Sú vzory dokumentácie GDPR tá správna voľba?

Svojpomocné vypracovanie, kúpa vzoru GDPR alebo dokumentácia a konzultácie k zavedeniu GDPR na mieru? Právna expertka radí ako sa vysporiadať s požiadavkami nariadenia GDPR a vyhnúť sa zbytočným pokutám.

GDPR, a teda zvýšená ochrana osobných údajov, spôsobuje bolehlav viac-menej všetkým firmám. Okrem naštudovania desiatok strán legislatívy totiž musia vypracovať smernicu, zmluvy a písomné súhlasy so spracovaním osobných údajov, zmeniť formuláre či nastavenie newslettrov.

Podnikatelia môžu k splneniu požiadaviek GDPR pristupovať rôzne – s dokumentáciou sa popasujú sami alebo zveria prácu do rúk profesionálov. Existuje aj tretia možnosť.  Využiť služby akýchsi balíčkov, a teda zakúpiť si vzorovú dokumentáciu, ktorú si prispôsobia podľa potrieb svojho biznisu.

Je však táto forma ideálna? Komu sa oplatí a komu naopak nie? Odpovedala právna expertka Lucia Semančínová z advokátskej kancelárie SEMANČÍN & PARTNERS. 

Každá firma pracujúca s osobnými údajmi musí mať vypracovanú GDPR dokumentáciu. Dokáže si ju podnikateľ pripraviť aj sám?

Ochrana osobných údajov podľa novej legislatívy sa z hľadiska dokumentácie sprísnila a skutočne si vyžaduje nemalú byrokraciu. Každá organizácia, ktorá získava a spracúva osobné údaje, musí vedieť preukázať, že je v súlade so zásadami GDPR a že si splnila všetky povinnosti. Preukazovanie súladu s GDPR sa zväčša vykonáva práve prostredníctvom dokumentácie. Niektoré dokumenty vyžaduje priamo GDPR, napríklad záznamy o spracovateľských činnostiach či sprostredkovateľské zmluvy. Viaceré dokumenty je však možné len vyvodiť zo znenia GDPR, napríklad preukázanie splnenia informačnej povinnosti voči dotknutým osobám je možné vykonať vypracovaním dokumentu „Pravidlá ochrany osobných údajov“, udelenie súhlasu je možné preukázať podpísaným dokumentom „Súhlas so spracúvaním osobných údajov“ alebo vykonanie posúdenia, či oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutých osôb je vhodné preukázať dokumentom „Test proporcionality“. Mnohé dokumenty ako dôkazné prostriedky je preto potrebné vypracovať individuálne, podľa konkrétnych okolností konkrétnej firmy, či inej organizácie. V terminológii legislatívy týkajúcej sa ochrany osobných údajov hovoríme o prevádzkovateľovi či sprostredkovateľovi.

Každá organizácia si musí sama zvážiť, či má k dispozícii interného zamestnanca, ktorý má dostatočné znalosti nielen na vypracovanie potrebných dokumentov ale aj na aplikáciu všetkých povinností vyplývajúcich z GDPR do procesov organizácie.

Rozsah dokumentácie ako aj jednotlivé implementačné úkony budú závisieť od veľkosti organizácie, rozsahu spracúvaných osobných údajov ako aj od ich citlivosti.

Firma si ale môže kúpiť aj akúsi vzorovú dokumentáciu. Zvyčajne obsahuje organizačnú smernicu, vzory zmlúv, súhlasov so spracovaním údajov. Pre koho je takáto forma vhodná?

Vo všeobecnosti vzory dokumentov nie sú ideálnym riešením. Ak organizácia nemá dostatočné znalosti v oblasti ochrany osobných údajov, nebude vedieť vzory prispôsobiť konkrétnym podmienkam organizácie a zároveň rozsah zakúpenej dokumentácie nemusí byť pre dané podmienky postačujúci. Ak organizácia nevie, ktoré dokumenty musí vypracovať, nevie ani posúdiť, či vzory, ktoré si kúpila, sú dostatočné a či obsahujú všetky potrebné dokumenty. Podľa nášho názoru zo vzorov je náročné, ak nie nemožné, správne vypracovať testy proporcionality, analýzu rizík či nebodaj posúdenie vplyvu. 

Vzory dokumentov môžu posúžiť pre niekoho, kto sa v ochrane osobných údajov vyzná a potrebuje len pomôcť s textáciou niektorých dokumentov, ktoré si ale vie prispôsobiť na konkrétne podmienky. De facto by mali takéto vzory slúžiť len ako obsahové vodítko.

Po vzorovej dokumentácii siahajú najmä živnostníci a malé, či začínajúce firmy. Je dostačujúca? Aké sú jej prípadné nevýhody?

Pre správnu implementáciu pravidiel ochrany osobných údajov je potrebné, aby si firma najskôr rozanalyzovala, aké procesy s osobnými údajmi robí, tzn. aké osobné údaje a na aký účel získava a ako prebieha proces spracúvania. Na základe tejto analýzy potom musí do daných procesov implementovať jednotlivé povinnosti podľa GDPR, napr. určenie správneho právneho základu, minimalizáciu údajov, lehoty uloženia, analýzu rizík a prijatie primeraných bezpečnostných opatrení atď. Až po tejto analýze nasleduje vypracovanie potrebnej dokumentácie, ktorá bude odrážať skutočnú situáciu vo firme, či inej organizácii pracujúcej s osobnými údajmi.

Ak nemá organizácia dostatočné právne a odborné znalosti v oblasti ochrany osobných údajov, nemusí urobiť správne úvodnú analýzu, a tým pádom ani nebudú vzorové dokumenty použité správne. Napríklad ak organizácia určí nesprávny právny základ, napríklad súhlas namiesto oprávneného záujmu, text vzorového súhlasu môže byť sám o sebe v poriadku, avšak spracúvanie bude nezákonné, keďže je postavené na nesprávnom právnom základe a k oprávnenému záujmu nebude vypracované posúdenie vplyvu. Alebo ak si organizácia neuvedomí, že v procesoch spracúvania používa aj sprostredkovateľov, nebude mať s nimi uzatvorené sprostredkovateľské zmluvy.

Problém môže nastať aj pri výkone práv dotknutých osôb. Ak má organizácia k dispozícii len vzor možnej odpovede, nemusí správne vyriešiť žiadosť dotknutej osoby, napríklad o výmaz, ak nebude vedieť správne posúdiť, či osobné údaje môže vymazať alebo nie.

Článok pokračuje pod reklamou

Vzorová dokumentácia (smerníc, súhlasov, či spotredkovateľských zmlúv) stojí do 200 eur, preto podnikateľov láka najmä cenová dostuponosť. Prečo by napriek tomu mala firma siahnuť po vypracovaní dokumentácie na mieru a zaplatiť často oveľa viac?

Ochrana osobných údajov a splnenie požiadaviek GDPR nestojí len na dokumentoch. Primárne je potrebné správne analyzovať procesy spracúvania osobných údajov a aplikovať na nich všetky zásady a povinnosti podľa GDPR a zákona č. 18/2018 Z.z. o ochrane osobných údajov. Ak vo firme nie je osoba, ktorá má dostatočné odborné znalosti v danej oblasti, pravdepodobne jej vzory nebudú stačiť, keďže ich nebude vedieť správne implementovať. Následné porušenia a prípadné pokuty zo strany Úradu na ochranu osobných údajov SR môžu vyjsť omnoho viac.  

Čo vedia ponúknuť profesionáli, ktorí firmám pomožu so zavedením GDPR? Aký je priebeh celého procesu a ako dlho trvá?

Priebeh prípravy na implementáciu pravidiel ochrany osobných údajov som už naznačila. Najprv je potrebné urobiť analýzy procesov, v ktorých dochádza k získavaniu a spracúvaniu osobných údajov. Následne sa tieto procesy posúdia, či sú v súlade s pravidlami (gap analýza) a ak nie, navrhnú sa opatrenia na odstránenie nedostatkov. Tieto opatrenia sú jednak organizačné, teda vypracovanie už spomínaných dokumentov na zabezpečenie preukázania súladu, poverenie oprávnených osôb na dané procesy, splnenie informačnej povinnosti voči dotknutým osobám a pod., a jednak technické ako napríklad zabezpečenie objektu a sietí a pod. Advokátska kancelária alebo iná špecializovaná poradenská spoločnosť teda klientom nevypracúva len dokumentáciu ale poskytuje celé poradenstvo, ako jednotlivé povinnosti podľa GDPR dostať do praxe.

Existujú vzory pre GDPR, ktoré môžu byť predsa len univerzálne? Napríklad vzor súhlasu so spracovaním osobných údajov?

Univerzálne vzory neexistujú, nakoľko v každej organizácii sa spracúvajú osobné údaje inak. Napríklad spomínaný súhlas, aby bol platný, musí obsahovať vymedzenie údajov, ktoré sa budú spracúvať, účel spracúvania, lehotu spracúvania ako aj ďalšie informácie, napríklad prenos údajov. Ak by sme hovorili o súhlase na zasielanie newslettra, jedna organizácia napríklad potrebuje získavať len emailové adresy, iná k tomu potrebuje aj meno dotknutej osoby, lebo chce posielať osobný newsletter s oslovením, iná bude potrebovať aj vek dotknutej osoby, lebo rôzne newslettre bude posielať rôznym vekovým kategóriám. Alebo jedna organizácia nebude prenášať údaje iným príjemcom, ale iná organizácia bude používať aplikáciu, ktorá je lokalizovaná do USA a v tom prípade bude potrebné riešiť spracúvanie sprostredkovateľom a ešte aj prenos do tretích krajín.

Pri každom vzore je preto nevyhnutná vysoká miera prispôsobenia konkrétnym podmienkam konkrétnej organizácie. 

Ak sa firma predsa len rozhodne riešiť GDPR svojpomocne s využitím vzorov, na čo si má dať pri ich adaptácii pozor?

Dokumentácia je len jednou časťou implementácie GDPR. Ak sa organizácia rozhodne použiť vzory dokumentov, určite si musí dať pozor na správnu analýzu procesov a prijatie primeraných bezpečnostných opatrení.

Viac podobných článkov nájdete na www.podnikajte.sk


Kontrola dodržiavania GDPR

Ako prebieha kontrola dodržiavania ustanovení GDPR a zákona o ochrane osobných údajov? Koľko kontrol bolo od účinnosti európskeho nariadenia vykonaných a aké, čo bude predmetom predmetom kontrol v roku 2019?

GDPR po roku: Ako sa e-shopy vysporiadali so zmenami?

Od 25. mája minulého roka je účinné nariadenie Európskej únie o ochrane osobných údajov známe pod skratkou GDPR. Ako firmy hodnotia tieto zavedené zmeny po roku?

GDPR v skratke

Koncom mája 2019 uplynie jeden rok od účinnosti GDPR, ktoré v členských štátoch EÚ zaviedlo jednotný režim ochrany osobných údajov. Koho sa dotklo a aké zásadné zmeny prinieslo?

GDPR a externe vedené účtovníctvo

Veľa podnikateľov v súčasnej dobe rieši mzdovú agendu a účtovníctvo prostredníctvom špecializovaných externých firiem. Ako sa európske nariadenie o ochrane GDPR v praxi dotýka externých účtovníkov a ich vzťahu s klientami?