Odborník radí: Časť 3. – GDPR – e-shop. Záznamy o spracovateľských operáciách a zodpovedná osoba

Podľa súčasne platnej legislatívy má prevádzkovateľ povinnosť viesť o každom informačnom systéme  evidenciu informačných systémov (§43 a 44) alebo oznamovaciu povinnosť (§34 – 36) alebo osobitnú registráciu (§37 – 41).
Podľa GDPR sa ruší a nahrádza novým pojmom záznam o spracovateľských činnostiach. Tieto záznamy je povinný viesť prevádzkovateľ v písomnej a listinnej podobe. Novinkou je, že sa dopĺňa informácia o zodpovednej osobe, dopĺňajú sa podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov.

Tieto záznamy vypracováva prevádzkovateľ podľa čl. 30 ods. 1 a sprostredkovateľ podľa čl. 30 ods. 2.
Záznamy o spracovateľských činnostiach sa nevzťahujú na podnik alebo organizáciu, ktorá, zamestnáva menej ako 250 ľudí, POKIAĽ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitnú kategóriu údajov (napr. personalistika) podľa čl. 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky.

Podľa súčasne platnej legislatívy prevádzkovateľ vypracuje ku každému informačnému systému bezpečnostný projekt alebo bezpečnostné opatrenia v zmysle §19 ods. 1, podľa GDPR sa zmení na posúdenie vplyvu na ochranu osobných údajov. Každý si vypracuje podľa čl. 35 ods. 1,  ak to povedie k vysokému riziku. Výnimky, kto nemusí vypracovávať posúdenie vplyvov sú uvedené v  bode 91 recitálu.

Porovnanie povinnosti prevádzkovateľa (evidenčná povinnosť) podľa súčasnej legislatívy a GDPR:  

Zákon  122/2013 Z. z. (súčastná legislatíva)

1. Identifikačné údaje prevádzkovateľa.
2. Meno a priezvisko štatutárneho orgánu prevádzkovateľa.
3. Identifikačné údaje zástupcu prevádzkovateľa.
4. Počet oprávnených osôb.
5. Názov IS.
6. Účel spracúvania OÚ.
7. Právnu základ spracúvania OÚ.
8. Okruh dotknutých osôb.
9. Zoznam (rozsah) OÚ.
10. Tretie strany (okruh).
11. Okruh príjemcov.
12. Spôsob zverejnenia a pr. základ zverejnenia.
13. Tretie krajiny a pr. základ ich prenosu.
14. Označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany OÚ podľa §19 ods. 1 a 2.
15. Deň keď sa začnú spracúvať OÚ v IS.

porovanie
GDPR (nová legislatíva platná od 25.5 2018)
Zákon č. 18/2018 Z. z. § 37 ods. 1

1. Meno/názov a kontaktné údaje prevádzkovateľa (spoločného prevádzkovateľa), zodpovednej osoby.
2. Účel spracúvania OÚ.
3. Opis kategórií dotknutých osôb a kategórií OÚ.
4. Kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácií.
5. Predpokladané lehoty na vymazanie rôznych kategórií a OÚ.
6. Všeobecný opis technických a organizačných bezpečnostných opatrení § 39 ods.1 (napr. šifrovanie…).
7. Záznamy sa vedú v elektronickej a listinnej podobe.

VZOR záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.

Porovnanie povinnosti sprostredkovateľa (evidenčná povinnosť) podľa súčasnej legislatívy a GDPR:

Zákon  122/2013 Z. z. (súčastná legislatíva)

Podľa súčasnej legislatívy, túto povinnosť sprostredkovateľ nemal.

porovanie 
GDPR (nová legislatíva platná od 25.5 2018)
Zákon č. 18/2018 Z. z. § 37 ods. 2

1. Identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa (zástupcu sprostredkovateľa), zodpovednej osoby.
2. Kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa.
3. Označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa.
4. Všeobecný opis technických a organizačných bezpečnostných opatrení § 39 ods.1 (napr. šifrovanie…).
5. Záznamy sa vedú v elektronickej a listinnej podobe.

VZOR záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.

Zodpovedná osoba

Zmení sa aj inštitút zodpovednej osoby. Zodpovednou osobou podľa aktuálne platnej legislatívy je ten, kto zloží skúšku na Úrade na ochranu osobných údajov. Prevádzkovateľ sa rozhodne či chce mať zodpovednú osobu. Podľa GDPR môže byť zodpovednou osobou ten, kto má znalosti práva a postupov v oblasti ochrany osobných údajov a je spôsobilý plniť úlohy v zmysle zákona.
Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy. Skupina viacerých podnikov si môže určiť jednu zodpovednú osobu.
Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.

Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak:

1. spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
2. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu (táto činnosť sa bude týkať pravdepodobne aj zasielania newslettrov), alebo
3. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa §16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa §17 vo veľkom rozsahu.

Úlohy zodpovednej osoby:

Pri jednoosobovej sro-čke, nemôže byť zodpovednou osobou štatutár.

• 45 ods. 6

Zodpovedná osoba môže plniť aj iné úlohy a povinnosti ako podľa §46; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.

– poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom,
– monitoruje súlad so zákonmi a inými právnymi predpismi,
– poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania,
– spolupracuje s úradom pri plnení svojich úloh,
– plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov.

Oprávnená osoba.

Zodpovedná osoba poverená podľa doterajšieho zákona, ktorá spĺňa podmienky podľa tohto zákona alebo osobitného predpisu,²) sa považuje za zodpovednú osobu podľa predpisov účinných od 25.mája 2018.

• 110 ods. 1

Inštitút oprávnenej osoby ako takej je definovaný len v aktuálnom zákone. V zákone 18/2018 Z. z. sa tento pojem neobjavuje. V GDPR sa v čl. 32 ods. 4 objavuje ako „Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúva tieto údaje len na základe pokynov prevádzkovateľa, s výnimkou prípadov, keď sa od nej vyžaduje práva únie alebo práva členského štátu.“

AUTOR: JUDr. Katarína Kročková, KROČKA & Partners, s.r.o.

O autorovi

Katarína Kročková – vyštudovala Právnickú fakultu Univerzity Komenského v Bratislave, desať rokov pracovala ako firemný právnik pre výrobnú spoločnosť. Počas materskej dovolenky pociťovala potrebu naďalej napredovať a učiť sa nové veci a to bol podnet pre založenie si vlastnej spoločnosti.Katarína sa zameriava na oblasti pracovnoprávneho poradenstva pre zamestnávateľov i zamestnancov, obchodného práva – zabezpečenie pohľadávok (vo všetkých štádiách pred, počas aj po ukončí zmluvného vzťahu), komplexnou agendou ohľadom pozemkov a nehnuteľností, mediácii (mimosúdnemu riešeniu sporov) aj poradenstvom vo veci ochrany osobných údajov GDPR (napr. pre E-shop), ktoré sú medzi podnikateľmi často zanedbávané napriek tomu, že sú častým dôvodom ukladania finančných sankcií štátnymi orgánmi.

KONTAKT: www.krockapartners.sk

Vytlačiť celý článok alebo uložiť ako PDF