Príklad informačných systémov na oznamovaciu povinnosť

mental-strength-checklist
Názov informačného systému osobných údajov**) Poznámka(k účelu spracúvania osobných údajov)
IS Marketing podpora predaja: marketingové ponuky,  newsletter, informácie o produktoch a novinkách
IS Vernostný program poskytovanie zliav, bonusov, vernostné programy,
IS Správa bytov správa vlastníkov bytov a nebytových priestorov spoločenstvom alebo správcom
IS E-shop nákup a predaj tovaru cez internet, vrátane jeho doručenia klientovi
IS Realitná činnosť činnosť realitnej kancelárie (zmluvy a predzmluvné vzťahy)
IS Cestovná kancelária uzatváranie zmlúv o obstaraní zájazdu
IS Školenia a kurzy zabezpečovanie vzdelávacích aktivít
IS Inzercia poskytovanie inzertných služieb
IS Záložňa uzatvorenie zmluvného vzťahu na účely založenia hnuteľného majetku
IS darovacie zmluvy poskytovanie darov: napr. občianskym združeniam, neziskovým organizáciám
IS pôžičky poskytovanie úverov a pôžičiek nebankovým spôsobom z vlastných finančných zdrojov
IS Spotrebiteľská súťaž organizovanie spotrebiteľských súťaží

*) Ak prevádzkovateľ nemá poverenú zodpovednú osobu

**) Uvádza sa výstižný názov, zodpovedajúci účelu spracúvania osobných údajov


Aktuality – Novela zákona o ochrane osobných údajov

header_actual-news

Od 15. apríla nadobúda účinnosť zákon č. 84/2014 Z. z. ktorým sa mení a dopĺňa zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a ktorým sa mení zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov (ďalej len “novela”).

Zmeny, ktoré novela prináša, sa dotýkajú najmä

  • bezpečnosti osobných údajov, v rámci ktorej sa zrušujú prípady, kedy je potrebné vypracovať samostatnú bezpečnostnú smernicu,
  • oprávnenej osoby a jej poučenia, ktorého záznam prevádzkovateľ na požiadanie úradu hodnoverne preukáže,
  • zodpovednej osoby, ktorej písomné poverenie je dobrovoľné,
  • registrácie informačných systémov osobných údajov, ktorá sa mení na oznamovaciu povinnosť,
  • kopírovania úradných dokladov, ktoré v rozsahu potrebnom na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu je možné vyhotovovať bez súhlasu dotknutej osoby,
  • ukladania pokút, ktoré boli čiastočne zmenené na fakultatívne a ktorých horná hranica bola znížená o jednu tretinu,
  • zmluvy medzi prevádzkovateľom a sprostredkovateľom, ktorú je potrebné zosúladiť do dvoch rokov od pôvodnej účinnosti zákona.

Slovník základných pojmov v ochrane osobných údajov

67-18396-slovnik-ilustracni-foto_1

Osobnými údajmi - sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Na účely zákona 122/2013 Z.z. sa rozumie

dotknutou osobou - každá fyzická osoba, ktorej sa osobné údaje týkajú,

prevádzkovateľom – každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky,

zástupcom prevádzkovateľa – každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine,

sprostredkovateľom – každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve a v súlade s týmto zákonom,

oprávnenou osobou - každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení,

treťou stranou - každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou,

príjemcom - každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana; prevádzkovateľ, ktorý spracúva osobné údaje a úrad, ktorý plní úlohy ustanovené týmto zákonom, sa nepovažujú za príjemcu.

Na účely tohto zákona sa ďalej rozumie

spracúvaním osobných údajov - vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumie

poskytovaním osobných údajov - odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva,

sprístupňovaním osobných údajov - oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva,

zverejňovaním osobných údajov - publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,

cezhraničným prenosom osobných údajov - prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,

likvidáciou osobných údajov - zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,

blokovaním osobných údajov - dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na splnenie povinnosti uloženej týmto zákonom,

informačným systémom osobných údajov - informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania,

účelom spracúvania osobných údajov - vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,

súhlasom dotknutej osoby - akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov,

podmienkami spracúvania osobných údajov - prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania,

biometrickým údajom - osobný údaj fyzickej osoby označujúci jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná; biometrickým údajom je najmä odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny,

všeobecne použiteľným identifikátorom - trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,

adresou - súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu,

anonymizovaným údajom - osobný údaj upravený do takej podoby, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,

priestorom prístupným verejnosti - priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon,

členským štátom - štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,

treťou krajinou - krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,

verejným záujmom - dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.


Zásady pri spracúvaní osobných údajov

1587-view-main-art-kca-2012-05-30-judikaty

Pri spracúvaní osobných údajov je potrebné dodržiavať tieto základné zásady:

  1. Vymedziť účel spracúvania osobných údajov, ak sa osobné údaje nespracúvajú na základe osobitných zákonov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
  2. Určiť podmienky spracúvania osobných údajov.
  3. Získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti.
  4. Zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie.
  5. Zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané osobitne na rozdielne účely.
  6. Spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje.
  7. Zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania.
  8. Zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania a zároveň je prevádzkovateľ povinný označiť ich, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania a zlikvidovať ich ihneď ako sa stanú nepotrebnými.
  9. Spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.

Postup sprostredkovateľa pri spracúvaní osobných údajov

388782_pracovna-agentura-praca-zamestnanie-pracovna-agentura

Sprostredkovateľ môže spracúvať osobné údaje len v rozsahu, spôsobom a za podmienok dohodnutých s prevádzkovateľom v písomnej zmluve.

Aké sú základné povinnosti sprostredkovateľa?
Sprostredkovateľ je povinný spracúvať osobné údaje tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do ich práva na ochranu súkromia. Pri spracúvaní osobných údajov je povinný dodržiavať:

  • základné zásady spracúvania osobných údajov tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do ich práva na ochranu súkromia (§ 5 ods. 1, § 6 ods. 2 písm. c) až i) a ods. 4),
  • informačnú povinnosť voči dotknutej osobe, ak s ňou príde do kontaktu; pri prvom kontakte s dotknutou osobou je sprostredkovateľ povinný jej vždy oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo zákonom ustanovený účel (§ 8 ods. 7),
  • bezpečnosť osobných údajov; na tento účel je sprostredkovateľ povinný prijať primerané bezpečnostné opatrenia a príslušnú bezpečnostnú dokumentáciu (§ 19 a 20),
  • poučiť svoje oprávnené osoby (§ 21),
  • zachovávať mlčanlivosť (§ 22),
  • dodržiavať podmienky a s tým súvisiace povinnosti pre poverenie zodpovednej osoby, pokiaľ sa rozhodne, že výkonom dohľadu nad ochranou osobných údajov poverí zodpovednú osobu (§ 23 až 26),
  • poskytovať súčinnosť úradu pri plnení jeho úloh podľa zákona o ochrane osobných údajov,

Je sprostredkovateľ povinný vykonávať iné povinnosti?
Iné povinnosti podľa zákona o ochrane osobných údajov (§ 8 ods. 6, § 15 až 18 a § 28 až 32) je sprostredkovateľ povinný vykonať, ak sa tak výslovne dohodne v písomnej zmluve uzatvorenej s prevádzkovateľom. V takom prípade sprostredkovateľ zodpovedá za plnenie povinností v rozsahu tejto zmluvy.