Ochrana osobných údajov, teória a prax JUDr. Zuzana Hnátová, LL.M Mgr. Jana Sapáková, LL.M.Eur. Mgr. Silvia Kohútová, LL.M 10.3.2016

Zákon č. 122/2013 Z.z. o ochrane osobných údajov Obsah Zákon č. 122/2013 Z.z. o ochrane osobných údajov predmet úpravy základné pojmy osoby v procese spracúvania osobných údajov právny základ spracúvania osobných údajov bezpečnosť spracúvania osobných údajov oznamovanie, registrácia a evidencia informačných systémov Úrad na ochranu osobných údajov cezhraničný prenos osobných údajov sankcie

Predmet úpravy Zákon o ochrane osobných údajov sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie (§ 2 ods. 1). Zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme (§ 2 ods. 3).

Zákon o ochrane osobných údajov (ZoOÚ) upravuje najmä: Predmet úpravy Zákon o ochrane osobných údajov (ZoOÚ) upravuje najmä: ochranu práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov, práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb, ZoOÚ bola implementovaná smernica EP a Rady 95/46/EHS – plánuje sa úprava nariadením (jar 2016, účinnosť v roku 2018)

Všetko čo umožňuje FO identifikovať (priamo / nepriamo) Základné pojmy Osobný údaj údaj týkajúci sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu (§ 4 ods. 1). Všetko čo umožňuje FO identifikovať (priamo / nepriamo) bežné osobné údaje / osobitná kategória

Osobitná kategória osobných údajov Základné pojmy Osobitná kategória osobných údajov zákaz spracovania údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženskú vieru, svetonázor, zdravie, pohlavný život (pod túto kategóriu spadá aj fotografia a kamerový záznam - súhlas) rodné číslo (všeobecne použiteľný identifikátor) len ak je to nevyhnutné biometrické údaje – nevyhnutnosť, súhlas psychika trestná zodpovednosť

Spracúvanie osobných údajov Základné pojmy Spracúvanie osobných údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie (§ 4 ods. 3 písm. a)).

podmienky spracúvania – prostriedky a spôsob spracúvania Základné pojmy Informačný systém osobných údajov – systém, v ktorom sa na určitý účel spracúva usporiadaný súbor osobných údajov (automatizované alebo iné ako automatizované prostriedky spracúvania) účel spracúvania – vopred jednoznačne vymedzený zámer spracúvania osobných údajov (určuje si ho P.) súhlas – slobodne daný výslovný a zrozumiteľný prejav vôle (zvukový, zvukovo obrazový, písomný) podmienky spracúvania – prostriedky a spôsob spracúvania

Informačné systémy Najčastejšie identifikované informačné systémy osobných údajov IS Personalistika a mzdy (plnenie povinností zamestnávateľa súvisiacich s pracovným pomerom alebo obdobným prac. vzťahom vrátane predzmluvných vzťahov) IS Účtovníctvo (spracovanie účtovných dokladov) IS Registratúra (správa registratúry) IS Návštevy (evidencia návštev) IS Zmluvy (evidencia zmlúv) IS Súdne spory (vybavovanie súdnych sporov) IS Interný časopis /IS Newsletter IS Oznamovanie protispoločenskej činnosti (podľa zákona č. 307/2014) IS Kamerový systém (priestor prístupný verejnosti alebo nie?) ,

Informačné systémy Špecifické informačné systémy osobných údajov, napríklad: IS E-shop (nákup a predaj tovaru cez internet, vrátane jeho doručenia klientovi) IS Realitná činnosť (činnosť realitnej kancelárie - zmluvy a predzmluvné vzťahy) IS Školenia a kurzy (evidencia účastníkov) IS Vernostný program (poskytovanie bonusov a zliav) IS Spotrebiteľská súťaž (evidencia účastníkov súťaže) IS Cestovná kancelária (uzatváranie zmlúv o obstaraní zájazdu) IS Pôžičky (poskytovanie úverov a pôžičiek nebankovým spôsobom z vlastných finančných zdrojov)

Osoby v procese spracúvania dotknutá osoba - každá fyzická osoba, ktorej sa osobné údaje týkajú (nie PO ani FO – podnikateľ). Dotknutou osobou môže byť iba fyzická osoba – jednotlivec. Napr. zamestnanec, zákazník. prevádzkovateľ - kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene. Úrad považuje aj OZ za prevádzkovateľov.

Osoby v procese spracúvania sprostredkovateľ - každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom. Napr. externý spracovateľ miezd, pracovná zdravotná služba, balíčkovanie stravných lístkov. Vyjadrenie úradu - tzv. technickí partneri zabezpečujúci dodávku, údržbu a správu informačných systémov, ktorí nespracúvajú osobné údaje na stanovený účel, ale môžu s nimi prísť náhodne do styku nie sú v pozícií sprostredkovateľov, vzťahuje sa však na nich povinnosť mlčanlivosti.

Osoby v procese spracúvania Zmluva medzi prevádzkovateľom a sprostredkovateľom musí obsahovať a) údaje o zmluvných stranách (ďalej len „identifikačné údaje“) 1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu, 2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu, 3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa, b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa, c) účel spracúvania osobných údajov, d) názov informačného systému, e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4, f) okruh dotknutých osôb, g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi, h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na odbornú, technickú, organizačnú a personálnu spôsobilosť a schopnosť zaručiť bezpečnosť , i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak bude spracúvať OÚ subdodávateľ, j) dobu, na ktorú sa zmluva uzatvára.

Osoby v procese spracúvania oprávnená osoba – každá FO, ktorá prichádza do styku s osobnými údajmi napr. v rámci svojho pracovnoprávneho vzťahu a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21. (sekretárka, ktorá vedie knihu pošty, administratívna pracovníčka, ktorá prijíma a triedi životopisy). Poučenie oprávnenej osoby (§ 21) o právach a povinnostiach pri spracúvaní vymedzenie rozsahu činností a podmienok pred uskutočnením prvej operácie záznam

Osoby v procese spracúvania zodpovedná osoba za výkon dohľadu nad ochranou osobných údajov zodpovedá Prevádzkovateľ možnosť písomne poveriť zodpovednú osobu (P. sa nezbavuje zodpovednosti) FO, spôsobilosť na právne úkony, bezúhonnosť, potvrdenie úradu o absolvovaní skúšky nemusí byť v pracovnom pomere náležitosti poverenia - § 23 ods. 8 zákona oznámenie poverenia úradu ukončenie poverenia

Požiadavky pri spracúvaní osobných údajov Pri spracúvaní osobných údajov je potrebné najmä: určiť kto je prevádzkovateľom, prípadne sprostredkovateľom a vymedziť ich vzájomný vzťah prostredníctvom písomnej zmluvy (§ 8), určiť účel spracúvania osobných údajov, ak sa osobné údaje nespracúvajú na základe osobitného zákona, určiť podmienky (prostriedky a spôsob) spracúvania osobných údajov, vymedziť zoznam osobných údajov, ktoré bude prevádzkovateľ získavať, ak osobné údaje nie sú spracúvané na základe osobitného zákona,

Požiadavky pri spracúvaní osobných údajov získať súhlas dotknutej osoby na spracúvanie jej osobných údajov, pokiaľ zákon o ochrane osobných údajov neustanovuje, že osobné údaje sa spracúvajú bez súhlasu dotknutej osoby (§ 10 a 11), splniť si informačnú povinnosť voči dotknutej osobe pred získaním jej osobných údajov (§ 15 ods. 1 až 3), prijať primerané bezpečnostné opatrenia a bezpečnostnú dokumentáciu (§ 19 a 20), poučiť svoje oprávnené osoby (§ 21), zachovávať mlčanlivosť (§ 22),

Požiadavky pri spracúvaní osobných údajov dodržiavať podmienky a s tým súvisiace povinnosti pre poverenie zodpovednej osoby, pokiaľ sa prevádzkovateľ rozhodne, že výkonom dohľadu nad ochranou osobných údajov poverí zodpovednú osobu (§ 23 až 26), oznámiť informačné systémy, prihlásiť informačné systémy na osobitnú registráciu alebo viesť o nich evidenciu (§ 33 až 44), poskytovať súčinnosť úradu pri plnení jeho úloh podľa zákona o ochrane osobných údajov.

Právny základ spracúvania osobných údajov Osobné údaje možno spracúvať na základe priamo vykonateľného právne záväzného aktu EÚ medz. zmluvy, ktorou je SR viazaná ustanovení zákona so súhlasom dotknutej osoby bez súhlasu dotknutej osoby (§ 10)

Súhlas dotknutej osoby Súhlas dotknutej osoby nie je potrebný ak: spracúvate OÚ na základe osobitného zákona (zákon o bankách, zákon o št. občianstve) – týka sa št. a finančných inštitúcií

Súhlas dotknutej osoby Súhlas dotknutej osoby ďalej nie je potrebný: prípady vymedzené v § 10 zákona umelecká a literárna činnosť, informovanie verejnosti (musí vyplývať z predmetu podnikania) zmluvné a predzmluvné vzťahy ochrana života, zdravia, majetku dotknutej osoby titul, meno, priezvisko, poštová adresa – určené výhradne na poštový styk s dotknutou osobou už zverejnené údaje verejný záujem ochrana práv a právom chránených záujmov prevádzkovateľa alebo tretej strany

Súhlas dotknutej osoby nesmie sa vynucovať, ani podmieňovať hrozbou odmietnutia zmluvného vzťahu nie je povinnosť písomného súhlasu, ale musí byť hodnoverne preukázateľný (napr. zakliknutie na internete pri benefitových kartách) Vyžadovanie súhlasu „pre istotu“ v prípadoch kedy sa súhlas nezískava nie je možné považovať za v súlade so zákonom. Súhlas nemožno získavať na dobu neurčitú.

Súhlas dotknutej osoby Náležitosti súhlasu: kto súhlas poskytuje komu sa súhlas poskytuje na aký účel zoznam alebo rozsah osobných údajov čas platnosti súhlasu (časové ohraničenie) vlastnoručný podpis / zaručený elektronický podpis

Bezpečnosť osobných údajov Bezpečnostné opatrenia za bezpečnosť zodpovedá Prevádzkovateľ chráni pred poškodením, zničením, stratou, zmenou, neoprávneným prístupom bezpečnostné opatrenia = technické, organizačné a personálne opatrenia vyhláška č. 164/2013 Z.z. preukazuje sa na požiadanie

Bezpečnosť osobných údajov Bezpečnostný projekt Bezpečnostné opatrenia prevádzkovateľ zdokumentuje v bezpečnostnom projekte, ak v IS prepojenom s internetom prevádzkovateľ spracúva osobitné kategórie osobných údajov (napr. IS Personalistika a mzdy – každý zamestnávateľ), alebo IS slúži na zabezpečenie verejného záujmu

Bezpečnosť osobných údajov Bezpečnostný projekt obsahuje: a) názov IS, na ktorý sa vzťahuje (resp. spoločný BP pre všetky IS), b) bezpečnostný zámer (základné bezpečnostné ciele), c) analýzu bezpečnosti informačného systému (kvalitatívna analýza rizík), d) závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti (popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach)

Oznamovanie, registrácia a evidencia informačných systémov Oznamovacia povinnosť platí pre: všetky IS, ktoré úplne alebo čiastočne automatizovanými prostriedkami spracúvajú osobné údaje Výnimky: ak IS podlieha osobitnej registrácii ak sú vedené výlučne v listinnej podobe ak P. poveril zodpovednú osobu OS členov pre vnútorné potreby združení (cirkvi, pol. hnutia) OS spracúvané na základe zákona, medz. zmluvy

Oznamovanie, registrácia a evidencia informačných systémov Osobitná registrácia prevádzkovateľ musí o ňu požiadať podlieha poplatku (50 Eur) začatie spracovávania až po vydaní potvrdenia povinnosť oznamovať zmeny do 15 dní

Oznamovanie, registrácia a evidencia informačných systémov Osobitná registrácia sa vzťahuje na IS: OS podľa § 10 ods. 3 písm. g) – kamery a obdobné systémy OS podľa § 13 ods. 5 písm. b., c., d.) – biometrické údaje OS podľa § 13 ods. 1 + predpoklad prenosu do tretej krajiny bez primeranej úrovne ochrany – rasový / etnický pôvod, politické názory, náboženstvo, zdravie (výnimky)

Oznamovanie, registrácia a evidencia informačných systémov Evidencia (§ 43) Informačný systém, ktorý nepodlieha oznamovacej povinnosti ani osobitnej registrácii je prevádzkovateľ povinný evidovať. Evidenčný list zostáva u prevádzkovateľa. Predkladá ho len v prípade kontroly.

Úrad na ochranu osobných údajov Riadne a mimoriadne kontroly Kontrolný plán 2016 – agentúry dočasného zamestnávania, obce a mestá, zamestnávatelia vo všeobecnosti (uplatňovanie kontrolného mechanizmu podľa Zákonníka práce), prevádzkovatelia bankových a nebankových registrov klientskych informácií Konzultačné možnosti / metodické usmernenia

Cezhraničný prenos osobných údajov Členské štáty – zaručuje sa voľný pohyb údajov Prevádzkovateľ SR – sprostredkovateľ členský štát (zmluva) Prevádzkovateľ SR – prevádzkovateľ členský štát (súhlas) Tretie krajiny – zabezpečujú (Švajčiarsko, Argentína, Austrália) – povinnosť informovať dotknutú osobu / nezabezpečujú primeranú úroveň ochrany – prijať záruky

Pre prevádzkovateľa – pokuty Sankcie Pre prevádzkovateľa – pokuty najvyššie možné pokuty – do 200 000 EUR za: porušenie povinnosti mať vypracovaný bezpečnostný projekt porušenie povinnosti poveriť spracúvaním osobných údajov sprostredkovateľa na základe písomnej zmluvy porušenie povinností pri spracúvaní osobitnej kategórie OÚ porušenie povinnosti osobitnej registrácie IS porušenie povinností pri prenose OÚ do tretích krajín

Sankcie Pokuta do 2000 EUR tomu kto poskytne nepravdivé osobné údaje nepostupuje v súlade s prijatými technickými, organizačnými alebo personálnymi opatreniami poruší povinnosť mlčanlivosti neposkytne Úradu súčinnosť poskytne osobné údaje v rozpore so zákonom. Porušením povinností alebo zneužitím oprávnení možno naplniť aj skutkovú podstatu trestných činov § 374 TZ - Neoprávnené nakladanie s OÚ § 247 TZ - Poškodenie a zneužitie záznamu na nosiči informácií

Základné zásady Neautomatizované prostriedky spracúvania neponechávať spisy a iné materiály s osobnými údajmi voľne dostupné odkladať spisy a iné materiály na určené miesto tlačené materiály obsahujúce osobné údaje ihneď po ich vytlačení odobrať pri skončení pracovného pomeru odovzdať spisy obsahujúce osobné údaje uzamykať kancelárie Automatizované prostriedky spracúvania dbať na antivírusovú ochranu pracovných staníc zákaz odinštalovania, zablokovania alebo zmenu konfigurácie antivírusovej ochrany dodržiavať pravidlá ochrany prístupových práv ID a heslo sú určené len pre daného používateľa. Neposkytovať svoje prihlasovacie údaje inej osobe.

Základné zásady Ďalšie – všeobecné zásady: O osobných a iných chránených údajoch nediskutujeme na verejnosti, vo verejnej doprave, vo výťahoch. Je potrebné zachovávať diskrétny odstup od monitoru, či chrániť zobrazené osobné a iné údaje, aby nedošlo k neoprávnenému prezradeniu chránených údajov. Pri odchode z práce je nutné dodržiavať zásadu „čistého stola“, t. j. na pracovnom mieste by nemali zostať žiadne dokumenty obsahujúce osobné a iné chránené údaje. Zamestnanci, ktorým bolo na prácu pridelené mobilné prenosné zariadenie a to aj na prácu mimo priestorov Prevádzkovateľa musia dodržiavať nasledujúce pravidlá: nenechávať prenosné zariadenie bez dozoru, nenechávať prenosné zariadenie v aute, pokiaľ sa od auta vzdiali, nedovoliť použitie prenosného zariadenia iným osobám, používať inštalované bezpečnostné komponenty na ochranu uložených a prenášaných údajov. Nevyhnutná likvidácia materiálov, ktoré obsahujú chránené údaje musí zodpovedať takému zničeniu, aby údaje nebolo možné žiadnym spôsobom identifikovať, použiť alebo obnoviť.

Záver Ďakujeme za pozornosť.