Zmluvy o ochrane osobných údajov v kontexte GDPR: Príručka pre účtovníkov a podnikateľov

Ochrana osobných údajov je základným právom a kľúčovou témou v dnešnom digitálnom svete. Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, známe ako GDPR, kladie dôraz na ochranu fyzických osôb pri spracúvaní ich osobných údajov. Účtovníci, ako podnikatelia a osoby pracujúce s citlivými dátami, musia túto oblasť dôkladne poznať. Tento článok poskytuje komplexný pohľad na zmluvy o ochrane osobných údajov v kontexte GDPR, s osobitným zameraním na účtovníkov a ich povinnosti.

Dôležitosť ochrany osobných údajov

Ochrana osobných údajov je zakotvená v článku 8 ods. 1 Charty základných práv Európskej únie a článku 16 ods. 1 Zmluvy o fungovaní Európskej únie. Tieto články jasne stanovujú, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

Účtovníci denne pracujú s osobnými údajmi zákazníkov, zamestnancov a ďalších osôb. Majú prístup k faktúram, mzdovým listom a iným dokumentom obsahujúcim citlivé informácie. Preto je pre nich mimoriadne dôležité, aby dodržiavali pravidlá ochrany osobných údajov a zabezpečili ich bezpečnosť.

Základné pojmy GDPR

Pre správne pochopenie problematiky je nevyhnutné poznať základné pojmy, ktoré definuje GDPR:

  • Prevádzkovateľ: Osoba alebo subjekt, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov. V kontexte účtovníctva je to napríklad spoločnosť, ktorá využíva služby účtovníka.
  • Sprostredkovateľ: Osoba alebo subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Účtovník, ktorý spracúva údaje pre klienta, je v tomto prípade sprostredkovateľom.
  • Dotknutá osoba: Fyzická osoba, ktorej osobné údaje sa spracúvajú.

Zmluva o spracúvaní osobných údajov sprostredkovateľom

Spracúvanie osobných údajov medzi prevádzkovateľom a sprostredkovateľom sa riadi prísnymi pravidlami. Článok 28 nariadenia GDPR a § 34 a nasl. zákona č. 18/2018 Z. z. o ochrane osobných údajov stanovujú požiadavky na zmluvu o spracúvaní osobných údajov sprostredkovateľom. Táto zmluva je kľúčovým dokumentom, ktorý upravuje vzájomné práva a povinnosti.

Prečítajte si tiež: Vzor zmluvy o príspevku

Obsah zmluvy:

Zmluva musí obsahovať minimálne tieto náležitosti:

  • Predmet a doba spracúvania: Jasné určenie, aké osobné údaje sa budú spracúvať a na akú dobu.
  • Povaha a účel spracúvania: Definícia účelu, na ktorý sa osobné údaje spracúvajú. Napríklad, spracúvanie osobných údajov zamestnancov pre účely mzdovej agendy.
  • Typ osobných údajov a kategórie dotknutých osôb: Špecifikácia, aké kategórie osobných údajov (napr. meno, adresa, rodné číslo) sa spracúvajú a ktorých osôb sa týkajú (napr. zamestnanci, zákazníci).
  • Povinnosti a práva prevádzkovateľa: Stanovenie povinností prevádzkovateľa voči sprostredkovateľovi, napríklad poskytovanie potrebných informácií a pokynov.
  • Povinnosti sprostredkovateľa: Podrobné určenie povinností sprostredkovateľa, ako je zabezpečenie primeraných technických a organizačných opatrení na ochranu osobných údajov, dodržiavanie pokynov prevádzkovateľa a povinnosť mlčanlivosti.

Európska komisia prijala štandardné zmluvné doložky medzi prevádzkovateľmi a sprostredkovateľmi podľa čl. 28 ods. 7 všeobecného nariadenia o ochrane údajov. Tieto doložky môžu byť použité ako základ pre zmluvu o spracúvaní osobných údajov.

Povinnosti prevádzkovateľa

Prevádzkovateľ má v zmysle GDPR niekoľko kľúčových povinností:

  • Informačná povinnosť: V súlade s článkami 13 a 14 nariadenia GDPR je prevádzkovateľ povinný informovať dotknuté osoby o spracúvaní ich osobných údajov. To zahŕňa poskytnutie informácií o totožnosti a kontaktných údajoch prevádzkovateľa, účeloch spracúvania, kategóriách osobných údajov, príjemcoch osobných údajov, dobe uchovávania osobných údajov a právach dotknutých osôb.
  • Zabezpečenie súhlasu: Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov. GDPR nepredpisuje žiadnu formu pre súhlas, avšak pri prípadnom spore dôkazné bremeno o existencii súhlasu znáša prevádzkovateľ.
  • Evidencia porušení: Prevádzkovateľ má povinnosť evidovať každé porušenie zabezpečenia osobných údajov a viesť k nemu príslušnú dokumentáciu.
  • Poverenie osôb: Prevádzkovateľ je povinný podniknúť kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa. Za týmto účelom je potrebné, aby bol každý zamestnanec prevádzkovateľa, ktorý spracúva osobné údaje, poverený a prevádzkovateľ resp. zamestnávateľ vedel toto poverenie preukázať (vhodná forma preukázania je napr. záznam).

Povinnosti sprostredkovateľa

Sprostredkovateľ, v kontexte účtovníctva napríklad účtovník, má tiež dôležité povinnosti:

  • Dodržiavanie zmluvy: Sprostredkovateľ je povinný spracúvať osobné údaje v súlade so zmluvou uzavretou s prevádzkovateľom a dodržiavať jeho pokyny.
  • Zabezpečenie ochrany: Sprostredkovateľ musí prijať primerané technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov pred náhodným alebo nezákonným zničením, stratou, zmenou, neoprávneným prístupom alebo sprístupnením.
  • Mlčanlivosť: Sprostredkovateľ a každá osoba konajúca na základe jeho poverenia, ktorá má prístup k osobným údajom, je povinná zachovávať mlčanlivosť o týchto údajoch.
  • Pomoc prevádzkovateľovi: Sprostredkovateľ je povinný poskytovať prevádzkovateľovi potrebnú pomoc pri plnení jeho povinností podľa GDPR, napríklad pri vybavovaní žiadostí dotknutých osôb alebo pri oznamovaní porušení ochrany osobných údajov.

Práva dotknutých osôb

GDPR posilňuje práva dotknutých osôb, ktoré majú právo:

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

  • Na prístup k údajom: Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje, a ak áno, má právo na prístup k týmto údajom a informácie o spracúvaní.
  • Na opravu: Dotknutá osoba má právo na opravu nesprávnych alebo neúplných osobných údajov, ktoré sa jej týkajú.
  • Na výmaz (právo "byť zabudnutý"): Dotknutá osoba má právo na výmaz jej osobných údajov, ak už nie sú potrebné na účely, na ktoré boli získané, alebo ak odvolala svoj súhlas so spracúvaním.
  • Na obmedzenie spracúvania: Dotknutá osoba má právo na obmedzenie spracúvania jej osobných údajov, napríklad ak namieta správnosť údajov alebo ak spracúvanie je nezákonné.
  • Na prenosnosť údajov: Dotknutá osoba má právo získať svoje osobné údaje, ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a má právo preniesť tieto údaje inému prevádzkovateľovi.
  • Namietať spracúvanie: Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie.

Praktické kroky pre účtovníkov

Pre účtovníkov, ktorí spracúvajú osobné údaje v mene svojich klientov, je dôležité prijať nasledovné kroky:

  1. Uzavrieť zmluvu o spracúvaní osobných údajov: S každým klientom, pre ktorého spracúvate osobné údaje, uzavrite zmluvu o spracúvaní osobných údajov, ktorá bude spĺňať požiadavky GDPR.
  2. Zabezpečiť primerané technické a organizačné opatrenia: Implementujte vhodné technické a organizačné opatrenia na ochranu osobných údajov, ako sú šifrovanie, firewall, pravidelné zálohovanie a obmedzenie prístupu k údajom len pre oprávnené osoby.
  3. Vzdelávať zamestnancov: Zabezpečte, aby všetci zamestnanci, ktorí majú prístup k osobným údajom, boli riadne vyškolení o pravidlách ochrany osobných údajov a o svojich povinnostiach.
  4. Viesť záznamy o spracovateľských činnostiach: V súlade s článkom 30 GDPR veďte záznamy o spracovateľských činnostiach, ktoré vykonávate v mene svojich klientov.
  5. Spolupracovať s klientmi: Poskytujte klientom potrebnú pomoc pri plnení ich povinností podľa GDPR, napríklad pri vybavovaní žiadostí dotknutých osôb alebo pri oznamovaní porušení ochrany osobných údajov.

Interná smernica spoločnosti v oblasti ochrany osobných údajov

Prevádzkovateľ by mal s ohľadom na spracovateľské činnosti, pokiaľ je to primerané, zaviesť internú smernicu, ktorá by sa v jeho podmienkach vzťahovala na zabezpečenie a ochranu osobných údajov. Každý prevádzkovateľ je však iný, preto sa rozsah a zameranie interných smerníc môže diametrálne líšiť. V smernici môže upraviť všetko, čo považuje za potrebné a primerané k ochrane osobných údajov v jeho podmienkach, pričom sa pohybuje v medziach zákona. Spoločnosť je povinná pred a počas spracúvania osobných údajov zaviesť a mať zavedenú, resp. navrhnutú ochranu osobných údajov. Smernica by mala obsahovať technické a organizačné opatrenia, zavedenie záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12 zákona č. 18/2018 Z. z.

Dokumentácia v prípade porušenia ochrany osobných údajov

Týmto dokumentom splní prevádzkovateľ zákonnú povinnosť ak zistí porušenie predpisov v oblasti ochrany osobných údajov. Prevádzkovateľ je povinný podniknúť kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa. Za týmto účelom je potrebné, aby bol každý zamestnanec prevádzkovateľa, ktorý spracúva osobné údaje, poverený a prevádzkovateľ resp. zamestnávateľ vedel toto poverenie preukázať (vhodná forma preukázania je napr. záznam).

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

tags: #zmluva #o #ochrane #osobných #údajov #vzor

Ďalšie články