Výkon auditov v oblasti ochrany osobných údajov podľa nariadenia GDPR

Od 25.5.2018 platí v celej Európskej únii nariadenie o ochrane osobných údajov fyzických osôb – GDPR. Jedná sa o prvé nariadenie z dielne Európskej únie a najväčšiu zmenu v ochrane osobných údajov za posledných 20 rokov. Práve toto nariadenie prinieslo nejdenému podnikateľovi vrásky na čele. 

Počas pár mesiacov fungovania nariadenia ste sa mohli dočítať o rôznych zaručených a bezbolestných vzorových implementáciách smerníc na ochranu osobných údajov do spoločností. Prišlo Vám nespočetne veľa emailov s ponukou, že Vás práve produkt od tej, či onej spoločnosti ochráni pred likvidačnými pokutami? 

Ako si ale overiť, či spĺňam všetky požiadavky nariadenia?

Nariadenie GDPR nahrádza zákon č. 122/2013 Z.z. o ochrane osobných údajov a prináša veľa nových zmien. Preto je vhodné si vždy po implementácií zmien v spoločnosti preveriť ich funkčnosť.

Na preskúmanie plnenia požiadaviek nariadenia GDPR slúži audit.  Pri audite zanalyzujete a preskúmate Vaše činnosti, informácie, dáta a porovnáte ich s povinnosťami vyplývajúcich z nariadenia GDPR. Audit by mala vykonať vždy nezávislá osoba. To znamená, že ak ste v spoločnosti implementovali nariadenie GDPR vy, je potrebné aby funkčnosť a kompletnosť preskúmal iný zamestnanec vo Vašej spoločnosti alebo externá spoločnosť. Je to z toho dôvodu, aby implementované zmeny boli posúdene objektívne. 

Základné body, ktoré by mali byť prejdené počas auditu:

• Plnenie požiadaviek nariadenia GDPR zo strany prevádzkovateľa a to hlavne:
  • Vhodné technické, personálne a organizačné opatrenia
  • Správne poskytnutie súhlasu v súvislosti so službami informačnej bezpečnosti
  • Dodržiavanie zásad zákonnosti, obmedzenia účelu,  minimalizácie, správnosti, minimalizácie uchovávania, integrity a dôvernosti 
  • Poverenia sprostredkovateľov
  • Vedenie záznamov o spracovateľských činnostiach
  • Postupy pri oznamovaní porušenia ochrany osobných údajov úradu
  • Postupy na posúdenie vplyvu na ochranu osobných údajov (napr. nové technológie, povaha, rozsah, kontext – profilovanie, osobitné údaje vo veľkom rozsahu, trestná činnosť, monitorovanie verejných priestorov vo veľkom rozsahu)
  • Poverenia, poučenia a mlčanlivosti zamestnancov
  • Povinnosť určiť / neurčiť zodpovednú osobu

• Plnenie požiadaviek nariadenia GDPR zo strany sprostredkovateľa a to hlavne:
  • Poskytovanie dostatočnej záruky poskytujúcej technické, personálne a organizačné opatrenia
  • Preverenie správnosti poverenia ďalšieho sprostredkovateľa
  • Preverenie spracúvania údajov výhradne na základe pokynov prevádzkovateľa
  • Vedenie záznamov o sprostredkovateľských činnostiach
  • Postup pri oznámení úniku osobných údajov prevádzkovateľovi

Následne sa kontrolujú pri audite práva dotknutých osôb, prenosy do tretích krajín a osobité situácie zákonného spracovávania podľa rôznorodosti spoločností. 

Výsledok z auditu by mala byť ucelená správa obsahujúca nevyhnutné opatrenia na elimináciu porušovania nariadenia GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov taktiež obsahuje možnú výšku pokuty zo strany úradu na ochranu osobných údajov v prípade nedodržania výsledných opatrení. 

Tieto audity by sa mali v spoločnostiach vykonávať pravidelne, pretože osobné údaje v spoločnostiach sú neustále v kolobehu, prichádzajú noví zamestnanci, implementujú sa nové programy, končia platnosti uchovávania dokumentov a zavádzajú sa nové produkty. 

Každá zmena prináša veľa nezodpovedaných otázok, preto treba zmeny zavádzať systematicky a pravidelne vyhodnocovať ich funkčnosť na čo môžu slúžiť práve audity. 

Informácie k výkonu auditu: 
AUDIT PLNENIA POŽIADAVIEK NARIADENIA GDPR