Ako dosiahnuť súlad so všeobecným nariadením GDPR?

Už je tomu viac ako rok, odkedy všeobecné nariadenie o ochrane osobných údajov vstúpilo do účinnosti. Od 25.05.2019 sa musia firmy vysporiadať s novými, zákonom ustanovenými požiadavkami na spracovávanie osobných údajov fyzických osôb. Zákon prevádzkovateľovi ukladá povinnosť pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na účinné zavedenie primeraných záruk ochrany osobných údajov. Za porušenie tejto povinnosti nesie prevádzkovateľ objektívnu zodpovednosť v podobe pokút, ktoré môžu dosiahnuť výšku až 20 000 000 eur alebo do výšky 4 % celkového ročného obratu firmy za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. V rámci prevencie a ochrany pred nechcenými výdavkami by preto mala firma v oblasti ochrany osobných údajov:

Vykonať prieskum o ochrane osobných údajov v rámci všetkých zložiek firmy. Je nevyhnutné zistiť, kto má k údajom prístup, za akým účelom a na ako dlho. Následne po vykonaní prehľadu o spracovateľských operáciách je potrebné pristúpiť k prijatiu vhodných organizačných a technických opatrení. Medzi technické opatrenie sa zaraďuje zvýšenie IT bezpečnosti, zasielanie súborov v šifrovanej podobe, pravidelná údržba a kontrola IT systémov alebo presun dokumentov v papierovej forme do kovových uzamykateľných skríň a podobne. Pod organizačnými opatreniami sa rozumie práca s údajmi, ako napríklad likvidácia údajov, registratúrny plán, ale aj odborná príprava zamestnancov oprávnených na prístup k osobným údajom dotknutých osôb. Čo sa týka odbornosti zamestnancov, v danej problematike je firma povinná pravidelne v polročnom až ročnom intervale zabezpečovať pravidelné vzdelávanie zamestnancov v dotknutej oblasti. Ďalej je nevyhnutné, aby si firma plnila svoju informačnú povinnosť, či už vo forme  papierovej, e-mailom, alebo odkazom na webové sídlo voči klientom, ale nemožno zabudnúť ani na zamestnancov. Firma, pokiaľ nespadá pod zákonné ustanovenia, kedy jej vyplýva povinnosť, má možnosť dobrovoľne ustanoviť zodpovednú osobu. Jej úlohou je dohliadať nad zákonnosťou spracúvania osobných údajov a pomoc zamestnancom. Zavedenie tohto inštitútu je výhodné obzvlášť pre veľké firmy, aby sa vyhli prípadným pochybeniam na danom úseku. Pri využívaní sprostredkovateľských služieb musí mať firma s každým svojím sprostredkovateľom uzatvorenú zmluvu o spracúvaní osobných údajov. Zároveň musí firma dôsledne preveriť, či sprostredkovateľ spracúva údaje v súlade so všeobecným nariadením. Po absolvovaní všetkých hore spomenutých procesov je potrebné tieto činnosti spísať do bezpečnostnej dokumentácie (náležitosti sú obsiahnuté v § 37 Zákona č. 18/2018 o ochrane osobných údajov), ktorá obsahuje záznamy o spracovateľských činnostiach prevádzkovateľa (vzor záznamov je dostupný na webovom sídle Úradu na ochranu osobných údajov SR). S vyhotovenou dokumentáciou je potrebné pravidelne pracovať a oboznámiť s ňou oprávnené osoby.