V praxi sa stále stretávame s otázkou od podnikateľov, či musia riešiť GDPR a ochranu osobných údajov. Aký podnikateľský subjekt je povinný vypracovať a viesť GDPR dokumentáciu?
Kto má mať GDPR dokumentáciu?
Podľa GDPR Nariadenia, ochranu osobných údajov musí riešiť každý prevádzkovateľ, ktorý spracúva osobné údaje fyzických osôb. Teda každý podnikateľ, ktorý pracuje s akýmikoľvek osobnými údajmi fyzickej osoby.
Tou je nielen priamo klient – fyzická osoba, ale napríklad aj fyzická osoba ako zástupca právnickej osoby. Tiež osoba, ktorá vstupuje do monitorovaných priestorov, návštevník webovej stránky, ak sa zbierajú cookies alebo iné kontaktné údaje fyzickej osoby. Samozrejme, k spracúvaniu osobných údajov prichádza aj v ďalších situáciách.
Ako zistíte, či potrebujete GDPR dokumentáciu? Jednoducho si odpovedajte na otázku, či spracúvate osobné údaje. Podľa GDPR Nariadenia je osobným údajom akýkoľvek identifikátor, podľa ktorého možno identifikovať fyzickú osobu. Teda od mena, priezviska, e-mailovej adresy, telefónneho čísla až po dátum narodenia, prípadne podobizne pri vstupe do priestorov a pod…
Bežne k spracovaniu osobných údajov prichádza v nasledujúcich prípadoch:
- vybavovanie objednávok,
- vybavovanie reklamácií,
- vystavovanie faktúr alebo iných účtovných dokladov,
- odpovedanie na kontaktný formulár na webovej stránke,
- spracúvanie miezd a personalistiky,
- vedenie účtovníctva,
ak sa spracúvajú osobné údaje dotknutej osoby – fyzickej osoby, ktorá je prostredníctvom spracúvaných osobných údajov identifikovateľná.
Ochrana osobných údajov vo „všetkých“ firmách?
Takmer každý podnikateľský subjekt spracúva osobné údaje, preto by mal GDPR riešiť. V závislosti od „objemu“ spracovateľských operácií sa prijíma dokumentácia a opatrenia, ktoré sú primerané vzhľadom na rozsah spracúvania osobných údajov.Poďme si to teda „rozmeniť“ na drobné. Čl. 1 GDPR definuje, že:
„Týmto nariadením (GDPR) sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.“
Fyzické osoby, ktorých osobné údaje sú spracúvané (vaši klienti, návštevníci, zamestnanci a pod.) označuje GDPR za dotknuté osoby. GDPR teda upravuje pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov. Podľa GDPR Nariadenia sa ochrana poskytuje všetkým fyzickým osobám. A podnikatelia sú povinní prijať opatrenia na ich ochranu.
Potrebujem GDPR dokumentáciu a ochranu osobných údajov?
Môžeme konštatovať, že GDPR sa dotýka takmer každého podnikateľského subjektu, a veľkého množstva ostatných organizácií.
Napriek tomu sa v praxi stále sa stretávame s otázkou, či sa aj na našu firmu vzťahuje GDPR. Odpoveď je jednoduchá – ak spracúvate osobné údaje dotknutých osôb (fyzických osôb), prostredníctvom ktorých viete identifikovať konkrétnu osobu, tak GDPR je potrebné riešiť.
K plneniu povinností vyplývajúcich z GDPR je potrebné najmä:
- identifikovanie povinností spoločnosti – aké osobné údaje spracúva, ako ich spracúva, komu ich poskytuje a ako ich chráni,
- vypracovanie GDPR dokumentácie a jej prijatie – implementácia do života spoločnosti,
- aktualizovanie a vedenie GDPR dokumentácie,
- dbanie na bezpečnosť a ochranu osobných údajov, ktoré spracúvate.
