• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Čo musí firma preukázať pri kontrole GDPR?

Ak príde ku kontrole GDPR zo strany Úradu na ochranu osobných údajov, každá firma musí byť schopná preukázať, že dodržiava pravidlá nariadenia o ochrane osobných údajov (GDPR). To znamená, že spoločnosť musí predložiť konkrétne dokumenty, postupy a dôkazy, ktoré dokazujú, že osobné údaje spracúva zákonne, transparentne a bezpečne. Kontrola môže odhaliť nedostatky, ktoré môžu viesť ku vysokým pokutám a strate dôvery klientov.

V tomto článku prehľadne odpovieme na najčastejšie otázky súvisiace s prípravou firmy na GDPR kontrolu. Zameriame sa na to, aké dokumenty musí firma mať, aké procesy preukázať a čo všetko sa počas takejto kontroly preveruje. Cieľom je poskytnúť uceleného sprievodcu, aby ste sa vedeli pripraviť na prípadnú kontrolu bez stresu a zbytočných komplikácií. Okrem základných požiadaviek pôjdeme aj do hĺbky jednotlivých oblastí, ako je napríklad evidencia spracovateľských činností, interné smernice alebo riešenie incidentov. Pri správnej pripravenosti môže kontrola GDPR prebehnúť plynulo a bez negatívnych následkov pre vašu firmu.

Prečo môže dôjsť ku kontrole GDPR vo firme?

K samotnej kontrole môže dochádzať z rôznych dôvodov. Najčastejšie sa jedná o:

  • Podnet od dotknutej osoby – napríklad klienta, zamestnanca alebo ďalšej osoby, ktorej údaje firma spracúva.
  • Náhodný výber – Úrad si môže vybrať firmu na náhodnú inšpekciu.
  • Reaktívna kontrola – napríklad po medializovanom incidente úniku dát.
  • Nesplnenie predchádzajúcich povinností – napríklad ak firma nepredložila požadované dokumenty v lehote.

Bez ohľadu na dôvod musí byť firma kedykoľvek pripravená doložiť, že dodržiava nariadenie GDPR. Táto príprava nekončí získaním súhlasov – ide o celkový systém bezpečného a zákonného nakladania s osobnými údajmi vo firme.

Aké dokumenty musí firma predložiť pri GDPR kontrole?

Jednou z kľúčových oblastí počas kontroly je dokumentácia. Úrad si vyžiada predloženie niekoľkých základných a pokročilých dokumentov, ktoré dokazujú súlad s nariadením.

Základné dokumenty

  • Záznamy o spracovateľských činnostiach – zoznam všetkých činností, pri ktorých firma spracúva osobné údaje, vrátane účelu, typu údajov, kategórií dotknutých osôb atď.
  • Dohody o spracovaní údajov (so spracovateľmi) – napríklad s účtovníkom, cloudovým poskytovateľom, marketingovou agentúrou a pod.
  • Zásady ochrany osobných údajov – tak ako sú zverejnené na webe, resp. distribuované zamestnancom alebo klientom.
  • Záznamy o súhlasoch – pre prípady, kde je právnym základom spracovania súhlas dotknutej osoby.

Pokročilé dokumenty

  • Vnútorné smernice a politiky GDPR – napríklad interná smernica pre zamestnancov, ako narábať s údajmi.
  • Analýza rizika / DPIA (Data Protection Impact Assessment) – najmä pri spracovaniach s vysokým rizikom.
  • Záznamy o bezpečnostných incidentoch – ako sa riešil incident, ak došlo k úniku údajov.
  • Zmluvné usporiadanie s tretími stranami – čo zahŕňa postavenie prevádzkovateľa a spracovateľa, zodpovednosti, podmienky prenosu údajov atď.

Na čo sa úrad zameriava pri kontrole údajov?

Úrad nevykonáva len formálnu kontrolu dokumentov, ale skúma aj praktickú implementáciu opatrení vo firme. Tu sú najčastejšie kontrolované oblasti:

1. Právny základ spracovania

Firma musí jasne deklarovať a vedieť preukázať, na základe akého právneho titulu spracúva dané údaje – napríklad súhlas, zmluva, zákonná povinnosť atď.

2. Oznamovacia povinnosť voči dotknutým osobám

Ide o informovanie subjektov údajov o tom, ako ich údaje budú spracúvané. Kontroluje sa jasnosť, aktuálnosť a spôsob poskytnutia týchto informácií.

3. Práva dotknutých osôb

Úrad sa pýta, ako firma zabezpečuje výkon práv ako je právo na prístup, opravu, výmaz, obmedzenie spracovania, prenosnosť údajov a pod.

4. Bezpečnostné opatrenia

Pod drobnohľad sa dostanú technické a organizačné opatrenia – antivírusy, šifrovanie, prístupové heslá, školenia zamestnancov, evidencia neoprávneného prístupu atď.

Ako prebieha samotná kontrola?

Kontrola môže mať rôzne formy:

  • Osobná inšpekcia priamo vo firme
  • Písomná výzva na doloženie dokumentácie
  • Kombinovaná kontrola – písomné aj osobné preverenie

Vo väčšine prípadov úrad oznámi kontrolu vopred, no v prípadoch vážneho podozrenia môže vykonať neohlásenú kontrolu. Kontrola spravidla prebieha v nasledovných krokoch:

  1. Predstavenie kontrolórov, oboznámenie so zámerom kontroly
  2. Predloženie požadovanej dokumentácie
  3. Preskúmanie technických opatrení
  4. Rozhovory so zodpovednými osobami, napríklad so zodpovednou osobou (DPO)
  5. Záver kontroly a prípadné návrhy na nápravu

Kto by mal byť zodpovedný za ochranu údajov vo firme?

Každá firma by mala mať určenú zodpovednú osobu za ochranu osobných údajov (DPO), ak:

  • Je verejnou inštitúciou
  • Spracúva osobné údaje vo veľkom rozsahu
  • Pravidelne a systematicky monitoruje osoby (napríklad kamerové systémy)

Aj keď DPO nie je povinný vo všetkých prípadoch, v menších firmách by túto úlohu mal prevziať špecializovaný zamestnanec alebo externý konzultant, ktorý má dostatočné právne a technické znalosti. Táto osoba pripravuje dokumentáciu, komunikuje s úradmi a dohliada na dodržiavanie GDPR v každodennej praxi.

Príklady nedostatkov, ktoré úrad často nachádza

Na základe praxe a zverejnených rozhodnutí Úradu na ochranu osobných údajov možno zhrnúť najčastejšie legislatívne pochybenia:

  • Neexistencia záznamov o spracovaní
  • Chýbajúce alebo neaktuálne zásady ochrany osobných údajov
  • Nezabezpečené prístupové heslá alebo dáta uložené bez šifrovania
  • Neodôvodnený alebo nadmerný zber osobných údajov
  • Nesplnenie informačnej povinnosti voči dotknutým osobám
  • Ignorovanie požiadaviek dotknutých osôb, napr. pri práve na výmaz alebo prístup

Tieto nedostatky sú často dôsledkom nedostatočného školenia, chýbajúcich procesov alebo nevedomosti zo strany vedenia firmy.

Praktické odporúčania – ako byť pripravený

Ak chcete byť pripravení na GDPR kontrolu, riaďte sa nasledovnými radami:

  1. Pravidelne aktualizujte dokumentáciu – GDPR nie je jednorazová záležitosť. Zahŕňa neustálu aktualizáciu zásad, záznamov o činnostiach a zmlúv.
  2. Školte zamestnancov – všetci, ktorí prichádzajú do kontaktu s osobnými údajmi, musia rozumieť svojim právam a povinnostiam.
  3. Simulujte GDPR kontrolu – urobte si vnútorný audit. Skontrolujte dokumentáciu, procesy a technické opatrenia, ako by ste boli kontrolovaní.
  4. Zaveďte politiku bezpečnostných incidentov – a evidujte ich. Neskoré alebo žiadne nahlásenie incidentu môže zhoršiť výsledok kontroly.
  5. Spolupracujte s odborníkmi – právnici, IT bezpečnostní konzultanti a externí DPO vám môžu pomôcť vyhnúť sa chybám.

Záver – príprava sa oplatí

GDPR kontrola nemusí byť strašiakom, ak sa firma riadne a systematicky pripravuje. Dodržiavanie zásad ochrany osobných údajov nie je len právna povinnosť, ale aj súčasť dobrého mena firmy. Transparentné a zodpovedné spracovanie osobných údajov buduje dôveru u klientov, zamestnancov a obchodných partnerov. Rovnako to znižuje riziko pokút a právnych komplikácií. Aj keď sa môže GDPR zdať ako zložitá legislatíva, s dobrým nastavením procesov a dokumentácie sa stáva bežnou súčasťou každodennej praxe.