Rok 2012

Verzia pre tlačVerzia pre tlačPDF verziaPDF verzia
Viem, či neviem si poradiť?

Pri príležitosti medzinárodného Dňa ochrany osobných údajov sa aj touto aktivitou Úrad na ochranu osobných údajov Slovenskej republiky pripojil k ostatným štátom Európskej únie, aby poskytol verejnosti informácie, potrebné pre ochranu súkromia v každodennom živote.

Na Vaše otázky odpovedala JUDr. Zuzana Valková, vedúca vtedajšieho odboru legislatívno-právneho, registra a zahraničných vzťahov. Odpovede boli poskytované dňa 26. januára 2012 v čase od 9,30 – 11,30 hod. prostredníctvom internetovej stránky úradu.

 

23.01.2012 21:07 Martin Tutko:
Dobrý Deň, chcel by som sa opýtať či sa nabúranie do konta soc. siete [facebook], siahnutie osobných správ a šírenie ich ďalej dá klasifikovať ako trestný čin. A či môžem podať podnet na vyšetrovanie . Za odpoveď Ďakujem
 
Dobrý deň, posúdenie, či konanie osoby napĺňa skutkovú podstatu trestného činu, patrí do kompetencie orgánov činných v trestnom konaní (policajt a prokurátor), nie Úradu. V tomto smere je preto potrebné sa obrátiť, kľudne priamo aj s trestným oznámením na policajný zbor, resp. prokuratúru.

 

 

24.01.2012 20:26 jk:
Dochádza zverejňovaním neplatičov nájomného v paneláku k porušovaniu zákona o ochrane osobných údajov v znení neskorších predpisov? Môžu poisťovne zverejňovať neplatičov? Môže správca zverejniť celkovú dlžnú čiastku za dom?
 
Dobrý deň, údaje identifikujúce neplatiča (napríklad v rozsahu meno, priezvisko, číslo bytu a výšku nedoplatku) sú osobnými údajmi podľa zákona o ochrane osobných údajov a dotýkajú sa predovšetkým jeho ekonomickej identity. Vo všeobecnosti platí, že osobné údaje možno zverejniť buď so súhlasom dotknutej osoby alebo na základe osobitného zákona, ktorý by výslovne takéto zverejňovanie umožňoval. Zverejňovanie osobných údajov bez právneho základu (či už súhlas alebo osobitný zákon) by bolo v rozpore so zákonom o ochrane osobných údajov. Čo sa týka neplatičov nájomného v paneláku, zákon o vlastníctve bytov a nebytových priestorov ako osobitný zákon nerieši otázku zverejňovania ich osobných údajov. Preto, pokiaľ by sa takéto zverejňovanie malo uskutočniť, tak len so súhlasom jednotlivých vlastníkov bytov, resp. nebytových priestorov, ktorí sú neplatičmi. Pokiaľ ide o poisťovne, tieto zverejňujú neplatičov na základe osobitného zákona, čiže v súlade so zákonom o ochrane osobných údajov.

 

 

 

 

24.01.2012 20:34 rudolf:

Dobrý deň prajem.

je nainštalovaný kamerový systém, ktorým sa monitoruje vstup do technologickej miestnosti-serverovni.Z uvedeného monitorovania sa uchováva vizuálny záznam, ktorý podľa potreby zamestnávateľ vyhodnocuje. Zisťuje, kto kedy do tejto miestnosti vstúpil.Tento priestor je za bezpečnostnými dverami opatrený ektronickým vrátnikom. Kľúče od týchto dverí majú len dvaja zamestnanci. Za ich prítomnosti pracovníci, ktorí majú na starosti údržbu technologickej miestnosti (tretie strany) vstupujú do tohto priestoru. Bez dozoru zamestnancov nikto nesmie vstúpiť do tejto miestnosti. Podlieha tento inštalovaný kamerový systém zákonu č. 428/2002 Z.z. § 10 ods. 7 a nakladanie so získanými údajmi § 13 ods. 3 písm. c) a ods. 7 a § 14? Musí byť vypracovaný písomný projekt používania sledovacej kamery? Musia byť zamestnanci o kamerovom systéme a o projekte oboznámení? Pre informáciu uvádzam, že žiadny iný osobitný predpis neukladá monitorovanie vstupu do technologickej miestnosti Ďakujem za odpoveď

 
Dobrý deň, Vami uvedený § 10 ods. 7 v spojitosti s § 13 ods. 7 zákona o ochrane osobných údajov sa vzťahuje a rieši monitorovanie priestoru prístupného verejnosti. Tento pojem nie je v súčasnosti v zákone zadefinovaný, avšak možno zaň považovať taký priestor, ktorého povaha nevylučuje prítomnosť širokej verejnosti, do ktorého možno voľne vstupovať, a v ktorom sa možno voľne zdržiavať bez časového obmedzenia. Z obsahu Vašej otázky sa však možno domnievať, že Vo Vašom prípade sa jedná o monitorovanie priestoru na pracovisku. Možno tu hovoriť o kontrolnom mechanizme zamestnávateľa voči zamestnancom a jeho výkon sa uskutočňuje podľa článku 11 Zákonníka práce. Monitorovaním priestoru nám aj v tomto prípade vzniká informačný systém, ktorého prevádzkovanie podlieha zákonu o ochrane osobných údajov. Zamestnávateľ ako jeho prevádzkovateľ je tak povinný si splniť povinnosti, ktoré mu zo zákona v tejto súvislosti plynú. Jedná sa napríklad o povinnosť mať vypracovaný evidenčný list (registrácia v danom prípade nie je potrebná), zamestnávateľ je ďalej povinný o tom informovať svojich zamestnancov (táto povinnosť vypláva aj zo Zákonníka práce) a samozrejme zamestnávateľ je povinný mať vypracovanú buď bezpečnostnú smernicu alebo celý bezpečnostný projekt (to závisí od toho, či taký informačný systém je prepojený na internet alebo je prevádzkovaný v sieti, ktorá je prepojená na internet). O povinnosti mať vypracovaný bezpečnostný projekt zamestnávateľ svojich zamestnancov neinformuje.

 

 

 

 

25.01.2012 11:35 nika:
1.      Je potrebná aktualizácia Bezpečnostného projektu? Ako často, kedy a za akých podmienok.

2.      Výnos č. 312/2010 o štandardoch pre informačné systémy verejnej správy v § 28  a 31 ukladá prevádzkovateľovi určiť periodicitu auditu. Zároveň aj  rozsah, archiváciu, vyhodnocovanie určenie udalosti v informačných systémoch, o ktorých sa vytvára záznam auditu.
Zároveň Zákon č. 428/2002 Z.z. v § 15 ods. 4 Ak sú predmetom kontroly informačné systémy podľa odseku 2, úrad má právo požadovať od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému (ďalej len "hodnotiaca správa"), ak sú vážne pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v bezpečnostnom projekte. Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí vykonanie auditu bezpečnosti informačného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do troch mesiacov odo dňa uloženia povinnosti.
Musí sa zabezpečenie auditu informačného systému vykonávať podľa výnosu, resp. podľa potreby, alebo ako je to v zákone, čo navrhujete?

3.      Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi § 16 ods. 2.  Je štandardom na zabezpečenie  inštalovanie kamerového systému, ktorý zaznamenáva vstup do serverovne v súlade s § 34 Fyzická bezpečnosť a bezpečnosť prostredia výnosu č. 312/2010. čo je potrebné dodržať pri nainštalovaní kamerového systému.
 

Dobrý deň,

1) aktualizácia bezpečnostného poriadku je potrebná vždy pri zmene v spracúvaní osobných údajov, tak, aby bol zosúladený reálny stav so stavom uvedeným v bezpečnostnom projekte.

2) Čo sa týka § 15 ods. 4 zákona o ochrane osobných údajov, je na prevádzkovateľovi, či a v akej periodicite si nechá externe a odborne na to spôsobilou osobou vykonať audit bezpečnosti informačného systému. Pri výkone dozornej činnosti, Úrad postupuje v súlade s celým týmto ustanovením. To znamená, že prevádzkovateľ je povinný prijať primerané bezpečnostné opatrenia na ochranu ním spracúvaných osobných údajov. Vykonanie auditu bezpečnosti informačného systému je podľa tohto zákona povinnosťou v prípade, že vzniknú vážne pochybnosti o bezpečnosti informačného systému alebo o praktickom uplatňovaní opatrení uvedených v bezpečnostnom projekte. Tým však nie je dotknuté právo si nechať vykonať audit bezpečnosti podľa svojho uváženia (aj keď Úrad o jeho predloženie nepožiada), a ani povinnosť prevádzkovateľa konať v súlade aj s inými právnymi predpismi, vrátane Vami uvádzaného výnosu.

3) Zodpovedanie otázky ohľadom využitia kamerového systému závisí predovšetkým od toho, či dochádza k monitorovaniu priestoru prístupného verejnosti (§ 10 ods. 7 v spojitosti s § 13 ods. 7 zákona o ochrane osobných údajov) alebo napr. k monitorovaniu pracoviska alebo súkromného pozemku prevádzkovateľa. K tejto otázke som sa bližšie vyjadrila v jednej z vyššie uvedených odpovedí, najmä vo vzťahu k monitorovaniu pracoviska. V prípade, že máte nejaké ďalšie otázky, kľudne sa opýtajte.

 

 

 

 

25.01.2012 14:11 Lucia B:
Je používanie menovky, na ktorej je uvedené meno, priezvisko a funkcia zamestnanca v prevádzkarni pri styku so spotrebiteľom v súlade so zákonom o ochrane osobných údajov a či je potrený súhlas zamestnanca na takého označenie pre daný účel. Za odpoveď ďakujem.
 
Dobrý deň, zákon č. 250/2007 Z. z. o ochrane spotrebiteľa a o zmene zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov v § 15 odsek 3 nedostatočne rieši podmienky spracúvania osobných údajov, ktorými sú podľa § 4 odsek 1 písm. s) zákona o ochrane osobných údajov prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania, či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania, nakoľko neupravuje ako označiť predávajúcich a jeho zamestnancov v prevádzkarni, ktorí prichádzajú do styku so spotrebiteľom, ale ustanovuje len, že musia mať označenie alebo odev, ktoré ich odlíši od spotrebiteľa. Za takého právneho stavu je prevádzkovateľ povinný podľa zákona o ochrane osobných údajov zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie. Pokiaľ prevádzkovateľ považuje všetky údaje uvedené na menovke za nevyhnutné na dosiahnutie účelu, potom ide o osobné údaje a je potrebné, aby mal súhlas zamestnanca, najlepšie obsiahnutý v pracovnej zmluve, v ktorej by bol rozsah označovania zamestnanca v príslušnej pozícií uvedený ako podmienka výkonu práce. Do úvahy však prichádzajú aj iné spôsoby označenia zamestnanca ako jeho meno a priezvisko, a to napríklad okrem špecifického odevu aj vygenerovaným osobným číslom. Takýto spôsob označovania zamestnanca by mal byť upravený v internom predpise prevádzkovateľa, s ktorým by bol zamestnanec preukázateľne oboznámený.

 

 

 

 

25.01.2012 14:23 Daniela Maria Cakova:
dobrý den,
rada by som sa spytala na osobitnú registráciu informačného systému. Čo môžem rozumiesť pod osobitnou registráciou podla § 27 ods. 2 písm. b) na základe § 7 ods. 4 písm. g) okrem napríklad whisteblowingu, lebo ten máme. ďakujem vopred za kvalifikovanu odpoved
S pozdravom
Cakova
 
Dobrý deň, vo všeobecnosti osobitnú registráciu možno považovať za "osobitný" druh registrácie informačného systému, o ktorú je potrebné požiadať v zákonom stanovených prípadoch, a to ešte pred samotným začatím spracúvania osobných údajov. Spracúvanie osobných údajov v takomto prípade podlieha súhlasu Úradu. Pokiaľ Úrad takéto spracúvanie zakáže, prevádzkovateľ je povinný rešpektovať rozhodnutie Úradu a vykonať také opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo. § 7 ods. 4 písm. g) zákona o ochrane osobných údajov hovorí, že osobné údaje možno spracúvať bez súhlasu dotknutej osoby v prípade, že takéto spracúvanie osobných údajov je nevyhnutné na ochranu zákonných práv a právom chránených záujmov prevádzkovateľa. Avšak aj v tomto prípade je potrebné rešpektovať základné práva a slobody dotknutej osoby a prevádzkovateľ svojím konaním nesmie neoprávnene zasiahnuť do práva na ochranu jej osobnosti a súkromia. Spracúvanie osobných údajov podľa tohto ustanovenia predpokladá smernica, ktorá bola transponovaná do zákona o ochrane osobných údajov. Každý prípad, t.j. každé spracúvanie osobných údajov v informačnom systéme je potrebné posudzovať individuálne, vzhľadom na konkrétnu osobu prevádzkovateľa, podmienky a spôsob spracúvania osobných údajov. Preto je potrebné uviesť konkrétnu situáciu, ktorú Úrad následne posúdi a rozhodne, či podlieha osobitnej registrácii.

 

 

 

 

26.01.2012 09:43 Zuzana Kozáková:
Dobrý deň, chcela by som sa opýtať kedy môžem poskytnúť osobné údaje podľa ustanovenia § 7 ods. 5 druhá veta zákona o ochrane osobných údajov. Nejaké konkrétne príklady by som poprosila. Ďakujem Z. Kozáková
 
Dobrý deň, pri poskytnutí osobných údajov o dotknutej osobe bez jej súhlasu podľa § 7 ods. 5 druhá veta zákona o ochrane osobných údajov možno hovoriť napríklad v prípade návrhu na začatie súdneho konania podľa Občianskeho súdneho poriadku, podania trestného oznámenia podľa Trestného poriadku alebo návrhu na začatie exekučného konania podľa Exekučného poriadku.

 

 

 

 

26.01.2012 09:45 Reptová Ivana:
Dobrý deň, mám jednu otázku: mám nejaké povinnosti podľa zákona o ochrane osobných údajov, ak by v našej firme naši manažéri (celkom dvaja) si zabezpečili služobné notebooky odtlačkom prsta resp. snímkou zrenice? Ďakujem za odpoveď
 
Dobrý deň, z pohľadu ochrany osobných údajov patria biometrické údaje (v danom prípade odtlačok prsta) medzi osobitné kategórie osobných údajov (tzv. citlivé údaje), na spracúvanie ktorých sa kladú prísnejšie podmienky. V dôsledku citlivosti tohto údaju, a aby nedošlo k zásahom do práva na ochranu osobných údajov garantovaného práve zákonom o ochrane osobných údajov, je potrebné, aby vo Vami uvedenom prípade bol dodržaný najmä princíp zabezpečenia anonymity jednotlivých pracovníkov pri snímaní odtlačku prsta. Pokiaľ bude zaručené, že na základe odtlačkov prstov nebude možné určiť konkrétnu osobu, a teda nebude možné tento uložený odtlačok v zariadení (notebooku) spojiť so žiadnymi inými charakteristikami (údajmi) používateľa, bez ohľadu na to, či priamo alebo nepriamo, nepristúpi sa v danom prípade k aplikácii úpravy obmedzení použitia biometrie uvedených v zákone o ochrane osobných údajov. Pokiaľ by však existovala možnosť stotožniť odtlačok prsta s konkrétnou dotknutou osobou, takéto konanie by malo za následok nevyhnutnosť aplikácie § 8 ods. 4 zákona o ochrane osobných údajov v nadväznosti na § 9 ods. 3 tohto zákona. To znamená, že by to viedlo k povinnosti prihlásiť informačný systém na osobitnú registráciu a preukázať oprávnenosť a opodstatnenosť používania biometrických údajov ako osobitnej kategórie osobných údajov v súlade s citovanými ustanoveniami.

 

 

 

 

26.01.2012 10:26 Ing. Štefan Mikuš:
Dnes mi bol od primátora Mesta doručený list v ktorom ma žiada, aby som mu poskytol informácie o celoročných príjmoch vrátane odmien za r. 2010 a 2011 v konkrétnej menovitej špecifikácii podľa jednotlivých zamestnancov v riadnom pracovnom pomere,pracovníkov vykonávajúcich pracovnú činnosť na základe dohody o vykonaní práce a ostatných pracovníkov na základe iného pracovno-právneho pomeru. Mesto je jediným spoločníkom obchodnej spoločnosti, v ktorej som konateľom a riaditeľom. Súhlas dotknutých osôb na takéto využívanie nemáme.Obávam sa, že poruším zákon č.428/2002 Z.z Môžem požadovanú informáciu poskytnúť ?
 
Dobrý deň, obchodná spoločnosť založená mestom je právnickou osobou so samostatnou právnou subjektivitou a z pohľadu zákona o ochrane osobných údajov je prevádzkovateľom spracúvajúcim osobné údaje svojich zamestnancov a je povinná dodržiavať základné povinnosti prevádzkovateľa určené v § 6 uvedeného zákona. Vo všeobecnosti platí, že tarifné zaradenie, mzda a odmeny v spojení s určenou alebo určiteľnou osobou sú osobnými údajmi podľa § 3 zákona o ochrane osobných údajov. Zamestnávateľ je povinný postupovať tak, aby bola zabezpečená ochrana údajov o plate, o náležitostiach s ním súvisiacich a o iných peňažných náležitostiach zamestnancov, ako je to ustanovené napríklad v § 25 zákona č. 553/2002 Z. z. o odmeňovaní niektorých zamestnancov pri výkone práce vo verejnom záujme a o zmene a doplnení niektorých zákonov. Z vyššie uvedeného vyplýva, že povinná osoba sprístupní osobné údaje fyzickej osoby, ktoré sú spracúvané v informačnom systéme len podľa § 9 ods. 3 zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií), ktorý presne určuje pre povinnú osobu okruh fyzických osôb a rozsah osobných údajov, ktoré sprístupní na účely informovania verejnosti. V prípade osôb, na ktoré sa § 9 odsek 3 zákona o slobode informácií nevzťahuje, osobné údaje môžu byť sprístupnené iba s ich písomným súhlasom alebo ak to ustanoví osobitný zákon. To platí pre akékoľvek informácie o osobných údajoch fyzickej osoby, ktoré sú spracúvané v informačnom systéme.

 

 

 

 

26.01.2012 10:50 Kovacova:
Dobry den, chcela by som sa opytat nasledovne:pracujem v jednej spolocnosti a ludia mi bez toho, ze by som to po nich chcela posielaju svoje ziadosti o zamestnanie so zivotopismi a podobne mailom. Potrebujem ich suhlas??? A co v pripade ak je tam napisane ze je handikepovany??? dakujem
 
Dobrý deň, Vami uvedený prípad možno subsumovať pod tzv. predzmluvné vzťahu podľa § 7 ods. 4 písm. b) zákona o ochrane osobných údajov, v prípade ktorých sa na spracúvanie ich osobných údajov súhlas nevyžaduje.

 

 

 

 

26.01.2012 10:57 Ema Kovacova:
Dobrý den, chcela by som sa spýtat v prípade cezhranicného toku osobných údajov do tretích krajín kedy presne treba súhlas dotknutej osoby??? Dakujem.
 
Pokiaľ ide o Vašu druhú otázku týkajúcu sa cezhraničného toku, táto je formulovaná všeobecne. Cezhraničným tokom osobných údajov možno rozumieť ich prenos mimo územia SR. Taktiež sa však jedná o určitú operáciu s osobnými údajmi, na vykonanie ktorej je potrebné mať právny základ, t.j. dôvod ktorý umožňuje prevádzkovateľovi vykonávať operáciu s osobnými údajmi. Každý prípad je však potrebné posudzovať individuálne. Pokiaľ máte namysli a potrebujete vyriešiť konkrétnu situáciu, kľudne napíšte na náš e-mail: statny.dozor@pdp.gov.sk a poskytneme Vám vyjadrenie priamo k Vašej veci, nielen vo všeobecnej rovine.

 

 

 

 

26.01.2012 11:05 Zuzana:
Dobry den, chcela by som sa spytat,ake subjekty mam uviest do evidencneho listu do informacneho systetmu ktory spracuva realitna kancelaria o svojich klientoch v bode okruh prijemcov a tretie strany § 26 ods. 3 pism. j) a k). Dakujem pekne. S pozdravom, Zuzana
 
Dobrý deň, v prípade, že realitná kancelária ako prevádzkovateľ nesprístupňuje a neposkytuje osobné údaje svojich klientov, v evidenčnom liste postačí v prípade písm. j) uviesť, že osobné údaje sa nesprístupňujú a v prípade písm. k), že osobné údaje sa ďalej neposkytujú. Pokiaľ áno, je potrebné tieto subjekty v oboch prípadoch vymenovať.

 

 

 

 

26.01.2012 11:23 Zuzana:
No sak ano, to mi je jasne, ze ich mam vymenovat, ak su,ale pýtala som sa na prakticke rozlisenie tych pojmov (definiciu uvedenu v zakone som citala) v pripade realitnej kancelarie.
 
Rozdiel medzi poskytovaním a sprístupňovaním osobných údajov vyplýva z § 4 písm. b) a c) zákona o ochrane osobných údajov, kde sú zadefinované tieto pojmy. Zjednodušene povedané, hlavný rozdiel medzi nimi je v tom, že v prípade poskytovania osobných údajov, ten, komu sú osobné údaje poskytnuté s nimi bude ďalej nakladať vo vlastnom informačnom systéme. V prípade sprístupnenia však možno hovoriť len o umožnení prístupu k osobným údajom, napr. nahliadnutím do písomností inej osobe jednorázovo alebo náhodne, ktorá mieni sprístupnené osobné údaje využiť výlučne pre osobnú (domácu) potrebu bez zámeru ďalšieho spracúvania v informačnom systéme.

 


Záverom by som sa rada poďakovala za položené otázky, avšak vzhľadom na krátkosť času nebolo možné všetkým hneď odpoveď. Na Vaše otázky Vám odpovieme dodatočne, priamo na Váš e-mail. V prípade, že máte záujem opýtať sa ďalšie veci súvisiace s ochranou osobných údajov, Vaše otázky zašlite písomne na adresu Úradu alebo elektronicky na e-mail: statny.dozor@pdp.gov.sk, prípadne info@pdp.gov.sk. Ďakujem a pekný zvyšok dňa všetkým! S pozdravom, JUDr. Zuzana Valková

 

 

 

 

 

 

 

Podobný obsah