Často kladené otázky k Nariadeniu a zákonu č. 18/2018 z. z.

Printer-friendly versionPrinter-friendly versionPDF verziaPDF verzia

ČASTO KLADENÉ OTÁZKY

FREQUENTLY ASKED QUESTIONS

Aktualizované dňa 25. mája 2022

 

 

Otázok týkajúcich sa aplikácie Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej ako „Nariadenie“) a zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej ako „zákon č. 18/2018 Z. z.“) a ich vzťahov k predchádzajúcej právnej úprave je mnoho, vybrali sme pre Vás tie najčastejšie sa opakujúce. Veríme, že Vám pomôžu.

 

Právne texty, na ktoré v texte otázok a odpovedí odkazujeme nájdete v časti Legislatíva a judikatúra -> Národná legislatívaEurópska legislatíva.

 

 

OTÁZKY a ODPOVEDE

 

  • Od akého termínu bude potrebné postupovať podľa novej legislatívy, teda podľa nariadenia a zákona č. 18/2018 Z. z.? upravené

Nariadenie sa začalo uplatňovať v praxi a zákon č. 18/2018 Z. z. nadobudol účinnosť dňa 25.5.2018. Predchádzajúci zákon č. 122/2013 Z. z. a dve vyhlášky úradu (vyhláška č. 164/2013 Z. z. a vyhláška úradu č. 165/2013 Z. z.) stratili účinnosť dňa 24.5.2018., teda od 25.5.2018 je potrebné, aby všetci, ktorí spracúvajú osobné údaje fyzických osôb postupovali v zmysle Nariadenia a zákona č. 18/2018 Z. z.

 

  • Popri sebe sú od 25.5.2018 účinné Nariadenie a zákon č. 18/2018 Z. z. Prečo? upravené

Nariadenie je priamo uplatniteľné v právnom poriadku Slovenskej republiky, teda sa stalo priamo súčasťou slovenského právneho poriadku a priamo ukladá subjektom práva a povinnosti, ktoré je potrebné, aby subjekty dodržiavali.

Zákon č. 18/2018 Z. z. je výsledkom zosúladenia slovenskej národnej legislatívy s Nariadením a tiež sa zákonom č. 18/2018 Z. z. upravujú niektoré oblasti, ktoré Nariadenie priamo určilo, že je potrebné, aby si ich členské štáty upravili, alebo mali možnosť, aby si niektoré spracovateľské činnosti upravili s ohľadom na národnú legislatívu. Je teda potrebné postupovať podľa oboch predpisov.

Iným dôvodom na prijatie zákona č. 18/2018 Z. z. v podobe v akej je zverejnený v Zbierke zákonov Slovenskej republiky je, že v čl. 2 ods. 2 písm. a) Nariadenia sa uvádza, že „Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie“; čo znamená, že v rámci spracúvania sú isté spracovateľské činnosti, v rámci ktorých sa spracúvajú osobné údaje, no nie je možné postupovať pri tomto spracúvaní podľa Nariadenia, nakoľko tieto činnosti nie sú upravené právom Únie. Práve aj pre tieto niektoré ojedinelé spracovateľské činnosti bol prijatý zákon v znení „takmer totožnom“ s Nariadením, aby aj v prípade, ak spracúvanie nespadá pod právo Únie a kedy bude prevádzkovateľ postupovať podľa zákona č. 18/2018 Z. z. prevádzkovateľ nemusel postupovať inak, ako pri spracúvaní osobných údajov podľa Nariadenia. Výnimka z vecnej pôsobnosti Nariadenia uvedená v článku 2 ods. 2 písm. a) sa musí vykladať reštriktívne. Cieľom tohto ustanovenia je vylúčiť z pôsobnosti uvedeného Nariadenia spracúvanie osobných údajov vykonávané štátnymi orgánmi v rámci činnosti, ktorej cieľom je zabezpečiť národnú bezpečnosť alebo činnosť, ktorá môže byť zaradená do tej istej kategórie, takže samotná skutočnosť, že určitá činnosť je vlastná štátu alebo orgánu verejnej moci, nestačí na to, aby táto výnimka bola automaticky uplatniteľná na takúto činnosť.

Zákon č. 18/2018 Z. z. je tiež zákonom, do ktorého tretej časti bola transponovaná Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia (ďalej ako „Smernica“) podľa ktorej, ak budú spracúvať osobné údaje príslušné orgány na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií tieto budú postupovať práve podľa tejto tretej časti zákona, ktorá sa iných ako príslušných orgánov v pozícii prevádzkovateľov netýka. Príslušnými orgánmi podľa § 3 ods. 3 zákona č. 18/2018 Z. z. sú Policajný zbor, Vojenská polícia, Zbor väzenskej a justičnej stráže, Finančná správa, prokuratúra a súdy SR.

 

  • Kedy teda bude potrebné postupovať iba podľa zákona č. 18/2018 Z. z. a kedy aj podľa zákona č. 18/2018 Z. z. a aj podľa Nariadenia? upravené

Situácia A: Ak pôjde o spracúvanie osobných údajov v rámci činnosti prevádzkovateľa, ktorá spadá pod právo Únie bude sa na prevádzkovateľa vzťahovať Nariadenie, uplatňovať sa ale bude aj zákon č. 18/2018 Z. z., a to s výnimkou jeho 2. a 3. časti; teda zo zákona č. 18/2018 Z. z. bude pre prevádzkovateľa relevantná prvá časť okrem § 2 a § 5 a následne štvrtá až šiesta časť zákona č. 18/2018 Z. z. Ide napríklad o spracúvanie osobných údajov bankami, školami, zdravotníckymi zariadeniami, spracúvanie osobných údajov v e-shopoch.

Situácia B: Ak pôjde o spracúvanie osobných údajov v rámci činnosti prevádzkovateľa, ktoré nespadá pod právo Únie a prevádzkovateľom nie je príslušný orgán uplatňovať sa bude zákon č. 18/2018 Z. z. okrem jeho tretej časti.

Situácia C: V prípade spracúvania osobných údajov prevádzkovateľom v postavení príslušného orgánu tento bude postupovať pri spracúvaní osobných údajov fyzických osôb na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií podľa zákona č. 18/2018 Z. z. konkrétne jeho prvej časti a tretej až šiestej časti s ohľadom na niektoré ustanovenie z druhej časti. Pôjde napríklad o spracúvanie osobných údajov obvineného z trestného činu, kedy jeho osobné údaje spracúva prokuratúra alebo súd.

 

Situácia A

Situácia B

Situácia C

Členenie zákona č. 18/2018 Z. z.

Spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Únie

Spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie

Spracúvanie osobných údajov na účely presadzovania práva

PRVÁ ČASŤ: Základné ustanovenia § 1 až 5

§ 1, § 3 a § 4

Aplikuje sa celá časť.

Aplikuje sa celá časť.

DRUHÁ ČASŤ: Všeobecné pravidlá ochrany osobných údajov § 6 až 51

  • Zásady spracúvania osobných údajov
  • Práva dotknutej osoby
  • Práva a povinnosti prevádzkovateľa a sprostredkovateľ
  • Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii

Táto časť sa neaplikuje.

Aplikuje sa celá časť.

Aplikujú sa len:

§ 6, § 8, § 9, § 11, § 12, § 13 ods. 2, § 29, § 31, § 32, § 33 ods. 1 a 3, § 34, § 36, § 37, § 39, § 40, § 41, § 42 ods. 1 až 5 a 7, § 44, § 45, § 46, § 48 ods. 1 a § 50.

TRETIA ČASŤ: Osobitné pravidlá ochrany osobných údajov fyzických osôb pri ich spracúvaní príslušnými orgánmi § 52 až 77

  • Zásady spracúvania osobných údajov
  • Práva dotknutej osoby
  • Práva a povinnosti príslušného orgánu a sprostredkovateľ
  • Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii

Táto časť sa neaplikuje.

Táto časť sa neaplikuje.

Aplikuje sa celá časť.

ŠTVRTÁ ČASŤ: Osobitné situácie zákonného spracúvania osobných údajov § 78 a 79

Aplikuje sa celá časť.

Aplikuje sa celá časť.

Aplikuje sa celá časť.

PIATA ČASŤ: Úrad § 80 až 106

  • Postavenie, pôsobnosť a organizácia úradu
  • Kódex správania, certifikát a akreditácia
  • Kontrola
  • Konanie o ochrane osobných údajov
  • Správne delikty

Aplikuje sa celá časť.

Aplikuje sa celá časť.

Aplikuje sa celá časť.

ŠIESTA ČASŤ: Spoločné, prechodné a záverečné ustanovenia § 107 až 112

Aplikuje sa celá časť.

Aplikuje sa celá časť.

Aplikuje sa celá časť.

 

  • Aký je vzťah Nariadenia a Smernice? nové

Nariadenie zo svojej vecnej pôsobnosti vylučuje spracúvanie na účely Smernice. To znamená, že ide o dva samostatné právne predpisy, ktoré sa používajú nezávisle od seba. Nariadenie sa preto nevzťahuje na spracovateľské činnosti príslušných orgánov na účely uvedené v Smernici, konkrétne na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií. Ak však príslušný orgán spracúva osobné údaje na iné účely ako na účely tejto Smernice, uplatňuje sa Nariadenie, pokiaľ sa spracúvanie nevykonáva v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie. Na spracúvanie osobných údajov príjemcom, ktorý nie je príslušným orgánom v zmysle Smernice a ktorému osobné údaje zákonne poskytol príslušný orgán, sa vzťahuje Nariadenie.

 

  • Niektoré pojmy z prechádzajúceho zákona č. 122/2013 Z. z. vypadli a v Nariadení sa nenachádzajú alebo sa v texte tak Nariadenia, ako aj zákona č. 18/2018 Z. z. len spomínajú, prečo? upravené

Nariadenie, je to uvedené aj priamo v jeho celom názve, ruší smernicu 95/46/ES, ktorá bola transponovaná práve do zákona č. 122/2013 Z. z. Smernica 95/46/ES je z roku 1995, kedy spracúvanie a ochrana osobných údajov bola na inej úrovni, a to tak s ohľadom na to, akými prostriedkami sa osobné údaje spracúvali (vývoj aplikácií bol na začiatku, kamerové systémy boli menej kvalitné a mali menšie rozlíšenie, používanie mobilných telefónov bolo v začiatkoch) a v akom množstve sa spracúvali. Tiež proces globalizácie (používanie cloudových služieb) má na pridaní prípadne vypustení niektorých pojmov svoj podiel. Najmä s ohľadom na rozvoj technológií a spôsobov, ktorými je možné osobné údaje spracúvať, boli do Nariadenia pridané a v ňom zadefinované pojmy ako napríklad: profilovanie, pseudonymizácia, porušenie ochrany osobných údajov, skupina podnikov alebo služba informačnej spoločnosti.

 

  • V kontexte pojmov sa v zákone č. 18/2018 Z. z. spomína pojem log a v Nariadení nie. Prečo? upravené

Logovanie je záznam o činnosti používateľa v automatizovanom informačnom systéme, teda logovanie možno považovať za formu bezpečnostného opatrenia, na základe ktorého vie prevádzkovateľ alebo sprostredkovateľ zistiť, kto (napríklad z jeho zamestnancov) v systéme bol, čo v ňom s osobnými údajmi robil, kedy to robil. Logovanie je účinné opatrenie smerujúce na zabezpečenie riadeného (oprávneného) prístupu k informačnému systému a prostriedkom, prostredníctvom ktorých sú osobné údaje spracúvané, uchovávané, prenášané. Logovaním môžeme odhaliť napr. narušenie dôvernosti (neoprávnený prístup), narušenie integrity (neoprávnená zmena údajov), narušenie dostupnosti (vymazanie ), alebo napr. pokus o prienik do prostredia a iné.

Pojem log sa do zákona č. 18/2018 Z. z. uviedol z dôvodu, že povinnosť logovať ukladá prevádzkovateľom, ktorými sú príslušné orgány Smernica (k povinnosti zaviesť logovanie pozri bližšie § 110 ods. 10 zákona č. 18/2018 Z. z.); teda bežní prevádzkovatelia logovanie zaviesť môžu, no nie je to pre nich povinnosť. Implementovanie logovanie je však výborný nástroj na monitorovanie ochrany údajov, teda na kontrolu všetkých relevantných spracovateľských operácií. Odporúčame, aby prevádzkovateľ nepodceňoval zavedenie logovania a venoval náležitú pozornosť logom a informáciám, ktoré majú tieto logy obsahovať. Je dôležité, aby logy boli pravidelne vyhodnocované pretože podozrivé hlásenia môžu často odhaliť napr. vážne bezpečnostné hrozby.

 

  • Zo základných pojmov vymedzených v Nariadení a zákone č. 18/2018 Z. z. vypadol pojem oprávnená osoba a v tomto kontexte sa v texte Nariadenia a zákona č. 18/2018 Z. z. nenachádza ani tzv. „poučenie oprávnenej osoby“; znamená to, že už prevádzkovateľ a sprostredkovateľ nemá alebo nemôže poúčať svojich zamestnancov alebo osoby, ktoré pre neho spracúvajú osobné údaje? upravené

Je pravdou, že pojem oprávnená osoba a poučenie oprávnenej osoby z textu Nariadenia a zákona č. 18/2018 Z. z. vypadli, napriek tomu Nariadenie a zákon č. 18/2018 Z. z. aj naďalej ukladajú prevádzkovateľovi a sprostredkovateľovi povinnosť poveriť a dávať pokyny osobám, ktoré pre nich spracúvajú osobné údaje.

Radi by sme dali do pozornosti čl. 29 a čl. 32 ods. 4 Nariadenia na základe ktorých „Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.“ a „Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.“.

Vyššie citované ustanovenie znamená, že prevádzkovateľ/sprostredkovateľ je povinný usmerniť fyzické osoby pre neho osobné údaje spracúvajúce.

Viac informácií sa dozviete v dokumente Oprávnená osoba a poučenie oprávnenej osoby podľa novej právnej úpravy.

 

  • Aký je rozdiel medzi pseudonymizovanými údajmi a anonymizovanými údajmi? nové

Pseudonymizované údaje sú osobné údaje, ktoré sú spracúvané takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe. Pseudonymizované údaje naďalej spadajú pod ochranu osobných údajov, keďže sa na nich naďalej hľadí ako na osobné údaje.

Anonymizované údaje sú informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu. Proces, ktorým sa osobné údaje upravujú do formy, že dotknutá osoba už nie je identifikovateľná sa nazýva anonymizácia. Zásady ochrany údajov by sa nemali uplatňovať na anonymné informácie. Aj osobné údaje, ktoré boli predmetom anonymizácie, by sa mali považovať za osobné údaje týkajúce sa tretej osoby v rozsahu, v akom sú takej povahy, že ich možno pripísať identifikovateľnej fyzickej osobe použitím dodatočných informácií. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj.

 

  • V rámci stanovenia „kategórií“ osobných údajov, ktoré patria do osobitnej kategórie osobných údajov, došlo k nejakým zmenám od 25. 5.2018? upravené

Zákon č. 122/2013 Z. z. poznal osobitnú kategóriu osobných údajov, ktoré boli priamo uvedené v § 13. Zmenou, ktorá sa začala uplatňovať od 25.5.2018 je, že z kategórie uvedených osobitných kategórií osobných údajov vypadol z týchto citlivých osobných rodné číslo, ktoré už od 25.5.2018 nie je osobitnou kategóriou osobného údaja. Podľa Nariadenia patria do osobitnej kategórie osobných údajov aj genetické údaje a biometrické údaje spracúvané na individuálnu identifikáciu fyzickej osoby.

Slovenská republika prijala novú úpravu spracúvania rodného čísla, ako národného identifikátora a to v § 78 ods. 4 zákona č. 18/2018 Z. z., a to na základe splnomocňujúceho ustanovenia Nariadenia v čl. 87. Stále platí, že rodné číslo je zakázané zverejňovať, právo zverejniť rodné číslo má iba dotknutá osoba, ktorej sa týka.

Z prechádzajúceho zoznamu citlivých osobných údajov tiež vypadli osobné údaje týkajúce sa uznania viny za trestné činy a priestupky, ktoré sa stali samostatnou kategóriou osobných údajov a sú uvedené v čl. 10 Nariadenia.

 

  • Je údaj o tom, že si určitá osoba poranila nohu a je čiastočne práceneschopná, osobným údajom týkajúcim sa zdravia? nové

Áno, takýto údaj je údaj týkajúci sa zdravia, a teda predstavuje osobitnú kategóriu osobných údajov. Údaje týkajúce sa zdravia si zasluhujú vyššiu ochranu, keďže používanie/spracúvanie takýchto citlivých údajov môže mať pre dotknuté osoby závažné nepriaznivé dôsledky. Údaje týkajúce sa zdravia je potrebné vykladať širšie, tak aby zahrňoval informácie týkajúce sa všetkých zložiek zdravia človeka, fyzických ako aj duševných. Pre zákonné spracúvanie takýchto osobných údajov je potrebné mať právny základ z čl. 6 ods. 1 Nariadenia a splniť dodatočnú podmienku z čl. 9 ods. 2 Nariadenia.

 

  • Kde nájdem právny základ pre spracúvanie osobných údajov podľa Nariadenia? upravené

Spracúvanie osobných údajov by malo byť v prvom rade zákonné, to znamená vykonávané v súlade so zákonom a dobrými mravmi, a tiež by malo byť vykonávané na relevantnom právnom základe, ktorý je bližšie vysvetlený v čl. 6 Nariadenia, ktorý je venovaný podmienkam zákonného spracúvania, teda právnym základom, ktoré sú obsiahnuté práve v tomto ustanovení.

Právne základy sú uvedené v čl. 6 ods. 1 písm. a) až f) Nariadenia (prípadne v § 13 ods. 1 písm. a) až f) zákona č. 18/2018 Z. z). Právne základy naopak nie sú uvedené v čl. 9 Nariadenia, ktorý je ustanovením, ktoré je potrebné chápať, že sú v ňom uvedené výnimky zo zákazu spracúvania osobitnej kategórie osobných údajov; nakoľko podľa čl. 9 ods. 1 Nariadenia je spracúvanie osobitných kategórií osobných údajov zakázané a práve v čl. 9 ods. 2 písm. a) až j) Nariadenia sú výnimky, ktoré keď prevádzkovateľ splní, môže aj tieto údaje spracúvať, no je potrebné, aby právny základ spracúvania osobitnej kategórie osobného údaja hľadal následne v čl. 6 ods. 1 Nariadenia, nakoľko iba splnenie výnimky z čl. 9 ods. 2 ako právny základ pre spracúvanie postačujúce nie je.

Viac informácií sa dozviete v dokumente Metodické usmernenie č. 2/2018 - Zákonnosť spracúvania. Aktualizovaná verzia zo dňa 22.01.2019.

 

  • Ako môžem, ako prevádzkovateľ splniť zásadu a podmienku, že spracúvanie osobných údajov, ktoré vykonávam je súladné so zákonom č. 18/2018 Z. z. a Nariadením? Akými dokumentami, akými opatreniami to budem preukazovať? upravené

Za súladné spracúvanie osobných údajov možno považovať také, ktoré je v súlade so zásadami spracúvania ustanovenými v čl. 5 Nariadenia. Súlad spracúvania je možné dosiahnuť len zavedením a uplatňovaním opatrení. Nie je postačujúce zaviesť opatrenia len formálne, ale ich aplikovanie a dodržiavanie v praxi je nesmierne dôležité pre dosiahnutie a preukázanie súladu s Nariadením. Prevádzkovateľ má povinnosť osobné údaje chrániť a na ten účel prijať všetky pre neho uskutočniteľné opatrenia, tak technickej, ako aj personálnej povahy.

Napríklad: Prevádzkovateľ v internej smernici určí presný rozsah osobných údajov, ktorý je potrebný na dosiahnutie účelu. Napriek uvedenému pri spracúvaní osobných údajov bude získavať a spracúvať osobné údaje, nad rámec týchto osobných údajov, ktoré nie sú potrebné na daný účel. Takéto spracúvanie nie je možné považovať za súladne spracúvanie, nakoľko prevádzkovateľ neuplatnil zásadu minimalizácie. Opatrenia boli prijaté (popísané v smernici), ale v praxi sa neuplatňovali.

Jednoducho povedané pre dosiahnutie súladu má mať prevádzkovateľ prijaté a zavedené opatrenia/postupy/prostriedky, prostredníctvom ktorých je zabezpečené, že pri spracúvaní osobných údajov platí najmä že:

  • prevádzkovateľ vie preukázať, že na spracúvanie osobných údajov existuje platný právny základ,
  • prevádzkovateľ vie preukázať, že dotknutej osobe sú poskytnuté všetky potrebné informácie o spracúvaní pred začatím spracúvania osobných údajov,
  • prevádzkovateľ vie preukázať, že vedie záznamy o spracovateľských činnostiach,
  • prevádzkovateľ vie preukázať, že získanie a spracúvanie osobných údajov dotknutých osôb je vykonávané len na konkrétne určené účely a zároveň vie preukázať, že osobné údaje sa nespracúvajú na účel, ktorý nie je zlučiteľný s týmito účelmi,
  • prevádzkovateľ vie preukázať, že spracúva iba taký rozsah údajov, ktorý je primeraný a obmedzený na rozsah údajov, ktorý je nevyhnutný na dosiahnutie stanoveného účelu, tzn. spracúva len tie údaje, ktoré sú skutočne potrebné na to, aby sa dosiahol stanovený účel,
  • prevádzkovateľ vie preukázať, že spracúva iba správne aktuálne údaje, tzn. má aplikované také opatrenia, ktorými je zabezpečené, že z hľadiská účelu sú údaje aktuálne (napr. kontaktné údaje klienta musia byť správne, v opačnom prípade sa nedosiahne účel, pre ktorý boli určené, tzn. komunikácia s klientom by nebola zabezpečená),
  • prevádzkovateľ vie preukázať, že spracúvané osobné údaje sú uchovávané po dobu, ktorá závisí od účelu ich spracúvania,
  • prevádzkovateľ vie preukázať, že pri spracúvaní osobných údajov zaviedol a skutočne aj uplatňuje opatrenia (technické a organizačné), ktorými má byť zabezpečené, aby nedošlo k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu pri ich prenose, uchovávaní, spracúvaní ani k neoprávnenému prístupu k nim a iné,
  • prevádzkovateľ vie preukázať, že sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúva tieto údaje len na základe pokynov prevádzkovateľa. Odporúčame formulovať pokyny prevádzkovateľa tak, aby bolo jasné čo sa ma pri danej spracovateľskej činnosti uplatňovať, aby boli osobné údaje chránené a spracúvané v súlade so zásadami, prípadne definovať čo je povolené, čo je zakázané pri spracúvaní osobných údajov,
  • prevádzkovateľ vie preukázať, že v prípade, ak využíva sprostredkovateľa na spracúvanie údajov má s ním uzatvorenú sprostredkovateľskú zmluvu; v prípade, ak pôjde o spoločných prevádzkovateľov je potrebné, aby mali medzi sebou uzatvorenú vzájomnú dohodu, ktorej vybrané časti sú povinní poskytnúť dotknutým osobám,
  • prevádzkovateľ vie preukázať, že v prípade porušenia ochrany oznámil porušenie dozornému orgánu, prípadne dotknutým osobám,
  • prevádzkovateľ vie preukázať že vedie evidenciu všetkých porušení ochrany osobných údajov,

prevádzkovateľ vie preukázať, že vykonal posúdenie vplyvu pre spracúvanie, pre ktoré je jeho vykonanie povinné.

 

Za súlad spracúvania osobných údajov a plnenie povinností podľa Nariadenia je zodpovedný prevádzkovateľ. Túto zodpovednosť nemôže prevádzkovateľ delegovať na niekoho iného.

 

  • Som prevádzkovateľom, ktorý spracúva osobné údaje klientov na základe súhlasu, musím na základe nástupu novej legislatívy získavať nový súhlas od klientov, keď sa mi v rámci spracúvania voči nim nič nezmenilo? upravené

Dávame Vám do pozornosti § 110 ods. 11 zákona č. 18/2018 Z. z. „Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je v súlade s týmto zákonom alebo osobitným predpisom [Nariadením] sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od 25. mája 2018.“. Ak Váš súhlas získaný od klienta je súhlasom so všetkými náležitosťami podľa Nariadenia a zákona č. 18/2018 Z. z. (teda dotknutá osoba vyjadrila súhlas konkrétnemu prevádzkovateľovi so spracúvaním konkrétnych osobných údajov na vymedzený účel alebo účely; čl. 7 ods. 1 Nariadenia) javí sa, že by ste na tomto právnom základe súhlasu získaného podľa zákona č. 122/2013 Z. z. mohli osobné údaje klienta spracúvať aj naďalej za podmienky, že mu doplníte informačnú povinnosť, teda informácie podľa čl. 13 Nariadenia (terajší § 15 ods. 1 zákona č. 122/2013 Z. z. ). Súladnosť súhlasu získaného do 24.5.2018 vrátane posúdenia možnosti pokračovania spracúvania na danom súhlase je na zodpovednosti každého prevádzkovateľa.

V prípade, že posúdenie dopadne v prospech skôr získaného súhlasu a prevádzkovateľ doplní dotknutej osobe informačnú povinnosť podľa čl. 13 Nariadenia, nie je potrebný nový súhlas získavať iba preto, že v starom je odkaz na zákon č. 122/2013 Z. z.

Viac informácií sa dozviete v dokumente Usmernenia k súhlasu podľa nariadenia 2016_679 – časť 8.

 

  • Ako má vyzerať súhlas podľa Nariadenia? upravené

Je potrebné dbať pri súhlase hlavne na zásadu transparentnosti, to znamená, že ak sa súhlas vyskytuje v rámci iného dokumentu, je potrebné, aby bol od iných častí a obsahu dokumentu odlíšený, napríklad výrazným písmom, alebo písmom inej farby, aby dotknutá osoba jasne a zreteľne tento súhlas vnímala a „neprešla ho v rámci čítania“ bez povšimnutia.

Tiež je potrebné, aby dotknutá osoba mohla svoj súhlas odvolať a bola o tomto práve jasne a zreteľne informovaná a tiež, aby súhlas mohla odvolať tak jednoducho, ako ho poskytla (napríklad, ak súhlas poskytla zakliknutím „checkboxu“, tak odvolať by ho mala mať možnosť tiež elektronicky, rovnakým spôsobom ako ho udelila

Získavanie súhlasu nesmie prevádzkovateľ podmieňovať, to znamená, že poskytnutie súhlasu nesmie byť podmienené napríklad poskytnutím služby a formulované tak, „že ak dotknutá osoba nebude súhlasiť s marketingom“, tak si z e-shopu nemôže objednať tovar v zľave a pod.

Viac informácií sa dozviete v dokumente Usmernenia k súhlasu podľa nariadenia 2016_679.

 

  • Je možné súhlas získať aj inak ako písomne alebo elektronicky? upravené

Podľa čl. 4 ods. 11 Nariadenia je súhlas dotknutej osoby „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka“; zo samotnej definície súhlasu vyplýva, že súhlasom je akýkoľvek prejav vôle dotknutej osoby, ak spĺňa v definícii uvedené náležitosti, teda súhlas je možné získať aj napríklad nahraním cez telefón, alebo nahraním na kameru, za splnenia poskytnutia informácií podľa čl. 13 Nariadenia najneskôr v čase získania súhlasu. Prevádzkovateľ nesmie zabúdať na zásadu, že je povinný získanie súhlasu preukázať, teda napríklad uchovávať si papierové súhlasy, alebo uchovávať si nahrávky súhlasov, alebo elektronicky poskytnuté súhlasy mať uložené napríklad v archíve.

 

  • Je možné, aby prevádzkovateľ naformuloval súhlas tak, že v jednom súhlase uvedie niekoľko účelov spracúvania? upravené

Formulácia súhlasov je na prevádzkovateľovi. Je potrebné, aby, ak je účelov spracúvania uvedených v jednom súhlase viac, aby si dotknutá osoba mohla vybrať, a to napríklad tak, že zaškrtne len kolónky (check boxy) tých účelov, s ktorými súhlasí; nie je možné a nie je správny taký postup prevádzkovateľa, kedy tento vopred zaškrtne všetky účely a dotknutá osoba si má „odškrtnúť“ tie, ktoré sa jej „nepáčia“. Metóda OPT OUT nie je pri súhlase so spracúvaním osobných údajov dovolená, vždy by mala dotknutá osoba voliť a vyberať účely aktívne, teda prevádzkovatelia majú využívať iba metódu OPT IN.

Viac informácií sa dozviete v dokumente Usmernenia k súhlasu podľa nariadenia 2016_679 – časť 3.1.3.

 

  • Čo znamená súhlas dieťaťa so službami informačnej spoločnosti? upravené

Súhlas osoby mladšej ako 16 rokov so službami informačnej spoločnosti znamená, že ak chce osoba mladšia ako 16 rokov využiť služby informačnej spoločnosti, tak v prípade, ak je potrebné na tento účel poskytnúť súhlas so spracúvaním osobných údajov, tento súhlas buď poskytne osoba mladšia ako 16 rokov a jej rodič/zákonný zástupca/súdom určený opatrovník ho schváli, potvrdí prevádzkovateľovi, alebo súhlas priamo za menej ako 16 ročného poskytne jeho rodič/zákonný zástupca/súdom určený opatrovník; iba v takom prípade bude prevádzkovateľ tieto osobné údaje osoby mladšej ako 16 rokov spracúvať prevádzkovateľ zákonne.

Chceli by sme zdôrazniť, že súhlas sa týka iba využitia služieb informačnej spoločnosti, a nijak neobmedzuje osoby mladšie ako 16 rokov, aby napríklad uzavreli dohodu o brigádnickej práci, kedy právnym základom spracúvania ich osobných údajov v nej bude samotná dohoda, teda čl. 6 ods. 1 písm. b) Nariadenia. Súhlas rodiča alebo poručníka sa nevyžaduje v prípade preventívnych alebo poradenských služieb ponúkaných priamo dieťaťu. Napríklad, poskytovanie služieb ochrany dieťaťa, ktoré sa ponúkajú dieťaťu prostredníctvom služby online konverzácie, si nevyžaduje predchádzajúce povolenie rodiča.

Služby informačnej spoločnosti sú definované v smernici 2015/1535/ES a v podmienkach Slovenskej republiky je táto transponovaná do zákona č. 22/2004 Z. z. o elektronickom obchode, kde sú služby informačnej spoločnosti ako pojem vysvetlené a tiež sú uvedené príklady, čo sa za službu informačnej spoločnosti nepovažuje.

Viac informácií sa dozviete v dokumente Usmernenia k súhlasu podľa nariadenia 2016_679 – časť 7.1.1.

 

  • Ako vybavovať práva dotknutej osoby a ako dotknuté osoby informovať? upravené

Prevádzkovateľ je povinný vybaviť a odpovedať na uplatnené právo dotknutej osoby bez zbytočného odkladu, najneskôr však do jedného mesiaca, odkedy si dotknutá osoba právo uplatnila. V prípade, že prevádzkovateľ nevie z objektívnych príčin právo dotknutej osoby vybaviť do jedného mesiaca, lehotu na vybavenie môže predĺžiť o najviac dva ďalšie mesiace, pričom je povinnosť o takomto predĺžení dotknutú osobu informovať. Takými prostriedkami, akými si dotknutá osoba právo dotknutej osoby uplatnila, je prevádzkovateľ jej povinný poskytnúť odpoveď, pokiaľ sama dotknutá osoba nenavrhla, že bude odpoveď preferovať iným spôsobom, ako si uplatnila právo dotknutej osoby.

V prípade, ak prevádzkovateľ nevie právu dotknutej osoby vyhovieť má lehotu maximálne jeden mesiac, do ktorej musí dotknutej osobe odpovedať, že jej právu nevyhovie a uviesť dôvody prečo, a tiež jej poskytnúť informáciu, že môže v tomto prípade podať návrh na začatie konania o ochrane osobných údajov na úrad.

Je veľmi správne, aby prevádzkovateľ mal interne nastavený proces, ako a kto bude žiadosti dotknutých osôb v rámci prevádzkovateľa/sprostredkovateľa vybavovať, teda určené osoby, postupy prípadne aj internú metodiku.

Viac informácií k právam dotknutých osôb sa dozviete na tomto odkaze: Práva dotknutých osôb.

 

  • Podľa čl. 13 a 14 Nariadenia sme v pozícii prevádzkovateľa povinný dotknutej osobe poskytnúť informácie, splniť si informačnú povinnosť, Nariadenie však nie je konkrétne, ako ju má prevádzkovateľ v praxi plniť/vykonať. Aké konkrétne varianty splnenia informačnej povinnosti sú považované za možné/vhodné? upravené

Nariadenie ustanovuje prevádzkovateľovi povinnosť, aby dotknutej osobe poskytol informácie podľa čl. 13 alebo 14 Nariadenia a pritom nestanovuje konkrétnu formu, akou to má prevádzkovateľ vykonať. Je vhodné, aby prevádzkovateľ plnil informačnú povinnosť v zmysle čl. 12 ods. 1 Nariadenia, teda aby táto bola splnená „v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.“: Je teda možné, aby prevádzkovateľ ku konkrétnemu účelu spracúvania, alebo ku všetkým prehľadne spolu, si plnil informačnú povinnosť podľa čl. 13/14 Nariadenia tak, že informácie jednak zverejní napríklad vo forme dokumentu na svojom webovom sídle, zverejní tlačenú verziu dokumentu na úradnej tabuli, ak ju má/ alebo na nástenke, bude ochotný na požiadanie dotknutej osoby túto informáciu vytlačiť na pobočke/kamennej predajni, bude informáciu poskytovať ako prílohu mailu, alebo bude informácia uvedená v aplikácii, prostredníctvom ktorej prevádzkovateľ osobné údaje dotknutej osoby získava.

Splnenie informačnej povinnosti netreba zanedbať ani pri spracúvaní osobných údajov kamerovým systémom, kde je možné si informačnú povinnosť splniť uvedeným informácií podľa čl. 13 napríklad uvedeným aspoň základných informácií podľa čl. 13 ods. 1 Nariadenia na nálepke pod kamerou s tým, že podrobnejšie informácie podľa čl. 13 Nariadenia sa dotknutá osoba dozvie na webovom sídle prevádzkovateľa www.menofirmy.sk alebo na recepcii prevádzkovateľa a pod. V prípade kamerových systémov je žiadúce konkretizovať monitorovaný priestor, ak sa tento nedá pozorovaním logicky určiť, napríklad tak, že sa pod kameru, ktorou sa monitoruje ulica prevádzkovateľom uvedie, že prevádzkovateľ XY (napríklad obec) je prevádzkovateľom kamerového systému, ktorým je monitorovaná ulica Pekná, Vajanského, Chlumeckého / táto ulica a pod; domnievame sa, že je vhodné takéto spresnenie vo vzťahu ku kamerám, nakoľko všeobecné uvedenie „obec je monitorovaná“ môže byť zavádzajúce pre dotknutú osobu, a to najmä vtedy, ak je monitorovaná len časť obce, teda dotknutá osoba nemá vedomosť, kedy je monitorovaná a kedy nie.

Informačnú povinnosť si je povinný plniť každý prevádzkovateľ bez ohľadu na to, či účel spracúvania určil sám, alebo mu vyplýva z osobitného zákona, tiež je potrebné, aby si prevádzkovateľ plnil informačnú povinnosť voči každej dotknutej osobe, teda tak voči klientom (fyzickým osobám) ako aj voči svojim zamestnancom, či voči účastníkom konania, ak konanie vedie, a to najneskôr v čase získavanie osobných údajov.

Účelom informovania je poskytnúť dotknutej osobe, teda napríklad zamestnancovi prevádzkovateľa, klientovi banky, rodičovi žiaka v škole, klientovi e-shopu, hercovi v divadle, pacientovi lekára informácie o tom, aké jeho osobné údaje títo všetci v pozícii prevádzkovateľa o danej dotknutej osobe spracúvajú.

Viac informácií sa dozviete v dokumente Usmernenia k transparentnosti.

Viac informácií k informovaniu pri spracúvaní kamerami sa dozviete v dokumente Usmernenia k spracúvaniu osobných údajov prostredníctvom kamerových zariadení_v 2.1 – časť 7.

 

  • Aký je rozdiel/vzťah medzi právom na prístup k osobným údajom a právom na prístup k dokumentom? nové

Právo na prístup k dokumentom a právo na ochranu osobných údajov majú odlišné ciele.

Prvé právo sa týka zaistenia čo možno najväčšej transparentnosti rozhodovacieho procesu orgánov verejnej moci, ako aj informácií, na ktorých sú založené ich rozhodnutia. Jeho cieľom je teda čo najviac uľahčiť výkon práva na prístup k dokumentom a podporiť riadny úradný postup.

Druhé právo si kladie za cieľ zabezpečiť ochranu základných práv a slobôd fyzických osôb, predovšetkým ich súkromia, pri spracúvaní osobných údajov. Cieľom Nariadenia nie je uľahčiť výkon práva na prístup k dokumentom.

Inak povedané uplatnené právo na prístup k údajom nemožno stotožniť s právom na prístup k celým dokumentom.

 

  • Pokiaľ poskytovateľ vyhľadávača vyhovie žiadosti o odstránenie odkazov podľa čl. 17 ods. 1 Nariadenia, je povinný urobiť toto odstránenie vo všetkých verziách svojho vyhľadávača? nové

V súčasnosti neexistuje pre poskytovateľa vyhľadávača, ktorý vyhovie žiadosti dotknutej osoby o odstránenie odkazov, a to prípadne po príkaze zo strany dozorného alebo súdneho orgánu členského štátu, povinnosť vyplývajúca z práva Únie vykonať také odstránenie vo všetkých verziách jeho vyhľadávača (no právo Únie to ani nezakazuje).

Pokiaľ ide o otázku, či sa také odstránenie odkazov musí vykonať vo verziách vyhľadávača, ktoré zodpovedajú členským štátom, alebo len v jednej verzii tohto vyhľadávača zodpovedajúcej členskému štátu, v ktorom má osoba s nárokom na odstránenie odkazov bydlisko, takéto odstránenie by sa malo v zásade vykonať pre všetky členské štáty. Toto odôvodňuje aj skutočnosť, že normotvorca Únie v súčasnosti stanovil pravidlá v oblasti ochrany údajov nariadením, ktoré sa priamo uplatňuje vo všetkých členských štátoch. Cieľom je zabezpečiť tak konzistentnú a vysokú úroveň ochrany v celej Únii a odstrániť prekážky tokov osobných údajov v rámci Únie (recitál 10 Nariadenia). Viac informácií sa dozviete v dokumente Usmernenia ku kritériám týkajúcich sa prípadov uplatňovania práva na zabudnutie vo vyhľadávačoch podľa všeobecného nariadenia o.

 

  • Ako zistím, že komunikácia, ktorú vykonávam spadá pod priamy marketing? nové

Aby ste mohli posúdiť, či Vaša činnosť je priamym marketingom, je potrebné vziať do úvahy, či komunikácia sleduje obchodný účel a je priamo a individuálne určená spotrebiteľovi. To, že spotrebiteľ tejto komunikácie je vyberaný náhodne alebo je vopred určený, nemá na to vplyv. Napríklad pri zasielaní reklamy prostredníctvom emailu, nie je dôležité, či je reklama adresovaná vopred určenému a individuálne identifikovanému príjemcovi, alebo ide o hromadné a náhodné zaslanie veľkému počtu príjemcov.

 

  • Môže podľa právnej úpravy Slovenskej republiky, organizačná zložka zahraničnej osoby (zahraničná osoba sídli v Českej republike) nadobúdať práva a povinností ako prevádzkovateľ na účely spracúvania osobných údajov? Bude určovacím faktorom postavenia prevádzkovateľa, že organizačná zložka určuje účel a prostriedky spracúvania osobných údajov? nové

Dôležitý faktor v tomto prípade je to, či oba subjekty organizačná zložka a zahraničná osoba majú vlastnú právnu subjektivitu, alebo právnu subjektivitu má len jeden z nich. V prípade, ak má právnu subjektivitu len jeden z nich, ten bude z pohľadu ochrany osobných údajov zodpovedný za spracúvania a teda bude v postavení prevádzkovateľa. Tento subjekt je potrebné aj uvádzať ako prevádzkovateľa napr. v informačnej povinnosti. Druhý subjekt, ktorý nemá právnu subjektivitu nebude mať postavenie ani prevádzkovateľa, ani sprostredkovateľa.

V súčasnosti sa prikláňame k názoru, že za prevádzkovateľa by sa mal považovať zriaďovateľ organizačnej zložky, nie samotná organizačná zložka zahraničnej právnickej osoby (ak nemá právnu subjektivitu). Hlavným cieľom Nariadenia je zabezpečiť vysokú úroveň ochrany fyzických osôb a zabezpečiť, aby fyzickým osobám nebola odopretá ochrana, na ktorú majú nárok. Týmto prístupom k organizačnej zložke zahraničnej právnickej osoby sa zabezpečí vyšší level ochrany osobných údajov dotknutých osôb, ako sa aj zabezpečí vymáhateľnosť ustanovení Nariadenia.

 

 

  • Čo ak podnikám spoločne s inou firmou a spoločne sme sa rozhodli napríklad zorganizovať súťaž, teda dvaja sme určili účel a prostriedky spracúvania a dvaja sa podieľame na jednom účele spracúvania voči súťažiacim? Aký je vzájomný vzťah medzi nami? upravené

V takomto prípade ide o spoločného prevádzkovateľa podľa čl. 26 Nariadenia. Je potrebné, aby medzi takýmito prevádzkovateľmi bola uzatvorená dohoda podľa čl. 26 Nariadenia, ktorej základné časti sú povinní títo poskytnúť dotknutým osobám, aby vedeli, že v tomto konkrétnom prípade spracúvania sa jedná o spoločného prevádzkovateľa.

Viac informácií sa dozviete v dokumente Usmernenia k pojmom prevádzkovateľ a sprostredkovateľ podľa všeobecného nariadenia o ochrane údajov – časť I kapitola 3 a časť II kapitola 2.

 

  • Kto je sprostredkovateľ podľa Nariadenia? upravené

Sprostredkovateľ je každý, kto spracúva v mene prevádzkovateľa osobné údaje fyzických osôb na základe zmluvy s ním uzatvorenej podľa čl. 28 ods. 3 Nariadenia.

Základným článkom reťazca spracúvania je prevádzkovateľ; sprostredkovateľ spracúva osobné údaje v jeho mene, na tom právnom základe ktorý určil/ustanovil prevádzkovateľ, teda na spracúvanie osobných údajov sprostredkovateľom tento nezískava nový právny základ, nakoľko osobné údaje spracúva na právnom základe prevádzkovateľa.

Je časté, že do vzťahu prevádzkovateľ – sprostredkovateľ môže vstúpiť ešte aj následne ďalší sprostredkovateľ, nazývaný tiež sub-sprostredkovateľ).

Prevádzkovateľ môže zmluvu so sprostredkovateľom nastaviť tak, že mu konkrétne v nej dovolí, aby do procesu zapojil ďalšieho sprostredkovateľa, no ustanoví konkrétne podmienky, ktoré musí ďalší sprostredkovateľ splniť, aby mohol byť do spracúvania zapojený.

Prevádzkovateľ tiež môže v „sprostredkovateľskej“ zmluve podľa čl. 28 ods. 3 Nariadenia určiť, iba vo všeobecnosti, že do procesu môže sprostredkovateľ zapojiť aj ďalšieho sprostredkovateľa, ktorého charakteristiku si bližšie nevymedzí; v tomto prípade sprostredkovateľ je povinný informovať o zapojení subdodávateľa prevádzkovateľa, aby potenciálneho subdodávateľa schválil, alebo zamietol jeho zapojenie.

V zmluve medzi prevádzkovateľom a sprostredkovateľom môže prevádzkovateľ tiež stanoviť, že zapojenie ďalšieho sprostredkovateľa nie je možné a zakazuje ho.

Viac informácií sa dozviete v dokumente Usmernenia k pojmom prevádzkovateľ a sprostredkovateľ podľa všeobecného nariadenia o ochrane údajov – časť I kapitola 4 a časť II kapitola 1.

Viac informácií k sprostredkovateľskej zmluve sa dozviete na tomto odkaze: Štandardné zmluvné doložky – sprostredkovateľská zmluva.

 

  • Podľa predchádzajúcej právnej úpravy bolo potrebné, aby si prevádzkovateľ o informačných systémoch, v ktorých spracúva osobné údaje viedol evidenciu, alebo zasielal oznámenie na úrad, prípadne bolo potrebné, aby úrad rozhodnutím rozhodol a informačný systém osobných údajov získal takzvanú osobitnú registráciu, je takéto delenie informačných systémov a notifikačné povinnosti s nim spojené aj naďalej povinné? upravené

Evidencia, oznámenie informačného systému úradu alebo požiadanie úradu o osobitnú registráciu informačného systému podľa Nariadenia neexistuje. Prevádzkovateľ a sprostredkovateľ si je však povinný viesť záznamy o spracovateľských činnostiach (čl. 30 Nariadenia). Záznamy sa nezasielajú úradu, prevádzkovateľ/sprostredkovateľ si ich vedie u seba; iba ak ho úrad požiada, tak im ich zašle, nie iniciatívne. Záznamy nahradili po formálnej stránke všetky tri vyššie uvedené listiny, teda evidenčné listy, oznámenia aj osobitné registrácie.

V čl. 30 ods. 5 Nariadenia je ustanovená výnimka z povinnosti viesť záznamy.

Viac informácií k záznamom sa dozviete na webe v časti Vzor Záznamov o spracovateľských činnostiach.

 

  • V rámci čl. 32 ods. 1 Nariadenia sa spomínajú bezpečnostné opatrenia a medzi inými aj šifrovanie alebo pseudonymizácia. Sú tieto povinné? Musí odteraz šifrovať pri spracúvaní osobných údajov každý prevádzkovateľ/sprostredkovateľ? upravené

Nie, uvedenie možnosti šifrovania, alebo pseudonymizácie v čl. 32 ods. 1 písm. a) Nariadenia je len príkladom možných bezpečnostných opatrení, ktoré môže prevádzkovateľ zaviesť. Výber a aplikáciu vhodných technických a organizačných opatrení je prevádzkovateľ povinný posúdiť podľa čl. 25 Nariadenia vzhľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania.

 

  • Aké sú príklady technických bezpečnostných opatrení, ktoré sa v kontexte spracúvania osobných údajov môžu uplatniť na základe konkrétnych podmienok prevádzkovateľa alebo sprostredkovateľa v jeho prostredí?

Napríklad:

Zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia).

Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovacích jednotiek).

Šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových sietí.

Identifikácia, autentizácia a autorizácia osôb v informačnom systéme.

Vytváranie záloh s vopred zvolenou periodicitou.

Bezpečné vymazanie osobných údajov z dátových nosičov.

Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete alebo z dátových nosičov.

Pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam).

 

  • Aké sú príklady organizačných bezpečnostných opatrení, ktoré sa v kontexte spracúvania osobných údajov môžu uplatniť na základe konkrétnych podmienok prevádzkovateľa alebo sprostredkovateľa v jeho prostredí?

Napríklad:

Vymedzenie osobných údajov, ku ktorým má mať konkrétna osoba prístup na účel plnenia jej povinností alebo úloh.

Poučenie osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov).

Správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov).

Vzájomné zastupovanie osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia pracovného alebo obdobného pomeru).

Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov).

 

  • Obchodná spoločnosť so sídlom v EU (nie v SR), ktorá je materskou spoločnosťou slovenskej obchodnej spoločnosti (so sídlom v SR), oznámila príslušnému dozornému orgánu v štáte svojho sídla, že pravdepodobne došlo k porušeniu ochrany osobných údajov, ktoré spracúva (nabúraním sa do jej informačného systému – ktorý je spoločným aj pre jej slovenskú dcérsku spoločnosť – t.j. jedná sa o cezhraničný tok údajov v rámci EU). Vzhľadom k tomu, že sa môže jednať aj o údaje, ktoré sa týkajú dotknutých osôb v SR, chceli by sme si týmto overiť, či je potrebné, aby aj slovenská (dcérska) obchodná spoločnosť oznámila túto skutočnosť Úradu na ochranu osobných údajov SR – a to s poukazom na ustanovenia článku 56 Nariadenia – nakoľko hlavná prevádzka je mimo SR v štáte EU, kde má sídlo materská spoločnosť, ktorá oznámenie dozornému orgánu v štáte sídla vykonala? nové

Ak dôjde k porušeniu v kontexte cezhraničného spracúvania a vyžaduje sa oznámenie, prevádzkovateľ bude musieť podať oznámenie vedúcemu dozornému orgánu. Preto pri vypracovávaní plánu reakcie na porušenie musí prevádzkovateľ posúdiť, ktorý dozorný orgán je vedúcim dozorným orgánom, ktorému podá oznámenie. To umožní prevádzkovateľovi ihneď reagovať na porušenie a splniť si svoje povinnosti podľa článku. Malo by byť jasné, že v prípade porušenia súvisiaceho s cezhraničným spracúvaním sa musí podať oznámenie vedúcemu dozornému orgánu, ktorý sa nemusí nevyhnutne nachádzať tam, kde príslušné dotknuté osoby alebo tam, kde došlo k porušeniu. Pri podávaní oznámenia vedúcemu orgánu by mal prevádzkovateľ v prípade potreby uviesť, či sa porušenie týka prevádzkarní nachádzajúcich sa v iných členských štátoch, ako aj v ktorých členských štátoch boli dotknuté osoby pravdepodobne ovplyvnené porušením. Ak má prevádzkovateľ akékoľvek pochybnosti o totožnosti vedúceho dozorného orgánu, mal by prinajmenšom podať oznámenie miestnemu dozornému orgánu na mieste, kde došlo k porušeniu.

Viac informácií sa dozviete v dokumente Usmernenia o oznámení porušenia ochrany osobných údajov.

Viac informácií k určeniu vedúceho dozorného orgánu sa dozviete v dokumente Usmernenia k určeniu vedúceho dozorného orgánu prevádzkovateľa alebo sprostredkovateľa.

 

  • Existuje zoznam spracovateľských operácií, pri ktorých som povinný urobiť posúdenie vplyvu na ochranu údajov, teda tzv. blacklist? nové

Áno, úrad prijal a zverejnil zoznam takýchto operácií. Tento zoznam je dostupný na tomto odkaze: Zoznam spracovateľských operácií, ktoré podliehajú posúdeniu vplyvu.

 

  • Existuje zoznam spracovateľských operácií, pri ktorých som oslobodený od vykonania posúdenia vplyvu na ochranu údajov, teda tzv. whitelist? nové

Nie, úrad takýto zoznam neprijal. Nariadenie prijatie takéhoto zoznamu neukladá ako povinnosť.

 

  • Je od 25.5.2018 povinné poverenie zodpovednej osoby? upravené

Určenie, alebo poverenie zodpovednej osoby nie je povinné pre všetkých prevádzkovateľov, alebo sprostredkovateľov, povinne si zodpovednú osobu musí poveriť iba ten prevádzkovateľ, alebo sprostredkovateľ, ak spracúvanie osobných údajov vykonáva ako orgán verejnej moci (s výnimkou súdov pri výkone ich súdnej právomoci), alebo v prípade, ak sú hlavnými činnosťami daného prevádzkovateľa alebo sprostredkovateľa spracovateľské operácie, ktoré spočívajú v pravidelnom a systematickom monitorovaní fyzických osôb vo veľkom rozsahu, alebo v spracúvaní veľkého množstva údajov patriacich do osobitnej kategórie osobných údajov či do kategórie údajov týkajúcich sa uznania viny za trestné činy a priestupky.

Viac informácií sa dozviete v dokumente Usmernenia týkajúce sa zodpovedných osôb – časť 2.1.

 

  • Som prevádzkovateľom alebo sprostredkovateľom, ktorý má mať povinne poverenú zodpovednú osobu, kto ňou môže byť?

Zodpovednou osobou má byť fyzická osoba, ktoré bude plniť povinnosti, ktoré jej ako zodpovednej osobe vyplývajú z Nariadenia. Môže ňou byť zamestnanec prevádzkovateľa alebo sprostredkovateľa, môže ňou byť externá fyzická osoba, alebo je možné uzavrieť zmluvu aj s právnickou osobou, pričom v zmluve sa konkrétne určí, kto konkrétne za danú firmu poskytujúcu tieto služby bude post zodpovednej osoby vo vzťahu ku konkrétnemu prevádzkovateľovi/sprostredkovateľovi zastávať.

 

  • Som prevádzkovateľom/sprostredkovateľom, ktorý musí mať určenú zodpovednú osobu, ale je to pre mňa finančne aj personálne náročné? Čo mám robiť? upravené

Nariadenie umožňuje podľa čl. 37 ods. 2 a 3, aby prevádzkovateľ alebo sprostredkovateľ, ak je to možné a umožňuje to ich organizačná štruktúra si poverili spoločne jednu zodpovednú osobu. Je teda možné, aby napríklad niekoľko škôl v zriaďovateľskej pôsobnosti kraja malo poverenú jednu spoločnú zodpovednú osobu.

Viac informácií sa dozviete v dokumente Usmernenia týkajúce sa zodpovedných osôb – časť 2.3.

Viac informácií k povereniu zodpovednej osoby v prostredí obcí a miest sa dozviete v dokumente Metodické usmernenie č. 1/2018 - Inštitút zodpovednej osoby v podmienkach obcí a miest.

 

  • Čo znamená, že som povinný zverejniť kontaktné údaje zodpovednej osoby a oznámiť ich úradu? Ktoré to sú? upravené

Kontaktnými údajmi zodpovednej osoby sú údaje, prostredníctvom ktorých vie prevádzkovateľ/sprostredkovateľ a ktokoľvek zvonka, najmä však dotknuté osoby, komunikovať so zodpovednou osobou. Je to zvyčajne e-mailová adresa, telefónny kontakt, prípadne konkrétna adresa, ak je na nej zodpovedná osoba zastihnuteľná.

Nie je potrebné, aby kontaktné údaje obsahovali priamo meno a priezvisko zodpovednej osoby; napríklad by kontaktné údaje zodpovednej osoby mohli vyzerať takto:

zodpovednaosoba@nazovfirmy.sk/ prípadne anglický variant dpo@názovfirmy.sk (z anglického Data Protection Officer, DPO), kontakt na mobil alebo pevnú linku a prípadný kontakt na prevádzkovateľa napríklad s uvedením čísla dverí, kde zodpovednú osobu u konkrétneho prevádzkovateľa nájdeme.

Spôsob zverejnenia je ponechaný na prevádzkovateľovi/sprostredkovateľovi. Dôležité však je, aby zverejnenie napomáhalo k ľahkej dostupnosti zodpovednej osoby pre všetky zainteresované subjekty.

Oznámenie mena/názvu zodpovednej osoby dozornému orgánu je nevyhnutné na to, aby mohla zodpovedná osoba slúžiť ako kontaktné miesto medzi organizáciou a dozorným orgánom. Viac informácií k nahláseniu zodpovednej osoby úradu sa dozviete na tomto odkaze Nahlasovanie zodpovednej osoby v oblasti ochrany osobných údajov.

Viac informácií sa dozviete v dokumente Usmernenia týkajúce sa zodpovedných osôb – časť 2.6.

 

  • Aké má mať zodpovedná osoba v rámci prevádzkovateľa/sprostredkovateľa postavenie? upravené

Zodpovedná osoba je poradným orgánom, ktorý prevádzkovateľovi/sprostredkovateľovi radí, pomáha napríklad aj pri uzatváraní sprostredkovateľských zmlúv, poskytuje mu podporu a informácie pri nastavovaní spracúvania osobných údajov. Jej postavenie by malo byť nezávislé a prevádzkovateľ by sa mal jej odporúčaniami riadiť, v prípade, že sa s nimi nestotožňuje, mal by iné vykonané riešenie zdôvodniť. Zodpovedná osoba, najmä ak ide o interného zamestnanca, nesmie byť v konflikte záujmov (v tomto postavení je to najpravdepodobnejšie). Znamená to, že zodpovednou osobou by nemal byť zamestnanec, ktorý sa podieľa alebo priamo nastavuje účely spracúvania a zodpovedá za ne. Zodpovedná osoba povedané jednoducho, by mala mať nezávislé postavenie a byť ako „audítor“ pokiaľ ide o spracúvanie osobných údajov a dohľad nad ním.

Viac informácií sa dozviete v dokumente Usmernenia týkajúce sa zodpovedných osôb – časť 3.

 

  • Stále platí, že zodpovedná osoby by mala mať vykonanú skúšku na úrade? upravené

Nie, v súčasnosti už úspešné absolvovanie skúšky nie je podmienkou poverenia zodpovednej osoby, a preto úrad takéto skúšky neuskutočňuje. 

 

  • Čo možno považovať za dostatočné preukázanie odborných kvalít osoby, ktorá sa u mňa uchádza o post zodpovednej osoby? upravené

Posúdenie kvalít a ich vyhodnotenie je na zodpovednosti prevádzkovateľa/sprostredkovateľa; za formu preukázania dostatočnej odbornosti zodpovednej osoby možno považovať doklady o vzdelaní (ak je toto vzdelanie relevantné vo vzťahu k výkonu tejto pozície), doklady o absolvovaní vzdelávacích kurzov, pôsobenie na poste zodpovednej osoby už aj v súčasnosti; Nariadenie nedefinuje čo konkrétne by mal prevádzkovateľ/sprostredkovateľ od budúcej zodpovednej osoby požadovať, teda ak sa prevádzkovateľ/sprostredkovateľ rozhodne, môže si napríklad potenciálnu zodpovednú osobu aj otestovať.

Viac informácií sa dozviete v dokumente Usmernenia týkajúce sa zodpovedných osôb – časť 2.5.

 

  • Môže mať prevádzkovateľ/sprostredkovateľ poverených aj viacero zodpovedných osôb?

Nariadenie priamo nezakazuje, aby prevádzkovateľ/sprostredkovateľ mal poverených aj niekoľko zodpovedných osôb, ak ich však bude viac, je potrebné, aby každá z nich vedela zastrešiť všetky svoje povinnosti a kontaktné údaje všetkých zodpovedných osôb, aby prevádzkovateľ/sprostredkovateľ nahlásil úradu.

 

  • V Nariadení sú aj nové spoplatnené inštitúty, ako kódexy správania, certifikáty, sú tieto povinné pre každého?

Nie, tak pristúpenie ku kódexu správania, alebo získanie certifikátu je dobrovoľné.

 

  • Ako prebieha kontrola zo strany úradu? upravené

Kontrola môže byť riadna a mimoriadna. V rámci riadnej kontroly je úrad – kontrolný orgán, povinný oznámiť minimálne 10 dní vopred pred vykonaním kontroly, že sa u konkrétneho prevádzkovateľa/sprostredkovateľa (kontrolovanej osoby) kontrola bude konať, ak by informovaním vopred hrozilo zmarenie účelu kontroly, oznámenie o kontrole sa nezašle a toto kontrolný orgán vykoná až bezprostredne pred výkonom kontroly, na mieste.

Pred začatím kontroly je kontrolný orgán povinný sa preukázať poverením na vykonanie kontroly a členovia sú povinní sa preukázať služobnými preukazmi.

Tak oprávnenia a povinnosti kontrolného orgánu ako aj kontrolovanej osoby sú obsiahnuté v zákone č. 18/2018 Z. z., kde sa s nimi môžete podrobne oboznámiť.

Výsledkom kontroly je protokol (ak boli kontrolou zistené nedostatky) alebo záznam o kontrole (ak sa kontrolou nezistí porušenie). Kontrolovaná osoba môže namietať v protokole kontrolné zistenia v lehote 21 dní odo dňa doručenia protokolu.

Viac informácií ku kontrole sa dozviete na tomto odkaze: Kontrola spracúvania osobných údajov.

 

  • Ako prebieha konanie o ochrane osobných údajov? upravené

Podľa predchádzajúcej právnej úpravy bolo vedené samostatne konanie o ochrane osobných údajov, v rámci ktorého úrad ukladal opatrenia a samostatným konaním je konanie o pokute.

Odo dňa 25.5.2018 úrad vedie len jedno konanie o ochrane osobných údajov, v rámci ktorého rozhodne tak o opatreniach, ako aj o pokute naraz. Došlo tiež k predĺženiu lehôt, v rámci ktorých úrad v konaní je povinný vydať rozhodnutie; úrad rozhodne v konaní do 90 dní odo dňa začatia konania, v odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o 180 dní. O predĺžení lehoty úrad písomne informuje účastníkov konania. Stále platí, že ak v rámci konania bude potrebné vykonať kontrolu, tak počas výkonu kontroly, lehoty v konaní spočívajú/neplynú.

V rámci podávania rozkladu, teda odvolaniu sa účastníkov konania proti rozhodnutiu úradu v 1. stupni, podávateľ rozkladu môže rozšíriť alebo doplniť podaný rozklad o ďalší návrh alebo o ďalšie body, ale len v lehote určenej na jeho rozkladu.

Viac informácií ku konaniu o ochrane osobných údajov sa dozviete na tomto odkaze: Konanie o ochrane osobných údajov.

 

  • Sú usmernenia EDPB právne záväzné? nové

Hlavnou úlohou EDPB je zabezpečiť konzistentné uplatňovanie Nariadenia v rámci Európskej únie a Európskeho hospodárskeho priestoru. Túto úlohu plní aj vydávaním usmernení a iných dokumentov, ktoré majú pomôcť prevádzkovateľom alebo sprostredkovateľom s aplikáciou Nariadenia. Úrad má taktiež za úlohu presadzovanie konzistentného uplatňovania Nariadenia. Ako člen EDPB a ako jeden zo subjektov, ktorý sa podieľa na tvorbe a schvaľovaní týchto dokumentov v praxi, postupuje v súlade s nimi.

Usmernenia predstavujú tzv. soft law, čiže ide o právne normy, ktorých postavenie síce nie je rovnaké ako postavenie primárneho či sekundárneho práva Európskej únie, avšak ide o prepisy, ktoré sú v praxi všeobecne rešpektované a aplikované dozornými orgánmi pre ochranu osobných údajov.

Samozrejme, sú možné odchýlky od toho, čo je napísané v usmerneniach a iných dokumentoch a tieto odchýlky sa posudzujú prípad od prípadu. Avšak, dôkazné bremeno toho, že táto odchýlka nenarušuje konzistentné uplatňovanie Nariadenia, ale napomáha vyššej ochrane osobných údajov, je na prevádzkovateľovi podľa zásady zodpovednosti uvedenej v čl. 5 ods. 2 Nariadenia. Dokumenty EDPB slúžia prevádzkovateľovi/sprostredkovateľovi ako pomôcka k tomu, aby vedel, aké požiadavky sú na neho kladené v súvislosti napr. so spracovateľskou operáciou (monitorovanie kamerami) alebo v súvislosti s právnym základom (napr. súhlas) a aby teda optimalizoval spracúvanie osobných údajov.

 

  • Ako firma si vedieme databázu uchádzačov, do ktorej zaraďujeme po skončení konkrétneho výberového konania aj neúspešných uchádzačov, pokiaľ nás zaujali svojimi schopnosťami a tiež do tejto databázy dávame životopisy, ktoré sú našej firme zaslané bez vyzvania, ak nás daná osoba na základe zaslaného životopisu zaujme. Na akom právnom základe si takúto databázu môžeme robiť, čo bude právnym základom spracúvania osobných údajov v nej? Aké máme v súvislosti s ňou povinnosti voči dotknutým osobám – uchádzačom? upravené

Databáza uchádzačov je iniciatívou danej firmy, teda firma (prevádzkovateľ) si stanovila účel a prostriedky spracúvania životopisov/prípadne osobných údajov z nich v danej evidencii, a teda firma je tiež povinná stanoviť si ako dlho bude dané údaje v danej evidencii uchovávať.

V prípade, ak do tejto databázy firma zaraďuje neúspešných uchádzačov z riadne vyhlásených výberových konaní na konkrétne pozície, je potrebné, aby aj od nich pýtala na zaradenie do databázy súhlas [čl. 6 ods. 1 písm. a) Nariadenia], nakoľko nie je možné postupovať tak, že by zaradenie do databázy uchádzačov bolo pokračovaním predzmluvných vzťahov z nejakého konkrétneho výberového konania, na ktorom sa daná osoba vo firme zúčastnila a v ktorom neuspela.

Ak ide o databázu/evidenciu, v ktorej sú životopisy osôb, ktoré ich zaslali na základe vlastnej iniciatívy, aby ste mohli tieto údaje uchovávať a spracúvať, potrebujete od týchto kandidátov získať súhlas.

V kontexte súhlasu je potrebné, aby firma postupovala pri kreovaní súhlasu v súlade s čl. 7 Nariadenia. Je tiež potrebné, aby si prevádzkovateľ voči osobám splnil informačnú povinnosť v súlade s čl. 13 Nariadenia, a to napríklad formou jej zverejnenia na svojom webovom sídle, alebo formou jej zverejnenia/ uvedenia/ objavenia sa v ponuke, ak je možné do databázy poskytnúť údaje napríklad formou mobilnej aplikácie danej spoločnosti.

 

  • Zamestnávateľ má záujem zaviesť nový dochádzkový systém pre zamestnancov. Jednou z alternatív je kombinácia karty s vyhotovením fotografie v čase snímania. Predtým ako by sme takýto dochádzkový systém zaviedli, Vás chcem poprosiť o vyjadrenie/stanovisko k takýmto druhom dochádzkových systémov z Vášho pohľadu, nakoľko by dochádzalo k vytváraniu fotografií zamestnancov pri snímaní karty. nové

Úrad aktuálne zastáva stanovisko, že na účely dochádzky zamestnancov do práce sa v zmysle § 99 Zákonníka práce vyžaduje minimálne množstvo údajov, a to v rozsahu meno, priezvisko a dátum a čas príchodu a odchodu zamestnanca do/z pracoviska. Uvedený rozsah údajov postačuje zamestnávateľovi na to, aby naplnil účel sledovaný týmto ustanovením, a to evidenciu pracovného času. Akékoľvek ďalšie osobné údaje ako napr. spomínaná fotografia už nie sú nevyhnutné na dosiahnutie zákonom stanoveného účelu, pričom prípadné odôvodnenie spočívajúce v tom, že spôsob „klasickej“ evidencie dochádzky (zapisovanie do knihy, kartičky a pod.) zamestnanci zneužívajú, nie je dostatočný. Úrad v súčasnosti zastáva názor, že ide o kontrolný mechanizmus zamestnávateľa, ktorým sa snaží zamestnávateľ prípadne odhaliť zamestnancov, ktorí pôvodne nastavený systém zneužívajú.

Pre zavedenie kontrolného mechanizmu musí následne prevádzkovateľ splniť nielen podmienky podľa Nariadenia, ale aj podľa § 13 ods. 4 Zákonníka práce.

 

  • Zamestnávateľ by chcel zaviesť dochádzkový systém, ktorý by spočíval v snímaní dochádzky zamestnancov pomocou „odtlačku prsta“. Čo všetko musí zamestnávateľ urobiť, aby takúto dochádzku mohol zaviesť? nové

Spracúvanie osobných údajov na účel evidencie dochádzky zamestnancov zamestnávateľom je spracúvaním osobných údajov bez súhlasu dotknutej osoby v zmysle § 99 Zákonníka práce. Zo Zákonníka práce nevyplýva povinnosť spracúvať biometrické údaje zamestnanca na účel vedenia dochádzky, preto je úrad toho názoru, že na spracúvanie takýchto osobných údajov bude prevádzkovateľ (zamestnávateľ) potrebovať iný právny základ.

V prípade spracúvania biometrických údajov na účel jedinečnej identifikácie dotknutej osoby je dovolené spracúvanie len ak je splnená niektorá podmienka podľa čl. 9 ods. 2 Nariadenia a zároveň prevádzkovateľ musí disponovať primeraným právnym základom v súlade s čl. 6 ods. 1 Nariadenia. V tejto súvislosti úrad upozorňuje, že ako jediná možná alternatíva v súvislosti so spracúvaním osobných údajov na účely biometrického dochádzkového systému prichádza do úvahy výslovný súhlas zamestnanca v zmysle čl. 9 ods. 2 písm. a) Nariadenia.

Súhlas v rámci pracovno-právnych vzťahov nebude považovaný v každej situácii za najvhodnejší právny základ, a to z dôvodu nerovnomerného vzťahu medzi zamestnancom a zamestnávateľom. Takto získaný súhlas nemusí napĺňať základnú náležitosť dobrovoľnosti súhlasu, čo môže spôsobiť samotnú neplatnosť udeleného súhlasu [v prípade spracúvania biometrických údajov na účely jedinečnej identifikácie fyzickej osoby podľa čl. 9 ods. 2 písm. a) Nariadenia hovoríme o výslovnom súhlase]. Samotná existencia právneho základu však nestačí, ale je zároveň potrebné posúdiť nevyhnutnosť spracúvania osobných údajov. Možnosť spracúvania biometrických údajov podlieha prísnemu posúdeniu nevyhnutnosti a primeranosti s ohľadom na skutočnosť, či zamýšľaný účel možno dosiahnuť iným, menej rušivým zásahom. Ak má byť prínosom zavedenia biometrického dochádzkového systému napríklad len zvýšenie pohodlnosti, alebo len úspora nákladov, vo všeobecnosti sa takáto strata súkromia zamestnanca nepovažuje za primeranú. Proporcionalita zásahu do práv dotknutej osoby pri spracúvaní osobných údajov zamestnanca nad právami dotknutej osoby bude vždy na posúdení samotného zamestnávateľa.

Judikatúra v oblasti pracovnoprávnych vzťahov a spracúvania biometrických údajov zamestnancov nie je rozvinutá, a preto situácie, kedy je takýto zásah do práva dotknutej osoby primeraný, bude skúmaný v prípadnom správnom konaní vždy individuálne pre konkrétne prípady. Príkladom môžu byť laboratória, kde je potrebné zabrániť neoprávnenému vstupu osôb do zariadení, z povahy činnosti tam vykonávanej. V takomto prípade však nehovoríme o dochádzkovom systéme, ale o bezpečnostnom prvku, kedy by spracúvanie biometrických údajov na účely jedinečnej identifikácie osoby vstupujúcej do takéhoto priestoru bolo z nášho pohľadu prípustné. Naopak zavedenie dochádzkového systému, ktorý spracúva biometrické údaje generálne pre všetkých zamestnancov len z dôvodu úspory nákladov, nie je v súlade so základnými zásadami spracúvania osobných údajov (čl. 5 Nariadenia), nakoľko účel možno dosiahnuť aj menej invazívnym spôsobom, napríklad za pomoci prístupovej karty.

Viac informácií sa dozviete v dokumente Stanovisko k spracúvaniu údajov v práci a Usmernenia k súhlasu podľa nariadenia 2016_679.

 

  • Predstavuje register pracovného času, t. j. údaje o čase, kedy jednotliví pracovníci začínajú a končia pracovnú zmenu, ako aj údaje o prestávkach alebo čase, ktorý nie je do pracovného času zahrnutý, osobný údaj? nové

Áno, takýto register predstavuje osobné údaje, na ktoré sa vzťahujú pravidlá ochrany osobných údajov podľa Nariadenia.

 

  • Pracujem vo firme, kde je vo vnútornom informačnom systéme zoznam zamestnancov, kde je online zaznamenávaná prítomnosť na pracovisku, PN, OĆR, lekár, dovolenka a pod. Tento zoznam je voľne prístupný všetkým zamestnancom. Je toto v súlade s platnými právnymi predpismi? nové

Na základe vami opísaného stavu, vo všeobecnosti, by mohlo ísť o porušenie zásady minimalizácie a integrity a dôvernosti spracúvania údajov [čl. 5 ods. 1 písm. c) a f) Nariadenia – osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú; spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane pred neoprávneným alebo nezákonným spracúvaním...], pravdepodobne v rozsahu, že tieto informácie nemusia mať k dispozícii všetci zamestnanci, ale napríklad iba personalisti a nadriadení zamestnancov. Tento záver nemusí byť aplikovateľný na všetky situácie vedenia dochádzky, pretože je na prevádzkovateľovi, aby odôvodnil prečo (za akým účelom, v jeho konkrétnom prípade) takýmto spôsobom pristúpil k vedeniu evidencie dochádzky tak že má každý zamestnanec prístup aj k údajom o dochádzke kolegov.

Viac informácií k uvedeným zásadám sa dozviete v dokumente Usmernenia týkajúce sa článku 25 - Špecificky navrhnutá a štandardná ochrana údajov – časť 3.5 a 3.8.

 

  • Obchodná spoločnosť využíva na nábor zamestnancov externú spoločnosť vykonávajúcu činnosti v oblasti náboru (recruitingu) zamestnancov. Proces vyzerá tak, že obchodná spoločnosť osloví recruitingovú spoločnosť na spoluprácu pri konkrétnom nábore, zadá parametre hľadaného zamestnanca. Recruitingová spoločnosť následne začne nábor zamestnancov, t.j. inzeruje požadovaný profil zamestnanca, zbiera príslušné životopisy, pričom vhodných kandidátov a ich životopisy následne posúva obchodnej spoločnosti. Aké postavenie má náborová agentúra z hľadiska spracúvania osobných údajov voči obchodnej spoločnosti ako jej klientovi (prevádzkovateľ – prevádzkovateľ, prevádzkovateľ – sprostredkovateľ, resp. spoloční prevádzkovatelia)? (osobné údaje o potenciálnych kandidátoch získava na základe zmluvy o poskytovaní náborových služieb s obchodnou spoločnosťou ako jej klientom). Je nutné s recruitingovou agentúrou uzatvoriť zmluvu o spracúvaní osobných údajov v zmysle čl. 28 Nariadenia a nasl.? nové

Personálna agentúra je regulovaná zákonom č. 5/2004 Z. z. o službách zamestnanosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o službách zamestnanosti“) ako „právnická osoba alebo fyzická osoba, ktorá vykonáva činnosti podľa tohto zákona, najmä sprostredkovanie zamestnania za úhradu“, a preto poskytuje svoje služby na základe § 32 ods. 1 zákona o službách zamestnanosti, pričom

  1. vyhľadáva zamestnávateľov pre uchádzačov o zamestnanie alebo záujemcov o zamestnanie a/alebo
  2. vyhľadáva zamestnancov pre potenciálnych zamestnávateľov.

V prvom prípade sa javí, že personálna agentúra, ako aj potenciálny zamestnávateľ sa nachádzajú v pozícii samostatných prevádzkovateľov.

V druhom prípade dávame do pozornosti Usmernenia k pojmom prevádzkovateľ a sprostredkovateľ podľa všeobecného nariadenia o ochrane údajov, konkrétne Príklad: Náborové agentúry na strane 24-25. Z uvedeného príkladu vyplýva, že personálna agentúra sa považuje za prevádzkovateľa a spoločne s potenciálnym zamestnávateľom kontroluje prinajmenšom tie súbory operácií, ktoré sa týkajú náboru nových zamestnancov pre tohto potenciálneho zamestnávateľa. V tomto prípade pôjde o spoločných prevádzkovateľov podľa čl. 26 Nariadenia.

Avšak pokiaľ by personálna agentúra pri vyhľadávaní zamestnancov pre potenciálneho zamestnávateľa využívala aj osobné údaje dotknutých osôb, ktoré ju oslovili podľa bodu 1, je potrebné, aby mal samostatný prevádzkovateľ na takúto spracovateľskú operáciu (poskytnutie osobných údajov) primeraný právny základ a súčasne, aby spoločný prevádzkovateľ disponoval primeraným právnym základom na spracúvanie takto získaných osobných údajov.

Rovnaký princíp platí v prípade, ak chcú spoloční prevádzkovatelia využívať získané osobné údaje pre iných zamestnávateľov alebo pre seba v postavení samostatného prevádzkovateľa. Na súvisiace poskytnutie osobných údajov je potrebná existencia primeraného právneho základu a súčasne je potrebné, aby druhý prevádzkovateľ (eventuálne spoloční prevádzkovatelia) disponoval primeraným právnym základom na spracúvanie takto získaných osobných údajov.

Pre zhrnutie uvádzame:

  1. Ak personálnu agentúru osloví uchádzač o zamestnanie alebo záujemca o zamestnanie, personálna agentúra sa nachádza v postavení samostatného prevádzkovateľa.
  2. Ak personálnu agentúru osloví konkrétny zamestnávateľ
  1. pri získavaní a ďalšom spracúvaní osobných údajov pre konkrétneho zamestnávateľa sa personálna agentúra a konkrétny zamestnávateľ nachádzajú v postavení spoločných prevádzkovateľov;
  2. ak využíva pre tohto zamestnávateľa údaje získané podľa bodu 1 – ide o poskytovanie osobných údajov od samostatného prevádzkovateľa pre spoločného prevádzkovateľa – je v tomto prípade potrebné zabezpečiť zákonnosť takéhoto spracúvania (najmä určiť vhodný právny základ pre spracúvanie);
  3. ak využíva osobné údaje získané ako spoloční prevádzkovatelia pre iných prevádzkovateľov (spoločných prevádzkovateľov) – je v tomto prípade potrebné zabezpečiť zákonnosť takéhoto spracúvania (najmä určiť vhodný právny základ pre spracúvanie).

Na základe uvedeného je potrebné, aby si personálna agentúra zaviedla primerané bezpečnostné opatrenia, aby nedošlo k nezákonnému spracúvaniu osobných údajov a v súlade s uvedeným zabezpečila aj plnenie informačnej povinnosti.

 

  • Pri objednávke k masérovi či, kaderníkovi je potrebné poskytnúť súhlas tomuto živnostníkovi/ firme poskytujúcej tieto a obdobné služby? Aký je právny základ spracúvania prípadných osobných údajov týmito prevádzkovateľmi? upravené

Vykonanie manikúry, pedikúry, ostrihanie, či obdobné je poskytnutím služby, teda medzi zákazníkom a medzi poskytovateľom služby (manikérkou, kaderníčkou a pod.) vzniká zmluvný vzťah, a to aj v prípade ak sa zmluva nespíše, pôjde o tzv. nepísanú zmluvu, do ktorej možno zaradiť aj spracúvanie osobných údajov pri objednaní sa na takúto službu. V prípade, ak napríklad kadernícky salón/kaderníčka živnostníčka eviduje objednávky na meno, priezvisko a telefón zákazníka, spracúva osobné údaje zákazníka (fyzickej osoby) v pozícii prevádzkovateľa. Nakoľko ide o objednanie na určitú službu, ktorá má byť vykonaná v prospech zákazníka spravidla za odplatu na spracúvanie osobných údajov zákazníka na účely objednávky a výkonu objednanej služby nie je potrebný súhlas zákazníka, nakoľko osobné údaje sa spracúvajú v „režime“ predzmluvných/zmluvných vzťahov, teda podľa čl. 6 ods. 1 písm. b) Nariadenia; nie na základe súhlasu zákazníka.

Pokiaľ však poskytovateľ služby robí napr. aj rôzne dotazníky, kde sa pýta na zdravotný stav, prípadne alergie zákazníka aké lieky berie, ide o spracúvanie údajov týkajúcich sa zdravia. Keďže ide o osobitnú kategóriu osobných údajov, ktorá je chránená prísnejšie, je potrebné, aby okrem právneho základu uvedeného v čl. 6 ods. 1 Nariadenia, poskytovateľ služby splnil aj jednu z výnimiek v čl. 9 ods. 2 Nariadenia. Ako vhodný právny základ by mohol byť výslovný súhlas dotknutej osoby.

Je tiež potrebné, aby si prevádzkovateľ vo vzťahu k zákazníkovi plnil informačnú povinnosť v zmysle čl. 13 a 14 Nariadenia, a to napríklad jej zverejnením na svojom webovom sídle alebo inak preukázateľne, transparentne a zrozumiteľne v zmysle čl. 12 ods. 1 Nariadenia.

Inou situáciou je, ak chce napríklad kadernícky salón osloviť a zasielať newslettre/ponuky služieb, zľavy/reklamné materiály tým, ktorí o to prejavia záujem prostredníctvom mobilnej aplikácie alebo formou prihlásenia sa na odber cez ich web. Platí, že v prípade, ak na účely zasielanie ponúk prevádzkovateľ – kaderníctvo zbiera napríklad meno, priezvisko, e-mailovú adresu a telefónne číslo, je takéto zasielanie založené na súhlase dotknutej osoby, záujemcu o zasielanie. Ak by bol adresátom zasielania ponúk už klient daného kaderníctva – prevádzkovateľa, kaderníctvo – prevádzkovateľ, by mohlo ako právny základ zasielania ponúk využiť aj oprávnený záujem [čl. 6 ods. 1 písm. f) Nariadenia], kedy by oprávneným záujmom bol presne definovaný účel spracúvania osobných údajov, napríklad „skvalitnenie a personifikácia služieb dlhodobému zákazníkovi.“. V tomto prípade však musí kadernícky salón poskytnúť pri každej odoslanej ponuke jednoduchým spôsobom uplatnenie práva namietať podľa čl. 21 ods. 3 Nariadenia.

Pri oprávnenom záujme je vždy potrebné, aby prevádzkovateľ, ktorý chce oprávnený záujem využiť ako právny základ spracúvania osobných údajov, tento definoval/konkretizoval, nepostačuje, ak prevádzkovateľ napríklad v záznamoch o spracovateľských činnostiach (podľa čl. 30 Nariadenia) iba uvedie, že právnym základom spracúvania je čl. 6 ods. 1 písm. f) Nariadenia. Nad záujmami prevádzkovateľa nesmú prevažovať záujmy alebo základné práva a slobody dotknutej osoby.

Tiež v prípade zasielanie ponúk či už na základe súhlasu, alebo na základe konkrétneho oprávneného záujmu je potrebné, aby si prevádzkovateľ plnil informačnú povinnosť podľa čl. 13 alebo 14 Nariadenia.

 

  • Naše zariadenie poskytuje ubytovanie pre ľudí, vedieme knihu ubytovaných, aký je právny základ spracúvania osobných údajov v tejto knihe?

Spracúvanie osobných údajov ubytovaných hostí v knihe ubytovaných je upravené ako povinnosť podľa § 24 ods. 1 zákona č. 253/1998 Z. z. o hlásení pobytu, podľa ktorého „Fyzické osoby a právnické osoby, ktoré poskytujú služby na základe zmluvy o ubytovaní, sú povinné viesť knihu ubytovaných, ktorá obsahuje údaje o mene a priezvisku ubytovaného, číslo jeho občianskeho preukazu alebo cestovného dokladu, adresu trvalého pobytu a dobu ubytovania.“. Na základe vyššie citovaného ustanovenia je toto ustanovenie osobitného zákona právnym základom spracúvania, v rámci Nariadenia je právnym základom zákonná povinnosť vyplývajúca z vyššie citovaného zákona, teda čl. 6 ods. 1 písm. c) Nariadenia. Nakoľko táto povinnosť pre prevádzkovateľov ubytovacích zariadení vyplýva zo zákona o hlásení pobytu, nie je potrebné a vhodné na takéto spracúvanie pýtať od ubytovaných hostí súhlas, títo sú povinní strpieť poskytnutie údajov nakoľko to subjektu, v ktorom sú ubytovaní, vyplýva zo zákona o hlásení pobytu. Je potrebné dodať, že osoby poskytujúce ubytovanie – prevádzkovatelia, si musia voči ubytovaným hosťom plniť informačnú povinnosť podľa čl. 13 prípadne 14 Nariadenia, a to napríklad jej zverejnením na svojom webe, alebo jej uvedením v písomnej podobe na recepcii, alebo inak vhodne tak, aby dotknuté osoby, hostia, tieto informácie dostali najneskôr pri poskytovaní osobných údajov zariadeniu.

Je tiež nepodstatné, či si ubytovacie zariadenie vedie knihu ubytovaných v papierovej alebo elektronickej podobe, alebo oboch, právny základ spracúvania je totožný, len prostriedky spracúvania sú rôzne/ dvojaké, v oboch prípadoch ide o spracúvanie osobných údajov na účel podľa osobitného zákona o hlásení pobytu, kde vyžadovanie poskytnutia súhlasu od ubytovaných na tento účel neodporúčame, nakoľko by nadbytočne dochádzalo ku kumulovaniu právnych základov, čo v tomto prípade nie je žiadúce a potrebné.

 

  • V našej spoločnosti máme nastavený formulár, ktorým na účel X získavame od osôb meno, priezvisko, telefónne číslo a e-mailovú adresu, stáva sa však, že do poznámky/ inam do formulára nám osoby iniciatívne uvedú aj iné, nami nepožadované osobné údaje, čo s takto nadbytočnými osobnými údajmi máme robiť?

Prevádzkovateľ má určený, alebo určil účel spracúvania osobných údajov konkrétne a na dané spracúvanie určil, že potrebuje v zmysle zásady nevyhnutnosti a účelnosti konkrétne osobné údaje (napríklad meno a priezvisko a telefonický kontakt), teda IBA na ich spracúvanie disponuje relevantným právnym základom, pre spracúvanie iných osobných údajov, poskytnutých iniciatívne nad rámec požadovaných údajov, nemá právny základ. Je teda potrebné, aby osobné údaje získané nad rámec (z vlastnej iniciatívy dotknutej osoby) ním vymedzeného účelu zlikvidoval a tieto nespracúval. Je iniciatívne vhodné, aby napríklad formou oznamu na danom formulári bolo uvedené, že iniciatívne uvedené údaje (nepožadované) budú zlikvidované. Vo vzťahu k tým údajom, ktorých sa spracúvanie týkalo pôvodne prevádzkovateľ nesmie zabudnúť a plniť si voči dotknutým osobám informačnú povinnosť podľa čl. 13 alebo 14 Nariadenia.

 

  • Na základe kúpnopredajnej zmluvy idem kupovať byt cez realitnú kanceláriu, v návrhu zmluvy, ktorý som od realitnej kancelárie dostal je aj ustanovenie podľa ktorého „dávam súhlas na spracúvanie mojich osobných údajov na účely kúpy bytu a je v texte zmluvy naformulovaný aj samotný súhlas“, je takýto postup správny?

Uvedený súhlas v zmluve v tomto konkrétnom prípade sa javí, že nie je súladný s Nariadením, nakoľko ak sa osobné údaje spracúvajú na základe zmluvy, v rámci ktorej je jednou z jej strán dotknutá osoba a na strane druhej je napríklad realitná kancelária, tak spracúvanie osobných údajov uvedených v zmluve sa vykonáva na základe spracúvania v rámci daného zmluvného vzťahu, teda v zmysle čl. 6 ods. 1 písm. b) Nariadenia a nie na základe súhlasu v zmysle čl. 6 ods. 1 písm. a) Nariadenia. Je vhodné, aby takéto konštatovanie a súhlas, ak je v zmluve uvedený, bol z textu zmluvy odstránený.

 

  • Mám ako rodič právo na informovanie sa o študijnom prospechu môjho dieťaťa (osobne, cez elektronickú žiacku knižku), nakoľko som sa stretol s tým, že škola môj prístup k známkam mojej 17 ročnej dcéry podmieňuje jej súhlasom?

Spracúvanie osobných údajov konkrétneho žiaka a jeho známky je upravené zákonom č. 245/2008 Z. z. o vzdelávaní (školský zákon) (ďalej len „školský zákon“). Osobitne dávame do pozornosti §144 ods. 6 písm. c) školského zákona. Tieto ustanovenia školského zákona dávajú právo zákonnému zástupcovi (teda rodičovi osoby mladšej ako 18 rokov, pokiaľ osoba plnoletosť nenadobudla sobášom), aby sa oboznamoval so študijnými výsledkami svojho dieťaťa, zvereného dieťaťa: „Zákonný zástupca dieťaťa alebo žiaka alebo zástupca zariadenia má právo byť informovaný o výchovno-vzdelávacích výsledkoch svojho dieťaťa,...". Tiež sa možno domnievať, že nakoľko podľa § 144 ods. 6 písm. c) školského zákona má zákonný zástupca právo na oboznamovanie sa so študijnými výsledkami dieťaťa, tak dovŕšením plnoletosti dieťaťa toto právo automaticky naďalej nemá, nakoľko už nie je jeho zákonný zástupca, teda na poskytnutie konkrétnych známok / informácií o výsledkoch dieťaťa/študenta vo veku 18+ už od nadobudnutia plnoletosti bude rodič potrebovať súhlas dieťaťa, na základe ktorého mu škola výsledky sprístupní/poskytne. Takáto premisa nie je v školskom zákone priamo výslovne uvedená, vyplýva z dikcie iba nepriamo. Nakoľko úrad nie je gestorom školského zákona, po vecnej stránke náš vyššie uvedený názor musí potvrdiť gestor zákona, ktorým je Ministerstvo školstva, vedy, výskumu a športu SR.

 

  • Moje dieťa má ísť do školy v prírode. Na rodičovskom združení od náš škola žiadala vyplniť dotazník o zdravotnom stave dieťaťa pre školu, ktorej sme na spracúvanie vyššie uvedených citlivých osobných údajov o zdraví detí poskytli súhlas. Je takáto požiadavka školy na informácie o zdravotnom stave dieťaťa oprávnená? Je právny základ spracúvania (súhlas pre školu) školou určený správne? upravené

Podľa § 11 ods. 6 zákona č. 245/2008 Z. z. o výchove a vzdelávaní a o zmene a doplnení niektorých zákonov (ďalej len „školský zákon“) školy a školské zariadenia majú právo získavať a spracúvať osobné údaje o deťoch a žiakoch v rozsahu: meno, priezvisko, dátum a miesto narodenia, bydlisko, rodné číslo, štátna príslušnosť, národnosť, fyzické zdravie a duševné zdravie, mentálna úroveň vrátane výsledkov pedagogicko-psychologickej a špeciálnopedagogickej diagnostiky, identifikácia zákonných zástupcov dieťaťa alebo žiaka (titul, meno a priezvisko, rodné priezvisko; spôsobilosť na právne úkony; adresa bydliska a druh pobytu; zákaz pobytu; a kontakt na účely komunikácie; a dosiahnutie vzdelanie).

Podľa § 112 školského zákona sústavu školských zariadení tvorí: školské výchovno–vzdelávacie zariadenie, špeciálne východné zariadenia, školské zariadenia výchovného poradenstva a prevencie, školské účelové zariadenia. Podľa § 137 školského zákona školským účelovým zariadením sú škola v prírode, zariadenia školského stravovania, stredisko služieb školy.

Z vyššie uvedeného vyplýva, že na získavanie a následne ďalšie spracúvanie osobných údajov detí a žiakov o ich zdravotnom stave je škola, ktorú navštevuje Vaše dieťa, splnomocnená priamo školským zákonom spracúvať takéto osobné údaje o dieťati, teda súhlas rodičov na poskytnutie vyššie uvedených osobných údajov o dieťati, nie je potrebný (je nadbytočný), pretože požiadavka zákonnosti takéhoto spracúvania osobných údajov, podľa čl. 6 a 9 Nariadenia je naplnená priamo v ustanovení § 11 ods. 6 školského zákona. Teda rodič má povinnosť, ak je požiadaný, potrebné a nevyhnutné osobné údaje dieťaťa poskytnúť, a to na účely toho, aby škola v prírode prebehla bez problémov a v prípade ak sa nejaké vyskytnú mala škola potrebné zdravotné informácie týkajúce sa dieťaťa, ktoré môžu byť pre dieťa život zachraňujúce, ak by sa niečo stalo, nakoľko tak škola, ako jej zamestnanci školy počas školy v prírode za deti nesú právnu zodpovednosť.

V prípade, že ubytovacie zariadenie, kde sa bude škola v prírode konať, je priamo zaradené do siete školských zariadení vzťahuje sa vyššie uvedený „bezsúhlasový režim“ na poskytovanie osobných údajov o zdraví dieťaťa aj na toto zariadenie.

Opätovne platí, že prevádzkovateľ (škola, školské zariadenie) je povinný si plniť voči dotknutým osobám informačnú povinnosť podľa čl. 13 alebo 14 Nariadenia.

 

  • Prosíme o informáciu, za akých podmienok a platnej legislatívy môže zriaďovateľ (obec) nainštalovať v objekte materskej školy - jedáleň pre deti a detský dvor kamerový systém. Je k tomu potrebný písomný súhlas všetkých rodičov a zamestnancov školy? Môže zriaďovateľ nainštalovať kamerový systém aj vtedy, ak niektorý zamestnanec, alebo rodič nesúhlasí? Zriaďovateľ má právo inštaláciu zrealizovať aj keď nemá k tomu závažný dôvod? nové

Spracúvanie osobných údajov kamerou je spracovateľská činnosť, ktorá potrebuje svoj právny základ, pričom súhlas je iba jednou z možností. Súhlas sa vyznačuje tým, že na to, aby tvoril efektívny právny základ spracúvania musí byť udelený dobrovoľne a nepodmienene. V tomto kontexte by to však znamenalo, že všetci rodičia vrátane učiteľského zboru (teda všetci, ktorí sú kamerou snímaní) by museli vyjadriť svoj súhlas. Stačilo by totiž, aby jeden rodič, resp. učiteľka neudelil/a alebo odvolal/a svoj súhlas a prevádzkovateľ by nemal právny základ na snímanie kamerou, t.j. snímal by nezákonne tohto konkrétneho človeka.

Je tu možnosť pre prevádzkovateľa využiť iný právny základ ako súhlas, napr. verejný záujem alebo oprávnený záujem. Podľa toho kto je prevádzkovateľom – škola by mohla plniť úlohy realizované vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi – bolo by možné použiť verejný záujem podľa čl. 6 ods. 1 písm. e) Nariadenia, ak sú splnené podmienky na kvalitu takého právneho ustanovenia v súlade s Nariadením. V danom kontexte to však nepovažujeme za možnosť.

V prípade využitia právneho základu podľa čl. 6 ods. 1 písm. f) Nariadenia – oprávnený záujem, je potrebné posúdiť oprávnenosť monitorovania a to na podklade viacerých kritérií, ktoré uvádzame nižšie.

V tejto súvislosti poukazujeme na požiadavku existencie oprávneného záujmu a jej aktuálnosti, nemôže ísť o fiktívny ani špekulatívny oprávnený záujem. Malo by ísť o skutočnú tiesňovú situáciu – ako sú škody alebo vážne incidenty vo vzťahu k deťom v minulosti, ku ktorým došlo pred začiatkom monitorovania.

Druhé kritérium posúdenia oprávnenosti záujmov spočíva v posúdení nevyhnutnosti spracúvania osobných údajov. Za bežných okolností, monitorovanie priestorov školských tried a školského ihriska nepovažujeme za primerané. V tomto prípade záujmy, práva a slobody detí prevažujú nad oprávnenými záujmami prevádzkovateľov. V určitých špecifických situáciách bude možné využiť oprávnený záujem ako právny základ pre monitorovanie, aj to iba v prísne vymedzenom časovom období, kým sa nedosiahne účel monitorovania. Existenciu oprávnených záujmov prevádzkovateľov, ako aj nevyhnutnosť monitorovania je potrebné dôsledne posúdiť a zdokumentovať. Dôležitým aspektom je aj predvídateľnosť spracúvania (preukázanie, že účel sa nedá dosiahnuť iným menej invazívnym spôsobom – navýšením počtu učiteľov alebo náhodnou kontrolou učiteľov počas prestávok v triede). Z týchto dôvodov, sme toho názoru, že v tomto kontexte nemôže ísť o bežnú prax inštalácie kamerového systému v školských triedach a na školských ihriskách resp. dvoroch a právny základ - oprávnený záujem je možné využiť v odôvodnených krajných situáciách.

Výsledok posúdenia oprávnenosti záujmov bude závisieť od konkrétnej situácie a jej závažnosti (založenej na objektívnych dôkazoch).

Viac informácií k posúdeniu vplyvu sa dozviete v dokumente Usmernenia týkajúce sa posúdenia vplyvu na ochranu údajov a stanovenie toho, či spracúvanie „pravdepodobne povedie k vysokému.

Viac informácií ku kamerovaniu sa dozviete v dokumente Usmernenia k spracúvaniu osobných údajov prostredníctvom kamerových zariadení_v 2.1.

Uvádzame dôležité časti z vyššie uvedeného Usmernenia:

Bod 37: Napríklad zamestnanec na svojom pracovisku vo väčšine prípadov neočakáva, že ho bude zamestnávateľ monitorovať. Okrem toho sa monitorovanie neočakáva ani vo vlastnej súkromnej záhrade, obytnom priestore, ani v ordinácii či ošetrovni. Podobne nie je primerané očakávať monitorovanie v hygienických či saunových zariadeniach – monitorovanie v takýchto priestoroch je závažným narušením práv dotknutej osoby. Primerané očakávania dotknutých osôb spočívajú v tom, že sa v takýchto priestoroch nebude vykonávať žiadne monitorovanie kamerou. Na druhej strane zákazník banky môže očakávať, že v interiéri banky alebo pri bankomate bude monitorovaný.

Bod 38: Dotknuté osoby môžu takisto očakávať, že nebudú monitorované na verejne dostupných miestach, a to najmä ak sú tieto miesta zvyčajne využívané na zotavenie, regeneráciu a voľnočasové aktivity, ako aj na miestach, kde sa ľudia zdržiavajú a/alebo zhovárajú, ako sú zóny na sedenie, stoly v reštauráciách, parky, kiná a fitnes zariadenia. V tomto prípade záujmy či práva a slobody dotknutej osoby často prevážia nad oprávnenými záujmami prevádzkovateľa.

 

  • Pri zadaní môjho mena na internetovom prehliadači nájdete v prehľade celé meno, dátum narodenia a tiež moju finančnú situáciu. Register úpadcov takto zverejňuje celý postup môjho oddlženia bez akejkoľvek ochrany. nové

Vo vzťahu k zverejňovaniu osobných údajov na webovej stránke Ministerstva spravodlivosti SR v súvislosti s registrom úpadcov, deje sa tak v zmysle zákona č. 7/2005 Z. z. o konkurze a reštrukturalizácii v znení neskorších predpisov. Tento zákon upravuje register úpadcov v § 10a, pričom hneď v úvodnej vete ustanovuje, že je tento register sprístupnený na webe ministerstva. Podľa ustanovenia § 10a ods. 2 písm. a) bod 4.1. v registri úpadcov sa zverejňujú údaje o konaniach podľa tohto zákona v rozsahu označenie navrhovateľa a dlžníka, ak ide o fyzickú osobu, meno, priezvisko, dátum narodenia a bydlisko. Ak sa domnievate, že ministerstvo postupuje v rozpore s osobitným predpisom, ktorý konkretizuje spracúvanie ako aj s Nariadením, odporúčame dotknutej osobe v prvom rade si uplatniť práva dotknutej osoby u ministerstva ako prevádzkovateľa.

Ako dotknutá osoba si môžete uplatniť u prevádzkovateľa dotknutého internetového prehliadača, právo na výmaz osobných údajov z výsledkov vyhľadávania prostredníctvom na to určeného formuláru, v ktorom prevádzkovateľovi uvediete konkrétne odkazy (linky), vo vzťahu ku ktorým si uplatňujete svoje právo na výmaz. Pokiaľ ide napr. o prehliadač Google, môžete si svoje právo uplatniť prostredníctvom tohto formuláru.

Viac informácií sa dozviete v dokumente Usmernenia ku kritériám týkajúcich sa prípadov uplatňovania práva na zabudnutie vo vyhľadávačoch podľa všeobecného nariadenia o ochrane údajov.

 

  • Môžem žiadať o vymazanie z úverového registra, keď mám všetky úvery a pôžičky splatené? Len neprešlo ešte 5 rokov od splatenia a mám tam vedené nejaké splátky kedy som meškal. nové

V prípade ak spracúvanie osobných údajov vyplýva zo zákona, prevádzkovateľ žiadosti o vymazanie osobných údajov nemusí vyhovieť. Podľa § 7 ods. 13 zákona č. 129/2010 Z. z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov „údaje o spotrebiteľovi a jeho spotrebiteľských úveroch, ktoré veriteľ poskytol do registra, sa uchovávajú v registri päť rokov od zániku záväzkov spotrebiteľa zo spotrebiteľských zmlúv voči veriteľovi. Veriteľ je povinný preukázateľne uviesť v registri dátum zániku záväzkov spotrebiteľa zo zmluvy o spotrebiteľskom úvere.“. Inak povedané, ak je spracúvanie osobných údajov v úverom registri regulované osobitným zákonom, ktorý upravuje povinnosť osobné údaje spracúvať, ustanovenia o povinnosti vymazať osobné údaje podľa čl. 17 Nariadenia sa na takéto situácie vo všeobecnosti neuplatnia. V danom prípade bude prevádzkovateľ povinný osobné údaje z takéhoto registra vymazať po uplynutí lehoty stanovej zákonom. 

 

  • Hocikto si môže vytiahnuť údaje o akejkoľvek nehnuteľnosti aj s jeho majiteľmi a ich dátumom narodenia z katastrálneho portálu. Ako je to vôbec možné? nové

Právnym základom spracúvania osobných údajov v informačnom systéme katastra nehnuteľností tak ako informuje prevádzkovateľ Úrad geodézie, kartografie a katastra SR vo svojej informačnej povinnosti (v zmysle čl. 13 Nariadenia) je plnenie zákonnej povinnosti, ktorá tomuto prevádzkovateľovi vyplýva zo zákona č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v znení neskorších predpisov (ďalej len „zákon č. 162/1995 Z. z.“).

Osobné údaje, ktoré sú zverejnené na uvedenom portáli katastra nehnuteľností sa zákonodarca rozhodol zverejniť z dôvodu verejného záujmu, ktorý sleduje ochranu práv vlastníkov k vlastneným nehnuteľnostiam, daňové a poplatkové účely, oceňovanie nehnuteľností, najmä pozemkov, ochrana poľnohospodárskeho pôdneho fondu a lesného pôdneho fondu, tvorba a ochrana životného prostredia, ochrana nerastného bohatstva, ochrana národných kultúrnych pamiatok a ostatných kultúrnych pamiatok, ako aj chránených území a prírodných výtvorov.

Skutočnosť, že osobné údaje sú takýmto spôsobom zverejnené, neznamená, že strácajú status osobného údaja podľa čl. 4 ods. 1 Nariadenia. Ak tretia strana (prevádzkovateľ odlišný od Úradu geodézie, kartografie a katastra SR) chce takto zverejnené a získané osobné údaje spracúvať pre vlastné (iné) účely ako stanovuje zákon č. 162/1995 Z. z., potrebuje rovnako splniť aspoň jednu z podmienok podľa čl. 6 Nariadenia. Ak by takýto subjekt spracúval osobné údaje získane z portálu katastra nehnuteľností bez splnenia podmienky podľa čl. 6 Nariadenia, porušil by základnú zásadu zákonnosti [čl. 5 ods. 1 písm. a) Nariadenia].

 

  • Chcem sa prosím informovať, do akej miery je porušenie Nariadenia, keď sú na verejne dostupnej stránke, slúžiacej na nahlasovanie podnetov samospráve, uverejňované štátne poznávacie značky motorových vozidiel. Jedná sa o uverejňovanie hlavne vrakov a dlhodobo odstavených vozidiel. nové

EČV je jedinečná značka spojená s konkrétnym vozidlom. V tomto prípade môže dôjsť k nepriamemu identifikovaniu jednotlivca na základe toho, že umožňuje, aby sa jednotlivec odlíšil od ostatných (osobitný výber). V prípadoch, keď rozsah dostupných identifikátorov nikomu neumožňuje na prvý pohľad vyčleniť konkrétnu osobu, uvedená osoba môže byť stále „identifikovateľná“, pretože uvedená informácia v kombinácii s inými informáciami (či už tieto informácie uchoval prevádzkovateľ alebo nie) umožní odlíšiť jednotlivca od iných osôb. V súčasnosti sa prikláňame k názoru, že spracúvaním EČV dochádza k spracúvaniu osobných údajov (najmä v kombinácii s inými informáciami, ako sú geografické informácie, informácie o výrobcovi, modeli a farbe). Ide o jeden z prípadov, kedy nie je meno na identifikáciu jednotlivca potrebné, ale sa na určenie osoby používajú iné „identifikátory“.

V tejto súvislosti dávame do pozornosti rozsudok SDEÚ vo veci C-582/14 zo dňa 19.10.2016 (najmä body 41, 43, 45 a 46). V podmienkach SR existujú subjekty, ktoré vedú databázu EČV na identifikáciu fyzickej osoby. Je objektívne možné očakávať, že ktokoľvek na uplatnenie vlastných právnych nárokov môže prostredníctvom takýchto subjektov, v rámci súdneho alebo mimosúdneho konania, využiť možnosť identifikovať fyzickú osobu na základe EČV. V zmysle vyššie uvedeného rozsudku je teda naplnená podmienka, kedy existujú právne prostriedky, na základe ktorých prevádzkovateľ dokáže identifikovať dotknutú osobu, ktorej sa EČV týka, a to vďaka ďalším informáciám, ktoré nemá prevádzkovateľ priamo vo svojom prostredí.

Výber právneho základu na spracúvanie osobných údajov je výlučne na prevádzkovateľovi. Samotná zákonnosť spracúvania osobných údajov na verejne dostupných miestach na internete môže závisieť od viacerých faktorov. V mnohých prípadoch sa ochrana osobných údajov podľa Nariadenia prelína s ochranou osobnosti podľa § 11 zákona č. 40/1964 Zb. Jedným z určujúcich faktorov (nie však jediným) bude posúdenie či zverejnením osobných údajov dochádza k spracúvaniu osobných údajov v postavení prevádzkovateľa podľa Nariadenia alebo takúto spracovateľskú operáciu vykonávate ako fyzická osoba vyňatá z vecnej pôsobnosti Nariadenia [napr. podľa čl. 2 písm. c) je z pôsobnosti Nariadenia vyňaté spracúvanie fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti]. Nakoľko SDEÚ už v minulosti viackrát judikoval záver, že zverejňovanie osobných údajov na internete nespadá do tejto výnimky, v súlade s čl. 6 Nariadenia tak bude spracúvanie osobných údajov zverejnením na internete zákonné len ak je splnená aspoň jedna z podmienok tam uvedených.

 

  • Naša firma potrebuje poslať osobné údaje zamestnancov do našej materskej firmy, ktorá je v USA. Ako treba prosím postupovať pri prenose osobných údajov do USA? nové

V prípade, ak prevádzkovateľ plánuje prenos osobných údajov do tretích krajín (mimo členských krajín EÚ a EHP) musí okrem splnenia podmienky v čl. 6 ods. 1 Nariadenia (príp. čl. 9 ods. 2 Nariadenia) splniť ešte dodatočné podmienky upravené v kapitole V Nariadenia. V každom prípade sa prenosy môžu vykonávať len v úplnom súlade s Nariadením. Prenos by sa mal uskutočniť len vtedy, ak s výhradou ostatných ustanovení v Nariadení prevádzkovateľ splnil podmienky stanovené v Nariadení týkajúce sa prenosu osobných údajov. Nutnosť splniť tieto dodatočné podmienky vyplýva predovšetkým z toho, že v tretích krajinách platí iná právna úprava v rámci ochrany osobných údajov, ktorá nemusí zaisťovať v podstate rovnocennú úroveň ochrany, ako je zabezpečená v rámci EÚ/EHP.

Keďže USA nepatrí medzi krajiny, pre ktoré v súčasnosti existuje rozhodnutie o primeranosti vydané Európskou komisiou (rozhodnutie Privacy Shield bolo zrušené rozhodnutím SDEÚ vo veci Schrems II dňa 16. júla 2020), je potrebné zvoliť iný vhodný nástroj na prenos z kapitoly V Nariadenia. Navyše o prenose do USA je potrebné informovať Vašich zamestnancov v informačnej povinnosti.

Viac informácií k prenosom sa dozviete na tomto odkaze: Prenos do krajín nezaručujúcich primeranú úroveň ochrany.

Viac informácií k prenosom do USA po zrušení rozhodnutia Privacy Shield sa dozviete v dokumente Často kladené otázky k rozsudku Súdneho dvora Európskej únie vo veci C-311/18 – Data Protection Commissioner/Facebook Ireland a Maximillian Schrems.

Viac informácií k informovaniu o prenose sa dozviete v dokumente Usmernenia k transparentnosti – časť príloha.

 

  • Aký je vzťah Nariadenia a smernice 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách), ktorá bola transponovaná do zákona 452/2021 Z. z. o elektronických komunikáciách? nové

Ako vyplýva z článku 1 ods. 2 smernice 2002/58 v spojení s článkom 94 ods. 2 Nariadenia, ustanovenia smernice 2002/58 spresňujú a dopĺňajú toto Nariadenie s cieľom zosúladiť vnútroštátne ustanovenia požadované najmä na zabezpečenie primeranej úrovne ochrany základných práv a slobôd, a najmä práva na súkromie, z hľadiska spracúvania osobných údajov v sektore elektronických komunikácií. Nariadenie je teda lex generalis a smernica 2002/58 je lex specialis. Spracúvanie ako také môže preto patriť do pôsobnosti Nariadenia a zároveň aj do pôsobnosti smernice 2002/58.

Napríklad dynamická IP adresa, ktorú poskytovateľ online mediálnych služieb uchováva v súvislosti s tým, že určitá osoba si prehliadala internetovú stránku, ktorú tento poskytovateľ sprístupnil verejnosti, predstavuje pre tohto poskytovateľa osobný údaj v zmysle Nariadenia (ak má napríklad k dispozícii právne prostriedky, na základe ktorých dokáže identifikovať dotknutú osobu vďaka ďalším informáciám, ktorými disponuje poskytovateľ internetového pripojenia tejto osoby) a v tomto prípade pôjde tak o spracúvanie osobných údajov podľa Nariadenia, ako aj prevádzkových údajov (ang. traffic data) podľa smernice 2002/58.

Príslušný dozorný orgán pre Nariadenie je Úrad na ochranu osobných údajov SR a príslušný dozorný orgán pre smernicu 2002/58, resp. zákon 452/2021 Z. z. o elektronických komunikáciách je Úrad pre reguláciu elektronických komunikácií a poštových služieb SR.

Viac informácií sa dozviete v dokumente Stanovisko 5/2019 týkajúce sa vzájomného pôsobenia medzi smernicou o súkromí a elektronických komunikáciách a všeobecným nariadením o ochrane údajov, najmä pokiaľ ide o príslušnosť, úlohy a právomoci orgánov pre ochranu osobných údajov.

 

  • Je získanie súhlasu na získavanie nevyhnutných cookies prostredníctvom webového prehliadača postačujúce v zmysle aktuálne platnej legislatívy? Je nutné pri tzv. reklamných a iných druhoch cookies žiadať osobitný súhlas dotknutej osoby? nové

Pri nevyhnutných cookies, t.j. v zmysle poslednej vety ustanovenia §109 ods. 8 zákona 452/2021 Z. z. o elektronických komunikáciách, súhlas nie je potrebný.

Pri reklamných cookies a iných druhoch cookies je v zmysle prvej vety ustanovenia §109 ods. 8 zákona 452/2021 Z. z. o elektronických komunikáciách potrebné získať súhlas podľa požiadaviek Nariadenia. Takýmito požiadavkami špecifickými pre cookies sú napríklad:

  • plnenie si informačnej povinnosti pri získavaní súhlasu (čl. 13 Nariadenia),
  • povinnosť poskytnúť aj možnosť odmietnutia súhlasu na úrovni ako „súhlasím“,
  • určenie primeranej lehoty platnosti súhlasu/nesúhlasu a jeho opätovné získanie/potvrdenie,
  • pred udelením súhlasu poskytnúť informácie o účele a príjemcoch osobných údajov.

V súlade s judikatúrou SDEÚ (C-673/17 - Planet49) boli zmenené aj usmernenia EDPB k súhlasu. Spresnil sa platne udelený „slobodný“ súhlas pri tzv. cookie walls (zmeny boli vykonané v bodoch 38-41). Dôraz je kladený na slobodu voľby dotknutých osôb na prístup k službám na internete, pričom umožnenie prístupu na webovú stránku až po odkliknutí súhlasu s cookies nie je možné považovať za platne udelený súhlas. Druhá významná zmena sa týka scrollingu (rolovanie po internetovej stránke) alebo swipingu (potiahnutie) na internete, ktoré nie je možné považovať za jednoznačný a potvrdzujúci prejav vôle (bod 86 usmernení k súhlasu). Aj v tomto prípade je potrebné získanie platného súhlasu zabezpečiť inak, nakoľko takéto činnosti nie je možné v praxi odlíšiť od bežného používania internetu.

Čo sa týka použitia cookies cez príslušné nastavenie prehliadača alebo počítačového programu, získanie takéhoto súhlasu je možné aj týmto spôsobom. Odporúčame však presvedčiť sa, či takéto nastavenia prehliadača spĺňa požiadavky na kvalitu udeleného súhlasu podľa Nariadenia tak ako sú bližšie vysvetlené v usmerneniach EDPB k súhlasu. Nakoľko prevádzkovateľ má povinnosť disponovať platným právnym základom na spracúvanie osobných údajov podľa zásady zodpovednosti v zmysle čl. 5 ods. 2 Nariadenia, poskytovatelia prehliadača alebo softvéru nemusia nevyhnutne dbať na povinnosti, ktoré vyplývajú prevádzkovateľom podľa Nariadenia.

Viac informácií sa dozviete v dokumente Usmernenia k súhlasu podľa nariadenia 2016_679.

 

  • Naša spoločnosť chce začať využívať cloudové služby. Čo je potrebné mať uvedené v zmluve s poskytovateľom cloudových služieb, aby sme mali všetko v poriadku? nové

Základný vzťah pri poskytovaní cloudových služieb je vzťah prevádzkovateľa – zákazník a sprostredkovateľa – poskytovateľ cloudových služieb. Je potrebné uzavrieť sprostredkovateľskú zmluvu. Tiež je potrebné, aby si zákazník vybral takého poskytovateľa cloudových služieb, ktorý zaručuje súlad s právnymi predpismi v oblasti ochrany osobných údajov. Dôležité je nezabudnúť aj na zabezpečenie súladu v prípade, ak sú osobné údaje prenášané mimo EÚ.

Avšak, môžu nastať aj situácie, v ktorých môže byť v závislosti od daných okolností poskytovateľ cloudových služieb pokladaný za prevádzkovateľa (alebo súčasť spoločných prevádzkovateľov) v rámci vlastných právomocí. Takto to môže byť v prípade, že poskytovateľ spracúva osobné údaje na vlastné účely – tie, ktoré si zákazník nevyžiadal. Alebo ak zákazníci nemajú priestor pre rokovanie o zmluvných podmienkach využívania týchto služieb.

Viac informácií sa dozviete v dokumente Usmernenia k pojmom prevádzkovateľ a sprostredkovateľ podľa všeobecného nariadenia o ochrane údajov – Príklad: štandardizovaná služba cloudového úložiska.

Viac informácií k sprostredkovateľskej zmluve sa dozviete na tomto odkaze: Štandardné zmluvné doložky – sprostredkovateľská zmluva.


 

Desktop version
2022 Office for Personal Data Protection of the Slovak Republic