Na čo si dať pozor pri vypracovaní GDPR?

Jednou zo základných povinností, ktorá prevádzkovateľom vyplýva zo Všeobecného nariadenia na ochranu osobných údajov (ďalej ako „GDPR“) je aj vypracovanie internej dokumentácie v súlade s GDPR. V článku si priblížime, aké problémy v súvislosti s internou GDPR dokumentáciou sa u prevádzkovateľov najčastejšie vyskytujú. 

Množstvo spoločností ponúka často aj za veľmi nízke ceny prevádzkovateľom vzory GDPR dokumentácie. Povinnosťou prevádzkovateľa je prijať opatrenia na ochranu osobných údajov v závislosti od konkrétnych okolností prevádzkovateľa, tak aby boli primerané veľkosti prevádzkovateľa, jeho činnosti, rozsahu spracúvania osobných údajov a podobne. Vzor GDPR dokumentácie môže síce byť pre prevádzkovateľa vítaná pomôcka, avšak presný rozsah a obsah GDPR dokumentácie je možné kvalitne vypracovať iba na základe analýzy jednotlivých spracovateľských operácií u prevádzkovateľa. 

Zodpovedné vykonanie takejto analýzy si vyžaduje hlbšie odborné vedomosti a pre bežného prevádzkovateľa, ktorý s problematikou ochrany osobných údajov nepracuje môže byť problematické. 

Samotným vypracovaním GDPR dokumentácie nie je možné považovať povinnosť prevádzkovateľa za splnenú. Prevádzkovateľ, prípadne ním ustanovená zodpovedná osoba by mali aj neskôr po vypracovaní dokumentácie sledovať legislatívne zmeny v oblasti ochrany osobných údajov a podľa nich dokumentáciu vždy v prípade potreby aktualizovať. 

Okrem zmien v legislatíve je tiež potrebné všímať si aj interné zmeny u prevádzkovateľa. Zmeny je potrebné posúdiť s ohľadom na ich dopad na ochranu osobných údajov a v prípade potreby ich zapracovať do dokumentácie. Napríklad, pokiaľ prevádzkovateľ začne poskytovať novú službu, je potrebné zamyslieť sa nad tým, či v tejto súvislosti nedochádza aj k vykonávaniu nových spracovateľských operácií, ktoré dovtedy prevádzkovateľ nevykonával alebo k novým rizikám a podobne. 

Napriek tomu, že GDPR nadobudlo účinnosť už 25.05.2018, ešte aj v súčasnosti u niektorých prevádzkovateľov narazíme aj na tzv. bezpečnostný projekt podľa už neúčinnej právnej úpravy, ktorá predchádzala GDPR. 

U mnohých prevádzkovateľov je tiež problémom, že hoci dokumentáciu majú v vypracovanú v súlade s GDPR reálne ju neuvedú do praxe. Pre uvedenie do praxe je dôležité, aby sa prevádzkovateľ aj jeho zamestnanci s dokumentáciou dôsledne oboznámili a aby prevádzkovateľ zamestnancov pravidelne preškoľoval (hlavne s ohľadom na aktualizácie dokumentácie) ale tiež aby dodržiavanie postupov na ochranu osobných údajov aj reálne vyžadoval a kontroloval. 

Správne uvedenie pravidiel na ochranu osobných údajov do praxe je v podstate permanentný proces, ktorý si vyžaduje dostatočnú pozornosť zo strany prevádzkovateľa a často aj konzultácie situácií, ktoré priebežne nastanú s odborníkom. 

Okrem vypracovania internej dokumentácie v oblasti ochrany osobných údajov je tiež potrebné pozrieť sa na ochranu osobných údajov u prevádzkovateľa v širšom kontexte. Napríklad v prípade, že prevádzkovateľ vstupuje do nového zmluvného vzťahu, je potrebné sa zamyslieť, či v tejto súvislosti druhá zmluvná strana nebude v postavení sprostredkovateľa. Ak áno, bude potrebné aj uzavretie zmluvy o spracúvaní osobných údajov. 

Ak by aj nedochádzalo k spracúvaniu osobných údajov sprostredkovateľom, môže prevádzkovateľ v závislosti od charakteru uzatváraného zmluvného vzťahu zvážiť aj zakomponovanie určitých ustanovení týkajúcich sa osobných údajov. 

Na druhú stranu sa v zmluvách často stretávame s ustanoveniami, podľa ktorých si zmluvné strany vzájomne udeľujú súhlas na spracovanie ich osobných údajov na účely súvisiace s uzavretím zmluvy a jej plnením. Jedná sa však o častú chybu, keďže na takýto účel spracovania osobných údajov sa vzťahuje právny základ podľa čl. 6 ods. 1 písm. b) GDPR, a teda spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy. Právnym základom v takomto prípade teda nie je súhlas dotknutej osoby, preto by prevádzkovateľ v tejto súvislosti nemal o súhlas žiadať.