Dobrý deň všetkým,
chcem sa s Vami podeliť o ďalšiu pracovnú skúsenosť. Takže k veci. Prišiel za mnou jeden známy a chcel sa len uistiť , že sa ho GDPR netýka. Veď je živnostníkom a predsa GDPR sa týka len „firiem nad 250 zamestnancov“. Načo by vypracovával Záznam o spracovateľských činnostiach? A koniec koncov on žiadne „papiere s osobnými údajmi“ nemá, všetko je u jeho účtovníčky.
Možno bol sklamaný z mojej odpovede, ale dúfam, že ju správne pochopil. Preto si nasimulujeme prípad, ktorý pravdepodobne pomôže aj ostatným, ktorý by sa chceli spýtať to isté.
Príklad:
Živnostník poskytuje svoje služby širokej verejnosti: jednotlivcom, právnickým osobám, iným fyzickým osobám podnikateľom. Pracuje sám, nemá zamestnancov ani „dohodárov“ v zmysle Zákonníka práce. „Papiere“ (účtovníctvo) mu vedie externá účtovníčka (tiež živnostníčka). Nemá internetovú stránku. Poskytovanie svojich služieb si dojednáva osobne alebo telefonicky (pravidelne zverejňuje pracovný tel. kontakt v regionálnom mesačníku v rámci platenej reklamy). Pri svojej práci nevyužíva výpočtovú techniku.
Základné pojmy pre pochopenie:
- Prevádzkovateľ pre účely GDPR/ zákona o ochrane osobných údajov: živnostník, ktorý pri výkone svojej činnosti spracúva aj osobné údaje fyzických osôb (dotknutých osôb)
- Dotknuté osoby: fyzické osoby, ktorých osobné údaje živnostník pri výkone svojej činnosti spracúva (…. zostava osobných údajov, ktorá vedie k určiteľnosti fyzickej osoby)
- Osobný údaj: všetko čo priamo alebo nepriamo identifikuje fyzickú osobu (napr. meno, priezvisko, adresa, dátum narodenia, mail, telefónne číslo, obrazový záznam, zvukový záznam, fotka, rodné číslo, údaje o polohe, údaje o zdravotnom stave ….). Môže ísť o jeden údaj alebo o súbor údajov, dôležité je, že fyzická osoba je určiteľná/ identifikovateľná.
Základné otázky pre rýchle rozanalyzovanie situácie ohľadom zodpovedania otázky, či živnostník je povinný vypracovať a viesť „Záznam/y o spracovateľských činnostiach“:
- Kde všade živnostník spracúva osobné údaje? V agende účtovníctva, v zmluvách, v „zošite objednávok“, vedie si tel. kontakty ako „svoje obchodné kontakty na spolupracujúce subjekty“.
| Spracovateľské činnosti vykonávané s osobnými údajmi: | |
| na účely spracúvania osobných údajov | spracúvané kategórie osobných údajov |
| -vedenie účtovníctva | bežné osobné údaje |
| -uzatváranie a plnenie zmlúv | bežné osobné údaje |
| -vedenie objednávok v listinnej forme | bežné osobné údaje |
| -vedenie obchodných kontaktov | bežné osobné údaje |
- Ide o pravidelné spracúvanie osobných údajov pri všetkých účeloch? Áno (… nejde ani v jednom prípade o jednorazové spracúvanie alebo spracúvanie, ktoré sa uskutočňuje zriedkavo ad hoc).
Už odpoveď na druhú otázku o pravidelnosti spracúvania osobných údajov a vyššie uvedené ostatné informácie postačujú na to, aby sme pri tomto živnostníkovi (prevádzkovateľovi) vylúčili aplikáciu výnimky z povinnosti vypracovať „Záznam/y o spracovateľských činnostiach“ (čl. 30 ods. 5 Nariadenia GDPR/ § 37 ods. 5 zákona o ochrane osobných údajov).
K výnimke:
Pre zohľadnenie situácie pre mikropodniky, malé a stredné podniky Nariadenie GDPR/zákon o ochrane osobných údajov ustanovujú výnimku z povinnosti vypracovať a viesť záznam/y o spracovateľských činnostiach. Je nutné upozorniť, že pre jej uplatnenie v praxi je potrebné splniť kumulatívne (naraz) všetky ustanovené podmienky, a to že:
-subjekt zamestnáva menej ako 250 osôb,
-nie je pravdepodobné, že spracúvanie, ktoré sa vykonáva, povedie k riziku pre práva a slobody dotknutej osoby[1],
-toto spracúvanie je príležitostné[2],
-spracúvanie nezahŕňa osobitnú kategóriu osobných údajov[3] (tzv. citlivé údaje) alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky[4].
Pozor, ak nie je splnená čo i len
jedna podmienka, uvedená výnimka sa na subjekt (prevádzkovateľa) nevzťahuje a subjekt
je povinný záznam/y o spracovateľských činnostiach vypracovať a viesť.
[1] pozri recitál 75 Nariadenia GDPR
[2] Príležitostné spracúvanie- ide o jednorazové spracúvanie alebo spracúvanie, ktoré sa uskutočňuje zriedkavo ad hoc.
[3] pozri čl. 9 ods. 1 Nariadenie GDPR/ § 16 ods. 1 zákona o ochrane osobných údajov
[4] pozri čl. 10 Nariadenie GDPR/ § 17 zákona o ochrane osobných údajov