GDPR Academy

Poštu a faktúry za vás nevyriešime…
Ale GDPR dokumentáciu vám vypracujeme na jednotku!

GDPR dokumentácia - vypracujeme ju za vás

GDPR (General Data Protection Regulation) je všeobecné nariadenie Európskeho parlamentu a Rady (EÚ), ktoré určuje pravidlá pri spracúvaní osobných údajov. Okrem zásad, určených týmto nariadením sa pri manipulácii s osobnými údajmi v našich podmienkach riadime zároveň aj zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Podľa čl. 5 ods. 2 všeobecného nariadenia o ochrane údajov, je každý prevádzkovateľ zodpovedný za súlad spracúvania osobných údajov s týmto nariadením, pričom súlad musí vedieť preukázať. Hovoríme o jednej zo základných zásad spracúvania – zásade zodpovednosti. Preukazovanie je vykonávané jednak skutkovým stavom a zároveň správnou dokumentáciou, ktorá odzrkadľuje prijaté bezpečnostné opatrenia.

Čo tvorí GDPR dokumentáciu

GDPR dokumentáciu tvorí súbor dokumentov, ktoré navzájom úzko súvisia. V procese spracúvania osobných údajov má každý z nich svoje opodstatnenie tak, aby poskytol prevádzkovateľovi maximálnu ochranu pred:

  • bezpečnostnými incidentmi,
  • porušeniami pravidiel spracúvania,
  • a sankciami zo strany kontrolného úradu.
  • Zdroj požiadavky pre dokument: Povinnosť podľa čl. 32 ods. 4 všeobecného nariadenia o ochrane údajov
  • Výstup: Preukázateľne oboznámené oprávnené osoby s pokynmi prevádzkovateľa, týkajúcimi sa spracúvania osobných údajov.
  • Intenzita využitia: Vysoká – priebežne počas celého roka (prijatie novej oprávnenej osoby; zmeny v podmienkach spracúvania a pod.
  • Zainteresované subjekty: Všetci pracovníci spracúvajúci osobné údaje; Úrad na ochranu osobných údajov SR v prípade kontroly
  • Zdroj požiadavky pre dokument: Povinnosť podľa čl. 13 a 14 všeobecného nariadenia o ochrane údajov.
  • Výstup: Transparentné plnenie informačných povinností voči dotknutým osobám, o ktorých prevádzkovateľ spracúva osobné údaje (zamestnanci, zákazníci, osoby vstupujúce do priestorov prevádzkovateľa, monitorované osoby, návštevníci webových stránok a pod.
  • Intenzita využitia: Vysoká – priebežne počas celého roka (prevádzkovateľ je povinný poskytovať informácie o spracúvaní osobných údajov nepretržite, resp. pri každom získavaní osobných údajov).
  • Zainteresované subjekty: Dotknuté osoby; Úrad na ochranu osobných údajov SR v prípade kontroly
  • Zdroj požiadavky pre dokument: Povinnosť podľa čl. 30 všeobecného nariadenia o ochrane údajov.
    Výstup: Záznamy o spracovateľských činnostiach prevádzkovateľa alebo záznamy o kategóriách spracovateľských činností (sprostredkovateľa). Napríklad pre: mzdovú a personálna agendu, účtovnú agendu, agendu vzdelávania zamestnancov, benefity zamestnancov, kamerový systém, riadenie kvality a výkonnosti, riadenie bezpečnosti v oblasti informačných technológií, riadenie vzťahov s dodávateľmi a odberateľmi, propagácia organizácie, marketingové aktivity a pod.
  • Intenzita využitia: nízka – dokument sa predkladá kontrolnému úradu na požiadanie
  • Zainteresované subjekty: Úrad na ochranu osobných údajov SR v prípade kontroly
  • Zdroj požiadavky pre dokument: Povinnosť podľa čl. 5 ods. 2 všeobecného nariadenia o ochrane údajov.
  • Výstup: Formuláre slúžiace k záznamu priebehu jednotlivých činností, záväzky mlčanlivosti, súhlasy, vzory zmlúv a pod.
  • Intenzita využitia: Vysoká – priebežne počas celého roka (prijatie nového pracovníka, vznik zmluvného vzťahu s dodávateľom, získavanie osobných údajov na základe súhlasu a pod.)
  • Zainteresované subjekty: Dotknuté osoby; vlastní pracovníci, dodávatelia, Úrad na ochranu osobných údajov SR v prípade kontroly a pod.
  • Zdroj požiadavky pre dokument: Povinnosť podľa čl. 24 všeobecného nariadenia o ochrane údajov, metodického usmernenia Úradu na ochranu osobných údajov SR a čl. 6 všeobecného nariadenia o ochrane údajov (posúdenie oprávnených záujmov prevádzkovateľa)
  • Výstup: Analýza rizík s ohľadom na prijaté technické a organizačné opatrenia a návrh odporúčaných opatrení s cieľom minimalizovať riziká súvisiace so spracúvaním osobných údajov.
  • Intenzita využitia: Stredná – v určených termínoch (interná kontrola plnenia bezpečnostných cieľov).
  • Zainteresované subjekty: Určení kompetentní pracovníci (napr.: poverená zodpovedná osoba, interný špecialista pre ochranu osobných údajov, štatutári, špecialista pre oblasť informačných technológií, Úrad na ochranu osobných údajov SR v prípade kontroly)
  • Zdroj požiadavky pre dokument: Povinnosť podľa čl. 5 ods. 2 a čl. 32 všeobecného nariadenia o ochrane údajov
  • Výstup: Súbor zdokumentovaných opatrení, ktoré prevádzkovateľ prijal pre ochranu spracúvaných osobných údajov. Napríklad pre oblasť riadenia aktív (USB, notebooky a pod.), riadenia dostupnosti, zálohovania údajov, údržby zariadení, manipulácie s dátovými nosičmi a pod.
  • Intenzita využitia: Nízka – dokument sa predkladá kontrolnému úradu v prípade kontroly
  • Zainteresované subjekty: Úrad na ochranu osobných údajov SR v prípade kontroly
  • Zdroj požiadavky pre dokument: Čl. 5 ods. 2, kapitola III, čl. 28, čl. 33 všeobecného nariadenia o ochrane údajov.
  • Výstup: Súbor samostatných bezpečnostných smerníc, umožňujúcich transparentný výkon povinností prevádzkovateľa. Tieto sú v členení: Bezpečnostná smernica pre výkon práv dotknutých osôb, bezpečnostná smernica pre riadenie bezpečnostných incidentov, bezpečnostná smernica pre personálnu bezpečnosť, bezpečnostná smernica pre kontrolnú činnosť.
  • Intenzita využitia: Stredná – pri vzniku situácie, ktorú príslušná smernica upravuje (uplatnenie práva dotknutej osoby, vznik bezpečnostného incidentu, termín výkonu internej kontroly)
  • Zainteresované subjekty: určení kompetentní pracovníci (napr.: poverená zodpovedná osoba, interný špecialista pre ochranu osobných údajov, štatutári, špecialista pre oblasť informačných technológií, Úrad na ochranu osobných údajov SR v prípade kontroly)
  • Zdroj požiadavky na dokument: Povinnosť podľa čl. 35 všeobecného nariadenia o ochrane údajov, usmernenia týkajúce sa posúdenia vplyvu na ochranu údajov a stanovenie toho, či na účely nariadenia 2016/679 spracúvanie „pravdepodobne povedie k vysokému riziku“ (vypracované Pracovnou skupinou pre ochranu údajov zriadenú podľa článku 29, usmernenie označované aj ako WP 248), zoznam spracovateľských operácií zverejnený Úradom na ochranu osobných údajov SR.
  • Výstup: Posúdenie vplyvu pre spracúvanie osobných údajov, ktoré s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.
  • Intenzita využitia: Nízka – dokument sa predkladá kontrolnému úradu v prípade kontroly
  • Zainteresované subjekty: Úrad na ochranu osobných údajov SR v prípade kontroly

Ako obstála GDPR dokumentácia pri kontrole

Viackrát sme mali tú česť spolupracovať s organizáciami, v ktorých Úrad na ochranu osobných údajov SR v predchádzajúcom období preveroval dodržiavanie pravidiel ochrany spracúvaných osobných osobných údajov. Tu je pár záverov, ktoré sa týkajú hodnotenia dokumentácií, ktoré sme vypracovali pre našich klientov:

„Kontrolovaná osoba v priebehu kontroly predložila kontrolnému orgánu dokumentáciu tvorenú Bezpečnostným projektom a dvoma internými predpismi (Bezpečnostné opatrenie pre manipuláciu s osobnými údajmi a Bezpečnostné opatrenie pre riadenie spracúvania osobných údajov) …. Na základe uvedených skutočností kontrolný orgán vo vzťahu k reálne prijatým opatreniam a ich dokumentácii konštatoval súlad s požiadavkami §19 a 20 zákona o ochrane osobných údajov.“

„Vo vzťahu k bezpečnostným opatreniam zameraným na ochranu osobných údajov prevádzkovateľ v čase kontroly predložil bezpečnostný projekt spracovaný podľa zákona o ochrane osobných údajov, ktorého štruktúra zodpovedá dikcii §5 ods. 1 vyhlášky č. 164/2013 Z. z. o rozsahu dokumentácii bezpečnostných opatrení … Na základe uvedených skutočností kontrolný orgán konštatoval súlad s dikciou §19 ods. 1 zákona o ochrane osobných údajov.“

„Predložený bezpečnostný projekt obsahuje v zmysle §5 ods. 1 vyhlášky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení bezpečnostný zámer, analýzu bezpečnosti IS a bezpečnostné smernice, ktoré svojim obsahom napĺňajú obsahové náležitosti vyžadované §4 cit. vyhlášky, a preto možno konštatovať, že prevádzkovateľ prijal bezpečnostné opatrenia v dostatočnom rozsahu a v zmysle zákona o ochrane osobných údajov.“

Takto bude naša spolupráca prebiehať

  1. Zber údajov. Na základe stretnutia (aktuálne prioritne formou telekonferencie alebo telefonicky) a následného zisťovania stavu spracúvania vo vašich podmienkach (podľa v súčastnosti používaných formulárov a zmlúv, dokumentácie z predchádzajúcich obdobia – ak existuje a pod.) získame  prvotné informácie o stave spracúvania osobných údajov.
  2. Sprístupnenie dotazníkov. Pracovníkovi, ktorého si určíte pre komunikáciu s nami,  sprístupníme dotazník pre doplňujúce odpovede, ktoré neboli zodpovedané počas  stretnutia alebo sa zistili počas vyhodnocovania získaných údajov, či následnej emailovej alebo telefonickej komunikácie.
  3. Spracovanie záznamov o spracovateľských činnostiach. Na základe získaných údajov, vypracujeme záznamy o spracovateľských činnostiach, a to samostatne pre každý identifikovaný účel spracúvania osobných údajov vo vašich podmienkach. Záznamy budú určenému pracovníkovi sprístupnené pre prípadné doplnenia alebo odkomunikovanie zmien.
  4. Spracovanie formulárov a informačných povinností. Na základe finálnych záznamov o spracovateľských činnostiach vypracujeme všetky formuláre a informačné povinnosti, ktoré potrebujete pri získavaní osobných údajov.
  5. Spracovanie bezpečnostných smerníc. V tejto fáze pre vás vytvoríme súbor bezpečnostných smerníc pre vašich zamestnancov, prostredníctvom ktorých budú spracúvať osobné údaje len na základe vašich zdokumentovaných pokynov.
  6. Zdokumentovanie ostatných bezpečnostných opatrení. Na záver zfinalizujeme všetky ostatné dokumenty. Analýzu spracúvania osobných údajov, Posúdenie vplyvu na ochranu údajov a pod., ktoré vám zašleme v elektronickej podobe. Zároveň priložíme aj dokument Postup implementácie jednotlivých dokumentov, aby ste dokumentácii rozumeli a dôkladne si ju zaviedli do praxe. Aj naďalej však pre vás zostávame v kontakte.

Potrebujete pomôcť rozhodnúť sa?

Nech sa páči, vyplňte krátky formulár. Budeme vás kontaktovať a všetko potrebné spolu prekonzultujeme.

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.