Ochrana osobných údajov, teória a prax

Slides:



Advertisements
Podobné prezentace
Ochrana osobních údajů v České republice
Advertisements

Odborové zväzy Čo je to a na čo to vlastne je (treba to vôbec?)
Elektronické služby národnej evidencie vozidiel Sekcia informatiky, telekomunikácií a bezpečnosti MV SR.
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
Čo je podnik a podnikanie
Problematické aspekty patient summary optikou právníka
Ročné zúčtovanie dane za rok 2017
Lektor: JUDr. Marcela Macová, PhD.
Informácie o výzve na predkladanie žiadostí o poskytnutie dotácie
(elektronické služby) (určené pre potreby účastníkov konzultácií)
Mobilná aplikácia (Predbežná registrácia zamestnancov) júl 2016
Podnikanie a podnikateľský plán
Zák. č. 530/2003 Z.z. o obchodnom registri
Ing. Tatiana Koperová február 2011
Prevzatie a odovzdanie trestnej veci JUDr. Jozef Szabó
Environmentálny audit a audit bezpečnostného systému
Program celoživotného vzdelávania
Živnostenský a obchodný register a Online registrácia CF
Sociálne poistenie študentov
Legislatíva: Podmienky na udelenie povolenia na sprostredkovanie poistenia a sprostredkovanie zaistenia ustanovuje zákon č. 340/2005 Z.z. o sprostredkovaní.
Získavanie a spracovanie informácií
Národný registračný systém zemepisných označení
Záväzkové vzťahy a zabezpečovacie právne inštitúty v Obchodnom práve
Povinné zverejňovanie a ochrana osobných údajov v praxi škôl
Zrážky zo mzdy v zmysle Zákonníka práce Júlia Pšenková
Národná banka Slovenska ... služby pre verejnosť
Možnosti platby za tovar a služby v prostredí internetu
Možnosti platby za tovar a služby v prostredí internetu
Žilinská univerzita v Žiline Doplňujúce pedagogické Štúdium
Charakteristika, základné formy
Plánovanie a príprava hodiny
Čo je informatika? Je všeobecne veda o informáciách.
Pojem “živnosť” a základná kategorizácia živností
Výlety a exkurzie v materskej škole
FINANČNÉ RIADENIE PROJEKTOV SPOLUFINANCOVANÝCH Z ESF
(Digitálny prezentačný materiál)
Súhrnná evidencia o vodách
Novela zákona o poskytovateľoch zdravotnej starostlivosti
Pre koho je služba Kniha jázd určená?
MINISTERSTVO VNÚTRA SLOVENSKEJ REPUBLIKY
Pracovné právo – 2. časť.
Dominika Vidovičová IX.B
Nový spôsob vymáhania pohľadávok od 1. júla 2017
Elektronické bankovníctvo
Ochrana spotrebiteľa a elektronický obchod
Pavol Baxa Štatistický úrad SR
Bezpečnosť na internete
GDPR Všeobecné nariadenie o ochrane osobných údajov.
Hygienický audit systému HACCP zariadení školského stravovania
Elektronická Kancelária
Nový zákon o finančnej kontrole a audite
HMOTNÉ A FINANČNÉ ZABEZPEČENIE ŽIAKA.
Von Neumannova architektúra počítača
Integrácia externých informačných systémov verejnej správy na IS RFO
Žiadosť o finančný príspevok FORMULÁR
Sprostredkovanie v poisťovníctve (Konanie v záujme klienta)
GDPR – nové pravidlá o ochrane osobných údajov
VZDELÁVACIE POUKAZY Ministerstvo školstva Slovenskej republiky
Podnikové hospodárstvo
Legislatívne zmeny pre rok 2015
DPH od a v roku 2011.
Etická komisia a SKP: úlohy a zodpovednosť
Vznik a funkcie peňazí septima.
Platobný styk v SR a v zahraničí
Veronika Andilová & Alexandra Čelovská
SPRÁVA NA ÚSEKU ŽIVNOSTENSKÉHO PODNIKANIA I. A ŽIVNOSTENSKÝ REGISTER
Hromadná korešpondencia
Moderné vzdelávanie pre vedomostnú spoločnosť
Výukový materiál zpracovaný v rámci projektu
Legislativní změny na úseku EO, OP, CD
Transkript prezentace:

Ochrana osobných údajov, teória a prax JUDr. Zuzana Hnátová, LL.M Mgr. Jana Sapáková, LL.M.Eur. Mgr. Silvia Kohútová, LL.M 10.3.2016

Zákon č. 122/2013 Z.z. o ochrane osobných údajov Obsah Zákon č. 122/2013 Z.z. o ochrane osobných údajov predmet úpravy základné pojmy osoby v procese spracúvania osobných údajov právny základ spracúvania osobných údajov bezpečnosť spracúvania osobných údajov oznamovanie, registrácia a evidencia informačných systémov Úrad na ochranu osobných údajov cezhraničný prenos osobných údajov sankcie

Predmet úpravy Zákon o ochrane osobných údajov sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie (§ 2 ods. 1). Zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme (§ 2 ods. 3).

Zákon o ochrane osobných údajov (ZoOÚ) upravuje najmä: Predmet úpravy Zákon o ochrane osobných údajov (ZoOÚ) upravuje najmä: ochranu práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov, práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb, ZoOÚ bola implementovaná smernica EP a Rady 95/46/EHS – plánuje sa úprava nariadením (jar 2016, účinnosť v roku 2018)

Všetko čo umožňuje FO identifikovať (priamo / nepriamo) Základné pojmy Osobný údaj údaj týkajúci sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu (§ 4 ods. 1). Všetko čo umožňuje FO identifikovať (priamo / nepriamo) bežné osobné údaje / osobitná kategória

Osobitná kategória osobných údajov Základné pojmy Osobitná kategória osobných údajov zákaz spracovania údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženskú vieru, svetonázor, zdravie, pohlavný život (pod túto kategóriu spadá aj fotografia a kamerový záznam - súhlas) rodné číslo (všeobecne použiteľný identifikátor) len ak je to nevyhnutné biometrické údaje – nevyhnutnosť, súhlas psychika trestná zodpovednosť

Spracúvanie osobných údajov Základné pojmy Spracúvanie osobných údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie (§ 4 ods. 3 písm. a)).

podmienky spracúvania – prostriedky a spôsob spracúvania Základné pojmy Informačný systém osobných údajov – systém, v ktorom sa na určitý účel spracúva usporiadaný súbor osobných údajov (automatizované alebo iné ako automatizované prostriedky spracúvania) účel spracúvania – vopred jednoznačne vymedzený zámer spracúvania osobných údajov (určuje si ho P.) súhlas – slobodne daný výslovný a zrozumiteľný prejav vôle (zvukový, zvukovo obrazový, písomný) podmienky spracúvania – prostriedky a spôsob spracúvania

Informačné systémy Najčastejšie identifikované informačné systémy osobných údajov IS Personalistika a mzdy (plnenie povinností zamestnávateľa súvisiacich s pracovným pomerom alebo obdobným prac. vzťahom vrátane predzmluvných vzťahov) IS Účtovníctvo (spracovanie účtovných dokladov) IS Registratúra (správa registratúry) IS Návštevy (evidencia návštev) IS Zmluvy (evidencia zmlúv) IS Súdne spory (vybavovanie súdnych sporov) IS Interný časopis /IS Newsletter IS Oznamovanie protispoločenskej činnosti (podľa zákona č. 307/2014) IS Kamerový systém (priestor prístupný verejnosti alebo nie?) ,

Informačné systémy Špecifické informačné systémy osobných údajov, napríklad: IS E-shop (nákup a predaj tovaru cez internet, vrátane jeho doručenia klientovi) IS Realitná činnosť (činnosť realitnej kancelárie - zmluvy a predzmluvné vzťahy) IS Školenia a kurzy (evidencia účastníkov) IS Vernostný program (poskytovanie bonusov a zliav) IS Spotrebiteľská súťaž (evidencia účastníkov súťaže) IS Cestovná kancelária (uzatváranie zmlúv o obstaraní zájazdu) IS Pôžičky (poskytovanie úverov a pôžičiek nebankovým spôsobom z vlastných finančných zdrojov)

Osoby v procese spracúvania dotknutá osoba - každá fyzická osoba, ktorej sa osobné údaje týkajú (nie PO ani FO – podnikateľ). Dotknutou osobou môže byť iba fyzická osoba – jednotlivec. Napr. zamestnanec, zákazník. prevádzkovateľ - kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene. Úrad považuje aj OZ za prevádzkovateľov.

Osoby v procese spracúvania sprostredkovateľ - každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom. Napr. externý spracovateľ miezd, pracovná zdravotná služba, balíčkovanie stravných lístkov. Vyjadrenie úradu - tzv. technickí partneri zabezpečujúci dodávku, údržbu a správu informačných systémov, ktorí nespracúvajú osobné údaje na stanovený účel, ale môžu s nimi prísť náhodne do styku nie sú v pozícií sprostredkovateľov, vzťahuje sa však na nich povinnosť mlčanlivosti.

Osoby v procese spracúvania Zmluva medzi prevádzkovateľom a sprostredkovateľom musí obsahovať a) údaje o zmluvných stranách (ďalej len „identifikačné údaje“) 1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu, 2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu, 3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa, b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa, c) účel spracúvania osobných údajov, d) názov informačného systému, e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4, f) okruh dotknutých osôb, g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi, h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na odbornú, technickú, organizačnú a personálnu spôsobilosť a schopnosť zaručiť bezpečnosť , i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak bude spracúvať OÚ subdodávateľ, j) dobu, na ktorú sa zmluva uzatvára.

Osoby v procese spracúvania oprávnená osoba – každá FO, ktorá prichádza do styku s osobnými údajmi napr. v rámci svojho pracovnoprávneho vzťahu a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21. (sekretárka, ktorá vedie knihu pošty, administratívna pracovníčka, ktorá prijíma a triedi životopisy). Poučenie oprávnenej osoby (§ 21) o právach a povinnostiach pri spracúvaní vymedzenie rozsahu činností a podmienok pred uskutočnením prvej operácie záznam

Osoby v procese spracúvania zodpovedná osoba za výkon dohľadu nad ochranou osobných údajov zodpovedá Prevádzkovateľ možnosť písomne poveriť zodpovednú osobu (P. sa nezbavuje zodpovednosti) FO, spôsobilosť na právne úkony, bezúhonnosť, potvrdenie úradu o absolvovaní skúšky nemusí byť v pracovnom pomere náležitosti poverenia - § 23 ods. 8 zákona oznámenie poverenia úradu ukončenie poverenia

Požiadavky pri spracúvaní osobných údajov Pri spracúvaní osobných údajov je potrebné najmä: určiť kto je prevádzkovateľom, prípadne sprostredkovateľom a vymedziť ich vzájomný vzťah prostredníctvom písomnej zmluvy (§ 8), určiť účel spracúvania osobných údajov, ak sa osobné údaje nespracúvajú na základe osobitného zákona, určiť podmienky (prostriedky a spôsob) spracúvania osobných údajov, vymedziť zoznam osobných údajov, ktoré bude prevádzkovateľ získavať, ak osobné údaje nie sú spracúvané na základe osobitného zákona,

Požiadavky pri spracúvaní osobných údajov získať súhlas dotknutej osoby na spracúvanie jej osobných údajov, pokiaľ zákon o ochrane osobných údajov neustanovuje, že osobné údaje sa spracúvajú bez súhlasu dotknutej osoby (§ 10 a 11), splniť si informačnú povinnosť voči dotknutej osobe pred získaním jej osobných údajov (§ 15 ods. 1 až 3), prijať primerané bezpečnostné opatrenia a bezpečnostnú dokumentáciu (§ 19 a 20), poučiť svoje oprávnené osoby (§ 21), zachovávať mlčanlivosť (§ 22),

Požiadavky pri spracúvaní osobných údajov dodržiavať podmienky a s tým súvisiace povinnosti pre poverenie zodpovednej osoby, pokiaľ sa prevádzkovateľ rozhodne, že výkonom dohľadu nad ochranou osobných údajov poverí zodpovednú osobu (§ 23 až 26), oznámiť informačné systémy, prihlásiť informačné systémy na osobitnú registráciu alebo viesť o nich evidenciu (§ 33 až 44), poskytovať súčinnosť úradu pri plnení jeho úloh podľa zákona o ochrane osobných údajov.

Právny základ spracúvania osobných údajov Osobné údaje možno spracúvať na základe priamo vykonateľného právne záväzného aktu EÚ medz. zmluvy, ktorou je SR viazaná ustanovení zákona so súhlasom dotknutej osoby bez súhlasu dotknutej osoby (§ 10)

Súhlas dotknutej osoby Súhlas dotknutej osoby nie je potrebný ak: spracúvate OÚ na základe osobitného zákona (zákon o bankách, zákon o št. občianstve) – týka sa št. a finančných inštitúcií

Súhlas dotknutej osoby Súhlas dotknutej osoby ďalej nie je potrebný: prípady vymedzené v § 10 zákona umelecká a literárna činnosť, informovanie verejnosti (musí vyplývať z predmetu podnikania) zmluvné a predzmluvné vzťahy ochrana života, zdravia, majetku dotknutej osoby titul, meno, priezvisko, poštová adresa – určené výhradne na poštový styk s dotknutou osobou už zverejnené údaje verejný záujem ochrana práv a právom chránených záujmov prevádzkovateľa alebo tretej strany

Súhlas dotknutej osoby nesmie sa vynucovať, ani podmieňovať hrozbou odmietnutia zmluvného vzťahu nie je povinnosť písomného súhlasu, ale musí byť hodnoverne preukázateľný (napr. zakliknutie na internete pri benefitových kartách) Vyžadovanie súhlasu „pre istotu“ v prípadoch kedy sa súhlas nezískava nie je možné považovať za v súlade so zákonom. Súhlas nemožno získavať na dobu neurčitú.

Súhlas dotknutej osoby Náležitosti súhlasu: kto súhlas poskytuje komu sa súhlas poskytuje na aký účel zoznam alebo rozsah osobných údajov čas platnosti súhlasu (časové ohraničenie) vlastnoručný podpis / zaručený elektronický podpis

Bezpečnosť osobných údajov Bezpečnostné opatrenia za bezpečnosť zodpovedá Prevádzkovateľ chráni pred poškodením, zničením, stratou, zmenou, neoprávneným prístupom bezpečnostné opatrenia = technické, organizačné a personálne opatrenia vyhláška č. 164/2013 Z.z. preukazuje sa na požiadanie

Bezpečnosť osobných údajov Bezpečnostný projekt Bezpečnostné opatrenia prevádzkovateľ zdokumentuje v bezpečnostnom projekte, ak v IS prepojenom s internetom prevádzkovateľ spracúva osobitné kategórie osobných údajov (napr. IS Personalistika a mzdy – každý zamestnávateľ), alebo IS slúži na zabezpečenie verejného záujmu

Bezpečnosť osobných údajov Bezpečnostný projekt obsahuje: a) názov IS, na ktorý sa vzťahuje (resp. spoločný BP pre všetky IS), b) bezpečnostný zámer (základné bezpečnostné ciele), c) analýzu bezpečnosti informačného systému (kvalitatívna analýza rizík), d) závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti (popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach)

Oznamovanie, registrácia a evidencia informačných systémov Oznamovacia povinnosť platí pre: všetky IS, ktoré úplne alebo čiastočne automatizovanými prostriedkami spracúvajú osobné údaje Výnimky: ak IS podlieha osobitnej registrácii ak sú vedené výlučne v listinnej podobe ak P. poveril zodpovednú osobu OS členov pre vnútorné potreby združení (cirkvi, pol. hnutia) OS spracúvané na základe zákona, medz. zmluvy

Oznamovanie, registrácia a evidencia informačných systémov Osobitná registrácia prevádzkovateľ musí o ňu požiadať podlieha poplatku (50 Eur) začatie spracovávania až po vydaní potvrdenia povinnosť oznamovať zmeny do 15 dní

Oznamovanie, registrácia a evidencia informačných systémov Osobitná registrácia sa vzťahuje na IS: OS podľa § 10 ods. 3 písm. g) – kamery a obdobné systémy OS podľa § 13 ods. 5 písm. b., c., d.) – biometrické údaje OS podľa § 13 ods. 1 + predpoklad prenosu do tretej krajiny bez primeranej úrovne ochrany – rasový / etnický pôvod, politické názory, náboženstvo, zdravie (výnimky)

Oznamovanie, registrácia a evidencia informačných systémov Evidencia (§ 43) Informačný systém, ktorý nepodlieha oznamovacej povinnosti ani osobitnej registrácii je prevádzkovateľ povinný evidovať. Evidenčný list zostáva u prevádzkovateľa. Predkladá ho len v prípade kontroly.

Úrad na ochranu osobných údajov Riadne a mimoriadne kontroly Kontrolný plán 2016 – agentúry dočasného zamestnávania, obce a mestá, zamestnávatelia vo všeobecnosti (uplatňovanie kontrolného mechanizmu podľa Zákonníka práce), prevádzkovatelia bankových a nebankových registrov klientskych informácií Konzultačné možnosti / metodické usmernenia

Cezhraničný prenos osobných údajov Členské štáty – zaručuje sa voľný pohyb údajov Prevádzkovateľ SR – sprostredkovateľ členský štát (zmluva) Prevádzkovateľ SR – prevádzkovateľ členský štát (súhlas) Tretie krajiny – zabezpečujú (Švajčiarsko, Argentína, Austrália) – povinnosť informovať dotknutú osobu / nezabezpečujú primeranú úroveň ochrany – prijať záruky

Pre prevádzkovateľa – pokuty Sankcie Pre prevádzkovateľa – pokuty najvyššie možné pokuty – do 200 000 EUR za: porušenie povinnosti mať vypracovaný bezpečnostný projekt porušenie povinnosti poveriť spracúvaním osobných údajov sprostredkovateľa na základe písomnej zmluvy porušenie povinností pri spracúvaní osobitnej kategórie OÚ porušenie povinnosti osobitnej registrácie IS porušenie povinností pri prenose OÚ do tretích krajín

Sankcie Pokuta do 2000 EUR tomu kto poskytne nepravdivé osobné údaje nepostupuje v súlade s prijatými technickými, organizačnými alebo personálnymi opatreniami poruší povinnosť mlčanlivosti neposkytne Úradu súčinnosť poskytne osobné údaje v rozpore so zákonom. Porušením povinností alebo zneužitím oprávnení možno naplniť aj skutkovú podstatu trestných činov § 374 TZ - Neoprávnené nakladanie s OÚ § 247 TZ - Poškodenie a zneužitie záznamu na nosiči informácií

Základné zásady Neautomatizované prostriedky spracúvania neponechávať spisy a iné materiály s osobnými údajmi voľne dostupné odkladať spisy a iné materiály na určené miesto tlačené materiály obsahujúce osobné údaje ihneď po ich vytlačení odobrať pri skončení pracovného pomeru odovzdať spisy obsahujúce osobné údaje uzamykať kancelárie Automatizované prostriedky spracúvania dbať na antivírusovú ochranu pracovných staníc zákaz odinštalovania, zablokovania alebo zmenu konfigurácie antivírusovej ochrany dodržiavať pravidlá ochrany prístupových práv ID a heslo sú určené len pre daného používateľa. Neposkytovať svoje prihlasovacie údaje inej osobe.

Základné zásady Ďalšie – všeobecné zásady: O osobných a iných chránených údajoch nediskutujeme na verejnosti, vo verejnej doprave, vo výťahoch. Je potrebné zachovávať diskrétny odstup od monitoru, či chrániť zobrazené osobné a iné údaje, aby nedošlo k neoprávnenému prezradeniu chránených údajov. Pri odchode z práce je nutné dodržiavať zásadu „čistého stola“, t. j. na pracovnom mieste by nemali zostať žiadne dokumenty obsahujúce osobné a iné chránené údaje. Zamestnanci, ktorým bolo na prácu pridelené mobilné prenosné zariadenie a to aj na prácu mimo priestorov Prevádzkovateľa musia dodržiavať nasledujúce pravidlá: nenechávať prenosné zariadenie bez dozoru, nenechávať prenosné zariadenie v aute, pokiaľ sa od auta vzdiali, nedovoliť použitie prenosného zariadenia iným osobám, používať inštalované bezpečnostné komponenty na ochranu uložených a prenášaných údajov. Nevyhnutná likvidácia materiálov, ktoré obsahujú chránené údaje musí zodpovedať takému zničeniu, aby údaje nebolo možné žiadnym spôsobom identifikovať, použiť alebo obnoviť.

Záver Ďakujeme za pozornosť.