Vypracovanie dokumentácie GDPR prostredníctvom vzorov - dá sa to?
Zavedenie GDPR prinieslo preukázateľne zvýšenú mieru ochranu osobných údajov. Každopádne, toto nariadenie sa (hlavne finančne) dotklo každej organizácie, ktorá pracuje, resp. spracúva osobné údaje fyzických osôb. Prevádzkovatelia sa musia oboznámiť s problematikou a preštudovať si stovky strán legislatívy a následne vypracovať rozsiahli interný dokument, ktorým preukážu súlad s týmto nariadením.
Dokumentáciu v súvislosti s GDPR si podnikatelia môžu zabezpečiť buď svojpomocne alebo externe a to odbornou firmou, ktorá im pripraví dokumentáciu priamo na mieru. Na trhu sa môžeme stretnúť aj s ponukou balíčkov, ktoré obsahujú vzorovú dokumentáciu, ktorú si podnikatelia môžu prispôsobiť "svojim" potrebám.
Je možné, aby si dokumentáciu GDPR vyhotovil podnikateľ sám ?
Legislatíva GDPR obsahuje prísne pravidlá, s ktorou je spojená aj nemalá dávka byrokracie. Spoločnosti, ktoré získavajú alebo spracúvajú osobné údaje fyzických osôb (napr. zamestnancov či klientov), musia vedieť dokázať, že ich konanie je v súlade s GDPR a že majú splnené všetky povinnosti. Dokumentácia slúži na dokazovanie súladu konania s legislatívou GDPR.
GDPR vyžaduje dokumenty ako napríklad záznamy o spracovateľských činnostiach, bezpečnostné smernice či informačné povinnosti. Niektorú dokumentáciu je možné vyvodiť len zo znenia GDPR ako napríklad preukázanie splnenia informačnej povinnosti voči dotknutým osobám, je možné vyhotoviť dokument pravidlá ochrany osobných údajov, súhlas možno preukázať podpísaným dokumentom súhlas so spracúvaním osobných údajov. Každá firma či organizácia má individuálne potreby a preto je vhodnejšie si v istých prípadoch dať vyhotoviť dokumenty odbornej firme zameranej na problematiku GDPR.
Prevádzkovateľ by mal prehodnotiť, či má dostatočné vedomosti na to, aby vedel vypracovať rozsiahli dokument, ktorým preukáže zhodu s GDPR. Vypracovanie však bohužiaľ nestačí a prevádzkovateľ, prípadne ním poverená osoba mi mala vedieť, ako implementovať nariadenia GDPR do procesov firmy či organizácie.
Od veľkosti firmy závisí aj rozsah potrebnej dokumentácie, ktorú treba vypracovať.
Ako si zaobstarať vzorovú dokumentáciu?
K vzorovým dokumentom sa vieme dopátrať jednoducho a to použitím našej obľúbenej platformy Google. Tieto "dokumentácie", resp. väčšinou len časti z dokumentácie obsahujú rôzne súhlasy, vzorové smernice, zmluvy či oprávnenia. Je to ale postačujúce?
Z praxe môžeme konštatovať, že vzorová dokumentácia GDPR jednoznačne nie je dobrým riešením. GDPR je veľmi individuálna a komplexná záležitosť na to, aby sa dala zaškatuľkovať do vzorových dokumentov. Ak by to bolo také jednoduché, neexistovalo by množstvo firiem, ktoré takéto vypracovanie dokumentácie vypracovávajú. V prípade, že spoločnosť nemá odborných ľudí, ktorí sa orientujú v problematike, nebude schopná tieto vzory dostatočne prispôsobiť konkrétnym potrebám. Netreba zabúdať aj na rozsah vzorovej dokumentácie, ktorý nemusí byť dostačujúci. V prípade, že spoločnosť nemá znalosti aké dokumenty má vypracovať, nebude vedieť či dané vzory, ktoré si zaobstarala, sú dostatočné a či nechýbajú nejaké potrebné dokumenty, resp. či dané dokumenty nie sú zastaralé skrz časté legislatívne zmeny v zákone o Ochrane osobných údajov.
Vzorová dokumentácia môže byť dobrá len pre osobu, ktorá sa dobre orientuje v problematike ochrany osobných údajov a využije tieto dokumenty ako pomôcku na vytvorenie textov do dokumentov, pričom ich vie prispôsobiť potrebám danej spoločnosti.
Vzorovú dokumentáciu využívajú zvyčajne malé firmy alebo živnostníci. Sú tieto dokumenty dostačujúce ?
Vzorovú dokumentáciu využívajú zvyčajne malé firmy alebo živnostníci a to z dôvodu, že si myslia, že sú až príliš malí podnikatelia na to, aby mali implementované nejaké rozsiahle dokumenty. V tejto veci je ale potrebné pochopiť fakt, že dokumentácia GDPR má bežne už v základnom rozsahu 250 strán a viac. Dať podpísať zamestnancovi súhlas a použiť vzorový text na svoju web stránku naozaj nie je to správne riešenie, ako predchádzať pokutám od Úradu na ochranu osobných údajov.
Pri vypracovávaní dokumentácie GDPR je kľúčová analýza - audit. Na základe tejto analýzy je potrebné exaktne zhodnotiť spracovateľské operácie a definovať, na základe akých právnych základov spracúva organizácia osobné údaje. V prípade nedostatočných odborných a právnych znalostí z okruhu ochrany osobných údajov, neurobí spoločnosť dobre počiatočnú analýzu a následkom toho bude vzorová dokumentácia vypracovaná nesprávne. V prípade určenia nesprávneho právneho základu, ako napríklad súhlas namiesto oprávneného záujmu, pričom text obsiahnutý vo vzorovom súhlase môže byť správny, spracovanie bude nezákonné nakoľko je situované na nesprávnom právnom základe. Spoločnosť si môže neuvedomiť, že pri procesoch spracovania, využíva aj sprostredkovateľov a neuzatvorí s nimi sprostredkovateľské zmluvy.
Výsledok je v tomto prípade taký, že ak sa niekto problematike rozumie, nie je problém, aby si vytvoril dokumentáciu sám. Otázka ale znie, prečo potom potrebuje táto osoba vzorové dokumenty? Nevie si ich predsa vypracovať sama a rovno na mieru pre konkrétnu organizáciu, ktorú ošetruje? Pre tých, ktorí v tomto zákone stále nemajú "jasno", odporúčame využiť službu externých firiem, ktoré Vám vytvoria túto hŕbu papierov už od "pár" stovák eur.