- Podnikam.sk
- Články
- GDPR - ochrana osobných údajov v rôznych oblastiach podnikania
- Manažment
- Bezpečnostný manažment
- GDPR: Ochrana osobných údajov pre účtovníkov a daňových poradcov
GDPR: Ochrana osobných údajov pre účtovníkov a daňových poradcov
Skratka GDPR sú štyri písmená, ktoré sa na nás v poslednom dobe valia z každého rohu. Po touto skratkou sa ukrýva Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov (General Data Protection Regulation), ktorého ustanovenia vstúpili do účinnosti 25. mája 2018. Keďže sa jedná o nariadenie Európskeho parlamentu a Rady EÚ, nie je už potrebné prijímať právnu úpravu v jednotlivých členských štátoch. Slovenská republika však schválila nový zákon č. 18/2018 o ochrane osobných údajov (ďalej aj ako „zákon“), ktorým detailnejšie upravila niektoré oblasti ochrany osobných údajov tak, aby čo najviac zodpovedali slovenským pomerom a podmienkam. Tento zákon vstúpil do účinnosti k rovnakému dňu ako spomínané nariadenie. Ako sa týka ochrana osobných údajov a nariadenie GDPR v praxi účtovníkov a daňových poradcov sa dočítate v článku.
Na koho sa GDPR vzťahuje?
Nové pravidlá pre ochranu osobných údajov sa týkajú každého podnikateľa, ktorý pracuje s osobnými údajmi a to bez ohľadu na ich objem. Platná a účinná legislatíva sa vzťahuje na všetkých podnikateľov, ktorý spracovávajú údaje čo i len jedného zákazníka alebo zamestnávajú jediného zamestnanca. Zo zákona sú tieto subjekty povinné chrániť osobné údaje tzv. dotknutých osôb. Zákon ustanovuje, že sú to osoby, ktorých osobné údaje sú spracovávané. Ak podnikateľ alebo zamestnávateľ spracováva osobné údaje, v takýchto prípadoch vystupuje v pozícii prevádzkovateľa. V prípade, že osobné údaje spracováva v mene prevádzkovateľa, stáva sa v zmysle účinnej legislatívy sprostredkovateľom. Typickým spolupracujú s podnikateľmi na externej báze.
V prémiovej časti obsahu nájdete:
- Čo je osobný údaj?
- Spracovávanie osobných údajov
- Základné povinnosti sprostredkovateľov
- Bezpečnostný projekt
- Pozor na ďalšie povinnosti
Čo je osobný údaj?
Osobný údaj tvorí informácia, pomocou ktorej možno priamo či nepriamo identifikovať konkrétnu fyzickú osobu. Osobnými údajmi sú napríklad:
- meno a priezvisko,
- rodné číslo,
- číslo občianskeho preukazu alebo pasu,
- fotografia,
- odtlačky prstov,
- číslo bankového účtu a iné.
Spracovávanie osobných údajov
Zákon ustanovuje, že osobné údaje možno spracovávať len za určitým účelom, o ktorom je vždy potrebné dotknuté osoby informovať. Ak sa pominie tento účel, je okamžite potrebné zabezpečiť likvidáciu spracovávaných osobných údajov. V prípade, že osobitný zákon ustanovuje presnú lehotu, počas ktorej však neumožňuje osobné údaje zničiť, stávajú sa tieto informácie predmetom uchovávania a archivácie. Každý prevádzkovateľ je v týchto situáciách povinný postupovať v zmysle zákona 395/2002 Z. z. o archívoch a registratúrach. Pri personálnej, mzdovej a účtovnej agende sa po skončení účelu spracovania osobných údajov stávajú tieto osobné údaje nezničiteľné. Z tohto dôvodu je potrebné uchovávať ich počas doby stanovenej v registratúrnom pláne a postupovať v zmysle registratúrneho poriadku.
Osobné údaje môžu spracovávať len prevádzkovateľ a sprostredkovateľ. Zákon ustanovuje nasledovné základné povinnosti týchto osôb:
- pred začatím spracovania osobných údajov sú povinní vymedziť presný účel spracúvania osobných údajov,
- obaja sú povinní určiť prostriedky a spôsob spracúvania osobných údajov. Takúto povinnosť nemá prevádzkovateľ len v prípade, keď odlišné podmienky spracúvania ustanovuje iný všeobecne záväzný právny predpis. V praxi tak platí, že ak prevádzkovateľ spracúva napríklad iba personálnu a mzdovú agendu svojich zamestnancov, takúto povinnosť nemá,
- sú povinné získavať osobné údaje len na vymedzený alebo ustanovený účel,
- zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
- nesmú získavať osobné údaje na rozdielne účely a nesmú ani zhromažďovať osobné údaje, ktoré boli získané na za iným účelom,
- spracúvať môžu len správne, úplné a aktualizované osobné údaje, a to len vo vzťahu k ustanovenému účelu spracúvania,
- sú povinní zabezpečiť, aby boli zhromaždené osobné údaje spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb ustanovenej lehoty,
- sú povinní zlikvidovať také osobné údaje, ktorých účel spracúvania sa skončil,
- sú zároveň povinní spracovávať osobné údaje v súlade s dobrými mravmi a všetkými všeobecne záväznými predpismi.
Upozornenie:
Každý zamestnávateľ je prevádzkovateľom, pretože spracováva osobné údaje svojich zamestnancov na základe osobitných právnych predpisov. Účtovná firma vedúca účtovníctvo a spracúvajúca personálnu a mzdovú agendu je v pozícii sprostredkovateľa.
Základné povinnosti sprostredkovateľov
Účtovníci alebo daňoví poradcovia, iné konzultačné a poradenské organizácie, ktoré spracúvajú osobné údaje v pozícii sprostredkovateľov, sú povinné vypracovať nové a prepracovať pôvodné zmluvy tak, aby v nich pokryli nasledovné body:
- sú povinné uviesť v nich informáciu o vykonanej implementácii primeraných bezpečnostných opatrení na ochranu osobných údajov a táto ochrana je riadne zabezpečená,
- v prípade subdodávateľov sú povinné doplniť informáciu o tom, že sprostredkovateľ je aj naďalej zodpovedný za ochranu spracovávaných osobných údajov,
- sú povinné doplniť ustanovenie o záväzku vrátiť všetky osobné údaje ukončení spolupráce,
- sú povinné doplniť ustanovenie o záväzku poskytnúť prevádzkovateľovi všetky informácie o plnení povinností pri ochrane osobných údajov a možnosť vykonať audit.
Prevádzkovatelia a sprostredkovatelia sú povinní prijať opatrenia na primeranú ochranu osobných údajov, viesť a aktualizovať záznamy o spracovateľských činnostiach. Ďalej sú povinní vypracovať dokumentáciu k posúdeniu vplyvu na ochranu osobných údajov a podľa potreby vymenovať zodpovednú osobu. Zákon tiež ustanovuje prípady, kedy je tento krok povinný a v akých prípadoch je naopak dobrovoľný. V niektorých situáciách sú prevádzkovateľ a sprostredkovateľ povinní požiadať o konzultáciu Úrad na ochranu osobných údajov. Pri komunikácii je vhodné nasadiť šifrovanie, antivírusovú ochranu alebo používať inak zabezpečenú komunikáciu.
Prevádzkovateľ a sprostredkovateľ majú zároveň povinnosť mlčanlivosti o spracovávaných osobných údajoch, a to aj po ukončení práce s nimi. Táto povinnosť sa vzťahuje aj na všetky osoby, ktoré prichádzajú do styku s osobnými údajmi, v praxi sa neaplikuje len vo vzťahu k Úradu na ochranu osobných údajov.
Bezpečnostný projekt
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ. Osobné údaje chráni pred náhodným a nezákonným poškodením, zničením, stratou, zmenou, nepovoleným prístupom, ako aj pred akýmkoľvek iným neprípustným spracovaním. Za účelom dodržania bezpečnosti sú povinní vypracovať bezpečnostný projekt. Zákon ustanovuje, že bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti a funkčnosti. Bezpečnostný projekt by mal obsahovať najmä nasledovné informácie:
- bezpečnostný zámer, ktorý ustanovuje základné bezpečnostné ciele potrebné na ochranu informačného systému pred ohrozením jeho bezpečnosti,
- analýzu bezpečnosti informačného systému alebo podrobný rozbor aktuálneho stavu bezpečnosti používaného informačného systému,
- bezpečnostné smernice sú základné dokumenty, ktoré upresňujú a aplikujú závery z realizovaného bezpečnostného projektu na konkrétne podmienky prevádzkovaného bezpečnostného systému. Obsahujú súhrn základných pravidiel, ktoré je nevyhnutné dodržiavať pre zachovanie bezpečného chodu informačného systému v praxi.
Ak sú v informačnom systéme spracúvané aj osobitné kategórie osobných údajov a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť, vzniká prevádzkovateľovi povinnosť vypracovania bezpečnostného projektu. Bezpečnostný projekt musí byť vypracovaný v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, inými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
Zákon ďalej ukladá prevádzkovateľom povinnosť registrácie informačného systému alebo evidencie informačného systému, a to ešte pred začatím spracovania. Na registráciu je ustanovený formulár Úradu na ochranu osobných údajov SR. Súčasťou registrácie je aj pridelenie registračného čísla informačnému systému a vydanie potvrdenia o jeho registrácii. Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania okrem systémov, ktorú sú uvedené v zákone:
- podliehajú osobitnej registrácii podľa 27 ods. 2 zákona,
- podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ a ktorá vykonáva dohľad nad ochranou osobných údajov,
- obsahuje osobné údaje fyzických osôb spracúvané na účely plnenia predzmluvných vzťahov alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z existujúceho alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého pomeru alebo členského pomeru s týmito fyzickými osobami vrátane osobných údajov ich blízkych osôb,
- obsahuje osobné údaje o členstve osôb v odborovej organizácii, ktoré sú jej členmi a ak tieto osobné údaje spracúva odborová organizácia a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahuje osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu,
- obsahuje osobné údaje potrebné na uplatňovanie práv alebo plnenie povinností vyplývajúcich z osobitného zákona alebo sú spracúvané na základe osobitného zákona.
O informačných systémoch, ktoré nepodliehajú registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania osobných údajov v informačnom systéme.
Pozor na ďalšie povinnosti
Prísnejšie povinnosti priniesol zákon aj v súvislosti s udeľovaním súhlasu so spracovaním osobných údajov. Súhlas musí byť poskytnutý jasným prejavom vôle, ako aj s jednoznačným vyjadrením súhlasu dotknutej osoby so spracovaním osobných údajov. Takto daný súhlas je však vždy potrebné vedieť preukázať. Ak o to fyzická osoba požiada, má ďalej právo na výmaz svojich osobných údajov a iné práva v zmysle ustanovení nového zákona. Prevádzkovatelia sú tiež povinní rešpektovať ochranu súkromia ako bežný štandard. Pri každom projekte tak musia ustanoviť primerané technické a organizačnú opatrenia, pomocou ktorých budú efektívne zabezpečovať spracovávané osobné údaje.