Nižšie ponúkame návod akým spôsobom môžete doplniť jednotlivé vzory a použiť ich vo Vašej podnikateľskej praxi.
Posúdenie spracúvania osobných údajov a prijatie záruk, opatrení a mechanizmov
Tento dokument je analýzou a posúdením spracúvania osobných údajov u prevádzkovateľa. Doplnením a vypracovaním tohto dokumentu na základe vzoru bude prevádzkovateľ schopný preukázať Úradu na ochranu osobných údajov, že bola vykonaná analýza v súvislosti so spracúvaním osobných údajov, pričom na základe takéhoto posúdenia bolo zistené, že spracúvanie osobných údajov danou spoločnosťou je v súlade so všetkými základnými zásadami právnej úpravy v oblasti ochrany osobných údajov (Nariadenie GDPR, zákon o ochrane osobných údajov a pod.), ku každému osobnému údaju je právny základ a pod. Uvedený dokument obsahuje aj záruky, opatrenia a mechanizmy, ktoré sú poverené osoby a prevádzkovateľ povinní dodržiavať.
V častiach označených žltým podfarbením je potrebné doplniť informácie podľa konkrétnych a špecifických podmienok prevádzkovateľa, napr.
- na strane 1 doplniť identifikačné údaje prevádzkovateľa,
- na strane 5 doplniť údaje o prevádzke a pod.,
- na strane 6 doplniť osobné údaje, ktoré prevádzkovateľ spracúva resp. chce spracúvať,
- atď.
Na základe takto doplnených informácii a údajov, prevádzkovateľ potom zhodnotí a príjme bezpečnostné ciele a minimálne požadované bezpečnostné opatrenia tak, aby vedel spracúvané osobné údaje ochrániť proti nežiadúcim vplyvom.
Zmluva o spracúvaní osobných údajov sprostredkovateľom
Zmluvu treba uzatvoriť medzi spoločnosťou prevádzkovateľa a subjektom, ktorý pre prevádzkovateľa spracúva osobné údaje v jeho mene a podľa jeho pokynov (napr. s externým účtovníkom, prepravcom a pod.). Do zmluvy treba doplniť resp. upraviť časti označené žltým podfarbením, napr.
- na strane 1 doplniť identifikačné údaje prevádzkovateľa a sprostredkovateľa,
- na strane 2 doplniť účel, názvy informačných systémov, zoznam osobných údajov, dotknuté osoby
- atď.
Informačná povinnosť (pre zákazníkov/zamestnancov/na marketingové účely/ku kamerovým záznamom)
Podstatou tejto zákonnej povinnosti je poskytnúť dotknutým osobám informácie, ktoré taxatívne menuje Nariadenie GDPR a zákon o ochrane osobných údajov. Ak teda dotknutá osoba (zamestnanec, zákazník, klient a pod.) poskytne svoje osobné údaje prevádzkovateľovi, ten je povinný recipročne poskytnúť dotknutej osobe zákonné informácie, ktoré sú najmä:
- identifikačné údaje prevádzkovateľa
- identifikačné údaje zodpovednej osoby
- účel spracúvania osobných údajov (napr. plnenie práv a povinností zo zmluvy a pod.)
- právny základ (napr. uzavretie zmluvy, predzmluvné vzťahy, splnenie zákonne povinnosti a pod.)
- identifikačné údaje alebo kategória príjemcu osobných údajov (externý účtovník, poštový prepravca a pod.)
- doba uchovávania osobných údajov
- práva dotknutej osoby
- atď.
Pokiaľ osobné údaje vkladá/poskytuje dotknutá osoba prostredníctvom webovej stránky prevádzkovateľa, ten je povinný informačnú povinnosť technicky zabezpečiť tak, aby zákonné informácie boli zobrazené dotknutej osobe (zákazníkovi/klientovi) predtým ako ten zašle svoje osobné údaje prostredníctvom webu napr. cez registráciu, prihlásenie príp. objednávkový proces prevádzkovateľovi. Dôležité je, aby sa s nimi zákazník oboznámil predtým ako zašle svoje osobné údaje (aj emailová adresa sama o sebe môže byť osobným údajom) cez registráciu, prihlásenie a pod. Pred potvrdením registrácie, prihlásenia a pod. je môžete použiť napr. takýto text: „Oboznámil som sa so spracúvaním osobných údajov“ – podčiarknutá časť bude hypertextovým odkazom presmerovaná na dokument, ktorý obsahuje zákonné informačné povinnosti. Za určitých okolností (napr. ak je právny základom spracúvania uzavretie kúpnej zmluvy) môžu byť tieto zákonné informácie vložené do všeobecných obchodných podmienok; dôležité však je, aby sa s nimi dotknutá osoba oboznámila predtým ako potvrdí objednávku tlačítkom „Objednávka s povinnosťou platby.“ Vhodným spôsobom ako preukázať oznámenie všetkých zákonných informácii je napr. získanie potvrdenia tým spôsobom, že dotknutá osoba odklikne/zaškrtne checkbox s textom „Oboznámil som sa so spracúvaním osobných údajov“.
Podstatou informačnej povinnosti ku kamerovým záznamom je informovať dotknuté osoby o splnení informačných povinností podľa čl. 13 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie“) a § 19 zákona č. 18/2018 Z. z. o ochrane osobných údajov(ďalej tiež ako „zákon o OOÚ“). Túto informačnú povinnosť je potrebné poskytnúť k nahliadnutiu všetkým, ktorí môžu byť monitorovaný t. j. zamestnanci a zákazníci, atď.
Pri kamerovom systéme musí byť umiestnená táto informačná povinnosť (ideálne vo výške očí), prípadne ak je umiestnený len piktogram, tak treba uviesť odkaz kde si dotknutá osoba môže informačnú povinnosť prečítať (napr. Informačnú povinnosť si môžete prečítať v predajni v budove xxxxxx).
Podstatou informačnej povinnosti na marketingové účely je informovať dotknuté osoby o účele spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov.
K súhlasu na marketingové účely je potrebná aj informačná povinnosť pre zákazníkov na marketingové účely s vytvorením samostatného checkboxu s možnosťou mechanického zaškrtnutia súhlasu.
Príklad textu súhlasu na marketingové účely: „Súhlasím so zasielaním marketingový správ podľa týchto pravidiel“
Oznámenie porušenia ochrany osobných údajov Úradu na OOÚ
Týmto dokumentom splní prevádzkovateľ zákonnú povinnosť ak zistí porušenie predpisov v oblasti ochrany osobných údajov. Vyplnený dokument sa zasiela Úradu na ochranu osobných údajov.
Záznam o poverení osoby
Prevádzkovateľ je povinný podniknúť kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa. Za týmto účelom je potrebné, aby bol každý zamestnanec prevádzkovateľa, ktorý spracúva osobné údaje, poverený a prevádzkovateľ resp. zamestnávateľ vedel toto poverenie preukázať (vhodná forma preukázania je napr. záznam). Záznam treba doplniť resp. upraviť časti označené žltým podfarbením, napr.
- na strane 1 doplniť identifikačné údaje prevádzkovateľa, poverenej osoby a osoby, ktorá poučenie vykonala
- na strane 2 doplniť práva poverenej osoby
- na strane 3 doplniť povinnosti poverenej osoby
- na strane 4 doplniť povolené činnosti resp. spracovateľské operácie poverenej osoby
- atď.
Technické a organizačné opatrenia k informačným systémom
Tento dokument obsahuje minimálne požiadavky ochrany spracúvania osobných údajov, ktoré musí prevádzkovateľ dodržiavať pri spracúvaní osobných údajov. S opatreniami, uvedenými v tomto dokumente, je potrebné oboznámiť poverenú osobu. Pri kontrole zo strany Úradu na ochranu osobných údajov je potrebné vedieť preukázať plnenie a dodržiavanie týchto opatrení. Je žiadúce implementovať, doplniť alebo upraviť technické opatrenia (minimálne v časti Bezpečnostné opatrenia č. 10) odborníkom v danej oblasti napr. IT technikom, ktorý spravuje technické zariadenia prevádzkovateľa. Dokument treba doplniť resp. upraviť časti označené žltým podfarbením, napr.
- na strane 1 doplniť identifikačné údaje prevádzkovateľa
- na strane 4 doplniť názvy informačných systémov, ktoré prevádzkovateľ používa
- na strane 4 doplniť zoznam osobných údajov, ktoré prevádzkovateľ spracúva
- v časti Bezpečnostné opatrenia č. 7 a č. 8 určiť periodicitu zálohovania a kontrol
- atď.
Evidencia pridelených kľúčov
Tento dokument je potrebné vyplniť v prípade, ak kľúče od miestností, kde sa nachádzajú osobné údaje, majú viaceré poverené osoby.
Záznam o vykonanej kontrolnej činnosti
Tento dokument je potrebné vyplniť po každej kontrolnej činnosti v lehotách stanovených v technických a organizačných opatreniach. Vzor vyplneného záznamu:
Záznam o vykonanej kontrolnej činnosti
Prevádzkovateľ vykonal kontrolnú činnosť v nižšie uvedených oblastiach.
|
aktuálnosť
|
Vydaných kľúčov
|
Žiadne zistené nedostatky
|
|
Pridelených kódov od elektronického zabezpečovacieho systému
|
Žiadne zistené nedostatky
|
|
prístup nepoverených osôb
|
Uzamykanie kancelárskych priestorov
|
Žiadne zistené nedostatky
|
|
ukladanie písomností
|
Uloženie dokumentov v zakladačoch v policiach
|
Žiadne zistené nedostatky
|
|
Archivovanie dokumentov v archivačných krabiciach
|
Žiadne zistené nedostatky
|
|
Vhodnosť podmienok na archivovanie
|
Žiadne zistené nedostatky
|
|
zálohovanie dát
|
Funkčnosť a úplnosť záloh
|
Žiadne zistené nedostatky
|
|
Bezpečnostné opatrenia
|
Dodržiavanie prijatých bezpečnostných opatrení
|
Žiadne zistené nedostatky
|
Na základe vykonanej kontroly a zistených skutočností navrhujem nasledovné opatrenia:
Nakoľko neboli zistené žiadne nedostatky, nie je potrebné navrhnúť žiadne opatrenia.
Vykonal: ........................
V.......................,
dňa.............................
------------------------------------
podpis
Zoznam poverených osôb
Do dokumentu sa doplnia údaje o poverených osobách a dátum, kedy bola konkrétna osoba poučená. Zoznamom vie prevádzkovateľ v prípade kontroly zo strany Úradu na ochranu osobných údajov preukázať, ktoré osoby poveril a kedy ich poveril.
Evidencia bezpečnostných incidentov a použitých riešení
Dokument sa vypĺňa v prípade výskytu bezpečnostného incidentu. Vzor vyplnenej evidencie o zistených bezpečnostných incidentoch a prijatých opatreniach:
Príklad použitia evidencie o zistených bezpečnostných incidentoch a prijatých opatreniach
|
Dátum
Čas
Por. číslo
|
Popis bezpečnostného incidentu
|
Prijaté opatrenia
|
Typ incidentu
|
Zaznamenal (meno)
Podpis
|
|
1.4.2020
10:00
001/2020
|
program hlási poškodenie databázy – nejde spustiť
|
spustená služba reparácie databázy a následne služba opravy databázy z programu – hlásenie OK, správanie programu korektné
|
porucha DB
|
|
|
12.5.2020
12:30
002/2020
|
nefunguje obnovenie zo zálohy na domácom počítači – OS hlási nemožnosť načítať údaje z média
|
kontrola obsahu média cez Windows prieskumník – médium je nečitateľné – z toho vyplýva poškodenie média – médium je nahradené a záloha vykonaná znovu na overené médium
|
porucha HW
|
|
|
01.6.2020
03:30
003/2020
|
odcudzenie dokumentácie
|
oznámiť Úradu na ochranu osobných údajov a dotknutej osobe a podľa citlivosti údajov zváženie ohlásenia na polícii
|
krádež
|
|
|
|
|
|
|
|
Zoznam aktív a všetkých miest prepojenia sietí
Do dokumentu sa vyplnia údaje všetkých technických zariadení, ktoré sú u prevádzkovateľa určené na spracúvanie osobných údajov. Vzor vyplneného zoznamu aktív a všetkých miest prepojenia sietí:
Zoznam aktív a všetkých miest prepojenia sietí
Aktíva prevádzkovateľa:
- Pracovná stanica
- Multifunkčné zariadenie
- Tlačiareň
- Záložný zdroj
- Pracovná stanica
|
PC
|
Notebook
|
Značka
|
LENOVO G 74 SX
|
|
Monitor
|
LENOVO
|
Typ
|
GN245 HQ
|
|
Procesor
|
Intel (R) Core (TM) i7- 2630QM CPU @2.00 GHz
|
|
RAM
|
12,0 GB
|
Typ systému
|
64 – bitový operačný systém
|
|
Systém
|
windows 7 ultimate
|
názov počítača
|
G 74SX – PC
|
|
Antivírový program
|
ESET SMART SECURITY
|
|
pripojenie
|
PC je pripojená na internet prostredníctvom verejnej siete :.............. Forma pripojenia je Wi-fi , zabezpečovaná spoločnosťou Slovak-Telecom a.s.
|
multifunkčné zariadenie
|
Názov
|
multifunkčné zariadenie
|
Značka
|
LEXMARK 2330C XPS
|
|
pripojenie
|
Zariadenie je pripojené prostredníctvom verejnej siete :................. Forma pripojenia je Wi-fi , zabezpečovaná spoločnosťou Slovak-Telecom a.s.
|
tlačiareň
|
názov
|
Tlačiareň
|
Značka
|
LEXMARK 5500,
ColorBubblejet printer
|
|
pripojenie
|
Tlačiareň je pripojená prostredníctvom verejnej siete :............... Forma pripojenia je Wi-fi , zabezpečovaná spoločnosťou Slovak-Telecom a.s.
|
Záložný zdroj
|
Hard disk
|
externý
|
Značka
|
LENOVO
|
|
typ
|
LENOVO m3 portable 500GB
|
Záznam o spracovateľských činnostiach
Tento dokument - záznam je vzorom, ktorý v zmysle zákona poskytol Úrad na ochranu osobných údajov. Tento záznam je možné v zmysle § 37 ods. 3 zákona č. 18/2018 Z.z. viesť aj v elektronickej podobe. Samotný návod/usmernenie k vyplneniu tohto záznamu vypracoval Úrad na ochranu osobných údajov (usmernenie je prílohou tohto návodu s názvom „Usmernenie Úradu na ochranu OÚ k vzoru záznamov o spracovateľských činnostiach“).
Dodatok k zmluve
Tento dokument je dodatkom k zmluve, ktorú má prevádzkovateľ uzavretú ústne alebo písomne s inou spoločnosťou (napr. upratovacie služby, pričom upratovačka sa môže nachádzať v miestnosti, kde sú uchovávané osobné údaje), ktorá mu poskytuje služby, alebo iným spôsobom spolupracujú. Týmto dodatkom sa spoločnosť zaväzuje dodržiavať mlčanlivosť. Dodatok treba doplniť resp. upraviť časti označené žltým podfarbením, napr.
- na strane 1 doplniť identifikačné údaje prevádzkovateľa a spoločnosti, s ktorou má uzatvorenú zmluvu
- na strane 1 a 2 sa doplní predmet hlavnej zmluvy, predmet činnosti, ktorý článok sa dopĺňa a pod.
- atď.
Test proporcionality
Zaoberá sa porovnávaním oprávnených záujmov prevádzkovateľa so základnými právami a slobodami dotknutých osôb.
V zmysle rozhodnutí Úradu na ochranu osobných údajov a Usmernenia 3/2019 k spracúvaniu osobných údajov prostredníctvom kamerových systémov platí, že akékoľvek uchovávanie osobných údajov, ktoré trvá dlhšie ako 72 hodín je potrebné riadne odôvodniť. Z daného dôvodu preto odporúčame dobu uchovávania 3 dni (Úrad na ochranu osobných údajov v jednom prípade dokonca rozhodol, že záznam, ktorý sa uchovával po dobu 20 dní, bol uchovávaný neprimerane dlho.
Oboznámenie dotknutej osoby s informáciami potrebnými k spracúvaniu osobných údajov a súhlas k ich použitiu“
Tento dokument slúži k získaniu súhlasu na účely zverejnenia fotografie na účel propagácie prevádzkovateľa na webe, v tlačených médiách a pod.
Do dokumentu je potrebné doplniť:
- osobné údaje dotknutej osoby
- údaje o spoločnosti, ktoré poskytuje server
- údaje o spoločnosti, ktorá likviduje osobné údaje
- atď.
Základné pokyny a minimálne odporúčania pri spracúvaní osobných údajov:
- k osobným údajom, spracúvaným u prevádzkovateľa, nemôžu mať prístup iné osoby ako na to poverené (záznam o poverení osoby je súčasťou vzorovej dokumentácie)
- pracovné počítače, v ktorých sa nachádzajú osobné údaje, musia byť zabezpečené proti strate alebo zničeniu údajov (antivírový softvér, aktivácia firewallu, zavedenie procesu pravidelného zálohovania dát, šifrovanie a pod.)
- do miestnosti, kde má prevádzkovateľ uložený server, hardisk a pod. s osobnými údajmi alebo uchovávané osobné údaje v listinnej forme, nemajú prístup nepoverené osoby (bezpečnostné kľúče, zámky, uzamykateľné priestory)
- pracovné počítače, kde sa nachádzajú osobné údaje, musia byť zaheslované (nepoužívať jednoduché, alebo rovnaké heslá)
- dokumenty s osobnými údajmi ako napr. pracovné zmluvy, mzdové výmery, dohody alebo zmluvy so zákazníkmi uchovávať v uzamykateľnej miestnosti, alebo v skrini/trezore
- dokumenty s osobnými údajmi, ktorých účel spracúvania skončil, skartovať (ak právne predpisy neukladajú povinnosť tieto dokumenty uchovávať ako napr. účtovné doklady, evidenčné listy, a pod.)
- s každým subjektom, ktorému prevádzkovateľ poskytuje osobné údaje, musia byť zmluvne dohodnuté podmienky spracúvania; ak osobné údaje daný subjekt nespracúva, avšak má k nim prístup (napr. upratovacie služby) – je potrebná minimálne dohoda o mlčanlivosti
- informujte dotknuté osoby napr. v pracovných zmluvách, v obchodných podmienkach, na webových stránkach a pod. o spracovaní osobných údajov (súčasťou dokumentácie sú aj podklady na splnenie tejto povinnosti)
- zasielať newslettre, notifikácie a pod. je za určitých podmienok možné aj na základe „oprávneného záujmu“ – v takom prípade je nevyhnutné vykonať test proporcionality
Dňa 20.09.2022
garancia vždy aktualizovaných vzorov s návodmi
garantovaný prístup k podnikateľským školeniam
osobitné notifikácie o zmenách pravidiel a zákonov
