GDPR Academy

2. časť – február – kontrolujete si poučenia a záväzky vašich zamestnancov

Prvý mesiac v roku sme v GDPR kalendári venovali zosúladeniu vzťahov s externými subjektami, konkrétne s tými, ktorí sú v pozícií tzv. sprostredkovateľov.
Nasledujúce štyri týždni sa zameriate na vaše interné prostredie, a to na vašich vlastných zamestnancov. Skontrolujute si, či sú zamestnanci náležite poučení s príslušnými pokynmi a pravidlami a taktiež, či ich poučenie a záväzky viete v zmysle zásady zodpovednosti preukázať.

Prečo musia byť zamestnanci náležite poučení?

Laicky môžeme odpovedať, že preto, aby nerobili chyby pri spracúvaní osobných údajov alebo pri obyčajnom kontakte s údajmi. Ľudský faktor stále zostáva tým najzraniteľnejším. Môžete mať totiž množstvo rôznych bezpečnostných opatrení na pracovných staniciach, sofistikované antvírusové programy, obranné štíty firewallov, prísne politiky obmedzujúce sťahovanie súborov zo siete internet a návštev všakovakých webových sídiel, ktoré by mohli ohroziť bezpečnosť vašich firemných dát. Stačí však obyčajný e-mail s osobnými údajmi, ktorý váš zamestnanec v strese odošle nesprávnemu príjemcovi. Jednoducho sa pomýli. Síce e-mail zahesluje, ale v časovej tiesni odošle heslo k nemu rovnakým komunikačným kanálom (tým istým emailom), a porušenie v ochrane údajov je na svete. Síce “len” z nedbanlivosti, ale v prípade šetrenia zo strany kontrolného úradu, by ste ako prevádzkovateľ museli preukazovať, čo všetko ste urobili, aké opatrenia ste prijali, aby podobným incidentom u vás nedochádzalo.


Alebo obyčajné porušenie mlčanlivosti. Keď bežný radový zamestnanec nerozumie, čo to vlastne osobný údaj je, ťažko od neho môžeme chcieť, aby zachoval jeho dôvernosť.


A pri tom platí, že každý subjekt, ktorý narába s osobnými údajmi, či už ako prevádzkovateľ alebo sprostredkovateľ je povinný prijať vhodné technické a organizačné opatrenia, aby zabezpečil ochranu spracúvaných osobných údajov. A práve tie organizačné opatrenia sú zamerané na zamestnancov. Podľa:

  • Čl. 32 ods. 4 všeobecného nariadenia o ochrane údajov, ktorý hovorí, že: Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.
  • Zákona o ochrane osobných údajov, ktorý vo svojom § 79 ods. 2 zas uvádza, že: Prevádzkovateľ a sprostredkovateľ je povinný zaviazať mlčanlivosťou o osobných údajoch fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. Povinnosť mlčanlivosti podľa prvej vety musí trvať aj po skončení pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu tejto fyzickej osoby.

Skupiny zamestnancov

Aby sme uvedené dve povinnosti (podľa čl. 32 a §79) riadne plnili, ako pomôcku si vytvoríme štyri základné skupiny zamestnancov.  Pre:

  • fyzické osoby, ktoré konajú na základe poverenia
  • a fyzické osoby, ktoré prídu do styku s osobnými údajmi.

Vzťah jednotlivých skupín napríklad vo výrobnom závode, ktorý je prevádzkovateľom by mohol vyzerať, ako na obrázku nižšie.

Skupina D = ostatné fyzické osoby, ktoré prídu do styku s osobnými údajmi. Túto skupinu tvoria zamestnanci, od ktorých neočakávame, že pri plnení svojich pracovných povinností budú spracúvať osobné údaje. Môžu byť nimi napríklad pracovníci vo výrobe, operátori, upratovačky, pomocní pracovníci v kuchyni a pod. S osobnými údajmi systematicky nemanipulujú, môžu však s nimi prísť do styku. Napríklad ich započuť alebo uvidieť. Môže sa totiž napríklad stať, že takýto pracovník vojde do kancelárie personalistu, ktorý má na stole práve rozložené osobné spisy zamestnancov a časť osobných údajov z nich uvidí. Požiadavka “politiky čistého stola” je totiž jedna vec, prax jej dodržiavania je však druhá. Preto je potrebné pamätať aj na túto skupinu ľudí. 


Skupiny C, B a A tvoria tí zamestnanci, ktorí konajú na základe poverenia prevádzkovateľa alebo sprostredkovateľa. Ide o tzv. oprávnené osoby. 


Skupina C =
oprávnené osoby spracúvajúce osobné údaje v listinnej podobe. Do tejto skupiny zaradíme všetkých tých zamestnancov, ktorí síce spracúvajú osobné údaje, nepoužívajú však k tomu počítače, notebooky a pod. Môže ísť napríklad o pracovníka recepcie, ktorí zapisuje vstupujúce osoby do knihy návštev v tradičnej listinnej forme.


Skupina B =
oprávnené osoby spracúvajúce osobné údaje v akejkoľvek podobe. Sú nimi tí zamestnanci, ktorí pri výkone svojich pracovných povinností spracúvajú osobné údaje aj v automatizovanej podobe, teda prostredníctvom počítačov, tabletov. Pracujú napríklad s e-mailovou schránkou a pod. Napríklad pracovníci účtovného oddelenia a ekonomického oddelenia. 


Skupina A =
oprávnené osoby dohliadajúce nad dodržiavaním pravidiel ochrany osobných údajov. Čo do počtu zamestnancov je táto skupina najmenšia. Môže to byť napríklad: poverená zodpovedná osoba, interný špecialista alebo informatik. Ide o osoby, ktoré by sme podľa plnenia ich pracovných povinností zaradili do skupiny B. Kedže však kontrolujú, usmerňujú, jednoducho pomáhajú ostatných dodržiavať pravidlá bezpečného spracúvania, sú súčasťou samostatnej skupiny.


Môže sa stať, že nebudete mať náplň pre niektorú zo skupín. Sú napríklad takí prevádzkovatelia alebo sprostredkovatelia, ktorých zamestnanci patria len do skupiny B a skupiny A.

Napríklad externí spracovatelia účtovníctva. Všetci ich zamestnanci pracujú s počítačom a príslušným softvérom (skupina B). A jeden z nich ich odborne usmerňuje alebo kontroluje, či spracúvanie osobných údajov prebieha v poriadku (skupina A).

Príklad zatrieďovania pracovných pozícií do skupín je predmetom nasledujúceho obrázku:

Grafické vyjadrenie oboznamovania jednotlivých skupín zamestnancov je predmetom nasledujúceho obrázku.

To, že si povinnosti riadne plníte, musíte vedieť preukázať. Preto si záznamy dobre uchovávajte. 

Nabudúce, keď vám príde nový zamestnanec, oboznámte ho s príslušnými dokumentami hneď pri vzniku pracovného pomeru.

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.