorovanie dotknutých osôb vo veľkom rozsahu. Ďalšou z možností je, ak spracovávate tzv. extra citlivé osobné údaje.

V iných prípadoch je na vás, či si zodpovednú osobu určíte. Výhodné to môže byť v prípade, že máte väčší počet zamestnancov, ktorých treba pravidelne školiť ohľadom ochrany osobných údajov. Keďže by mohlo dôjsť ku konfliktu záujmov, funkciu zodpovednej osoby nemôže vykonávať štatutárny orgán. Môže sa ňou stať zamestnanec alebo na základe zmluvy o spolupráci externá osoba.

 

Posúdenie vplyvu na ochranu osobných údajov

Dokument, ktorý sme doteraz poznali ako bezpečnostný projekt nahrádza na základe GDPR Posúdenie vplyvu na ochranu osobných údajov. Nie je nutné vypracovať tento dokument v každom prípade. Najčastejšie je potrebný v prípade, že vykonávate systematické a rozsiahle hodnotenie osobných znakov či charakteristík, ktoré sa týkajú vašich zákazníkov a následne z nich vykonávate profilovanie, z ktorého vznikajú automatizované rozhodnutia, čiže rozhodnutia bez zásahu človeka, napr. generované žiadosti o pôžičku. Môže ísť o znaky a charakteristiky ako vek, pohlavie, správanie na webe a pod.

Posúdenie vplyvu na ochranu osobných údajov by malo obsahovať hlavne vyhodnotenie rizík z pohľadu vášho zákazníka a jeho práv. Tiež by malo zahŕňať informácie o opatreniach, ktoré ste prijali na elimináciu prípadných rizík. V prípade, že vám vyjde vysoké riziko pre práva zákazníkov, ste povinní konzultovať automatické spôsoby spracovávania osobných údajov s príslušným úradom.

Zdielajte!

V prípade, záujmu o naše služby stačí vyplniť kontaktný formulár

Na Vaše dotazy odpovieme IHNEĎ a so všetkým Vám radi pomôžeme.