GDPR a webové stránky vo vzťahu k dodávateľom informačných systémov

GDPR a webové stránky vo vzťahu k dodávateľom informačných systémov

25. máj 2018 je dátum, ktorý prináša so sebou množstvo zmien a úplne nových pravidiel pre oblasť ochrany osobných údajov. V tento deň sa dostáva do platnosti GDPR (General Data Protection Regulation) Nariadenie Európskeho parlamentu a Rady EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov a rovnako začína platiť aj nový zákon o ochrane osobný údajov.

Viac informácií o GDPR nájdete na stránke:
https://dataprotection.gov.sk/uoou/sk/main-content/nariadenie-gdpr  

K spracovaniu osobných údajov dochádza rôznymi spôsobmi a je potrebné tomu venovať aj patričnú pozornosť. GDPR sa dotkne takmer každého, kto spracováva osobné údaje. Niekoho sa to dotkne viac, iného menej, no v rámci podnikania sa nedá vyhnúť práci s nejakými osobnými údajmi. Nesmiete zabúdať na dodávateľov informačných systémov, v ktorých sa osobné údaje dotknutých osôb nachádzajú.

Každá firma, ktorá spracováva osobné údaje by mala mať spracovanú bezpečnostnú dokumentáciu. Obsahom bezpečnostnej dokumentácie by mali byť, napríklad nasledujúce dokumenty:

  • Základná bezpečnostná analýza
  • Záznamy o spracovateľských činnostiach
  • Bezpečnostné opatrenia v oblasti fyzickej bezpečnosti
  • Bezpečnostné opatrenia pre údaje spracúvané elektronicky
  • Pravidlá spracovateľských operácií
  • Pravidlá pre bezpečnostné incidenty
  • Vybavovanie podnetov dotknutých osôb
  • Poučenie pre osoby oprávnené spracúvať osobné údaje
  • Sprostredkovateľské zmluvy
  • Dohoda o mlčanlivosti
  • Vzorový súhlas dotknutej osoby
  • Vzorové informácie pre dotknutú osobu
  • Vzor oznámenia o bezpečnostnom incidente

Túto dokumentáciu je možné rozdeliť do dvoch kategórií:

  1. Dokumenty, ktoré sa týkajú vnútornej bezpečnosti firmy a jej zamestnancov z pohľadu ochrany osobných údajov.
  2. Dokumenty, ktoré sa týkajú externých dodávateľov informačných systémov, ktorí prichádzajú nejakým spôsobom do styku s osobnými údajmi.

Povieme si pár informácií k druhému typu dokumentácie, ktorá sa týka aj našej spoločnosti WEBY GROUP, ako dodávateľa informačných systémov.

Čo je potrebné mať zabezpečené podľa GDPR vo vzťahu k dodávateľovi informačného systému?

1. Zmluva o spracúvaní osobných údajov (tzv. sprostredkovateľská zmluva)

Prevádzkovateľ a sprostredkovateľ informačného systému sú oprávnení uzatvoriť samostatný typ zmluvy s nižšie uvedenými obsahovými náležitosťami alebo tieto obsiahnuť do inej zmluvy. Obsahovými náležitosťami zmluvy sú:

  • údaje o zmluvných stranách,
  • deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
  • účel spracúvania osobných údajov,
  • názov informačného systému,
  • zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov,
  • okruh dotknutých osôb,
  • podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
  • vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami,
  • súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby (subdodávateľa),
  • dobu, na ktorú sa zmluva uzatvára,
  • dátum uzatvorenia zmluvy a podpisy zmluvných strán.

2. Vedenie agendy vo firme prevádzkovateľa vo vzťahu k informačnému systému a ochrane osobných údajov by malo obsahovať  Záznamy o spracovateľských činnostiach

Záznam o spracovateľských činnostiach podľa § 37 – Zákon č. 18/2018 Z.z. o ochrane osobných údajov:

(1) Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať:
a) identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby,
b) účel spracúvania osobných údajov,
c) opis kategórií dotknutých osôb a kategórií osobných údajov,
d) kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii,
e) označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
f) predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
g) všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.

(2) Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa. Tento záznam musí obsahovať:
a) identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, a zodpovednej osoby,
b) kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
c)označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
d)všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.

(3) Záznamy podľa odsekov 1 a 2 sa vedú v listinnej podobe alebo elektronickej podobe.

(4) Prevádzkovateľ alebo sprostredkovateľ a zástupca prevádzkovateľa alebo zástupca sprostredkovateľa, ak bol poverený, sú povinní na požiadanie sprístupniť záznam o spracovateľských činnostiach úradu.

(5) Povinnosti podľa odsekov 1 a 2 sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17.

(6) Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.

Z uvedených dôvodov sme pre našich nových klientov pripravili sprostredkovateľské zmluvy (presne špecifikované pre jednotlivé zakúpené produkty), ktorá sa uzatvára automaticky pri podpise vzájomnej spolupráce.
Naši klienti do 25.5. 2018 majú k dispozícii dokumenty na stiahnutie vo svojej virtuálnej kancelárii.

3. Informácie o ochrane osobných údajov je potrebné uviesť aj na webovej stránke buď na samostatnej stránke „Ochrana osobných údajov“, alebo v rámci obchodných podmienok. Čo by mali tieto informácie obsahovať ?

  • Kto ste. Údaje o firme.
  • Aké osobné údaje spracúvate.
  • Na aký účel spracúvate osobné údaje.
  • Ako môžete dať súhlas so spracovaním osobných údajov na príslušné účely.
  • Ako môže odvolať súhlas dotknutá osoba.
  • Ako dlho uchovávate osobné údaje.
  • Kam prenášate osobné údaje.
  • práva dotknutej osoby.
  • Ako spracúvate osobné údaje.
  • Ako zabezpečíte ochranu osobných údajov.
  • Záverečné ustanovenia.

Ďalšie články o GDPR:
E-shop a ochrana osobných údajov podľa GDPR – 1. časť
E-shop a ochrana osobných údajov podľa GDPR – 2 časť. Marketing a zber osobných údajov pre rozposielanie newsletterov

Samozrejme, každá firma je špecifická svojim zameraním a je len v jej záujme postupovať v zmysle svojej Bezpečnostnej dokumentácie, po porade so svojim právnikom alebo špecialistom na problematiku ochrany osobných údajov podľa GDPR.


Dátum zverejnenia: 17.05.2018 08:02