Autor: Mária

Akú dokumentáciu potrebujete podľa GDPR?

Termín účinnosti Nariadenia EÚ 25. máj 2018, ktoré poznáte aj pod označením GDPR, sa nám pomaly blíži a preto dnes zhrniem, aké všetky dokumenty musíte mať pripravené k tomuto dátumu, aby ste mali všetko v poriadku.

Poverenie oprávnených osôb

  •  pre všetky osoby, ktoré vo vašom mene spracúvajú OU.
  • nemusí to byť len zamestnanec, môže to byť aj externá osoba.
  • doteraz ste mali Poučenia oprávnených osôb, tie treba nahradiť Povereniami,
  • čo najpodrobnejšie popísať pokyny pre oprávnenú osobu, s akými OU môže pracovať, čo s nimi má robiť, komu ich môže poskytnúť alebo sprístupniť atď.

Záznam o poučení o mlčanlivosti

  • pre všetky osoby, ktoré môžu mať prístup k OU a teda nemusia ich priamo spracúvať,
  • oprávnené osoby môžete poučiť o mlčanlivosti aj priamo v Poverení,
  • pre zamestnancov odporúčam dať priamo do Pracovnej zmluvy.

Súhlas dotknutých osôb so spracúvaním OU

  • ak máte súhlasy, ktoré boli v poriadku podľa zákona č. 122/2013 Z. z., nemusíte robiť nové,
  •  súhlas nesmiete žiadať na spracúvanie, ktoré robíte na základe nejakého zákona napr. mzdy a personalistiku a pod.,
  • pri získavaní súhlasu musíte dotknutú osobu informovať, ako bude s jej OU nakladané, komu sa poskytnú, kde budú zverejnené a ako dlho ich budete mať,
  • v súhlase musí byť doba, na ktorú sa dáva.

Zmluvy o poverení spracúvaním OU – tzv. sprostredkovateľské zmluvy

  • s každým, kto vo vašom mene bude spracúvať OU – napr. BOZP služby, dodávateľ kamier, ak pracuje so záznamami, dodávateľ PaM služieb, dodávateľ cloudových služieb, poskytovateľ hostingu alebo priestoru pre eshop a pod.
  • v zmluve musí byť presne špecifikované, koho OU sa môžu spracúvať, aké OU sa môžu spracúvať, akým spôsobom, komu sa môžu poskytnúť, čo sa s OU urobí po skončení zmluvy a iné povinnosti uvedené v GDPR.

Informácia pre dotknuté osoby

  • každá dotknutá osoba musí byť presne informovaná, aké OU o nej spracúvate, aký máte právny základ na spracúvanie, do kedy budete OU spracúvať atď.
  • informáciu musíte dať každej dotknutej osobe a to aj v prípade, že OU spracúvate na právnom základe zákona napr. v personálnej agende,
  • musíte dotknutú osobu informovať o jej právach, t.j. o práve na prístup k OU, práve na opravu, práve na vymazanie, práve na obmedzenie prístupu, práve namietať spracúvanie, práve na obmedzenie spracúvania.
  • informácie môžete dať napr. aj na váš web.

Záznam o spracovateľských činnostiach

  • len ak máte viac ako 250 zamestnancov, alebo
  • ak spracúvanie môže viesť k vysokému riziku pre práva a slobody dotknutých osôb, alebo
  • spracúvate osobitnú kategóriu OU a spracúvanie nie je príležitostné.

Opis technických a organizačných opatrení na ochranu OU

  • ak máte kvalitne vypracovaný Bezpečnostný projekt podľa zákona č. 122/2013 Z. z., nemusíte vypracovávať nový dokument,
  • je potrebné aktuálny BP upraviť na podmienky GDPR,
  • ak ste doteraz nemali BP, treba vypracovať tieto podmienky napr. ako Bezpečnostnú politiku organizácie a pod.

Posúdenie vplyvu na práva a slobody dotknutých osôb

  • len ak realizujete systematické a rozsiahle hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania, alebo
  • ak spracúvate osobitnú kategóriu OU vo veľkom rozsahu a nevyplýva vám táto povinnosť zo zákona, alebo
  • ak systematicky monitorujete verejne prístupné miesta vo veľkom rozsahu,
  • je to obdobne rozsiahly dokument, ako bol Bezpečnostný projekt vrátane analýzy rizík.

Poverenie Zodpovednej osoby

  • Zodpovedná osoba je podľa GDPR už povinná pre všetkých, ktorí sú orgánom verejnej moci alebo verejnoprávnym subjektom, alebo
  • podnikateľský subjekt, ktorý v rámci svojej hlavnej činnosti pravidelne a systematicky monitoruje dotknuté osoby vo veľkom rozsahu a monitorovať môžete kamerami, ale aj v rámci počítačovej siete alebo cez GPS zariadenia v autách, alebo
  • podnikateľský subjekt, ktorý v rámci svojej hlavnej činnosti spracúva osobitnú kategóriu OU vo veľkom rozsahu,
  • v iných prípadoch je určenie Zodpovednej osoby dobrovoľné,
  • ak máte určenú Zodpovednú osobu, musíte kontakt na ňu poskytnúť všetkým dotknutým osobám, najlepšie zverejnením na svojej webovej stránke,
  • kontakt na ZO je potrebné poslať na Úrad na ochranu OU do 25.5. a to aj v prípade, že ste ZO mali aj doteraz.

V prípade ďalších otázok nás neváhajte kontaktovať.

Zmeny, ktoré nás čakajú od mája 2018 a ako sa pripraviť

Už viac ako rok je platné nové Nariadenie Európskeho parlamentu a rady (EU) č. 2016/679 v oblasti ochrany osobných údajov (OOU). Podľa tohto nariadenia sme povinní postupovať najneskôr od 25. mája 2018 aj bez prijatia akýchkoľvek iných právnych noriem. Na Slovensku je pripravený nový Zákon o OOU, ktorý bude upravovať OOU na naše podmienky, samozrejme plne v súlade s predmetným Nariadením EU. Nový zákon stále nie je schválený, aktuálne je vládny návrh zákona len v 1. čítaní a predpokladá sa, že by mal byť schválený do januára-februára 2018.

Keďže, bez ohľadu na to, v akom stave bude náš „národný“ zákon o OOU, sa musíme riadiť Nariadením EU, uvediem pár bodov do vašej pozornosti, aby ste sa vedeli pripravovať.

  1. OOU je postavená na základných princípoch
  • obmedziť spracovávanie OU výhradne na dopredu stanovený účel,
  • obmedziť spracovávanie OU v nevyhnutnom rozsahu,
  • obmedziť uchovávanie OU len na nevyhnutnú dobu a v nevyhnutnom rozsahu,
  • vyžadovať transparentnosť pri spracovaní OU (kto, čo, ako, kedy, prečo – v každom okamihu),
  • zaistiť bezpečnosť pri spracovávaní a uchovávaní OU.

2.  Definícia, čo je to OU, v zásade zostáva nezmenená, ale v rámci tejto definície sa rozširujú údaje, ktoré sú už považované za OU, ako sú napr. IP adresy, cookies, identifikačné čísla, lokalizačné údaje, rôzne online identifikátory a pod.

3.      RČ už nebude patriť do osobitnej kategórie OU, ale budú pri ňom platiť určité pravidla – ako pri použití u zamestnávateľa, tak aj pri ostatnom spracovávaní.

4.      Zavádzajú sa nové pojmy, ako sú profilovanie, pseudonymizácia, spoloční prevádzkovatelia a iné.

5.      Právnym základom naďalej zostáva ja Súhlas dotknutej osoby, ale je obmedzený, tj. nie vždy bude stačiť na spracovávanie OU Súhlas dotknutej osoby.

6.      Spresnili a vymedzili sa práva dotknutej osoby a to:

  • právo na opravu,
  • právo na výmaz (tzv. zabudnutie),
  • právo na obmedzenie spracúvania,
  • právo na prenosnosť údajov (za určitých podmienok, ako je strojové spracovanie, právnym základom je súhlas alebo zmluva, OU poskytla sama DO),
  • právo namietať,
  • právo namietať automatizované individuálne rozhodovanie a profilovanie.

7.      Zrušia sa povinnosti prevádzkovateľa – osobitná registrácia, oznamovacia povinnosť a evidencia informačných systémov OU (známe Evidenčné listy).

8.      Zavádza sa nová evidencia Záznamy o spracovateľských činnostiach (operáciách) s určeným obsahom a podmienkami. Formulár Záznam spracovateľských operácií vydá Úrad na OOU.

9.      Naďalej zostáva povinnosť prijať bezpečnostné opatrenia na OOU, ale ruší sa povinnosť mať vypracovaný Bezpečnostný projekt. Bude potrebné posudzovať vplyv spracovateľských operácií a to hlavne všetky riziká, ktoré môžu nastať.

10.   Zavádza sa povinnosť Predchádzajúcej konzultácie s dozorným orgánom (bude pravdepodobne Úrad na OOU) a to v prípade, že spracúvanie OU by viedlo k vysokému riziku, ak by prevádzkovateľ neprijal opatrenia na zmiernenie rizika.

11.    Bude povinnosť mať Zodpovednú osobu za dohľad nad OOU a to ak:

  • ste orgán verejnej moci alebo verejnoprávny subjekt,
  • vašimi hlavnými činnosťami sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
  • vašimi hlavnými činnosťami sú spracúvanie osobitných kategórií OU vo veľkom rozsahu.

V ostatných prípadoch Zodpovednú osobu môžete ale nemusíte mať.

12.   Zodpovedná osoba už nebude musieť vykonávať skúšky, ale bude musieť byť odborne spôsobilá a to hlavne v odbornej znalosti práva a postupov v oblasti ochrany údajov. Kontakt na Zodpovednú osobu bude musieť byť známy všetkým dotknutým osobám.

K Nariadeniu EU a rovnako aj k novému Zákonu o OOU budú vydané Vyhlášky a Metodické usmernenia, z ktorých bude viac zrejmé, ako si máme vysvetliť jednotlivé články a paragrafy. Následne vás o týchto usmerneniach budem znovu informovať.

V tomto okamihu viete začať s prípravou a to hlavne:

         zistiť v celej organizácii (po jednotlivých oddeleniach, strediskách a pod.), či spracovávajú OU a ak áno, aké,

         zadefinovať účel spracúvania OU a na základe toho zaradiť OU do jednotlivých IS OU,

         určiť právny základ (na základe čoho sa OU spracovávajú – je to súhlas DO, zákon, zmluva…. ?),

         definovať spracovateľské operácie (aspoň nahrubo, pretože k tomu bude vydaný Zoznam spracovateľských operácií),

         zistiť, komu OU poskytujete, sprístupňujete, zverejňujete,

         zistiť, akým spôsobom sa OU spracováva – v ktorej budove, kancelárii, v akej aplikácii, SW, tabuľke, exceli, worde a pod.,

         ako dlho uchovávate jednotlivé OU, kde máte lehoty uvedené,

Tam, kde ste mali vypracovaný Bezpečnostný projekt podľa aktuálne platného zákona č. 122/2013 Z.z. o OOU, budú tieto činnosti podstatne jednoduchšie, pretože bude potrebné urobiť len aktualizáciu súčasného stavu voči stavu, ktorý bol v čase vypracovania BP.

Na základe zisteného stavu je potrebné navrhnúť cieľový stav a určiť postup a prostriedky, ktorými sa k cieľovému stavu viete dostať. Uvedené služby vrátane služieb Zodpovednej osoby vieme pre vašu organizáciu zabezpečovať aj my, či už na základe existujúceho platného zákona č. 122/2013 Z.z. o OOU (úspešne absolvovaná skúšku na UOOU) alebo na základe Nariadenia EU.

Metodické usmernenie č. 2/2016 – Označenie monitorovaného priestoru podľa §15 ods. 7 zákona č. 122/2013 Z.z.

Používanie kamier a rôznych kamerových monitorovacích zariadení je v zmysle zákona č. 122/2013 Z.z. o ochrane osobných údajov (ďalej len Zákon) považované za spracovávanie osobných údajov (ďalej len OU). Z toho vyplýva, že každý, kto prevádzkuje kamerový systém sa musí riadiť Zákonom. Neplatí to len v prípade, kedy používate kamery na svojom vlastnom (súkromnom) pozemku a v zábere kamery nie je ani okrajovo iný priestor (mimo tohto súkromného pozemku).

Vo všetkých ostatných prípadoch teda musíte splniť určité povinnosti, ktoré zo Zákona vyplývajú. Okrem iných je to aj zreteľné označenie monitorovaného priestoru. K označeniu monitorovaného priestoru Úrad na ochranu osobných údajov (ďalej len UOOU) vydal v apríli 2016 Metodické usmernenie, ktoré vysvetľuje a ozrejmuje praktickú stránku tejto povinnosti.

Monitorované miesto musíte označiť z hľadiska:

  • charakteru monitorovaného miesta
    • ak má miesto viac vchodov, označenie musí byť pri každom z nich
    • prispôsobiť označenie samotnému miestu – vchod do garáže musí byť označený výraznejšie, ako vchodové dvere do miestnosti, pretože sa predpokladá, že pri vchode do garáže sa dotknutá osoba pohybuje v aute rýchlejšie ako chodec pred dverami, ktoré si sám otvára
    • označiť miesto, ktoré priamo zo vstupom súvisí, takže priamo dvere, nie stenu vedľa dverí, pri vstupe do garáže napr. priamo rampu, ktorá sa otvára
  • dotknutej osoby
    • prispôsobiť označenie štandardne vstupujúcej dotknutej osobe a jej výške, rýchlosti, ktorou sa pohybuje
    • iné bude označenie pre cyklistov, iné pre chodcov a iné pre vodičov, kde treba predpokladať, že sa budú pohybovať maximálnou povolenou rýchlosťou a to aj za zhoršených poveternostných podmienok
    • označenie musí byť dostatočne viditeľné napr. použitím výrazných farieb a vhodnou veľkosťou
  • jednoznačnosti
    • treba zvážiť, či sa použije len piktogram alebo text, alebo kombinácia obidvoch označení
    • označenie sa nemôže dať zameniť s iným označením
    • na všetkých vstupoch aj v prípade otvorených parkov, ciest v obci, ulíc

UOOU už vykonal niekoľko kontrol správneho označovania monitorovaných priestorov a za nedostatočné označenie určil napr.:

  • označenie v rohu presklených dverí
  • označenie, ktoré bolo v zarastenom priestore (tráva, stromy a pod.)
  • príliš malé označenie na charakter miesta (napr. piktogram o veľkosti 10×10 cm vo veľkej garáži)
  • označenie umiestnené mimo samotného vchodu alebo mimo dohľadu dotknutej osoby

Celé usmernenie nájdete tu a v rámci usmernenia si všimnite aj foto ukážky správneho a nesprávneho označenia tak, ako to uznáva alebo neuznáva UOOU pri svojich kontrolách.

Je potrebné si uvedomiť, že pri kamerových systémoch je dôležité, aby dotknutá osoba vedela, že je monitorovaná a za to nesie zodpovednosť práve prevádzkovateľ takéhoto systému. Toto vedomie nijako neznižuje pôvodný cieľ a to chrániť majetok, zdravie ľudí, odhaľovať priestupky alebo inú kriminalitu a pod. Naopak, ak človek vie, že je monitorovaný kamerou, bude sa pravdepodobne správať zodpovednejšie.

V prípade ďalších otázok nás neváhajte kontaktovať.