GDPR Zmluva: Vzor na Stiahnutie a Praktické Aspekty Implementácie

Vstup do platnosti GDPR (General Data Protection Regulation) priniesol zásadné zmeny v oblasti spracovania osobných údajov. Táto legislatíva sa dotýka takmer každej organizácie, ktorá spracováva osobné údaje, a preto je nevyhnutné venovať jej náležitú pozornosť. Cieľom tohto článku je poskytnúť komplexný pohľad na GDPR zmluvu, jej vzor na stiahnutie a kľúčové aspekty implementácie v praxi.

Dôležitosť Dokumentácie a Mapovanie Procesov

Jedným z kľúčových prvkov dosiahnutia súladu s GDPR je dôkladná dokumentácia. Táto dokumentácia môže byť vedená fyzicky alebo elektronicky a slúži ako záznam o spracovateľských činnostiach. GDPR ukladá správcom a spracovateľom osobných údajov povinnosť zdokumentovať, na aké účely, aké osobné údaje a za akých podmienok spracovávajú. Výsledok tohto mapovania a zdokumentovania je potrebné zachytiť v GDPR dokumentácii, ktorú je organizácia povinná na požiadanie predložiť Úradu na ochranu osobných údajov.

Dôležitým krokom je zmapovanie procesov, pri ktorých organizácia osobné údaje zhromažďuje a ďalej spracováva. Je potrebné určiť rozsah spracúvania, účely spracúvania, spôsob spracúvania, komu sú údaje sprístupňované a ako dlho sú uchovávané.

Nové Procesy a Povinnosti vyplývajúce z GDPR

GDPR prináša rad nových procesov, ktoré je väčšina organizácií povinná interne zaviesť. Medzi ne patrí:

  • Dopadová analýza (DPIA): Vykonávanie dopadovej analýzy pri nových spracovaniach osobných údajov. V niektorých prípadoch sú potrebné konzultácie s Úradom na ochranu osobných údajov.
  • Hlásenie porušení: Povinnosť reportovať prípady porušenia bezpečnosti osobných údajov, a pri vysokom riziku pre práva dotknutých osôb aj týmto osobám.
  • Overovanie spracovateľov: Povinnosť zaviesť proces pre overenie spracovateľov, teda dodávateľských spoločností, ktoré sa podieľajú na spracovaní osobných údajov pre správcov.
  • Zodpovedná osoba pre ochranu osobných údajov (DPO): Povinnosť pre rad organizácií vytvoriť a obsadiť pozíciu zodpovednej osoby pre ochranu osobných údajov a vytvoriť mu dostatočné podmienky pre riadne plnenie jeho úloh.

GDPR a Informačné Technológie

Informačné technológie a elektronické nástroje pre spracovanie dát zohrávajú dôležitú úlohu v implementácii GDPR. Aj pri využívaní elektronických nástrojov je potrebné zabezpečiť pravidlá vyplývajúce z GDPR, predovšetkým v oblasti zabezpečenia dát, nastavenia doby ich uchovania a následnej anonymizácie či likvidácie dát. IT nástroje môžu byť užitočné aj pri plnení niektorých povinností.

Prečítajte si tiež: Zosúladenie GDPR a pracovnej zmluvy

Je dôležité si uvedomiť, že implementácia GDPR nie je len IT projekt. Pre zaistenie plného súladu konkrétnej organizácie a jej postupov s GDPR je nevyhnutné posúdiť a upraviť všetky súčasti spracovania dát, nielen IT prostredie.

Praktické Rady pre Implementáciu GDPR

Pri implementácii GDPR je vhodné rozlišovať nielen procesy, dokumentáciu a IT nástroje, ale aj jednotlivé skupiny dotknutých osôb, ktorých údaje sú spracovávané:

  • Klienti: Súčasní aj bývalí klienti.
  • Zamestnanci: Bývalí, súčasní alebo budúci zamestnanci.
  • Potencionálni klienti: Neklienti, ktorých údaje sú spracovávané za účelom priameho adresného marketingu.
  • Návštevníci internetových stránok: Spracovanie informácií o návštevníkoch internetových stránok či užívateľoch ďalších online produktov.
  • Ďalšie osoby: Napríklad osoby, ktorých údaje organizácia spracováva za účelom ochrany svojich práv.

Okrem toho je dôležité dbať na nasledovné:

  • Štruktúrované a kompletné dáta: Zabezpečiť, aby osobné údaje boli štruktúrované a kompletné.
  • Eliminácia duplicitných údajov: Eliminovať duplicitné údaje a popisy činností.
  • Verziovanie a história zmien: Nezaborudnite na verziovanie a vedenie histórie zmien.
  • PDCA cyklus: Každý dokumentovaný systém musí spĺňať PDCA cyklus (Plánuj, Urob, Kontroluj, Konaj).
  • Dostupnosť manuálu: Manuál nakladania s osobnými údajmi musí byť dostupný všetkým zamestnancom.
  • Riadenie prístupu: Zabezpečiť riadenie prístupu k osobným údajom.
  • Priebežná aktualizácia: Organizácia je povinná dokumentáciu priebežne aktualizovať, takže musí nastaviť aj proces, ako bude túto aktualizáciu uskutočňovať a kto za ňu bude zodpovedný.

Zmluva o Spracúvaní Osobných Údajov (GDPR Zmluva)

Zmluva o spracúvaní osobných údajov je kľúčovým dokumentom, ktorý upravuje vzťah medzi prevádzkovateľom a sprostredkovateľom. Táto zmluva musí spĺňať požiadavky stanovené v čl. 28 nariadenia GDPR a § 34 a nasl. zákona č. 18/2018 Z. z.

Kto je kto?

  • Prevádzkovateľ: Ten, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov a určí podmienky spracúvania.
  • Sprostredkovateľ: Každá osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve a v súlade so zákonom.

Obsah zmluvy:

Nariadenie GDPR stanovuje, že zmluva o spracúvaní osobných údajov musí obsahovať:

Prečítajte si tiež: GDPR a postúpenie osobných údajov

  • Predmet a doba spracúvania
  • Povaha a účel spracúvania
  • Typ osobných údajov a kategórie dotknutých osôb
  • Povinnosti a práva prevádzkovateľa

Záznam o činnostiach spracovania:

Prevádzkovateľ a zástupca prevádzkovateľa (ak bol poverený) je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať:

  • Meno a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby, ak bola určená
  • Účely spracúvania
  • Opis kategórií dotknutých osôb a kategórií osobných údajov
  • Kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizáciách
  • Označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods.
  • Lehoty na vymazanie jednotlivých kategórií údajov, ak je to možné
  • Všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods.

Sprostredkovateľ a zástupca sprostredkovateľa (ak bol poverený) je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa. Tento záznam musí obsahovať:

  • Meno a kontaktné údaje sprostredkovateľa a zástupcu sprostredkovateľa, ak bol poverený, a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a zodpovednej osoby, ak bola určená
  • Kategórie spracúvania vykonávané v mene prevádzkovateľa
  • Označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods.
  • Všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods.

Dôležité: Povinnosti viesť záznam o činnostiach spracovania sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods.

Súhlas so Spracovaním Osobných Údajov

Súhlas so spracovaním osobných údajov je ďalším kľúčovým aspektom GDPR. Súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým dáva súhlas so spracovaním svojich osobných údajov.

Súhlas musí obsahovať zákonom predpísané náležitosti. Výslovne musí byť uvedený prejav dotknutej osoby a to "súhlasím so spracúvaním". Prevádzkovateľ si môže od dotknutej osoby vyžiadať písomný súhlas. Tento súhlas musí obsahovať vyhlásenie dotknutej osoby.

Prečítajte si tiež: Vzor Zmluvy Medzi Objednávateľom a Sprostredkovateľom

Nariadenie GDPR stanovuje, že ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho.

Vzor GDPR Zmluvy na Stiahnutie

Na internete je možné nájsť rôzne vzory GDPR zmlúv na stiahnutie. Je však dôležité si uvedomiť, že každý vzor je potrebné prispôsobiť konkrétnym potrebám a okolnostiam vašej organizácie. Odporúča sa konzultovať s právnikom špecializujúcim sa na GDPR, aby ste mali istotu, že vaša zmluva je v súlade s platnou legislatívou.

tags: #GDPR #zmluva #vzor #na #stiahnutie

Ďalšie články