GDPR moduly

„Nepredávame hotové jedlá, ale kvalitné suroviny s overenými receptami. Aj keď v prenesenom zmysle, presne toto robíme s GDPR modulmi. Učíme našich klientov variť. Preto GDPR moduly nie sú iba ďalšou vzorovou dokumentáciu.“ 

Jakub Berthoty, zakladateľ Dagital Legal 

Návod na používanie dokumentácie

Každý z GDPR modulov obsahuje návod na používanie všetkej nami ponúkanej dokumentácie. Dokonca aj tej, ktorá nie je súčasťou každého balíka. 

V užšom zmysle ide o vysvetlenie jednotlivých dokumentov vrátane toho, prečo a kedy môže byť každý z dokumentov z hľadiska GDPR potrebný. Z širšom zmysle však návod na používanie dokumentácie predstavuje zoznam a vysvetlenie krokov, ktoré je potrebné vykonať pre správne prispôsobenie obsahu dokumentácie pre konkrétneho klienta. Návod vychádza z našich skúseností s vykonávaním hĺbkových auditov na ochranu osobných údajov a predstavuje zjednodušenie postupu, ktorý sa nám osvedčil v praxi. Existuje mnoho prístupov k auditom ochrany osobných údajov. Náš návod je založený na výlučne právnom a „účelovom“ prístupe k zabezpečeniu súladu s GDPR, ktorý nezaťažuje klienta skúmaním technickej roviny spracúvania, riadenia a ochrany dát. 

Návod vyžaduje, aby klient najprv zodpovedal sériu otázok rozdelených do viacerých kategórií. Následne návod klientovi ponúka komplexný zoznam účelov a rôznych kombinácií právnych základov s ktorými sme sa stretli v praxi, spolu so stručným vysvetlením. Na základe svojich odpovedí klient vyberá kombinácie účelov a právnych základov spracúvania. Týmto spôsobom klient postupuje ďalej a buduje sám základné stavebné bloky pre zabezpečenie súladu s GDPR a v konečnom aj dôsledku obsah, ktorý následne vyplní alebo zohľadní v dokumentácii. 

Návod na používanie dokumentácie predstavuje zhmotnenie niekoľkoročných skúseností tímu našej advokátskej kancelárie v oblasti ochrany osobných údajov. Nie je však určený len pre právnikov ale pre kohokoľvek kto typicky v rámci organizácií dostáva agendu ochrany osobných údajov na starosť. 

Privacy Policy

Nájdete ju takmer na každom webe ale čo má v skutočnosti obsahovať a načo slúži? Každý, kto spracúva osobné údaje musí dotknutým osobám poskytovať určité základné informácie. Tieto informácie musia byť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho a musia zohľadňovať skutočný stav. Že privacy policy musí byť na webe nehovorí GDPR ale skôr sedliacky rozum. Základným preskúmaním webu a kvality poskytovaných informácií je možné získať okamžitý prehľad o stave ochrany osobných údajov. Vašu privacy policy číta Úrad na ochranu osobných údajov ako aj váš zákazník, zamestnanec, dotknutá osoba alebo konkurent. Naše privacy policies spoznáte podľa ľahkej čitateľnosti a vhodnej granularity. Sú formulované ako séria odpovedí na otázky, ktoré musí prevádzkovateľ podľa GDPR zodpovedať dotknutým osobám. Skutočným účelom privacy policy je slúžiť ako „prvá línia“ ochrany klienta. Nikto nevidí vaše interné pravidlá, zmluvy a procesy. Každý však vidí, ako ste sa vysporiadali s privacy policy. 

Zmluvná dokumentácia

Pre GDPR sú špecifické najmä tieto tri zmluvy: zmluva so sprostredkovateľom podľa článku 28 GDPR, zmluva spoločných prevádzkovateľov podľa článku 26 GDPR a zmluva so zodpovednou osobou, aj keď nie je výslovne požadovaná. Navyše však môžu byť žiaduce textácie do pracovných alebo obchodných zmlúv. Všetky tieto dokumenty sú súčasťou zmluvnej dokumentácie.

Znenie súhlasov

Niektoré znenia súhlasov sa v praxi opakujú často. Je však vždy praktické mať k dispozícii zoznam rôznych alternatív ich textácií pre rôzne situácie.

Interná politika ochrany osobných údajov

Ak je to primerané, každý kto spracúva osobné údaje by mal mať prijatú internú politiku. Ak sa spýtate nás, pri vágnej požiadavke je lepšie ju mať ako nemať. Čo by však mala obsahovať? Existujú rôzne politiky ochrany osobných údajov. Statické politiky, ktoré opakujú texty a požiadavky predpisov, nemajú podľa nás zmysel. Naša interná politika je zameraná na rozdelenie úloh a zodpovednosti za agendu ochrany osobných údajov medzi viaceré osoby, na popísanie dôležitých procesov ako vybavovanie žiadostí dotknutých osôb alebo zdokumentovanie a oznamovanie bezpečnostných incidentov. Obsahuje vzorové odpovede na tie žiadosti dotknutých osôb, ktoré sa v praxi najčastejšie opakujú. 

Bezpečnostná politika

Najmenej právny dokument, ktorý vychádza z éry bezpečnostných projektov a je založený na terminológii a princípoch noriem a štandardov informačnej bezpečnosti. Nenahrádza však žiadnu sofistikovanú analýzu informačnej bezpečnosti a skôr predstavuje mustru na jej zdokumentovanie do ucelenej politiky.

Pomôcka na dokumentáciu pokynov

O význame a podobe zdokumentovaných pokynov podľa článku 29 GDPR sa povedalo už mnoho. Minimálne na Slovensku máme históriu prílišného dbania na písomné poučenia a pokyny zamestnancov. Aj keď máme svoj vlastný názor, niekedy je lepšie a bezpečnejšie mať základné pokyny popísané, zdokumentované a podpísané na papieri – pre istotu.

Záznamy o spracovateľských činnostiach

V záznamoch o spracovateľských činnostiach vidíme pridanú hodnotu pre zavedenie poriadku a prehľadu do interného riadenia agendy ochrany osobných údajov. Z tohto dôvodu ich odporúčame každému klientovi bez ohľadu na to, či požiadavky podľa čl. 30 GDPR spĺňa alebo nie. Nami pripravené záznamy vychádzajú z viacerých vzorov publikovaných dozornými orgánmi, avšak pridávajú množstvo doplnkových položiek, pomôcok a funkcií. Najužitočnejšia funkcia dokáže na základe vyplnených údajov automaticky určiť, ktoré práva dotknutej osoby a ktoré špecifické povinnosti prevádzkovateľa sa budú aplikovať vo vzťahu ku každému účelu spracúvania. Nie len že naše záznamy slúžia ako centrálny prehľad o agende ochrany osobných údajov v rámci organizácie, ale predstavujú aj významnú pomôcku s riadením jednotlivých procesov najmä vo vzťahu k informačným povinnostiam a vybavovaním práv dotknutej osoby. 

Balančný test pre oprávnený zájem

Takmer každý prevádzkovateľ sa potrebuje spoliehať na právny základ oprávneného záujmu podľa čl. 6 ods. 1 písm. f) GDPR. Len máloktorý prevádzkovateľ však skutočne vyhodnotí, či oprávnený záujem prevažuje nad záujmami a základnými právami a slobodami dotknutých osôb. Inšpirujúc sa odporúčaniami Pracovnej skupiny čl. 29 (Výboru) a judikatúrou Súdneho dvora EÚ a Európskeho súdu pre ľudské práva sme vyvinuli balančný test – sériu univerzálnych otázok, bodovacieho systému a hodnotení záverov vyplývajúcich z testu, ktorý umožňuje empiricky dokázať alebo vyvrátiť prevahu oprávneného záujmu. 

Posúdenie vplyvu

Keďže sme advokátska kancelária, vykladáme si článok 35 GDPR inak ako väčšina poradcov v oblasti IT a informačnej bezpečnosti. Zatiaľ čo analýzy rizík založené na štandardoch ISO 27k typicky adresujú riziká pre organizáciu, jej aktíva a činnosti, posúdenie vplyvu má adresovať riziká pre práva a slobody fyzických osôb. Naša vlastná dokumentácia posúdenia vplyvu je zatiaľ najunikátnejším a najkomplexnejším riešením na posudzovanie zásahov do súkromia. Unikátnosť spočíva v tom, že posúdenie vplyvu vykonávame výlučne netechnickým a právnym spôsobom. Náš katalóg práv a slobôd je založený na Európskom dohovore pre ľudské práva, Charte (EÚ) a Ústave Slovenskej republiky. Bodovací systém na hodnotenie rizík je založený na podobnej metodológii ako ISO 27k štandardy.