Nielen nasledujúce informácie sú rozoberané na jednom z nami organizovaných školení, o ktorom si viac prečítate tu.
POVINNOSTI PODNIKATEĽOV so sídlom v SR v OBLASTI OCHRANY OSOBNÝCH ÚDAJOV vyplývajúce zo zákona č. 428/2002 Z.z. o ochrane osobných údajov:
- Spracúvanie osobných údajov je povolené len prevádzkovateľovi (právnickej alebo fyzickej osobe), ktorá určí účel a prostriedky spracúvania, resp. ktorú zaň určuje zákon, alebo jeho sprostredkovateľovi.
- Ak je podnikateľ sprostredkovateľom pre prevádzkovateľa (v jeho mene spracúva osobné údaje za účelom a prostriedkami určenými zákonom alebo prevádzkovateľom), je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dohodnutých s prevádzkovateľom. Na tento účel musí byť medzi prevádzkovateľom a sprostredkovateľom uzatvorená písomná zmluva alebo písomné poverenie.
- Prevádzkovateľ (a/alebo sprostredkovateľ) je povinný:
- pred začatím spracúvania jednoznačne vymedziť jeho účel (jasný a nie v rozpore so zákonmi), prostriedky spracúvania (spôsob spracúvania musí zodpovedať jeho účelu), ako aj zabezpečiť, aby sa nespracúvali údaje nezlučiteľné svojím rozsahom a obsahom s účelom spracúvania, alebo vo vzťahu k účelu spracovania časovo alebo vecne neaktuálne údaje,
- pri výbere sprostredkovateľa dbať najmä na jeho záruky v oblasti technickej, organizačnej a personálnej bezpečnosti,
- nezveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb,
- vyžadovať od dotknutých osôb len také osobné údaje, ktoré sú nevyhnutné na stanovený účel spracovania, ostatné údaje len ak upozorní dotknutú osobu a tá dá na to písomný súhlas. Tento súhlas nesmie byť vynucovaný ani podmieňovaný hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom,
- osobné údaje spracúvať alebo poskytovať ďalej, sprístupniť alebo zverejniť len s preukázateľným súhlasom dotknutej osoby (najlepšie teda písomným, resp. po elektronickým s použitím el. podpisu, môže však byť aj súhlas nahraný prostredníctvom videa, iných audiovizuálnych prostriedkov, alebo ústne vyjadrený pred kontrolórom Úradu), pričom tento súhlas musí obsahovať minimálne:
- označenie osoby, ktorá ho poskytla,
- komu súhlas dáva,
- na aký účel (má byť totožný s účelom spracovania údajov stanoveným prevádzkovateľom, ktorý má byť jasný, potrebné je určiť aj oprávnenie na prípadný cezhraničný prenos, oprávnenie presunúť získané údaje sprostredkovateľovi atď.),
- zoznam osobných údajov, ktoré dáva k dispozícii,
- dobu platnosti súhlasu,
- podmienky odvolania súhlasu,
- vlastnoručný podpis osoby, ktorá ho vydáva,
pričom tento súhlas nie je potrebný vo výnimočných prípadoch podľa § 7 ods. 3, 4, 5, § 9 zákona o ochrane osobných údajov.
Zároveň je neplatný, ak neobsahuje predpísané náležitosti uvedené vyššie, a keď nie je v predpísaných prípadoch vydaný písomne (napr. § 7 zákona).
Písomný súhlas je splnený, ak sú spracúvané osobné údaje súčasťou platnej zmluvy, ktorej jednou zo strán je dotknutá osoba a ktorá obsahuje náležitosti podľa tohto bodu, pričom podpis dotknutej osoby na zmluve vyjadruje súčasne písomný súhlas so spracúvaním jej osobných údajov.
Ďalšími povinnosťami podnikateľov v oblasti ochrany osobných údajov sú povinnosť:
- zabezpečiť dohľad nad ochranou osobných údajov ním spracúvaných, za ktorý zodpovedá. Výkonom dohľadu je prevádzkovateľ povinný poveriť jednu alebo viac zodpovedných osôb (budú vykonávať dohľad aj u prípadného sprostredkovateľa prevádzkovateľa), ak zamestnáva viac ako 5 zamestnancov. Zodpovedná osoba musí mať nielen poverenie, ale aj preškolenie o zákone, súvisiacich predpisoch (smernice EÚ, Trestný zákon, Občiansky zákonník a iné), čo je na požiadanie Úradu prevádzkovateľ povinný preukázať. Inak sa vystavuje riziku pokuty do 500 tis. Sk. (POZOR – zodpovedná osoba je povinná posúdiť pred začatím spracúvania osobných údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Pri zistení narušenia informuje bezodkladne prevádzkovateľa a ak ten bezodkladne po upozornení nevykoná nápravu, je povinná to oznámiť Úradu, viazaná je hrozbou pokuty do 100 tis. Sk).
- oznámiť dotknutým osobám (§ 4 ods. 5) pri najbližšom kontakte s nimi, najneskôr však do troch mesiacov prevzatie spracúvania ich osobných údajov iným (novým) sprostredkovateľom, resp. oznámiť im to, že spracúvanie ich osobných údajov bolo zverené nejakému sprostredkovateľovi, ak predtým žiadny nebol.
- poskytovať, ak na to má súhlas dotknutej osoby alebo to umožňuje zákon, len pravdivé osobné údaje,
- ak poskytuje na základe súhlasu osobné údaje dotknutej osoby inej osobe, priložiť k nim aj písomný doklad o tomto súhlase, ak je zákonom požadovaný, alebo aspoň písomné vyhlásenie prevádzkovateľa o udelení súhlasu dotknutými osobami, ak to vie prevádzkovateľ preukázať,
- zabezpečovať správnosť a aktuálnosť osobných údajov, t.j. ich pravdivosť,
- zabezpečiť opravu alebo doplnenie tých osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi, alebo sa preukáže, že sú nesprávne,
- pri zverejňovaní osobných údajov konať len v súlade s tzv. tlačovou, resp. publicistickou licenciou umožnenou Občianskym zákonníkom v otázke ochrany osobnosti,
- preukázať na požiadanie Úradu, že ním spracúvané údaje, o ktorých tvrdí, že už boli zverejnené, boli naozaj zverejnené,
- nespracovávať osobitné kategórie osobných údajov (obsahujúce pôvod, názory, členstvo osoby v stranách, spolkoch a pod., týkajúce sa zdravia alebo pohlavného života), iba ak by sa splnila niektorá z výnimiek podľa § 9,
- nespracúvať alebo nezverejňovať iný identifikátor (ktorý v sebe skrýva charakteristiky dotknutej osoby), ako rodné číslo, a aj to iba vtedy, ak je to zákonom dovolené,
- spracúvať biometrické údaje len ak to prevádzkovateľovi vyplýva zo zákona alebo má na to písomný súhlas dotknutej osoby,
- spracúvať osobné údaje o psychickej identite alebo psychickej pracovnej spôsobilosti len ak je psychológ, resp. vykonáva psychologickú činnosť podľa zákona č. 199/1994 Z.z.,
- vydať oprávnenej osobe, ktorá v jeho mene získava údaje, oprávnenie na ich získavanie (oprávnená osoba musí dodržiavať formu a spôsob preukázania sa podľa § 10 ods. 1 a 2 zákona),
- zabezpečiť diskrétnosť pri spracúvaní údajov získavaných, poskytovaných alebo sprístupňovaných v priestoroch prístupných verejnosti,
- získavať osobné údaje nevyhnutné na dosiahnutie účelu spracovania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo to výslovne umožňuje osobitný zákon. Súhlas nesmie byť vynucovaný ani podmieňovaný hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej zákonom,
- údaje získané na účely priameho marketingu označiť informáciami podľa § 10 ods. 1 zákona a oboznámením na možnosť námietky ich používania a využívania v poštovom styku (údaje na priamy marketing sú meno, priezvisko a adresa dotknutej osoby bez možnosti priradenia ďalších osobných údajov, využívané výlučne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov),
- viesť zoznam poskytnutých osobných údajov, ak je predmetom činnosti prevádzkovateľa priamy marketing,
- pred začatím spracúvania osobných údajov prihlásiť na registráciu informačný systém, ktorý jej podľa § 25 podlieha a začať spracúvať osobné údaje v tomto systéme v deň nasledujúci po dni, v ktorom úrad vydal potvrdenie o registrácii,
- viesť evidenciu informačných systémov, ktoré nepodliehajú registrácii, najneskôr odo dňa začatia spracúvania údajov v nich,
- zlikvidovať osobné údaje, ak sa splní niektorá z podmienok § 13 zákona, a ich opravu alebo likvidáciu do 30 dní od jej vykonania oznámiť dotknutej osobe a každému, komu ich poskytol. Výnimkou je situácia, ak by neoznámením neboli porušené práva dotknutej osoby, čo je výlučne na zvážení a zodpovednosti prevádzkovateľa.
- zodpovedať za bezpečnosť osobných údajov tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním tak, že prijíma primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania. Tieto opatrenia je povinný prijať vo forme bezpečnostného projektu informačného systému (najmä ak inf. systém je prepojený na verejne prístupnú počít. sieť, alebo je prevádzkovaný v počítačovej sieti prepojenej na verejne prístupnú počítačovú sieť, ak sú v info. systéme spracúvané osobitné kategórie osobných údajov). Úrad má právo žiadať od prevádzkovateľa predloženie rozsahu a obsahu prijatých opatrení, predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému nie staršiu ako dva roky – ak sú vážne pochybnosti o bezpečnosti systému alebo o praktickom uplatňovaní opatrení uvedených v projekte. Náležitosti obsahu bezpečnostného projektu stanovuje § 16 zákona.
- bezplatne (okrem žiadania materiálnych nákladov na zhotovenie kópií, tech. nosičov a nákladov odoslania informácie) do 30 dní od prijatia písomnej žiadosti dotknutej osoby jej odpovie, resp. splní požiadavky uplatnené v súlade s § 20 zákona,
- bezodkladne písomne oznámiť dotknutej osobe a úradu obmedzenie práv dotknutej osoby podľa § 20 ods. 1 pís. d/ a e/ zákona,
- dodržiavať podmienky cezhraničného toku osobných údajov podľa štvrtej hlavy zákona,
- vyžiadať si súhlas úradu pri poverení subjektu z cudziny spracúvaním osobných údajov a zaručovať bezpečnosť tranzitu a prenosu údajov,
- zabezpečiť primerané podmienky na výkon kontroly dodržiavania zákona Úradom podľa § 40 ods. 2. Ak nedodrží povinnosť vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení, môže mu úrad uložiť poriadkovú pokutu do 50 tis. Sk (t.j. aj menej, nie však viac), ak by maril výkon kontroly (§ 40 ods. 2 pís. b), hrozí mu pokuta do 500 tis. Sk.
- dodržiavať povinnosť mlčanlivosti, a to aj po ukončení spracovania osobných údajov (§ 18),
- priestory prístupné verejnosti monitorovať pomocou videozáznamu alebo audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu, výlučne so zreteľným označením priestoru ako monitorovaným. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak by osobitný zákon neposkytoval iné možnosti,
- do 28. februára 2003 zabezpečiť uvedenie už fungujúcich informačných systémov do súladu vrátane registrácie tých, pri ktorých to zákon vyžaduje.
- spracovávať osobné údaje v systémoch, ku ktorým osobitný zákon (napr. Zákonník práce) neustanovuje zoznam týchto údajov s účelom ich spracúvania, podmienok ich získavania a okruhu dotknutých osôb, maximálne do 31.12.2003. Na účel plnenia podmienok zákona o ochrane osobných údajov po tomto dátume je vhodné začať napr. v Pracovných zmluvách a dohodách podľa Zákonníka práce uvádzať ustanovenie obsahujúce náležitosti písomného súhlasu dotknutej osoby (§ 7 ods. 2 v súvislosti s § 7 ods. 10 zákona – viď tiež písmeno e/ tohto zoznamu povinností).
Nielen v tomto príspevku uvedené informácie sú rozoberané na jednom z nami organizovaných školení, o ktorom si viac prečítate tu.