Aké sú to osobitné povinnosti podľa osobitných podmienok?


Zdanlivo komplikovaný výraz označuje povinnosti, ktoré sú niektoré spoločnosti povinné dodržiavať. Jedná sa o GDPR povinnosti, ktoré vyplývajú zo špecifických (osobitných) podmienok. V tomto článku vás oboznámime s niektorými najčastejšími.

Spracovanie údajov s tretími krajinami formou Cloud úložiska

Pod osobitné povinnosti podľa osobitných podmienok patrí napríklad ukladanie osobných údajov na Cloude a ich zdieľanie a spracovanie s tretími krajinami, teda krajinami mimo EÚ. Vašou povinnosťou je v tomto prípade preukázať príslušné ochranné opatrenia osobných údajov s firmou v tretej krajine, teda požiadať o primeranú certifikáciu, napríklad ISO 27001, alebo kódex správania. Vhodné je zabezpečiť, aby firma v tretej krajine podpísala a bola súčasťou Privacy Shield Framework – medzinárodného mechanizmu vytvoreného na splnenie požiadaviek na ochranu osobných údajov.

Teda, spracovanie osobných údajov s tretími krajinami je zákonné, ak dotknutá osoba výslovne súhlasila s presunom po tom, čo bola informovaná o možných rizikách takýchto prenosov súvisiacich s absenciou rozhodnutia o primeraných bezpečnostných opatreniach a ak tretia krajina dosahuje požadované zabezpečenie a primeranú úroveň ochrany osobných údajov, alebo existujú štandardné zmluvné doložky či vnútropodnikové záväzné pravidlá.

Spracovanie s treťou krajinou je zákonné aj v prípade, že existuje oprávnený dôvod verejného záujmu alebo presun je potrebný na ustanovenie, plnenie alebo ochranu právnych nárokov, či plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom.

Záznamy o spracovateľských činnostiach

Podmienky pre povinnosť vedenia spracovateľských záznamov sú nasledovné – spoločnosť má 250 alebo viac zamestnancov, spracovanie je vo veľkom rozsahu a môže spôsobiť riziko, alebo firma spracúva špeciálne kategórie osobných údajov, prípadne údaje týkajúce sa uznania viny alebo priestupku. Záznamy môžu byť uchovávané v papierovej forme alebo elektronicky a obsahovať by mali nasledovné údaje:

  • názov a kontaktné údaje prevádzkovateľa, zástupcu alebo zodpovednej osoby,
  • účel spracovania a lehotu uchovávania údajov,
  • opis kategórií dotknutých osôb a kategórií osobných údajov
  • kategórie príjemcov, ktorým boli alebo budú údaje zverejnené, prípadne prenos osobných údajov do tretej krajiny, pričom prijaté bezpečnostné opatrenia musia byť zdokumentované,
  • všeobecný opis technických a organizačných bezpečnostných opatrení na spracovanie osobných údajov.

Vymenovanie zodpovednej osoby

Táto povinnosť je dôležitá v prípade, že prevádzkovateľ je verejný orgán, hlavné aktivity zahŕňajú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo hlavné činnosti spočívajú v spracúvaní špeciálnych kategórií vo veľkom rozsahu, prípadne osobných údajov týkajúcich sa odsúdení a trestných činov.

Veríme, že naše tipy vám pomôžu v orientácii vo svete GDPR. Prečítajte si aj naše ostatné články!

BlogyOchrana osobných údajov