Ochrana osobných údajov – GDPR
Spracovanie osobných údajov
Naša spoločnosť SEO Media s.r.o. IČO: 50539850 spracováva osobné údaje výhradne v zmysle platnej legislatívy. Ochrana osobných údajov je u nás na 1. mieste a to nie len z pohľadu zákona GDPR, ale aj nad rámec zákonných povinností, tak aby neboli porušené práva dotknutých osôb. Projektovú dokumentáciu, právne služby ako aj zodpovednú osobu nám zabezpečuje na tej najvyššej úrovni spoločnosť EuroTRADING s.r.o. (Košice) IČO:44031483
Čo je to GDPR?
V roku 2016 bolo zverejnené nariadenie Európskeho parlamentu (GDPR).
Toto nariadenie sa vzťahuje na každého, kto spracúva osobné údaje. Dôležité je však upozorniť, že osobný údaj nie je len rodné číslo, ako sa traduje, ale je to aj meno, priezvisko, adresa bydliska, tel. číslo a čo je novinka aj napr. IP adresa, cookies. Všetky spoločnosti sú povinné prijať opatrenia podľa tohto nariadnia najneskôr do 25. mája 2018, kedy začne byť nariadenie účinné.
Kompletné nariadenie európskeho parlamentu si môžete pozrieť tu: ÚPLNE ZNENIE NARIADENIA RADY EÚ
Bezpečnostný projekt
Dňa 19.11.2017 bol nový zákon o ochrane osobných údajov prijatý v NRSR podpísaný aj p.prezidentom a v priebehu pár dní by mal vyjsť v zbierke. Stále však existuje zákon č. 122/2013 Z.z., ktorý je platný a povinnosti, ktoré z neho vyplývajú, sú záväzné pre všetky spoločnosti až do 25.5.2018. Takisto Bezpečnostný projekt vypracovaný podľa tohto zákona musíte mať archivovaný ešte 5 rokov, to znamená, že inšpektori z Úradu na ochranu osobných údajov ho môžu kontrolovať až do 25.5.2023.
Kompletný zákon, ktorý bude zverejnený v zbierke zákonov si môžete pozrieť tu : ÚPLNE ZNENIE ZÁKONA PRIJATÉHO V NRSR
Výkon auditu GDPR: kto, kedy a ako?
Všeobecné nariadenie o ochrane údajov stanovuje organizáciám povinnosti smerujúce k auditu
Zabezpečiť výkon auditu GDPR by mala organizácia spolu so zodpovednou osobou. Tá má okrem iného povinnosť monitorovať dodržiavanie všeobecného nariadenia o ochrane údajov, a tiež pomáhať pri monitorovaní jeho interného dodržiavania. A čo znamená výkon monitorovania v praxi? Kontrolu alebo audit aktuálneho stavu voči požiadavkám GDPR alebo voči vnútorným požiadavkám na dodržiavanie GDPR.
Článok 39 ods. 1 písm. b) nariadenia GDPR popisuje úlohu zodpovednej osoby monitorovať súlad s nariadením takto:
“Článok 39 Úlohy zodpovednej osoby
1. Zodpovedná osoba má aspoň tieto úlohy:
b) monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;”
Recitál 97 tiež požaduje, aby zodpovedná osoba pomáhala prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania GDPR. Doslovné znenie:
“Ak spracúvanie vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo ak v súkromnom sektore vykonáva spracúvanie prevádzkovateľ, ktorého hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavnými činnosťami prevádzkovateľa alebo spracovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu a údajov týkajúcich sa uznania viny za trestné činy a priestupky, mala by prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany údajov.“
Praktické preukázanie dodržiavania GDPR
Prevádzkovateľ môže dokázať súlad s nariadením preukázaním prijatých a zdokumentovaných bezpečnostných opatrení o poučení zamestnancov o nakladaní s osobnými údajmi. Ďalším spôsobom sú záznamy o spracovateľských činnostiach a deklarácia o tom, na základe akých analýz rizík boli prijaté bezpečnostné opatrenia (spolu s predložením týchto analýz). V prípade bezpečnostného incidentu (porušenia ochrany osobných údajov) je potrebné preukázať dokumentáciu a prijaté následné opatrenia, aby sa podobný incident neopakoval. Súlad s GDPR je možné v praxi preukázať aj plnením si informačnej povinnosti alebo dôkazmi o poskytnutých súhlasoch dotknutých osôb (spolu s ich žiadosťami a prevádzkovateľovými odpoveďami na ne).
Audit vykonaný nezávislým konzultantom
Prevádzkovateľ je zodpovedný za súlad so zásadami GDPR a musí byť schopný ho preukázať. Efektívnym preukázaním je práve výstupná správa z auditu. Ten pritom nemusí byť vykonaný iba internými pracovníkmi – dôležité je, aby prevádzkovateľovi alebo sprostredkovateľovi pomáhala osoba s príslušnými odbornými znalosťami. Externý konzultant môže mať vďaka znalostiam a skúsenostiam širší pohľad na audit a byť menej ovplyvnený jednostrannými postupmi. Organizácia navyše nemá povinnosť školiť svojich interných zamestnancov na výkon auditu.