Termín účinnosti Nariadenia EÚ 25. máj 2018, ktoré poznáte aj pod označením GDPR, sa nám pomaly blíži a preto dnes zhrniem, aké všetky dokumenty musíte mať pripravené k tomuto dátumu, aby ste mali všetko v poriadku.
Poverenie oprávnených osôb
- pre všetky osoby, ktoré vo vašom mene spracúvajú OU.
- nemusí to byť len zamestnanec, môže to byť aj externá osoba.
- doteraz ste mali Poučenia oprávnených osôb, tie treba nahradiť Povereniami,
- čo najpodrobnejšie popísať pokyny pre oprávnenú osobu, s akými OU môže pracovať, čo s nimi má robiť, komu ich môže poskytnúť alebo sprístupniť atď.
Záznam o poučení o mlčanlivosti
- pre všetky osoby, ktoré môžu mať prístup k OU a teda nemusia ich priamo spracúvať,
- oprávnené osoby môžete poučiť o mlčanlivosti aj priamo v Poverení,
- pre zamestnancov odporúčam dať priamo do Pracovnej zmluvy.
Súhlas dotknutých osôb so spracúvaním OU
- ak máte súhlasy, ktoré boli v poriadku podľa zákona č. 122/2013 Z. z., nemusíte robiť nové,
- súhlas nesmiete žiadať na spracúvanie, ktoré robíte na základe nejakého zákona napr. mzdy a personalistiku a pod.,
- pri získavaní súhlasu musíte dotknutú osobu informovať, ako bude s jej OU nakladané, komu sa poskytnú, kde budú zverejnené a ako dlho ich budete mať,
- v súhlase musí byť doba, na ktorú sa dáva.
Zmluvy o poverení spracúvaním OU – tzv. sprostredkovateľské zmluvy
- s každým, kto vo vašom mene bude spracúvať OU – napr. BOZP služby, dodávateľ kamier, ak pracuje so záznamami, dodávateľ PaM služieb, dodávateľ cloudových služieb, poskytovateľ hostingu alebo priestoru pre eshop a pod.
- v zmluve musí byť presne špecifikované, koho OU sa môžu spracúvať, aké OU sa môžu spracúvať, akým spôsobom, komu sa môžu poskytnúť, čo sa s OU urobí po skončení zmluvy a iné povinnosti uvedené v GDPR.
Informácia pre dotknuté osoby
- každá dotknutá osoba musí byť presne informovaná, aké OU o nej spracúvate, aký máte právny základ na spracúvanie, do kedy budete OU spracúvať atď.
- informáciu musíte dať každej dotknutej osobe a to aj v prípade, že OU spracúvate na právnom základe zákona napr. v personálnej agende,
- musíte dotknutú osobu informovať o jej právach, t.j. o práve na prístup k OU, práve na opravu, práve na vymazanie, práve na obmedzenie prístupu, práve namietať spracúvanie, práve na obmedzenie spracúvania.
- informácie môžete dať napr. aj na váš web.
Záznam o spracovateľských činnostiach
- len ak máte viac ako 250 zamestnancov, alebo
- ak spracúvanie môže viesť k vysokému riziku pre práva a slobody dotknutých osôb, alebo
- spracúvate osobitnú kategóriu OU a spracúvanie nie je príležitostné.
Opis technických a organizačných opatrení na ochranu OU
- ak máte kvalitne vypracovaný Bezpečnostný projekt podľa zákona č. 122/2013 Z. z., nemusíte vypracovávať nový dokument,
- je potrebné aktuálny BP upraviť na podmienky GDPR,
- ak ste doteraz nemali BP, treba vypracovať tieto podmienky napr. ako Bezpečnostnú politiku organizácie a pod.
Posúdenie vplyvu na práva a slobody dotknutých osôb
- len ak realizujete systematické a rozsiahle hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania, alebo
- ak spracúvate osobitnú kategóriu OU vo veľkom rozsahu a nevyplýva vám táto povinnosť zo zákona, alebo
- ak systematicky monitorujete verejne prístupné miesta vo veľkom rozsahu,
- je to obdobne rozsiahly dokument, ako bol Bezpečnostný projekt vrátane analýzy rizík.
Poverenie Zodpovednej osoby
- Zodpovedná osoba je podľa GDPR už povinná pre všetkých, ktorí sú orgánom verejnej moci alebo verejnoprávnym subjektom, alebo
- podnikateľský subjekt, ktorý v rámci svojej hlavnej činnosti pravidelne a systematicky monitoruje dotknuté osoby vo veľkom rozsahu a monitorovať môžete kamerami, ale aj v rámci počítačovej siete alebo cez GPS zariadenia v autách, alebo
- podnikateľský subjekt, ktorý v rámci svojej hlavnej činnosti spracúva osobitnú kategóriu OU vo veľkom rozsahu,
- v iných prípadoch je určenie Zodpovednej osoby dobrovoľné,
- ak máte určenú Zodpovednú osobu, musíte kontakt na ňu poskytnúť všetkým dotknutým osobám, najlepšie zverejnením na svojej webovej stránke,
- kontakt na ZO je potrebné poslať na Úrad na ochranu OU do 25.5. a to aj v prípade, že ste ZO mali aj doteraz.
V prípade ďalších otázok nás neváhajte kontaktovať.