Osobné údaje zamestnancov a povinnosti zamestnávateľa pri ich spracúvaní podľa GDPR (4. časť)

V poslednej časti článku sa budeme venovať hlavne bezpečnostným opatreniam. Vysvetlíme si, ktorý zamestnávateľ musí vykonať posúdenie vplyvu na ochranu osobných údajov, čo by mala obsahovať bezpečnostná dokumentácia a aké sankcie môže udeliť Úrad na ochranu osobných údajov.

V 3. časti článku sme si povedali, kto a na základe akých pokynov môže spracúvať osobné údaje zamestnancov, kto je zodpovedná osoba a ktorý zamestnávateľ musí mať vypracované záznamy o spracovateľských činnostiach vrátane ich obsahu.

Posúdenie vplyvu na ochranu osobných údajov (čl. 35 a čl. 36 GDPR, § 42 a § 43 zákona)

Povinnosť posúdiť vplyv na ochranu osobných údajov prevádzkovateľovi vzniká, ak typ spracúvania osobných údajov, najmä s využitím nových technológií, môže viesť k vysokému riziku pre práva a slobody fyzických osôb (diskriminácia, podvod, strata dobrého mena, majetková alebo nemajetková ujma, atď.).

Posúdeniu predchádza analýza osobných údajov (povaha, kontext, rozsah a účel spracúvania) a musí sa vykonať ešte pred ich spracúvaním. Je potrebné si uvedomiť, že nejde o jednorazovú činnosť, ale o proces, preto posúdenie by sa malo vykonávať pravidelne a v prípade akejkoľvek zmeny v spracúvaní osobných údajov.

Posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

Ak si zamestnávateľ nie je istý, či je potrebné posúdiť konkrétnu spracovateľskú operáciu, odporúča sa, aby posúdenie radšej vykonal.

Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o:

Posúdenie sa teda týka najmä orgánov verejnej správy, nadnárodných korporácií, bánk, poisťovní, polikliník a nemocníc, nákupných centier, MHD, medzinárodné siete obchodov. V menších spoločnostiach sa to môže týkať napr. ak zamestnávateľ monitoruje zamestnancov (ich prácu na PC, činnosť na internete).

Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziko, postačí jedno posúdenie.

Posúdenie vplyvu na ochranu osobných údajov obsahuje najmä:

Ak sa na základe posúdenia vplyvu ukáže, že spracovateľské operácie zahŕňajú vysoké riziko pre práva a slobody fyzických osôb, ktoré prevádzkovateľ nemôže zmierniť prijatím primeraných opatrení, bude prevádzkovateľ povinný uskutočniť pred spracúvaním osobných údajov konzultáciu s Úradom na ochranu osobných údajov.

Úrad vypracuje zoznam spracovateľských operácií, ktoré nepodliehajú posúdeniu.

Bezpečnostné opatrenia a bezpečnostná dokumentácia (recitály 85 až 88, čl. 32 až čl. 34 GDPR, § 39 zákona)

Každý prevádzkovateľ je povinný  prijať primerané technické a organizačné opatrenia, aby bola zaistená úroveň zabezpečenia zodpovedajúca danému riziku. Podľa novej legislatívy nie je (aspoň zatiaľ) jasné, čo možno považovať za takéto opatrenia. Pokiaľ mal zamestnávateľ vypracované Bezpečnostné opatrenia resp. Bezpečnostný projekt, môže vychádzať z tejto dokumentácie.

Nastavovanie procesov a postupov ochrany osobných údajov prevádzkovateľ uskutočňuje už v čase, keď osobné údaje, ich stav, tok a bezpečnosť (informačnú, fyzickú a objektovú, personálnu) analyzuje. V závislosti od výsledkov analýz navrhuje štandardnú ochranu, ale aj špecifickú ochranu (§ 32 zákona).

Prijatie bezpečnostných opatrení prevádzkovateľ zdokumentuje v bezpečnostnej dokumentácii.

Za súčasť bezpečnostnej dokumentácie sa môže považovať:

Sankcie

Úrad môže uložiť:

Zároveň každá dotknutá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia povinností vyplývajúcich z novej legislatívy, má právo na náhradu utrpenej škody od prevádzkovateľa (alebo sprostredkovateľa).

Tento článok má len informatívny charakter a nemôže byť považovaný za právne stanovisko alebo radu ako postupovať v konkrétnom prípade, alebo ako takýto prípad posúdiť.

Upozornenie: Článok podlieha zákonu č. 185/2015 Z. z. Autorský zákon. Akékoľvek jeho ďalšie šírenie, šírenie jeho časti alebo jeho použitie na komerčné účely bez súhlasu autora môže mať za následok uplatnenie práv autora vyplývajúcich mu z Autorského zákona a iných právnych predpisov.

Silvia Dutková

Silvia DutkováOdbremeňujem podnikateľov od komplikovanej personálnej agendy, pomáham im s nábormi, nastavujem HR dokumentáciu a vytváram GDPR riešenia na mieru, a to v začínajúcich aj v existujúcich firmách. Spolu s tímom realizujeme externé zamestnanecké prieskumy a hodnotenia zamestnancov. Viac informácií

Prejsť na začiatok stránky