Prečo by mala organizácia spolu so zodpovednou osobou zabezpečiť výkon auditu GDPR?

Ďalší článok

Všeobecné nariadenie o ochrane údajov (GDPR) je v platnosti už od 25. mája 2018. S témou súladu organizácií s týmto nariadením úzko súvisia aj povinnosti smerujúce k auditu. Ak sa chcete dozvedieť, kde v GDPR sú tieto povinnosti uvedené  a prečo a ako ich splniť, čítajte ďalej.

Medzi povinnosti zodpovednej osoby patrí povinnosť monitorovať dodržiavanie všeobecného nariadeniao ochrane údajov a pomáhať prevádzkovateľovialebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia. Výkon monitorovania v praxi znamená vykonávanie kontroly alebo auditu aktuálneho stavu voči požiadavkám nariadenia alebo voči vnútorným požiadavkám na dodržiavanie nariadenia.


Pre doplnenie uvádzame príslušné citácie nariadenia GDPR. To v článku 39 ods. 1 písm. b) zveruje zodpovedným osobám, popri iných úlohách, úlohu monitorovať súlad s nariadením:

Článok 39 Úlohy zodpovednej osoby

1.   Zodpovedná osoba má aspoň tieto úlohy:

b) monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;

V GDPR, recitál 97, sa ďalej požaduje, že zodpovedná osoba „by mala pomáhať prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia“:

Ak spracúvanie vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo ak v súkromnom sektore vykonáva spracúvanie prevádzkovateľ, ktorého hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavnými činnosťami prevádzkovateľa alebo spracovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu a údajov týkajúcich sa uznania viny za trestné činy a priestupky, mala by prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany údajov.


Ako prakticky preukázať, že spracúvanie osobných údajov sa vykonáva v súlade s nariadením GDPR?

Prevádzkovateľ môže preukázať súlad napríklad tak, že má prijatézdokumentované bezpečnostné opatrenia, že uskutočnil poučenie zamestnancov, ako majú osobné údaje spracúvať a čo s nimi majú robiť. Ďalšou z foriem preukázania súladu sú záznamy o spracovateľských činnostiach a deklarácia na základe akých analýz rizík boli prijaté bezpečnostné opatrenia a predloženie týchto analýz. Taktiež v prípade, ak sa u prevádzkovateľa alebo sprostredkovateľa stane bezpečnostný incident – porušenie ochrany osobných údajov, preukázať zdokumentovanie a prijaté opatrenia, aby sa incident neopakoval.

Formou preukázania súladu v praxi môže byť napríklad plnenie si informačnej povinnosti, alebo dôkazy o poskytnutých súhlasoch od dotknutých osôb a ich žiadosti a prevádzkovateľove odpovede týmto dotknutým osobám.


Je možné monitorovanie súladu s nariadením zabezpečiť formou auditu, ktorý je vykonaný nezávislým konzultantom?  

Prevádzkovateľ je zodpovedný za súlad so zásadami spracúvania osobných údajov
a musí vedieť tento súlad preukázať (GDPR článok 5, ods. 2). Výstupná správa z auditu je efektívnym preukázaním súladu.

GDPR neobmedzuje výkon kontroly iba internými pracovníkmi. Kľúčové je, že prevádzkovateľovi alebo sprostredkovateľovi by v procese monitorovania programu ochrany osobných údajov a dodržiavania súladu mala pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany údajov.

Takáto osoba ako externý konzultant môže vďaka znalostiam a skúsenostiam z rôznych prostredí disponovať širším auditným pohľadom ako interný zamestnanec vykonávajúci audit opakovane v tej istej organizácii. Rovnako konzultant z externého prostredia nebude ovplyvnený bežnými postupmi alebo zvyklosťami v organizácii. Organizácia tiež nemusí školiť svojich vlastných zamestnancov pre výkon auditu.

Pre viac informácií o GDPR audite poskytovanom našimi špecialistami na informačnú bezpečnosť navštívte stránkuESET Services alebo kontaktujte ESET Services na services@eset.sk.