Nielen nasledujúce informácie sú rozoberané na jednom z nami organizovaných školení, o ktorom si viac prečítate tu.

POVINNOSTI PODNIKATEĽOV so sídlom v SR v OBLASTI OCHRANY OSOBNÝCH ÚDAJOV vyplývajúce zo zákona č. 428/2002 Z.z. o ochrane osobných údajov:

  1. Spracúvanie osobných údajov je povolené len prevádzkovateľovi (právnickej alebo fyzickej osobe), ktorá určí účel a prostriedky spracúvania, resp. ktorú zaň určuje zákon, alebo jeho sprostredkovateľovi.
  2. Ak je podnikateľ sprostredkovateľom pre prevádzkovateľa (v jeho mene spracúva osobné údaje za účelom a prostriedkami určenými zákonom alebo prevádzkovateľom), je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dohodnutých s prevádzkovateľom. Na tento účel musí byť medzi prevádzkovateľom a sprostredkovateľom uzatvorená písomná zmluva alebo písomné poverenie.
  3. Prevádzkovateľ (a/alebo sprostredkovateľ) je povinný:

  1. pred začatím spracúvania jednoznačne vymedziť jeho účel (jasný a nie v rozpore so zákonmi), prostriedky spracúvania (spôsob spracúvania musí zodpovedať jeho účelu), ako aj zabezpečiť, aby sa nespracúvali údaje nezlučiteľné svojím rozsahom a obsahom s účelom spracúvania, alebo vo vzťahu k účelu spracovania časovo alebo vecne neaktuálne údaje,
  2. pri výbere sprostredkovateľa dbať najmä na jeho záruky v oblasti technickej, organizačnej a personálnej bezpečnosti,
  3. nezveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb,
  4. vyžadovať od dotknutých osôb len také osobné údaje, ktoré sú nevyhnutné na stanovený účel spracovania, ostatné údaje len ak upozorní dotknutú osobu a tá dá na to písomný súhlas. Tento súhlas nesmie byť vynucovaný ani podmieňovaný hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom,
  5. osobné údaje spracúvať alebo poskytovať ďalej, sprístupniť alebo zverejniť len s preukázateľným súhlasom dotknutej osoby (najlepšie teda písomným, resp. po elektronickým s použitím el. podpisu, môže však byť aj súhlas nahraný prostredníctvom videa, iných audiovizuálnych prostriedkov, alebo ústne vyjadrený pred kontrolórom Úradu), pričom tento súhlas musí obsahovať minimálne:

  1. označenie osoby, ktorá ho poskytla,
  2. komu súhlas dáva,
  3. na aký účel (má byť totožný s účelom spracovania údajov stanoveným prevádzkovateľom, ktorý má byť jasný, potrebné je určiť aj oprávnenie na prípadný cezhraničný prenos, oprávnenie presunúť získané údaje sprostredkovateľovi atď.),
  4. zoznam osobných údajov, ktoré dáva k dispozícii,
  5. dobu platnosti súhlasu,
  6. podmienky odvolania súhlasu,
  7. vlastnoručný podpis osoby, ktorá ho vydáva,

pričom tento súhlas nie je potrebný vo výnimočných prípadoch podľa § 7 ods. 3, 4, 5, § 9 zákona o ochrane osobných údajov.

Zároveň je neplatný, ak neobsahuje predpísané náležitosti uvedené vyššie, a keď nie je v predpísaných prípadoch vydaný písomne (napr. § 7 zákona).

Písomný súhlas je splnený, ak sú spracúvané osobné údaje súčasťou platnej zmluvy, ktorej jednou zo strán je dotknutá osoba a ktorá obsahuje náležitosti podľa tohto bodu, pričom podpis dotknutej osoby na zmluve vyjadruje súčasne písomný súhlas so spracúvaním jej osobných údajov.

     Ďalšími povinnosťami podnikateľov v oblasti ochrany osobných údajov sú povinnosť:

  1. zabezpečiť dohľad nad ochranou osobných údajov ním spracúvaných, za ktorý zodpovedá. Výkonom dohľadu je prevádzkovateľ povinný poveriť jednu alebo viac zodpovedných osôb (budú vykonávať dohľad aj u prípadného sprostredkovateľa prevádzkovateľa), ak zamestnáva viac ako 5 zamestnancov. Zodpovedná osoba musí mať nielen poverenie, ale aj preškolenie o zákone, súvisiacich predpisoch (smernice EÚ, Trestný zákon, Občiansky zákonník a iné), čo je na požiadanie Úradu prevádzkovateľ povinný preukázať. Inak sa vystavuje riziku pokuty do 500 tis. Sk. (POZOR – zodpovedná osoba je povinná posúdiť pred začatím spracúvania osobných údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Pri zistení narušenia informuje bezodkladne prevádzkovateľa a ak ten bezodkladne po upozornení nevykoná nápravu, je povinná to oznámiť Úradu, viazaná je hrozbou pokuty do 100 tis. Sk).
  2. oznámiť dotknutým osobám (§ 4 ods. 5) pri najbližšom kontakte s nimi, najneskôr však do troch mesiacov prevzatie spracúvania ich osobných údajov iným (novým) sprostredkovateľom, resp. oznámiť im to, že spracúvanie ich osobných údajov bolo zverené nejakému sprostredkovateľovi, ak predtým žiadny nebol.
  3. poskytovať, ak na to má súhlas dotknutej osoby alebo to umožňuje zákon, len pravdivé osobné údaje,
  4. ak poskytuje na základe súhlasu osobné údaje dotknutej osoby inej osobe, priložiť k nim aj písomný doklad o tomto súhlase, ak je zákonom požadovaný, alebo aspoň písomné vyhlásenie prevádzkovateľa o udelení súhlasu dotknutými osobami, ak to vie prevádzkovateľ preukázať,
  5. zabezpečovať správnosť a aktuálnosť osobných údajov, t.j. ich pravdivosť,
  6. zabezpečiť opravu alebo doplnenie tých osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi, alebo sa preukáže, že sú nesprávne,
  7. pri zverejňovaní osobných údajov konať len v súlade s tzv. tlačovou, resp. publicistickou licenciou umožnenou Občianskym zákonníkom v otázke ochrany osobnosti,
  8. preukázať na požiadanie Úradu, že ním spracúvané údaje, o ktorých tvrdí, že už boli zverejnené, boli naozaj zverejnené,
  9. nespracovávať osobitné kategórie osobných údajov (obsahujúce pôvod, názory, členstvo osoby v stranách, spolkoch a pod., týkajúce sa zdravia alebo pohlavného života), iba ak by sa splnila niektorá z výnimiek podľa § 9,
  10. nespracúvať alebo nezverejňovať iný identifikátor (ktorý v sebe skrýva charakteristiky dotknutej osoby), ako rodné číslo, a aj to iba vtedy, ak je to zákonom dovolené,
  11. spracúvať biometrické údaje len ak to prevádzkovateľovi vyplýva zo zákona alebo má na to písomný súhlas dotknutej osoby,
  12. spracúvať osobné údaje o psychickej identite alebo psychickej pracovnej spôsobilosti len ak je psychológ, resp. vykonáva psychologickú činnosť podľa zákona č. 199/1994 Z.z.,
  13. vydať oprávnenej osobe, ktorá v jeho mene získava údaje, oprávnenie na ich získavanie (oprávnená osoba musí dodržiavať formu a spôsob preukázania sa podľa § 10 ods. 1 a 2 zákona),
  14. zabezpečiť diskrétnosť pri spracúvaní údajov získavaných, poskytovaných alebo sprístupňovaných v priestoroch prístupných verejnosti,
  15. získavať osobné údaje nevyhnutné na dosiahnutie účelu spracovania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo to výslovne umožňuje osobitný zákon. Súhlas nesmie byť vynucovaný ani podmieňovaný hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej zákonom,
  16. údaje získané na účely priameho marketingu označiť informáciami podľa § 10 ods. 1 zákona a oboznámením na možnosť námietky ich používania a využívania v poštovom styku (údaje na priamy marketing sú meno, priezvisko a adresa dotknutej osoby bez možnosti priradenia ďalších osobných údajov, využívané výlučne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov),
  17. viesť zoznam poskytnutých osobných údajov, ak je predmetom činnosti prevádzkovateľa priamy marketing,
  18. pred začatím spracúvania osobných údajov prihlásiť na registráciu informačný systém, ktorý jej podľa § 25 podlieha a začať spracúvať osobné údaje v tomto systéme v deň nasledujúci po dni, v ktorom úrad vydal potvrdenie o registrácii,
  19. viesť evidenciu informačných systémov, ktoré nepodliehajú registrácii, najneskôr odo dňa začatia spracúvania údajov v nich,
  20. zlikvidovať osobné údaje, ak sa splní niektorá z podmienok § 13 zákona, a ich opravu alebo likvidáciu do 30 dní od jej vykonania oznámiť dotknutej osobe a každému, komu ich poskytol. Výnimkou je situácia, ak by neoznámením neboli porušené práva dotknutej osoby, čo je výlučne na zvážení a zodpovednosti prevádzkovateľa.
  21. zodpovedať za bezpečnosť osobných údajov tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním tak, že prijíma primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania. Tieto opatrenia je povinný prijať vo forme bezpečnostného projektu informačného systému (najmä ak inf. systém je prepojený na verejne prístupnú počít. sieť, alebo je prevádzkovaný v počítačovej sieti prepojenej na verejne prístupnú počítačovú sieť, ak sú v info. systéme spracúvané osobitné kategórie osobných údajov). Úrad má právo žiadať od prevádzkovateľa predloženie rozsahu a obsahu prijatých opatrení, predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému nie staršiu ako dva roky – ak sú vážne pochybnosti o bezpečnosti systému alebo o praktickom uplatňovaní opatrení uvedených v projekte. Náležitosti obsahu bezpečnostného projektu stanovuje § 16 zákona.
  22. bezplatne (okrem žiadania materiálnych nákladov na zhotovenie kópií, tech. nosičov a nákladov odoslania informácie) do 30 dní od prijatia písomnej žiadosti dotknutej osoby jej odpovie, resp. splní požiadavky uplatnené v súlade s § 20 zákona,
  23. bezodkladne písomne oznámiť dotknutej osobe a úradu obmedzenie práv dotknutej osoby podľa § 20 ods. 1 pís. d/ a e/ zákona,
  24. dodržiavať podmienky cezhraničného toku osobných údajov podľa štvrtej hlavy zákona,
  25. vyžiadať si súhlas úradu pri poverení subjektu z cudziny spracúvaním osobných údajov a zaručovať bezpečnosť tranzitu a prenosu údajov,
  26. zabezpečiť primerané podmienky na výkon kontroly dodržiavania zákona Úradom podľa § 40 ods. 2. Ak nedodrží povinnosť vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení, môže mu úrad uložiť poriadkovú pokutu do 50 tis. Sk (t.j. aj menej, nie však viac), ak by maril výkon kontroly (§ 40 ods. 2 pís. b), hrozí mu pokuta do 500 tis. Sk.
  27. dodržiavať povinnosť mlčanlivosti, a to aj po ukončení spracovania osobných údajov (§ 18),
  28. priestory prístupné verejnosti monitorovať pomocou videozáznamu alebo audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu, výlučne so zreteľným označením priestoru ako monitorovaným. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak by osobitný zákon neposkytoval iné možnosti,
  29. do 28. februára 2003 zabezpečiť uvedenie už fungujúcich informačných systémov do súladu vrátane registrácie tých, pri ktorých to zákon vyžaduje.
  30. spracovávať osobné údaje v systémoch, ku ktorým osobitný zákon (napr. Zákonník práce) neustanovuje zoznam týchto údajov s účelom ich spracúvania, podmienok ich získavania a okruhu dotknutých osôb, maximálne do 31.12.2003. Na účel plnenia podmienok zákona o ochrane osobných údajov po tomto dátume je vhodné začať napr. v Pracovných zmluvách a dohodách podľa Zákonníka práce uvádzať ustanovenie obsahujúce náležitosti písomného súhlasu dotknutej osoby (§ 7 ods. 2 v súvislosti s § 7 ods. 10 zákona – viď tiež písmeno e/ tohto zoznamu povinností).

Nielen v tomto príspevku uvedené informácie sú rozoberané na jednom z nami organizovaných školení, o ktorom si viac prečítate tu.