audit - účtovníctvo - podnikové poradenstvo

Dokumentácia k ochrane osobných údajov

24.8.2017 11:53

V zmysle zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (ďalej len „Zákon o ochrane osobných údajov“) je spoločnosť, ktorá spracúva osobné údaje ako prevádzkovateľ alebo sprostredkovateľ povinná zabezpečiť primeranú ochranu osobných údajov kombináciou splnenia viacerých regulačných povinností ako aj prijatím vhodných a primeraných technických, organizačných a personálnych bezpečnostných opatrení. Najdôležitejšou a najviac administratívne náročnou povinnosťou je zabezpečiť vypracovanie bezpečnostného projektu v prípade, ak dochádza k spracúvaniu tzv. osobitnej kategórie osobných údajov (napr. fotografie, rodné číslo, skeny dokladov totožnosti apod.) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (internet).

Ak Spoločnosť spracúva osobné údaje viacerých okruhov dotknutých osôb, vrátane tzv. osobitnej kategórie osobných údajov týkajúcich sa zamestnancov spoločnosti v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (napr. online prihlasovanie a odhlasovanie zamestnancov do príslušných registrov Sociálnej poisťovne) je povinná vypracovať bezpečnostný projekt podľa § 19 ods. 2 písm. a) a § 20 Zákona o ochrane osobných údajov. Bezpečnostný projekt musí byť vypracovaný v súlade s vyhláškou č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení a v súlade so základnými bezpečnostnými štandardmi vyjadrenými primárne v technických normách ISO 27001, ISO27002 a ISO27005.

Sankcie za nesplnenie povinnosti vypracovať bezpečnostný projekt podľa Zákona o ochrane osobných údajov sa ukladajú povinne vo výške od 1000,- EUR do 200.000,- EUR.

Okrem vyššie uvedeného zistenia je potrebné poznamenať, že aktuálne plynie prechodné obdobie na úpravu interných procesov a individuálnych podmienok spracúvania osobných údajov existujúcich v Spoločnosti s právnou úpravou Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len ako „Všeobecné nariadenie o ochrane údajov“), ktoré sa v praxi začne uplatňovať od 25. mája 2018.

Sankcie za nesplnenie povinností ustanovených vo Všeobecnom nariadení o ochrane údajov sa môžu ukladať až do výšky 20 miliónov EUR, alebo až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Odporúčame vypracovať dokumentáciu k ochrane osobných údajov a zosúladiť individuálne podmienky spracúvania osobných údajov s vyššie uvedenou legislatívou a vyhnúť sa tak prípadným sankciám od dozorného orgánu, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky. V prípade záujmu je možné v spolupráci s našou spoločnosťou zabezpečiť sprostredkovanie profesionálnych konzultačných služieb v oblasti ochrany osobných údajov.