Základná dokumentácia pre ochranu osobných údajov v súlade s GDPR
§ 42 zákona č. 18/2018 Z. z. o ochrane osobných údajov ustanovuje posúdenie vplyvu na ochranu osobných údajov. Spracovateľské operácie, ktoré môžu viesť k vysokému riziku pre práva fyzických osôb z dôvodu ich povahy, rozsahu, kontextu a účelu môžu byť najmä tie, ktoré sú realizované prostredníctvom využitia nových technológií alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu osobných údajov a ich bezpečnosť. V takých prípadoch je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov vykonať posúdenie vplyvu spracovateľských činností na ich ochranu, aby posúdil pravdepodobnosť a závažnosť vysokého rizika na práva dotknutých osôb, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného vysokého rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom.
Pri posúdení vplyvu na ochranu osobných údajov pri spracovateľských operáciách, ktoré pravdepodobne povedú k vysokému riziku sa
- posudzuje vplyv na ochranu osobných údajov – napr. zmapuje cyklus toku osobných údajov, prostredie, v ktorom dochádza k spracúvaniu, časové rozhranie, podmienky spracúvania, posudzuje sa rozsah, množstvo osobných údajov, účel ich spracúvania, vrátane oprávneného záujmu,
- posudzuje sa nutnosť a primeranosť spracovateľských operácii vo vzťahu k účelu,
- hodnotí sa zdroj, povaha, osobitosť a závažnosť (vysokého) rizika pre práva dotknutých osôb
- posudzujú sa bezpečnostné, personálne/organizačné a technické prostriedky alebo opatrenia, záruky a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu so zákonom, najmä pri zohľadnení práv a oprávnených záujmov dotknutých osôb a iných osôb, ktorých sa spracovateľská operácia týka,
- zabezpečuje sa posúdenie vplyvu na ochranu osobných údajov aj počas spracúvania týchto osobných údajov napríklad formou auditu ochrany osobných údajov alebo kontroly zodpovednej osoby alebo penetračnými testami pri spracovateľských operáciách,
- nastavujú sa primerané a účinné bezpečnostné opatrenia na zmiernenie (vysokého) rizika.
Súčasťou základnej dokumentácie sú:
- Spracovateľské operácie a súbor podobných spracovateľských operácií
- Súhlas na spracovanie osobných údajov a podmienky poskytnutia súhlasu so spracúvaním osobných údajov
- Oznamovacia povinnosť v súvislosti s opravou, vymazaním alebo obmedzením spracúvania osobných údajov
- Opatrenia, informácie a oznámenia, ktoré sa týkajú spracúvania osobných údajov
- Zmluva so sprostredkovateľom
- Oznámenie porušenia ochrany osobných údajov úradu a dotknutej osobe
- Poverenie zodpovednej osoby
- Citlivé údaje a údaje veľmi osobnej povahy, údaje spracúvané vo veľkom rozsahu
- Opis plánovaného spracúvania
- Posúdenie nutnosti a primeranosti
- Kritériá prijateľného posúdenia vplyvu na ochranu osobných údajov
V rámci posúdenia vplvu a spracovania dokumentácie zabezpečím pre Vás
- preverenie spracúvania osobných údajov priamo u Vás na pracovisku a vašich doteraz zaužívaných pracovných postupov pri spracúvaní osobných údajov
- preverenie Vami používaných tlačív, formulárov, ktoré majú vplyv na spracúvanie osobných údajov
- základnú dokumentáciu - vrátane záznamov o spracovateľských činnostiach ( § 37 zákona č. 18/2018 Z. z. )
- preškolenie všetkých Vašich zamestnancov priamo u Vás na pracovisku
- ďalšiu spoluprácu so zodpovednou osobou
- reišenie prípadných bezpečnostných inciedntov
- opakované/každoročné preškolenie zamestnancov, sledovanie zmiena aktualizáciu dokumentácie