Záznam o spracovateľských činnostiach podľa Všeobecného nariadenia

Záznam o spracovateľských činnostiach podľa Všeobecného nariadenia

Realizácia princípu zodpovednosti v praxi

Právna úprava a terminológia

Podľa článku 30 Všeobecného nariadenia o ochrane osobných údajov 2016/679 (Všeobecné nariadenie) a §37 Zákona o ochrane osobných údajov 18/2018 Z. z. (Zákon) je každý prevádzkovateľ (data controller) a každý sprostredkovateľ (data processor) povinný viesť záznamy o tých spracovateľských činnostiach (records on processing activities), za ktoré je zodpovedný. Výnimky z tejto povinnosti závisia od počtu zamestnancov, pravdepodobnosti rizika porušenia práv dotknutých osôb (data subjects), intenzity spracúvania a druhu kategórií osobných údajov. Chcem sa však venovať otázke, konkrétne ktoré spracovateľské činnosti sú prevádzkovatelia, ktorí nespĺňajú kritériá žiadnej výnimky povinní v zázname zdokumentovať.

 

Spracovateľské činnosti (processing activities) nie sú Všeobecným nariadením ani Zákonom definované. Pri určení významu môžeme vychádzať zo zákonom definovaného termínu „spracúvanie“, ktorým je akékoľvek nakladanie s osobnými údajmi. Napríklad ich získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie, kombinovanie, obmedzenie alebo vymazanie.

 

Okrem termínu „spracovateľské činnosti“ sa vo Všeobecnom nariadení a zákone používa aj termín „spracovateľské operácie“ (processing operations). Nie je zrejmé, či tieto termíny predstavujú synonymá, alebo jeden z nich označuje všeobecnejšiu aktivitu a druhý konkrétnejšiu. Termín spracovateľské operácie je uvedený najmä v ustanovení článku 35 Všeobecného nariadenia a §42 Zákona v súvislosti s povinnosťou posúdenia vplyvov. Podľa usmernenia č. 248 pracovnej skupiny zriadenej podľa článku 29 smernice 95/46/ES (WP 29) sa za spracovateľské operácie pokladajú, napríklad posúdenie dôveryhodnosti, posúdenie platobnej schopnosti, profilovanie alebo sledovanie osôb súkromnými detektívnymi službami. Myslím si, že takto vymedzené aktivity by sa dali bez problémov označiť aj za činnosti a prikláňam sa skôr k záveru, že spracovateľské činnosti a spracovateľské operácie sú v aktuálnej právnej úprave použité ako synonymá (hoci vo všeobecnom význame slov vyjadruje „operácia“ komplexnejší jav ako „činnosť“).

 

Zostáva nám možnosť určiť význam termínu spracovateľská činnosť v konkrétnom kontexte normatívneho textu, v akom je použitý. V prípade použitia termínu spracovateľská činnosť v kontexte záznamu o spracovateľských činnostiach, vnímame význam termínu najmä v súvislosti s dôvodmi zavedenia povinnosti viesť záznam o spracovateľských činnostiach.

 

Čo je zmyslom záznamu o spracovateľských činnostiach

 

Na otázku konkrétne ktoré spracovateľské činnosti je potrebné zdokumentovať v zázname o spracovateľských činnostiach, môžeme lepšie odpovedať, keď rozoberieme zmysel tohto záznamu.

 

Povinnosťou viesť záznamy o spracovateľských činnostiach bola nahradená povinnosť ohlasovať informačné systémy regulátorovi alebo ich registrovať, prípadne povinnosť viesť evidenčné listy informačných systémov. V usmernení ako vypĺňať záznam o spracovateľských činnostiach, Úrad na ochranu osobných údajov SR (Úrad) uvádza, že na rozdiel od predchádzajúcej požiadavky notifikácie, registrácie alebo evidencie informačných systémov, nie je súčasná povinnosť viazaná na informačný systém, ale na účel spracúvania.

 

Za predchádzajúcej právnej úpravy (zákon 122/2013 Z. z.) bol hlavným definičným znakom informačného systému práve účel, na ktorý sa určitý usporiadaný súbor osobných údajov mal v informačnom systéme spracúvať. Domnievam sa preto, že pri rozhodovaní o tom, akú spracovateľskú činnosť zdokumentovať v zázname, je za súčasnej právnej úpravy vhodné postupovať podľa podobných kritérií, podľa akých sme za predchádzajúcej právnej úpravy postupovali pri rozhodovaní o tom, aký informačný systém evidovať.

 

Podobne ako to bolo pri evidencii informačných systémov, bude aj aktuálne zmyslom záznamu o spracovateľských činnostiach najmä vymedzenie účelu spracovania, právneho základu spracovania, dotknutých osôb, spracúvaných osobných údajov, príjemcov osobných údajov a zistenie ďalších informácií o spracúvaní. Inými slovami, vypracovanie záznamu o spracovateľských činnostiach má prevádzkovateľa viesť k tomu, aby správne identifikoval spracúvané osobné údaje a vyvodil z toho svoje ďalšie povinnosti.

 

Otázku, ktoré spracovateľské činnosti je prevádzkovateľ povinný zdokumentovať, môžeme vnímať tiež v súvislosti s nevyhnutnosťou preukázania splnenia povinností prevádzkovateľa vyplývajúcich z aktuálnej právnej úpravy ochrany osobných údajov. Vedenie záznamu o spracovateľských činnostiach je dôležitou súčasťou zásady zodpovednosti ustanovenej v článku 5 Všeobecného nariadenia a §12 zákona. Možno konštatovať, že záznam by mal výrazne napomôcť prevádzkovateľovi preukázať dodržanie hlavných zásad spracúvania osobných údajov. Inými slovami, záznam by mal potvrdzovať (alebo minimálne predznačovať), že prevádzkovateľ dodržal zásadu zákonnosti, zásadu obmedzenia účelu, zásadu minimalizácie spracúvania, zásadu správnosti, zásadu minimalizácie uchovávania a zásadu integrity a dôvernosti.

 

Záznam o spracovateľských činnostiach môže slúžiť aj na ďalšie účely, napríklad na zmapovanie toku osobných údajov u prevádzkovateľa. Jeho primárna úloha je však zdokumentovanie splnenia povinností vyplývajúcich zo Všeobecného nariadenia a Zákona.

 

Obsah záznamu

 

Z článku 30 Všeobecného nariadenia a §37 Zákona jasne vyplýva, čo sú povinné obsahové náležitosti záznamu o spracovateľských činnostiach prevádzkovateľa. V prvom rade je to identifikácia prevádzkovateľa, potom uvedenie účelu spracovania osobných údajov, opis kategórií dotknutých osôb a kategórií osobných údajov, kategórie príjemcov, vrátane príjemcov v tretích krajinách a medzinárodných organizácií a ich označenia, ako aj informácia o dokumentácii poskytujúcej primerané záruky, ďalej uvedenie lehôt na výmaz údajov a nakoniec všeobecný opis technických a organizačných bezpečnostných opatrení.

 

V súlade s §37 ods. 6 Zákona uverejnil Úrad vzor záznamu o spracovateľských činnostiach prevádzkovateľa na svojom webovom sídle. Vo vzore záznamu prevádzkovateľa uviedol Úrad ako ďalšiu obsahovú náležitosť právny základ spracovateľskej činnosti. Nejde o obligatórnu náležitosť záznamu. Úrad v tejto súvislosti uvádza, že je to opodstatnená náležitosť, pretože na právny základ spracúvania sa viaže účel spracúvania osobných údajov. V prípade kontroly je prevádzkovateľ povinný Úrad o právnom základe spracúvania osobných údajov informovať. Prevádzkovateľ teda musí vedieť, či spracúva osobné údaje na základe oprávnenia alebo povinnosti vyplývajúcej zo zákona, alebo je spracúvanie osobných údajov nevyhnutné na plnenie zmluvy, prípadne či vyplýva z oprávneného záujmu prevádzkovateľa alebo či prevádzkovateľ spracúva osobné údaje na základe súhlasu alebo iného právneho základu.

 

Okrem povinných a odporúčaných náležitostí záznamu o spracovateľských činnostiach si prevádzkovateľ môže do záznamu začleniť akékoľvek ďalšie informácie, ktoré uzná za vhodné. Pochopiteľne, malo by ísť o informácie súvisiace so spracúvaním osobných údajov prevádzkovateľa. Môže ísť napríklad o informácie, ktoré prevádzkovateľovi pomôžu identifikovať zamestnancov, ktorí prichádzajú do kontaktu s osobnými údajmi, alebo informácie o tom, v akej databáze sa údaje spracúvajú, prípadne pomocou akého softvérového riešenia. Záznam o spracovateľských činnostiach môže (ale nemusí) byť vhodným nástrojom na zmapovanie toku dát v organizácii prevádzkovateľa.

 

Chcem sa však sústrediť na to, čo by malo byť v zázname zdokumentované povinne, teda tak, aby bol dodržaný princíp zodpovednosti prevádzkovateľa.

 

Vzor záznamu zverejnený Úradom a účel spracúvania

 

V inštrukciách k vypĺňaniu záznamu o spracovateľských činnostiach uverejnenom na webovom sídle Úradu sa uvádza, že účelom spracúvania osobných údajov je „konkrétne vymedzený alebo ustanovený zámer, na základe ktorého bude prevádzkovateľ spracúvať osobné údaje viažuce sa na jeho činnosť… napr. spracúvanie osobných údajov zamestnanca na účel plnenia povinností zamestnávateľa súvisiacich s pracovným pomerom.“ S definíciou i s príkladom Úradu úplne súhlasím. Definícia vychádza zo znenia predchádzajúceho zákona (§4 ods. 3 písm. c) zákona 122/2013) a je v súlade s ustanovením §7 Zákona a článku 5 Všeobecného nariadenia. Tieto ustanovenia legálnu definíciu účelu spracúvania neobsahujú, ich obsah však plne korešponduje s uvedeným vymedzením Úradu.

 

Pokiaľ ide o príklad vymedzenia účelu, ktorý uviedol v inštrukciách Úrad, tiež sa s ním plne stotožňujem. Považujem ho za plne súladný s tradičným vnímaním identifikácie jednotlivých informačných systémov, ako vyplývalo z predchádzajúcej právnej úpravy. Organizácia zamestnávajúca zamestnancov bola prevádzkovateľom minimálne jedného informačného systému určeného účelom plnenia povinností zamestnávateľa voči zamestnancom. Takéto informačné systémy sa v evidenčných listoch informačných systémov označovali často ako IS – ZAMESTNANCI. Úrad to takto akceptoval i odporúčal.

 

V inštrukciách k vzoru záznamu o spracovateľských činnostiach uverejnených Úradom sa v závere časti venovanej účelu spracúvania uvádza: „Každý účel spracúvania musí byť v zázname vymedzený samostatne a ku každému musia byť vyplnené všetky povinné náležitosti. Koľko účelov má prevádzkovateľ, toľko „riadkov“ musí záznam obsahovať.

 

Jeden účel – jeden riadok

 

Úvod otváram otázkou Ktoré spracovateľské činnosti má prevádzkovateľ v zázname zdokumentovať? Táto otázka je relevantná, pretože vzor záznamu o spracovateľských činnostiach uverejnený Úradom na ňu nedáva jednoznačnú odpoveď.

 

V inštrukciách k vyplneniu záznamu Úrad neuvádza príklady spracovateľských činností. Ani vzorový záznam neobsahuje stĺpec „spracovateľská činnosť“. V inštrukciách sa uvádza len „koľko účelov má prevádzkovateľ, toľko riadkov musí záznam obsahovať“. Z toho sa dá usúdiť, že spracovateľská činnosť je vymedzená účelom. Teda jeden účel rovná sa jedna spracovateľská činnosť. Takýto prístup by sa zhodoval aj s predchádzajúcou evidenciou informačných systémov, kedy sa jeden účel rovnal jednému informačnému systému a jednému evidenčnému listu.

 

Vo vzore záznamu o spracovateľských činnostiach prevádzkovateľa vyplnil Úrad ako príklad dva riadky. Pri prvom riadku sa ako účel spracúvania uvádza „odvody do sociálnej poisťovne“ a pri druhom riadku sa ako účel spracúvania uvádza „odvody do zdravotnej poisťovne“. Z tohto prístupu možno vyvodiť záver, že hoci v inštrukciách k vyplneniu záznamu o spracovateľských činnostiach Úrad uvádza ako príklad účelu „plnenie povinností zamestnávateľa súvisiacich s pracovným pomerom“, vo vzore záznamu ide ďalej a takto vymedzený účel člení podrobnejšie, na konkrétne „čiastkové účely“.

 

Takýmto spôsobom Úrad postupuje aj v ďalšom vzore uverejnenom na svojom webovom sídle. V excelovskom súbore s názvom „vzor_pam_-_zaznam_o_spracovatelskych_cinnostiach_uoou_ jednoduchsia_verzia“ vyplnil Úrad riadkov deväť, pričom všetkých deväť účelov, ktoré Úrad uviedol, priamo súvisí s plnením povinností zamestnávateľa vyplývajúcich z pracovného pomeru. Ako samostatné účely sú v tomto vzore uvedené napríklad „kolektívne pracovnoprávne vzťahy“, „mzdová politika zamestnávateľa“ alebo „plnenie daňových povinností úradu“.

 

Dva riadky alebo dvadsať riadkov?

 

Nie je jasné, čo týmto príkladom Úrad sledoval. Rozhodol sa Úrad rozčleniť jeden hlavný účel spracovania na viaceré čiastkové účely z dôvodu sledovania toku dát na Úrade? Alebo Úrad naozaj odporúča, aby účely spracovania prevádzkovatelia identifikovali takýmto podrobným spôsobom? Ak áno, týkajú sa takto podrobne určené účely spracovania len záznamu o spracovateľských činnostiach? Alebo o nich má týmto spôsobom prevádzkovateľ informovať aj dotknuté osoby v rámci plnenia informačných povinností? Naozaj je potrebné informovať zamestnancov o deviatich alebo viacerých čiastkových účeloch spracovania, pričom v konečnom dôsledku je to len jeden hlavný účel?

 

Bude zaujímavé sledovať výsledky kontrol Úradu a postoj Úradu k takým záznamom o spracovateľských činnostiach, v ktorých budú vyplnené riadky len dva. Jeden riadok bude zodpovedať účelu spracovania súvisiaceho s plnením povinností a výkonom práv prevádzkovateľa ako zamestnávateľa z pracovnoprávnych vzťahov a druhý riadok bude súvisieť s účelom poskytovania služieb prevádzkovateľa svojim klientom – fyzickým osobám. Takéto dva účely spracovania sú u bežných prevádzkovateľov najfrekventovanejšie.

 

Podľa môjho názoru budú záznamy o spracovateľských činnostiach obsahujúce len vyššie spomenuté dva riadky zodpovedajúce dvom základným účelom spracovania vyplnené správne. Pochopiteľne, za predpokladu, že prevádzkovateľ nebude spracúvať osobné údaje aj na ďalšie účely. Na také ďalšie účely, ktoré sú samostatné a ktorých určujúce kritériá sa neprekrývajú s už vymedzenými účelmi.

 

Pravdepodobne budú vyplnené správne aj záznamy o spracovateľských činnostiach obsahujúce dvadsať riadkov a sledujúce príklad Úradu uvedený vo vzore záznamu vypracovanom pre účely Úradu. Ich správnosť však bude vychádzať skôr z toho, že prevádzkovateľ môže využiť záznam o spracovateľských činnostiach aj na ďalšie účely, napr. na už spomínané zdokumentovanie toku dát.

 

Stretla som sa aj s veľmi podrobne vypracovanými záznamami o spracovateľských činnostiach, v ktorých boli ako samostatné účely (riadky) uvedené napríklad „stravné lístky“ alebo „pracovné úrazy“, prípadne „rezervácie služobných ciest“. Myslím si, že takýto prístup je zbytočne podrobný a otvára ďalšie otázky. Ak napríklad vymedzíme ako samostatný účel „stravné lístky“, prečo potom nevymedziť ako samostatný účel aj „rekreačné poukazy“ alebo „dovolenkové lístky“, prípadne „jazykové kurzy“? Zdá sa mi, že takto by sa dalo ísť ad absurdum. Pridanú hodnotu takéhoto prístupu z hľadiska dodržania princípu zodpovednosti pritom nevidím.

 

Čo je teda dôležité?

 

Som presvedčená, že hlavná zmena, ktorú nová úprava ochrany osobných údajov priniesla, je realizácia princípu zodpovednosti v praxi. Inými slovami, nestačí mechanické vyplnenie formulára podľa určitého návodu. Je nevyhnutné, aby každý prevádzkovateľ posúdil konkrétne okolnosti, za ktorých spracúva osobné údaje a zvážil, akým spôsobom svoje povinnosti splní najlepšie. Verím, že Úrad bude pri kontrolách prihliadať práve na to, či prevádzkovateľ skutočne pochopil podstatu novej právnej úpravy, vykonal internú analýzu a zvážil konkrétne špecifiká prostredia, v ktorom podniká alebo vykonáva svoju činnosť. Verím tiež, že záznam o spracovateľských činnostiach bude vypracovaný správne, ak bude potvrdzovať dodržanie zásady zákonnosti spracúvania, zásady obmedzenia účelu spracúvania, zásady minimalizácie spracúvania a uchovávania osobných údajov, ako aj zásadu správnosti, integrity a dôvernosti osobných údajov.

 


 

Zdieľajte!

0

You May Also Like