Zdroj foto: Freepik.com

Napriek tomu, že uskutočnenie poučenia nie je v GDPR ani v zákone o ochrane osobných údajov spomenuté, naďalej predstavuje jedno zo základných organizačných opatrení každej spoločnosti. Porušenie povinnosti prijať primerané bezpečnostné, a teda aj organizačné opatrenia, môže pre spoločnosť predstavovať nemalú pokutu. 

GDPR v článku 32 výslovne upravuje povinnosť prevádzkovateľa zaistiť, aby každá osoba, ktorá koná na základe poverenia prevádzkovateľa, a ktorá má prístup k osobným údajom, konala len na základe pokynov prevádzkovateľa. Táto povinnosť však neobchádza ani sprostredkovateľov. 

Povinnosti firiem sa dajú rozčleniť do viacerých fáz. Ide o „tri pé“ kroky: 

1. Poverenie osoby oprávnenej na prístup k osobným údajom
2. Pokyny prevádzkovateľa pre túto osobu
3. Poučenie a vzdelávanie o podmienkach spracúvania a ochrany osobných údajov

Za poverenie je možné považovať napríklad uzatvorenú pracovnú zmluvu, dohodu o prácach vykonávaných mimo pracovného pomeru, zmluvu o spolupráci alebo obdobný dokument, ktorým sa zakladá právny vzťah medzi spoločnosťou a konkrétnou osobou.

V rámci pokynov spoločnosti by mali byť vymedzené:

• osobné údaje, ku ktorým má mať konkrétna osoba prístup na plnenie jej povinností alebo úloh
• postupy, ktoré je poverená osoba povinná uplatňovať pri spracúvaní
• spracovateľské operácie, na ktorých výkon je poverená osoba oprávnená
• zodpovednosť za porušenie GDPR

Pokyny spoločnosti by sa nemali vzťahovať len na informačný systém ako celok, ale mali by obsahovať vymedzenie jednotlivých účelov podľa záznamov o spracovateľských činnostiach.

Najvýznamnejšou časťou je však samotné poučenie a vzdelávanie poverených osôb. Vašich zamestnancov by ste mali poučiť o podmienkach spracúvania a ochrany osobných údajov podľa GDPR, ako aj o jednotlivých vykonávaných bezpečnostných opatreniach.

Poučenie nemá byť len administratívnou činnosťou spoločnosti. Podpísanie záznamu o poučení za žiadnych okolností nepredstavuje poučenie zamestnanca v pravom slova zmysle. Uskutočnenie dôsledného poučenia zamestnanca je potrebné najmä vzhľadom na to, že ľudské zlyhanie je dôvodom vzniku väčšiny bezpečnostných incidentov. Jeho uskutočnenie je zároveň indikátorom miery zodpovednosti spoločnosti v prípade porušenia ochrany osobných údajov.

Poučenie zamestnanca by malo objasniť jeho povinnosti pri uplatňovaní práv dotknutých osôb, pri porušení ochrany osobných údajov, ako aj bezpečnostné opatrenia, ktoré je potrebné realizovať pri každodennej činnosti zamestnanca. Zároveň by sa mali poskytnúť informácie o povinnosti zachovávania mlčanlivosti, či o podmienkach práce na diaľku. Poučenie by nemalo predstavovať len jednorazovú činnosť. Je vhodné, aby spoločnosť vždy poučila svojich zamestnancov o nových alebo zmenených podmienkach spracúvania a bezpečnostných opatreniach. Pre dosiahnutie dôslednej politiky spracúvania osobných údajov v rámci spoločnosti je potrebné, aby vzdelávanie zamestnancov predstavovalo opakujúci sa proces.

Poučenie sa však nevzťahuje výlučne len na zamestnancov spoločnosti, aj keď tí predstavujú nepochybne najširšiu skupinu. Toto organizačné opatrenie sa vzťahuje na všetky osoby, ktoré v rámci spoločnosti majú prístup k osobným údajom a tieto spracúvajú. Opomenúť by ste tak nemali napríklad ani konateľa spoločnosti.

O uskutočnenom poučení je potrebné urobiť vhodný písomný záznam. Záznam o poučení preukazuje splnenie povinnosti spoločnosti pred dozorným orgánom. 

Spoločnosť by teda mala zaistiť uskutočnenie školenia o ochrane osobných údajov napríklad prostredníctvom vhodného dodávateľa alebo využiť služby e-learningu. Poučenie odporúčame realizovať prostredníctvom služieb odborníka.