Hľadaj

GDPR mení aj formality, dokumentácia bude vyzerať inak

Podnikanie Poslať

Hlavným zámerom prijatia nariadenia GDPR je zdôrazniť materiálne poňatie ochrany osobných údajov a vyhnúť sa len formálnemu zabezpečeniu súladu. Takéto ponímanie ochrany osobných údajov kladie dôraz na postupy uplatňované v praxi. Zmeny, ktoré so sebou GDPR prináša, sa však dotknú aj formálnej časti ochrany, ktorou je opis procesu spracúvania obsiahnutý v bezpečnostnej dokumentácii.

image
Zdroj foto: Archív redakcie Financial report

 

Podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov je v súčasnosti potrebné v zákonom stanovených prípadoch vypracovať bezpečnostný projekt. Táto povinnosť však od 25. mája 2018 zanikne. GDPR ukladá určitým subjektom povinnosť vykonať Posúdenie vplyvu na ochranu osobných údajov (Data Protection Impact Assessment, ďalej len „DPIA“), ktoré svojím obsahom nahrádza bezpečnostný projekt.

 

 

Dokument DPIA je prevádzkovateľ povinný vypracovať v prípade, že spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Prijatie tohto dokumentu je potrebné najmä v týchto prípadoch:

 

  • Prevádzkovateľ vykonáva systematické a rozsiahle hodnotenie osobných aspektov, ktoré je založené na automatizovanom spracúvaní vrátane profilovania, a z ktorého zároveň vychádzajú rozhodnutia s právnymi účinkami.
  • Prevádzkovateľ vo veľkom rozsahu spracúva osobitnú kategóriu osobných údajov. 
  • Prevádzkovateľ vykonáva systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.

 

Posúdenie povinnosti vykonať DPIA môže však vzhľadom na nejednoznačné vymedzenie tejto povinnosti vyvolať problémy v aplikačnej praxi.

 

GDPR zároveň bližšie stanovuje obsahové náležitosti DPIA. Prevádzkovateľ by mal v takomto dokumente uviesť systematický opis plánovaných spracovateľských operácií vrátane účelov spracúvania. Zároveň by mal posúdiť primeranosť a nutnosť spracovateľských operácií vo vzťahu k vymedzenému účelu. Význam spracovania tohto dokumentu spočíva najmä v posúdení rizika pre práva a slobody dotknutých osôb a v opise prijatých bezpečnostných opatrení pre zmiernenie tohto rizika.

 

Vo vzťahu k jednotlivým informačným systémom dôjde nadobudnutím účinnosti GDPR k zrušeniu povinnosti osobitnej registrácie a oznámenia informačného systému na Úrade na ochranu osobných údajov SR. V rámci evidencie informačných systémov dôjde k nahradeniu evidenčných listov záznamami o spracovateľských činnostiach. Vypracovanie tohto dokumentu sa nevzťahuje len na prevádzkovateľov, ktorí v rámci svojej spoločnosti zamestnávajú menej ako 250 osôb, ak takéto spracúvanie pravdepodobne nepovedie k riziku pre práva a slobody dotknutej osoby. Prevádzkovateľ zároveň nie je povinný vypracovať záznamy, ak vykonáva len príležitostné spracúvanie alebo spracúvanie, ktoré nezahŕňa osobitnú kategóriu osobných údajov.

 

V rámci týchto záznamov je potrebné poskytnúť informácie o prevádzkovateľovi a zodpovednej osobe, vymedzenie účelu spracúvania, opis kategórií dotknutých osôb a kategórií osobných údajov, určenie príjemcov, ktorým osobné údaje boli alebo budú poskytnuté, informácie o prenose do tretej krajiny alebo medzinárodnej organizácie, predpokladané lehoty na vymazanie rôznych kategórií osobných údajov a opis prijatých technických a organizačných bezpečnostných opatrení.

 

 

Súčasťou dokumentácie prevádzkovateľa by mali byť aj všetky zmluvy o spracúvaní osobných údajov, ktoré má uzatvorené s jednotlivými sprostredkovateľmi. V rámci obsahových náležitostí takejto zmluvy by mal byť vymedzený najmä predmet, doba a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb. Dôležitým ustanovením zmluvy je predovšetkým vymedzenie práv a povinností sprostredkovateľa. Uzatvorenie takejto zmluvy je nevyhnutné s každou osobou, ktorá spracúva osobné údaje v mene prevádzkovateľa (napríklad externý mzdový účtovník).

 

V rámci tejto dokumentácie by mali byť vedené aj udelené súhlasy so spracúvaním osobných údajov a poučenia oprávnených osôb tak, aby bol prevádzkovateľ na požiadanie dozorného orgánu schopný hodnoverne preukázať splnenie svojich povinností.

5
6

Kľúčové slová

logo
Prečítajte si tiež:
27.2.2019 Natália Hučková

Kontroly ochrany osobných údajov čakajú v tomto roku najmä verejnú správu

Úrad na ochranu osobných údajov SR (ÚOOÚ) informoval, na aké subjekty si posvieti v roku 2019. Kontrolám sa nevyhnú najmä subjekty verejnej ...

19.2.2019 Redakcia FinReport

Weby, e-shopy a GDPR v podaní Natálie Hučkovej

V utorok sa na pôde Slovenskej technickej univerzity (STU) uskutočnil workshop pre študentov s názvom „Navrhuj weby a e-shopy v súlade s ...

14.2.2019 Jana Čipková

Kto môže byť zodpovednou osobou podľa GDPR

Od nadobudnutia účinnosti nariadenia GDPR ubehlo takmer trištvrte roka, no množstvo spoločností stále nerozumie aký je prínos jej ...

13.2.2019 Redakcia FinReport

Natália Hučková spíkerkou workshopu o GDPR v online prostredí

Softvérová spoločnosť Positive v spolupráci so Študentským parlamentom elektrotechnikov a informatikov STU organizuje v utorok 19. februára o ...

12.2.2019 Redakcia FinReport

Taxify môže mať problémy s GDPR, vodiči mali klientom posielať súkromné správy

Taxify čelí v posledných dňoch vlne kritiky za zneužívanie telefónnych čísel vodičmi spolupracujúcimi s Taxify. Niektoré klientky mali ...

8.2.2019 Natália Hučková

Pozor na podozrivý certifikát GDPR

S účinnosťou nariadenia GDPR sa zároveň aj výrazne zvýšil počet poskytovateľov služieb súvisiacich s ochranou osobných údajov. Výber ...

7.2.2019 Natália Hučková

Firmy si pýtajú súhlas na spracovanie údajov aj vtedy, keď nemusia, upozorňuje ÚOOÚ

Pri príležitosti Medzinárodného dňa ochrany osobných údajov usporiadal Úrad na ochranu osobných údajov SR (ÚOOÚ) odborný workshop, ...

4.2.2019 Natália Hučková

Mýty o GDPR #3: Klient má za každých okolností právo na vymazanie údajov z databáz

Po nadobudnutí účinnosti Nariadenia GDPR sa ukázalo, že práve právo na vymazanie, respektíve „právo na zabudnutie“, bude jedným ...

31.1.2019 Natália Hučková

Aj pri ochrane údajov právnických osôb a fyzických osôb podnikateľov sa k slovu dostáva GDPR

Nariadenie GDPR vo svojich úvodných ustanoveniach vymedzuje, že predmetom jeho úpravy sú pravidlá ochrany fyzických osôb pri spracúvaní ...

28.1.2019 Natália Hučková

Fotografovanie môže znamenať spracovanie osobných údajov, pozor na GDPR

Mnohí prevádzkovatelia sa pri zapracúvaní GDPR do procesov svojej činnosti stretli s problmom spracúvania fotografie. Môže ísť o ...

22.1.2019 Ján Beracka

Google má problémy s ochranou osobných údajov, firma dostala pokutu 50 miliónov eur

Francúzsky úrad na ochranu osobných údajov (CNIL) udelil spoločnosti Google pokutu vo výške 50 miliónov eur za porušenie pravidiel, ktoré ...

3.12.2018 Natália Hučková

Mýty o GDPR #2: GDPR sa podriadených finančných agentov netýka

V rámci činnosti podriadených finančných agentov dochádza k rozsiahlemu spracúvaniu osobných údajov. To, že sa GDPR podriadených ...

PHP Developer - študentská brigáda PHP Developer - študentská brigáda
PHP Developer províznych systémov PHP Developer províznych systémov
PHP Developer poistných agregátorov PHP Developer poistných agregátorov
PHP Developer FinTech cloudových riešení PHP Developer FinTech cloudových riešení

Najčítanejšie

  1. 1.
    Brexit bez dohody pripraví slovenskú ekonomiku o milióny eur
  2. 2.
    NBS podala trestné oznámenie v súvislosti s kauzou Rapid life
  3. 3.
    Ozbrojenci v Bangladéši spustili paľbu na autá s volebnými urnami a zastrelili niekoľko ľudí
  4. 4.
    Výstavba úseku diaľnice D3 pri Čadci pokračuje, vyriešil sa aj spor s problémovým rodinným domom
  5. 5.
    Britská vláda nemôže dať znovu hlasovať o nezmenenej dohode o brexite, oznámil Bercow