Mýty o GDPR #2: GDPR sa podriadených finančných agentov netýka

Natália Hučková 3.12.2018 Poslať

V rámci činnosti podriadených finančných agentov dochádza k rozsiahlemu spracúvaniu osobných údajov. To, že sa GDPR podriadených finančných agentov netýka, je preto jednoducho mýtus. Aké najdôležitejšie kroky by mali teda podriadení finanční agenti (PFA) urobiť?

Zdroj foto: Freepik.com

PFA by si mal v prvom rade uvedomiť, že v rámci svojej činnosti nespracúva len osobné údaje klienta. Často ide aj o spracúvanie osobných údajov zamestnancov, uchádzačov o zamestnanie či spracúvanie v súvislosti s vykonávanou marketingovou činnosťou a podobne. Vo vzťahu ku všetkým spracovateľským operáciám, ktoré PFA v rámci svojej činnosti vykonáva, je potrebné postupovať v súlade s GDPR. Mnohé povinnosti vyplývajú PFA aj z jeho postavenia sprostredkovateľa vo vzťahu k samostatnému finančnému agentovi.

Pri implementácii GDPR je potrebné myslieť najmä na to, že ochrana osobných údajov má byť v prvom rade uskutočnená v praxi a až následne ide aj o povinnosť spracovania bezpečnostnej dokumentácie.

Ako prvé preto odporúčame, aby PFA preskúmal bezpečnostné opatrenia, ktoré v súčasnosti vykonáva. Vo všeobecnosti ide napríklad o uchovávanie osobných údajov na uzamykateľných miestach, využívanie antivírusovej ochrany, silných hesiel, poučenie osôb oprávnených na spracúvanie osobných údajov a mnohé ďalšie opatrenia. Pri zavádzaní bezpečnostných opatrení je vhodné vychádzať najmä z vyhlášky Úradu na ochranu osobných údajov SR č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov.

Významným bodom pri zosúlaďovaní sa s GDPR je aj uzatvorenie zmluvy o spracúvaní osobných údajov so samostatným finančným agentom. Z takejto zmluvy môžu pre PFA vyplývať ďalšie osobitné povinnosti, na ktorých výkon je zaviazaný ako sprostredkovateľ SFA. Medzi takéto povinnosti môže patriť napríklad poskytovanie informácií o spracúvaní osobných údajov klienta v čase ich získania prostredníctvom určeného tlačiva, využívanie zabezpečených softvérových riešení, zabezpečenie bezpečného doručovania dokumentov medzi PFA, SFA a klientom, a podobne.

PFA by mal v rámci svojej činnosti zároveň viesť internú bezpečnostnú dokumentáciu. Tú tvoria najmä záznamy o spracovateľských činnostiach a interná smernica upravujúca podmienky spracúvania a ochrany osobných údajov. PFA je povinný zároveň preskúmať, či sa naňho ako na prevádzkovateľa v určitých informačných systémoch vzťahuje aj povinnosť spracovania Posúdenia vplyvu na ochranu osobných údajov. Súčasťou internej dokumentácie sú zároveň záznamy o poučení, záznamy z kontrolných činností, jednotná evidencia udelených súhlasov so spracúvaním osobných údajov a podobne.

GDPR teda ukladá mnohé povinnosti aj vo vzťahu k PFA. Podriadený finančný agent by nemal k problematike ochrany a spracúvania osobných údajov pristupovať ako k agende, ktorú zaňho zabezpečuje SFA. Podriadený finančný agent je povinný uskutočniť vlastný audit spracúvania osobných údajov, prijať primerané bezpečnostné opatrenia, spracovať vlastnú dokumentáciu a splniť ďalšie povinnosti, ktoré sa naňho v zmysle GDPR vzťahujú.