Poštu a faktúry za vás nevyriešime…
Ale GDPR dokumentáciu vám vypracujeme na jednotku!
GDPR dokumentácia - vypracujeme ju za vás
GDPR (General Data Protection Regulation) je všeobecné nariadenie Európskeho parlamentu a Rady (EÚ), ktoré určuje pravidlá pri spracúvaní osobných údajov. Okrem zásad, určených týmto nariadením sa pri manipulácii s osobnými údajmi v našich podmienkach riadime zároveň aj zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Podľa čl. 5 ods. 2 všeobecného nariadenia o ochrane údajov, je každý prevádzkovateľ zodpovedný za súlad spracúvania osobných údajov s týmto nariadením, pričom súlad musí vedieť preukázať. Hovoríme o jednej zo základných zásad spracúvania – zásade zodpovednosti. Preukazovanie je vykonávané jednak skutkovým stavom a zároveň správnou dokumentáciou, ktorá odzrkadľuje prijaté bezpečnostné opatrenia.
Čo tvorí GDPR dokumentáciu
GDPR dokumentáciu tvorí súbor dokumentov, ktoré navzájom úzko súvisia. V procese spracúvania osobných údajov má každý z nich svoje opodstatnenie tak, aby poskytol prevádzkovateľovi maximálnu ochranu pred:
- bezpečnostnými incidentmi,
- porušeniami pravidiel spracúvania,
- a sankciami zo strany kontrolného úradu.
- Zdroj požiadavky pre dokument: Povinnosť podľa čl. 32 ods. 4 všeobecného nariadenia o ochrane údajov
- Výstup: Preukázateľne oboznámené oprávnené osoby s pokynmi prevádzkovateľa, týkajúcimi sa spracúvania osobných údajov.
- Intenzita využitia: Vysoká – priebežne počas celého roka (prijatie novej oprávnenej osoby; zmeny v podmienkach spracúvania a pod.
- Zainteresované subjekty: Všetci pracovníci spracúvajúci osobné údaje; Úrad na ochranu osobných údajov SR v prípade kontroly
- Zdroj požiadavky pre dokument: Povinnosť podľa čl. 13 a 14 všeobecného nariadenia o ochrane údajov.
- Výstup: Transparentné plnenie informačných povinností voči dotknutým osobám, o ktorých prevádzkovateľ spracúva osobné údaje (zamestnanci, zákazníci, osoby vstupujúce do priestorov prevádzkovateľa, monitorované osoby, návštevníci webových stránok a pod.
- Intenzita využitia: Vysoká – priebežne počas celého roka (prevádzkovateľ je povinný poskytovať informácie o spracúvaní osobných údajov nepretržite, resp. pri každom získavaní osobných údajov).
- Zainteresované subjekty: Dotknuté osoby; Úrad na ochranu osobných údajov SR v prípade kontroly
- Zdroj požiadavky pre dokument: Povinnosť podľa čl. 30 všeobecného nariadenia o ochrane údajov.
Výstup: Záznamy o spracovateľských činnostiach prevádzkovateľa alebo záznamy o kategóriách spracovateľských činností (sprostredkovateľa). Napríklad pre: mzdovú a personálna agendu, účtovnú agendu, agendu vzdelávania zamestnancov, benefity zamestnancov, kamerový systém, riadenie kvality a výkonnosti, riadenie bezpečnosti v oblasti informačných technológií, riadenie vzťahov s dodávateľmi a odberateľmi, propagácia organizácie, marketingové aktivity a pod. - Intenzita využitia: nízka – dokument sa predkladá kontrolnému úradu na požiadanie
- Zainteresované subjekty: Úrad na ochranu osobných údajov SR v prípade kontroly
- Zdroj požiadavky pre dokument: Povinnosť podľa čl. 5 ods. 2 všeobecného nariadenia o ochrane údajov.
- Výstup: Formuláre slúžiace k záznamu priebehu jednotlivých činností, záväzky mlčanlivosti, súhlasy, vzory zmlúv a pod.
- Intenzita využitia: Vysoká – priebežne počas celého roka (prijatie nového pracovníka, vznik zmluvného vzťahu s dodávateľom, získavanie osobných údajov na základe súhlasu a pod.)
- Zainteresované subjekty: Dotknuté osoby; vlastní pracovníci, dodávatelia, Úrad na ochranu osobných údajov SR v prípade kontroly a pod.
- Zdroj požiadavky pre dokument: Povinnosť podľa čl. 24 všeobecného nariadenia o ochrane údajov, metodického usmernenia Úradu na ochranu osobných údajov SR a čl. 6 všeobecného nariadenia o ochrane údajov (posúdenie oprávnených záujmov prevádzkovateľa)
- Výstup: Analýza rizík s ohľadom na prijaté technické a organizačné opatrenia a návrh odporúčaných opatrení s cieľom minimalizovať riziká súvisiace so spracúvaním osobných údajov.
- Intenzita využitia: Stredná – v určených termínoch (interná kontrola plnenia bezpečnostných cieľov).
- Zainteresované subjekty: Určení kompetentní pracovníci (napr.: poverená zodpovedná osoba, interný špecialista pre ochranu osobných údajov, štatutári, špecialista pre oblasť informačných technológií, Úrad na ochranu osobných údajov SR v prípade kontroly)
- Zdroj požiadavky pre dokument: Povinnosť podľa čl. 5 ods. 2 a čl. 32 všeobecného nariadenia o ochrane údajov
- Výstup: Súbor zdokumentovaných opatrení, ktoré prevádzkovateľ prijal pre ochranu spracúvaných osobných údajov. Napríklad pre oblasť riadenia aktív (USB, notebooky a pod.), riadenia dostupnosti, zálohovania údajov, údržby zariadení, manipulácie s dátovými nosičmi a pod.
- Intenzita využitia: Nízka – dokument sa predkladá kontrolnému úradu v prípade kontroly
- Zainteresované subjekty: Úrad na ochranu osobných údajov SR v prípade kontroly
- Zdroj požiadavky pre dokument: Čl. 5 ods. 2, kapitola III, čl. 28, čl. 33 všeobecného nariadenia o ochrane údajov.
- Výstup: Súbor samostatných bezpečnostných smerníc, umožňujúcich transparentný výkon povinností prevádzkovateľa. Tieto sú v členení: Bezpečnostná smernica pre výkon práv dotknutých osôb, bezpečnostná smernica pre riadenie bezpečnostných incidentov, bezpečnostná smernica pre personálnu bezpečnosť, bezpečnostná smernica pre kontrolnú činnosť.
- Intenzita využitia: Stredná – pri vzniku situácie, ktorú príslušná smernica upravuje (uplatnenie práva dotknutej osoby, vznik bezpečnostného incidentu, termín výkonu internej kontroly)
- Zainteresované subjekty: určení kompetentní pracovníci (napr.: poverená zodpovedná osoba, interný špecialista pre ochranu osobných údajov, štatutári, špecialista pre oblasť informačných technológií, Úrad na ochranu osobných údajov SR v prípade kontroly)
- Zdroj požiadavky na dokument: Povinnosť podľa čl. 35 všeobecného nariadenia o ochrane údajov, usmernenia týkajúce sa posúdenia vplyvu na ochranu údajov a stanovenie toho, či na účely nariadenia 2016/679 spracúvanie „pravdepodobne povedie k vysokému riziku“ (vypracované Pracovnou skupinou pre ochranu údajov zriadenú podľa článku 29, usmernenie označované aj ako WP 248), zoznam spracovateľských operácií zverejnený Úradom na ochranu osobných údajov SR.
- Výstup: Posúdenie vplyvu pre spracúvanie osobných údajov, ktoré s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.
- Intenzita využitia: Nízka – dokument sa predkladá kontrolnému úradu v prípade kontroly
- Zainteresované subjekty: Úrad na ochranu osobných údajov SR v prípade kontroly
Ako obstála GDPR dokumentácia pri kontrole
Viackrát sme mali tú česť spolupracovať s organizáciami, v ktorých Úrad na ochranu osobných údajov SR v predchádzajúcom období preveroval dodržiavanie pravidiel ochrany spracúvaných osobných osobných údajov. Tu je pár záverov, ktoré sa týkajú hodnotenia dokumentácií, ktoré sme vypracovali pre našich klientov:
„Kontrolovaná osoba v priebehu kontroly predložila kontrolnému orgánu dokumentáciu tvorenú Bezpečnostným projektom a dvoma internými predpismi (Bezpečnostné opatrenie pre manipuláciu s osobnými údajmi a Bezpečnostné opatrenie pre riadenie spracúvania osobných údajov) …. Na základe uvedených skutočností kontrolný orgán vo vzťahu k reálne prijatým opatreniam a ich dokumentácii konštatoval súlad s požiadavkami §19 a 20 zákona o ochrane osobných údajov.“
„Vo vzťahu k bezpečnostným opatreniam zameraným na ochranu osobných údajov prevádzkovateľ v čase kontroly predložil bezpečnostný projekt spracovaný podľa zákona o ochrane osobných údajov, ktorého štruktúra zodpovedá dikcii §5 ods. 1 vyhlášky č. 164/2013 Z. z. o rozsahu dokumentácii bezpečnostných opatrení … Na základe uvedených skutočností kontrolný orgán konštatoval súlad s dikciou §19 ods. 1 zákona o ochrane osobných údajov.“
„Predložený bezpečnostný projekt obsahuje v zmysle §5 ods. 1 vyhlášky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení bezpečnostný zámer, analýzu bezpečnosti IS a bezpečnostné smernice, ktoré svojim obsahom napĺňajú obsahové náležitosti vyžadované §4 cit. vyhlášky, a preto možno konštatovať, že prevádzkovateľ prijal bezpečnostné opatrenia v dostatočnom rozsahu a v zmysle zákona o ochrane osobných údajov.“
Takto bude naša spolupráca prebiehať
- Zber údajov. Na základe stretnutia (aktuálne prioritne formou telekonferencie alebo telefonicky) a následného zisťovania stavu spracúvania vo vašich podmienkach (podľa v súčastnosti používaných formulárov a zmlúv, dokumentácie z predchádzajúcich obdobia – ak existuje a pod.) získame prvotné informácie o stave spracúvania osobných údajov.
- Sprístupnenie dotazníkov. Pracovníkovi, ktorého si určíte pre komunikáciu s nami, sprístupníme dotazník pre doplňujúce odpovede, ktoré neboli zodpovedané počas stretnutia alebo sa zistili počas vyhodnocovania získaných údajov, či následnej emailovej alebo telefonickej komunikácie.
- Spracovanie záznamov o spracovateľských činnostiach. Na základe získaných údajov, vypracujeme záznamy o spracovateľských činnostiach, a to samostatne pre každý identifikovaný účel spracúvania osobných údajov vo vašich podmienkach. Záznamy budú určenému pracovníkovi sprístupnené pre prípadné doplnenia alebo odkomunikovanie zmien.
- Spracovanie formulárov a informačných povinností. Na základe finálnych záznamov o spracovateľských činnostiach vypracujeme všetky formuláre a informačné povinnosti, ktoré potrebujete pri získavaní osobných údajov.
- Spracovanie bezpečnostných smerníc. V tejto fáze pre vás vytvoríme súbor bezpečnostných smerníc pre vašich zamestnancov, prostredníctvom ktorých budú spracúvať osobné údaje len na základe vašich zdokumentovaných pokynov.
- Zdokumentovanie ostatných bezpečnostných opatrení. Na záver zfinalizujeme všetky ostatné dokumenty. Analýzu spracúvania osobných údajov, Posúdenie vplyvu na ochranu údajov a pod., ktoré vám zašleme v elektronickej podobe. Zároveň priložíme aj dokument Postup implementácie jednotlivých dokumentov, aby ste dokumentácii rozumeli a dôkladne si ju zaviedli do praxe. Aj naďalej však pre vás zostávame v kontakte.
Potrebujete pomôcť?
Nech sa páči, vyplňte krátky formulár. Budeme vás kontaktovať a všetko potrebné spolu prekonzultujeme.