Čo má obsahovať interná smernica z pohľadu GDPR?

V praxi sa často stretávame s otázkou, či sú subjekty spracúvajúce osobné údaje povinné prijať internú smernicu, prípadne iný obdobný interný dokument a čo by mal tento interný dokument (smernica) z pohľadu Nariadenia GDPR obsahovať.

Všeobecný GDPR postup pre vypracovanie smernice nepoznáme. Postupy pre interné dokumenty však majú mať oporu v tomto právnom predpise. V našom článku Vám prinášame prehľad, čo má obsahovať a ako ju pripraviť.

Povinnosť prijať internú smernicu podľa GDPR

Povinnosť prijať interný dokument vo forme, akým bol napríklad bezpečnostný projekt informačného systému,¹, GDPR priamo neustanovuje.

Nariadenie GDPR však subjektom spracúvajúcim osobné údaje (prevádzkovateľom alebo sprostredkovateľom) ukladá viacero povinností, ktoré sú povinní plniť. Subjekty sú zároveň povinné prijať aj interné postupy k vybavovaniu žiadostí dotknutých osôb, bezpečnostné opatrenia a pod.

Povinnosti možno plniť a postupy prijať formou interného predpisu, v ktorom sú zdokumentované. Bežné „pomenovanie“ tohto interného predpisu je interná smernica k ochrane osobných údajov.

V praxi sa stretávame s „internými predpismi“, v ktorých nie sú obsiahnuté požiadavky Nariadenia GDPR pre ochranu osobných údajov. To znamená, že obsahovo nie sú dostatočné pre plnenie povinností v oblasti ochrany osobných údajov a nestanovujú požadované postupy.

Tieto dokumenty bývajú pomenované ako:

• posúdenie vplyvu na ochranu osobných údajov (čl. 35 a nasl. GDPR Nariadenia),
• bezpečnostné opatrenia (čl. 32 a nasl. GDPR Nariadenia).

Posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov slúži na úplne iné účely. Posúdenie vplyvu na ochranu osobných údajov posudzuje vplyv konkrétnych spracovateľských operácií² na ochranu osobných údajov dotknutých osôb. Jeho obsah je vymedzený priamo GDPR, ako aj vyhláškou Úradu na ochranu osobných údajov SR o postupe pri posudzovaní vplyvu na ochranu osobných údajov.

Posúdenie vplyvu sa netýka všeobecných povinností prevádzkovateľa pri spracúvaní osobných údajov, ale iba vymedzených spracovateľských operácií a rizík, ktoré tieto spracovateľské operácie prinášajú. Posúdenie vplyvu tak nie je možné zamieňať s internou smernicou o ochrane osobných údajov. Dôvodom je, že posúdenie vplyvu nemá povinnosť zdokumentovať každý prevádzkovateľ. Postupy na plnenie povinností vyplývajúcich z GDPR, ktoré by mali byť obsahom internej smernice, je však povinný plniť každý subjekt spracúvajúci osobné údaje.

Čo by mala interná smernica podľa GDPR obsahovať?

GDPR internú smernicu priamo nedefinuje, ale subjektom spracúvajúcim osobné údaje ukladá povinnosti:

• pri plnení informačných povinností,
• zapojení sprostredkovateľov do spracúvania osobných údajov,
• zabezpečovaní primeranej úrovne ochrany spracúvaných osobných údajov, či
• vybavovaní žiadostí dotknutých osôb.

Vzhľadom na uvedené odporúčame, aby interná smernica GDPR – k ochrane osobných údajov subjektu spracúvajúceho osobné údaje obsahovala najmä:

1. v zmysle čl. 12 GDPR je prevádzkovateľ povinný prijať vhodné opatrenia na to, aby dotknutej osobe poskytol všetky informácie uvedené v čl. 13 a 14 GDPR, teda opatrenia prostredníctvom ktorých si plní svoju informačnú povinnosť. Interná smernica by preto mala obsahovať určenie postupov, ako si Prevádzkovateľ plní informačnú povinnosť voči dotknutým osobám³,
2. v zmysle čl. 32 GDPR je Prevádzkovateľ povinný prijať primerané technické a organizačné opatrenia na zaistenie primeranej úrovne ochrany spracúvaných osobných údajov. Zdokumentovanie prijatých bezpečnostných opatrení a postup, ako sú kontrolované a ich vhodnosť testovaná, by malo byť jednou z hlavných častí internej smernice. Pri prijímaní primeraných bezpečnostných by mal prevádzkovateľ zohľadniť povahu, rozsah kontext a účely spracúvania osobných údajov. Odporúčame rešpektovať prístupy privacy by design a by default a konkrétne bezpečnostné opatrenia nastavovať tak, aby zodpovedali požiadavkám a potrebám konkrétneho subjektu,
3. postupy preverovania bezpečnosti osobných údajov, ktorú sprostredkovatelia poskytujú a postupy uzatvárania zmlúv o poverení so spracúvaním osobných údajov so sprostredkovateľmi⁴,
4. postupy zdokumentovania a vyhodnocovania bezpečnostných incidentov, ktoré môžu viesť k poručeniu ochrany osobných údajov, ako aj špecifikáciu okolností, za ktorých je prevádzkovateľ povinný tieto bezpečnostné incidenty v zmysle čl. 33 a 34  oznámiť dotknutým osobám, ktorých osobných údajov sa týka a /alebo Úradu na ochranu osobných údajov,
5. iné postupy vyplývajúce zo špecifickej povahy činností, ktoré prevádzkovateľ vykonáva, najmä okolnosti týkajúce sa určenia, úloh a oznámenia určenia zodpovednej osoby Úradu na ochranu osobných údajov SR⁵, postupy týkajúce sa posúdenia vplyvu na ochranu osobných údajov a jeho zdokumentovania či likvidácie osobných údajov a dodržiavania zásad.

Článok pokračuje pod videoškolením. Pozrite si naše videoškolenie k dokumentácii GDPR:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Pri väčších spoločnostiach alebo nadnárodných spoločnostiach vyžadujú interné predpisy aj ďalšie informácie, ako aj „prepojenie“ nadnárodnej dokumentácie s dokumentáciou v spoločnosti na našom území. Stretli sme sa aj so situáciami, kedy materské spoločnosti prijímajú opatrenia a postupy k ochrane osobných údajov, avšak v dcérskej spoločnosti absentuje implementácia.

Konkrétne odporúčania pre väčšie a nadnárodné spoločnosti a obsah interného predpisu k ochrane osobných údajov sú napríklad:

1. stanovenie organizačnej štruktúry a systému poverovania oprávnených osôb,
2. definovanie odbornej prípravy zamestnancov, ktorí spracúvajú osobné údaje a systému školení,
3. zohľadnenie prípadných prenosov osobných údajov medzi jednotlivými subjektami v rámci nadnárodných spoločností⁶,
4. určenie príslušného dozorného orgánu nadnárodnej spoločnosti a v závislosti od jeho určenia aplikovateľnej národnej legislatívy.

Odporúčania na záver

Aj keď je „návodov“ ako si základný interný dokument v oblasti ochrany osobných údajov vypracovať veľmi veľa, v každom prípade je potrebné zohľadniť potreby a možnosti každého prevádzkovateľa a sprostredkovateľa.

Tak ako celá dokumentácia o ochrane osobných údajov, aj interná smernica GDPR (nazývaná aj organizačná smernica GDPR) by mala reflektovať na podmienky, rozsah a kontext, v ktorom prevádzkovateľ osobné údaje spracúva. Napokon, tak ako pri každom dokumente, aj pri internej smernici platí, že na to, aby bola účinná, je potrebné ju aj reálne zapracovať do praxe.

V prípade, ak potrebujete s tvorbou dokumentácie poradiť, neváhajte sa na nás obrátiť. Niekoľko odporúčaní k tomu, ako postupovať pri tvorbe celkovej dokumentácie o ochrane osobných údajov, sme Vám priniesli v jednom k vypracovanie dokumentácie GDPR.

1. Podmienky prijatia bezpečnostné projektu informačného systému ustanovoval § 19 zákona č. 122/2013 Z.z. o ochrane osobných údajov. ↩

2. Okolnosti, za ktorých je prevádzkovateľ alebo sprostredkovateľ povinný vykonať posúdenie vplyvu sú špecifikované v čl. 35 GDPR. Jednou z takýchto okolností je systematické monitorovanie verejne prístupných miest vo veľkom rozsahu, ku ktorým patrí napr. monitorovanie verejných priestranstiev v obci ↩

3. Pozn.: Zohľadňujúc pritom rôzne spôsoby plnenia tejto povinnosti a kategórie dotknutých osôb. ↩

4. Pozn.: Najmä s ohľadom na skutočnosť, že za súlad spracúvania osobných údajov s GDPR a inými predpismi o ochrane osobných údajov, ktoré vykonáva v mene prevádzkovateľa sprostredkovateľ, zodpovedá vždy prevádzkovateľ ↩

5. Okolnosti, za ktorých je prevádzkovateľ alebo sprostredkovateľ povinný určiť zodpovednú osobu, sú stanovené v čl. 35 GDPR ↩

6. Napr. vyplývajúcich zo schválených záväzných vnútropodnikových pravidiel. ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb