Plán kontrol GDPR pre nasledujúce roky je uvedený na web stránke úradu na ochranu osobných údajov. Kontrolovaný orgán v roku 2019 Ministerstvo zahraničných vecí a európskych záležitostí Slovenskej republiky. Kontrola sa bude týkať národnej časti vízového informačného systému a predmetom kontroly sa stanú spracovateľské činnosti konzulárneho odboru medzinárodnoprávnej, konzulárnej sekcie a krízového manažmentu, ktoré úzko súvisia s vydávaním schengenských víz.

Prevádzkovateľom iných kontrol bude aj Ministerstvo vnútra Slovenskej republiky. To bude skúmať národnú časť Schengenského informačného systému. Okrem toho sa zameria aj na automatizovaný európsky systém identifikácie odtlačkov prstov. Ministerstvo vnútra nevynechá ani styčný úrad SR, čiže Europol.

Finančná správa Slovenskej republiky sa zameria na kontrolu spracovateľských činností Kriminálneho úradu finančnej správy. 

Subjekty, pri ktorých úrad plánuje vykonať kontrolu spracovania osobných údajov so zameraním na spracovateľské činnosti nie je možné zverejniť. Kontroly sa týkajú spracovania osobných údajov prostredníctvom sprostredkovateľa, spracovanie osobných údajov poštovými podnikmi, spracovanie osobných údajov bez potreby identifikácie dotknutých osôb, spracovanie osobných údajov dotknutých osôb subjektami poskytujúcimi služby požičovne, spracovanie biometrických údajov na účely jedinečnej identifikácie dotknutých osôb a spracovanie osobných údajov dotknutých osôb orgánmi štátnej správy.

Koľko stojí zavedenie GDPR?

Zložitá otázka, na ktorú nie je jednoznačná ani jednoduchá a jednoznačná odpoveď. Najnižšia suma sa pohybuje okolo 50€ s DPH. Táto suma platí pri menších spolkoch alebo organizáciach, ktoré nedisponujú kamerovými ani elektronickými systémami. V rámci tejto sumy sa realizovala analýza, boli spracované potrebné dokumenty a všetko potrebné bolo adekvátne vysvetlené.

Najjednoduchšie je vyriešiť GDPR v rámci mikro firmy bez e-shopu, potom pri výrobných firmách. Obchodné firmy už bývajú zložitejšie štruktúry. Tu sa pohybujú náklady do výšky 500€ bez DPH. Najzložitejšou štruktúrou sú však veľké firmy. Do tejto skupiny radíme firmy, prípadne hotelové komplexy, pozostávajúce z mnohých rôznych prevádzok, ktoré sa zamerajú na množstvo iných činností. Pri nich sa náklady šplhajú aj na 2000€ a viac. Táto suma je variabilná.

Suma služieb spojených s GDPR záleží na tom, ako daný subjekt spĺňal staré zákony, v akom stave je firemná dokumentácia alebo nástroje výpočtovej techniky a ich používanie. Nie je preto možné stanoviť fixnú sumu za služby GDPR.

Plán kontrol GDPR a Covid

EDPB zdôrazňuje, že aj v čase vypuknutia pandémie je prevádzkovateľ a sprostredkovateľ povinný zabezpečovať ochranu osobných údajov dotknutých osôb.

bezpecnostny projekt 17
GDPR je právny predpis, ktorý ustanovuje pravidlá týkajúce sa spracúvania osobných údajov v súvislosti s ochorením COVID-19. GDPR povoľuje zložkám verejného zdravotníctva a zamestnávateľom spracovať osobné údaje, ktoré sa týkajú epidémie, a to v symbióze s právnymi vnútroštátnymi predpismi.

Personálne údaje, nevyhnutné na dosahovanie vytýčených cieľov, sa musia spracúvať na konkrétne účely. Osoby, ktorých sa to týka, by mali dostať informácie, ktoré sú transparentné a týkajú sa vykonaných spracovateľských aktivít. Informácie by sa mali týkať hlavných čŕt vykonávaných aktivít, vrátane časového rozhrania, kedy boli dáta uchovávané a zozbierané a nemenej dôležitým prvkom je účel ich spracovania.

V určitých členských štátoch je predpokladané využitie lokalizačných údajov z mobilných zariadení. Tie majú slúžiť ako prvok na metódu monitoringu, redukcie a zmiernenia šírenia ochorenia. Ide o možnosť geografickej lokalizácie človeka, prípadne zasielanie správ o verejnom zdraví v danej lokalite, a to textovou správou alebo telefonicky.

Plán kontrol GDPR ako prevencia

V prípade zavedenia opatrení, ktoré umožnia spracovanie neanonymizovaných lokalizačných dát, členský štát má povinnosť zavedenia adekvátnych záruk – poskytovanie práva na opravný prostriedok na súde v sekcii komunikačných a elektronických služieb, a to konkrétnym jednotlivcom. Lepšie je mať po ruke plán kontrol GDPR z úradu.

Uvádza sa aj zásada primeranosti. V prípade aplikácie invazívnych riešení – sledovanie konkrétnych osôb – by sa za veľmi výnimočnej situácie a v závislosti od daných metód spracúvania mohli tieto riešenia považovať za primerané.

Zamestnávateľ by od svojho zamestnanca a návštevníkov mohol požadovať informáciu o zdravotnom stave, a to iba v takej miere, v akej to dovoľujú vnútroštátne právne predpisy. Vykonávanie lekárskych prehliadok zamestnávateľom je závislá na vnútroštátnych právnych predpisoch. Tie sa týkajú konkrétneho zamestnania a s tým súvisiacim zdravím a bezpečnosťou. Každý zamestnávateľ by mal mať údaje o zdraví a spracovať ich vtedy, ak to dovoľuje povaha vlastných právnych povinností.

Zamestnávateľ by mal podať informáciu svojim zamestnancom o prípadoch COVID-19 a následne prijímať ochranné opatrenia. Nemal by však sprostredkovať externým stranám viac informácií než je nutné. Zamestnávatelia tatiež získavajú informácie týkajúce sa plnenia povinností a na organizáciu pracovných aktivít, ktoré sú priamo úmerné vnútroštátnym právnym predpisom.