GDPR a webové stránky vo vzťahu k dodávateľom informačných systémov
25. máj 2018 je dátum, ktorý prináša so sebou množstvo zmien a úplne nových pravidiel pre oblasť ochrany osobných údajov. V tento deň sa dostáva do platnosti GDPR (General Data Protection Regulation) Nariadenie Európskeho parlamentu a Rady EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov a rovnako začína platiť aj nový zákon o ochrane osobný údajov.
Viac informácií o GDPR nájdete na stránke:
https://dataprotection.gov.sk/uoou/sk/main-content/nariadenie-gdpr
K spracovaniu osobných údajov dochádza rôznymi spôsobmi a je potrebné tomu venovať aj patričnú pozornosť. GDPR sa dotkne takmer každého, kto spracováva osobné údaje. Niekoho sa to dotkne viac, iného menej, no v rámci podnikania sa nedá vyhnúť práci s nejakými osobnými údajmi. Nesmiete zabúdať na dodávateľov informačných systémov, v ktorých sa osobné údaje dotknutých osôb nachádzajú.
Každá firma, ktorá spracováva osobné údaje by mala mať spracovanú bezpečnostnú dokumentáciu. Obsahom bezpečnostnej dokumentácie by mali byť, napríklad nasledujúce dokumenty:
- Základná bezpečnostná analýza
- Záznamy o spracovateľských činnostiach
- Bezpečnostné opatrenia v oblasti fyzickej bezpečnosti
- Bezpečnostné opatrenia pre údaje spracúvané elektronicky
- Pravidlá spracovateľských operácií
- Pravidlá pre bezpečnostné incidenty
- Vybavovanie podnetov dotknutých osôb
- Poučenie pre osoby oprávnené spracúvať osobné údaje
- Sprostredkovateľské zmluvy
- Dohoda o mlčanlivosti
- Vzorový súhlas dotknutej osoby
- Vzorové informácie pre dotknutú osobu
- Vzor oznámenia o bezpečnostnom incidente
Túto dokumentáciu je možné rozdeliť do dvoch kategórií:
- Dokumenty, ktoré sa týkajú vnútornej bezpečnosti firmy a jej zamestnancov z pohľadu ochrany osobných údajov.
- Dokumenty, ktoré sa týkajú externých dodávateľov informačných systémov, ktorí prichádzajú nejakým spôsobom do styku s osobnými údajmi.
Povieme si pár informácií k druhému typu dokumentácie, ktorá sa týka aj našej spoločnosti WEBY GROUP, ako dodávateľa informačných systémov.
Čo je potrebné mať zabezpečené podľa GDPR vo vzťahu k dodávateľovi informačného systému?
1. Zmluva o spracúvaní osobných údajov (tzv. sprostredkovateľská zmluva)
Prevádzkovateľ a sprostredkovateľ informačného systému sú oprávnení uzatvoriť samostatný typ zmluvy s nižšie uvedenými obsahovými náležitosťami alebo tieto obsiahnuť do inej zmluvy. Obsahovými náležitosťami zmluvy sú:
- údaje o zmluvných stranách,
- deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
- účel spracúvania osobných údajov,
- názov informačného systému,
- zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov,
- okruh dotknutých osôb,
- podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
- vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami,
- súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby (subdodávateľa),
- dobu, na ktorú sa zmluva uzatvára,
- dátum uzatvorenia zmluvy a podpisy zmluvných strán.
2. Vedenie agendy vo firme prevádzkovateľa vo vzťahu k informačnému systému a ochrane osobných údajov by malo obsahovať Záznamy o spracovateľských činnostiach
Záznam o spracovateľských činnostiach podľa § 37 – Zákon č. 18/2018 Z.z. o ochrane osobných údajov:
(1) Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať:
a) identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby,
b) účel spracúvania osobných údajov,
c) opis kategórií dotknutých osôb a kategórií osobných údajov,
d) kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii,
e) označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
f) predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
g) všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
(2) Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa. Tento záznam musí obsahovať:
a) identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, a zodpovednej osoby,
b) kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
c)označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
d)všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
(3) Záznamy podľa odsekov 1 a 2 sa vedú v listinnej podobe alebo elektronickej podobe.
(4) Prevádzkovateľ alebo sprostredkovateľ a zástupca prevádzkovateľa alebo zástupca sprostredkovateľa, ak bol poverený, sú povinní na požiadanie sprístupniť záznam o spracovateľských činnostiach úradu.
(5) Povinnosti podľa odsekov 1 a 2 sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17.
(6) Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.
Z uvedených dôvodov sme pre našich nových klientov pripravili sprostredkovateľské zmluvy (presne špecifikované pre jednotlivé zakúpené produkty), ktorá sa uzatvára automaticky pri podpise vzájomnej spolupráce.
Naši klienti do 25.5. 2018 majú k dispozícii dokumenty na stiahnutie vo svojej virtuálnej kancelárii.
3. Informácie o ochrane osobných údajov je potrebné uviesť aj na webovej stránke buď na samostatnej stránke „Ochrana osobných údajov“, alebo v rámci obchodných podmienok. Čo by mali tieto informácie obsahovať ?
- Kto ste. Údaje o firme.
- Aké osobné údaje spracúvate.
- Na aký účel spracúvate osobné údaje.
- Ako môžete dať súhlas so spracovaním osobných údajov na príslušné účely.
- Ako môže odvolať súhlas dotknutá osoba.
- Ako dlho uchovávate osobné údaje.
- Kam prenášate osobné údaje.
- práva dotknutej osoby.
- Ako spracúvate osobné údaje.
- Ako zabezpečíte ochranu osobných údajov.
- Záverečné ustanovenia.
Ďalšie články o GDPR:
E-shop a ochrana osobných údajov podľa GDPR – 1. časť
E-shop a ochrana osobných údajov podľa GDPR – 2 časť. Marketing a zber osobných údajov pre rozposielanie newsletterov
Samozrejme, každá firma je špecifická svojim zameraním a je len v jej záujme postupovať v zmysle svojej Bezpečnostnej dokumentácie, po porade so svojim právnikom alebo špecialistom na problematiku ochrany osobných údajov podľa GDPR.