Prečo sme sa rozhodli venovať tejto téme?
Úrad na ochranu osobných údajov Slovenskej republiky môže uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4% celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu kto nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov podľa čl. 5 Nariadenia GDPR/ § 6 zákona o ochrane osobných údajov.
O aké zásady konkrétne ide?
- Zásada zákonnosti, spravodlivosti a transparentnosti
- Zásada obmedzenia účelu a zásada minimalizácie údajov
- Zásada správnosti spracúvaných osobných údajov
- Zásada minimalizácie uchovávania osobných údajov
- Integrita a dôvernosť spracúvaných osobných údajov
- Zásada zodpovednosti prevádzkovateľa
Každý prevádzkovateľ je povinný dodržiavať uvedené zásady a musí byť schopný preukázať súlad s týmito zásadami pri konkrétnom spracúvaní osobných údajov.
Rozhodne by sa prevádzkovateľ vzhľadom na vyššie uvedené nemal uspokojiť len s tým, že má vypracovanú dokumentáciu, ak sa táto
-neaplikuje v každodennej praxi
-neaktualizuje sa
-nevykonávajú sa vnútorné kontroly spracúvania osobných údajov
-nevykonávajú sa potrebné školenia oprávnených osôb na pracovisku zamerané na dodržiavanie dokumentácie vypracovanej v oblasti ochrany osobných údajov atď.
Nariadenie GDPR/ zákon o ochrane osobných údajov nie je „jednorazová záležitosť“ a rozhodne sa nedá „vybaviť“ len vypracovaním základnej dokumentácie, ktorá následne „zapadá prachom v skrini“ a prevádzkovateľ i naďalej funguje bez toho, aby sa implementovala do praxe.
V praxi sa bežne stáva, že prevádzkovateľ- štatutárny orgán a oprávnené osoby spracúvajúce osobné údaje ani neprečítajú dokumentáciu spravidla vypracovanú dodávateľsky, podpíšu poučenia a poverenia bez toho, aby rozumeli tomu, čo podpisujú, absentujú interné smernice k spracúvaniu osobných údajov, nevykonávajú sa interné školenia vychádzajúce z vypracovanej dokumentácie, prevádzkovatelia (ich štatutárne orgány) podceňujú inštitút zodpovednej osoby, nevyčleňuje sa dostatok finančných prostriedkov na modernizáciu technických riešení a pod.
Pritom dodržiavanie ochrany osobných údajov sa predpokladá už pri každej činnosti prevádzkovateľov, pri ktorej dochádza k spracúvaniu osobných údajov. Ani automobil predsa nie je možné „šoférovať“ bez toho, aby sa to jednotlivci naučili, získali oprávnenie a dodržiavali pravidlá cestnej premávky.
Uvedomujú si prevádzkovatelia dôležitosť týchto zásad?
Spravidla nie. Skôr je pre nich dôležitá dokumentácia. Pritom dokumentácia, ktorá nie je „šitá na konkrétne podmienky spracúvania osobných údajov“, nedokáže splniť požadovaný zámer, a to preukázať súlad spracúvania osobných údajov s Nariadením GDPR/ zákonom o ochrane osobných údajov.
Ako „pretaviť“ základné zásady spracúvania osobných údajov zo všeobecnej roviny do konkrétneho spracúvania?
V prvom rade je potrebné pochopiť, čo jednotlivé zásady požadujú od prevádzkovateľov. Následne po získaní základných teoretických poznatkov, je potrebné zabezpečiť dokumentáciu, ktorá bude zohľadňovať základné zásady a prevádzkovateľ bude schopný preukázať jej dodržiavaním súlad s Nariadením GDPR/ zákonom o ochrane osobných údajov.