Ako správne školiť zamestnancov v oblasti GDPR

Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby spoločnosti prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“ alebo „Nariadenie“).

Na to, aby vedeli spoločnosti preukázať súlad s týmto Nariadením, mali by prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady spracúvania osobných údajov vyžadované Nariadením. Takéto opatrenia by mohli okrem iného pozostávať z pokynov, ktoré sú poskytované tým zamestnancom, ktorí spracúvajú osobné údaje.

Pokyny majú okrem iného obsahovať, ako postupovať pri vypracovaní, navrhovaní, výbere a používaní softvérov, aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, aby sa zabezpečilo, že spoločnosti môžu plniť svoje povinnosti týkajúce sa ochrany údajov.

Spoločnostiam povinnosti „vyškoliť“ zamestnancov vyplývajú z čl. 29 Nariadenia: „Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.“

V čl. 32 ods. 4 Nariadenia je uvedené: „Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.“

Úrad na ochranu osobných údajov SR (ďalej len: „Úrad“) je oprávnený rozhodnúť v zmysle § 102 ods. 1 zákona č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len: „zákon č. 18/2018 Z. z.“), ak zistí porušenie ustanovení zákona č. 18/2018 Z. z. alebo Nariadenia.

V Nariadení sa v článku 5 ods. 2 výslovne zavádza zásada zodpovednosti, čo znamená, že:

- prevádzkovateľ je zodpovedný za súlad so zásadami stanovenými v článku 5 ods. 1 Nariadenia; a že

- prevádzkovateľ musí vedieť preukázať súlad so zásadami stanovenými v článku 5 ods. 1 Nariadenia.

Podľa Nariadenia „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami (čl. 4 ods. 2 Nariadenia).

Úrad, či už je to pri žiadostiach o súčinnosť, o vyjadrenia, pri kontrole spracúvania osobných údajov vyžaduje od prevádzkovateľov, aby:

• predložili „poverenia“ osôb, ktoré vykonávajú spracúvanie osobných údajov v súvislosti s účelom súvisiacim s konaním zo strany Úradu,
• predložili dokument, ktorý by preukazoval, že prevádzkovateľ v zmysle čl. 29 Nariadenia vypracoval pokyny pre osoby, ktoré prichádzajú do styku s osobnými údajmi, obsahom ktorých je postup pri spracúvaní osobných údajov,
• predložili fotodokumentáciu interných riadiacich aktov upravujúcich postupy, ktoré sú predmetom konania zo strany Úradu a preukázali, že osoby nimi boli oboznámené,
• v prípade, ak osoby spracúvajúce osobné údaje absolvovali vzdelávanie, Úrad vyžaduje predloženie dôkazu formou:
  • obsahu školenia, napr. prezentácie,
  • podpisu osoby, ktorá školenie absolvovala, resp. inou formou zvolený dôkaz.

Autor: JUDr. Marcela Macová, PhD.