Oznámenie porušenia ochrany osobných údajov

Nová legislatívna v oblasti ochrany osobných údajov - Nariadenie (EÚ)2016/679 a zákon č. 18/2018 Z. z. sa začne uplatňovať dňom 25.05.2018. Čl. 33 nariadenia a § 40 zákona upravujú podmienky, kedy sú prevádzkovatelia povinní oznámiť úradu porušenie ochrany osobných údajov. Porušenie ochrany osobných údajov je prevádzkovateľ povinný oznámiť úradu bez zbytočného odkladu a podľa možností najneskôr do 72 hodín po tom,  ako sa o tom dozvedel. To neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.

 

Oznámenie musí obsahovať najmä povahu porušenia, kategórie, približný počet dotknutých osôb,  počet príslušných záznamov a osobných údajoch, pravdepodobné dôsledky a opatrenia, ktoré boli prijaté na riešenie a zmierenie porušenia.

 

Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel. Prevádzkovatelia uvedené informácie úradu poskytnú prostredníctvom úradu vytvoreného formuláru.

Oznámenie kontaktných údajov určenej zodpovednej osoby

Dňa 25.05.2018 sa začne uplatňovať nová legislatívna v oblasti ochrany osobných údajov – Nariadenie (EÚ) 2016/679 a zákon č. 18/2018 Z. z. Čl. 37 nariadenia a § 44 zákona upravujú podmienky, kedy sú prevádzkovatelia a sprostredkovatelia povinní určiť zodpovednú osobu. Prevádzkovateľ a sprostredkovateľ je povinný podľa čl. 37 ods. 7 nariadenia a § 44 ods. 8 zákona oznámiť úradu kontaktné údaje určenej zodpovednej osoby. Nakoľko zodpovedná osoba podľa čl. 39 ods. 1 písm. e) nariadenia a § 46 ods. 1 písm. e) zákona plní úlohy kontaktného miesta pre úrad, je prevádzkovateľ a sprostredkovateľ povinný oznámiť úradu aj identifikačné údaje zodpovednej osoby (napríklad kontakt na prevádzkovateľa a sprostredkovateľa alebo meno a priezvisko zodpovednej osoby), a to za účelom riadneho plnenia úloh úradu, aby mohol vhodne a personalizovane zodpovednú osobu oslovovať a kontaktovať, keď s ňou bude komunikovať. Úrad takto získané osobné údaje využíva a bude využívať výlučne na účely kontaktovania zodpovednej osoby pri komunikácii s ňou.

 

Vyššie uvedené platí aj pre prevádzkovateľa a sprostredkovateľa, ktorí si zodpovednú osobu, určili alebo určia dobrovoľne.

 

Uvedené povinnosti si prevádzkovatelia a sprostredkovatelia voči úradu splnia prostredníctvom úradu vytvoreného formuláru.

 

Odpovede na otázky verejnosti

S ohľadom na veľké množstvo otázok zasielaných úradu v týchto dňoch nie je možné na všetky otázky reagovať  ihneď, alebo do 25.5.2018. Z uvedeného dôvodu Vás žiadame o trpezlivosť pri čakaní na odpoveď. Otázkam sa venujeme v poradí, v akom boli na úrad zaslané. Vyzývame Vás tiež, aby ste si pozreli informácie zverejnené na webovom sídle úradu, nakoľko aj v rámci zverejnených metodík alebo často kladených otázok (FAQ) môžete nájsť odpovede na vaše otázky. Ďakujeme za pochopenie.

Slovenská republika medzi krajinami, ktoré implementovali GDPR

Slovenská republika bola zaradená do „klubu“ niekoľko málo krajín v rámci EU, ktoré implementovali GDPR do národnej legislatívy. Tento fakt neunikol ani odbornej verejnosti, ktorá sa ochranou osobných údajov zaoberá a ktorá krátko hodnotila, kde v implementácii GDPR vznikajú v rámci členských krajín problémy (link na článok v angličtine: https://iapp.org/news/a/most-member-states-wont-be-ready-for-gdpr/ ) .

 

Informácia úradu ku kódexom správania

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46 ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“) ako aj zákon č. 18/2018 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) upravujú možnosť vypracovania kódexov správania (prípadne zmeny, či rozšírenia už schválených kódexov správania) združeniami a inými subjektami zastupujúcimi kategórie prevádzkovateľov alebo sprostredkovateľov.

Pracovná skupina WP 29, plní významnú úlohu pri uplatňovaní nariadenia, a to najmä prostredníctvom prijímania metodiky ku konkrétnym otázkam alebo oblastiam týkajúcim sa spracúvania osobných údajov. Toho času Pracovná skupina WP 29 (od 25.5.2018 EDPB, European Data Protection Board; Európsky výbor pre ochranu údajov podľa čl. 68 nariadenia a podľa čl. 94 os. 2 nariadenia) pripravuje metodiku kú kódexom správania, „Guideline on Codes of Conduct and Monitoring Bodies under Regulation 2016/679“, ktorá má zabezpečiť jednotný výklad a uplatňovanie nariadenia v oblasti kódexov správania a monitorujúcich subjektov.

Úrad z uvedeného dôvodu považuje za nevyhnutné zosúladiť procesy týkajúce sa kódexov správania (procesu ich schvaľovania a tiež nastavenie procesov pre monitorujúce subjekty) s danou metodikou, ktorá bude vydaná. Až po zverejnení schválenej metodiky úrad v jej medziach finálne nastaví svoje interné procesy.

Zánik „starých“ inštitútov, prichádza GDPR a zákon č. 18/2018 Z. z.

Tento piatok, dňa 25.5.2018 sa začne v praxi uplatňovať nariadenie GDPR a zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov nadobudne účinnosť (ďalej len „nariadenie“ a „zákon“), zákon č. 122/2013 Z. z. o ochrane osobných údajov a dve vyhlášky úradu stratia účinnosť (24.5.2018 o polnoci) (ďalej len „vyhlášky a starý zákon“). Stratou účinnosti vyhlášok a starého zákona samozrejme v praxi prestanú existovať aj „inštitúty“ z týchto právnych noriem Vám známe, ako napríklad skúška fyzickej osoby na výkon zodpovednej osoby ( a prihlasovanie sa na ňu), povinnosť oznamovať informačný systém osobných údajov úradu, povinnosť viesť evidenciu o informačnom systéme osobných údajov alebo povinnosť v niektorých prípadoch žiadať úrad o osobitnú registráciu informačného systému osobných údajov.  Dovoľujeme si Vás preto požiadať, aby ste uvedenú zmenu vzali na vedomie aj prakticky, teda už úradu nezasielali vyššie uvedené dokumenty a neprihlasovali sa na absolvovanie skúšky na výkon funkcie zodpovednej osoby. Zároveň však nelikvidujte dôkazy a dokumenty spojené so starým zákonom, nakoľko tieto preukazujú, že v čase účinnosti vyhlášok a starého zákona ste si svoje povinnosti riadne plnili.

METODIKA K GDPR A NOVÉMU ZÁKONU O OCHRANE OSOBNÝCH ÚDAJOV

Pracovná skupina WP 29, zaoberajúca sa ochranou osobných údajov na poslednom plenárnom zasadnutí, ktoré sa konalo 10. – 11. apríla 2018 prijala dokumenty, ktoré slúžia ako metodika ku konkrétnym otázkam, a to konkrétne k:

  • súhlasu,
  • transparentnosti (informačná povinnosť),
  • článku 30 od. 5 GDPR (§ 37 ods. 5 zákona 18/2018 Z. z.),
  • šifrovaniu,
  • štandardnej žiadosti o schválenie záväzných vnútropodnikových pravidiel a
  • postupu spolupráce pri schvaľovaní záväzných vnútropodnikových pravidiel.

Často kladené otázky k Nariadeniu a zákonu č. 18/2018 z. z.

Otázok týkajúcich sa NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a ich vzťahov k terajšej právnej úprave je mnoho, vybrali sme pre Vás tie najčastejšie sa opakujúce, veríme, že Vám pomôžu.  Často kladené otázky k Nariadeniu a zákonu č. 18/2018 z. z. nájdete v sekcii otázok a odpovedí.

Mestá a obce v kontexte nastupujúcej legislatívy ochrany osobných údajov

Prechod na novú legislatívu v oblasti ochrany osobných údajov sa dotkne aj obcí a miest, pri tejto príležitosti úrad pripravil tri pomocné metodiky pre mestá obce. Prvá sa týka celkovo zoznámenia sa s nastupujúcou legislatívou, druhá je venovaná „mapovaniu“ toku osobných údajov v prostredí obcí a miest a tretia je venovaná zodpovednej osobe v prostredí obcí a miest.

 

 

Vzor Záznamov o spracovateľských činnostiach

Úrad na ochranu osobných údajov SR podľa § 37 ods. 6 zákona č. 18/2018 Z. z. o ochrane osobných údajov je povinný zverejniť vzor Záznamov o spracovateľských činnostiach. Tento vzor je len pre informáciu čo všetko má Záznam obsahovať a prevádzkovateľ, či sprostredkovateľ má možnosť si ho vytvoriť podľa seba so všetkými zákonnými náležitosťami. Úrad sa tiež rozhodol zverejniť návody alebo postupy ako tieto vzory vyplniť.

 

Video príhovor predsedníčky úradu Soni Pőtheovej k nastupujúcej legislatíve v oblasti ochrany osobných údajov

Deň nástupu novej legislatívy v oblasti ochrany osobných údajov, 25. máj 2018 sa blíži. Od tohto dňa bude účinné všeobecné nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov  a o voľnom pohybe takýchto údajov, tiež známe pod skratkou GDPR (z anglického General Data Protection Regulation) a tiež v tento deň nadobudne účinnosť zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ktorý ruší teraz účinný zákon č. 122/2013 Z. z. o ochrane osobných údajov a dve vyhlášky úradu (vyhláška úradu č. 164/2013 Z. z. a vyhláška úradu č. 165/2013 Z. z.). V oblasti ochrany osobných údajov ide o významný míľnik, ktorým dôjde k zjednoteniu úpravy ochrany osobných údajov v rámci Európskej únie.  O niektorých aspektoch nastupujúcej legislatívy širokú verejnosť stručne informuje predsedníčka úradu Soňa Pőtheová.

 

 

Úprava času telefonických konzultácií úradu v mesiaci apríl a máj 2018

V mesiacoch apríl a máj 2018 bude úrad telefonické konzultácie poskytovať vždy iba v utorok v čase od 08.00 hod do 12.00 hod. Dôvodom zmeny je práca na materiáloch k novej legislatíve, revízia alebo príprava nových metodík a príprava vzorov, ktoré budú v dohľadnej dobe zverejnené na novom webovom sídle úradu. Za porozumenie ďakujeme.  

Stránky

Plná verzia stránky
2018 Úrad na ochranu osobných údajov Slovenskej republiky