GDPR Academy

Individuálne GDPR školenia pre spoločné tímy firiem a organizácií

Prostredníctvom videokonferencie efektívne preškolíme vás a vašich kolegov v reálnom čase priamo na ich pracoviskách

Vyžiadať cenovú ponuku

Dnes prakticky každá firma alebo organizácia spracúva osobné údaje. O zamestnancoch, zákazníkoch, príjemcoch newslettera, o návštevníkoch internetových stránok, o zástupcoch a pracovníkoch obchodných partnerov, o deťoch a ich zákonných zástupcoch a mnoho ďalších.  Bez týchto údajov to jednoducho nejde. Je povinnosťou takéto údaje chrániť a pri tom dodržiavať pravidlá všeobecného nariadenia o ochrane údajov (GDPR).

Aby to mohla firma kontinuálne a s prehľadom zabezpečovať, nutne  musí disponovať dostatočnou úrovňou GDPR vzdelania svojich zamestnancov. Nie len kvôli tomu, že to môže byť predmetom kontroly zo strany dozorujúceho orgánu, ale hlavne preto, aby nedochádzalo k chybám a porušeniam, ktorých následky môžu mať nepríjemný dopad na chod celej firmy. Nezákonné spracúvanie údajov, strata ich dôvernosti, porušenie mlčanlivosti, to je len malá časť incidentov, ktoré sa veľmi ťažko naprávajú.

A pritom stačí tak málo. Len mať prehľad a vedieť ako chybám predchádzať.

Nie je nutné učiť sa všetky GDPR pravidlá naspamäť. Je dôležité, mať dobrý prehľad. Mať školených zamestnancov, ktorí si uvedomujú, že ochrana dát je dôležitá – nerobia chyby pri manipulácii s nimi. A mať v ich radoch niekoho, kto v prípade potreby povie: “Kolegovia, na toto nám vplýva GDPR. Musíme urobiť korekcie, aby sme boli s ním v súlade a neriskovali žiadne problémy.”

GDPR nie je možné úplne outsourcovať

Lebo nestačí len kúpiť softvér pre GDPR, a ani poveriť externého konzultanta, ktorý pre vás vypracuje povinnú dokumentáciu. Áno, spravia pre vás veľa užitočného. Je to však prioritne o ľuďoch, o vašich pracovníkoch, ktorí si vedia poradiť a plynulo reagujú na zmeny. 

Len od roku 2018, keď nadobudlo nariadenie účinnosť, došlo k rôznym aplikačným zmenám. Napríklad pri kamerových systémoch, v prevádzke fan page na sociálnej sieti, v riešení bezpečnostných incidentov a výkone práv dotknutých osôb. Vedeli ste napríklad, že uchádzač o zamestnanie má právo vidieť zhrnutie jeho pohovoru, vrátane subjektívnych komentárov k jeho chovaniu, ktoré si personalista zapísal behom pracovného pohovoru s ním?

Školenie cez videokonferenciu, alebo priamo u vás

Školenie cez videokonferenciu

Výhodný, čoraz viac obľúbený spôsob školenia, ktorý šetrí čas, starosti a náklady.

K online školeniu sa pripojíte pomocou aplikácie Webex CISCO, alebo pomocou internetového prehliadača. Pripojenie je možné z bežného PC, mobilného telefónu, alebo pripojiť priamo vašu konferenčnú miestnosť. Veľkou výhodou je, že účastníci školenia sa môžu pripojiť zároveň z rôznych miest. Záleží len na vás, komu zašlete pozvánku. Ak máte prevádzky na viacerých miestach, nikto nemusí cestovať.

Takéto školenie je možné rozdeliť do viacej dní tak, aby čo najmenej narušilo vaše pracovné procesy. Napríklad prvý deň školenie pre manažment, druhý deň prvá skupina administratívy, tretí deň druhá skupina administratívy.

Osobné školenie

Lektor školí priamo u vás, vo vašich priestoroch. Pre tento spôsob je potrebné zabezpečiť techniku pre prezentáciu.

Príklad obsahu školenia

Obsah skupinových firemných školení je flexibilný. Náplň školenia pre manažment môže byť iný, napríklad viac zameraný na otázky a diskusiu, ako obsah pre administratívu a oprávnené osoby.

Úvodom zhrnieme základné pojmy a pravidlá a doplníme novinky: Osobný údaj, dotknutá osoba, spracúvanie, prevádzkovateľ, sprostredkovateľ, spoločný prevádzkovateľ, oprávnená osoba, zásady spracúvania, právne základy, povinnosť mlčanlivosti a pod. Tak napríklad:

  • Prečo monitoring firemných vozidiel alebo monitoring pracovných staníc zamestnancov podlieha GDPR? Veď monitorovací systém získava technické údaje o vozidle alebo počítači.
  • Prečo za citlivé údaje považujeme aj meno a prihlasovacie údaje používateľa, keď nie sú súčasťou osobitne chránenej kategórie podľa čl. 9 GDPR?
  • Aké sú to odpozorované a odvodené osobné údaje?
  • Prečo je potrebné vyhnúť sa všeobecným formuláciám v informačných povinnostiach voči dotknutým osobám?
  • Ako rozoznať prevádzkovateľa od sprostredkovateľa? A prečo napríklad s audítorom nepotrebujete zmluvu o spracúvaní osobných údajov?
  • Prečo IT špecialista je  niekedy sprostredkovateľom a inokedy zasa prevádzkovateľom?
  • A čo keď využívate služby externého poskytovateľa cloudových úložísk?
  • Vedeli ste, že prevádzkovateľom môže byť aj subjekt, ktorý vôbec nemá prístup k osobným údajom?
  • Ako zistiť, že ste sa stali spoločným prevádzkovateľom?

V druhej časti online školenia sa povenujeme porušeniam ochrany osobných údajov. Incidentom, ktoré môžu vo firmách nastať, pričom zasiahli aj spracúvanie osobných údajov: Typy porušení ochrany údajov, bezpečnostné požiadavky vstupujúce do hodnotenia porušení, poľahčujúce a priťažujúce faktory hodnotenia porušení, príklady porušení a postupnosť ich hodnotenia, oznamovania porušení ochrany údajov a pod.

  • Prečo nie je každý bezpečnostný incident, ktorý sa vo firme udeje automaticky považovaný za porušenie ochrany osobných údajov?
  • Čo je to porušenie dôvernosti osobných údajov? A čo porušenie dostupnosti? Dokázali by ste porušenia týchto atribútov rozoznať?
  • Ktoré incidenty je potrebné oznámiť úradu? Vedeli ste napríklad, že bez ohľadu na výšku rizika pre dotknutú osobu, je každý jeden incident nutné vo firme zdokumentovať?
  • A prečo je šifrovanie osobných údajov poľahčujúci faktor, keď ho GDPR len odporúča ako bezpečnostné opatrenie pri práci s údajmi?
  • Čo v prípade, keď informačný systém prevádzkovateľa utŕži útok ransomvéru (škodlivý kód, ktorý dáta zašifruje) a útočník žiada výkupné? Ako takéto incidenty hodnotiť z pohľadu GDPR?
  • A čo keď odchádzajúci zamestnanec skopíruje obchodné údaje spoločnosti a využije ich pre vlastné podnikanie? Ako naložiť s takýmto incidentom, ako ho vyhodnotiť
  • Alebo, keď sa zamestnanec pomýli a e-mailom odošle osobné údaje nechcenému príjemcovi?

Niektorým incidentom sa žiaľ, zabrániť nedá. Najmä tým, za ktorými stojí zlyhanie ľudského faktora. Zamestnanec, ktorý je v strese, či pod tlakom urobí nechtiac chybu. Dôležité však je, byť na práve takéto situácie pripravený.

V tretej časti sa zameriame na práva dotknutých osôb: Právo byť informovaný, právo na prístup k údajom, zásady práva na prístup, postup prevádzkovateľa po prijatí žiadosti dotknutej osoby, identifikácia žiadateľa, problémy s overením totožnosti a pod.

  • Čo je potrebné oznámiť dotknutej osobe bez toho, aby vás o informácie požiadala?
  • Ako si vytvoriť vlastný dokument, ktorým poskytnete jednotlivcom transparentné informácie o spracúvaní? Čo vám pri tom užitočne pomôže a ušetrí váš čas?
  • Môžete sa dotknutej osoby pýtať, aký je dôvod jej žiadosti o prístup k osobným údajom?
  • Čo v prípade, keď v čase prijatia žiadosti zistíte, že spracúvate nesprávne osobné údaje, alebo nezákonne? Máte ich opraviť, vymazať, alebo ich poskytnúť žiadateľovi tak, ako sú?
  • A ako si overiť totožnosť žiadateľa, aby ste neposkytli osobné údaje niekomu inému a neporušovať pri tom GDPR?

Právo na prístup k osobným údajom je jedným zo základných práv každej jednej dotknutej osoby, o ktorej spracúvate údaje. A svojim záberom je obrovské. Niektorí si toto právo zamieňajú s právom v zmysle zákona o slobodnom prístupe k informáciám a mylne sa domnievajú, že keď nie sú štátnym orgánom alebo obcou, tak sa ich netýka. Nie je tak. Právo na prístup k osobným údajom sa týka úplne každej firmy, väčšej či menšej, ktorá spracúva osobné údaje.

V tejto časti upriamime pozornosť na sociálne siete. Mnoho firiem ich totiž využíva k propagácii svojej značky, svojich produktov, k vyhľadávaniu uchádzačov o zamestnanie alebo ku komunikácii so zákazníkmi.

  • Aké riziká vznikajú pre jednotlivcov, ktorí sú užívateľmi sociálnej siete?
  • Čo rozumieť pod pojmom odpozorované údaje? A kedy ich spracúvate?
  • Keď máte vlastnú fan page, kedy ste spoločným prevádzkovateľom s poskytovateľom sociálnej siete? A aké máte v tejto súvislosti povinnosti voči dotknutým osobám? Prečo je veľkou chybou si myslieť, že za všetko zodpovedá poskytovateľ sociálnej siete?
  • Čo znamená, že zacieľujete na používateľov sociálnej siete? Kedy sa vás to môže týkať?
  • Aké právne základy spracúvania použiť?
  • Čo je to sledovací pixel a ako funguje?
  • Ktoré konkrétne informácie o spracúvaní údajov je dobré doplniť na vašu webovú stránku?

A na záver, online školenie ukončíme kamerovými systémami a situáciami, keď je priestor snímaný kamerami: Pôsobnosť všeobecného nariadenia a jeho výnimky, zásady spracúvania pri monitorovaní priestorov, právne základy, informovanie dotknutých osôb o monitorovaní a jeho nedostatky, posúdenie vplyvu na ochranu údajov, poskytovanie záznamov tretím stranám

  • Ktoré monitorovanie kamerami nariadeniu nepodlieha?
  • Ako označovať monitorované priestory a prečo sa odporúča informovať “vo vrstvách”?
  • Má byť QR kód súčasťou označení, alebo nie je potrebný? A prečo nestačí, keď informáciu o spracúvaní osobných údajov kamerami umiestni prevádzkovateľa len na svoju webovú stránku?
  • Ako dlho záznamy z kamier uchovávať? Stále platí, že 15 dní a dosť, tak ako do roku 2018?
  • Kedy a prečo je nutné vykonať posúdenie vplyvu podľa čl. 35?
  • Čo keď si dotknutá osoba uplatní svoje právo na prístup ku kamerovým záznamom?
  • Je potrebné dodávateľa kamerového systému považovať za sprostredkovateľa a mať s ním zmluvu o spracúvaní osobných údajov?

Medzi jednotlivými témami odpovieme na vaše otázky a podiskutujeme o tom, s čím ste sa stretli a s čím potrebujete poradiť a pomôcť.

Individuálne GDPR školenia vedie:

Ing. Martina Kroupová, GDPR Academy
17 rokov praxe lektora a konzultanta v ochrane osobných údajov a GDPR

Dĺžka školenia:

Obvykle približne 4 hodiny

Scroll to Top