Čo je potrebné urobiť do 25. mája 2018?

Marta Weberová
Spracúvanie osobných údajov zamestnanca
1) Upraviť informačné listy na záznamy o spracovateľských činnostiach, pokiaľ sa
neuplatňuje výnimka z vedenia záznamov, čo zahŕňa tieto východiskové procesy:
a) identifikáciu všetkých databáz s osobnými údajmi (automatizované,
poloautomatizované, neautomatizované spracúvanie),
b) roztriedenie osobných údajov na všeobecné a citlivé a priradenie platných právnych základov spracúvania,
c) posúdenie, či doteraz udelené súhlasy so spracúvaním osobných údajov sú súladné s GDPR, resp. novým ZOOÚ (snažiť sa eliminovať spracúvanie osobných údajov
v pracovnoprávnych vzťahoch na základe súhlasu zamestnanca - pozor na riziká udeleného súhlasu),
d) zhodnotiť toky osobných údajov (komu sa údaje poskytujú?, kam sa prenášajú?).
2) Pripraviť nové znenie informačnej povinnosti a spôsob jej realizácie od 25. mája 2018 voči
dotknutým osobám.
3) Riadiť zmluvné vzťahy, t. j.:
a) vyhotoviť návrh vzájomnej dohody spoločných prevádzkovateľov,
b) aktualizovať zoznam sprostredkovateľov a inovovať uzavreté sprostredkovateľské
zmluvy.
4) Prijať primerané interné nastavenia a postupy pre zabezpečenie výkonu práv dotknutej
osoby.
5) Vo vzťahu k ochrane osobných údajov a bezpečnostnej dokumentácii:
a) prijať internú inštrukciu k oznamovaniu a zdokumentovaniu bezpečnostných incidentov,
b) v prípade potreby vypracovať posúdenie vplyvu na ochranu osobných údajov (povinnosť mať bezpečnostný projekt bola zrušená);
c) vyhodnotiť splnenie/nesplnenie podmienok pre nomináciu zodpovednej osoby,
d) nanovo poučiť všetky oprávnené osoby (aj keď výslovná povinnosť poučovať podľa § 21 starého ZOOÚ bola zrušená, ide naďalej o jedno z bezpečnostných opatrení).
6) Prehodnotiť možnosť získania certifikátu preukazujúceho súlad spracúvania osobných údajov alebo zaujímať sa o možnosť získania členstva v tzv. kódexe správania.
7) Zobrať na vedomie nové pokuty za porušenie pravidiel ochrany osobných údajov.