Máme ochranu osobných údajov v dokumente uloženú v počítači. Sme v poriadku.
Toto je jedna z najčastejších viet, ktoré konzultanti v oblasti ochrany osobných údajov počúvajú od podnikateľov, HR manažérov a majiteľov firiem. Mnohí sa domnievajú, že GDPR dokumentácia znamená niekoľko strán vytlačených zo vzoru dostupného na internete. Realita je však úplne iná.
GDPR nie je o tom, aby ste mali šanón plný dokumentov. Je najmä o tom, aby ste vedeli preukázať, že osobné údaje spracovávate zákonne, bezpečne a transparentne. Dokumentácia je dôkazom toho, že máte procesy nastavené správne a viete ich obhájiť pri kontrole.
Čítajte a dozviete sa:
- čo je GDPR dokumentácia,
- aké dokumenty musí mať firma pripravené,
- čo obsahujú informácie o spracovaní osobných údajov,
- prečo samotná ochrana osobných údajov PDF nestačí,
- ako často dokumentáciu aktualizovať,
- aké sankcie hrozia,
- prečo by dokumentácia mala byť prepojená so školeniami cez Edumio.
Čo je GDPR dokumentácia?
GDPR dokumentácia predstavuje súbor interných a externých dokumentov, ktoré dokazujú, že organizácia plní svoje povinnosti pri ochrane osobných údajov. Jej cieľom nie je vytvárať zbytočnú administratívu. Má pomôcť firme:
- identifikovať riziká,
- nastaviť procesy,
- preukázať súlad s GDPR,
- chrániť práva dotknutých osôb.
Musí mať GDPR dokumentáciu firma?
Áno. Ak spracovávate osobné údaje:
- zamestnancov,
- zákazníkov,
- uchádzačov o zamestnanie,
- obchodných partnerov,
- návštevníkov webu,
- alebo iných fyzických osôb,
potrebujete primeranú dokumentáciu. Rozsah sa líši podľa veľkosti organizácie a povahy spracovania.
Aké dokumenty musí mať firma pripravené?
1. Informácie o spracúvaní osobných údajov
Ide o dokument, prostredníctvom ktorého informujete dotknuté osoby o tom:
- kto spracováva ich údaje,
- prečo ich spracováva,
- aký je právny základ,
- komu údaje poskytuje alebo sprístupňuje,
- ako dlho ich uchováva,
- aké majú práva.
Tieto informácie by mali byť:
- zrozumiteľné,
- jednoduché,
- ľahko dostupné.
Najčastejšie sa zverejňujú na webovej stránke alebo sa dotknutým osobám poskytujú iným vhodným spôsobom, napríklad pri uzatváraní zmluvy, pri nástupe do zamestnania alebo pri získavaní osobných údajov.
2. Záznamy o spracovateľských činnostiach
Ide o jeden z najdôležitejších dokumentov. Obsahuje:
Účely spracúvania
Napríklad:
- personalistika,
- marketing,
- účtovníctvo,
- obchod.
Kategórie osobných údajov
- meno,
- e-mail,
- adresa,
- telefónne číslo,
- kamerové záznamy.
Kategórie dotknutých osôb
- zamestnanci,
- zákazníci,
- uchádzači.
Príjemcovia údajov
- účtovníci,
- IT dodávatelia,
- kuriérske spoločnosti.
Lehoty uchovávania
Ako dlho údaje uchovávate.
3. Interné smernice
Smernice definujú pravidlá vo firme. Upravujú:
- prístupové práva,
- bezpečnostné opatrenia,
- archiváciu,
- likvidáciu dokumentov,
- riešenie incidentov.
Bez smerníc zamestnanci často nevedia, ako správne postupovať.
4. Zmluvy so sprostredkovateľmi
Veľmi často zabúdaná povinnosť. Ak využívate externých partnerov, ktorí spracovávajú údaje vo vašom mene a podľa vašich pokynov, musíte mať upravené zmluvné vzťahy.
Príklady:
- účtovnícke firmy,
- poskytovatelia mzdových služieb,
- cloudové riešenia,
- marketingové agentúry,
- IT spoločnosti.
5. Poučenia oprávnených osôb
Zamestnanci a iné oprávnené osoby, ktoré prichádzajú do styku s osobnými údajmi, musia vedieť:
- čo môžu robiť,
- čo nesmú robiť,
- ako majú chrániť údaje.
Poučenie by malo byť preukázateľné. Ideálne v spojení so školením.
Ochrana osobných údajov PDF. Prečo vzor z internetu nestačí?
Mnohé firmy si stiahnu univerzálny dokument a myslia si, že tým GDPR vyriešili. To je rizikové.
Najčastejšie problémy
Dokument nezodpovedá realite: vaša firma používa CRM systém. Vo vzore nie je uvedený.
Zastaraný obsah: dokument vznikol pred niekoľkými rokmi. Procesy sa zmenili.
Chýbajú povinné informácie: nie sú uvedené všetky právne základy.
Zamestnanci o dokumentoch nevedia: nikto ich nečítal, nikto ich nevysvetlil.
Dokumentácia bez školení nestačí: tu robí chybu väčšina organizácií.
Majú smernice, formuláre, ochranu osobných údajov v PDF. Ale zamestnanci nevedia:
- kde ich nájsť,
- čo obsahujú,
- ako ich používať.
GDPR však vyžaduje, aby firma vedela preukázať, že osoby ktoré majú prístup k osobným údajom boli riadne poučené.
Ako často aktualizovať GDPR dokumentáciu?
Neexistuje zákonom stanovená lehota. Odporúča sa však aktualizácia:
Minimálne raz ročne
Kontrola procesov.
Pri zmene legislatívy
Nové požiadavky.
Pri zavedení nových systémov
CRM. Dochádzkové systémy. Kamerové systémy.
Pri zmene sprostredkovateľov
Noví dodávatelia.
Po incidente
Únik údajov často odhalí slabé miesta.
Čo hrozí pri kontrole?
Kontrola môže preverovať:
- dokumentáciu, a to, či zodpovedá reálnym procesom vo firme,
- informačné povinnosti,
- právne základy,
- bezpečnostné opatrenia,
· poučenie zamestnancov.
Firma by mala vedieť preukázať:
- prečo údaje spracúva,
- ako ich chráni,
- kto s nimi pracuje,
- že zamestnanci boli školení.
Aké sankcie hrozia?
Výška sankcie závisí od viacerých faktorov. Posudzuje sa:
- závažnosť porušenia,
- počet osôb,
- dĺžka trvania,
- prijaté opatrenia,
- spolupráca pri kontrole.
- GDPR umožňuje uložiť pokuty až do:
- 10 miliónov eur alebo 2 % obratu, podľa toho, ktorá suma je vyššia,
- pri závažných prípadoch až 20 miliónov eur alebo 4 % obratu, podľa toho, ktorá suma je vyššia.
Pre mnohé firmy sú však ešte horšie reputačné škody.
Praktické príklady z praxe
Výrobná spoločnosť
Mala smernice vytvorené v roku 2018. Nikdy ich neaktualizovala. Používala nové systémy, ktoré v dokumentácii vôbec nefigurovali.
E-shop
Nemal upravené zmluvy s externými dodávateľmi. Údaje spracúvali tretie strany bez dostatočného právneho základu.
Hotel
Dokumentácia existovala. Recepční však nevedeli odpovedať na otázky týkajúce sa práv hostí.
Ambulancia
Personál neabsolvoval pravidelné školenia. Neexistovala evidencia poučení.
Ako vám môže pomôcť Edumio?
Dokumentácia je základ. Skutočnú ochranu však vytvárajú ľudia.
Edumio pomáha organizáciám prepojiť dokumentáciu s pravidelným vzdelávaním.
Výhody Edumio
Preukázateľnosť
Certifikáty. Evidencia absolvovania. Výsledky testov.
Úspora času
Bez papierových prezenčných listín.
Automatizácia
Pripomienky opakovaných školení.
Dostupnosť 24/7
Z kancelárie aj z domu.
Aktuálnosť
Európska legislatíva určuje obsah a náš systém sa aktualizuje podľa týchto zmien.
Jednoduchá administrácia
Prehľad pre HR a manažérov.
Máte všetko pripravené?
- Informácie o spracovaní osobných údajov.
- Záznamy o spracovateľských činnostiach.
- Interné smernice.
- Zmluvy so sprostredkovateľmi.
- Poučenia oprávnených osôb.
- Nastavené bezpečnostné opatrenia.
- Evidenciu školení.
- Aktualizovanú dokumentáciu.
- Proces riešenia incidentov.
- Určené lehoty uchovávania údajov.
GDPR dokumentácia nie je administratívna formalita ani šanón dokumentov, ktoré vznikli v roku 2018 a odvtedy sa ich nikto nedotkol. Predstavuje živý systém pravidiel, ktorý musí odrážať realitu vašej organizácie, používané technológie a spôsob práce zamestnancov. Firmy, ktoré dokumentáciu pravidelne aktualizujú a prepájajú ju so systematickým vzdelávaním, dokážu výrazne znížiť riziko incidentov, pokút a reputačných škôd.
Ak chcete mať istotu, že vaši zamestnanci rozumejú svojim povinnostiam a v prípade kontroly budete mať k dispozícii preukázateľné dôkazy o školeniach, Edumio.sk vám poskytne moderné e-learningové riešenie, ktoré spája odborný obsah, evidenciu a jednoduchú administráciu do jednej platformy.
FAQ – GDPR dokumentácia
Stačí mať GDPR dokumentáciu stiahnutú z internetu?
Nie. Dokumentácia musí zodpovedať reálnym procesom vo firme.
Musí mať dokumentáciu aj malá firma?
Áno, ak spracúva osobné údaje.
Ako často ju aktualizovať?
Odporúča sa minimálne raz ročne a pri každej významnej zmene.
Potrebujem zmluvy so sprostredkovateľmi?
Áno, ak externé subjekty spracúvajú údaje vo vašom mene.
Prečo nestačí iba dokumentácia?
Pretože zamestnanci musia vedieť, ako pravidlá uplatňovať v praxi.