Všetko o zákone ochrany osobných údajov

 

V tomto článku vám prinášame najdôležitejšie informácie, ktoré sú spracované na základe všeobecného nariadenie Európskeho parlamentu a Rady EÚ. Dozviete sa v ňom čo zákon upravuje, na koho sa vzťahu, kto môže s informáciami pracovať a aké práva či povinnosti má ten, koho údaje sú spracovávané. V Ďalších blogov, ktoré nájdete na našej stránke sa postupne budeme podrobnejšie venovať každej oblasti.

 

Základné informácie

GDPR (General Data Protection Regulation) alebo všeobecné nariadenie na ochranu osobných údajov je nariadenie Európskeho parlamentu a rady (EÚ), ktoré upravuje a nahrádza doterajší zákon o ochrane osobných údajov. Hlavným cieľom je ochrana fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov.

Čo zákon upravuje?

  1. Ochranu práv fyzických osôb (FO) pred neoprávneným spracovávaním ich osobných údajov
  2. Práva, povinnosti a zodpovednosť pri spracovávaní osobných údajov FO
  3. Postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky

 

Čo sa rozumie pod pojmom osobný údaj

Osobné údaje sú všetky údaje, ktoré priamo alebo nepriamo identifikujú fyzickú osobu ako napríklad:

  • meno a priezvisko,
  • identifikačné číslo,
  • lokalizačné údaje alebo online identifikátor,
  • fyzická a fyziologická identita,
  • genetická, psychická a mentálna identita,
  • ekonomická, kultúrna a sociálna identita.

 

Jednoducho povedané, osobný údaj je fakt, na základe ktorého vieme danú osobu od inej rozlíšiť.

Príklad: Denisa, modré oči, blond vlasy, rok narodenia 1985, adresa Kuzmányho 58, Košice à na základe týchto informácií je viac než pravdepodobné, že Denisu môže niekto vypátrať.

 

Zakazuje sa spracovávanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, sexuálnu orientáciu, politické alebo filozofické presvedčenie, vieru, členstvo v odborových organizáciách, genetické a biometrické údaje, údaje o zdraví alebo sexuálnom živote.

 

Zákon sa vzťahuje na:

  • spracovanie osobných údajov automatizovanými prostriedkami (aj inými než automatizovanými, ak sú súčasťou informačného systému)
  • spracovanie údajov Policajným zborom, Vojenskou políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi na účely predchádzania a odhaľovania trestnej činnosti
  • spracovanie údajov v rámci činnosti prevádzkovateľa alebo sprostredkovateľa v SR
  • spracovanie osobných údajov dotknutej osoby, ktorá sa nachádza na území SR (ak niekto z inej krajiny na území SR ponúka tovar alebo služby)

 

Na koho sa zákon nevzťahuje?

Zákon sa nevzťahuje na fyzickú osobu, ktorá spracováva svoje vlastné osobné údaje (osobná alebo domáca činnosť), ďalej na Slovenskú informačnú službu a Vojenské spravodajstvo a na Národný bezpečnostný úrad – čo zahrňuje bezpečnostné previerky, podklady pre rozhodovanie Súdnej rady SR.

 

Spracovanie údajov

Na spracovanie osobných údajov je potrebný súhlas dotknutej osoby. Dotknutou osobou sa rozumie každá fyzická osoba, ktorej osobné údaje sú spracovávané. Súhlas dotknutej osoby je akýkoľvek prejav vôle vo forme vyhlásenia alebo potvrdzujúceho úkonu, ktorým dáva dotknutá osoba súhlas so spracovaním svojich osobných údajov.

Osobné údaje môžu byť spracovávané aj bez súhlasu dotknutej osoby ak je to nevyhnutné na akademický, umelecký či literárny účel, nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracováva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti.

Napríklad zamestnávateľ môže o zamestnancovi zverejniť informácie ako titul, meno, priezvisko, osobné číslo, pracovné zaradenie, telefón, fax a email na pracovisko ak je to potrebné pri plnení. Nesmie to však narušiť dôstojnosť, vážnosť a bezpečnosť dotknutej osoby.

 

Čo v prípade, že dotknutá osoba už nežije?

Ak dotknutá osoba nežije, súhlas so spracovaním osobných údajov poskytne blízka osoba (rodinný príslušník). Súhlas však nie je platný, ak čo i len jedna osoba písomne vysloví nesúhlas so spracovaním osobných údajov zosnulej osoby.

 

 

Pri spracovaní osobných údajov, platia isté zásady, ktoré musia byť dodržané

Osobné údaje sa môžu spracovávať len zákonným spôsobom a musia byť získavané na konkrétny účel (údaje nesmú byť použité na iný účel). Uchovávanie slúži dovtedy, kým je to potrebné pre daný účel (môžu sa uchovať aj dlhšie, ak sú spracovávané alebo archivované na vedecké účely, historický výskum alebo štatistické údaje). Všetky osobné údaje, s ktorými sa pracuje musia byť chránené a v bezpečí.

Prevádzkovateľ (firma, organizácia, ktorá vo vlastnom mene osobné údaje spracováva) je povinný kedykoľvek preukázať, že daná osoba mu súhlas so spracovaním poskytla. Súhlas musí byť vyjadrený jasne a zrozumiteľne. Dotknutá osoba má samozrejme právo kedykoľvek svoj súhlas odvolať.

 

Čo v prípade, že ide o informačnú spoločnosť, ktorá šíri informácie prostredníctvom internetu?

Spoločnosť, ktorá šíri informácie pomocou nových technológií ako je internet, rôzne aplikácie či hry môže spracovávať osobné údaje jedine ak dotknutá osoba dovŕšila vek 16 rokov. V opačnom prípade musí súhlas poskytnúť zákonný zástupca. Ak informačná služba nemá tento súhlas, ide o nezákonné spracovávanie osobných údajov, za čo hrozia sankcie (dočítate sa nižšie).

 

Práva dotknutej osoby a povinnosti prevádzkovateľa

Prevádzkovateľ, ten čo osobné údaje spracováva, je povinný poskytnúť dotknutej osobe nasledovné informácie:

  • kontaktné údaje prevádzkovateľa,
  • účel za akým sa budú spracovávať osobné údaje,
  • záujmy prevádzkovateľa,
  • informáciu o tom, ak prevádzkovateľ zamýšľa preniesť údaje do tretej krajiny, prípade medzinárodných organizácií,
  • právo na prístup a právo na opravu či vymazanie takýchto údajov,
  • zámer, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou.

 

Povinnosti prevádzkovateľa pri uplatňovaní práv dotknutej osoby:

  • musí prijať opatrenia a poskytnúť dotknutej osobe informácie o spracúvaní jej osobných údajov,
  • tieto informácie musia byť jasne formulované, transparentné a ľahko zrozumiteľné,
  • musí prijať vhodné technické a organizačné opatrenia aby zabezpečil a preukázal, že spracováva osobné údaje v súlade so zákonom,
  • osobné údaje musí podľa potreby aktualizovať,
  • musí preveriť trvanie účelu spracovania a po jeho splnené bez odkladu údaje vymazať,
  • musí zabezpečiť, aby osobné údaje neboli k dispozícií ďalším fyzickým osobám
  • ak sú dvaja prevádzkovatelia, každý musí mať presne určenú zodpovednosť za plnenie povinností.

 

Je možné osobný údaj vymazať alebo upraviť?

Samozrejme, že to možné je. Dotknutá osoba má dokonca právo, aby prevádzkovateľ bez odkladu opravil nesprávne údaje a taktiež ich aj vymazal. Prevádzkovateľ je povinný vymazať údaje, ak už nie sú potrebné na daný účel alebo sú spracovávané nezákonne. Týka sa to aj všetkých odkazov a kópií, ktoré poskytovateľ vyhotovil za účelom spracovania. Dotknutá osoba môže spracovávanie aj obmedziť.

 

Kto je sprostredkovateľ?

Je každý, kto taktiež prichádza do styku s osobnými údajmi. Môže to byť zamestnanec firmy, ktorý tieto údaje potrebuje k výkonu svojej práce, ale aj orgán štátnej správy, samosprávy, alebo iná právnická osoba.

 

Povinnosti sprostredkovateľa:

  • sprostredkovateľ môže byť poverený len prevádzkovateľom,
  • sprostredkovateľ nesmie poveriť spracovaním osobných údajov ďalšieho „sprostredkovateľa“ bez písomného súhlasu prevádzkovateľa,
  • spracovanie sa riadi zmluvou (v listinnej alebo elektronickej podobe) – obsahuje dobu, predmet, povahu a účel spracovania,
  • osobné údaje môže spracovávať len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu či medzinárodnej zmluvy, ktorou je SR viazaná.

 

Prevádzkovateľ a rovnako aj sprostredkovateľ a ich zástupcovia sú povinní viesť záznam o spracovateľských činnostiach v listinnej alebo elektronickej podobe. V prípade potreby na tieto údaje môže dozrieť alebo nahliadnuť do nich príslušný úrad.

 

Sú údaje v bezpečí?

Vedecký pokrok a technológie môžu viesť k vysokému riziku. Prevádzkovateľ je povinný tieto riziká posúdiť a konzultovať s príslušným úradom, ak by to predstavovalo riziko pre fyzickú osobu. úrad následne poskytne prevádzkovateľovi poradenstvo. Prevádzkovateľ aj sprostredkovať sú ďalej povinní zabezpečiť primerané technické a organizačné opatrenie na zaistenie bezpečnosti. Patria medzi ne:

 

  1. pseudonymizácia a šifrovanie osobných údajov,
  2. zabezpečenie trvalej dôveryhodnosti systému, ktorý osobné údaje spracováva,
  3. proces obnovy dostupnosti osobných údajov a prístup k nim v prípade technického incidentu,
  4. pravidelne testovanie a hodnotenie účinnosti týchto opatrení.

 

Existujú aj isté riziká ako napríklad náhodné zničenie, nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie a neoprávnený prístup k osobných údajom. Ak dôjde k týmto porušeniam ochrany, prevádzkovateľ je povinný najneskôr do 72 hodín oznámiť túto skutočnosť úradu a dotknutej osobe. Každý takýto incident sa musí zdokumentovať aj spolu s prijatými opatreniami na nápravu. Oznámenie sa nevyžaduje v prípade, ak sú údaje šifrované a tak nerozoznateľné pre ďalšiu osobu.

 

 

Kto je zodpovedná osoba?

Zodpovednú osobu môže určiť prevádzkovateľ alebo sprostredkovateľ v prípade, že:

  • spracovanie vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia,
  • si rozsah alebo účel vyžadujú neustále monitorovanie dotknutej osoby vo veľkom rozsahu,
  • sú hlavnými činnosťami prevádzkovateľa a sprostredkovateľa spracovanie osobitných kategórií vo veľkom rozsahu, ktoré sa týkajú uznania viny za spáchanie trestného činu.

 

Zodpovedná osoba musí mať určité odborné kvality – znalosti práva a postupov v oblasti ochrany osobných údajov, mala by mať (a vedieť preukázať) svoje vedomosti v oblasti ochrany osobných údajov – dosiahnuté vzdelanie, prax, úspešné absolvovanie workshopov, skúšok alebo iných vzdelávacích aktivít.

Zodpovedná osoba poskytuje informácie a poradenstvo, monitoruje súlad so zákonom, spolupracuje s úradom a plní úlohy kontaktného miesta pre úrad.

 

 

Je možný prenos osobných údajov do tretích krajín?

Je možný, v prípade, že tretia krajina alebo medzinárodná organizácia sú bezpečným miestom pre uchovávanie osobných údajov. Ak takéto záruky neexistujú, prenos sa môže uskutočniť ak:

  1. s tým dotknutá osoba súhlasila,
  2. je prenos nevyhnutný pre plnenie zmluvy,
  3. je prenos nevyhnutný pre uzatvorenie zmluvy v záujme dotknutej osoby.

 

Môže byť dotknutej osobe zamietnutý prístup k osobným údajom?

Príslušný orgán môže odložiť alebo obmedziť poskytnutie informácií v prípade, že by išlo o marenie úradného postupu, o ohrozenie plnenia úloh, o ochranu práv iných osôb alebo o ochranu verejného majetku. Príslušný orgán musí o zamietnutí dotknutú osobu informovať.

 

Zásada mlčanlivosti

Prevádzkovať aj poskytovať sú povinní zachovať mlčanlivosť o osobných údajoch a takisto sú povinní zaviazať o mlčanlivosti aj iné fyzické osoby, ktoré prídu do styku s osobnými údajmi dotknutej osoby. Mlčanlivosť neplatí, ak sú údaje potrebné pre plnenie úloh súdov a orgánov činných v trestnom konaní.

 

Úloha kontrolného úradu

Úrad vykonáva dozor nad ochranou osobných údajov. Má právo žiadať informácie od prevádzkovateľa a takisto aj sprostredkovateľa, ak sú nevyhnutné pre plnenie jeho úloh. Ďalej má právo vstupovať do priestorov prevádzkovateľa a sprostredkovateľa a uložiť opatrenia na nápravu, ak došlo k pochybeniu alebo aj pokutu v prípade porušenia zákona o osobných údajoch.

Úrad tiež vykonáva kontrolu, ktorá je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi alebo sprostredkovateľovi

 

Kontrola sa vykonáva

  1. Na základe plánu kontrol
  2. Na základe podozrenia z porušenia povinností

Povinnosťou kontrolovanej osoby je akceptovať výkony úradu, poskytnúť súčinnosť, zabezpečiť prístup k informáciám o osobných údajoch a podať vysvetlenie k predmetu kontroly. V prípade potreby je kontrolovaná osoba povinná dostaviť sa na predvolanie kontrolného úradu. Kontrolovaná osoba sa môže ku skutočnostiam zistených pri kontrole priebežne vyjadrovať. Výsledkom tejto kontroly je protokol, ktorý obsahuje zistenie nedostatkov, alebo záznam o kontrole a je v písomnej podobe. Kontrolovaná osoba môže podať proti protokolu námietky do 21 dní odo dňa doručenia protokolu.

 

Za porušenie GDPR hrozia vysoké pokuty

Úrad môže udeliť pokutu do výšky:

  • 10 000 000 eur (v prípade podniku 2 % celkového ročného obratu za predchádzajúci účtovný rok) – podľa toho, ktorá suma je vyššia
  • 20 000 000 eur (v prípade podniku 4 % z celkového obratu) – opäť sa berie v úvahu vyššia suma
  • Poriadková pokuta do 2 000 eur osobe, ktorá nie je prevádzkovateľ ani sprostredkovateľ, ale svojím neposkytla súčinnosť
  • Poriadková pokuta do 10 000 eur ak daná osoba marila výkon kontroly

 

Pokutu možno uložiť do 2 rokov od zistenia pochybenia, najneskôr do 5 rokov. Poriadkovú pokutu možno udeliť do 6 mesiacov odo dňa porušenia povinnosti.

Ak vás zaujímajú ďalšie povinnosti súvisiace s GDPR firmy, prečítajte si ostatné články na našom blogu!

OCHRANA OSOBNÝCH ÚDAJOV