Povinnosti súvisiace s GDPR? Objasníme vám ich!
Ak mám zásady spracúvania osobných údajov na web stránke, to stačí, nie? Ak dávame klientom podpisovať súhlas so spracúvaním osobných údajov, čo ešte k GDPR potrebujeme? Aké sú povinnosti súvisiace s GDPR?
Náš prehľad poukazuje na povinnosti, ktoré sa týkajú väčšiny firiem a jeho účelom je ozrejmiť, na čo všetko treba pri aplikácii GDPR myslieť.
S podobnými otázkami sa stretávame takmer denne. Firmám stále nie je jasné, čo všetko je v rámci GDPR potrebné vo firme urobiť a nastaviť. Rozhodli sme sa preto pripraviť pre vás v dvoch častiach prehľad minimálnych opatrení a dokumentov, na ktoré je potrebné pri aplikácii GDPR myslieť.
Analýza
V prvom rade je potrebné vo firme vykonať podrobnú analýzu toku osobných údajov. Jednoducho povedané, zistiť a zaznamenať si všetky osobné údaje, ktoré sú vo firme spracovávané. Upozorňujem, že spracúvaním sa rozumie aj prehliadanie a uchovávanie osobných údajov. Je dôležité identifikovať, aké osobné údaje, koho osobné údaje, v akých systémoch či štruktúrach, na aké účely a ako sú spracúvané.
Záznamy o spracovateľských činnostiach
Každá firma, ktorá spracúva osobné údaje osobitnej kategórie, musí mať vypracované záznamy o spracovateľských činnostiach. Údaje osobitnej kategórie spracúva každá firma, ktorá má aspoň jedného zamestnanca, keďže takým údajom je aj informácia o zdravotnom stave zamestnanca. Spracovateľské záznamy by mali vychádzať z vykonanej analýzy a súčasne nastaviť systém spracúvania osobných údajov vo firme, prípadne ho aj zmeniť, ak sa pri ich analýze zistilo, že niektoré osobné údaje nie sú spracúvanú v súlade so zásadami GDPR.
Zamestnanci ako oprávnené a dotknuté osoby
Zamestnanci sú vo firme z pohľadu GDPR jednak v pozícii dotknutej osoby a jednak v pozícii oprávnenej osoby. Zamestnávateľ spracúva veľa osobných údajov zamestnancov a aj ich blízkych osôb, a preto si musí splniť voči zamestnancom ako dotknutým osobám informačnú povinnosť.
Zamestnanci pristupujú k niektorým osobných údajom, ktoré sú vo firme spracúvané, či už sú to údaje iných zamestnancov, zákazníkov alebo dodávateľov. Vtedy sú zamestnanci na pozícii oprávnených osôb. Tu je potrebné zaviesť prístupovú politiku, prípadne overiť, či už nastavené prístupy sú riadne definované a následne tieto oprávnené osoby, teda zamestnancov, poučiť o všetkých ich povinnostiach v súlade s GDPR a zásadami ich spracúvania vo firme. Splnenie týchto povinností je firma povinná preukázať.
Zákazníci
Zákazníci sú v pozícii dotknutej osoby, a preto má firma, ktorá spracúva ich osobné údaje, povinnosti s tým súvisiace. Základom je splnenie informačnej povinnosti, teda deklarácia zásad spracúvania ich osobných údajov. Každý zákazník musí byť informovaný už v čase, kedy firma získava jeho údaje najmä o tom, kto údaje spracováva, aké údaje sú spracúvané, na aký účel, po akú dobu, aké práva zákazník môže u firmy uplatniť a podobne. Táto informačná povinnosť môže byť vykonaná rôznym spôsobom, zvyčajne tak, ako sú údaje získavané. Napríklad, ak sú získavané prostredníctvom web stránky, informačná povinnosť musí byť na web stránke.
Súhlas dotknutej osoby
Firma môže spracúvať osobné údaje len v prípade, ak má na také spracúvanie právny základ definované GDPR. Pokiaľ firma nespracúva osobné údaje na základe zákona, zmluvy, oprávneného záujmu, na ochranu životne dôležitých záujmov fyzickej osoby, pri výkone verejnej moci alebo vo verejnom záujme, potrebuje mať na spracúvanie od dotknutej osoby udelený súhlas. V takom prípade je potrebné nastaviť proces získavanie súhlasov v súlade s GDPR. Upozorňujem, že tu je dôležité správne vyhodnotiť právny základ spracúvania osobných údajov a rozhodne nepoužívať súhlas tam, kde nie je potrebný.
Test proporcionality a test zlučiteľnosti
V prípade, ak firma používa ako právny základ spracúvania osobných údajov oprávnený záujem, napr. pri posielaní newslettra svojim zákazníkom, musí vykonať test proporcionality. Ak firma mieni spracúvať osobné údaje na iný účel, ako ich získala, musí vykonať test zlučiteľnosti účelov. Následne výsledky testov vyhodnotiť a podľa toho sa v praxi zariadiť.
Sprostredkovateľské zmluvy
Každá firma, ktorá má dodávateľov služieb (účtovníctvo, správa počítačov a sietí, kuriérske služby), pri ktorých dochádza k prenosu osobných údajov, je povinná mať dohodnuté pravidlá ich spracúvania a v tom zmysle uzavrieť s nimi sprostredkovateľskú zmluvu. Náležitosti týchto zmlúv predpisuje GDPR. Firma, ktorá je v pozícii sprostredkovateľa, musí mať vypracované sprostredkovateľské záznamy.
Smernice a interné dokumenty
V súvislosti s GDPR je potrebné vypracovanie smerníc a implementovanie GDPR do potrebných vnútorných dokumentov a súčasne zabezpečiť, aby boli procesy z toho vyplývajúce v praxi uplatňované.
Bezpečnostné, organizačné a technické opatrenia
Pri spracúvaní osobných údajov musí byť zabezpečená ich integrita a bezpečnosť. V tomto zmysle je nevyhnutné aplikovať potrebné bezpečnostné, organizačné a technické opatrenia.
Uvedený zoznam povinností podľa GDPR nie je úplný a niektorých firiem sa môžu týkať aj ďalšie povinnosti. Náš prehľad však poukazuje na povinnosti, ktoré sa týkajú väčšiny firiem a jeho účelom je ozrejmiť, na čo všetko treba pri aplikácii GDPR myslieť.
Autor: JUDr. Monika Fegyveres Oravská, managing consultant