Podľa nariadenia GDPR a podľa zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov už úrad nevykonáva skúšky fyzickej osoby na výkon funkcie zodpovednej osoby, nakoľko tieto nie sú nariadením GDPR  ani zákonom č. 18/2018 Z. z. ustanovené a potrebné na to, aby osoba mohla zastávať pozíciu prevádzkovateľom alebo sprostredkovateľom určenej zodpovednej osoby. V tejto súvislosti Vám dávame do pozornosti čl. 37 ods. 5 nariadenia GDPR alebo § 44 ods. 6 zákona č. 18/2018 Z. z.

S ohľadom na veľké množstvo otázok zasielaných úradu v týchto dňoch nie je možné na všetky otázky reagovať  ihneď, alebo do 25.5.2018. Z uvedeného dôvodu Vás žiadame o trpezlivosť pri čakaní na odpoveď. Otázkam sa venujeme v poradí, v akom boli na úrad zaslané. Vyzývame Vás tiež, aby ste si pozreli informácie zverejnené na webovom sídle úradu, nakoľko aj v rámci zverejnených metodík alebo často kladených otázok (FAQ) môžete nájsť odpovede na vaše otázky. Ďakujeme za pochopenie.

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46 ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“) ako aj zákon č. 18/2018 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) upravujú možnosť vypracovania kódexov správania (prípadne zmeny, či rozšírenia už schválených kódexov správania) združeniami a inými subjektami zastupujúcimi kategórie prevádzkovateľov alebo sprostredkovateľov.

Pracovná skupina WP 29, plní významnú úlohu pri uplatňovaní nariadenia, a to najmä prostredníctvom prijímania metodiky ku konkrétnym otázkam alebo oblastiam týkajúcim sa spracúvania osobných údajov. Toho času Pracovná skupina WP 29 (od 25.5.2018 EDPB, European Data Protection Board; Európsky výbor pre ochranu údajov podľa čl. 68 nariadenia a podľa čl. 94 os. 2 nariadenia) pripravuje metodiku kú kódexom správania, „Guideline on Codes of Conduct and Monitoring Bodies under Regulation 2016/679“, ktorá má zabezpečiť jednotný výklad a uplatňovanie nariadenia v oblasti kódexov správania a monitorujúcich subjektov.

Úrad z uvedeného dôvodu považuje za nevyhnutné zosúladiť procesy týkajúce sa kódexov správania (procesu ich schvaľovania a tiež nastavenie procesov pre monitorujúce subjekty) s danou metodikou, ktorá bude vydaná. Až po zverejnení schválenej metodiky úrad v jej medziach finálne nastaví svoje interné procesy.

Nová legislatívna v oblasti ochrany osobných údajov - Nariadenie (EÚ)2016/679 a zákon č. 18/2018 Z. z. sa začne uplatňovať dňom 25.05.2018. Čl. 33 nariadenia a § 40 zákona upravujú podmienky, kedy sú prevádzkovatelia povinní oznámiť úradu porušenie ochrany osobných údajov. Porušenie ochrany osobných údajov je prevádzkovateľ povinný oznámiť úradu bez zbytočného odkladu a podľa možností najneskôr do 72 hodín po tom,  ako sa o tom dozvedel. To neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.

Oznámenie musí obsahovať najmä povahu porušenia, kategórie, približný počet dotknutých osôb,  počet príslušných záznamov a osobných údajoch, pravdepodobné dôsledky a opatrenia, ktoré boli prijaté na riešenie a zmierenie porušenia.

Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel. Prevádzkovatelia uvedené informácie úradu poskytnú prostredníctvom úradu vytvoreného formuláru.