6.Zo základných pojmov vymedzených v nariadení a zákone č. 18/2018 Z. z. vypadol pojem oprávnená osoba a v tomto kontexte sa v texte nariadenia a zákona č. 18/2018 Z. z. nenachádza ani tzv. „poučenie oprávnenej osoby“; znamená to, že už prevádzkovateľ a sprostredkovateľ nemá alebo nemôže poúčať svojich zamestnancov alebo osoby, ktoré pre neho spracúvajú osobné údaje?


Je pravdou, že pojem oprávnená osoba a poučenie oprávnenej osoby z textu nariadenia a zákona č. 18/2018 Z. z. takmer vypadli, napriek tomu nariadenie a zákon č. 18/2018 Z. z. aj naďalej ukladajú prevádzkovateľovi a sprostredkovateľovi povinnosť poveriť a dávať pokyny osobám, ktoré pre nich spracúvajú osobné údaje.



Radi by sme dali do pozornosti čl. 32 ods. 4 nariadenia na základe ktorého „Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.“.



Vyššie citované ustanovenie znamená, že prevádzkovateľ/sprostredkovateľ je povinný usmerniť fyzické osoby pre neho osobné údaje spracúvajúce. Domnievame sa, že teraz používané poučenie oprávnenej osoby možno používať aj naďalej, nakoľko jeho základným významom je poskytnúť danej poučenej osobe – napríklad zamestnancovi informácie, ako má s osobnými údajmi pracovať, aké spracovateľské operácie má a môže s osobnými údajmi vykonávať.



Teraz zverejnené a používané poučenie podľa zákona č.122/2013 Z. z. je možné, no nie povinné, používať aj naďalej len je potrebné v texte poučenia vykonať niekoľko málo „kozmetických“ úprav: odstrániť odkaz na zákon č. 122/2013 Z. z. a zamerať poučenie na účel spracúvania osobných údajov a na spracovateľské činnosti, ktoré osoba v kontexte svojej pracovnej náplne s osobnými údajmi vykonáva, teda už poučenie nevzťahovať na stanovovanie oprávnení oprávnenej osoby s ohľadom na informačné systémy osobných údajov, ale na účely a spracovateľské činnosti, ktoré osoba – zamestnanec s osobnými údajmi v prostredí prevádzkovateľa alebo sprostredkovateľa vykonáva. ZDROJ: UOO

nie je potrebné periodické poučovanie, leda ak by sa niečo menilo, opravovalo dopĺňalo - mám na mysli prerobenie dokumentácie, nová montáž kamerového systému..

externa spolicnost by mala dat odkaz na konkretne ustanovenie zakona ci nariadenia o GDPR, kde su nariadene "periodicke skolenia". Tiez kazdy "certifikovany" uspesny absolvent, by ti mal dat odpoved.

podla mna si externa firna zabezpecuje periodicitu trzieb ;)

dopĺňam, že na Slovensku nie je nikto oprávnený certifikovať súlad s GDPR... dokonca ešte ani nie je určené, kto bude udeľovať akreditácie pre certifikátorov a aké budú podmienky

GDPR má takéto požiadavky na osoby, ktoré spracúvajú osobné údaje (po starom "oprávnené osoby") - čl. 32 ods. 4
4.Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.
To je spravidla splnené pracovnou náplňou a oboznámením sa s minimalistickou smernicou.

Druhá vec je, že školenie nemôže zaškodiť, pokiaľ školiteľ vie o problematike niečo viac než školené osoby - ale keď zistia, že nevie, tak je neskoro :)

Len upresňujem. Volá to "certifikát", presný text si nepamätám, ale ide o dokument, ktorý potvrdzuje školenie. Tak je to správne.

Absolútny súhlas. Business is business.