Lektor: JUDr. Marcela Macová, PhD. Ochrana osobných údajov – nové usmernenia, aktuality a nariadenie o ochrane osobných údajov v roku 2017 Lektor: JUDr. Marcela Macová, PhD.
Pramene práva do 24.5. 2018 Smernica Európskeho parlamentu a Rady č. 46 (95/46/ES) o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov účinný od 1. júla 2013 Novela zákona č. 84/2014 Z. z. účinná od 15. apríla 2014 Predpis č. 165/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby Predpis č. 164/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení Novela vyhlášky č. 117/2014 Z. z. účinná od 1. mája 2014
Pramene práva od 25.5. 2018 Nariadenie o ochrane osobných údajov NOVÉ – platné od 25.5. 2016 a účinné od 25.5. 2018 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV. Nový zákon o ochrane osobných údajov – začiatok legislatívneho procesu máj – jún 2017 – účinný od 25.5. 2018
Pramene práva od 25.5. 2018 Nariadenie je legislatívny akt Európskej únie, ktorý má všeobecnú platnosť, je záväzný vo svojej celistvosti, je priamo uplatniteľný vo všetkých členských štátoch. Na jeho platnosť nie je potrebná ratifikácia, ani žiadny vykonávací predpis zo strany legislatívneho orgánu členského štátu. Nariadenie nadobudlo účinnosť dňa 24. mája 2016 a uplatňovať sa začne dňa 25. mája 2018, uplynutím dvojročného prechodného obdobia. Nariadenie vo viacerých ustanoveniach uvádza, že podrobnosti sa upravia vnútroštátnym predpisom. Z toho dôvodu úrad pripravuje nový zákon o ochrane osobných údajov.
Na koho sa nariadenie vzťahuje? Nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzkovateľa alebo sprostredkovateľa nachádzajúceho sa v Európskej únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v únii alebo nie. Inými slovami, nariadenie sa vzťahuje na každého, kto spracúva osobné údaje na území Európskej únie, ale i mimo nej, ak spĺňa nariadením stanovené podmienky.
Predmet zákona § 1 Tento zákon upravuje ochranu práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov, práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb, postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky
Predmet nariadenia Predmet úpravy a ciele 1. Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. 2. Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov. 3. Voľný pohyb osobných údajov v rámci Únie sa nesmie obmedziť ani zakázať z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.
Pôsobnosť zákona § 2 Tento zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie. Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.
Pôsobnosť nariadenia čl. 2 ods. 1 Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
Pôsobnosť zákona § 3 Ustanovenia § 6 ods. 2 až 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie napr. bezpečnosti Slovenskej republiky, obrany Slovenskej republiky napríklad zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov, zákon č. 321/2002 Z. z. o ozbrojených silách Slovenskej republiky zákon č. 179/2011 Z. z. o hospodárskej mobilizácii a o zmene a doplnení zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov, verejného poriadku a bezpečnosti )
Pôsobnosť zákona § 3 ods. 2 Zákon sa nevzťahuje na osobné údaje, ktoré a) fyzická osoba spracúva pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, najmä vedenie osobného adresára alebo korešpondencie, b) boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.
Pôsobnosť nariadenia čl. 2 ods. 2 Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov: v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie; členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ (apoločná zahraničná a bezpečnostná politika); fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti; príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania (Smernica EP a Rady (EÚ) 2016/680.
Osobné údaje podľa zákona Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu Bežné osobné údaje – titul, meno, priezvisko, dátum narodenia, číslo občianskeho preukazu a ďalšie Osobitná kategória osobných údajov – (§ 13) rodné číslo, údaj o zdraví, fotografia, záznam z kamerového zariadenia, odborovo organizovaný a ďalšie
OSOBITNÁ KATEGÓRIA OSOBNÝCH ÚDAJOV § 13 (1) Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje. (2) Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje. (3) Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon napríklad § 33 zákona č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov (4) Spracúvanie osobných údajov o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť, môže vykonávať len ten, komu to umožňuje osobitný zákon. (5) Prevádzkovateľ je oprávnený spracúvať biometrické údaje len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie a ak to prevádzkovateľovi vyplýva výslovne zo zákona, dotknutá osoba dala na spracúvanie písomný alebo inak hodnoverne preukázateľný súhlas, spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy podľa § 10 ods. 3 písm. b), alebo spracúvanie osobných údajov je nevyhnutné na účely podľa § 10 ods. 3 písm. g). (6) Primeranosť, nevyhnutnosť a právny základ spracúvania biometrických údajov podľa odseku 5 písm. b) až d) posudzuje úrad v konaní podľa § 37 až 39.
Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov § 14 Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak dotknutá osoba dala písomný alebo inak hodnoverne preukázateľný súhlas na ich spracúvanie; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný zákon, právnym základom pre spracúvanie osobných údajov je osobitný zákon, právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, toto ustanovenie v nariadení chýba spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nemá spôsobilosť na právne úkony alebo fyzicky nie je spôsobilá na vydanie písomného súhlasu, a ak nemožno získať písomný súhlas jej zákonného zástupcu, spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
Osobné údaje podľa nariadenia Osobné údaje sú podľa nariadenia akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
Osobné údaje podľa nariadenia Nariadenie v memorande uvádza, že fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.
Fotografia § 13 ods. 1 Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje. § 14 Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak dotknutá osoba dala písomný alebo inak hodnoverne preukázateľný súhlas na ich spracúvanie; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný zákon, právnym základom pre spracúvanie osobných údajov je osobitný zákon, právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, Samostatný IS – účel napríklad propagácia spoločnosti s cieľom zvýšiť záujem klientov
Fotografia § 10 ods. 3 písm. g) – prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby ak spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona. Uvedené ustanovenie sa dá použiť iba na prípady, keď prevádzkovateľ potrebuje fotografiu na firemný preukaz a môže ho vystavovať aj iným ako svojim zamestnancom napr. aj osobám, ktorá pravidelne vstupujú do jeho priestorov. Ide o situáciu keď preukaz je dôležitý vzhľadom na zabezpečenie bezpečnosti prevádzkovateľa a ak by neudelili všetci súhlas mohlo by prísť k úniku bezpečnosti. Ide o veľmi špecifické situácie, kedy je možné použiť fotografiu. Toto ustanovenie sa však nedá použiť na prípady ak chce prevádzkovateľ zverejňovať fotografiu na svojom webovom sídle, alebo v outlooku, intranete, v priestoroch prevádzkovateľa.
Osobitné kategórie osobných údajov podľa nariadenia Spracúvanie fotografií by sa nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne bude vzťahovať len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby. Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nie je povolené v osobitných prípadoch stanovených v tomto nariadení, pričom sa zohľadní, že právo členských štátov môže stanoviť osobitné ustanovenia o ochrane údajov, ktorými prispôsobia uplatňovanie pravidiel tohto nariadenia na účely splnenia zákonnej povinnosti alebo úlohy realizovanej vo verejnom záujme či pri výkone verejnej moci zverenej prevádzkovateľovi. Okrem osobitných požiadaviek na takéto spracúvanie by sa mali uplatňovať všeobecné zásady a iné pravidlá uvedené v tomto nariadení, najmä pokiaľ ide o podmienky pre zákonné spracúvanie. Výnimky zo všeobecného zákazu spracúvania týchto osobitných kategórií osobných údajov by sa mali výslovne uviesť okrem iného vtedy, ak dotknutá osoba poskytla svoj výslovný súhlas alebo v súvislosti s osobitnými potrebami, najmä ak spracúvanie vykonávajú v rámci legitímnych činností určité združenia alebo nadácie, ktorých účelom je umožniť výkon základných slobôd.
Spracúvanie podľa zákona spracúvaním osobných údajov sa rozumie vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumejú zverejňovaním osobných údajov je publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela,) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste, cezhraničným prenosom osobných údajov je prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,
Spracúvanie podľa nariadenia spracúvanie" je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;
Nové pojmy podľa nariadenia nariadenie prináša nové pojmy ako napríklad: profilovanie, pseudonymizácia, porušenie ochrany osobných údajov, genetické údaje, údaje týkajúce sa zdravia, hlavná prevádzkareň, zástupca, podnik, skupina podnikov, dozorný orgán, dotknutý dozorný orgán, relevantná a odôvodnená námietka, služba informačnej spoločnosti, medzinárodná organizácia. Definícia pojmu poskytovanie, sprístupňovanie, zverejňovanie tu už nie je
Súhlas dotknutej osoby súhlasom dotknutej osoby podľa zákona je akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov súhlasom dotknutej osoby podľa nariadenia je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka
Súhlas dotknutej osoby podľa nariadenia Súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením. Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť sa nebudú považovať za súhlas. Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely.
Vymedzenie nových pojmov podľa nariadenia Profilovanie je: „akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.“. Na určenie toho, či spracovateľskú činnosť možno považovať za „sledovanie správania“ dotknutej osoby, by sa malo zistiť, či sú fyzické osoby sledované na internete vrátane prípadného následného využitia technologických riešení spracúvania osobných údajov, ktoré spočívajú v profilovaní fyzickej osoby na účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania osobných preferencií, správania a postojov tejto osoby.
Vymedzenie nových pojmov podľa nariadenia Pseudonymizácia je: „spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe:“. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Inak povedané, pseudonymizácia znamená zmenu identifikátorov (rodného čísla, mena a priezviska, dátumov narodenia, trvalého bydliska a pod.) na nové označenie, prednostne formou zakódovania tak ,aby príjemca údajov nemohol určiť konkrétnu fyzickú osobu.
Vymedzenie nových pojmov podľa nariadenia „hlavná prevádzkareň" je: a) pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala; Hlavnou prevádzkarňou prevádzkovateľa v Únii by malo byť miesto jeho centrálnej správy v Únii, pokiaľ sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov neprijímajú v inej prevádzkarni prevádzkovateľa v Únii, pričom v takom prípade by sa za hlavnú prevádzkareň mala považovať táto iná prevádzkareň. Uvedené kritérium by nemalo byť závislé od toho, či sa spracúvanie osobných údajov vykonáva na tomto mieste. Prítomnosť a použitie technických prostriedkov a technológií spracúvania osobných údajov alebo spracovateľských činností nepredstavujú sami o sebe hlavnú prevádzkareň, a preto nie sú určujúcimi kritériami pre hlavnú prevádzkareň
Vymedzenie nových pojmov podľa nariadenia „hlavná prevádzkareň" je: b) pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia; Hlavnou prevádzkarňou sprostredkovateľa by malo byť miesto jeho centrálnej správy v Únii alebo ak v Únii nemá centrálnu správu, tak miesto, kde sa uskutočňujú hlavné spracovateľské činnosti v Únii. V prípadoch týkajúcich sa tak prevádzkovateľa, ako aj sprostredkovateľa by mal príslušným vedúcim dozorným orgánom zostať dozorný orgán členského štátu, v ktorom má prevádzkovateľ svoju hlavnú prevádzkareň, ale dozorný orgán sprostredkovateľa by sa mal považovať za dotknutý dozorný orgán a uvedený dozorný orgán by sa mal zúčastňovať na postupe spolupráce stanovenom v tomto nariadení. V každom prípade dozorné orgány členského štátu alebo členských štátov, v ktorých má sprostredkovateľ jednu alebo viac prevádzkarní, by sa nemali považovať za dotknuté dozorné orgány, ak sa návrh rozhodnutia týka len prevádzkovateľa.
Vymedzenie nových pojmov podľa nariadenia „podnik" je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť; „skupina podnikov" je riadiaci podnik a ním riadené podniky; Ak spracúvanie vykonáva skupina podnikov, hlavná prevádzkareň riadiaceho podniku by sa mala považovať za hlavnú prevádzkareň skupiny podnikov okrem prípadu, keď o účeloch a prostriedkoch spracúvania rozhoduje iný podnik. Skupinu podnikov by mal zahŕňať riadiaci podnik a ním riadené podniky, pričom riadiaci podnik by mal byť podnikom, ktorý môže vykonávať dominantný vplyv na ostatné podniky napríklad v dôsledku toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku právomoci presadiť vykonávanie pravidiel ochrany osobných údajov. Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené, by sa mal spolu s týmito podnikmi považovať za skupinu podnikov. Prevádzkovatelia, ktorí sú súčasťou skupiny podnikov alebo inštitúcií, ktoré sú prepojené s ústredným subjektom, môžu mať oprávnený záujem na prenose osobných údajov v rámci skupiny podnikov na vnútorné administratívne účely vrátane spracúvania osobných údajov klientov alebo zamestnancov. Tým nie sú dotknuté všeobecné zásady prenosu osobných údajov v rámci skupiny podnikov podniku nachádzajúcemu sa v tretej krajine.
Vymedzenie nových pojmov podľa nariadenia Logovanie Členské štáty stanovia, že aspoň o týchto spracovateľských operáciách sa v systémoch automatizovaného spracúvania uchovávajú logy: získavanie, zmena, prehliadanie, poskytovanie vrátane prenosov, kombinovanie a vymazanie. Z logov o prehliadaní a poskytovaní musí byť možné určiť dôvody, dátum a čas takýchto operácií, a pokiaľ možno aj identifikačné údaje osoby, ktorá tieto osobné údaje prehliadala alebo ich poskytovala, ako aj totožnosť príjemcov takýchto osobných údajov. Logy sa využijú výlučne na overovanie zákonnosti spracúvania, vlastné monitorovanie, na zabezpečenie integrity a bezpečnosti osobných údajov a na účely trestného konania. Prevádzkovateľ a sprostredkovateľ na požiadanie sprístupnia logy dozornému orgánu.
Cezhraničný tok osobných údajov podľa zákona Do členských štátov § 32 - 28 členských štátov, a štáty, ktoré sú zmluvné strany Zmluvy o založení Európskeho hospodárskeho priestoru. Ide o tieto štáty: Nórsko, Island, Lichtenštajnsko. Do tretích krajín § 31 - prenosu osobných údajov mimo Európskej únie, do tzv. tretích krajín. Právna úprava v zásade rozlišuje krajiny na dve skupiny: tie, ktoré zabezpečujú primeranú úroveň ochrany osobných údajov a (b) tie, ktoré túto primeranú úroveň nezabezpečujú.
Cezhraničný tok osobných údajov podľa nariadenia „cezhraničné spracúvanie" je buď: spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte; Cezhraničným spracúvaním sa rozumie spracúvanie osobných údajov na území EU a ich prenos výlučne v rámci členských štátov
Cezhraničný tok osobných údajov podľa nariadenia mimo EU Cezhraničný prenos (mimo EU) je možné realizovať na základe: Rozhodnutia o primeranosti - Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné povolenie. Prenosy vyžadujúce primerané záruky – neexistencia rozhodnutia o primeranosti; prenos možný len vtedy, ak prevádzkovateľ alebo sprostredkovateľ: poskytol primerané záruky (zákonná povinnosť; záväzných vnútropodnikových pravidlá; štandardné doložky; schválený kódex správania; schválený certifikačný mechanizmu alebo na základe povoľovacieho mechanizmu úradu); a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy. Osobitné situácie - ak neexistuje rozhodnutie o primeranosti alebo ak neexistujú primerané záruky, tak prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční len za v nariadení taxatívne uvedených podmienok (súhlas dotknutej osoby; zmluvný vzťah; dôležité dôvody verejného záujmu; právne nároky; ochrana životne dôležitých záujmov; a iné).
Cezhraničný tok osobných údajov podľa nariadenia mimo EU Neopakujúci sa prenos - ak neexistuje rozhodnutie o primeranosti alebo ak neexistujú primerané záruky, ani výnimky osobitných situácii, tak prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak: prenos nie je opakujúcej sa povahy; týka sa len obmedzeného počtu dotknutých osôb; je nevyhnutný na účely závažných oprávnených záujmov, ktoré sleduje prevádzkovateľ a nad ktorými neprevažujú záujmy alebo práva a slobody dotknutej osoby, a prevádzkovateľ posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia poskytol vhodné záruky, pokiaľ ide o ochranu osobných údajov; prevádzkovateľ informuje o prenose úrad a dotknutú osobu. Prevádzkovateľ okrem poskytnutia informácií uvedených v článkoch 13 a 14 informuje dotknutú osobu o prenose a o závažných oprávnených záujmoch, ktoré sleduje. neuplatňuje sa na činnosti, ktoré vykonávajú orgány verejnej moci pri uplatňovaní svojich verejných právomocí; prevádzkovateľ alebo sprostredkovateľ zdokumentujú posúdenie, ako aj vhodné záruky v záznamoch o spracovateľských činnostiach.
Dotknutá osoba Základné pojmy vo všeobecnosti vymedzujú zmysel a charakterizujú podstatu najčastejšie používaných termínov v zákonom regulovanej oblasti. Dotknutou osobou je podľa zákona „každá fyzická osoba, ktorej sa osobné údaje týkajú“.
Prevádzkovateľ Prevádzkovateľom podľa zákona je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie, alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná ustanovené podmienky. „prevádzkovateľ" podľa nariadenia je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu
Sprostredkovateľ § 8 sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom (§ 4 ods. 2 písm. d), Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje (§ 8 ods. 1). „sprostredkovateľ„ podľa nariadenia je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa; v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;
Kto je sprostredkovateľ??? Externe personalistiku a mzdy Externe účtovníctvo BOZP Balíčkovanie gastrolístkov SBS (kamerové systémy, kniha návštev) Zasielanie obálok Organizovanie súťaží Zasielanie newslettrov Samostatný finančný agent Cloudové služby
Metodické usmernenie č. 3/2016 Cloudové služby Cloud computing pozostáva zo súboru technológií a modelov služieb, ktoré sa zameriavajú na používanie a poskytovanie IT aplikácií cez internet, schopnosť spracovania, uchovávania a poskytovania pamäťového priestoru. Poskytovatelia cloud computingu môžu svojim zákazníkom v závislosti od ich požiadaviek poskytovať rôzne riešenia. Tými najhlavnejšími službami/riešeniami sú Infraštruktúra ako služba (IaaS) -Ide o službu, kde si zákazník cloudovej služby prenajme hardvérovú a softvérovú infraštruktúru do úrovne operačného systému, v požadovanej špecifikácii. IaaS teda v sebe zahŕňa hardvérové prostriedky pripravené na použitie vrátane základného softvéru, napr. operačný systém s nastavenou IP adresou, sieťovou konfiguráciou a diskovým priestorom. Hlavnou časťou IaaS služieb je virtualizácia serverovej a storage infraštruktúry na dosiahnutie nízkych nákladov a vysokej dostupnosti. Softvér ako služba (SaaS) - poskytovateľ poskytuj e prostredníctvom internetu služby rôznych aplikácií a sprístupňuje tieto aplikácie konečným požívateľom. Platforma ako služba (PaaS) - poskytovateľ ponúka riešenia pre pokročilý vývoj a hosting aplikácií. Tieto služby sú väčšinou určené subjektom, ktorí ich ďalej používajú na vývoj a hosting vlastných, na aplikáciách založených, riešení s cieľom pokryť interné požiadavky a/alebo poskytovať služby tretím stranám. Zákazník využívajúci služby poskytované poskytovateľom PaaS nemusí mať žiadny dodatočný a/alebo špecifický interný hardvér či softvér.
Metodické usmernenie č. 3/2016 Cloudové služby Zákazník cloudovej služby určuje konečný účel spracúvania a rozhoduje o outsourcingu tohto spracovania a delegovaní všetkých alebo časti spracovateľských činností na externú organizáciu poskytovateľa cloudovej služby. Zákazník cloudovej služby vystupuje ako prevádzkovateľ. V tomto kontexte je potrebné zdôrazniť, že je to práve prevádzkovateľ, ktorý nesie primárnu zodpovednosť za spracúvanie osobných údajov v súlade so zákonom o ochrane osobných údajov. Ďalší subjekt v predmetnom vzťahu predstavuje poskytovateľ cloudovej služby, ktorý zastáva postavenie sprostredkovateľa, nakoľko je to subjekt, na ktorý prevádzkovateľ deleguje niektoré zo svojich úloh a povinností Zákazníka cloudovej služby považujeme za prevádzkovateľa. Poskytovateľa naopak za sprostredkovateľa. V súlade s § 8 ods. 1 zákona o ochrane osobných údajov je prevádzkovateľ oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje. Na to, aby bol vzájomný vzťah zákazníka a poskytovateľa cloudovej služby súladný so zákonom o ochrane osobných údajov, je nevyhnutné, aby tieto dva subjekty medzi sebou uzatvorili písomnú zmluvu podľa zákona.
Tretia strana Treťou stranou je „každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou“. Poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva. „tretia strana" podľa nariadenia je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;
Kto je tretia strana??? Sociálna poisťovňa zdravotné poisťovne orgány činné v trestnom konaní kontrolné orgány advokát, exekútor, notár banka, poisťovňa odbory (zástupca zamestnancov) Inšpektorát práce Slovenská pošta Kuriér
Poskytovanie osobných údajov o zamestnancovi Poskytovanie osobných údajov tretej strana na základe zákona Napríklad Inšpektorátu práce na základe Zákonníka práce Bez súhlasu dotknutej osoby Poskytovanie osobných údajov sprostredkovateľovi Prevádzkovateľ je povinný informovať dotknutú osobu dokázateľným spôsobom o tom, že jej osobné údaje poskytuje sprostredkovateľovi a to v rozsahu: názov, právna forma, IČO a sídlo Ustanovenie § 12 ods. 3 zákona o OOU Podľa § 12 ods. 3 zákona o ochrane osobných údajov zamestnávateľ môže bez súhlasu zamestnanca jeho osobné údaje sprístupniť, poskytovať alebo zverejniť v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby - zamestnanca. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby. Súhlas dotknutej osoby
Poskytovanie osobných údajov o zamestnancovi § 12 ods. 2 zákona o OOU Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe alebo fyzickej osobe len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutou osobou, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutej osoby bol daný.
Príjemca Príjemcom je „každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana; prevádzkovateľ, ktorý spracúva osobné údaje na základe § 3 ods. 1 písm. g), a úrad, ktorý plní úlohy ustanovené týmto zákonom, sa nepovažujú za príjemcu“. Príjemcom nemôže byť Úrad na ochranu osobných údajov Slovenskej republiky a prevádzkovateľ, ktorý spracúva osobné údaje za účelom výkonu kontroly, dohľadu alebo dozoru podľa osobitného zákona (napr. Slovenská obchodná inšpekcia, inšpektorát práce). Sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva „príjemca" podľa nariadenia je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou; orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom členského štátu sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;
Kto je príjemca??? IT servis Hostingové služby Upratovacie služby Servis kamerových systémov § 22 ods. 3 – iné fyzické osoby, ktoré prídu do styku s osobnými údajmi - MLČANLIVOSŤ
Sprostredkovateľ Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona (§ 8 ods. 3) Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb (§ 8 ods. 2).
Subdodávateľ Sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov vykoná prostredníctvom inej osoby (ďalej len „subdodávateľ“). Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa. Ustanovenia tohto zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa. Na subdodávateľa úrad nahliada ako na sprostredkovateľa (§ 8 ods. 5).
Zmluva musí obsahovať § 8 ods. 4 : Zmluva podľa odseku 3 musí obsahovať údaje o zmluvných stranách (ďalej len „identifikačné údaje“); titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu, názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu, obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa, deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa, účel spracúvania osobných údajov, názov informačného systému, zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4, okruh dotknutých osôb, podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi, vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety, súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa odseku 5, dobu, na ktorú sa zmluva uzatvára, dátum uzatvorenia zmluvy a podpisy zmluvných strán.
Informovanie dotknutej osoby Informovanie o sprostredkovateľovi v rozsahu: titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu, názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu, obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa, Informovanie: Pred získaním osobných údajov podľa § 15 ods. 1 zákona o ochrane osobných údajov Po získaní osobných údajov podľa § 8 ods. 6 zákona o ochrane osobných údajov
Sprostredkovateľ podľa nariadenia Členské štáty v prípade, ak sa spracúvanie uskutočňuje v mene prevádzkovateľa, stanovia, že prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tejto smernice a aby sa zabezpečila ochrana práv dotknutej osoby. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa. .
Sprostredkovateľ podľa nariadenia Členské štáty stanovia, že sa spracúvanie sprostredkovateľom riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Zmluva alebo iný právny akt sa vypracúvajú v písomnej podobe vrátane elektronickej podoby.
Sprostredkovateľ podľa nariadenia Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ: a) spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu; b) zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu; c) vykoná všetky požadované opatrenia podľa článku 32; d) dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4; e)po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III; f) pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi; štátu týkajúce sa ochrany údajov.
Sprostredkovateľ podľa nariadenia g) po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov; h) poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim. So zreteľom na písmeno h) prvého pododseku sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.
Informačný systém § 4 ods. 3 písm. b) informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); !!!!! informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania informačný systém" podľa nariadenia je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;
Príklady informačných systémov IS Personálny a mzdový IS Dochádzka (zvlášť iba ak je na biometriu) IS BOZP (ak sa poučujú aj iné osoby ako zamestnanci) IS Uchádzači o zamestnanie IS Dočasne pridelení zamestnanci IS Fotografia IS Účtovné doklady IS Správa registratúry (evidencia pošty) IS Monitorovanie zamestnancov - § 13 ods. 4 Zákonník prace IS Monitorovanie priestorov prístupných verejnosti - § 15 ods. 7 a §17 ods. 7 IS Monitorovanie priestorov neprístupných verejnosti alebo Autokamery - § 10 ods. 3 písm. g) IS Jednorazový vstup do priestorov prevádzkovateľa § 15 ods. 4 IS Kúpne zmluvy/ Nájomné zmluvy/Darovacie zmluvy/Autorské zmluvy IS Reklamačný informačný systém IS Časopis resp. Publikačná činnosť IS Marketing IS E-shop IS Žiadosti podľa infozákona (samostatný IS je druhý stupeň) IS Sťažnosti – zákon o sťažnostiach IS Agenda spoločnosti (a.s.) IS Súdne spory IS Súťaž IS Vernostný program IS Oznamovanie protispoločenskej činnosti – interný whisteblowing IS Whisteblowing – externý IS Zodpovedná osoby – externá IS Zamestnanci dodávateľov
IS Jednorazový vstup do priestorov prevádzkovateľa § 15 ods. 4 Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať titul, meno, priezvisko a číslo občianskeho preukazu, číslo služobného preukazu alebo číslo cestovného dokladu, štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona, je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu a názov orgánu, ktorý služobný preukaz vydal. V oboch prípadoch sa odsek 1 nepoužije.
Whisteblowing buď treba postupovať predpísaným spôsobom dovnútra spoločnosti (tzv. interný whistleblowing), alebo konať mimo spoločnosti (tzv. externý whistleblowing). Externý zahrňa zákazníkov, spotrebiteľov, dodávateľov, veriteľov, konkurentov a pod. zákon č. 307/2014 Z. z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti a o zmene a doplnení niektorých zákonov (účinnosť 1.1.2015) - Zamestnávateľ, ktorý zamestnáva najmenej 50 zamestnancov, a zamestnávateľ, ktorý je orgánom verejnej moci, je povinný určiť osobitnú organizačnú zložku alebo osobu (ďalej len „zodpovedná osoba“), oznámenie je uvedenie skutočností, o ktorých sa fyzická osoba dozvedela v súvislosti s výkonom svojho zamestnania, povolania, postavenia alebo funkcie a ktoré môžu významnou mierou prispieť alebo prispeli k objasneniu závažnej protispoločenskej činnosti alebo k zisteniu alebo usvedčeniu jej páchateľa
Metodické usmernenia úradu Metodické usmernenie č. 1/2014 - Monitorovanie priestoru prístupného verejnosti kamerovým systémom Metodické usmernenie č. ´2/2016 - Označenie monitorovaného priestoru podľa § 15 ods. 7 zákona č. 122/2013 Z. z. Metodické usmernenie č. 5/2016 - Monitorovanie priestorov verejnosti neprístupných Metodické usmernenie č. 3/2013 – Kamerové informačné systémy osobných údajov vo vozidlách
IS Monitorovanie priestorov prístupných verejnosti Či je priestor kde je sníma kamera považovaný za priestor prístupný verejnosti Právny základ § 15 ods. 7 a § 17 ods. 7 zákona o ochrane osobných údajov Účel spracúvania osobných údajov Doba uchovávania záznamu- 15 dní Poskytovanie záznamu
Priestor prístupný verejnosti Priestor prístupný verejnosti je definovaný v § 4 ods. 3 písm. j) zákona ako priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo v čase vymedzenom prevádzkovateľom. Súčasne platí, že pokiaľ existuje obmedzenie, ktoré určitým spôsobom limituje vstup alebo voľný pohyb osoby v tomto priestore, a ktoré, ak je splnené, nemá na tento vstup alebo voľný pohyb osoby vplyv. Týmto obmedzením možno rozumieť pravidlá, ktoré platia pre pohyb v danom priestore, a ktoré môžu byť charakteru časového (napr. voľný pohyb po areáli po zaplatení vstupného počas trvania koncertu), personálneho (napr. vstup dieťaťa a jeho zákonného zástupcu do priestorov centra voľného času) alebo iného (obmedzenie súvisiace s kapacitou priestoru – balkón divadla). Pre priestor, ktorý nie je kvalifikovaný ako priestor prístupný verejnosti sa § 15 ods. 7 zákona upravujúci podmienky monitorovania priestoru prístupného verejnosti neuplatňuje; tým nie je dotknuté plnenie ostatných povinností pri spracúvaní osobných údajov podľa zákona. V takomto prípade nie je zároveň vylúčená ani pôsobnosť iných zákonov, napríklad Občiansky zákonník) alebo Zákonník práce,) ktoré upravujú monitorovanie fyzických osôb (vrátane kamerového systému) za podmienok a okolností ustanovených týmito zákonmi.
Monitorovanie priestorov prístupných verejnosti (§ 15 ods. 7, § 17 ods. 7) Priestor prístupný verejnosti možno monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný; monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
Monitorovanie priestorov prístupných verejnosti § 17 ods. 7: „Ak záznam vyhotovený podľa § 15 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, je ten, kto ho vyhotovil, povinný ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.“ Ak prevádzkovateľ vyhotovuje záznam pri prevádzkovaní kamerového systému, zákon stanovuje 15 dňovú lehotu (kalendárne dni) na uchovávanie tohto záznamu, pokiaľ osobitný zákon neustanovuje dlhšiu lehotu jeho uchovania. V prípade, že tento záznam nie je využitý v rámci priestupkového alebo trestného konania, je prevádzkovateľ povinný ho v tejto lehote zlikvidovať. Samotné opomenutie prevádzkovateľa záznam postúpiť orgánom príslušným konať v rámci priestupkového alebo trestného konania neodôvodňuje uchovávanie jeho uchovanie v lehote dlhšej ako zákonom stanovených 15 dní.
Monitorovanie priestorov prístupných verejnosti Zákon ustanovuje povinnosti pre prevádzkovateľa kamerového systému so záznamom rovnako, ako aj pre prevádzkovateľa kamerového systému, ktorý záznam nevyhotovuje. Zároveň je irelevantné, či pri monitorovaní určeného priestoru dochádza k vyhotovovaniu záznamu a jeho ukladaniu na nosič informácií, alebo sa jedná len o priamy prenos z monitorovaného priestoru na zobrazovaciu jednotku prostredníctvom kamery (tzv. streaming). Pre pôsobnosť zákona taktiež nie je podstatné, či prevádzkovateľ má kamerový systém, z ktorého sú výstupy spracúvané napr. prostredníctvom Internetu (prenášanie obrazu v režime OCTV) alebo iba v rámci uzatvoreného televízneho okruhu (režim CCTV). Na nosič informácií (kamera a zariadenie, na ktorom je ukladaný záznam) z vykonaného monitorovania alebo zobrazovacie zariadenia v prípade kamerového systému, ktorý pracuje v režime streamingu, je z pohľadu zákona potrebné nazerať ako na súčasť informačného systému, resp. ako na prostriedok spracúvania osobných údajov
Označenie monitorovaného priestoru Monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť vhodným piktogramom a/alebo textom (napr. tento priestor je monitorovaný kamerovým systémom), a to v mieste vstupu do tohto priestoru. V prípade, že má priestor viacero vstupov je potrebné, aby takéto označenie bolo umiestnené pri každom vstupe a tým bola objektívne zabezpečená rovnaká možnosť dotknutým fyzickým osobám vstupujúcim prostredníctvom rôznych vstupov oboznámiť sa so skutočnosťou, že tento priestor je monitorovaný kamerovým systémom. Pokiaľ z povahy veci a miesta inštalácie kamerového systému nie je zrejmé, kto je prevádzkovateľom kamerového systému, v rámci označenia monitorovaného priestoru je vhodné uviesť aj označenie prevádzkovateľa v takom rozsahu, aby dotknutá osoba mohla uplatniť svoje práva v zmysle § 28 zákona. Zreteľnosť označenia je potrebné posudzovať s ohľadom na konkrétne okolnosti danej situácie; na zreteľnosť má vplyv napríklad jeho farba, veľkosť (vrátane veľkosti piktogramu alebo písma) alebo miesto umiestnenia. Za zreteľné označenie je vo všeobecnosti možné považovať označenie, ktoré je na viditeľnom mieste a je čitateľné aj z väčšej vzdialenosti, najmenej však z 2 metrov (to neplatí pre prípadné označenie prevádzkovateľa).
Označenie monitorovaného priestoru - Metodické usmernenie č. 2/2016 Z dôvodu právnej istoty dotknutej osoby, je potrebné, aby prevádzkovatelia na nimi zvolenú formu označenia monitorovaného priestoru uviedli aj svoj názov, prípadne kontakt, na ktorom dotknutá osoba získa informáciu o tom, kto kamerový systém prevádzkuje, a kde si môže uplatniť svoje práva, ako dotknutá osoba. Za nedostatočné (nevýrazné, nezreteľné) je možno považovať umiestnenie označenia monitorovaného priestoru do spodného alebo horného rohu preskleného výkladu (napr. obchod); umiestnenie označenia do priestoru zarasteného bujnou vegetáciou (napr. vstup do parku); umiestnenie označenia určitej veľkosti/ zreteľnosti, ktoré je v neprimeranej vzdialenosti od miesta vstupu do monitorovaného priestoru, a teda označenie nie je viditeľné (pomer vzdialenosti umiestnenia k veľkosti označenia). Prevádzkovateľ by mal pri označení monitorovaného priestoru zohľadniť dotknuté osoby (napr. chodec, vodič, cyklista, korčuliar), nachádzajúce sa v monitorovanom priestore a zvoliť formu označenia priestoru tak, aby označenie monitorovaného priestoru bolo pre dotknuté osoby reálne viditeľné. Viditeľnosť je možné zaistiť najmä použitím výrazných farieb (napr. žltá, čierna, červená, reflexné farby), výberom vhodných znakov obsahujúcich informáciu (napr. písmo, piktogram alebo ich kombinácia) a zvolením vhodnej veľkosti znakov i samotného označenia tak, aby bola informácia ľahko čitateľná a jednoznačne zrozumiteľná.
IS Monitorovanie zamestnancov na pracovisko Právny základ § 13 ods. 4 Zákonníka práce Účel spracúvania osobných údajov Doba uchovávania záznamu Poskytovanie záznamu
Kontrolný mechanizmus – Monitorovanie zamestnancov Sledovanie zamestnanca na pracovisku § 13 ods. 4 zákonníka práce Zamestnávateľ nesmie bez vážnych dôvodov spočívajúcich v osobitnej povahe činností zamestnávateľa narúšať súkromie zamestnanca na pracovisku a v spoločných priestoroch zamestnávateľa tým, že ho monitoruje, vykonáva záznam telefonických hovorov uskutočňovaných technickými pracovnými zariadeniami zamestnávateľa a kontroluje elektronickú poštu odoslanú z pracovnej elektronickej adresy a doručenú na túto adresu bez toho, aby ho na to vopred upozornil. Ak zamestnávateľ zavádza kontrolný mechanizmus, je povinný prerokovať so zástupcami zamestnancov rozsah kontroly, spôsob jej uskutočnenia, ako aj dobu jej trvania a informovať zamestnancov o rozsahu kontroly, spôsobe jej uskutočnenia, ako aj o dobe jej trvania.
IS Monitorovanie zamestnancov na pracovisku Zákonník práce záväzne určil, že proces zavádzania akéhokoľvek kontrolného mechanizmu zamestnávateľa na sledovanie zamestnanca predpokladá kumulatívne splnenie týchto dvoch podmienok: a) zamestnávateľ so zástupcami zamestnancov prerokuje: - rozsah takejto kontroly, - spôsob uskutočňovania takejto kontroly a - dobu trvania kontroly. b) zamestnávateľ zamestnanca informuje - o rozsahu takejto kontroly, - o spôsoboch uskutočňovania takejto kontroly a - o dobe trvania kontroly.
Metodické usmernenie O kontrolnom mechanizme vykonávanom monitorovaním zamestnancov - dotknutých osôb (ďalej len „KM KIS“), spravidla platí z pohľadu zákona je zavedenie KM KIS možné, a to na základe § 10 ods. 2 zákona, t. j. právnym základom je osobitný zákon - Zákonník práce; zavedenie KM KIS bude prebiehať bez súhlasu dotknutých osôb, zároveň zavedenie KIS musí byť vopred (i) prerokované so zástupcami zamestnancov a (ii) poskytnutá informácia zamestnancom v súlade so Zákonníkom práce, zároveň jeho zavedenie je možné tam, kde zamestnanci vykonávajú svoje pracovné povinnosti/ činnosti (napr. výrobná linka, výrobná hala a pod.), zároveň KM KIS je použiteľné na vyvodenie pracovnoprávnej zodpovednosti voči zamestnancom, ktorým sa stanovuje účel KM KIS, zároveň KM KIS musí rešpektovať základné ľudské práva a slobody; nesmie byť zneužitý na monitorovanie takých priestorov, v ktorých má zamestnanec na základe ZP prípadne iných zákonov právo na oddych a odpočinok (napr. sociálne zariadenie, odpočivárne a pod.); platí, že prevádzkovateľ takéto priestory spravidla nemonitoruje, ak osobitný zákon neustanovuje inak.
Akými spôsobmi môžem informovať zamestnanca o tom, že je monitorovaný? Pracovnom poriadku Internom predpise Informácia o monitorovaní
Ako môžem monitorovať zamestnanca? Kamery Odfotenie pri dochádzke Internet Tlačiareň Čipy Pracovný email Pracovný telefón
Rozsudok ESĽP Európsky súd pre ľudské práva rozhodol dňa 12.01.2016 v prípade Barbulescu v. Romania - v predmetnom rozhodnutí uznal právo zamestnávateľa oboznamovať sa s komunikáciou svojich zamestnancov počas pracovného času Pán Barbulescu pracoval ako zamestnanec v súkromnej spoločnosti, ktorej interné predpisy, s ktorými bol pán Barbulescu riadne oboznámený, zakazovali používanie majetku spoločnosti na súkromné účely. Pán Barbulescu v roku 2007 používal počas pracovného času aplikáciu Yahoo Messenger na počítači svojho zamestnávateľa, a to nie len na komunikáciu so zákazníkmi svojho zamestnávateľa, ale aj na komunikáciu so svojim bratom a so svojou snúbenicou. ´Ihneď ako sa zamestnávateľ pána Barbulesca oboznámil so skutočnosťou, že pán Barbulescu využíval internet na osobné účely, zamestnávateľ ho oboznámil s prepisom jeho komunikácie a ukončil s ním pracovný pomer pre porušenie vyššie uvedených interných predpisov zamestnávateľa. Pán Barbulescu zastával názor, že konaním zamestnávateľa došlo k porušeniu odseku 1 Článku 8 Európskeho dohovoru o ochrane ľudských práv a základných slobôd s názvom „Právo na rešpektovanie súkromného a rodinného života“, ktorý ustanovuje, že: „Každý má právo na rešpektovanie svojho súkromného a rodinného života, obydlia a korešpondencie.“. Európsky súd pre ľudské práva nakoniec rozhodol v prospech zamestnávateľa pána Barbulescu, keď uviedol, že konaním zamestnávateľa nedošlo v danom prípade k porušeniu Článku 8 odsek 1 Európskeho dohovoru o ochrane ľudských práv a základných slobôd. Predmetné rozhodnutie Európskeho súd pre ľudské práva je záväzné pre všetky krajiny, ktoré ratifikovali Európsky dohovor o ľudských právach, vrátane Slovenskej republiky.
Monitorovanie priestorov neprístupných verejnosti Či je priestor neprístupný verejnosti Právny základ § 10 ods. 3 písm. g) zákona o ochrane osobných údajov Účel monitorovania Doba monitorovania Oznámenia na úrad
Monitorovanie priestorov neprístupných verejnosti Na účely monitorovania priestorov KIS podľa § 10 ods. 3 písm. g) zákona v zmysle tohto metodického usmernenia musia byť kumulatívne splnené nasledovné podmienky monitorovaný priestor, ktorého ochrana sa má monitorovaním zabezpečiť, spravidla nie je priestorom prístupným verejnosti podľa § 4 ods. 3, písm. j) zákona, zároveň ide o priestor, kde zamestnanci spravidla nevykonávajú svoju pracovnú činnosť pravidelne/ štandardne/bežne, prípadne sa v daných priestoroch pohybujú iba v čase, ak v nich majú vykonať istú činnosť (napr. naloženie a vyloženie tovaru, dovoz nových výrobkov a pod.), zároveň ide o priestor, kde sa môžu pohybovať nielen zamestnanci prevádzkovateľa, ale aj iné osoby, ktoré nie sú považované za verejnosť (napr. zamestnanci iného prevádzkovateľa, klienti, obchodní partneri a pod.) a súčasne ide o priestory, v ktorých sa nachádzajú hodnoty, ktoré je potrebné chrániť pred ich poškodením/odcudzením/zničením (napr. nakladacie rampy, veľkosklady, dátové centrá a pod.), a súčasne prevádzkovateľ pri monitorovaní týchto priestorov KIS dodržiava zásady proporcionality a monitorovanie vykonáva na zákonom stanovený a vymedzený účel.
Priestor neprístupný verejnosti Pre vymedzenie pojmu „priestor verejnosti neprístupný“ je možné analogicky vychádzať z definície priestoru verejnosti prístupného v zmysle § 4 ods. 3 písm. j) zákona, a teda za priestor verejnosti neprístupný je možné považovať priestor do ktorého verejnosť nemôže voľne vstupovať a/alebo v ktorom sa verejnosť nemôže voľne/bez sprievodu zdržiavať, pohybovať ani vo vymedzenom čase, a súčasne nie je tento priestor označený, ako priestor prístupný verejnosti podľa osobitného zákona.
Monitorovanie priestorov neprístupných verejnosti § 10 ods. 3 písm. g) spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona IS je prevádzkovateľ povinný oznámiť Úradu na ochranu osobných údajov SR bez ohľadu na to či má prevádzkovateľ poverenú výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu
Monitorovanie priestorov neprístupných verejnosti Úrad pri rozhodovaní o tom či ide o priestory prístupné verejnosti alebo neprístupné zaujíma špecifikácia, čo je predmetom snímania kamerového informačného systému: či je predmetom monitorovania priestor prístupný verejnosti (priestor do ktorého je možné voľne vstupovať a voľne sa v ňom zdržiavať - napr. priestor, do ktorého voľne vstupujú zákazníci, vonkajšie okolie budovy, verejne prístupné parkovisko pred budovou atd\) alebo priestor neprístupný verejnosti (priestor do ktorého môže vstupovať len určitá kategória osôb po prekonaní určitej prekážky), aké osoby sú kamerovým informačným systémom monitorované (zamestnanci, klienti, atď.), ako sa osoby monitorované kamerovým informačným systémom dostanú do monitorovaného priestoru (popis treba uvádzať zvlášť pre každú kategóriu osôb) a či je na vstup do monitorovaného priestoru potrebné prekonanie určitej prekážky (vrátnica, prístupový systém, SBS služba, atď.). či sa osoby monitorované kamerovým informačným systémom môžu v monitorovaných priestoroch po prekonaní prekážky (vrátnica, prístupový systém, SBS služba, atď.) voľne pohybovať, či je zavedený kontrolný mechanizmus v zmysle § 13 ods. 4 zákona č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov, treba poslať úradu fotodokumentáciu výstupov z kamerového informačného systému, treba poslať úradu pôdorys so zaznačením umiestnenia kamier.
Právny základ spracúvania osobných údajov podľa zákona o ochrane osobných údajov Prevádzkovateľ môže spracúvať osobné údaje: len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona, alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby. Osobné údaje možno spracúvať: Bez súhlasu dotknutej osoby So súhlasom dotknutej osoby
Právny základ – osobitný zákon Bez súhlasu dotknutej osoby § 10 ods. 1 Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov alebo ich rozsah podľa odseku 4 ustanovuje priamo vykonateľný právne záväzný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná alebo tento zákon. Ak zoznam alebo rozsah osobných údajov nie je ustanovený, prevádzkovateľ môže spracúvať osobné údaje len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného účelu spracúvania pri dodržaní povinností podľa § 6 ods. 2 písm. c) až f) a i). Napríklad IS Monitorovanie priestorov prístupných verejnosti - § 15 ods. 7 a § 17 ods. 7 zákona o OOÚ IS Jednorazový vstup do priestorov prevádzkovateľa - § 15 ods. 4 zákona o OOÚ IS Externá zodpovedná osoba - § 23 až § 27 zákona o OOÚ
Právny základ – osobitný zákon Bez súhlasu dotknutej osoby § 10 ods. 2 Požiadavky na obsahové náležitosti osobitného zákona Podľa § 10 ods. 2 Nové znenie Prevádzkovateľ ďalej spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon. Prevádzkovateľ spracúva osobné údaje len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon. Spracúvané osobné údaje možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak. Napríklad IS Personalistika a mzdy – Zákonník práce a ďalšie IS Účtovné doklady – zákon o účtovníctve, zákon o DPH a ďalšie IS Správa registratúry – zákon o archívoch a registratúrach IS Oznamovanie protispoločenskej činnosti – zákon č. 307/2014 Z. z. IS Monitorovanie zamestnancov na pracovisku - § 13 ods. 4 Zákonníka práce
Právny základ – zákon o ochrane osobných údajov – bez súhlasu § 10 ods Písm. a) spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika Písm. b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán 2. alebo v predzmluvných vzťahoch s dotknutou osobou – 3. alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby Ide o situácie, v ktorých dochádza k uzatvoreniu novej zmluvy, k plneniu zmluvu už uzatvorenej alebo k zmene uzatvorenej zmluvy vrátane jej zániku.)
Bez súhlasu dotknutej osoby Písm. c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby (nehody, havárie, živelné pohromy...) Písm. d) predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 28 ods. 3 písm. c), Písm. e) sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zákonne zverejnené. Osobné údaje musia byť označené ako zverejnené (napríklad SME ročník, číslo, strana a pod.).
Bez súhlasu dotknutej osoby Písm. f) Spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme – v takomto prípade tiež nie je potrebný súhlas dotknutej osoby. Písm. g) spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona Napr. IS Monitorovanie priestorov neprístupných verejnosti IS Externý whistleblowing (dobrovoľný) IS Autokamery IS Vstupy na biometriu ISBlacklist
Právny základ - Súhlas dotknutej osoby § 11 a 12 Akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vedome vyjadruje súhlas so spracúvaním svojich osobných údajov Súhlas dotknutej osoby si prevádzkovateľ nesmie vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi právne záväzným aktom Európskej únie, medzinárodnou zmluvou, ktorou je Slovenská republika viazaná alebo zákonom (§11 ods. 3). Príklad: Nie je dovolené, aby prevádzkovateľ zamedzil dotknutej osobe prístup k tovarom alebo využívaniu služieb, pokiaľ mu neudelila súhlas na spracúvanie osobných údajov na účel marketingovej komunikácie, napríklad zasielania propagačných materiálov.
Právny základ - Súhlas dotknutej osoby § 11 a 12 Hodnoverne preukázateľný Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, alebo iným hodnoverným spôsobom (ako prejavu vôle urobeného slobodne a vážne, určite a zrozumiteľne, napríklad súhlas udelený v elektronickej podobe, potvrdením zaškrtávacieho poľa, zakliknutím políčka súhlasu, atď.) Písomný súhlas sa preukazuje dokladom, ktorý potvrdzuje poskytnutie súhlasu. Súhlas daný v písomnej podobe je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom.
Súhlas dotknutej osoby Dôkaz o súhlase obsahuje najmä: údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, Príklad : Nie je dovolené, aby súhlas znel nasledovne: „Registráciou v tomto e-shope (účel č. 1) súčasne udeľuje súhlas so spracúvaním svojich osobných údajov zasielania marketingových ponúk (účel č. 2).“ A to z dôvodu, ako je vyššie uvedené, že dotknutá osoba nemá možnosť samostatne prejaviť svoju slobodnú vôľu pre každý jednotlivý účel uvedený v súhlase. zoznam alebo rozsah osobných údajov čas platnosti súhlasu. Príklad : Určenie času platnosti súhlasu so spracúvaním osobných údajov „až do odvolania súhlasu so spracúvaním osobných údajov“ nie je dovolené, nakoľko by mohlo dôjsť k situácii, že osobné údaje by boli spracúvané na dobu neurčitú, čo je ako je vyššie uvedené v rozpore so zásadou primeranosti a zákonnou povinnosťou určenia času platnosti súhlasu prevádzkovateľom. + informácia v § 15 ods. 1
Povinnosti prevádzkovateľa Pred začatím spracúvania osobných údajov §15 – napr. Všeobecné obchodné podmienky (1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol vymenovaný, identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní osobných údajov nepostupuje podľa § 8, účel spracúvania osobných údajov, zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvá veta a Podľa § 8 ods. 4 písm. a) sa za identifikačné údaje považuje: titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu, názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu, obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa.
Povinnosti prevádzkovateľa Pred začatím spracúvania osobných údajov §15 – napr. Všeobecné obchodné podmienky doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť, poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti súhlasu a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej túto povinnosť ukladá a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
Povinnosti prevádzkovateľa Pred začatím spracúvania osobných údajov §15 – napr. Všeobecné obchodné podmienky doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté, okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené, formu zverejnenia, ak majú byť osobné údaje zverejnené, tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov, poučenie o právach dotknutej osoby.
Právny základ spracúvania podľa nariadenia Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok: dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely; spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy; spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa; spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby; spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi; spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa. Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.
Právny základ spracúvania podľa nariadenia Súhlas dotknutej osoby Podmienky vyjadrenia súhlasu Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov. Ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho. Akákoľvek časť takéhoto vyhlásenia, ktorá predstavuje porušenie tohto nariadenia, nie je záväzná. Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.
Právny základ spracúvania podľa nariadenia Súhlas dotknutej osoby podľa bod. 32 Memoranda sa preukáže: Písomným vyhlásením vyhlásenie prostredníctvom elektronických prostriedkov Ústnym vyhlásením.
Právny základ spracúvania podľa nariadenia Súhlas dotknutej osoby Súhlas by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov. Súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom, aj keď to na takéto plnenie nie je takýto súhlas nevyhnutný. Ak sa uplatňuje článok 6 ods. 1 písm. a), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností. Členské štáty môžu právnym predpisom stanoviť na tieto účely nižšiu vekovú hranicu za predpokladu, že takáto nižšia veková hranica nie je menej než 13 rokov.
Informovanie dotknutých osôb podľa nariadenia V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie: totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa; kontaktné údaje prípadnej zodpovednej osoby; účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania; ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana; príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú; v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.
Informovanie dotknutých osôb podľa nariadenia Okrem informácií, ktoré sa uvádzajú v čl. 13 odseku 1, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania: doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie; existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov; ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním; právo podať sťažnosť dozornému orgánu; informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov; existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.
Informovanie dotknutých osôb podľa nariadenia V nariadení absentujú ustanovenia § 15 ods. 1 b) identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní osobných údajov nepostupuje podľa § 8, d) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvá veta a e) bod 5 formu zverejnenia, ak majú byť osobné údaje zverejnené,
Informovanie dotknutých osôb podľa nariadenia Mali by sa stanoviť postupy, ktoré by dotknutej osobe uľahčili uplatnenie jej práv podľa tohto nariadenia a ktoré by zahŕňali mechanizmy na vyžiadanie si a prípadné získanie bezplatného prístupu k osobným údajom a ich bezplatnú opravu alebo vymazanie, a na uplatnenie práva namietať. Prevádzkovateľ by mal tiež poskytnúť možnosť, aby sa žiadosti mohli podávať elektronicky, najmä ak sa osobné údaje spracúvajú elektronickými prostriedkami. Prevádzkovateľ by mal byť povinný odpovedať na žiadosti dotknutej osoby bez zbytočného odkladu a najneskôr do jedného mesiaca a uviesť dôvody v prípade, ak nemá v úmysle vyhovieť takejto žiadosti
Právo na zabudnutie Právo na vymazanie (právo „na zabudnutie“) Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov: osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali; dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie; dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2; osobné údaje sa spracúvali nezákonne; osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha; osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1.
Právo na zabudnutie Ak prevádzkovateľ zverejnil osobné údaje a podľa čl. 21 odseku 1 je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky. Odseky 1 a 2 v článku 21 sa neuplatňujú, pokiaľ je spracúvanie potrebné: a) na uplatnenie práva na slobodu prejavu a na informácie; b) na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi; c) z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2 písm. h) a i), ako aj článkom 9 ods. 3; d) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1, pokiaľ je pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
Povinnosti prevádzkovateľa prijať bezpečnostné opatrenia: bezpečnostný projekt, bezpečnostné opatrenia podľa § 19 ods. 1 oznamovať informačný systém, viesť evidenciu informačného systému, osobitná registrácia IBA prevádzkovateľ písomne poveriť zodpovednú osobu dohľadom nad ochranou osobných údajov u prevádzkovateľa poučiť oprávnené osoby
Povinnosti prevádzkovateľa Počas spracúvania osobných údajov § 19 a § 20 Za bezpečnosť spracúvaných osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich : poškodením, zničením, stratou, zmenou neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením akýmikoľvek inými neprípustnými formami spracúvania
Povinnosti prevádzkovateľa Počas spracúvania osobných údajov Na tento účel príjme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.
Bezpečnostné opatrenia Osobitná kategória osobných údajov Prepojenie s verejne prístupnou počítačovou sieťou Bezpečnostný projekt A Bezpečnostné opatrenia podľa § 19 ods. 1 N
Bezpečnostné opatrenia § 19 ods. 1 Bezpečnostné opatrenia podľa § 19 ods. 1 zákona, t. j. ak prevádzkovateľ nepostupuje podľa § 19 ods. 2 zákona, prevádzkovateľ preukazuje napríklad: popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb podľa § 21 zákona, záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a záznamami o opatreniach, ktoré prevádzkovateľ prijal na zaistenie bezpečnosti informačného systému po bezpečnostných incidentoch.
Bezpečnostný projekt Bezpečnostný projekt sa skladá z: názov informačného systému, na ktorý sa vzťahuje, bezpečnostný zámer, analýza bezpečnosti informačného systému, závery vyplývajúce z písmen b) a c). Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, v ktorom zreteľne označí časti týkajúce sa jednotlivých informačných systémov.
Bezpečnostné opatrenia podľa nariadenia Článok 19 Povinnosti prevádzkovateľa 1.Členské štáty stanovia, že prevádzkovateľ so zreteľom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s touto smernicou. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú. 2.Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.
Bezpečnostné opatrenia podľa nariadenia Špecificky navrhnutá a štandardná ochrana údajov 1.Členské štáty stanovia, že prevádzkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlenil do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tejto smernice a chrániť práva dotknutých osôb. 2.Členské štáty stanovia, že prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
Bezpečnostné opatrenia podľa nariadenia Bezpečnosť spracúvania 1.Členské štáty stanovia, že prevádzkovateľ a sprostredkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prijmú primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, najmä pokiaľ ide o spracúvanie osobitných kategórií osobných údajov uvedených v článku 10.
Bezpečnostné opatrenia podľa nariadenia Pokiaľ ide o automatizované spracúvanie, každý členský štát stanoví, že prevádzkovateľ alebo sprostredkovateľ na základe vyhodnotenia rizík prijme opatrenia na: zabránenie neoprávnenému prístupu k zariadeniam na spracúvanie, ktoré sa používajú na spracúvanie (kontrola prístupu k zariadeniam); zabránenie neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu alebo odstráneniu nosičov údajov (kontrola nosičov údajov); c) zabránenie neoprávnenému vkladaniu osobných údajov a neoprávnenému prehliadaniu, pozmeňovaniu alebo vymazaniu uchovávaných osobných údajov (kontrola uchovávania); d) zabránenie použitiu systémov automatizovaného spracúvania neoprávnenými osobami pomocou zariadenia na prenos údajov (kontrola užívateľa); e) zabezpečenie, aby osoby oprávnené používať systém automatizovaného spracúvania mali prístup iba k tým osobným údajom, na ktoré sa vzťahuje ich oprávnenie na prístup (kontrola prístupu k údajom); f) zabezpečenie, aby bolo možné overiť a zistiť subjekty, ktorým sa preniesli alebo poskytli, alebo môžu preniesť alebo poskytnúť osobné údaje prostredníctvom zariadenia na prenos údajov (kontrola prenosu údajov); g) zabezpečenie, aby bolo následne možné overiť a zistiť, aké osobné údaje sa vložili do systému automatizovaného spracúvania, a kedy a kto ich tam vložil (kontrola vkladania); h) zabránenie neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu alebo vymazaniu osobných údajov počas ich prenosu alebo počas prepravy nosiča údajov (kontrola prepravy); i) zabezpečenie, aby sa inštalované systémy mohli v prípade prerušenia obnoviť (obnova); j) zabezpečenie, aby funkcie systému fungovali, aby sa výskyt chýb v jeho funkciách hlásil (spoľahlivosť) a aby sa uchovávané osobné údaje nemohli v prípade poruchy systému poškodiť (integrita).
Oznámenie porušenia ochrany osobných údajov dozornému orgánu 1.Členské štáty stanovia v prípade porušenia ochrany osobných údajov, že prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania. Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel. Oznámenie uvedené v odseku 1 musí obsahovať aspoň: a) opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch; b) meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií; c) opis pravdepodobných následkov porušenia ochrany osobných údajov; d) opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov. Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov uvedený v odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozornému orgánu overiť súlad s týmto článkom.
Oprávnená osoba - definícia Oprávnenou osobou každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení
Obsah poučenia oprávnenej osoby Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia. Prevádzkovateľ je povinný poučiť osobu podľa odseku 1 o jej právach a povinnostiach pri spracúvaní osobných údajov; poučenie obsahuje najmä vymedzenie rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov. Prevádzkovateľ vykoná poučenie pred uskutočnením prvej operácie s osobnými údajmi oprávnenou osobou.“. Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať.
Obsah poučenia oprávnenej osoby Prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia. Oprávnené osoby poučené do 31.12.2013 Po tomto dátume - nástup do práce - zmenila úroveň prístupu k osobným údajom
Mlčanlivosť § 22 (1) Prevádzkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov. (2) Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť. (3) Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. Napríklad údržba a servis technických prostriedkov, upratovačky a podobne. (4) Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu. Povinnosť mlčanlivosti podľa prvej vety sa vzťahuje aj na fyzické osoby podľa odseku 3. (5) Povinnosť mlčanlivosti podľa odsekov 1 až 4 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.
Podmienky poverenia zodpovednej osoby § 23 Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ. (2) Prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených osôb môže výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Týmto nie je dotknutá zodpovednosť prevádzkovateľa podľa odseku 1. (3) Ak prevádzkovateľ nepoverí zodpovednú osobu podľa odseku 2 je povinný oznámiť úradu tie informačné systémy, ktoré podľa tohto zákona podliehajú oznamovacej povinnosti podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje na sprostredkovateľa.“. (4) Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie úloh podľa § 27. (5) Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní skúšky podľa § 24.
Podmienky poverenia zodpovednej osoby § 23 (6) Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin pri ktorom mu výkon trestu odňatia slobody nebol podmienečne odložený, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo odsúdenie mu nebolo zahladené. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov nie starším ako tri mesiace. Výpis z registra trestov fyzická osoba doloží prevádzkovateľovi najneskôr v deň poverenia podľa odseku 2. Prevádzkovateľ je povinný ho uchovávať spolu s poverením podľa odseku 8 počas celej doby výkonu funkcie zodpovednej osoby. (7) Povinnosť preukazovania bezúhonnosti podľa odseku 6 neplatí, ak fyzická osoba je povinná preukázať svoju bezúhonnosť na účely pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu k prevádzkovateľovi podľa osobitného zákona. (8) Poverenie podľa odseku 2 obsahuje identifikačné údaje prevádzkovateľa, titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby, dátum začiatku platnosti poverenia zodpovednej osoby, vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa tohto zákona, číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum vydania potvrdenia, výslovný súhlas s poverením a podpis poverenej zodpovednej osoby, odtlačok pečiatky prevádzkovateľa, dátum vyhotovenia poverenia a podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.
Zodpovedná osoba Mám zodpovednú osobu Nemám zodpovednú osobu Do 30.06. 2013 Prevádzkovateľ zamestnával viac ako 5 zamestnancov - MUSEL Prevádzkovateľ zamestnával menej ako 6 zamestnancov - MOHOL Od 01.07.2013 do 15.04.2014 Prevádzkovateľ spracúval osobné údaje prostredníctvom 20 a viac opráv. osôb MUSEL Prevádzkovateľ spracúval osobné údaje prostredníctvom menej 20 a viac opráv. osôb NEMOHOL Od 15. 04. 2014 Bez ohľadu na počet oprávnených osôb – CHCE MÁ Bez ohľadu na počet oprávnených osôb – NECHCE NEMÁ
Zodpovedná osoba podľa nariadenia – účinného od 25.5. 2018 Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď: a) spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci; b) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo c) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10. Čo znamená vo veľkom rozsahu určí pravdepodobne až nový zákon o ochrane osobných údajov. V memorande sa však píše o väčšom prevádzkovateľovi v prípade ak zamestnáva viac ako 250 zamestnancov. Zodpovedná osoba môže byť aj na dobrovoľnej báze. Ani v prípade nariadenie nenesie zodpovedná osoba zodpovednosť ale prevádzkovateľ a sprostredkovateľ.
Zodpovedná osoba podľa nariadenia – účinného od 25.5. 2018 WP29 doporučuje vziať pri určovaní rozsiahlosti spracúvania v úvahu aj nasledujúce faktory: ● počet dotknutých subjektov údajov – vyjadrený buď konkrétnym číslom alebo, podielom na relevantnej populácii, ● objem dát a/alebo rozsah rôznych dátových položiek, ● doba trvania alebo nepretržitosť spracúvania, ● územný rozsah spracúvania. Príklady rozsiahleho spracovania: ● spracovanie údajov o pacientoch v rámci bežnej činnosti nemocnice, ● spracovanie cestovných dát jednotlivcov používajúcich mestskú hromadnú dopravu (napr. sledovanie prostredníctvom čipových preukazov), ● spracovanie údajov o aktuálnej zemepisnej polohe zákazníkov medzinárodných reťazcov rýchleho občerstvenia pre štatistické účely prevádzkovateľom zameraným na tuto činnosť,
Zodpovedná osoba podľa nariadenia – účinného od 25.5. 2018 WP29 doporučuje vziať pri určovaní rozsiahlosti spracúvania v úvahu aj nasledujúce faktory: ● spracovanie zákazníckych dát v rámci bežnej obchodnej činnosti poisťovni nebo banky, ● spracovanie osobných údajov vyhľadávačom pre potreby behaviorálnej reklamy, ● spracovanie dát (o obsahu, prevádzkových, lokalizačných) poskytovateľom telefónnych a internetových služieb. Príklady spracúvania ktoré nie sú rozsiahle: ● spracovanie údajov o pacientoch jednotlivým lekárom, ● spracovanie osobných údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov jednotlivým právnikom.
Zodpovedná osoba podľa nariadenia – účinného od 25.5. 2018 Pravidelné a systematické monitorovanie sa rozumie: Prevádzkovanie telekomunikačnej siete Poskytovanie telekomunikačných služieb Cielené internetové reklamy pomocou e-mailu Profilovanie a bodovanie (skórovanie) pre účely posúdenia rizík (napr. pre účely hodnotenia úverového rizika, Stanovenie výšky poistného Predchádzanie podvodom, odhaľovanie priania peňazí Sledovanie polohy, napríklad u mobilných aplikácií; vernostné programy; behaviorálna reklama; sledovanie zdravého životného štýlu, telesnej kondície a zdravotných údajov pomocou na tele nositeľných zariadení; kamerové systémy; prepojená zariadenia, napr. chytré merače, chytré autá, inteligentné domy, atd.
Skúška na výkon funkcie zodpovednej osoby § 24 Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov po úspešnom absolvovaní skúšky. (2) Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby podľa tohto zákona zabezpečuje úrad. (3) Žiadosť o absolvovanie skúšky obsahuje údaje o žiadateľovi v rozsahu titul, meno, priezvisko, dátum narodenia, adresa trvalého pobytu a adresa na doručovanie písomností, elektronická pošta a telefónne číslo, Identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ak zasielajú žiadosť o absolvovanie skúšky za žiadateľa dátum a podpis žiadateľa. (6) Fyzická osoba, ktorá úspešne absolvovala skúšku a nevykonáva funkciu zodpovednej osoby počas doby dlhšej ako dva roky, je povinná vykonať skúšku opakovane. Skúška je bezplatná!!
Skúška – podrobnosti vo Vyhláške o skúške fyzickej osoby na výkon funkcie zodpovednej osoby § 2 Skúškou sa overujú znalosti všeobecne záväzných právnych predpisov upravujúcich ochranu osobných údajov formou písomného testu; o priebehu a výsledku skúšky skúšajúci vyhotovuje záznam o skúške. Okruhy otázok na skúšku sú uvedené v prílohe. (2) Písomný test obsahuje 20 otázok. Za každú správne zodpovedanú otázku je jeden bod. Na vyznačenie odpovedí je limit 30 minút. (3) Na absolvovanie skúšky je potrebné získať najmenej 15 bodov.
Povinnosti zodpovednej osoby - § 27 (1) Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov je zodpovedná osoba povinná bez zbytočného odkladu písomne oznámiť prevádzkovateľovi.
Povinnosti zodpovednej osoby - § 27 (2) Zodpovedná osoba je povinná zabezpečovať potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie a písomné oznámenia podľa odseku 1, povinnosti podľa odseku 1, dohľad nad plnením základných povinností prevádzkovateľa podľa § 6, poučenie oprávnených osôb podľa § 21, vybavovanie žiadostí dotknutých osôb podľa § 28 až 30, prijatie bezpečnostných opatrení podľa § 19 ods. 1 až 2, dohliadať na ich aplikáciu v praxi a zabezpečovať ich aktualizáciu podľa § 19 ods. 3, dohľad nad výberom sprostredkovateľa, prípravu písomnej zmluvy so sprostredkovateľom a počas trvania zmluvného vzťahu preverovať dodržiavanie dohodnutých podmienok podľa § 8, dohľad nad cezhraničným prenosom osobných údajov podľa § 31 a 32, prihlásenie informačných systémov na osobitnú registráciu, ich odhlásenie alebo nahlasovanie zmien alebo zabezpečovať vedenie evidencie informačných systémov podľa § 34 až 44. (3) Zodpovedná osoba, ktorá prestane spĺňať podmienky podľa § 23 ods. 5 je povinná bez zbytočného odkladu oznámiť túto skutočnosť prevádzkovateľovi.
Zodpovedná osoba- dokumentácia Zodpovedná osoba bude u seba uchovávať tieto dokumenty: Potvrdenie o úspešnom absolvovaní skúšky Výpis z registra trestov (platný ku dňu písomného poverenia, alebo podľa osobitného zákona k prevádzkovateľovi Písomné poverenie, ktoré má náležitosti podľa § 23 ods. 8 zákona o OOÚ Oznámenie prevádzkovateľa o poverení zodpovednej osoby. Poslať ako jediný dokument na úrad. (Podací lístok, dôkaz o zaručenom elektronickom podpise)
Zodpovedná osoba podľa nariadenia Skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne. Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávny subjekt, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba, pričom sa zohľadní ich organizačná štruktúra a veľkosť. Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39 nariadenia.
Zodpovedná osoba podľa nariadenia Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb. Novinkou je, ďalej, že prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu. Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.
Povinnosti prevádzkovateľa Osobitná registrácia, oznamovacia povinnosť a evidencia informačných systémov Prevádzkovateľ má ku každému informačnému systému vypracovanú: oznamovaciu povinnosť (§ 34 - § 36) posiela na úrad, alebo osobitnú registráciu (§ 37 - 41) posiela na úrad, alebo evidencia informačných systémov v rozsahu a za podmienok ustanovených týmto zákonom (§ 43 a 44) zostáva u prevádzkovateľa Osobitná registrácia je jediná spoplatnená sumou 50,- eur – aj oznamovanie zmien Prevádzkovaľ má ku každému informačnému systému vypracovanú iba jednu z troch uvedených foriem!!!!!! Vždy prevádzkovateľ musí mať vyprac ované aj keď osobné údaje spracúva sprostredkovateľ.
Oznamovacia povinnosť § 34 30 Oprávnených osôb Prevádzkovateľ nepoverí zodpovednú osobu Prevádzkovateľ poverí zodpovednú osobu Prevádzkovateľ vypracuje: Evidenčný list Osobitnú registráciu Oznámenie (prevádzkovateľ spracúva osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania) Oznámenie – ale iba informačného systému, kde právny základ je § 10 ods. 3 písm. g) zákona o OOU (napr. IS Monitorovanie priestorov neprístupných verejnosti Právny základ je: Súhlas dotknutej osoby § 10 ods. 3 písm. g) zákona o OOU Úrad môže v konaní o oznámení presunúť IS na osobitnú registráciu
Oznamovacia povinnosť § 34 (1) Oznamovacia povinnosť sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania. !!!!! Chýba neautomatizovaná forma (2) Oznamovacia povinnosť podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré podliehajú osobitnej registrácii podľa § 37, podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona, okrem informačného systému, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), ktorý vždy podlieha oznamovacej povinnosti; úrad môže rozhodnúť, že informačný systém, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g) podlieha osobitnej registrácii,
Oznamovacia povinnosť § 34 obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Oznamujú sa iba tie IS, ktoré sa nedajú dať pod výnimky uvedené v § 34, nie všetky IS. Napríklad IS Personalistika a mzdy, IS Účtovné doklady, IS Správa registratúry sa nikdy neoznamujú, vždy je potrebné, aby prevádzkovateľ vypracoval evidenčné listy.
Názov informačného systému Právny základ Prevádzkovateľ nepoveril zodpovednú osobu Prevádzkovateľ poveril zodpovednú osobu Personalistika a mzdy Zákonník práce, zákon o soc. poistení atď. EL Uchádzači o zamestnanie, Marketing, Fotografia Súhlas dotknutej osoby OZ Monitorovanie zamestnancov na pracovisku § 13 ods. 4 Zákonníka práce Monitorovanie priestorov prístupných verejnosti § 15 ods. 7 a § 17 ods. 7 zákona o OOU Monitorovanie priestorov neprístupných verejnosti § 10 ods. 3 písm. g) zákona o OOU Zmluvy, Eshop § 10 ods. 3 písm. b) zákona o ochrane osobných údajov
Povinnosti prevádzkovateľa Ako si splniť oznamovaciu povinnosť? Prevádzkovateľ je povinný vyplniť oznámenie informačného systému. Oznámenie informačného systému sa zasiela úradu písomne poštou, v podobe elektronického dokumentu, prostredníctvom elektronického formuláru alebo osobne do podateľne úradu. V prípade, keď oznámenie informačného systému vybavuje niekto iný ako prevádzkovateľ (napr. advokátska kancelária), v tom prípade je potrebné so žiadosťou doručiť aj splnomocnenie. Je potrebné k vyplnenému oznámenou priložiť ďalšie dokumenty? K oznámeniu sa neprikladajú ďalšie dokumenty. Ak však oznámenie nespĺňa všetky zákonom o ochrane osobných údajov predpísané náležitosti, úrad vyzve prevádzkovateľa na odstránenie nedostatkov. Pokiaľ prevádzkovateľ neodstráni nedostatky v určenej lehote, úrad nepridelí identifikačné číslo a na podané oznámenie sa neprihliada. Vydáva úrad potvrdenie o splnení oznamovacej povinnosti? Potvrdenie o splnení oznamovacej povinností vydá úrad len na žiadosť prevádzkovateľa. Je oznamovacia povinnosť spoplatnená? Nie, za oznámenie informačného systému sa nevyberá žiaden správny poplatok. Kedy je možné začať so spracúvaním osobných údajov v informačnom systéme, ktorý podlieha oznamovacej povinnosti? Začať spracúvať osobné údaje je možné ihneď po oznámení informačného systému úradu.
Osobitná registrácia Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov. Osobitnej registrácii podliehajú informačné systémy, v ktorých sa spracúvajú: § 37 Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva osobné údaje na základe § 10 ods. 3 písm. g), ak o tom rozhodne úrad podľa § 34 ods. 2 písm. b), osobné údaje na základe § 13 ods. 5 písm. b), c) a d), alebo aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov; osobitná registrácia sa nevyžaduje v prípadoch podľa § 31 ods. 9.
Osobitná registrácia Ako prihlásiť informačný systém na osobitnú registráciu? Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, musí okrem náležitostí podľa § 35 ods. 1 obsahovať aj dôvod prihlasovania informačného systému na osobitnú registráciu podľa § 37. Prílohou k žiadosti sú podklady nevyhnutné na posúdenie, či spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb. Prevádzkovateľ je povinný vyplniť žiadosť, podpísať, opatriť pečiatkou, priložiť podklady, ktoré sú nevyhnutné na posúdenie predmetného spracúvania osobných údajov, zaplatiť poplatok a zaslať úradu doporučenou zásielkou. V prípade, keď osobitnú registráciu vybavuje niekto iný ako prevádzkovateľ (napr. advokátska kancelária), v tom prípade je potrebné s registračným formulárom doručiť aj splnomocnenie. Prevádzkovateľ je oprávnený začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu až po doručení potvrdenia o osobitnej registrácii
Oznámenie zmien, odhlásenie z registrácie a odhlásenie osobitnej registrácie § 40 (1) Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny oznámených údajov a údajov prihlásených na osobitnú registráciu, ktoré nastanú v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d). Vzor žiadosti o oznámení zmien zverejní úrad na svojom webovom sídle. (2) Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne oznámiť ukončenie používania informačného systému podľa § 35 ods. 1 a písomne odhlásiť informačný systém z osobitnej registrácie. Pri písomnom oznámení podľa prvej vety je prevádzkovateľ povinný uviesť najmä svoje identifikačné údaje, názov odhlasovaného informačného systému, identifikačné alebo registračné číslo a dátum skončenia spracúvania osobných údajov. Vzor písomného oznámenia podľa prvej vety zverejní úrad na svojom webovom sídle. (3) Zmenu oznámených údajov podľa odseku 1 a oznámenie ukončenia používania informačného systému podľa odseku 2 možno vykonať aj prostredníctvom elektronického formulára.
Podmienky evidencie § 43 a § 44 (1) O informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1. Vzor evidencie zverejní úrad na svojom webovom sídle. (2) Prevádzkovateľ je povinný viesť a aktualizovať evidenciu podľa odseku 1 až do dňa ukončenia spracúvania osobných údajov v informačnom systéme; povinnosť aktualizácie sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d). § 44 Sprístupnenie evidencie Údaje z evidencie podľa § 43 ods. 1 je prevádzkovateľ povinný sprístupniť bezplatne komukoľvek, kto o to požiada. Evidenčný formulár sa úradu nezasiela ostáva prevádzkovateľa.
Záznamy o spracovateľských činnostiach Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie: a) meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby; b) účely spracúvania; c) opis kategórií dotknutých osôb a kategórií osobných údajov; d) kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií; e) v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk; f) podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov; g) podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.
Záznamy o spracovateľských činnostiach Záznamy uvedené v odsekoch 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby. Prevádzkovateľ alebo sprostredkovateľ a v príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa na požiadanie sprístupnia záznamy dozornému orgánu. Povinnosti uvedené v odsekoch 1 a 2 sa nevzťahujú na podnik alebo organizáciu, ktorá zamestnáva menej ako 250 osôb, pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky podľa článku 10.
Záznamy o spracovateľských činnostiach Každý sprostredkovateľ a v príslušnom prípade zástupca sprostredkovateľa vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú: a) meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a v príslušnom prípade zástupcu prevádzkovateľa alebo sprostredkovateľa a zodpovednej osoby; b) kategórie spracúvania vykonávaného v mene každého prevádzkovateľa; c) v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk; d) podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.
Záznamy o spracovateľských činnostiach Vedenie záznamov o spracovateľských činnostiach podľa čl. 30 Nariadenia nahrádza oznamovaciu povinnosť a vedenie evidencie podľa zákona o ochrane osobných údajov
Čo poslať na Úrad na ochranu osobných údajov SR? POVERENIE ZODPOVEDNEJ OSOBY (do 30 dní odo dňa poverenia doporučenou zásielkou alebo prostredníctvom zaručeného elektronického podpisu) oznámenie zmien - BEZODKLADNE oznámenie o zániku/odvolaní poverenia – BEZODKLADNE 2) OZNÁMENIE – (pred začatím spracovávania osobných údajov, deň oznámenia je deň začatia spracúvania osob. údajov) oznámenie zmien – do15 dní oznámenie ukončenia používania IS – do 15 dní 3) OSOBITNÁ REGISTRÁCIA – (zaslať úradu pred začatím spracovávania osobných údajov. Prevádzkovateľ môže spracúvať osobné údaje, až po potvrdení zo strany úradu) odhlásenie IS – do 15 dní
Niektoré ustanovenia Zákona, ktoré Nariadenie neobsahuje § 10 ods. 2 zákon ako právny základ § 10 ods. 3 písm. e) – spracúvanie osobných údajov bez súhlasu ak sú zákonne zverejnené §12 ods. 1 získavanie osobných údajov od fyzickej osoby (jedna FO od druhej FO) § 12 ods. 3 spracúvanie osobných údajov zamestnancov bez ich súhlasu § 13 ods. 2 spracúvanie rodného čísla § 15 ods. 4 identifikácia fyzickej osoby pri jednorazovom vstupe - § 15 ods. 6 kopírovanie a skenovanie § 15 ods. 7 monitorovanie priestorov prístupných verejnosti § 19 a § 20 bezpečnostný projekt § 37 osobitná registrácia
Úrad na ochranu osobných údajov SR Adresa: Úrad na ochranu osobných údajov SR Hraničná 12 820 07 Bratislava Web stránka: www. dataprotection. gov. sk Adresa pre elektronický poštový styk: statny.dozor@pdp.gov.sk
Ďakujem za pozornosť marcelamacova@dapro.sk www.dapro.sk