GDPR Academy

1. časť – Január – kontrolujete si dokumentáciu s vašimi sprostredkovateľmi

Poľský úrad na ochranu osobných údajov (rovnaké GDPR pravidlá platia aj na Slovensku) udelil prevádzkovateľovi pokutu za to, že neoveril, či sprostredkovateľ poskytuje dostatočné záruky, zavedením vhodných technických a organizačných opatrení. Napriek tomu mu poskytol osobné údaje na spracovanie.

Vo svojich záveroch kontrolný úrad zdôvodnil, že neoverenie sprostredkovateľa a jeho záruk v oblasti spracovania osobných údajov, môže mať pre dotknuté osoby závažné následky. Môžu nimi byť napríklad strata osobných údajov, či porušenie ich dôvernosti.

Rozhodnutie prevádzkovateľa o tom, s ktorým sprostredkovateľom bude spolupracovať nesmie byť v žiadnom prípade “postavené na vode” a nezdokumentované.

Kontrolný úrad zistil, že prevádzkovateľ nemal k dispozícii žiadne dokumenty, ktorými by preukázal súlad so všeobecným nariadením, a ani to, že došlo a dochádza k overeniu podmienok spolupráce s vybraným sprostredkovateľom. Skrátka to, že osobné údaje, ktoré prevádzkovateľ poskytuje sprostredkovateľovi na spracovanie, sú stále v bezpečí.


GDPR Kalendár preto začneme práve sprostredkovateľom a jeho vzťahom s prevádzkovateľom. Ich vzájomná spolupráca musí byť vždy riadne zdokumentovaná. Skontrolujete si preto, či máte všetky potrebné dokumenty a ak nie, vysvetlíme vám, ktoré vám chýbajú a kde ich tu, v GDPR Academy, nájdete.

Kto je to sprostredkovateľ?

Sprostredkovateľom je samostatný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Sprostredkovateľ vykonáva pre prevádzkovateľa a v jeho mene také činnosti, ktorých nevyhnutnou súčasťou je aj spracúvanie osobných údajov. Napríklad ich získavanie, poskytovanie, zverejňovanie, archivovanie alebo likvidovanie. 
Podrobnejšie vysvetlenie pojmu sprostredkovateľa si môžete teraz hneď pozrieť a vypočuť v prvej lekcii kurz GDPR pre firmy a organizácie. Táto lekcia je dostupná aj bez prihlásenia.

Aké dokumenty by ste mali mať, keď spolupracujete so sprostredkovateľom?

Dokumenty môžeme rozdeliť podľa fázy vašej spolupráce so sprostredkovateľom:

  1. záznam z úvodného preverenie záruk, a to ešte v čase výberu, resp. rozhodovania sa, s ktorým subjektom budete spolupracovať,
  2. zmluva so sprostredkovateľom, ktorú uzatvoríte na začiatku spolupráce,
  3. záznam z kontroly alebo auditu u sprostredkovateľa, ktorý vytvoríte už počas trvania spolupráce s konkrétnym sprostredkovateľom.

Záznam z úvodného preverenia záruk

Je jedno akú činnosť pre vás (prevádzkovateľa) sprostredkovateľ vykonáva. Môže to byť napríklad:

  • spracovanie miezd,
  • spracovanie účtovníctva,
  • poskytovanie bezpečnostných služieb,
  • vykonávanie služieb zálohovania údajov,
  • alebo správa a údržba informačných systémov a mnohé ďalšie

Ako prvé si vždy preverte aké záruky vám budúci obchodný partner (budúci sprostredkovateľ) vie poskytnúť. Spolupracovať by ste totiž mali len s takým subjektom, ktorý vám poskytuje dostatočné záruky. Teda, že sprostredkovateľ prijal dostatočné opatrenia technického a organizačného charakteru. Spracúvanie osobných údajov, ktoré bude pre vás vykonávať, bude spĺňať požiadavky GDPR. 

Skutočnosť, že ste toto úvodné preverenie vykonali, musíte vedieť preukázať. Ako to urobiť? Môžete si napríklad vyžiadať príslušnú GDPR dokumentáciu sprostredkovateľa (napríklad jeho politiku ochrany osobných údajov, záznamy o kategóriách spracovateľských činností, ak disponuje sprostredkovateľ certifikátmi – aj tieto vám pomôžu, že ste si povinnosti preverenia dostatočne splnili).

Z GDPR Academy si môžete prevziať dokument s názvom preverenie záruk sprostredkovateľa. Vytlačte si ho a v listinnej podobe poskytnite potenciálnemu sprostredkovateľovi. Teda subjektu, s ktorým zvažujete spoluprácu. Po tom, čo vám dokument vyplní a vráti, zvážte, či s ním začnete spolupracovať. Určite neodporúčame poskytovať osobné údaje na spracúvanie takej firme, v ktorej nie je ani minimálne bezpečnostné povedomie o ochrane osobných údajov. Keď napríklad nie sú poučené oprávnené osoby alebo neexistuje žiadna dokumentácia ochrany osobných údajov. A v konečnom dôsledku neexistuje ani žiadna snaha na zlepšenie. Takémuto subjektu určite neposkytujte osobné údaje na spracúvanie.

Ak ste vyhodnotili, že sprostredkovateľ vám poskytuje dostatočné záruky, potom si jeho vyplnený záznam založte k vašej GDPR dokumentácii. Záznam z úvodného preverenia záruk sa tak vykonáva jedenkrát, a to pred začiatkom spolupráce.

Zmluva so sprostredkovateľom

Každé spracúvanie osobných údajov, ktoré vykonáva sprostredkovateľ v mene prevádzkovateľa musí byť podložené napríklad zmluvou. Nie je možné, aby ste poskytli osobné údaje sprostredkovateľovi len tak “na dobré slovo”. Riskovali by ste jednu z tých vyšších pokút. Nedodržiavanie časti GDPR, ktorá sa venuje zmluve so sprostredkovateľom, patrí totiž medzi závažnejšie porušenia.

Zmluve so sprostredkovateľom sme sa podrobnejšie venovali v siedmej lekcii kurzu GDPR pre firmy a organizácie, tiež v samostatnom článku “zmluva medzi prevádzkovateľom a sprostredkovateľom”. Nie je postačujúce, keď je takáto zmluva len obchodného charakteru. Všeobecné nariadenie totiž vyžaduje, aby súčasťou zmluvy boli vymedzené náležitosti. Ktoré to sú, to nájdete v čl. 28 všeobecného nariadenia o ochrane údajov. 

Skontrolujte si preto, či máte s vašimi sprostredkovateľmi zmluvy, ktoré sú v súlade s nariadením. Je napríklad veľmi pravdepodobné, že ak máte so sprostredkovateľom zmluvu, ktorá bola uzatvorená ešte v roku 2017, nebude to postačovať. Všeobecné nariadenie o ochrane údajov totiž nadobudlo účinnosť až v máji 2018. 

Záznam z kontroly alebo auditu

Ani po tom, čo ste si vybrali toho správneho sprostredkovateľa, uzatvorili ste s ním zmluvu, vaše povinnosti nekončia. Ako prevádzkovateľ totiž stále zodpovedáte za to, že spracúvanie na strane sprostredkovateľa prebieha tak ako má, teda v súlade so všeobecným nariadením o ochrane údajov a zákonom o ochrane osobných údajov.
Aby ste zistili, či je u sprostredkovateľa stále všetko v poriadku a či v niektorých bezpečnostných opatreniach nezaostáva a neohrozuje tým bezpečnosť osobných údajov, mali by ste vykonávať kontrolu alebo audit. Kontrolu spracúvania u sprostredkovateľa si môžete vykonať vy sami, audit zasa prostredníctvom povereného audítora resp. využitím služieb tretej strany. Akým spôsobom si túto povinnosť splníte je teda na vás a na dohode s vašim sprostredkovateľom.

Ak sa rozhodnete, že si kontrolu u sprostredkovateľa zrealizujete sami, pomôže vám dokument “zápis z vykonania kontroly”, ktorý si môžete prevziať z GDPR Academy. Tento dokument obsahuje kontrolné otázky a možností odpovedí. Vytlačte ho a zašlite vášmu sprostredkovateľovi. Prípadne mu ho môžete poskytnúť elektronicky, prostredníctvom e-mailu. Odporúčame uviesť aj presný termín, do kedy očakávate, že vám sprostredkovateľ doručí vyplnený záznam.

Keď dokument sprostredkovateľ vyplní a zašle vám ho naspäť, odpovede skontrolujte, či v nich nie je priestor pre zlepšenie. Ak áno, potom sprostredkovateľovi navrhnite konkrétne opatrenia a dátum, do kedy očakávate ich prijatie. Ani teraz nezabúdajte, že ste to stále vy – prevádzkovateľ, kto zodpovedá za bezpečnosť osobných údajov. Preto, ak vám napríklad sprostredkovateľ v zázname uvedie, že svojich zamestnancov zaviazal povinnosťami (poučil ich) ešte v roku 2018 a štyri roky neprebehlo u neho žiadne školenie, zbystrite pozornosť. Je to veľmi dlhá doba a zamestnanci sprostredkovateľa pravdepodobne už aj zabudli, že existujú nejaké bezpečnostné pravidlá v spracúvaní osobných údajov. Napríklad, že ak došlo k porušeniu zásad na strane sprostredkovateľa (napríklad niektorým z jeho zamestnancov), vy ako prevádzkovať musíte o tomto incidente byť bezpodmienečne informovaný. Máte totiž povinnosť porušenie vyhodnotiť, zdokumentovať a podniknúť príslušné kroky.

Plnenie povinnosti musíte vedieť preukázať

Všetky vyhotovené záznamy si uchovávajte. Či už je ním úvodné preverenie záruk s každým novým sprostredkovateľom, zmluva so sprostredkovateľom alebo zápis z vykonania následnej kontroly spracúvania u sprostredkovateľa. Jednou zo základných zásad GDPR totiž je, že ako prevádzkovateľ ste zodpovedný za súlad s dodržiavaním pravidiel, a že tento súlad musíte vedieť preukázať.

K plneniu tejto povinnosti vám poslúžia práve príslušné dokumenty, či záznamy.

A čo keď so sprostredkovateľom už roky spolupracujete, ste s ním spokojný, ale nemáte vôbec nič, žiadnu zmluvu, ani záznamy? Potom s ním čo najskôr uzatvorte zmluvu a následne si u neho vykonajte kontrolu. Tieto dva dokumenty si uchovajte.  Keď však v budúcnosti budete uvažovať o výbere nového sprostredkovateľa, nezabudnite, že je potrebné:

  1. najskôr preveriť jeho záruky,
  2. potom s ním uzatvoriť zmluvu,
  3. a následne ho priebežne kontrolovať.

Nižšie si môžete prevziať všetky tri dokumenty, uložiť si ich u seba v počítači a začať hneď používať vo vašej firme či organizácii.

Obmedzený prístup

Ďalší obsah tohoto článku je dostupný len prihláseným členom GDPR Academy. Prihláste sa, alebo si predplaťte členstvo. Práve teraz je k dispozícii
0
Otázok a odpovedí
0
Dokumentov na stiahnutie
0
Online GDPR kurzy

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.