GDPR Academy

Úrad zverejnil plán svojich kontrol pre rok 2023

Pred pár dňami zverejnil Úrad na ochranu osobných údajov SR svoj každoročný plán kontrol. Tentokrát pre rok 2023. Celý plán nájdete na stránke, ktorá sa vám zobrazí kliknutím na tento odkaz.

Okrem iného sa úrad sústredí na spracovateľské činnosti:

  • orgánov územnej samosprávy,
  • spracovateľské činnosti dopravcov verejnej osobnej dopravy
  • a spracovateľské činnosti zamestnávateľov v oblasti personálnej a mzdovej agendy.

Podľa plánu bude preverovať súlad spracúvania osobných údajov dotknutých osôb s požiadavkami všeobecného nariadenia o ochrane údajov a zákona o ochrane osobných údajov:

  • zásady spracúvania,
  • zákonnosť spracúvania,
  • podmienky vyjadrenia súhlasu,
  • spracúvanie osobitných kategórií osobných údajov,
  • práva dotknutej osoby,
  • spoloční prevádzkovatelia,
  • sprostredkovateľ,
  • spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa,
  • bezpečnosť osobných údajov,
  • posúdenie vplyvu na ochranu údajov,
  • zodpovedná osoba.

Zásady spracúvania

Zásady sú základné pravidlá, ktoré je nevyhnutné dodržiavať pri každej jednej spracovateľskej činnosti. Či osobné údaje získavate, alebo ich už likvidujte. Ich náplň nájdete v čl. 5 všeobecného nariadenia. Ich dodržiavanie znamená, že:

  • Spracúvanie osobných údajov u vás prebieha len zákonných, spravodlivým a transparentným spôsobom.
  • Osobné údaje môžete spracúvať len na konkrétne vymedzené účely a ak sa potrebujete od pôvodne vytýčeného účelu odchýliť, musíte spĺňať požiadavky nariadenia. Takže, keď ste osobné údaje získali pre mzdové a personálne účely, nemôžete ich svojvoľne využiť napríklad pre marketingové aktivity. Takže žiadne oslovenie vašich zamestnancov s ponukou vášho tovaru či služby len preto, že osobné údaje máte, tak prečo ich nevyužiť.
  • Rozsah alebo zoznam osobných údajov musí byť minimálny. Znamená to, že o zamestnancoch môžete spracúvať len skutočne nevyhnutné osobné údaje. Teda iba tie, bez ktorých neviete vytýčený účel spracúvania dosiahnúť. Ak máte údaje nad rámec tejto nevyhnutnosti, radšej ich čím skôr zlikvidujte.
  • Osobné údaje by ste mali mať správne a podľa potreby aktualizované. Aby ste túto požiadavku plnili, ako zamestnávateľ máte mať zavedený mechanizmus, ktorý zabezpečí, že o svojich zamestnancoch spracúvate osobné údaje, ktoré sú správne.
  • Osobné údaje by ste mali uchovávať len počas nevyhnutnej doby. Riadne plnenie tejto zásady je v podmienkach firiem naozaj problematické. Dennodenne sú totiž vašimi zamestnancami vytvárané rôzne kópie osobných údajov alebo nové dokumenty s osobnými údajmi, ktoré by ste mali uchovávať naozaj len počas nevyhnutnej doby. Ako to však celé zariadiť? Ak máte registratúrny plán, potom si preverte, či dokumenty v stanovených lehotách likvidujete (či už vy sami, alebo máte na to externú firmu, ktorá vám po skartácii dokumentov vyhotoví potvrdenie). Pozor však, táto zásada sa nevzťahuje len na listinné dokumenty, ale aj na tie elektronické. Preto, okrem osobných zložiek zamestnancov v listinnej podobe si preverte napríklad aj e-mailové schránky. Či v nich neuchovávate údaje po uplynutí nevyhnutnej doby. Napríklad taká žiadosť o prijatie do zamestnania vášho kolegu zpred piatich rokov, nemá už čo vo vašej schránke robiť.
  • Musíte zabezpečovať integritu a dôvernosť údajov. Tieto dva atribúty informačnej bezpečnosti sú obvykle dôrazne preverované až v situáciách, keď u prevádzkovateľa dôjde k porušeniu v ochrane údajov. Či boli napríklad údaje šifrované a či existujú riadne zálohy. Súčasťou kontroly však môže by aj otázka, či k osobným údajom má prístup len nevyhnutný okruh vašich zamestnancov a či “vidia” skutočne len tie osobné údaje, ktoré sú nevyhnutné pre plnenie ich pracovných povinností.
  • A na koniec – všetko musíte vedieť preukázať, hovorí o tom zásada zodpovednosti. Bezpečnostné smernice, záznamy o spracovateľských činnostiach, riadne informovanie vašich zamestnancov, pokyny pre oprávnené osoby atď.

Ak by sme vám podrobne mali ďalej vysvetľovať náplň jednotlivých bodov plánu z úradu, nestačila by nám jedna A4, ani dve, ani tri. A vy by ste nad týmto článkom museli stráviť oveľa viac času, ako ho len v rýchlosti preletieť očami.

My v GDPR Academy sa ochrane osobných údajov venujeme dennodenne. V EÚ stále pribúda množstvo materiálov, usmernení, rozhodnutí, ktoré sú dôležité (a pre nás aj nesmierne zaujímavé :)..). Preto odpovedať na jednotlivé body len v skratke a stručne by bolo pre vás vskutku len nahryznutím témy.

Personálna a mzdová agenda je totiž tou, čo do objemu údajov, v podmienkach prevádzkovateľov obvykle najväčšou. A aby v nej spracúvanie prebiehalo v súlade s GDPR pravidlami, musíte im dobre rozumieť. Náplň jednotlivých bodov z plánu kontroly totiž napovedá, že vám v súvislosti s mzdovou a personálnou agendou môžu kontrolóri preveriť úplne všetko. 

Pozrite si preto kurz GDPR pre firmy organizácie, ktorý je to pre vás dostupný 24 hodín denne. V poslednej lekcii sa dozviete aj o povinnej dokumentácii. Potom si už len prevezmete záznamy o spracovateľských činnostiach alebo bezpečnostné smernice, prípadne ďalšie dokumenty, ktoré potrebujete a s našou drobnou pomocou si tak spracúvanie osobných údajov dokážete riadiť úplne sami.

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Návrat hore
Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.