Ak spracúvate osobné údaje vašich zákazníkov prostredníctvom informačných systémov (alebo aj mimo nich s tým cieľom, aby sa stali súčasťou informačných systémov) ste na účely GDPR prevádzkovateľom. V prípade problému – napr. únik dát, nedostatočné zabezpečenie osobných údajov proti hackerským útokom apod. – je hlavná zodpovednosť na vás. Bohužiaľ.
Výhodou je zas, že povinnosť vypracovať bezpečnostný projekt ako aj registrovať váš informačný systém na Úrade na ochranu osobných údajov 25.05.2018 končí.
Čo si je nutné pripraviť v dokumentoch vašej spoločnosti ako aj na vašej webovej stránke? Musíte si ustanoviť na účely spracúvania osobných údajov tzv. zodpovednú osobu?
Aké administratívne povinnosti vás ako prevádzkovateľa od 25.05.2018 čakajú, si v kocke prejdeme v článku.
Dokumentácia vo vzťahu k zákazníkovi/čitateľovi
Doterajšia prax zahŕňala zverejnenie tzv. Ochrany osobných údajov na webovej stránke známej aj pod názvom Privacy Policy. Túto prax nahrádzajú tzv. Zásady/Pravidlá spracúvania osobných údajov – názov je na vás 🙂 Sú založené na tých zložkách spracúvania osobných údajov, ktoré sme si doteraz prešli v článkoch z GDPR série, a to:
1. na zákonných zásadách spracúvania osobných údajov – napr. spracovanie osobných údajov len v nevyhnutnom rozsahu na účel založený na právnom základe – viac pri zodpovednosti prevádzkovateľa v prvom článku série;
2. zároveň v nich majú byť rozpísané účely spracovania osobných údajov spolu s tzv. právnymi základmi, na základe ktorých sú údaje spracovávané – viac v druhom článku série, ktorý sa venuje súhlasu a ďalším právnym základom;
3. a v neposlednom rade majú byť zásady postavené na právach dotknutých osôb (napr. vašich zákazníkov), ktorých osobné údaje spracovávate – viac o práve na výmaz a ďalších právach vašich zákazníkov v treťom, štvrtom, piatom a šiestom článku GDPR série;
4. zásady spracúvania majú odrážať ako vybavíte žiadosti vašich zákazníkov o výkon ich práv (výmaz údajov a pod.) a samozrejme riešiť aj vaše bezpečnostné opatrenia proti úniku dát. Zároveň majú pokrývať splnenie povinnosti oznámiť únik osobných údajov dotknutej osobe ako aj úradu do 72 hodín po tom, ako ste sa o tomto incidente dozvedeli (úrad má na svojom webovom sídle zverejnený na to určený formulár);
5. Dôležitou povinnosťou je povinnosť sprostredkovať vašim zákazníkom info o vás ako prevádzkovateľovi a o kontaktnej osobe, na ktorú sa v prípade nejasností môžu obrátiť.
Zásady spracúvania osobných údajov sú pre vás alfou a omegou pri zákonnom spracúvaní osobných údajov a majú odrážať vždy najnovšie poznatky v oblasti ochrany osobných údajov.
Záznamy o spracovateľských činnostiach – interná dokumentácia
Záznamy o spracovateľských činnostiach plnia funkciu vášho „spracovateľského denníka“ na účely spracúvania osobných údajov. Záznamy si môžete viesť na papieri alebo elektronicky.
Vo vzťahu k osobným údajom za ktorých spracovanie ste zodpovedný, si máte prehľadne vytvárať a pravidelne aktualizovať záznamy obsahujúce:
1. vaše identifikačné údaje a kontaktné údaje;
2. účely spracúvania osobných údajov;
3. opis kategórií osôb, ktorých údaje spracovávate a kategórií spracovávaných osobných údajov (zvláštny dôraz sa kladie na osobitnú kategóriu osobných údajov = tzv. extra citlivé údaje akými sú údaje o zdravotnom stave, sexuálnej orientácii a pod.)
4. info o vašich sprostredkovateľoch, ktorí osobné údaje vašich zákazníkov spracovávajú za vás ako za podnikateľa – sprostredkovateľom je napr. aj SuperFaktúra;
5. info, či dochádza k prenosu údajov do tretích krajín, či sú v tejto krajine osobné údaje obdobne chránené; a ak nie sú je potrebné info o primeraných zárukách ich ochrany;
6. lehoty na vybavenie žiadostí vašich zákazníkov ako aj spôsob ich vybavenia – napr. právo na výmaz; zdokladovanie už udelených súhlasov (double opt-in overenia), a pod.
7. info o technických a organizačných bezpečnostných opatreniach prijatých za účelom ochrany spracovávaných osobných údajov.
Je ustanovenie zodpovednej osoby must-have?
DPO (data protection officer) alebo zodpovedná osoba je osobou, ktorá má byť pravidelne vzdelávaná v oblasti ochrany osobných údajov a je kontaktným miestom pre komunikáciu s Úradom na ochranu osobných údajov v prípade akéhokoľvek problému.
Jej ustanovenie nie je vašou povinnosťou, ak spracúvate osobné údaje v malom rozsahu napr. na účel vybavenia objednávok vašich zákazníkov a zasielania newslettera na účely ich informovania o vašich nových produktoch.
GDPR upravuje povinnosť ustanoviť DPO, ak je prevádzkovateľ orgánom verejnej moci, alebo ak vašou hlavnou činnosťou je monitorovanie dotknutých osôb vo veľkom rozsahu príp. ak je váš biznis založený na spracúvaní tzv. extra citlivých osobných údajov (zdravotný stav, príslušnosť k etniku a pod.).
V ostatných prípadoch je ustanovenie zodpovednej osoby dobrovoľné, no môže byť obzvlášť výhodné pri väčšom počte zamestnancov, ktorých je potrebné pravidelne školiť v oblasti ochrany osobných údajov. Z dôvodu konfliktu záujmov nemôže plniť úlohu zodpovednej osoby štatutárny orgán, ale môže byť ňou váš zamestnanec príp. na základe zmluvy o spolupráci externá osoba.
Posúdenie vplyvu na ochranu osobných údajov
Dokument známy doteraz pod názvom bezpečnostný projekt nahrádza podľa GDPR tzv. Posúdenie vplyvu na ochranu osobných údajov. Povinnosť vypracovať tento dokument však nemáte v každom prípade, najčastejšie však v situácii, ak vykonávate systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich sa vašich zákazníkov (vek, pohlavie, správanie na webe) a vykonávate profilovanie, z ktorého vychádzajú automatizované rozhodnutia (bez zásahu človeka – napr. generované žiadosti o pôžičku). Viac o cielenej reklame a automatizovaných rozhodnutiach.
Posúdenie vplyvu na ochranu osobných údajov má v skratke ako také obsahovať najmä vyhodnotenie rizík z pohľadu vášho zákazníka a jeho práv a info o opatreniach prijatých z vašej strany na elimináciu prípadných rizík. Ak vám z posúdenia vyjde vysoké riziko pre práva vašich zákazníkov, máte povinnosť konzultovať automatické spôsoby spracúvania osobných údajov s úradom.
Najbližšie si posvietime na tému vzťahu prevádzkovateľ a sprostredkovateľ, ktorým je napr. aj SuperFaktúra a na problematiku tzv. sprostredkovateľskej zmluvy.
Všetky diely seriálu o GDPR:
- GDPR 2018: strašiak alebo pomocník?
- GDPR a spracovanie osobných údajov: stačí súhlas?
- GDPR: o čom všetkom informovať zákazníka?
- GDPR: právo na zabudnutie a ďalšie práva I.
- GDPR: právo na zabudnutie a ďalšie práva II.
- GDPR a analýza správania zákazníkov
- GDPR: administratíva prevádzkovateľa (práve čítate)
- GDPR: sprostredkovateľská zmluva
- GDPR: kontrola, úrad, pokuty
- GDPR: 10 + 1 najčastejších otázok a odpovedí I.
- GDPR: 10 + 1 najčastejších otázok a odpovedí II.
Pridať komentár