Ochrana osobných údajov 2018 pre e-shopy

Ochrana osobných údajov 2018 pre e-shopy
JUDr. Jozef Lukajka PhD.

Povinnosti prevádzkovateľov e-shopov, webov atď.
Právny rámec ochrany osobných údajov je upravený slovenským právom a právom Európskej únie. Prevádzkovateľ si pre splnenie povinností v tejto oblasti musí položiť najmä tieto otázky: potrebujem k svojej činnosti osobné údaje? čo je osobný údaj? aké osobné údaje zákazníkov budem nevyhnutne potrebovať? akou formou ich od zákazníka získam? ako zabezpečím ich ochranu pred zneužitím?

Internetový obchod Internetový obchod (ďalej len ako „e-shop“) možno definovať ako predaj tovarov/služieb; s využitím elektronických prostriedkov, informačných a komunikačných technológií; v prostredí internetu; uzavretie zmluvy na diaľku medzi prevádzkovateľom e-shopu a zákazníkom e- shopu.

Pramene práva (EÚ, SR) Zákon č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej tiež ako „zákon č. 122/2013 Z.z.“), účinný do Vyhláška Úradu na ochranu osobných údajov SR č. 164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení v znení zákona č. 117/2014 Z.z., účinná do Vyhláška Úradu na ochranu osobných údajov SR č. 165/2013 Z.z., ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby, účinná do Nový zákon o ochrane osobných údajov (ďalej tiež ako „nový zákon o OOÚ“), účinný od Nariadenie EP a R (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (Nariadenie GDPR), ktorým sa zrušuje smernica 95/46/ES (ďalej tiež ako „nariadenie GDPR“), účinné od Podľa § 106 ods. 3 nového zákona o OOÚ, Úrad môže uložiť pokutu do dvoch rokov odo dňa, kedy porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo!

Dotknutá osoba Dotknutá osoba podľa zákona č. 122/2013 Z.z. Podľa § 4 ods. 2 písm. a) zákona č. 122/2013 Z.z., dotknutá osoba je každá fyzická osoba, ktorej sa osobné údaje týkajú. Dotknutá osoba podľa nového zákona o OOÚ Podľa § 5 písm. n) nového zákona o OOÚ, dotknutá osoba je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.

Osobný údaj podľa slovenskej právnej úpravy
Podľa § 4 ods. 1 zákona č. 122/2013 Z.z., osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. Podľa § 2 nového zákona o OOÚ, osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje,) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.

Z dôvodovej správy k novému zákonu o OOÚ
Osobnými údajmi môžu byť v konkrétnej situácii napríklad: titul, meno, priezvisko, adresa trvalého pobytu, dátum narodenia, rodné číslo, údaj o zdravotnom stave, konkrétne tetovanie, lokalizačný údaj, online identifikátor a pod. Z pohľadu definície osobného údaja, ktorá je veľmi široká, nie je možné jednoznačne určiť rozdiel medzi fyzickou osobou - nepodnikateľom a fyzickou osobou – podnikateľom, a to najmä s ohľadom na skutočnosť, že fyzickú osobu je možné identifikovať nepriamo, najmä na základe jej charakteristík alebo znakov, ktoré tvoria jej ekonomickú identitu. Na základe uvedeného, samotný názov fyzickej osoby – podnikateľa ešte sám o sebe nie je osobným údajom. Ak k takémuto údaju priradíme ďalšie údaje, na základe ktorých je už možné identifikovať fyzickú osobu, napríklad rodné číslo alebo pobyt, pôjde o spracúvanie osobných údajov.

Osobný údaj podľa nariadenia GDPR
Podľa článku 4 ods. 1 nariadenia GDPR, osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. Podľa recitálu bod 30, fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.

Spracúvanie osobitných kategórií osobných údajov podľa nariadenia GDPR
Podľa článku 9 ods. 1 nariadenia GDPR, zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby. Podľa článku 9 ods. 2 nariadenia GDPR, zákaz neplatí ak: dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov... spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany... spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby ... spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie ... spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila... spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc... spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu... spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca... spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia... spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu ...

Spracúvanie osobitných kategórií osobných údajov podľa zákona o OOÚ
Podľa § 78 ods. 5 zákona č. 122/2013 Z.z., prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Podľa dôvodovej správy, zákon dáva prevádzkovateľovi možnosť spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Ide o oprávnenie pre prevádzkovateľa, ktorý spracúvanie uvedených osobných údajov potrebuje na účely napríklad poskytovania zdravotnej starostlivosti poskytovanej na základe osobitných zákonov.

Predmet nariadenia GDPR
Pozitívne vymedzenie Podľa článku 1 ods. 1 nariadenia GDPR, týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. Negatívne vymedzenie Podľa recitálu bod 14, toto nariadenie sa nevzťahuje na spracúvanie osobných údajov, ktoré sa týka právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby.

Pôsobnosť nariadenia GDPR
Podľa článku 2 ods. 1 nariadenia GDPR, toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému. Pôsobnosť podľa ustanovenia § 3 ods. 1 nového zákona o OOÚ je rovnaká ako podľa článku 2 ods. 1 nariadenia GDPR.

Z dôvodovej správy k pôsobnosti nového zákona o OOÚ
Úplne automatizované prostriedky spracúvania Primárne delenie prostriedkov spracúvania je na prostriedky spracúvania automatizované, teda používajúce napríklad počítačový program, alebo aplikáciu, druhou možnosťou je spracúvanie osobných údajov neautomatizovanou formou, napríklad vykonávaním zápisov osobných údajov fyzicky osobou do záznamovej knihy. Zákon sa vzťahuje na spracúvanie osobných údajov vykonávané prostredníctvom automatizovaných prostriedkov spracúvania (napr.: počítač, tablet, smartphone), ako aj na spracúvanie vykonávané prostredníctvom neautomatizovaných prostriedkov spracúvania (napr.: záznamová kniha, evidenčný zošit, papierová evidencia). Čiastočne automatizované prostriedky spracúvania Zákon sa tiež vzťahuje na spracúvanie osobných údajov, ktoré je vykonávané kombináciou oboch vyššie uvedených prostriedkov spracúvania v rámci jedného informačného systému osobných údajov. Napríklad, ak je časť spracúvania osobných údajov na konkrétny účel vykonávaná na počítači a časť je vykonávaná formou záznamov v papierovej evidencii v neautomatizovanej forme. Praktickým príkladom kombinovaného využívania prostriedkov spracúvania v rámci jedného informačného systému osobných údajov je vedenie dochádzky zamestnancov v dochádzkovej knihe, papierová neautomatizovaná podoba, a vedenie dochádzky zamestnancov aj v elektronickej podobe, automatizovaná forma, napríklad priložením dochádzkovej karty zamestnanca k čítačke.

Spracúvanie podľa zákona č. 122/2013 Z.z.
Podľa § 4 ods. 3 písm. a) zákona č. 122/2013 Z.z., spracúvaním osobných údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumie poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva, sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva, zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,9) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste, cezhraničným prenosom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky, likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať, blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na splnenie povinnosti uloženej týmto zákonom.

Spracúvanie podľa nového zákona o OOÚ
Podľa § 5 písm. e) nového zákona o OOÚ, spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami. Podľa dôvodovej správy, spracúvaním osobných údajov je potrebné chápať každú spracovateľskú operáciu alebo niekoľko na seba nadväzujúcich operácií (nadväznosť v čase nie je podstatná), ktoré prevádzkovateľ alebo sprostredkovateľ vykonáva na splnenie určitého vymedzeného účelu, systematicky, a to bez ohľadu na spôsob a využité prostriedky (alebo ich kombináciu) spracúvania. Spracúvanie môže byť vykonávané rôznymi spôsobmi, formou ľudskej činnosti, automatizovane, ide teda o charakteristiku toho, ako sú jednotlivé spracovateľské operácie u prevádzkovateľa alebo sprostredkovateľa vykonávané, technicky nastavené.

Spracúvanie podľa nariadenia GDPR
Podľa článku 4 ods. 1 nariadenia GDPR, spracúvanie je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Parciálne otázky prevádzkovateľov e-shopov a webov
Aké osobné údaje zákazníkov budem spracúvať na svojom e-shope a webe? (meno, priezvisko, adresa a pod.?) Budem ich spracúvať automatizovane? Úplne alebo čiastočne? (len elektronicky alebo aj v písomnej forme?) Akým spôsobom ich budem spracúvať? (budem ich zhromažďovať, uchovávať, poskytovať, zverejňovať a pod.?) Z akého dôvodu ich budem spracúvať? (budem uzatvárať zmluvu o predaji tovaru alebo služby?) Po zodpovedaní vyššie uvedených základných otázok si musí prevádzkovateľ ustáliť: súbory osobných údajov (informačné systémy) právny základ pre spracúvanie osobných údajov

Informačný systém podľa zákona č. 122/2013 Z.z.
Podľa § 4 ods. 3 písm. b) zákona č. 122/2013 Z.z., informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania. Podľa § 33 zákona č. 122/2013 Z.z., prevádzkovateľ je povinný oznámiť úradu informačné systémy alebo požiadať úrad o osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.

Informačný systém podľa nového zákona o OOÚ a nariadenia GDPR
Podľa článku 4 ods. 6 nariadenia GDPR /identické znenie § 5 písm. l nového zákona o OOÚ/, informačný systém je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe . Podľa dôvodovej správy k novému zákonu o OOÚ, zákonom sa zrušujú administratívne povinnosti prevádzkovateľov spojené so spracúvaním osobných údajov plnené ex ante, pred začatím spracúvania, a to oznamovacia povinnosť, povinnosť osobitnej registrácie a evidenčná povinnosť. Nahrádzajú sa novými inštitútmi, ktoré zdôrazňujú materiálne, nie formálne zabezpečenie súladu spracúvania osobných údajov s právnymi predpismi a spočívajú v prijatí resp. realizácii opatrení na zaistenie bezpečnosti osobných údajov primeraných rizikám, ktoré sú s konkrétnymi spracovateľskými operáciami spojené (záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov). Vo vzťahu k úradu a dotknutým osobám sa stanovuje nová povinnosť, oznamovať zistené a preukázané porušenie ochrany osobných údajov zo strany prevádzkovateľov.

Súbory osobných údajov (informačné systémy)
Prevádzkovatelia e-shopov a webov si zadefinujú aké súbory, vzhľadom na rozsah osobných údajov, budú spracúvať a taktiež akou formou ich budú spracúvať. Prevádzkovateľ e-shopu si zadefinuje napr. Informačný systém Zákazníci osobné údaje, ktoré chce spracúvať: meno, priezvisko, adresa, telefónne číslo a pod. osobné údaje bude spracúvať neautomatizovanou formou (napr. bude uzatvárať kúpne zmluvy elektronicky na základe zákona č. 102/2014 Z.z. o ochrane spotrebiteľa pri predaji tovaru alebo poskytovaní služieb na základe zmluvy uzavretej na diaľku) Personálny a mzdový informačný systém osobné údaje, ktoré chce spracúvať: meno, priezvisko, adresa, dátum narodenia a pod. osobné údaje bude spracúvať neautomatizovanou formou (s fyzickou osobou uzatvorí pracovnú zmluvu v písomne forme; bude je uchovávať len v písomnej forme v šanóne) Informačný systém Marketing osobné údaje, ktorý chce spracúvať: ová adresa a pod. osobné údaje bude spracúvať automatizovanou formou (napr. zákazník poskytne ovú adresu elektronickou formou)

Právny základ spracúvania osobných údajov podľa zákona č. 122/2013 Z.z.
Prevádzkovatelia e-shopov a webov môžu spracúvať osobné údaje v jednotlivých súboroch (informačných systémoch) len v prípade ak k nim majú právny základ. Len samotné rozhodnutie prevádzkovateľa o tom, ktorý osobný údaj bude spracúvať na ten ktorý účel, nie je postačujúce . Osobné údaje môže prevádzkovateľ spracúvať podľa § 10 zákona č. 122/2013 Z.z. ak to ustanovuje priamo vykonateľný právne záväzný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, alebo tento zákon, ak to ustanovuje osobitný zákon, ak je spracúvanie nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami, ak je spracúvanie osobných údajov nevyhnutné na plnenie zmluvy, ak je spracúvanie osobných údajov nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, v poštovom styku ak je predmetom spracúvania výlučne titul, meno, priezvisko a adresa dotknutej osoby, ak sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené, ak je spracúvanie osobných údajov nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, ak je spracúvanie osobných údajov nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany. Osobné údaje môže prevádzkovateľ spracúvať na základe súhlasu dotknutej osoby v zmysle § 11 zákona č. 122/2013 Z.z.

Právny základ spracúvania osobných údajov podľa nariadenia GDPR a nového zákona o OOÚ
Podľa článku 6 ods. 1 nariadenia GDPR /tento článok bol prevzatý do znenia § 13 ods. 1 nového zákona o OOÚ/, spracúvanie osobných údajov je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely; spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy; spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa; spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby; spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi; spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Právny základ spracúvania osobných údajov podľa nového zákona o OOÚ
Právnym základom spracúvania osobných údajov podľa nového zákona o OOÚ je okrem § 13 ods. 1 aj § 78 ods. 1 nového zákona o OOÚ, prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné na akademický účel, umelecký účel alebo literárny účel; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná. § 78 ods. 2 nového zákona o OOÚ, prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná. § 78 ods. 5 nového zákona o OOÚ, prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Právny základ spracúvania osobných údajov
Právny základ skôr spomenutých informačných systémov bude nasledovný: Informačný systém Zákazníci osobné údaje, ktoré chce spracúvať: meno, priezvisko, adresa, telefónne číslo a pod. osobné údaje bude spracúvať neautomatizovanou formou (napr. bude uzatvárať kúpne zmluvy elektronicky na základe zákona č. 102/2014 Z.z. o ochrane spotrebiteľa pri predaji tovaru alebo poskytovaní služieb na základe zmluvy uzavretej na diaľku) Právnym základom môže byť článok 6 ods. 1 písm. b) nariadenia GDPR Personálny a mzdový informačný systém osobné údaje, ktoré chce spracúvať: meno, priezvisko, adresa, dátum narodenia a pod. osobné údaje bude spracúvať neautomatizovanou formou (s fyzickou osobou uzatvorí pracovnú zmluvu v písomne forme; bude je uchovávať len v písomnej forme v šanóne) Právnym základom môže byť článok 6 ods. 1 písm. b) alebo článok 6 ods. 1 písm. c) nariadenia GDPR Informačný systém Marketing osobné údaje, ktorý chce spracúvať: ová adresa a pod. osobné údaje bude spracúvať automatizovanou formou (napr. zákazník poskytne ovú adresu elektronickou formou) Právnym základom je článok 6 ods. 1 písm. a) nariadenia GDPR

Zásady spracúvania osobných údajov
Podľa článku 5 ods. 2 nariadenia GDPR /znenie nariadenia GDPR bolo prevzaté do § 12 nového zákona o OOÚ/, prevádzkovateľ je zodpovedný za súlad so zásadami spracúvania osobných údajov a musí vedieť tento súlad preukázať (zásada zodpovednosti). Prevádzkovateľ teda musí uniesť dôkazné bremeno Úrad nebude musieť preukázať porušenie právneho predpisu, aby mohol prevádzkovateľ sankcionovať Prevádzkovateľ musí Úradu preukázať, že spracúva údaje v súlade s každou jednou zásadou podľa nariadenia GDPR resp. nového zákona o OOÚ Zásady spracúvania OÚ sú upravené v článku 5 nariadenia GDPR a v § 6 až § 12 nového zákona o OOÚ Podľa § 104 ods. 2 písm. a) nového zákona o OOÚ, Úrad môže uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu kto nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane podmienok súhlasu podľa § 6 až 14, § 16 a § 52 až 58 alebo podľa čl. 5 až 7 a čl. 9 nariadenia (EÚ) 2016/679

Zásada zákonnosti, spravodlivosti a transparentnosti
Článok 5 ods. 1 písm. a) nariadenia GDPR / § 6 nového zákona o OOÚ Definícia Osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Z dôvodovej správy nového zákona o OOÚ Každé spracúvanie osobných údajov má byť zákonné, založené na legálnom právnom základe podľa § 13 nového zákona o OOÚ. Spracúvanie nesmie byť protiprávne, nesmie prebiehať na nelegálnom právnom základe alebo samotný účel spracúvania nesmie byť nelegitímny. Recitál bod 39 nariadenia GDPR Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú.

Zásada zákonnosti, spravodlivosti a transparentnosti
Recitál bod 39 nariadenia GDPR (pokračovanie) Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov. Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

Zásada obmedzenia účelu
Článok 5 ods. 1 písm. b) nariadenia GDPR / § 7 nového zákona o OOÚ Definícia Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje za nezlučiteľné s pôvodným účelom. Z dôvodovej správy nového zákona o OOÚ Spracúvané osobné údaje majú byť primerané, relevantné a obmedzené na zoznam alebo rozsah osobných údajov nevyhnutný vzhľadom na účel, na ktorý sa spracúvajú. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvaných osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných osobných údajov. Účel má byť vymedzený dostatočne jasne a určito, aby z neho bolo jasné, aké spracovateľské operácie na základe neho budú a nebudú prebiehať, alebo aké spracovateľské operácie dotknutá osoba môže očakávať, že s jej osobnými údajmi na základe jeho vymedzenia môžu prebiehať. Spracúvať osobné údaje na iný účel, než na ktorý boli získané je zakázané, ibaže by tento iný účel úzko súvisel s pôvodným účelom spracúvania, bol s ním zlučiteľný.

Zásada minimalizácie osobných údajov
Článok 5 ods. 1 písm. c) nariadenia GDPR / § 8 nového zákona o OOÚ Definícia Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú. Z dôvodovej správy nového zákona o OOÚ Spracúvanie osobných údajov má byť úzko naviazané na účel spracúvania osobných údajov, a to najmä pokiaľ ide o zoznam alebo rozsah spracúvaných osobných údajov, ktorý by mal byť nevyhnutný na to, aby sa spracúvaním daných osobných údajov účel mohol dosiahnuť. Nie je správne, aby sa zoznam alebo rozsah osobných údajov umelo alebo dodatočne rozširoval vzhľadom na účel. Ak je účel a zoznam alebo rozsah osobných údajov stanovený zákonom, je potrebné ho rešpektovať, ak si zoznam alebo rozsah spracúvaných osobných údajov určuje prevádzkovateľ má dbať na to, aby ho zbytočne, nad rámec účelu nerozširoval.

Zásada správnosti Článok 5 ods. 1 písm. d) nariadenia GDPR / § 9 nového zákona o OOÚ Definícia Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili. Z dôvodovej správy nového zákona o OOÚ Osobné údaje spracúvané na určitý účel musia byť správne, presné a podľa potreby aktualizované tak, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne sa bezodkladne vymažú alebo opravia. Ak nesprávny osobný údaj odhalí prevádzkovateľ má povinnosť ho opraviť, ak je to možné, ak nie, má povinnosť ho zlikvidovať. V prípade ak nesprávny osobný údaj zistí dotknutá osoba mala by sama iniciatívne kontaktovať prevádzkovateľa a požadovať opravu nesprávneho osobného údaja alebo jeho likvidáciu podľa tohto zákona, ak sa nesprávnosť údaju potvrdí, prevádzkovateľ má požiadavke dotknutej osoby na opravu vyhovieť. Zásada aktuálnosti znamená tiež to, že prevádzkovateľ má povinnosť spracúvané osobné údaje pravidelne kontrolovať a aktualizovať (pravidelnosť kontroly je potrebné nastaviť s ohľadom na ujmu, ktorá môže vzniknúť dotknutej osobe pri spracúvaní nesprávneho osobného údaja prevádzkovateľom), a to aj po obsahovej stránke, nielen gramatickej, teda by sa nemalostať, že osoba, ktorá uhradila svoj dlh bude v systéme prevádzkovateľa stále vedená ako dlžník, napriek tomu, že reálny aj právny stav tomu už nezodpovedá. Prevádzkovateľ nesie zodpovednosť za aktuálnosť osobného údaja v jeho informačnom systéme osobných údajov. V prípade, ak dotknutá osoba sama poskytne prevádzkovateľovi nesprávne osobné údaje za ich nesprávnosť v tomto prípade nenesie zodpovednosť prevádzkovateľ, iba že by mal možnosť, prípadne zákonom stanovenú povinnosť si ich správnosť preveriť.

Zásada minimalizácie uchovávania
Článok 5 ods. 1 písm. e) nariadenia GDPR / § 10 nového zákona o OOÚ Definícia Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu, a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8. Z dôvodovej správy nového zákona o OOÚ Zásada minimalizácie uchovávania spracúvaných osobných údajov, má za cieľ dosiahnuť, aby sa osobné údaje vo forme, kedy je ich možné priradiť ku konkrétnej fyzickej osobe spracúvali iba dovtedy, kým je to potrebné na dosiahnutie sledovaného účelu spracúvania. Akonáhle je tento cieľ spracúvania osobných údajov dosiahnutý je možné, aby sa osobné údaje už spracúvali iba na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely podľa osobitného predpisu za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto zákonom na ochranu práv dotknutých osôb.

Zásada integrity a dôvernosti
Článok 5 ods. 1 písm. f) nariadenia GDPR / § 11 nového zákona o OOÚ Definícia Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov. Z dôvodovej správy nového zákona o OOÚ Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila ich primeraná bezpečnosť a dôvernosť vrátane predchádzania neoprávnenému prístupu k osobným údajom a prostriedkom spracúvania osobných údajov. Prijaté bezpečnostné opatrenia musia byť adekvátne spracúvaným osobným údajom, a to tak po technickej, personálnej, ako aj po organizačnej stránke.

Zásady spracúvania osobných údajov (zásada zodpovednosti)
Z dôvodovej správy nového zákona o OOÚ zásada zodpovednosti pre prevádzkovateľa znamená aj povinnosť, aby vedel deklarovať navonok, že všetky požadované povinnosti si skutočne plní prevádzkovateľ pri prijímaní bezpečnostných opatrení a plnení si aj iných svojich povinností podľa tohto zákona musí vystupovať aktívne a snažiť sa splniť si všetky povinnosti tak, ako mu ich zákon ukladá prevádzkovateľ je povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto zákonom vrátane primeraných a účinnosti bezpečnostných opatrení v opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva fyzických osôb na účely prijatia zodpovednosti by mal prevádzkovateľ najmä prijímať adekvátne politiky ochrany osobných údajov, ktorými bude deklarovať svoju zodpovednosť za spracúvanie a ochranu osobných údajov prevádzkovateľ zodpovedá aj za spracúvanie osobných údajov ním povereného sprostredkovateľa, či so sprostredkovateľom dohodnutého ďalšieho sprostredkovateľa, ktorí spracúvajú osobné údaje v jeho mene a na základe jeho pokynov so zásadou zodpovednosti je spojené aj vedenie patričnej dokumentácie tak, aby v prípade potreby prevádzkovateľ vedel a mohol deklarovať, že vykonal posúdenie vplyvu, alebo opätovne hodnotil a snažil sa znížiť vysoké riziko, ktoré mu v rámci posúdenia vplyvu na osobné údaje, ako zvyškové vyšlo

Preukázanie plnenia zásad spracúvania osobných údajov
Prevádzkovateľ je povinný preukázať spracúvanie osobných údajov v zmysle vymenovaných zásad. Ak si prevádzkovateľ e-shopu zadefinoval, že k uzavretiu kúpnej zmluvy na diaľku, na určitý tovar, bude požadovať napr. meno, priezvisko, adresa a dátum narodenia, musí vedieť deklarovať splnenie zásad. Tieto osobné údaje môžu tvoriť napr. Informačný systém Zákazníci. Otázky pre prevádzkovateľa pri posúdení splnenia zásad spracúvania OÚ v informačnom systéme Zákazníci: Zásada zákonnosti Mám právny základ k vyššie uvedeným osobných údajom? (Legitímnym právnym základom môže byť napr. plnenie zmluvy v zmysle 6 ods. 1 písm. b) nariadenia GDPR ) Je daný účel k spracúvaniu týchto osobných údajov? (Legitímnym účelom môže byť napr. uzatvorenie zmluvy) Zásada obmedzenia účelu Používam tieto osobné údaje len na účel ku ktorému som ich získal? (Používam ich len na uzatvorenie zmluvy? Alebo aj k poštovému marketingu? K archivácii?)

Otázky pre prevádzkovateľa pri posúdení splnenia zásad spracúvania OÚ v informačnom systéme Zákazníci: Zásada minimalizácie osobných údajov Je nevyhnutné spracúvať meno a priezvisko? (Áno, je to nevyhnutné na identifikáciu kupujúceho) Je nevyhnutné spracúvať adresu? (Áno, je to nevyhnutné na doručenie tovaru) Je nevyhnutné spracúvať dátum narodenia? (Áno, ak prevádzkovateľ preukáže nevyhnutnosť spracúvania tohto osobného údaju. Napr. je to nevyhnutné ak v jednej bytovej jednotke býva plnoletá dcéra a aj jej mama s rovnakým menom a priezviskom – v takom prípade je potrebné identifikovať kupujúcu mamu alebo dcéru. Nie je postačujúce spracúvať napr. len rok narodenia? Je nevyhnutné spracúvať aj deň a mesiac narodenia?) Zásada správnosti Sú poskytnuté osobné údaje kupujúceho správne a aktualizované, po tom ako kupujúci oznámil zmenu svojej adresy? (prevádzkovateľ je povinný napr. zabezpečiť bezodkladnú opravu osobných údajov vo svojom informačnom systéme)

Otázky pre prevádzkovateľa pri posúdení splnenia zásad spracúvania OÚ v informačnom systéme Zákazníci: Zásada minimalizácie uchovávania V akej forme som povinný uchovávať osobné údaje? (Musí to byť forma, ktorá umožňuje identifikáciu dotknutej osoby/kupujúceho, napr. v automatizovanej forme to môže byť súbor v počítači s názvom IS Zákazníci, kde sú osobné údaje priradené ku konkrétnemu kupujúcemu) Po akú dlhú dobu môžem uchovávať osobné údaje? (Osobné údaje uchovávam až do doby splnenia účelu t.j. napr. po dobu 24 mesiacov od uzavretia zmluvy, keďže v tejto lehote môže kupujúci v zmysle zákona uplatniť reklamáciu tovaru; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie zmlúv.

Otázky pre prevádzkovateľa pri posúdení splnenia zásad spracúvania OÚ v informačnom systéme Zákazníci: Zásada integrity a dôvernosti Zabezpečil som primeranú bezpečnosť a dôvernosť osobných údajov zákazníka po technickej, personálnej, ako aj po organizačnej stránke? Technická stránka Sú moje počítače dostatočne chránené voči útokom? Je elektronický prenos osobných údajov dostatočne chránený? (pseudonymizácia a šifrovanie osobných údajov) Personálna stránka Sú moji zamestnanci poverení spracúvaním osobných údajov? Sú poučení ako osobné údaje chrániť? Organizačná stránka Určil som proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení? Akým spôsobom bude prebiehať testovanie? Pre prípady systémovej chyby (vírus, hackerský útok a pod.), mám zabezpečený proces obnovy dostupnosti osobných údajov?

Súhlas podľa zákona č. 122/2013 Z.z.
Podľa § 11 zákona č. 122/2013 Z.z., súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému alebo iným hodnoverným spôsobom. Súhlasom dotknutej osoby je akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov (§ 4 ods. 3 písm. d) zákona č. 122/2013 Z.z.)

Súhlas podľa zákona č. 122/2013 Z.z.
Podľa § 11 zákona č. 122/2013 Z.z., dôkaz o súhlase obsahuje najmä údaj o tom kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, čas platnosti súhlasu.

Súhlas podľa novej právnej úpravy
Podľa článku 7 ods. 2 nariadenia GDPR, žiadosť o vyjadrenie súhlasu musí byť jasne odlíšiteľná od iných skutočností, v zrozumiteľnej a ľahko dostupnej forme, formulovaná jasne a jednoducho. Súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka (článku 4 ods. 11 nariadenia GDPR).

Súhlas podľa novej právnej úpravy
Súhlas môže byť udelený napr. v písomnej forme alebo elektronickej forme alebo inak hodnovernej preukázateľnej forme (napríklad telefonická nahrávka udelenia súhlasu). Podľa § 110 ods. 11 nového zákona o OOÚ, súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je v súlade s týmto zákonom alebo osobitným predpisom, sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od 25. mája

Súhlas udelený elektronickými prostriedkami
aktívne označenie políčka pri návšteve internetového webového sídla („opt in“ udelenie súhlasu), požiadavka na jeho poskytnutie musí byť jasná a stručná, požiadavka na jeho poskytnutie nemá pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje, ak sa spracúvanie osobných údajov vykonáva na viaceré rôzne účely, súhlas by sa mal udeliť na všetky tieto účely samostatne, oddelene, súhlas musí jasne znamenať a dokazovať, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov, mlčanie, vopred označené políčka alebo nečinnosť dotknutej osoby sa za súhlas nepovažujú, súhlas poskytnutý elektronicky má osoba právo elektronicky aj odvolať, nemusí však ísť o totožnú formu elektronického odvolania súhlasu.

Informačná povinnosť podľa zákona č. 122/2013 Z.z.
Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je podľa § 15 zákona č. 122/2013 Z.z. povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie: identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, identifikačné údaje sprostredkovateľa, účel spracúvania osobných údajov, zoznam osobných údajov alebo rozsah osobných údajov, doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov (poučenie o dobrovoľnosti, tretie strany, okruh príjemcov, formu zverejnenia, tretie krajiny, poučenie o právach dotknutej osoby).

Informačná povinnosť podľa novej právnej úpravy
V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ podľa článku 13 nariadenia GDPR pri získavaní osobných údajov dotknutej osobe všetky tieto informácie: : totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa, kontaktné údaje prípadnej zodpovednej osoby, účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania, ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana, príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú, v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

Okrem informácií, ktoré sa uvádzajú v článku 13 odseku 1 nariadenia GDPR, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania: doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie, existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov, ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním, právo podať sťažnosť dozornému orgánu,

informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov, existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu. Podľa článku 14 nariadenia GDPR, prevádzkovateľ poskytne dotknutej osobe informácie podľa článku 13 nariadenia GDPR, ak osobné údaje neboli získané od dotknutej osoby, okrem prípadov ak dotknutá osoba už informácie má, ak zaznamenanie alebo poskytnutie osobných údajov je stanovené osobitným predpisom, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo ak sa poskytnutie informácií dotknutej osobe prevádzkovateľom sa ukáže ako nemožné alebo by si vyžiadalo zo strany prevádzkovateľa vynaloženie neprimeraného úsilia (v tejto súvislosti by sa mal zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté primerané záruky).

Informačná povinnosť prostredníctvom elektronických prostriedkov
V prípade ak prevádzkovateľ získava osobné údaje od dotknutej osoby prostredníctvom elektronických prostriedkov napr. označením políčka pri vypĺňaní online formulára (opt in) musí zabezpečiť najmä: preukázateľné oboznámenie všetkých zákonných informácii dotknutej osobe, informácie musia byť dotknutej osobe poskytnuté najneskôr pri získavaní jej osobných údajov, respektíve v dostatočnom časovom predstihu, informácie musia byť dotknutej osobe poskytnuté jasne a zrozumiteľne a takým spôsobom, aby sa s týmito informáciami mohla skutočne oboznámiť a porozumela im, prevádzkovateľ musí vedieť vyššie uvedené skutočnosti preukázať Úradu.

Práva dotknutej osoby Právo dotknutej osoby na prístup k údajom (článok 15 nariadenia GDPR) Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a informáciám. Právo na opravu (článok 16 nariadenia GDPR) Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia. Právo na vymazanie – právo „na zabudnutie“ (článok 17 nariadenia GDPR) Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z dôvodov uvedených v článku 17 ods. 1 písm. a) až f) nariadenia GDPR.

Práva dotknutej osoby Právo na obmedzenie spracúvania (článok 18 nariadenia GDPR) Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z prípadov uvedených v článku 18 ods. 1 písm. a) až d) nariadenia GDPR. Právo na prenosnosť údajov (článok 20 nariadenia GDPR) Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak spracúvanie osobných údajov týkajúcich sa dotknutej osoby je založené na súhlase so spracúvaním osobných údajov poskytnutom samotnou dotknutou osobou alebo ak je spracúvanie osobných údajov založené na zmluvnom vzťahu, ktorého je dotknutá osoba zmluvnou stranou; je vykonávané u prevádzkovateľa automatizovanými prostriedkami spracúvania.

Práva dotknutej osoby Právo namietať (článok 21 nariadenia GDPR)
Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Prevádzkovateľ podľa novej právnej úpravy
prevádzkovateľ nesie zodpovednosť za zákonné spracúvanie osobných údajov prevádzkovateľ je povinný prijať vhodné technické a organizačné opatrenia prevádzkovateľ je povinný tieto opatrenia podľa potreby preskúmať a aktualizovať prevádzkovateľ má povinnosť vedieť preukázať súlad spracúvania s týmto zákonom, ako aj účinnosť a primeranosť ním prijatých opatrení na ochranu spracúvaných osobných údajov prevádzkovateľ je povinný vytvoriť také podmienky fungovania ním prevádzkovaných informačných systémov, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom, zneužitím a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania prevádzkovateľ je tiež na zaistenie bezpečnosti a na prijatie svojej zodpovednosti a deklarovania plnenia opatrení povinný prijať adekvátne politiky ochrany osobných údajov smerom dovnútra aj navonok, ktoré možno považovať za jednu z foriem bezpečnostných opatrení, najmä po organizačnej a personálnej stránke

Príjemca a tretia strana podľa novej právnej úpravy
Podľa článku 4 ods. 9 nariadenia GDPR, príjemca je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania. Podľa článku 4 ods. 10 nariadenia GDPR, tretia strana je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov.

Sprostredkovateľ a zmluva s ním podľa zákona č. 122/2013 Z.z.
Podľa § 4 ods. 2 písm. d) zákona č. 122/2013 Z.z., je sprostredkovateľom každý kto spracúva osobné údaje v mene prevádzkovateľa, kto spracúva osobné údaje v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8, kto spracúva osobné údaje v súlade s týmto zákonom.

Podľa § 8 zákona č. 122/2013 Z.z., prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov, pričom obsahuje najmä údaje o zmluvných stranách (ak FO - titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak PO - názov, právnu formu, adresu sídla a identifikačné číslo, ak živnostník - obchodné meno, adresu miesta podnikania a identifikačné číslo), deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa, účel spracúvania osobných údajov, názov informačného systému, zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4

okruh dotknutých osôb, podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi, vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1, súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa odseku 5 (subdodávateľ), dobu, na ktorú sa zmluva uzatvára, dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Sprostredkovateľ a zmluva s ním podľa novej právnej úpravy
Podľa článku 4 ods. 8 nariadenia GDPR, sprostredkovateľom je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Podľa článku 28 ods. 1 nariadenia GDPR, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby. Podľa článku 28 ods. 3 nariadenia GDPR, spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.

Podľa článku 28 ods. 3 nariadenia GDPR, zmluva najmä stanoví, že sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu, zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu, vykoná všetky požadované opatrenia podľa článku 32, dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4,

po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III, pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi, po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov, poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

Subdodávateľ podľa novej právnej úpravy
Podľa článku 28 ods. 2 nariadenia GDPR, sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. Podľa článku 28 ods. 4 nariadenia GDPR, ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa .

Záznamy o spracovateľských činnostiach
Podľa článku 30 ods. 1 nariadenia GDPR, každý prevádzkovateľ vedie v písomnej podobe vrátane elektronickej podoby záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie: meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby, účely spracúvania, opis kategórií dotknutých osôb a kategórií osobných údajov, kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií, v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk,

Záznamy o spracovateľských činnostiach
podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov, podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1. Podľa článku 30 ods. 2 nariadenia GDPR, každý sprostredkovateľ vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú náležitosti podľa článku 30 ods. 2 písm. a) až d) nariadenia GDPR. Podľa článku 30 ods. 4 nariadenia GDPR, prevádzkovateľ alebo sprostredkovateľ a v príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa na požiadanie sprístupnia záznamy dozornému orgánu.

Bezpečnostné opatrenia podľa zákona č. 122/2013 Z.z.
Podľa § 19 ods. 1 zákona č. 122/2013 Z.z., prevádzkovateľ prijme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému. Podľa § 19 ods. 2 zákona č. 122/2013 Z.z., bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len „bezpečnostný projekt“) ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13, alebo informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu

Bezpečnostné opatrenia podľa zákona č. 122/2013 Z.z.
Podľa § 5 ods. 1 Vyhlášky Úradu na ochranu osobných údajov SR č. 164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení, bezpečnostný projekt informačného systému podľa § 19 ods. 2 zákona č. 122/2013 Z.z. obsahuje názov informačného systému, na ktorý sa vzťahuje, bezpečnostný zámer, analýzu bezpečnosti informačného systému, závery vyplývajúce z písmen b) a c).

Bezpečnostné opatrenia podľa novej právnej úpravy
Podľa článku 32 ods. 1 nariadenia GDPR, prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj: pseudonymizáciu a šifrovanie osobných údajov, schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb, schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

Oznámenie porušenia ochrany osobných údajov
Podľa článku 33 ods. 1 nariadenia GDPR, v prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu príslušnému podľa článku 55 s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel oznámenie musí obsahovať aspoň náležitosti uvedené v článku 33 ods. 3 písm. a) až d) nariadenia GDPR prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe

Posúdenie vplyvu na ochranu osobných údajov
Podľa článku 35 ods. 1 nariadenia GDPR, ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie . Podľa článku 35 ods. 3 nariadenia GDPR, posúdenie vplyvu na ochranu údajov sa vyžaduje najmä v prípadoch systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu, spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

Posúdenie vplyvu na ochranu osobných údajov
Podľa článku 35 ods. 7 nariadenia GDPR, posúdenie obsahuje aspoň systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ, posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu, posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

Predchádzajúca konzultácia
Podľa článku 36 ods. 1 nariadenia GDPR, prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika. Podľa článku 36 ods. 2 nariadenia GDPR, ak sa dozorný orgán domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, dozorný orgán do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 58. Uvedená lehota sa môže predĺžiť o šesť týždňov, pričom sa zohľadní ucelenosť zamýšľaného spracúvania.

Oprávnená osoba podľa zákona č. 122/2013 Z.z.
Podľa § 4 ods. 2 písm. e) zákona č. 122/2013 Z.z., oprávnenou osobou je každá fyzická osoba, ktorá súčasne prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, vykonáva to na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a zároveň spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21.

Poučenie oprávnenej osoby podľa zákona č. 122/2013 Z.z.
fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia, prevádzkovateľ je povinný poučiť osobu o jej právach a povinnostiach pri spracúvaní osobných údajov, poučenie obsahuje najmä vymedzenie rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov, prevádzkovateľ vykoná poučenie pred uskutočnením prvej operácie s osobnými údajmi oprávnenou osobou, prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať, prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.

„Oprávnená osoba“ podľa novej právnej úpravy
Pojem „oprávnená osoba“ nová právna úprava nestanovuje (ani nariadenie GDPR ani nový zákon o OOÚ), avšak podľa článku 32 ods. 4 nariadenia GDPR, prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, a ktorá má zároveň prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu. Prevádzkovateľ a aj sprostredkovateľ je povinný poučiť každú fyzickú osobu, ktorá, ako oprávnená osoba, vykonáva pre prevádzkovateľa alebo sprostredkovateľa spracovateľské činnosti, aby dodržiavala a vykonávala spracovateľské operácie len na základe pokynov prevádzkovateľa alebo na základe osobitného predpisu, na základe ktorého táto fyzická osoba osobné údaje spracúva.

Zodpovedná osoba podľa zákona č. 122/2013 Z.z.
Podľa § 23 ods. 2 zákona č. 122/2013 Z.z., prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených osôb, môže výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie úloh, fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov po úspešnom absolvovaní skúšky, môže ňou byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná (bezúhonnosť sa preukazuje doloženým výpisom z registra trestov nie starším ako tri mesiace) a má platné potvrdenie úradu o absolvovaní skúšky, prevádzkovateľ, je povinný o poverení výkonom dohľadu nad ochranou osobných údajov písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby

Zodpovedná osoba podľa novej právnej úpravy
Podľa článku 37 ods. 1 nariadenia GDPR, prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci, hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo, hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10. Prevádzkovateľ a sprostredkovateľ však môžu určiť zodpovednú osobu dobrovoľne t.j. bez zákonnej povinnosti.

Zodpovedná osoba podľa novej právnej úpravy
Podľa článku 37 ods. 2 nariadenia GDPR, skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne. Podľa článku 37 ods. 3 nariadenia GDPR, ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávny subjekt, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba, pričom sa zohľadní ich organizačná štruktúra a veľkosť. Podľa článku 37 ods. 5 nariadenia GDPR, zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39. Podľa článku 37 ods. 6 nariadenia GDPR, zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb. Podľa článku 37 ods. 7 nariadenia GDPR, prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu.

Úlohy zodpovednej osoby podľa novej právnej úpravy
Podľa článku 39 ods. 1 nariadenia GDPR, zodpovedná osoba má aspoň tieto úlohy poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov, monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov, poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania podľa článku 35, spolupráca s dozorným orgánom, plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 36 a podľa potreby aj konzultácie v akýchkoľvek iných veciach.

Kódexy správania a certifikácia
Podľa článku 32 ods. 3 nariadenia GDPR, dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku . Kódex správania Schváleným kódexom správania skupina prevádzkovateľov alebo sprostredkovateľov deklaruje, že predmet, na ktorý sa kódex správania vzťahuje a v kontexte predmetu aj spracovateľské operácie s osobnými údajmi sú vykonávané členmi kódexu správania v súlade s novým zákonom o OOÚ a nariadením GDPR. Certifikácia Prevádzkovateľ alebo sprostredkovateľ na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa nového zákona o OOÚ alebo osobitného predpisu môže požiadať Úrad alebo certifikačný subjekt o vydanie certifikátu alebo obnovenie certifikátu.

Prenosy osobných údajov do tretích krajín
Prenosy na základe rozhodnutia o primeranosti (článok 45 nariadenia GDPR) Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné povolenie . Prenosy vyžadujúce primerané záruky (článok 46 nariadenia GDPR) Ak neexistuje rozhodnutie podľa článku 45 nariadenia GDPR, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

Prenosy osobných údajov do tretích krajín
Záväzné vnútropodnikové pravidlá (článok 47 nariadenia GDPR) Príslušný dozorný orgán schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63, ak sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú, sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a spĺňajú požiadavky stanovené v článku 47 ods. 2 nariadenia GDPR.

Písomná dokumentácia podľa zákona č. 122/2013 Z.z.
Písomná zmluva o poverení spracúvaním osobných údajov (§ 8 zákona č. 122/2013 Z.z.) Písomný súhlas dotknutej osoby (§ 11 a nasl. zákona č. 122/2013 Z.z.) Písomná informačná povinnosť voči dotknutej osobe (§ 15 zákona č. 122/2013 Z.z.) Primerané technické, organizačné a personálne opatrenia (§ 19 zákona č. 122/2013 Z.z.) Bezpečnostný projekt informačných systémov (§ 20 zákona č. 122/2013 Z.z.)

Záznam o poučení oprávnenej osoby (§ 21 zákona č. 122/2013 Z.z.) Zmluva o mlčanlivosti (§ 22 zákona č. 122/2013 Z.z.) Poverenie zodpovednej osoby a oznámenie úradu (§ 23 a nasl. zákona č. 122/2013 Z.z.) Štandardné zmluvné doložky alebo záväzné vnútropodnikové pravidlá prevádzkovateľa (§ 31 zákona č. 122/2013 Z.z.) Písomné oznámenie informačných systémov (§ 34 a nasl. zákona č. 122/2013 Z.z.)

Osobitná registrácia informačných systémov (§ 37 a nasl. zákona č. 122/2013 Z.z.) Písomná evidencia informačných systémov (§ 43 a nasl. zákona č. 122/2013 Z.z.)

Písomná dokumentácia podľa novej právnej úpravy
Súhlas dotknutej osoby (článok 7 nariadenia GDPR) Informačná povinnosť (článok 13 a nasl. nariadenia GDPR) Zmluva o spracúvaní osobných údajov sprostredkovateľom (článok 28 nariadenia GDPR) Záznamy o spracovateľských činnostiach (článok 30 nariadenia GDPR) Primerané technické a organizačné opatrenia (článok 32 nariadenia GDPR)

Písomná dokumentácia podľa novej právnej úpravy
Poverenie fyzickej osoby (poučenie oprávnenej osoby) (článok 32 nariadenia GDPR) Oznámenie porušenia ochrany osobných údajov (článok 33 nariadenia GDPR) Posúdenie vplyvu na ochranu osobných údajov (článok 35 nariadenia GDPR) Určenie zodpovednej osoby (článok 37 nariadenia GDPR) Primerané záruky poskytnuté prevádzkovateľom (článok 46 nariadenia GDPR) Záväzné vnútropodnikové pravidlá (článok 47 nariadenia GDPR)

Odporúčaný postup na zabezpečenie ochrany osobných údajov
stanoviť si rozsah potrebných osobných údajov pre svoju podnikateľskú činnosť uvedený rozsah zúžiť tak, aby ste spracúvali len nevyhnutne potrebné osobné údaje zabezpečiť ku každému osobnému údaju právny základ ak je právnym základom súhlas, je potrebné zabezpečiť, aby ste ho získali v súlade s účinnou právnou úpravou vytvoriť informačné systémy osobných údajov podľa účelov spracúvania určiť zodpovednú osobu, ak tak stanovuje účinná právna úprava posúdiť vplyv na ochranu osobných údajov prijať primerané technické a organizačné opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov uzatvoriť zmluvu so sprostredkovateľmi poveriť zamestnancov pokynmi k spracúvaniu osobných údajov zabezpečiť všetkým dotknutým osobám práva, garantované účinnou právnou úpravou vypracovať záznamy o spracovateľských činnostiach zabezpečiť dôkazy, aby ste vyššie uvedené skutočnosti, vedeli Úradu na požiadanie preukázať

ĎAKUJEM ZA POZORNOSŤ.

Ochrana osobných údajov 2018 pre e-shopy

Podobné prezentace

Prezentace na téma: "Ochrana osobných údajov 2018 pre e-shopy"— Transkript prezentace:

Podobné prezentace

O projektu

Kontaktní formulář

Přihlásit se

Přihlásit se přes sociální síť:

Ochrana osobných údajov 2018 pre e-shopy

Podobné prezentace

Prezentace na téma: "Ochrana osobných údajov 2018 pre e-shopy"— Transkript prezentace:

Podobné prezentace

O projektu

Kontaktní formulář