Hľadaj

Poučenie zamestnanca nie je len ďalšia administratívna záťaž

Podnikanie Poslať

Predchádzajúca právna úprava ochrany osobných údajov výslovne stanovovala každej spoločnosti povinnosť uskutočniť poučenie oprávnených osôb. GDPR pojem poučenie a ani oprávnená osoba vôbec nepoužíva. To však neznamená, že poučenie už nie je potrebné.

image

Zdroj foto: Freepik.com

Napriek tomu, že uskutočnenie poučenia nie je v GDPR ani v zákone o ochrane osobných údajov spomenuté, naďalej predstavuje jedno zo základných organizačných opatrení každej spoločnosti. Porušenie povinnosti prijať primerané bezpečnostné, a teda aj organizačné opatrenia, môže pre spoločnosť predstavovať nemalú pokutu. 

 

GDPR v článku 32 výslovne upravuje povinnosť prevádzkovateľa zaistiť, aby každá osoba, ktorá koná na základe poverenia prevádzkovateľa, a ktorá má prístup k osobným údajom, konala len na základe pokynov prevádzkovateľa. Táto povinnosť však neobchádza ani sprostredkovateľov. 

Povinnosti firiem sa dajú rozčleniť do viacerých fáz. Ide o „tri pé“ kroky: 


1. Poverenie osoby oprávnenej na prístup k osobným údajom
2. Pokyny prevádzkovateľa pre túto osobu
3. Poučenie a vzdelávanie o podmienkach spracúvania a ochrany osobných údajov

Za poverenie je možné považovať napríklad uzatvorenú pracovnú zmluvu, dohodu o prácach vykonávaných mimo pracovného pomeru, zmluvu o spolupráci alebo obdobný dokument, ktorým sa zakladá právny vzťah medzi spoločnosťou a konkrétnou osobou.

V rámci pokynov spoločnosti by mali byť vymedzené:

  • osobné údaje, ku ktorým má mať konkrétna osoba prístup na plnenie jej povinností alebo úloh
  • postupy, ktoré je poverená osoba povinná uplatňovať pri spracúvaní
  • spracovateľské operácie, na ktorých výkon je poverená osoba oprávnená
  • zodpovednosť za porušenie GDPR

Pokyny spoločnosti by sa nemali vzťahovať len na informačný systém ako celok, ale mali by obsahovať vymedzenie jednotlivých účelov podľa záznamov o spracovateľských činnostiach.

Najvýznamnejšou časťou je však samotné poučenie a vzdelávanie poverených osôb. Vašich zamestnancov by ste mali poučiť o podmienkach spracúvania a ochrany osobných údajov podľa GDPR, ako aj o jednotlivých vykonávaných bezpečnostných opatreniach.

Poučenie nemá byť len administratívnou činnosťou spoločnosti. Podpísanie záznamu o poučení za žiadnych okolností nepredstavuje poučenie zamestnanca v pravom slova zmysle. Uskutočnenie dôsledného poučenia zamestnanca je potrebné najmä vzhľadom na to, že ľudské zlyhanie je dôvodom vzniku väčšiny bezpečnostných incidentov. Jeho uskutočnenie je zároveň indikátorom miery zodpovednosti spoločnosti v prípade porušenia ochrany osobných údajov.

 

Poučenie zamestnanca by malo objasniť jeho povinnosti pri uplatňovaní práv dotknutých osôb, pri porušení ochrany osobných údajov, ako aj bezpečnostné opatrenia, ktoré je potrebné realizovať pri každodennej činnosti zamestnanca. Zároveň by sa mali poskytnúť informácie o povinnosti zachovávania mlčanlivosti, či o podmienkach práce na diaľku. Poučenie by nemalo predstavovať len jednorazovú činnosť. Je vhodné, aby spoločnosť vždy poučila svojich zamestnancov o nových alebo zmenených podmienkach spracúvania a bezpečnostných opatreniach. Pre dosiahnutie dôslednej politiky spracúvania osobných údajov v rámci spoločnosti je potrebné, aby vzdelávanie zamestnancov predstavovalo opakujúci sa proces.

Poučenie sa však nevzťahuje výlučne len na zamestnancov spoločnosti, aj keď tí predstavujú nepochybne najširšiu skupinu. Toto organizačné opatrenie sa vzťahuje na všetky osoby, ktoré v rámci spoločnosti majú prístup k osobným údajom a tieto spracúvajú. Opomenúť by ste tak nemali napríklad ani konateľa spoločnosti.

O uskutočnenom poučení je potrebné urobiť vhodný písomný záznam. Záznam o poučení preukazuje splnenie povinnosti spoločnosti pred dozorným orgánom. 

Spoločnosť by teda mala zaistiť uskutočnenie školenia o ochrane osobných údajov napríklad prostredníctvom vhodného dodávateľa alebo využiť služby e-learningu. Poučenie odporúčame realizovať prostredníctvom služieb odborníka.

5
6

Kľúčové slová

logo
Prečítajte si tiež:
23.5.2019 Natália Hučková

Minulý rok bol prípravou na GDPR, tento môže byť ťažší

V máji uplynie rok od okamihu, keď nariadenie GDPR nadobudlo svoju účinnosť. O ochrane osobných údajov sa však začalo hovoriť oveľa viac ...

18.4.2019 Jana Čipková

Mýtus o GDPR #4: Žiadosti o prenos osobných údajov klienta musí finančný agent vždy vyhovieť

Právo na prenosnosť osobných údajov patrí medzi práva dotknutých osôb, ktoré zaviedlo až nariadenie GDPR. Vzhľadom na to, že mnohí ...

11.4.2019 Natália Hučková

Firmy robia pri ochrane osobných údajov množstvo chýb

Zohľadniť GDPR v rámci činnosti spoločností nie je vôbec jednoduché. Preskúmať, kde všade dochádza k spracúvaniu osobných údajov, je ...

27.2.2019 Natália Hučková

Kontroly ochrany osobných údajov čakajú v tomto roku najmä verejnú správu

Úrad na ochranu osobných údajov SR (ÚOOÚ) informoval, na aké subjekty si posvieti v roku 2019. Kontrolám sa nevyhnú najmä subjekty verejnej ...

19.2.2019 Redakcia FinReport

Weby, e-shopy a GDPR v podaní Natálie Hučkovej

V utorok sa na pôde Slovenskej technickej univerzity (STU) uskutočnil workshop pre študentov s názvom „Navrhuj weby a e-shopy v súlade s ...

14.2.2019 Jana Čipková

Kto môže byť zodpovednou osobou podľa GDPR

Od nadobudnutia účinnosti nariadenia GDPR ubehlo takmer trištvrte roka, no množstvo spoločností stále nerozumie aký je prínos jej ...

13.2.2019 Redakcia FinReport

Natália Hučková spíkerkou workshopu o GDPR v online prostredí

Softvérová spoločnosť Positive v spolupráci so Študentským parlamentom elektrotechnikov a informatikov STU organizuje v utorok 19. februára o ...

12.2.2019 Redakcia FinReport

Taxify môže mať problémy s GDPR, vodiči mali klientom posielať súkromné správy

Taxify čelí v posledných dňoch vlne kritiky za zneužívanie telefónnych čísel vodičmi spolupracujúcimi s Taxify. Niektoré klientky mali ...

8.2.2019 Natália Hučková

Pozor na podozrivý certifikát GDPR

S účinnosťou nariadenia GDPR sa zároveň aj výrazne zvýšil počet poskytovateľov služieb súvisiacich s ochranou osobných údajov. Výber ...

7.2.2019 Natália Hučková

Firmy si pýtajú súhlas na spracovanie údajov aj vtedy, keď nemusia, upozorňuje ÚOOÚ

Pri príležitosti Medzinárodného dňa ochrany osobných údajov usporiadal Úrad na ochranu osobných údajov SR (ÚOOÚ) odborný workshop, ...

4.2.2019 Natália Hučková

Mýty o GDPR #3: Klient má za každých okolností právo na vymazanie údajov z databáz

Po nadobudnutí účinnosti Nariadenia GDPR sa ukázalo, že práve právo na vymazanie, respektíve „právo na zabudnutie“, bude jedným ...

31.1.2019 Natália Hučková

Aj pri ochrane údajov právnických osôb a fyzických osôb podnikateľov sa k slovu dostáva GDPR

Nariadenie GDPR vo svojich úvodných ustanoveniach vymedzuje, že predmetom jeho úpravy sú pravidlá ochrany fyzických osôb pri spracúvaní ...

PHP Developer - študentská brigáda PHP Developer - študentská brigáda
PHP Developer províznych systémov PHP Developer províznych systémov
PHP Developer poistných agregátorov PHP Developer poistných agregátorov
PHP Developer FinTech cloudových riešení PHP Developer FinTech cloudových riešení