Akú dokumentáciu potrebujete podľa GDPR?

Termín účinnosti Nariadenia EÚ 25. máj 2018, ktoré poznáte aj pod označením GDPR, sa nám pomaly blíži a preto dnes zhrniem, aké všetky dokumenty musíte mať pripravené k tomuto dátumu, aby ste mali všetko v poriadku.

Poverenie oprávnených osôb

  •  pre všetky osoby, ktoré vo vašom mene spracúvajú OU.
  • nemusí to byť len zamestnanec, môže to byť aj externá osoba.
  • doteraz ste mali Poučenia oprávnených osôb, tie treba nahradiť Povereniami,
  • čo najpodrobnejšie popísať pokyny pre oprávnenú osobu, s akými OU môže pracovať, čo s nimi má robiť, komu ich môže poskytnúť alebo sprístupniť atď.

Záznam o poučení o mlčanlivosti

  • pre všetky osoby, ktoré môžu mať prístup k OU a teda nemusia ich priamo spracúvať,
  • oprávnené osoby môžete poučiť o mlčanlivosti aj priamo v Poverení,
  • pre zamestnancov odporúčam dať priamo do Pracovnej zmluvy.

Súhlas dotknutých osôb so spracúvaním OU

  • ak máte súhlasy, ktoré boli v poriadku podľa zákona č. 122/2013 Z. z., nemusíte robiť nové,
  •  súhlas nesmiete žiadať na spracúvanie, ktoré robíte na základe nejakého zákona napr. mzdy a personalistiku a pod.,
  • pri získavaní súhlasu musíte dotknutú osobu informovať, ako bude s jej OU nakladané, komu sa poskytnú, kde budú zverejnené a ako dlho ich budete mať,
  • v súhlase musí byť doba, na ktorú sa dáva.

Zmluvy o poverení spracúvaním OU – tzv. sprostredkovateľské zmluvy

  • s každým, kto vo vašom mene bude spracúvať OU – napr. BOZP služby, dodávateľ kamier, ak pracuje so záznamami, dodávateľ PaM služieb, dodávateľ cloudových služieb, poskytovateľ hostingu alebo priestoru pre eshop a pod.
  • v zmluve musí byť presne špecifikované, koho OU sa môžu spracúvať, aké OU sa môžu spracúvať, akým spôsobom, komu sa môžu poskytnúť, čo sa s OU urobí po skončení zmluvy a iné povinnosti uvedené v GDPR.

Informácia pre dotknuté osoby

  • každá dotknutá osoba musí byť presne informovaná, aké OU o nej spracúvate, aký máte právny základ na spracúvanie, do kedy budete OU spracúvať atď.
  • informáciu musíte dať každej dotknutej osobe a to aj v prípade, že OU spracúvate na právnom základe zákona napr. v personálnej agende,
  • musíte dotknutú osobu informovať o jej právach, t.j. o práve na prístup k OU, práve na opravu, práve na vymazanie, práve na obmedzenie prístupu, práve namietať spracúvanie, práve na obmedzenie spracúvania.
  • informácie môžete dať napr. aj na váš web.

Záznam o spracovateľských činnostiach

  • len ak máte viac ako 250 zamestnancov, alebo
  • ak spracúvanie môže viesť k vysokému riziku pre práva a slobody dotknutých osôb, alebo
  • spracúvate osobitnú kategóriu OU a spracúvanie nie je príležitostné.

Opis technických a organizačných opatrení na ochranu OU

  • ak máte kvalitne vypracovaný Bezpečnostný projekt podľa zákona č. 122/2013 Z. z., nemusíte vypracovávať nový dokument,
  • je potrebné aktuálny BP upraviť na podmienky GDPR,
  • ak ste doteraz nemali BP, treba vypracovať tieto podmienky napr. ako Bezpečnostnú politiku organizácie a pod.

Posúdenie vplyvu na práva a slobody dotknutých osôb

  • len ak realizujete systematické a rozsiahle hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania, alebo
  • ak spracúvate osobitnú kategóriu OU vo veľkom rozsahu a nevyplýva vám táto povinnosť zo zákona, alebo
  • ak systematicky monitorujete verejne prístupné miesta vo veľkom rozsahu,
  • je to obdobne rozsiahly dokument, ako bol Bezpečnostný projekt vrátane analýzy rizík.

Poverenie Zodpovednej osoby

  • Zodpovedná osoba je podľa GDPR už povinná pre všetkých, ktorí sú orgánom verejnej moci alebo verejnoprávnym subjektom, alebo
  • podnikateľský subjekt, ktorý v rámci svojej hlavnej činnosti pravidelne a systematicky monitoruje dotknuté osoby vo veľkom rozsahu a monitorovať môžete kamerami, ale aj v rámci počítačovej siete alebo cez GPS zariadenia v autách, alebo
  • podnikateľský subjekt, ktorý v rámci svojej hlavnej činnosti spracúva osobitnú kategóriu OU vo veľkom rozsahu,
  • v iných prípadoch je určenie Zodpovednej osoby dobrovoľné,
  • ak máte určenú Zodpovednú osobu, musíte kontakt na ňu poskytnúť všetkým dotknutým osobám, najlepšie zverejnením na svojej webovej stránke,
  • kontakt na ZO je potrebné poslať na Úrad na ochranu OU do 25.5. a to aj v prípade, že ste ZO mali aj doteraz.

V prípade ďalších otázok nás neváhajte kontaktovať.