Hľadaj
× Aplikácia Aplikácia

GDPR mení aj formality, dokumentácia bude vyzerať inak

Natália Hučková Podnikanie Poslať

Hlavným zámerom prijatia nariadenia GDPR je zdôrazniť materiálne poňatie ochrany osobných údajov a vyhnúť sa len formálnemu zabezpečeniu súladu. Takéto ponímanie ochrany osobných údajov kladie dôraz na postupy uplatňované v praxi. Zmeny, ktoré so sebou GDPR prináša, sa však dotknú aj formálnej časti ochrany, ktorou je opis procesu spracúvania obsiahnutý v bezpečnostnej dokumentácii.

Zdroj foto: Archív redakcie Financial report

Podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov je v súčasnosti potrebné v zákonom stanovených prípadoch vypracovať bezpečnostný projekt. Táto povinnosť však od 25. mája 2018 zanikne. GDPR ukladá určitým subjektom povinnosť vykonať Posúdenie vplyvu na ochranu osobných údajov (Data Protection Impact Assessment, ďalej len „DPIA“), ktoré svojím obsahom nahrádza bezpečnostný projekt.

 

Dokument DPIA je prevádzkovateľ povinný vypracovať v prípade, že spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Prijatie tohto dokumentu je potrebné najmä v týchto prípadoch:

  • Prevádzkovateľ vykonáva systematické a rozsiahle hodnotenie osobných aspektov, ktoré je založené na automatizovanom spracúvaní vrátane profilovania, a z ktorého zároveň vychádzajú rozhodnutia s právnymi účinkami.
  • Prevádzkovateľ vo veľkom rozsahu spracúva osobitnú kategóriu osobných údajov. 
  • Prevádzkovateľ vykonáva systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.

Posúdenie povinnosti vykonať DPIA môže však vzhľadom na nejednoznačné vymedzenie tejto povinnosti vyvolať problémy v aplikačnej praxi.

GDPR zároveň bližšie stanovuje obsahové náležitosti DPIA. Prevádzkovateľ by mal v takomto dokumente uviesť systematický opis plánovaných spracovateľských operácií vrátane účelov spracúvania. Zároveň by mal posúdiť primeranosť a nutnosť spracovateľských operácií vo vzťahu k vymedzenému účelu. Význam spracovania tohto dokumentu spočíva najmä v posúdení rizika pre práva a slobody dotknutých osôb a v opise prijatých bezpečnostných opatrení pre zmiernenie tohto rizika.

Vo vzťahu k jednotlivým informačným systémom dôjde nadobudnutím účinnosti GDPR k zrušeniu povinnosti osobitnej registrácie a oznámenia informačného systému na Úrade na ochranu osobných údajov SR. V rámci evidencie informačných systémov dôjde k nahradeniu evidenčných listov záznamami o spracovateľských činnostiach. Vypracovanie tohto dokumentu sa nevzťahuje len na prevádzkovateľov, ktorí v rámci svojej spoločnosti zamestnávajú menej ako 250 osôb, ak takéto spracúvanie pravdepodobne nepovedie k riziku pre práva a slobody dotknutej osoby. Prevádzkovateľ zároveň nie je povinný vypracovať záznamy, ak vykonáva len príležitostné spracúvanie alebo spracúvanie, ktoré nezahŕňa osobitnú kategóriu osobných údajov.

V rámci týchto záznamov je potrebné poskytnúť informácie o prevádzkovateľovi a zodpovednej osobe, vymedzenie účelu spracúvania, opis kategórií dotknutých osôb a kategórií osobných údajov, určenie príjemcov, ktorým osobné údaje boli alebo budú poskytnuté, informácie o prenose do tretej krajiny alebo medzinárodnej organizácie, predpokladané lehoty na vymazanie rôznych kategórií osobných údajov a opis prijatých technických a organizačných bezpečnostných opatrení.

 

Súčasťou dokumentácie prevádzkovateľa by mali byť aj všetky zmluvy o spracúvaní osobných údajov, ktoré má uzatvorené s jednotlivými sprostredkovateľmi. V rámci obsahových náležitostí takejto zmluvy by mal byť vymedzený najmä predmet, doba a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb. Dôležitým ustanovením zmluvy je predovšetkým vymedzenie práv a povinností sprostredkovateľa. Uzatvorenie takejto zmluvy je nevyhnutné s každou osobou, ktorá spracúva osobné údaje v mene prevádzkovateľa (napríklad externý mzdový účtovník).

V rámci tejto dokumentácie by mali byť vedené aj udelené súhlasy so spracúvaním osobných údajov a poučenia oprávnených osôb tak, aby bol prevádzkovateľ na požiadanie dozorného orgánu schopný hodnoverne preukázať splnenie svojich povinností.

5
6
logo
Prečítajte si tiež:
14.7.2024 Redakcia FinReport

Monitorovanie zamestnancov môže byť problém – pre obe strany

Kontrola zamestnancov na pracovisku je pomerne častá zo strany zamestnávateľov. Chránia tak nielen svoje záujmy, ale aj záujmy zamestnancov s ...

21.5.2024 Martin Jamnický

Prídu rekordné pokuty za porušovanie GDPR aj na Slovensko?

Odstrašujúce pokuty za porušenie GDPR sa pomaly dostávajú aj do našich končín. Príkladom je aprílové potvrdenie rozhodnutia českého ...

26.9.2023 Redakcia FinReport

Výrobca športových hodiniek čelí sťažnosti za porušenie GDPR

Občianske združenie noyb podalo koncom augusta 2023 sťažnosť voči americkej spoločnosti Fitbit. Tá je známa aj slovenským spotrebiteľom ...

4.11.2022 Naďa Černá

Sociálne siete majú problémy s nariadením GDPR. Kvôli jeho nedodržiavaniu platia vysoké pokuty

Írska komisia pre ochranu údajov udelila spoločnosti Meta pokutu vo výške 17 miliónov eur za sériu porušení GDPR. Nejde však o prvý ani ...

7.7.2022 Naďa Černá

Súdny dvor EÚ posilňuje práva spotrebiteľských združení v boji za ochranu GDPR

Súdny dvor EÚ výrazne posilnil právomoci spotrebiteľských organizácií. Odsúhlasil, že budú môcť podávať žaloby kvôli porušeniu ...

4.1.2022 Magdaléna Švančarková

Pokuty v oblasti cookies prichádzajú aj na Slovensko a budú vysoké

Vedia zistiť, čo zákazník nakupuje, ako sa pohybuje v online priestore, aké tovary si prezeral a na základe toho naňho cielia tie ...

20.5.2020 Správy

Hekeri ukradli údaje o deviatich miliónoch zákazníkov leteckej spoločnosti easyJet

19.5.2020 (Webnoviny.sk) - Hekeri napadli britskú leteckú spoločnosť easyJet a získali prístup k informáciám o deviatich miliónoch ...

28.1.2020 Správy

Módny obchodný reťazec sa dopustil rozsiahleho porušenia ochrany osobných údajov

27.1.2020 (Webnoviny.sk) - Nemecký úrad na ochranu osobných údajov začal prešetrovať švédsky módny obchodný reťazec H&M na základe ...

17.1.2020 Natália Hučková

Sociálnej poisťovni unikli osobné údaje poistenca, musí zaplatiť pokutu

Sociálna poisťovňa dostala pokutu vo výške 50-tisíc eur za porušenie pravidiel ochrany osobných údajov. Pri doručovaní dokumentov sa jej ...

18.11.2019 Natália Hučková

Hackeri získali údaje 6 miliónov Bulharov, pokutu zaplatí finančný úrad

Bulharská národná agentúra pre príjmy (finančný úrad) musí za únik osobných údajov zaplatiť pokutu 2,6 milióna eur. Bezpečnostný ...

4.11.2019 Natália Hučková

Rakúska pošta predáva údaje o zákazníkoch. Hrozí jej 18-miliónová pokuta

V Rakúsku padla rekordná pokuta za porušenie GDPR. Sankciu 18 miliónov eur dostala za nedodržanie ochrany osobných údajov rakúska pošta. Tá ...

30.10.2019 Natália Hučková

Mall.cz musí odškodniť užívateľa za únik osobných údajov. Ozvú sa ďalší?

Rozsiahly únik osobných údajov z databázy českého e-shopu mall.cz nie je ešte ani zďaleka doriešený. Svedčí o tom aj nedávny rozsudok ...

Mobilná aplikácia
VISA MasterCard Maestro Apple Pay Google Pay