Nie je to tak dávno, keď médiami rezonovali výstrahy „gigantických“ pokút za nesplnenie povinností v oblasti spracúvania osobných údajov a to až do výšky 20.000.000 eur resp. 4% z obratu spoločnosti. Splnenie účelu tejto výstrahy sa zrejme minulo účinkom, keďže v praxi sa stále stretávame so zlyhaniami pri implementácii nariadenia GDPR. Taktiež sa opomína povinnosť vzdelávania zamestnancov v oblasti ochrany osobných údajov tak ako to vymedzuje metodika Úradu na ochranu osobných údajov, podľa ktorej sa má v spoločnosti zabezpečiť pravidelné vzdelávanie zamestnancov, a to aspoň v intervale 0,5-1 roka a vždy pri nástupe do zamestnania. V tomto článku si, spolu so základným popisom, zosumarizujeme základnú dokumentáciu vyplývajúcu z nariadenia GDPR, s odkazom na konkrétne ustanovenia, z ktorých daná dokumentácia vyplýva.

 Aké dokumenty implementovať v personalistike a účtovníctve?

 Slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov (ďalej tiež „zákon o OOÚ“) a  nariadenie GDPR vstúpili do účinnosti dňa 25.05.2018. Týmito novými predpismi mali byť do praxe zavedené nové opatrenia pri nakladaní s osobnými údajmi. Taktiež došlo k zavedeniu nových pojmov. Z novej právnej úpravy vyplýva nasledovná dokumentácia, ktorú by si mali prevádzkovatelia resp. zamestnávatelia a spoločnosti vypracovať a riadiť sa ňou v praxi. Dokumentácia teda má obsahovať:

1) preukázateľný súhlas dotknutej osoby  (v zmysle článku 7 nariadenia GDPR);

 Súhlas, ako právny základ, používajte k spracúvaniu osobných údajov v prípadoch, kedy nie je možné odkázať na iný právny základ. Treba mať na zreteli skutočnosť, že spracúvanie osobných údajov na základe súhlasu, môže konkrétna osoba kedykoľvek odvolať (na rozdiel od iných právnych základov). V personalistike sa častokrát nesprávne odkazuje na právny základ „súhlas“, keďže nariadenie GDPR nám pre oblasť spracúvania osobných údajov zamestnancov poskytuje „všetky“ potrebné právne základy a to: pracovná zmluva (podľa čl. 6 ods. 1 písm. b/ nariadenia GDPR), Zákonník práce (podľa čl. 6 ods. 1 písm. c/ nariadenia GDPR) a oprávnený záujem (podľa čl. 6 ods. 1 písm. f/ nariadenia GDPR). Dokonca, používanie súhlasu je považované za porušenie nariadenia GDPR, ak sa používa v prípadoch, kedy to vyslovene odporuje zákonu a to napr. ak zamestnávateľ žiada súhlas zamestnanca k spracúvaniu jeho osobných údajov pre účely uzavretia pracovného pomeru (čo je bežnou praxou zamestnávateľov).

2) písomné oboznámenie zamestnancov o spracúvaní osobných údajov (v zmysle článku 13 a nasl. nariadenia GDPR);

Nariadenie GDPR nám presne definuje o akých skutočnostiach majú byť zamestnanci oboznámení. Splnenie tejto povinnosti musí zamestnávateľ preukázať. V praxi to často zamestnávatelia vykonávajú resp. zavádzajú cez dodatky k pracovným zmluvám, čo je zbytočne administratívne zaťažujúce.

 3) písomnú zmluvu medzi spoločnými prevádzkovateľmi (v zmysle článku 26 nariadenia GDPR);

Túto zmluvu je potrebné vypracovať v prípade, ak dvaja alebo viacerí prevádzkovatelia spoločne spracúvajú osobné údaje t.j. určia účely a prostriedky spracúvania. Je teda potrebné, aby si formou vzájomnej dohody transparentne určili svoje príslušné zodpovednosti za plnenie povinností. V praxi sa často stretávame s nesprávnou implementáciou nariadenia GDPR keď napr. zamestnávateľ a užívateľský zamestnávateľ alebo ADZ uzatvoria zmluvu o spracúvaní osobných údajov sprostredkovateľom podľa článku 28 nariadenia GDPR, pričom mali uzavrieť zmluvu medzi spoločnými prevádzkovateľmi.

4) písomnú zmluvu o spracúvaní osobných údajov sprostredkovateľom (v zmysle článku 28 nariadenia GDPR);

V prípade tejto zmluvy sa jedná o záväzok sprostredkovateľa voči prevádzkovateľovi, stanovuje sa predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov,  kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. V praxi uzatvára zamestnávateľ s externým účtovníkom práve túto zmluvu.

5) písomné záznamy o spracovateľských činnostiach (v zmysle článku 30 nariadenia GDPR);

 Písomné záznamy musia zahŕňať všetky informácie uvedené v predmetnom článku nariadenia GDPR.

 6) písomné poverenie zamestnancov (v zmysle článku 32 ods. 4 nariadenia GDPR);

Týmto písomným poverením sa nahrádza záznam o poučení oprávnenej osoby podľa predchádzajúcej, už neúčinnej, právnej úpravy. Zamestnávateľ je povinný zabezpečiť, aby každý zamestnanec spracúval osobné údaje len na základe pokynov zamestnávateľa.

 7) prijatie primeraných technických a organizačných opatrení (v zmysle článku 32 nariadenia GDPR);

 Touto dokumentáciou sa nahrádzajú opatrenia z bezpečnostného projektu  z predchádzajúcej, už neúčinnej, právnej úpravy. Spoločnosť resp. zamestnávateľ je povinný v zmysle predmetného článku prijať, so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť bezpečnosť spracúvania osobných údajov.

8) prílohy k týmto opatreniam, najmä:

• evidencia pridelených kľúčov
• záznam o vykonanej kontrolnej činnosti
• zoznam poverených osôb
• evidencia bezpečnostných incidentov a použitých riešení
• zoznam aktív a všetkých miest prepojenia sietí atď.

Jednotlivými prílohami preukazujete zavedenie opatrení do praxe zamestnávateľa.

9) písomné vzorové oznámenie porušenia ochrany osobných údajov (v zmysle článku 33 nariadenia GDPR);

 Nová právna úprava vyžaduje nahlásiť každé zistené porušenie ustanovenia zákona o OOÚ alebo nariadenia GDPR.

10) posúdenie vplyvu na ochranu osobných údajov resp. analýzu spracúvania osobných údajov (v zmysle článku 35 nariadenia GDPR);

Predmetný článok nariadenia GDPR nám stanovuje prípady, kedy je potrebné prijať resp. vykonať posúdenie vplyvu na ochranu údajov. Bez ohľadu na to, či splníte predpoklady na vykonanie posúdenia, odporúčame vypracovať analýzu spracúvania osobných údajov, aby ste v prípade kontroly z Úradu na ochranu osobných údajov vedeli preukázať, že spracúvanie osobných údajov u zamestnávateľa je v súlade so všetkými základnými zásadami novej právnej úpravy.

 11) písomné určenie zodpovednej osoby a oznámenie na Úrade (v zmysle článku 37 nariadenia GDPR);

 Ak ste splnili predpoklady predmetného článku nariadenia GDPR, musíte určiť a oznámiť zodpovednú osobu Úradu na ochranu osobných údajov.

 12) primerané záruky poskytnuté prevádzkovateľom (v zmysle článku 46 nariadenia GDPR);

 Záruky sa uplatňujú len v prípade prenosu osobných údajov do tretej krajiny alebo medzinárodnej organizácie.

13) záväzné vnútropodnikové pravidlá  (v zmysle článku 47 nariadenia GDPR).

Tieto pravidlá sa uplatňujú