Otázka: Aké zmeny treba urobiť v dokumentácii, keď sme zmenili dodávateľa služieb, ktorý spracúval osobné údaje našich zamestnancov?
Odpoveď: Zmena externého dodávateľa služieb, ktorý spracúval osobné údaje, je jedným z najčastejších dôvodov na aktualizáciu povinnej dokumentácie. Ide o zmenu tzv. sprostredkovateľa – teda externého subjektu, ktorý v mene prevádzkovateľa (napríklad zamestnávateľa) a na základe jeho pokynov spracúva osobné údaje dotknutých osôb (napr. zamestnancov alebo zákazníkov). Medzi sprostredkovateľov môžu patriť externí IT špecialisti, účtovníci, mzdári, bezpečnostné služby, poskytovatelia GPS monitoringu firemných vozidiel a ďalší.
Kde tieto zmeny premietnuť, závisí od štruktúry vašej dokumentácie. Vo vzťahu k sprostredkovateľovi je to zvyčajne potrebné urobiť v nasledujúcich dokumentoch:
- Záznam o spracovateľskej činnosti – ak uvádzate v stĺpci „kategória príjemcov“ konkrétne obchodné názvy dodávateľov.
- Formuláre pre informovanie dotknutých osôb o spracúvaní ich osobných údajov.
- Internetové stránky – ak v zásadách spracúvania osobných údajov uvádzate informácie o konkrétnych dodávateľoch.
- Bezpečnostná smernica – ak prostredníctvom nej informujete oprávnené osoby, ktorým subjektom môžu poskytovať osobné údaje.
Poďme si to ukázať na príklade. Predpokladajme, že ste zmenili…
Tento článok si môžete prečítať celý po prihlásení
Otázky pre ľahšie zapamätanie:
Otázka 1:
1. Ktorý GDPR dokument je potrebné upraviť, keď zmeníte dodávateľa služieb, ktorý spracúva osobné údaje?
- a) Štatistiky prístupov k údajom
- b) Záznam o spracovateľskej činnosti
- c) Pracovná zmluva so zamestnancami
- d) Fakturačné záznamy
Otázka č. 2:
2. Ktoré z týchto situácií obvykle nie sú dôvodom na aktualizáciu GDPR dokumentácie?
- a) Zmena externého dodávateľa služieb
- b) Zmena účelu spracúvania osobných údajov
- c) Zmena počtu dotknutých osôb
- d) Zavedenie nových technológií na spracúvanie údajov
Otázka č. 3:
Kedy je potrebné uzatvoriť zmluvu s externým dodávateľom podľa čl. 28 GDPR?
- a) Keď dodávateľ len uchováva údaje, ale ich neaktualizuje
- b) Keď dodávateľ spracúva osobné údaje v mene prevádzkovateľa a na základe jeho pokynov
- c) Iba ak dodávateľ spracúva citlivé osobné údaje
- d) Keď dodávateľ poskytuje služby pre viacero prevádzkovateľov
Správne odpovede na otázky sa vám zobrazia po prihlásení.