Otázka: Čo by malo byť súčasťou povinnej GDPR dokumentácie pre obec? Ochrana osobných údajov je na našom obecnom úrade zdokumentovaná len čiastočne a chceme si ju doplniť.
Odpoveď: Disponovať povinnou dokumentáciu, ktorá upravuje systém spracúvania osobných údajov v podmienkach každého prevádzkovateľa a sprostredkovateľa vyplýva zo zásady zodpovednosti podľa čl. 5 ods. 2 GDPR. Podľa nej musí organizácia spracúvajú osobné údaje vedieť preukázať súlad so všeobecným nariadením o ochrane údajov.
Rozsahu povinnej dokumentácie sa venujeme aj 14. lekcii online kurzu “GDPR pre firmy a organizácie”, ktorý si môžete pozrieť a taktiež je predmetom nasledujúcej tabuľky.
Názov
|
Dôvod
|
Poskytovanie
|
---|---|---|
Záznamy
|
Kontrolný úrad
|
|
Zmluvy so sprostredkovateľmi
|
Sprostredkovateľ, kontrolný úrad
|
|
Informačné povinnosti
|
Dotknuté osoby
|
|
Súhlasy so spracúvaním
|
Dotknuté osoby
|
|
Analýza rizík
|
Kontrolný úrad
|
|
Bezpečnostné smernice
|
Oprávnené osoby
|
|
Mlčanlivosť
|
Fyzické osoby
|
|
Posúdenie vplyvu
|
Kontrolný orgán
|
Záznamy
Záznamy o spracovateľských činnostiach by v podmienkach obce mohli byť napríklad ako:
- Činnosť zastupiteľstva,
- Dane a poplatky,
- Dotácie z rozpočtu,
- Evidencia obyvateľov,
- Grantový systém Ministerstva kultúry SR,
- Kontrolná činnosť,
- Kronika,
- Kamerový systém,
- Materská škola,
- Mzdová a personálna agenda,
- Osvedčovanie,
- Oznámenie funkcií, zamestnaní, činností a majetkových pomerov,
- Personálne zabezpečenie podujatí,
- Petície,
- Poskytovanie pomoci a podpory,
- Práva dotknutých osôb,
- Prevody vlastníctva majetku a prenájmy majetku,
- Prezentácia organizácie,
- Sociálne služby – evidencia prijímateľov,
- Sociálne služby – poskytovatelia,
- Sociálne služby – posudzovanie žiadostí,
- Správa registratúry,
- Stanoviská k územným a stavebným konaniam,
- Sťažnosti,
- Účtovná agenda,
- Verejné obstarávanie,
- Voľby,
- Výberové konania,
- Žiadosti podľa infozákona a pod.
V GDPR Academy nájdete pripravené vzory, a to v Databáze znalostí v časti “Záznamy o spracovateľských činnostiach”.
Zmluvy so sprostredkovateľmi
Zmluvy so subjektami, ktorý v mene obce spracúvajú osobné údaje a sú tak v pozícii tzv. sprostredkovateľa musia spĺňať náležitosti čl. 28 všeobecného nariadenia o ochrane údajov. Môže ísť napríklad o:
- externého poskytovateľa služieb účtovníctva a miezd,
- externého správcu internetovej stránky obce,
- externého poskytovateľa služieb v oblasti informačných technológií,
- externého poskytovateľa služieb bezpečnosti a ochrany zdravia pri práci.
V GDPR Academy nájdete pripravený vzor zmluvy so sprostredkovateľom, a to v časti “Ostatné užitočné dokumenty” – “Zmluvy medzi prevádzkovateľom a sprostredkovateľom”.
Informačné povinnosti
Voči dotknutým osobám, o ktorých obec osobné údaje spracúva, má tzv. informačnú povinnosť. Ide plnenie povinnosti podľa čl. 13 a 14 všeobecného nariadenia o ochrane údajov. Ide tak napríklad o tieto osoby:
- fyzické osoby, ktorých osobné údaje sú súčasťou materiálov rokovania zastupiteľstva,
- fyzické osoby – daňovníci, poplatníci, určení zástupcovia, členovia domácností,
- žiadatelia o poskytnutie dotácií,
- občania obce, vlastníci a spoluvlastníci budov, žiadatelia oznámení o mieste pobytu obyvateľa,
- kontaktné osoby a garanti projektu v rámci grantového systému,
- zamestnanci prevádzkovateľa, zamestnanci rozpočtových a príspevkových organizácií v zriaďovateľskej pôsobnosti prevádzkovateľa,
- fyzické osoby, ktorým boli poskytnuté dotácie a finančné výpomoci
- účastníci konaní,
- fyzické osoby, ktorých osobné údaje sú predmetom zápisov obecnej kroniky,
- deti a ich zákonní zástupcovia, splnomocnené osoby,
- uchádzači o zamestnanie, zamestnanci prevádzkovateľa a ich rodinní príslušníci, riaditelia škôl a školských zariadení a ostatných zariadení v zriaďovateľskej pôsobnosti prevádzkovateľa, poslanci, fyzické osoby vykonávajúce pre prevádzkovateľa práce mimo pracovného pomeru,
- žiadatelia o osvedčenie,
- účastníci podujatí,
- fyzické osoby uvedené v petícii, podpisovom hárku, ako aj ostatné fyzické osoby, ktorých osobné údaje sú nevyhnutné na vybavovanie petície,
- žiadatelia o finančné príspevky,
- fyzické osoby, ktoré si uplatňujú svoje práva vo vzťahu k spracúvaniu osobných údajov,
- žiadatelia a kupujúci pri prevodoch nehnuteľného majetku,
- prijímatelia sociálnych služieb,
- žiadatelia o zápis do registra poskytovateľov sociálnych služieb,
- žiadatelia o posúdenie odkázanosti na sociálnu službu, zákonní zástupcovia žiadateľa,
- odosielatelia a prijímatelia úradnej korešpondencie,
- fyzická osoba – stavebník, účastníci stavebného konania a ostatné fyzické osoby v zmysle osobitných zákonov,
- sťažovatelia, zástupca sťažovateľa, pracovníci prevádzkovateľa, ostatné fyzické osoby, ktorých údaje sú nevyhnutné pre vybavenie sťažnosti
- fyzická osoba – zmluvná strana, zamestnanci prevádzkovateľa, zamestnanci dodávateľov tovaru a služieb, fyzické osoby, ktorým vznikla povinnosť uhradiť správny poplatok, fyzické osoby, ktorým boli uložené sankcie, fyzické osoby, ktorým boli poskytnuté dotácie,
- fyzické osoby – uchádzači alebo záujemcovia, účastníci zamestnanci organizácii, členovia poroty, náhradníci poroty, členovia komisií, experti, znalci, lektori, subdodávatelia,
- kandidáti vo voľbách,
- uchádzači na výberové konania,
- monitorované osoby kamerovým systémom a pod.
Informačné povinnosti si obec obvykle plní napríklad:
- v listinnej podobe – dokumentom, ktorý je dostupný v priestoroch obecného úradu alebo je súčasťou dokumentov, prostredníctvom ktorých dochádza k získavaniu osobných údajov,
- oznámeniami o monitorovaní priestorov kamerovým systémom
- zrozumiteľnými informáciami, ktoré sú súčasťou internetových stránok obce.
V GDPR Academy nájdete pripravené vzory, a to v Databáze znalostí v časti “Informačné povinnosti prevádzkovateľa”.
Súhlasy so spracúvaním
Každá obec, ktorá spracúva osobné údaje na základe súhlasu, musí jeho udelenie vedieť preukázať. Napríklad pri rôznych propagačných aktivitách, keď sú zverejňované fotografie dotknutých osôb.
V GDPR Academy nájdete pripravené vzory, a to v Databáze znalostí v časti “Súhlasy so spracúvaním”.
Bezpečnostné smernice
Každý prevádzkovateľa a sprostredkovateľ je povinný podniknúť kroky na zabezpečenie toho, aby každá osoba, ktorá má prístup k osobným údajom, tieto spracúvala na základe pokyn. Zdokumentované pokyny predmetom bezpečnostných smerníc.
V GDPR Academy nájdete tieto smernice, ktoré si podľa návodu prispôsobíte vlastným podmienkam:
- Bezpečnostná smernica pre manipuláciu s osobnými údajmi
- Bezpečnostná smernica k ochrane osobných údajov pre kamerový systém
- Bezpečnostná smernica pre výkon práv dotknutých osôb
- Bezpečnostná smernica pre riadenie personálnej bezpečnosti
- Bezpečnostná smernica pre riadenie bezpečnostných incidentov
- Bezpečnostná smernica pre kontrolnú činnosť
Odporúčame oprávnené osoby prioritne zaviazať plnením povinností v zmysle Bezpečnostnej smernice pre manipuláciu s osobnými údajmi.
Mlčanlivosť
Podľa zákona o ochrane osobných údajov platí, že každá obec je povinná zaviazať povinnosťou mlčanlivosti všetky fyzické osoby, ktoré prídu v jej podmienkach do styku s osobnými údajmi.
V GDPR Academy nájdete pripravený vzory, a to v Databáze znalostí v časti “Ostatné užitočné dokumenty” – “Záväzok zamestnanca k povinnosti mlčanlivosti”.