Interná smernica v oblasti ochrany osobných údajov

podľa čl. 24 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „Nariadenie“) v súlade s § 32 zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon“) (ďalej len ako „Smernica“)

I. Základné ustanovenia

  1. Predmetom tejto Smernice je úprava ochrany a nakladania s osobnými údajmi pri činnostiach, ktoré vykonávajú oprávnené osoby spoločnosti RNDr. Mária Karáčová – KARMAFIN IČO: 33523339 so sídlom 908 71 Moravský Svätý Ján č. 365 (ďalej len ako „Prevádzkovateľ“).
  2. Oprávnenou osobou sa na účely tejto Smernice rozumie živnostník Mária Karáčová – sám  Prevádzkovateľ, ktorý pri výkone svojej pracovnej činnosti nakladá s osobnými údajmi dotknutých osôb (ďalej len „Oprávnená osoba“).

II. Všeobecné povinnosti

  1. Osobné údaje musia byť adekvátne zabezpečené vo všetkých prípadoch, kedy sa s nimi v organizácii nakladá.
  2. Oprávnená osoba môže nakladať s osobnými údajmi len za predpokladu, že je to na výkon jej pracovných činností nevyhnutné alebo na základe individuálneho písomného poverenia Prevádzkovateľa.
  3. Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými prichádza do styku pri výkone svojej pracovnej činnosti alebo činnosti vyplývajúcej z jej poverenia.
  4. Povinnosť mlčanlivosti trvá aj po ukončení svojej činnosti.
  5. Oprávnená osoba môže nakladať  len s takými osobnými údajmi, ktoré sú nevyhnutné na výkon jej pracovnej činnosti alebo činností vyplývajúcich z poverenia.
  6. Oprávnená osoba môže vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na výkon jej pracovnej činnosti alebo činnosti vyplývajúcej z poverenia.
  7. Oprávnená osoba nesmie získavať informácie týkajúce sa osobných údajov nad rámec jej pracovnej činnosti alebo poverenia.
  8. Oprávnená osoba je povinná dbať o to, aby pri výkone jej pracovných činností alebo činností vyplývajúcich z poverenia nedošlo k úniku spracúvaných osobných údajov alebo k narušeniu bezpečnosti spracovateľských operácií.

III. Získavanie osobných údajov

  1. Osobné údaje prevádzkovateľa sú uložené a zálohované vo vlastnej databáze s externým úložiskom.
  2. Do databázy sa oprávnená osoba dostane prostredníctvom individuálneho softvéru, ktorý je prístupný na každom firemnom počítači Prevádzkovateľa.
  3. Každá oprávnená osoba má svoje prístupové meno a heslo potrebné na prístup do softvéru Prevádzkovateľa, pričom jej databáza poskytne len osobné údaje dotknutých osôb v rozsahu jej pracovnej činnosti alebo poverenia.
  4. Pokiaľ by oprávnená osoba potrebovala prístup k osobným údajom vo väčšom rozsahu, ako má k dispozícii v databáze, je povinná žiadať od Prevádzkovateľa individuálny písomný súhlas na získanie týchto údajov na základe žiadosti.
  5. Písomný súhlas udeľuje Prevádzkovateľ na žiadosť, a to len v rozsahu potrebnom na splnenie účelu oprávnenej osoby.
  6. Oprávnená osoba následne predloží písomný súhlas vedúcemu IT oddelenia, ktorý jej poskytne osobné údaje len v rozsahu súhlasu, ktorý udelil Prevádzkovateľ.
  7. Oprávnená osoba nesmie získané osobné údaje poskytovať iným osobám.
  8. Oprávnená osoba nesmie poskytovať svoje prístupové údaje do softvéru Prevádzkovateľa iným osobám.
  9. Oprávnená osoba nesmie používať softvér Prevádzkovateľa pre vlastné potreby.

III. Ochrana osobných údajov

  1. Všetky pracovné počítače oprávnených osôb musia byť šifrované.
  2. Po ukončení práce s počítačom musia oprávnené osoby dbať na to, aby boli odhlásené zo systému Prevádzkovateľa, aby nedošlo k narušeniu bezpečnosti osobných údajov neoprávnenými osobami.
  3. Oprávnené osoby musia dbať na to, aby boli všetky spisy a písomnosti, v ktorých sa nachádzajú osobné údaje, po opustení pracoviska uložené v uzamykateľných skrinkách nachádzajúcich sa na ich pracovisku. 
  4. Oprávnené osoby musia dbať na to, aby boli kancelárie po ich odchode z pracoviska zamknuté. 

IV. Porušenie bezpečnosti

  1. V prípade, že dôjde k porušeniu bezpečnosti osobných údajov, je oprávnená osoba bezodkladne povinná informovať o tejto skutočnosti svojho nadriadeného a vedúceho IT oddelenia.
  2. Oprávnená osoba je povinná prerušiť svoju činnosť, pričom nesmie vykonať akékoľvek úkony, ktoré by mohli viesť k zvýšeniu rizika bezpečnosti osobných údajov.
  3. Oprávnená osoba je povinná spísať zápisnicu, v ktorej uvedie všetky podrobnosti v rozsahu:
    1. o aké osobné údaje ide,
    2. kedy sa o narušení bezpečnosti dozvedela,
    3. k akému porušeniu bezpečnosti došlo,
    4. ako sa o tomto porušení dozvedela,
    5. aké kroky podnikla.
  4. Oprávnená osoba odovzdá zápisnicu vedúcemu IT oddelenia.
  5. Vedúci IT oddelenia oznámi povahu a rozsah narušenia bezpečnosti Prevádzkovateľovi bezodkladne po tom, čo sa o tejto informácii dozvedel.
  6. Vedúci IT oddelenia je povinný vyvinúť čo najväčšiu snahu o to, aby k ďalšiemu porušovaniu bezpečnosti pri spracúvaní osobných údajov nedošlo, pričom je povinný v čo najkratšom čase odstrániť vzniknuté problémy.
  7. Oprávnená osoba smie vykonávať svoje pracovné činnosti až po súhlase vedúceho IT oddelenia, ktorý potvrdí, že výkon pracovných činností nepredstavuje riziko pre bezpečnosť osobných údajov.
  8. Vedúci IT oddelenia je povinný vypracovať zápisnicu, ktorá bude obsahovať:
    1. druh osobných údajov, ktorých ochrana bola narušená,
    2. pôvod a formu narušenia,
    3. rozsah narušenia a predpokladanú mieru rizika,
    4. opatrenia, ktoré boli vykonané s cieľom odstránenia vzniknutého stavu,
    5. opatrenia, ktoré boli vykonané s cieľom zabezpečenia  bezpečnosti osobných údajov.
  9. Vedúci IT oddelenia odovzdá svoju zápisnicu a zápisnicu oprávnenej osoby Prevádzkovateľovi.

V. Spracúvanie podaní dotknutých osôb

  1. Žiadosti a námietky dotknutých osôb spracúva osoba, ktorej to vyplýva z náplne pracovnej činnosti alebo z poverenia (ďalej len „určená osoba“).
  2. Určená osoba po prijatí žiadosti, námietky alebo sťažnosti dotknutej osoby (ďalej len „podanie“) informuje dotknutú osobu o jej prijatí a ďalšom postupe.
  3. Určená osoba je povinná vyhodnotiť podanie dotknutej osoby najneskôr v lehote 30 dní odo dňa jej doručenia.
  4. Pokiaľ by si vyhodnotenie podania vyžadovalo viac času, je určená osoba povinná kontaktovať Prevádzkovateľa a primerane o tom informovať aj dotknuté osoby.
  5. Po vyhodnotení podania je určená osoba povinná náležite informovať dotknuté osoby vo vyššie stanovenej lehote.

Právny stav od: 25. 5. 2018

Komentár:

Prevádzkovateľ by mal s ohľadom na spracovateľské činnosti, pokiaľ je to primerané, zaviesť internú smernicu, ktorá by sa v jeho podmienkach vzťahovala na zabezpečenie a ochranu osobných údajov. Každý prevádzkovateľ je však iný, preto sa rozsah a zameranie interných smerníc môže diametrálne líšiť.

Každá interná smernica by však mala spĺňať určité základné náležitosti, ktoré by mali zabezpečiť jej súlad s aktuálnou právnou úpravou.

V prvom rade by mala byť interná smernica dostatočne zrozumiteľná a presná pre jej adresáta. Adresáti budú spravidla zamestnanci prevádzkovateľa, ktorí by mali po prečítaní smernice vedieť, aké povinnosti sú povinní dodržiavať. Smernica by teda mala obsahovať všetko, čo sú zamestnanci povinní vykonať, no zároveň aj to, čo v žiadnom prípade vykonať nesmú. Smernica by preto nemala obsahovať nejasnosti, ktoré by mohli predpokladať jej viaceré výklady.

Smernica by mala byť písaná tak, aby sa jej ustanovenia mohli dodržiavať a aby z nej bolo zrejmé, či osoby svoje povinnosti plnia alebo práve naopak, neplnia. Rovnako je potrebné ustanovenia formulovať tak, aby bolo možné ich dodržiavať, a teda aby boli aj reálne vykonateľné z pohľadu zamestnanca. Nejasné a neuskutočniteľné ustanovenia by v praxi spôsobovali ich nevykonateľnosť, čo je pre prevádzkovateľa v konečnom dôsledku nežiaduce.

Posledným kritériom je aktuálnosť, čo znamená, že by smernica mala reflektovať aktuálnu právnu úpravu a prípadné zmeny v legislatíve by sa mali v jej ustanoveniach rovnako odzrkadliť. Bude preto potrebné ju v pravidelných intervaloch posudzovať a aktualizovať.

Ako bolo už vyššie uvedené, zákonná úprava neobsahuje žiadne konkrétne podmienky pre vnútornú smernicu prevádzkovateľa. Prevádzkovateľ teda v smernici môže upraviť všetko, čo považuje za potrebné a primerané k ochrane osobných údajov v jeho podmienkach, pričom sa pohybuje v medziach zákona. Rovnako je potrebné reflektovať aj na jeho vnútornú organizačnú štruktúru. Je prirodzené, že iné podmienky na ochranu osobných údajov budú vyžadovať administratívni pracovníci a iné IT oddelenie.

Kľúčové slová: Interná smernica prevádzkovateľa

Meritórny link: čl. 24 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov § 32 zákona č. 18/2018 Z. z. o ochrane osobných údajov