AKMV 
Jednou zo základných povinností, ktorá prevádzkovateľom vyplýva zo Všeobecného nariadenia na ochranu osobných údajov (ďalej ako „GDPR“) je aj vypracovanie internej dokumentácie v súlade s GDPR. V článku si priblížime, aké problémy v súvislosti s internou GDPR dokumentáciou sa u prevádzkovateľov najčastejšie vyskytujú.
Vzorové dokumentácie
Množstvo spoločností ponúka často aj za veľmi nízke ceny prevádzkovateľom vzory GDPR dokumentácie. Povinnosťou prevádzkovateľa je prijať opatrenia na ochranu osobných údajov v závislosti od konkrétnych okolností prevádzkovateľa, tak aby boli primerané veľkosti prevádzkovateľa, jeho činnosti, rozsahu spracúvania osobných údajov a podobne. Vzor GDPR dokumentácie môže síce byť pre prevádzkovateľa vítaná pomôcka, avšak presný rozsah a obsah GDPR dokumentácie je možné kvalitne vypracovať iba na základe analýzy jednotlivých spracovateľských operácií u prevádzkovateľa.
Zodpovedné vykonanie takejto analýzy si vyžaduje hlbšie odborné vedomosti a pre bežného prevádzkovateľa, ktorý s problematikou ochrany osobných údajov nepracuje môže byť problematické.
Aktualizácia GDPR dokumentácie
Samotným vypracovaním GDPR dokumentácie nie je možné považovať povinnosť prevádzkovateľa za splnenú. Prevádzkovateľ, prípadne ním ustanovená zodpovedná osoba by mali aj neskôr po vypracovaní dokumentácie sledovať legislatívne zmeny v oblasti ochrany osobných údajov a podľa nich dokumentáciu vždy v prípade potreby aktualizovať.
Okrem zmien v legislatíve je tiež potrebné všímať si aj interné zmeny u prevádzkovateľa. Zmeny je potrebné posúdiť s ohľadom na ich dopad na ochranu osobných údajov a v prípade potreby ich zapracovať do dokumentácie. Napríklad, pokiaľ prevádzkovateľ začne poskytovať novú službu, je potrebné zamyslieť sa nad tým, či v tejto súvislosti nedochádza aj k vykonávaniu nových spracovateľských operácií, ktoré dovtedy prevádzkovateľ nevykonával alebo k novým rizikám a podobne.
Napriek tomu, že GDPR nadobudlo účinnosť už 25.05.2018, ešte aj v súčasnosti u niektorých prevádzkovateľov narazíme aj na tzv. bezpečnostný projekt podľa už neúčinnej právnej úpravy, ktorá predchádzala GDPR.
Uvedenie do praxe
U mnohých prevádzkovateľov je tiež problémom, že hoci dokumentáciu majú v vypracovanú v súlade s GDPR reálne ju neuvedú do praxe. Pre uvedenie do praxe je dôležité, aby sa prevádzkovateľ aj jeho zamestnanci s dokumentáciou dôsledne oboznámili a aby prevádzkovateľ zamestnancov pravidelne preškoľoval (hlavne s ohľadom na aktualizácie dokumentácie) ale tiež aby dodržiavanie postupov na ochranu osobných údajov aj reálne vyžadoval a kontroloval.
Správne uvedenie pravidiel na ochranu osobných údajov do praxe je v podstate permanentný proces, ktorý si vyžaduje dostatočnú pozornosť zo strany prevádzkovateľa a často aj konzultácie situácií, ktoré priebežne nastanú s odborníkom.
GDPR v širšom kontexte
Okrem vypracovania internej dokumentácie v oblasti ochrany osobných údajov je tiež potrebné pozrieť sa na ochranu osobných údajov u prevádzkovateľa v širšom kontexte. Napríklad v prípade, že prevádzkovateľ vstupuje do nového zmluvného vzťahu, je potrebné sa zamyslieť, či v tejto súvislosti druhá zmluvná strana nebude v postavení sprostredkovateľa. Ak áno, bude potrebné aj uzavretie zmluvy o spracúvaní osobných údajov.
Ak by aj nedochádzalo k spracúvaniu osobných údajov sprostredkovateľom, môže prevádzkovateľ v závislosti od charakteru uzatváraného zmluvného vzťahu zvážiť aj zakomponovanie určitých ustanovení týkajúcich sa osobných údajov.
Na druhú stranu sa v zmluvách často stretávame s ustanoveniami, podľa ktorých si zmluvné strany vzájomne udeľujú súhlas na spracovanie ich osobných údajov na účely súvisiace s uzavretím zmluvy a jej plnením. Jedná sa však o častú chybu, keďže na takýto účel spracovania osobných údajov sa vzťahuje právny základ podľa čl. 6 ods. 1 písm. b) GDPR, a teda spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy. Právnym základom v takomto prípade teda nie je súhlas dotknutej osoby, preto by prevádzkovateľ v tejto súvislosti nemal o súhlas žiadať.
Právne služby
- Vypracovanie internej GDPR dokumentácie pre prevádzkovateľa
- Vypracovanie znenia súhlasov a poučení pre dotknuté osoby (napr. pri odbere newslettra, používaní cookies atď.)
- Vypracovanie politiky ochrany osobných údajov u prevádzkovateľa
- Vypracovanie tzv. LIA (Legitimate Interest Assessment) – posúdenia (testu) oprávneného záujmu
- Vypracovanie DPIA – posúdenia vplyvu na ochranu osobných údajov
- Zmapovanie toku osobných údajov u prevádzkovateľa a vypracovanie záznamov o spracovateľských činnostiach
- Analýza rozsahu a nutnosti spracúvania osobných údajov
- Analýza účelov a právnych základov spracúvania osobných údajov
- Vypracovanie vzoru zmluvy o spracúvaní osobných údajov sprostredkovateľom
- Školenia k aplikácii GDPR pripravené na mieru vrátane prípravy prezentácií a študijných materiálov
- Revízia a pripomienkovanie už existujúcich dokumentov vo vzťahu k ochrane osobných údajov (interné smernice o spracúvaní osobných údajov, VOP, zmlúv o spracúvaní osobných údajov sprostredkovateľom)
- Vypracovanie stanovísk a analýz ku konkrétnym praktickým otázkam súvisiacim so spracúvaním osobných údajov (napr. monitorovanie zamestnancov, kamery na pracovisku, bezpečnostné kamery na rodinnom dome, rozsah údajov v databáze klientov atď.)
- Osobné, telefonické a e-mailové konzultácie k ochrane osobných údajov
