Otázky a odpovede
Otázok týkajúcich sa NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a ich vzťahov k terajšej právnej úprave je mnoho, vybrali sme pre Vás tie najčastejšie sa opakujúce, veríme, že Vám pomôžu.
Linky na právne texty a informácie, na ktoré v texte otázok a odpovedí odkazujeme:
- Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. odkaz v texte ďalej len „zákon č. 122/2013 Z. z.“;
- Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov odkaz v texte ďalej len „zákon č. 18/2018 Z. z.“;
- NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) odkaz v texte ďalej len „nariadenie“;
- Materiály pracovnej skupiny 29 (z anglického „Working Party 29“, tiež skratkou „WP29“) odkaz;
- Metodické usmernenia úradu podľa zákona č. 122/2013 Z. z. odkaz v texte ďalej „MU podľa 122/2013“;
- Metodické usmernenia úradu podľa nariadenia a zákona č. 18/2018 Z. z.odkaz v texte ďalej „MU podľa GDPR a 18/2018“.
Od akého termínu bude potrebné postupovať podľa novej legislatívy, teda podľa nariadenia a zákona č. 18/2018 Z. z.?
Nariadenie sa začne uplatňovať v praxi a zákon č. 18/2018 Z. z. nadobudne účinnosť dňa 25.5.2018, terajší zákon č. 122/2013 Z. z. a dve vyhlášky úradu (vyhláška č. 164/2013 Z. z. a vyhláška úradu č. 165/2013 Z. z.) stratia účinnosť dňa 24.5.2018., teda od 25.5.2018 je potrebné, aby všetci, ktorí spracúvajú osobné údaje fyzických osôb postupovali v zmysle nariadenia a zákona č. 18/2018 Z. z.
Popri sebe budú od 25.5.2018 účinné nariadenie a zákon č. 18/2018 Z. z. podľa čoho mám ako prevádzkovateľ, či sprostredkovateľ postupovať? Podľa oboch?
Nariadenie je priamo uplatniteľné v právnom poriadku Slovenskej republiky, teda sa stalo priamo súčasťou slovenského právneho poriadku a priamo ukladá subjektom práva a povinnosti, ktoré je potrebné, aby subjekty dodržiavali. Zákon č. 18/2018 Z. z. je výsledkom zosúladenia slovenskej národnej legislatívy s nariadením a tiež sa zákonom č. 18/2018 Z. z. upravujú niektoré oblasti, ktoré nariadenie priamo určilo, že je potrebné, aby si ich členské štáty upravili, alebo mali možnosť, aby si niektoré spracovateľské činnosti upravili s ohľadom na národnú legislatívu. Je teda potrebné postupovať podľa oboch predpisov. Iným dôvodom na prijatie zákona č. 18/2018 Z. z. v podobe v akej je zverejnený v Zbierke zákonov Slovenskej republiky je, že v čl. 2 ods. 2 písm. a) nariadenia sa uvádza, že „Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie“; čo znamená, že v rámci spracúvania sú isté spracovateľské činnosti, v rámci ktorých sa spracúvajú osobné údaje, no nie je možné postupovať pri tomto spracúvaní 3 podľa nariadenia, nakoľko tieto činnosti nie sú upravené právom Únie1 .
Práve aj pre tieto niektoré ojedinelé spracovateľské činnosti bol prijatý zákon v znení „takmer totožnom“ s nariadením, aby aj v prípade, ak spracúvanie nespadá pod právo Únie a kedy bude prevádzkovateľ postupovať podľa zákona č. 18/2018 Z. z. prevádzkovateľ nemusel postupovať inak, ako pri spracúvaní osobných údajov podľa nariadenia. Zákon č. 18/2018 Z. z. je tiež zákonom, do ktorého tretej časti bola transponovaná SMERNICA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia (ďalej len „smernica“) podľa ktorej, ak budú spracúvať osobné údaje príslušné orgány na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií tieto budú postupovať práve podľa tejto tretej časti zákona, ktorá sa iných ako príslušných orgánov2 v pozícii prevádzkovateľov netýka.
1 Napríklad spracúvanie osobných údajov na účely hospodárskej mobilizácie alebo spracúvanie osobných údajov fyzických osôb pri postupe vybavovania sťažností podľa zákona č. 9/2010 Z. z. o sťažnostiach.
2 Príslušnými orgánmi podľa § 3 ods. 3 zákona č. 18/2018 Z. z. sú Policajný zbor, Vojenská polícia, Zbor väzenskej a justičnej stráže, Finančná správa, prokuratúra a súdy SR.
Kedy teda bude potrebné postupovať iba podľa zákona a kedy aj podľa zákona a aj podľa nariadenia?
Ak pôjde o spracúvanie osobných údajov v rámci činnosti prevádzkovateľa, ktorá spadá pod právo Únie bude sa na prevádzkovateľa vzťahovať nariadenie, uplatňovať sa ale bude aj zákon č. 18/2018 Z. z., a to s výnimkou jeho 2. a 3. časti; teda zo zákona č. 18/2018 Z. z. bude pre prevádzkovateľa relevantná prvá časť okrem § 2 a § 5 a následne štvrtá až šiesta časť zákona č. 18/2018 Z. z.3
Ak pôjde o spracúvanie osobných údajov v rámci činnosti prevádzkovateľa, ktoré nespadá pod právo Únie a prevádzkovateľom nie je príslušný orgán uplatňovať sa bude zákon č. 18/2018 Z. z. okrem jeho tretej časti.4
V prípade spracúvania osobných údajov prevádzkovateľom v postavení príslušného orgánu tento bude postupovať pri spracúvaní osobných údajov fyzických osôb na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií podľa zákona č. 18/2018 Z. z. konkrétne jeho prvej časti a tretej až šiestej časti s ohľadom na niektoré ustanovenie z druhej časti.5
3 Ide napríklad o spracúvanie osobných údajov bankami, školami, zdravotníckymi zariadeniami, spracúvanie osobných údajov v eshopoch okrem spracúvania osobných údajov ak sa spracúvajú osobné údaje v súvislosti s riešením sťažností podľa zákona o sťažnostiach alebo ak sa spracúvajú osobné údaje fyzickej osoby na účely hospodárskej mobilizácie podľa osobitného zákona.
4 Ide napríklad o spracúvanie osobných údajov fyzických osôb na účely hospodárskej mobilizácie podľa osobitného zákon alebo na účely a v súvislosti s riešením sťažností podľa zákona o sťažnostiach.
5 Pôjde napríklad o spracúvanie osobných údajov obvineného z trestného činu, kedy jeho osobné údaje spracúva Prokuratúra a lebo súd.
Niektoré pojmy z terajšieho zákona č. 122/2013 Z. z. vypadli a v nariadení sa nenachádzajú alebo sa v texte tak nariadenia, ako aj zákona č. 18/2018 Z. z. len spomínajú, prečo?
Nariadenie, je to uvedené aj priamo v jeho celom názve, ruší smernicu 95/46/ES, ktorá je transponovaná práve do zákona č. 122/2013 Z. z. Smernica 95/46/ES je z roku 1995, kedy spracúvanie a ochrana osobných údajov bola na inej úrovni, a to tak s ohľadom na to akými prostriedkami sa osobné údaje spracúvali (vývoj aplikácii bol na začiatku, kamerové systémy boli menej kvalitné a mali menšie rozlíšenie, používanie mobilných telefónov bolo v začiatkoch) a v akom množstve sa spracúvali. Tiež proces globalizácie (používanie cloudových služieb) má na pridaní prípadne vypustení niektorých pojmov svoj podiel. Najmä s ohľadom na rozvoj technológií a spôsobov, ktorými je možné osobné údaje spracúvať boli do nariadenia pridané a v ňom zadefinované pojmy ako napríklad: profilovanie, pseudonymizácia, porušenie ochrany osobných údajov, skupina podnikov alebo služba informačnej spoločnosti.
V kontexte pojmov sa v zákone č. 18/2018 Z. z. spomína pojem log a v nariadení nie. Prečo?
Logovanie je záznam o činnosti používateľa v automatizovanom informačnom systéme, teda logovanie možno považovať za formu bezpečnostného opatrenia, na základe ktorého vie prevádzkovateľ alebo sprostredkovateľ zistiť, kto (napríklad z jeho zamestnancov) v systéme bol, čo v ňom s osobnými údajmi robil, kedy to robil. Pojem log sa do zákona č. 18/2018 Z. z. uviedol z dôvodu, že povinnosť logovať ukladá prevádzkovateľom, ktorými sú príslušné orgány smernica; teda bežní prevádzkovatelia logovanie zaviesť môžu, no nie je to pre nich povinnosť.6
6 K povinnosti zaviesť logovanie pozri bližšie § 110 ods. 10 zákona č. 18/2018 Z. z.
Zo základných pojmov vymedzených v nariadení a zákone č. 18/2018 Z. z. vypadol pojem oprávnená osoba a v tomto kontexte sa v texte nariadenia a zákona č. 18/2018 Z. z. nenachádza ani tzv. „poučenie oprávnenej osoby“; znamená to, že už prevádzkovateľ a sprostredkovateľ nemá alebo nemôže poúčať svojich zamestnancov alebo osoby, ktoré pre neho spracúvajú osobné údaje?
Je pravdou, že pojem oprávnená osoba a poučenie oprávnenej osoby z textu nariadenia a zákona č. 18/2018 Z. z. takmer vypadli, napriek tomu nariadenie a zákon č. 18/2018 Z. z. aj naďalej ukladajú prevádzkovateľovi a sprostredkovateľovi povinnosť poveriť a dávať pokyny osobám, ktoré pre nich spracúvajú osobné údaje. Radi by sme dali do pozornosti čl. 32 ods. 4 nariadenia na základe ktorého „Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.“.
Vyššie citované ustanovenie znamená, že prevádzkovateľ/sprostredkovateľ je povinný usmerniť fyzické osoby pre neho osobné údaje spracúvajúce. Domnievame sa, že teraz používané poučenie oprávnenej osoby možno používať aj naďalej, nakoľko jeho základným významom je poskytnúť danej poučenej osobe – napríklad zamestnancovi informácie, ako má s osobnými údajmi pracovať, aké spracovateľské operácie má a môže s osobnými údajmi vykonávať. Teraz zverejnené a používané poučenie podľa zákona č.122/2013 Z. z. je možné, no nie povinné, používať aj naďalej len je potrebné v texte poučenia vykonať niekoľko málo „kozmetických“ úprav: odstrániť odkaz na zákon č. 122/2013 Z. z. a zamerať poučenie na účel spracúvania osobných údajov a na spracovateľské činnosti, ktoré osoba v kontexte svojej pracovnej náplne s osobnými údajmi vykonáva, teda už poučenie nevzťahovať na stanovovanie oprávnení oprávnenej osoby s ohľadom na informačné systémy osobných údajov, ale na účely a spracovateľské činnosti, ktoré osoba – zamestnanec s osobnými údajmi v prostredí prevádzkovateľa alebo sprostredkovateľa vykonáva.
V rámci stanovenia „kategórií“ osobných údajov, ktoré patria do osobitnej kategórie osobných údajov, došlo k nejakým zmenám od 25. 5.2018?
Zákon č. 122/2013 Z. z. pozná osobitnú kategóriu osobných údajov, ktoré sú v zákone č. 122/2013 Z. z. priamo uvedené v § 13. Zmenou, ktorá sa začne uplatňovať od 25.5.2018 je, že z kategórie teraz uvedených osobitných kategórií osobných údajov vypadol z týchto citlivých osobných údajov údaj o členstve v politickej strane alebo hnutí a tiež rodné číslo, ktoré už od 25.5.2018 nebude osobitnou kategóriou osobného údaja. Slovenská republika prijala novú úpravu spracúvania rodného čísla, ako národného identifikátora a to v § 78 ods. 4 zákona č. 18/2018 Z. z., a to na základe splnomocňujúceho ustanovenia nariadenia v čl. 87. Stále platí, že rodné číslo je zakázané zverejňovať, právo zverejniť rodné číslo ma iba dotknutá osoby, ktorej sa týka. Z terajšieho zoznamu citlivých osobných údajov tiež vypadli osobné údaje týkajúce sa uznania viny za trestné činy a priestupky, ktoré sa stali samostatnou kategóriou osobných údajov a sú uvedené v čl. 10 nariadenia.
V zákone č. 122/2013 Z. z. je právny základ spracúvania osobných údajov vymedzený veľmi jasne, kde v nariadení je ustanovený právny základ spracúvania osobných údajov pre prevádzkovateľa?
Spracúvanie osobných údajov by malo byť v prvom rade zákonné, to znamená vykonávané v súlade so zákonom a dobrými mravmi a tiež by malo byť vykonávané na relevantnom právnom základe, ktorý je bližšie vysvetlený v čl. 6 nariadenia, ktoré je venované zákonnosti spracúvania, teda právnym základom, ktoré sú obsiahnuté práve v tomto ustanovení. Právne základy sú uvedené v čl. 6 ods. 1 písm. a) až f) nariadenia (prípadne v § 13 ods. 1 písm. a) až f) zákona č. 18/2018 Z. z). právne základy naopak nie sú uvedené v čl. 9 nariadenia, ktoré je ustanovením, ktoré je potrebné chápať, že sú v ňom uvedené výnimky zo zákazu spracúvania osobitnej kategórie osobných údajov; nakoľko podľa čl. 9 ods. 1 nariadenia je spracúvanie osobitných kategórií osobných údajov zakázané a práve v čl. 9 ods. 2 písm. a) až j) nariadenia sú výnimky, ktoré keď prevádzkovateľ splní, môže aj tieto údaje spracúvať no je potrebné, aby právny základ spracúvania osobitnej kategórie osobného údaja hľadal následne v čl. 6 ods. 1 nariadenia, nakoľko iba splnenie výnimky z čl. 9 ods. 2 ako právny základ pre spracúvanie postačujúce nie je. 6 Slovenská republika si mohla na základe splnomocňujúcich ustanovení nariadenia niektoré spracovateľské činnosti upraviť osobitne s ohľadom na slovenský právny poriadok, teda ustanovenia v štvrtej časti je potrebné chápať ako právny základ spracúvania pre niektoré osobitné situácie, uvedený priamo v zákone č. 18/2018 Z. z.
V terajšom zákone č. 122/2013 Z. z. sú priamo uvedené niektoré spracovateľské činnosti, napríklad monitorovanie priestoru prístupného verejnosti kamerami na základe § 15 ods. 7 zákona č. 122/2013 Z. z. alebo v § 15 ods. 6 zákona č. 122/2013 Z. z. druhá veta je priamo ustanovené, ktoré osobné údaje možno spracúvať na účely jednorazového vstupu, toto v nariadení upravené nie je, kde treba hľadať tieto „situácie“ v nariadení?
Spracúvanie osobných údajov prostredníctvom kamier už nie je výslovne v nariadení upravené, no neznamená to, že by takéto spracúvanie už nebolo možné. Monitorovanie priestorov, nakoľko nariadenie už nerozlišuje priestor prístupný verejnosti a iný, možné je, v prípade, že bude chcieť monitorovať priestor prevádzkovateľ na účely ochrany svojho majetku bude takéto monitorovanie môcť vykonávať na základe právneho základu podľa čl. 6 ods. 1 písm. f) oprávneného záujmu (prevádzkovateľ nie v postavení orgánu verejnej moci). V prípade, ak chce obec alebo mesto monitorovať časť územia obce na účely zaistenia verejného poriadku bude tak môcť konať podľa čl. 6 ods. 1 písm. d) teda na účely splnenia úlohy realizovanej vo verejnom záujme.
V prípade, ak bude chcieť zamestnávateľ, na ktorého sa vzťahuje Zákonník práce, monitorovať zamestnancov na účely ich kontroly a plnenia ich pracovných povinností právnym základom spracúvania bude tak ako doteraz § 13 ods. 4 Zákonníka práce, teda osobitné ustanovenie osobitného zákona, ktorým je v tomto prípade Zákonník práce. Tak ako doteraz platí, že ak monitoruje fyzická osoba priestory svojho obydlia a súkromného dvora na účely napríklad získania možného dôkazu o protiprávnom správaní iných, takéto spracúvanie, „kamerovanie“ vlastného majetku, nespadá pod zákon č. 122/2013 Z. z. a nebude spadať ani pod nariadenie a zákon č. 18/2018 Z. z.; uplatní sa výnimka z pôsobnosti nariadenia podľa čl. 2 ods. 2 písm. d) (§ 3 ods. 5 písm. a) zákona č. 18/2018 Z. z.). Pokiaľ ide o jednorazový vstup, prípadne tiež „knihu návštev“, ustanovenie o spracúvaní na takýto účel nariadenie neobsahuje, javí sa, že právnym základom spracúvania, nakoľko ide zároveň aj o bezpečnostné opatrenie prevádzkovateľa, bude čl. 6 ods. 1 písm. f) nariadenia, oprávnený záujem prevádzkovateľa.
V prípade, že máte právne základy popísané podľa zákona č. 122/2013 Z. z. v bezpečnostnej dokumentácii alebo projekte, je potrebné, aby ste si právne základy spracúvania osobných údajov „skontrolovali“ a uviedli, napríklad formou dodatkovania tejto dokumentácie už nové právne základy, ktoré sa na spracúvanie budú uplatňovať od 25.5.2018.
Som prevádzkovateľom, ktorý spracúva osobné údaje klientov na základe súhlasu, musím na základe nástupu novej legislatívy získavať nový súhlas od klientov, keď sa mi v rámci spracúvania voči nim nič nezmenilo?
Dávame Vám do pozornosti § 110 ods. 11 zákona č. 18/2018 Z. z. „Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je v súlade s týmto zákonom alebo osobitným predpisom (nariadením) sa považuje za súhlas so spracúvaním osobných údajov 7 podľa predpisov účinných od 25. mája 2018.“; ak Váš terajší súhlas získaný od klienta je súhlasom so všetkými náležitosťami podľa nariadenia a zákona č. 18/2018 Z. z. (teda dotknutá osoba vyjadrila súhlas konkrétnemu prevádzkovateľovi so spracúvaním konkrétnych osobných údajov na vymedzený účel alebo účely; čl. 7 ods. 1 nariadenia) javí sa, že by ste na tomto právnom základe súhlasu získaného podľa terajšieho zákona mohli osobné údaje klienta spracúvať aj naďalej za podmienky, že mu doplníte informačnú povinnosť, teda informácie podľa čl. 13 nariadenia (terajší § 15 ods. 1 zákona č. 122/2013 Z. z. ). Súladnosť súhlasu získaného do 24.5.2018 vrátane posúdenia možnosti pokračovania spracúvania na danom súhlase je na zodpovednosti každého prevádzkovateľa. V prípade, že posúdenie dopadne v prospech skôr získaného súhlasu a prevádzkovateľ doplní dotknutej osobe informačnú povinnosť podľa čl. 13 nariadenia, nie je potrebný nový súhlas získavať iba preto, že v starom je odkaz na zákon č. 122/2013 Z. z.
Sú nejaké iné „novinky“, ktoré sa dotknú súhlasu od 25.5.2018?
Je potrebné dbať pri súhlase hlavne na zásadu transparentnosti, to znamená, že ak sa súhlas vyskytuje v rámci iného dokumentu, je potrebné, aby bol od iných častí a obsahu dokumentu odlíšený, napríklad výrazným písmom, alebo písmom inej farby, aby dotknutá osoba jasne a zreteľne tento súhlas vnímala a „neprešla ho v rámci čítania“ bez povšimnutia. Tiež je potrebné, aby dotknutá osoba mohla svoj súhlas odvolať a bola o tomto práve jasne a zreteľne informovaná a tiež, aby súhlas mohla odvolať tak jednoducho, ako ho poskytla (napríklad, ak súhlas poskytla zakliknutím „checkboxu“, tak odvolať by ho mala mať možnosť tiež elektronicky, napríklad zaslaním žiadosti na prevádzkovateľom ustanovený e-mail; prevádzkovateľ by mal zabezpečiť, že ak súhlas dotknutá osoba poskytne elektronicky, tak ho aj elektronicky, prípadne aj inak ako elektronicky môže odvolať). Samozrejme platí, tak ako aj doteraz, že získavanie súhlasu nesmie prevádzkovateľ podmieňovať, to znamená, že poskytnutie súhlasu nesmie byť podmienené napríklad poskytnutím služby a formulované tak, „že ak dotknutá osoba nebude súhlasiť s marketingom“, tak si z e-shopu nemôže objednať tovar v zľave a pod.
Čo znamená súhlas dieťaťa so službami informačnej spoločnosti?
Súhlas osoby mladšej ako 16 rokov so službami informačnej spoločnosti7 znamená, že ak chce osoba mladšia ako 16 rokov využiť služby informačnej spoločnosti, tak v prípade, ak je potrebné na tento účel poskytnúť súhlas so spracúvaním osobných údajov, tento súhlas buď poskytne osoba mladšia ako 16 rokov a jej rodič/zákonný zástupca/súdom určený opatrovník ho schváli, potvrdí prevádzkovateľovi, alebo súhlas priamo za menej ako 16 ročného poskytne jeho rodič/zákonný zástupca/súdom určený opatrovník; iba v takom prípade bude prevádzkovateľ tieto osobné údaje osoby mladšej ako 16 rokov spracúvať prevádzkovateľ zákonne.
Chceli by sme zdôrazniť, že súhlas sa týka iba využitia služieb informačnej spoločnosti, a nijak neobmedzuje osoby mladšie ako 16 rokov, aby napríklad uzavreli dohodu o brigádnickej práci, kedy právnym základom spracúvania ich osobných údajov v nej bude samotná dohoda, teda čl. 6 ods. 1 písm. b) nariadenia.
7 Služby informačnej spoločnosti sú definované v smernici 2015/1535/ES a v podmienkach Slovenskej republiky je táto transponovaná do zákona č. 22/2004 Z. z. o elektronickom obchode, kde sú služby informačnej spoločnosti ako pojem vysvetlené a tiež sú uvedené príklady, čo sa za službu informačnej spoločnosti nepovažuje.
Je možné súhlas získať aj inak ako písomne, alebo elektronicky?
Podľa čl. 4 ods. 11 nariadenia je súhlas dotknutej osoby „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka“; zo samotnej definície súhlasu vyplýva, že súhlasom je akýkoľvek prejav vôle dotknutej osoby, ak spĺňa v definícii uvedené náležitosti, teda súhlas je možné získať aj napríklad nahraním cez telefón, alebo nahraním na kameru, za splnenia poskytnutia informácií podľa čl. 13 nariadenia najneskôr v čase získania súhlasu. Prevádzkovateľ nesmie zabúdať na zásadu, že je povinný získanie súhlasu preukázať, teda napríklad uchovávať si papierové súhlasy, alebo uchovávať si nahrávky súhlasov, alebo elektronicky poskytnuté súhlasy mať uložené napríklad v optickom archíve.
Je možné, aby prevádzkovateľ naformuloval súhlas tak, že v jednom súhlase uvedie niekoľko účelov spracúvania?
Formulácia súhlasov je na prevádzkovateľovi. Je potrebné, aby, ak je účelov spracúvania uvedených v jednom súhlase viac, aby si dotknutá osoba mohla vybrať, a to napríklad tak, že zaškrtne len kolónky (checkboxy) tých účelov, s ktorými súhlasí; nie je možné a nie je správny taký postup prevádzkovateľa, kedy tento vopred zaškrtne všetky účely a dotknutá osoba si má „odškrtnúť“ tie, ktoré sa jej „nepáčia“; metóda OPT OUT nie je pri súhlase so spracúvaním osobných údajov dovolená, vždy by mala dotknutá osoba voliť a vyberať účely aktívne, teda prevádzkovatelia majú využívať iba metódu OPT IN.
Nastala nejaká zmena v právach dotknutej osoby? V tom, ako tieto práva vybavovať a dotknuté osoby informovať?
Práva dotknutej osoby boli značné spresnené, každé jedno je oproti úprave v terajšom zákone č. 122/2013 Z. z. podrobnejšie rozpracované. Pribudli aj nové práva, napríklad právo na prenosnosť osobných údajov. Pokiaľ ide o postupy a lehoty na vybavovanie práv dotknutej osoby nastali tiež zmeny. Prevádzkovateľ je povinný vybaviť a odpovedať na uplatnené právo dotknutej osoby bez zbytočného odkladu, najneskôr však do jedného mesiaca, odkedy si dotknutá osoby právo uplatnila. V prípade, že prevádzkovateľ nevie z objektívnych príčin právo dotknutej osoby vybaviť do jedného mesiaca, lehotu na vybavenie môže predĺžiť o najviac dva ďalšie mesiace pričom je povinnosť o takomto predĺžení dotknutú osobu informovať. Takými prostriedkami akými si dotknutá osoba právo dotknutej osoby uplatnila, je prevádzkovateľ jej povinný poskytnúť odpoveď, pokiaľ sama dotknutá osoba nenavrhla, že bude odpoveď preferovať iným spôsobom, ako si uplatnila právo dotknutej osoby. V prípade, ak prevádzkovateľ nevie právu dotknutej osoby vyhovieť má lehotu maximálne jeden mesiac, do ktorej musí dotknutej osobe odpovedať, že jej právu nevyhovie a uviesť 9 dôvody prečo a tiež jej poskytnúť informáciu, že môže v tomto prípade podať návrh na začatie konania o ochrane osobných údajov na úrad. Je veľmi správne, aby prevádzkovateľ mal interne nastavený proces, ako a kto bude žiadosti dotknutých osôb v rámci prevádzkovateľa/sprostredkovateľa vybavovať, teda určené osoby, postupy prípadne aj internú metodiku.
Zmenilo sa niečo v povinnosti prevádzkovateľa dotknutú osobu informovať o tom, aké má práva, teda terajší § 15 ods. 1 až § 15 ods. 3 zákona č. 122/2013 Z. z.?
Právo na poskytnutie informácií o spracúvaní osobných údajov je aj naďalej povinnosťou prevádzkovateľa, ale nastali zmeny; terajšia úprava pozná výnimku, kedy v prípade, ak je právnym základom spracúvania osobitný zákon, napríklad školský zákon v prostredí škôl vo vzťahu k spracúvaniu osobných údajov detí/žiakov a ich zákonných zástupcov, prevádzkovateľ informácie podľa § 15 ods. 1 nie je povinný dotknutej osobe (žiakovi, zákonným zástupcom) poskytnúť. Teda sa uplatňuje výnimka z informačnej povinnosti podľa § 15 ods. 3 zákona č. 122/2013 Z. z. Táto výnimka z nástupom nariadenia a zákona č. 18/2018 Z. z. „padá“, teda prevádzkovateľ bude povinný informovať všetky dotknuté osoby bez ohľadu, čo je právnym základom spracúvania ich osobných údajov. Tiež sa zmenil rozsah informácií, ktoré v rámci informačnej povinnosti je prevádzkovateľ povinný poskytnúť najneskôr v čase získania osobných údajov dotknutej osobe podľa čl. 13 a tiež sa zmenil rozsah údajov, ktoré je prevádzkovateľ povinný poskytnúť dotknutej osobe, ak jej osobné údaje získal od inej osoby, podľa čl. 14 nariadenia.
Platí teda, že v prípade, ak ste doteraz neinformovali zamestnancov, aké ich osobné údaje spracúvate v pozícii zamestnávateľa – prevádzkovateľa, od 25.5.2018 túto povinnosť máte; nariadenie neuvádza, ako si je túto povinnosť prevádzkovateľ povinný plniť, je teda možné sa s ňou vysporiadať na základe podmienok a možností konkrétneho prevádzkovateľa a napríklad zamestnancom potrebné informácie podľa čl. 13 poskytnúť v čase nástupu do práce, keď od neho osobné údaje získavate, tiež je vhodné, ak dané informácie budú „zavesené“ napríklad na intranete, internete firmy, môžu byť pripravené aj v papierovej podobe na personálnom oddelení, nakoľko nie každá dotknutá osoby má doma, alebo aj v práci prístup na intranet alebo internet. Je možné tieto informácie podľa čl. 13 napríklad uviesť na druhej strane pracovnej zmluvy; je na každom prevádzkovateľovi, aby si sám navrhol aj niekoľko spôsobov, ale minimálne jeden, ktorým si danú povinnosť splní.
Účelom informovania je poskytnúť dotknutej osobe, teda napríklad zamestnancovi prevádzkovateľa, klientovi banky, rodičovi žiaka v škole, klientovi e-shopu, hercovi v divadle, pacientovi lekára informácie o tom, aké jeho osobné údaje títo všetci v pozícii prevádzkovateľa o danej dotknutej osobe spracúvajú. Informačná povinnosť sa týka aj situácie, keď prevádzkovateľ monitoruje priestory kamerami. Je potrebné, aby doteraz informáciu poväčšine vo forme nálepky pri kamere obsahujúcu iba piktogram kamery nahradila „nálepka“ ktorá bude poskytovať informácie v zmysle čl. 13, alebo minimálne základné údaje o prevádzkovateľovi a účele s tým, že na nálepke bude uvedené, kde sa dotknutá osoba o prevádzkovateľovi kamerového systému a spracúvaní osobných údajov prostredníctvom kamier dozvie viac, napríklad na webe prevádzkovateľa, na recepcii, kde budú pre dotknutú osobu nachystané informácie podľa čl. 13 nariadenia napríklad v papierovej forme.
Plnenie informačnej povinnosti z praxe úradu spôsobuje problémy prevádzkovateľom najmä v tom, že nevedia, ako a kde si túto povinnosť majú plniť, nakoľko nariadenie spôsob nestanovuje, preto je na „fantázii“ prevádzkovateľa, ako si čl. 13 splní v praxi; napríklad reštaurácia môže informačnú povinnosť uviesť na prvej strane jedálneho lístka (napríklad ku kamerovým systémom, ktoré má vo vnútri podniku a k tomu, aké osobné údaje spracúva, ak si niekto chce objednať podnik napríklad na súkromnú akciu), kamenná predajňa na liste pri pokladni alebo pri vstupe do obchodu, alebo na zadnej strane pokladničného bloku, alebo na marketingovom letáku v predajni. Ideálne je na splnenie informačnej povinnosti využiť tiež webové sídlo prevádzkovateľa.
Ako môžem, ako prevádzkovateľ splniť zásadu a podmienku, že spracúvanie osobných údajov, ktoré vykonávam je súladné so zákonom č. 18/2018 Z. z. a nariadením? Akými dokumentami, akými opatreniami to budem preukazovať?
Prevádzkovateľ má povinnosť osobné údaje chrániť a na ten účel prijať všetky pre neho uskutočniteľné opatrenia, tak technickej, ako aj personálnej povahy. Preukázanie splnenia a zavedenia ním ustanovených bezpečnostných opatrení prevádzkovateľ môže preukázať napríklad tak, že má prijaté a zdokumentované bezpečnostné opatrenia, že má pokyny, alebo poučenia, ktorými poučil a informoval zamestnancov, ako majú osobné údaje spracúvať a čo s nimi majú robiť. Inou formou preukázania súladnosti je vedenie záznamov o spracovateľských činnostiach, ďalšou formou je, že ak prevádzkovateľ alebo sprostredkovateľ pristúpi ku kódexu správania schváleného úradom, musí po celú dobu „pristúpenia“ dodržiavať podmienky, ku ktorým sa pristúpením k nemu zaviazal. Obdobne, ak prevádzkovateľ alebo sprostredkovateľ má udelený certifikát musí jeho podmienky dodržiavať. Formou preukázania súladu je tiež, že prevádzkovateľ bude vedieť deklarovať na základe akých analýz rizík prijal bezpečnostné opatrenia a bude vedieť tieto analýzy predložiť. Taktiež v prípade, ak sa u prevádzkovateľa alebo sprostredkovateľa stane bezpečnostný incident – porušenie ochrany osobných údajov, je povinný ho zdokumentovať a prijať opatrenia, aby sa neopakoval. Taktiež, ak má prevádzkovateľ sprostredkovateľa, je povinný mať s ním uzatvorenú zmluvu v súlade s čl. 28 nariadenia alebo v prípade, ak pôjde o spoločného prevádzkovateľa je potrebné, aby mali spoloční prevádzkovatelia na základe čl. 26 nariadenia uzatvorenú zmluvu, ktorej vybrané časti sú povinní poskytnúť dotknutým osobám. Teda „dokumentácie“ napriek tomu, že nie všetka je výslovné spomenutá v texte nariadenia a zákona č. 18/2018 Z. z. ktorou môže prevádzkovateľ preukázať súladnosť spracúvania a niekedy je povinný ju viesť je pomerne dosť, no nariadenie na rozdiel od zákona č. 122/2013 Z. z. už striktne nestanovuje jej formu a niekedy postačuje iba preukázanie prijatých opatrení v praxi. Formou preukázania súladu je tiež plnenie si informačnej povinnosti, alebo dôkazy o poskytnutých súhlasoch od dotknutých osôb a ich žiadosti a prevádzkovateľove odpovede týmto dotknutým osobám.
Čo ak podnikám spoločne s inou firmou a spoločne sme sa rozhodli napríklad zorganizovať súťaž, teda dvaja sme určili účel a prostriedky spracúvania a dvaja sa podieľame na jednom účele spracúvania voči súťažiacim? Aký je vzájomný vzťah medzi nami?
V takomto prípade ide o spoločného prevádzkovateľa podľa čl. 26 nariadenia. Je potrebné, aby medzi takýmito prevádzkovateľmi bola uzatvorená dohoda podľa čl. 26 nariadenia, ktorej základné časti sú povinní títo poskytnúť dotknutým osobám, aby vedeli, že v tomto konkrétnom prípade spracúvania sa jedná o spoločného prevádzkovateľa.
Zmenilo sa nejak postavenie a definovanie sprostredkovateľa?
Nie, sprostredkovateľ je každý, kto spracúva v mene prevádzkovateľa osobné údaje fyzických osôb na základe zmluvy s ním uzatvorenej podľa čl. 28 ods. 3 nariadenia. Základným článkom reťazca spracúvania je prevádzkovateľ; sprostredkovateľ spracúva osobné údaje v jeho mene, na tom právnom základe ktorý určil/ustanovil prevádzkovateľ, teda na spracúvanie osobných údajov sprostredkovateľom tento nezískava nový právny základ, nakoľko osobné údaje spracúva na právnom základe prevádzkovateľa. Je časté, že do vzťahu prevádzkovateľ – sprostredkovateľ môže vstúpiť ešte aj následne subdodávateľ (od 25.5.2018 sa bude subdodávateľ nazývať sprostredkovateľ sprostredkovateľa). Prevádzkovateľ môže zmluvu so sprostredkovateľom nastaviť tak, že mu konkrétne v nej dovolí, aby do procesu zapojil subdodávateľa, no ustanoví konkrétne podmienky, ktoré musí subdodávateľ splniť, aby mohol byť do spracúvania zapojený. Prevádzkovateľ tiež môže v „sprostredkovateľskej“ zmluve podľa čl. 28 ods. 3 nariadenia určiť, iba vo všeobecnosti, že do procesu môže sprostredkovateľ zapojiť aj ďalšieho subdodávateľa, ktorého charakteristiku si bližšie nevymedzí; v tomto prípade sprostredkovateľ je povinný informovať o zapojení subdodávateľa prevádzkovateľa, aby potenciálneho subdodávateľa schválil, alebo zamietol jeho zapojenie. V zmluve medzi prevádzkovateľom a sprostredkovateľom môže prevádzkovateľ tiež stanoviť, že zapojenie subdodávateľa nie je možné a zakazuje ho.
Je potrebné „sprostredkovateľské“ zmluvy podpísané za účinnosti zákona č. 122/2013 Z. z. pripraviť s ohľadom na zmeny náležitostí tejto zmluvy podľa čl. 28 ods. 3 nariadenia nanovo? Sú terajšie zlé?
Prevádzkovateľ má povinnosť osobné údaje spracúvať v súlade s nariadením a zákonom č. 18/2018 Z. z. Ak má prevádzkovateľ podpísané „sprostredkovateľské“ zmluvy podľa ustanovení zákona č. 122/2013 Z. z. je potrebné ich obsah pozrieť a zhodnotiť ich relevantnosť s ohľadom na náležitosti vyžadované od 25.5.2018 nariadením; sprostredkovateľ a prevádzkovateľ, ak je to postačujúce môžu zmluvu dodatkovať, alebo ju uzavrú nanovo.
Doteraz bolo potrebné, aby si prevádzkovateľ o informačných systémoch, v ktorých spracúva osobné údaje viedol evidenciu, alebo zasielal oznámenie na úrad, prípadne bolo potrebné, aby úrad rozhodnutím rozhodol a informačný systém osobných údajov získal takzvanú osobitnú registráciu, bude takéto delenie informačných systémov a notifikačné povinnosti s nim spojené aj naďalej povinné?
V prípade notifikácie prevádzkovateľa o každom informačnom systéme nastanú zmeny. Je potrebné si pozrieť čl. 30 nariadenia, z ktorého vyplýva, že prevádzkovateľ a sprostredkovateľ už pri spracúvaní nemá „brať primárne ohľad“ na informačný systém osobných údajov, ale na účel spracúvania konkrétnych osobných údajov. Je potrebné, aby sa prevádzkovateľ a už aj SPROSTREDKOVATEĽ zamerali na účely spracúvania nakoľko povinnosť viesť záznamy o spracovateľských činnostiach sa bude od 25.5.2018 vzťahovať nielen na prevádzkovateľa, ale aj na sprostredkovateľa. Záznamy sa už nebudú zasielať úradu, prevádzkovateľ/sprostredkovateľ si ich bude viesť u seba; iba ak ho úrad požiada, tak im ich zašle, nie iniciatívne. Záznamy nahradia po formálnej stránke všetky tri vyššie uvedené listiny, teda evidenčné listy, oznámenia aj osobitné registrácie. V čl. 30 ods. 5 nariadenia je ustanovená výnimka z povinnosti viesť záznamy. Úrad zverejnil vzor záznamov o spracovateľských činnostiach na svojom webovom sídle: https://dataprotection.gov.sk/uoou/node/484 .
V rámci čl. 32 ods. 1 nariadenia sa spomínajú bezpečnostné opatrenia a medzi inými aj šifrovanie alebo pseudonymizácia, sú povinné? Musí odteraz šifrovať pri spracúvaní osobných údajov každý prevádzkovateľ/sprostredkovateľ?
Nie, uvedenie možnosti šifrovania, alebo pseudonymizácie v čl. 32 ods. 1 pís. a) nariadenia je len príkladom možných bezpečnostných opatrení, ktoré môže prevádzkovateľ zaviesť.
Aké sú príklady technických bezpečnostných opatrení, ktoré sa v kontexte spracúvania osobných údajov môžu uplatniť na základe konkrétnych podmienok prevádzkovateľa alebo sprostredkovateľa jeho prostredí?
Napríklad: Zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia). Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovacích jednotiek). Šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových sietí. Identifikácia, autentizácia a autorizácia osôb v informačnom systéme. Vytváranie záloh s vopred zvolenou periodicitou. Bezpečné vymazanie osobných údajov z dátových nosičov. Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete alebo z dátových nosičov. 13 Pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam).
Aké sú príklady organizačných bezpečnostných opatrení, ktoré sa v kontexte spracúvania osobných údajov môžu uplatniť na základe konkrétnych podmienok prevádzkovateľa alebo sprostredkovateľa v jeho prostredí?
Napríklad: Vymedzenie osobných údajov, ku ktorým má mať konkrétna osoba prístup na účel plnenia jej povinností alebo úloh. Poučenie osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov). Správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov). Vzájomné zastupovanie osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia pracovného alebo obdobného pomeru). Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov).
Je od 25.5.2018 povinné poverenie zodpovednej osoby?
Určenie, alebo poverenie zodpovednej osoby nie je povinné pre všetkých prevádzkovateľov, alebo sprostredkovateľov, povinne si zodpovednú osobu musí poveriť iba ten prevádzkovateľ, alebo sprostredkovateľ, ak spracúvanie osobných údajov vykonáva ako orgán verejnej moci8 (s výnimkou súdov pri výkone ich súdnej právomoci), alebo v prípade, ak sú hlavnými činnosťami daného prevádzkovateľa alebo sprostredkovateľa spracovateľské operácie podľa čl. 37 ods. 1 písm. b) alebo c) nariadenia.
8 Definíciu orgánu verejnej moci pozri v § 2 ods. 1 písm. f) zákona č. 307/2014 Z. z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti a o zmene a doplnení niektorých zákonov.
Zodpovednú osobu máme poverenú aj teraz a radi by sme „s ňou pokračovali“ aj po 25.5.2018, čo je potrebné vykonať?
Radi by sme Vám dali do pozornosti § 110 ods. 12 zákona č. 18/2018 Z. z. Podľa tohto ustanovenia, ak teraz poverená zodpovedná osoba spĺňa podmienky a bude vyhovujúca najmä po odbornej stránke pre prevádzkovateľa alebo sprostredkovateľa aj po 25.5.2018, môže ju ponechať poverenú v tejto pozícii aj naďalej. Pokiaľ ide o nahlasovanie tejto zodpovednej osoby úradu, podľa zákona č. 122/2013 Z. z. sa úradu nahlasovali zákonom č. 122/2013 Z. z. požadované údaje, okrem kontaktu na zodpovednú osobu. Úrad momentálne vytvára tlačivo, ktorým chce upraviť povinnosť nahlásiť kontaktné údaje zodpovednej osoby, je potrebné sledovať webové sídlo úradu.
Som prevádzkovateľom alebo sprostredkovateľom, ktorý má mať povinne poverenú zodpovednú osobu, kto ňou môže byť?
Zodpovednou osobou má byť fyzická osoba, ktoré bude plniť povinnosti, ktoré jej ako zodpovednej osobe vyplývajú z nariadenia. Môže ňou byť zamestnanec prevádzkovateľa alebo sprostredkovateľa, môže ňou byť externá fyzická osoba, alebo je možné uzavrieť zmluvu aj s právnickou osobou, pričom v zmluve sa konkrétne určí, kto konkrétne za danú firmu poskytujúcu tieto služby bude post zodpovednej osoby vo vzťahu ku konkrétnemu prevádzkovateľovi/sprostredkovateľovi zastávať.
Som prevádzkovateľom/sprostredkovateľom, ktorý musí mať určenú zodpovednú osobu, ale je to pre mňa finančne aj personálne náročné? Čo mám robiť?
Nariadenie umožňuje podľa čl. 37 ods. 2 a 3 , aby prevádzkovateľ alebo sprostredkovateľ, ak je to možné a umožňuje to ich organizačná štruktúra si poverili spoločne jednu zodpovednú osobu. Je teda možné, aby napríklad niekoľko škôl v zriaďovateľskej pôsobnosti kraja malo poverenú jednu spoločnú zodpovednú osobu. Pokiaľ ide o poverenie zodpovednej osoby v prostredí obcí a miest úrad zverejnil metodické usmernenie k tejto otázke: odkaz
Čo znamená, že som povinný zverejniť kontaktné údaje zodpovednej osoby a oznámiť ich úradu? Ktoré to sú?
Kontaktným údajom zodpovednej osoby sú údaje prostredníctvom ktorých vie prevádzkovateľ/sprostredkovateľ a ktokoľvek zvonka, najmä však dotknuté osoby, komunikovať so zodpovednou osobou. Je to zvyčajne, e-mailová adresa, telefónny kontakt, prípadne konkrétna adresa, ak je na nej zodpovedná osoba zastihnuteľná. Nie je potrebné, aby boli kontaktné údaje osobné, teda sa v nich uvádzalo priamo meno a priezvisko zodpovednej osoby; napríklad by kontaktné údaje zodpovednej osoby mohli vyzerať takto: zodpovednaosoba@nazovfirmy.sk/prípadne anglický variant DPO9@názovfirmy.sk, kontakt na mobil alebo pevnú linku a prípadný kontakt na prevádzkovateľa napríklad s uvedením čísla dverí, kde zodpovednú osobu u konkrétneho prevádzkovateľa nájdeme.
9 Z anglického Data Protection Officer, DPO.
Aké má mať zodpovedná osoba v rámci prevádzkovateľa/sprostredkovateľa postavenie?
Zodpovedná osoby je poradným orgánom, ktorý prevádzkovateľovi/sprostredkovateľovi radí, pomáha napríklad aj pri uzatváraní sprostredkovateľských zmlúv, poskytuje mu podporu a informácie pri nastavovaní spracúvania osobných údajov. Jej postavenie by malo byť nezávislé a prevádzkovateľ by sa mal jej odporúčaniami riadiť, v prípade, že sa s nimi nestotožňuje, mal by iné vykonané riešenie zdôvodniť. Zodpovedná osoba, najmä ak ideo interného zamestnanca nesmie byť v konflikte záujmov (v tomto postavení je to najpravdepodobnejšie), znamená to, že zodpovednou osobou by nemal byť zamestnanec, ktorý sa podieľa alebo priamo nastavuje účely spracúvania a zodpovedá za ne. Zodpovedná osoba povedané jednoducho, by mala mať nezávislé postavenie a byť ako „audítor“ pokiaľ ide o spracúvanie osobných údajov a dohľad nad ním.
Stále platí, že zodpovedná osoby by mala mať vykonanú skúšku na úrade?
Nie, skúška na úrade, jej úspešné absolvovanie, od 25.5.2018 nebude podmienkou poverenia zodpovednej osoby.
Čo možno považovať za dostatočné preukázanie odborných kvalít osoby, ktorá sa u mňa uchádza o post zodpovednej osoby?
Posúdenie kvalít a ich vyhodnotenie je na zodpovednosti prevádzkovateľa/sprostredkovateľa; za formu preukázania dostatočnej odbornosti zodpovednej osoby možno považovať doklady o vzdelaní (ak je toto vzdelanie relevantné vo vzťahu k výkonu tejto pozície), doklady o absolvovaní vzdelávacích kurzov, pôsobenie na poste zodpovednej osoby už aj v súčasnosti; nariadenie nedefinuje čo konkrétne by mal prevádzkovateľ/sprostredkovateľ od budúcej zodpovednej osoby požadovať, teda ak sa prevádzkovateľ/sprostredkovateľ rozhodne, môže si napríklad potenciálnu zodpovednú osobu aj otestovať.
Môže mať prevádzkovateľ/sprostredkovateľ poverených aj viacero zodpovedných osôb?
Nariadenie priamo nezakazuje, aby prevádzkovateľ/sprostredkovateľ mal poverených aj niekoľko zodpovedných osôb, ak ich však bude viac, je potrebné, aby každá z nich vedela zastrešiť všetky svoje povinnosti a všetky zodpovedné osoby, ich kontaktné údaje, aby prevádzkovateľ/sprostredkovateľ nahlásil úradu.
V nariadení sú aj nové spoplatnené inštitúty, ako kódexy správania, certifikáty, sú tieto povinné pre každého?
Nie, tak pristúpenie ku kódexu správania, alebo získanie certifikátu je dobrovoľné.
Nastanú v procese kontroly, ktorú vykonáva úrad nejaké zásadné zmeny?
V rámci procesu kontroly nastali drobné zmeny. Tak ako doteraz, aj od 25.5.2018 môže byť kontrola riadna a mimoriadna; v rámci riadnej kontroly je úrad – kontrolný orgán, povinný oznámiť minimálne 10 dní vopred pred vykonaním kontroly, že sa u konkrétneho prevádzkovateľa/sprostredkovateľa (kontrolovanej osoby) kontrola bude konať, ak by informovaním vopred hrozilo zmarenie účelu kontroly, oznámenie o kontrole sa nezašle a toto kontrolný orgán vykoná až bezprostredne pred výkonom kontroly, na mieste. Pred začatím kontroly je kontrolný orgán povinný sa preukázať poverením na vykonanie kontroly a členovia sú povinní sa preukázať služobným preukazom. Tak oprávnenia a povinnosti kontrolného orgánu ako aj kontrolovanej osoby sú obsiahnuté v zákone č. 18/2018 Z. z., kde sa s nimi môžete podrobne oboznámiť. Doteraz mohla kontrolovaná osoba namietať v protokole kontrolné zistenia v lehote siedmych dní odo dňa doručenia protokolu, od 25.5.2018 na to bude mať 21 dní odo dňa doručenia protokolu.
Nastanú v procese konania o ochrane osobných údajov, ktoré vykonáva úrad, nejaké zásadné zmeny?
Doteraz bolo vedené samostatne konanie o ochrane osobných údajov, v rámci ktorého úrad ukladal opatrenia a samostatným konaním je konanie o pokute. Odo dňa 25.5.2018 bude úrad viesť len jedno konanie o ochrane osobných údajov, v rámci ktorého rozhodne tak o opatreniach, ako aj o pokute naraz. Dôjde tiež k predĺženiu lehôt v rámci ktorých úrad v konaní bude povinný vydať rozhodnutie; úrad rozhodne v konaní do 90 dní odo dňa začatia konania, v odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o 180 dní. O predĺžení lehoty úrad písomne informuje účastníkov konania. Stále platí, že ak v rámci konania bude potrebné vykonať kontrolu, tak počas výkonu kontroly, lehoty v konaní spočívajú/neplynú. Nastala novinka aj v rámci podávania rozkladu, teda odvolaniu sa účastníkov konania proti rozhodnutiu úradu v 1 stupni, kedy podávateľ rozkladu môže rozšíriť alebo doplniť podaný rozklad o ďalší návrh alebo o ďalšie body, ale len v lehote určenej na jeho rozkladu.
Ako firma si vedieme databázu uchádzačov, do ktorej zaraďujeme po skončení konkrétneho výberového konania aj neúspešných uchádzačov, pokiaľ nás zaujali svojimi schopnosťami a tiež do tejto databázy dávame životopisy, ktoré sú našej firme zaslané bez vyzvania, ak nás daná osoba na základe zaslaného životopisu zaujme; na akom právnom základe si takúto databázu môžeme robiť, čo bude právnym základom spracúvania osobných údajov v nej? Aké máme v súvislosti s ňou povinnosti voči dotknutým osobám - uchádzačom?
Databáza uchádzačov je iniciatívou danej firmy, teda firma (prevádzkovateľ) si stanovila účel a prostriedky spracúvania životopisov/prípadne osobných údajov z nich v danej evidencii, a teda firma je tiež povinná stanoviť si ako dlho bude dané údaje v danej evidencii uchovávať. Nakoľko ide o iniciatívnu databázu/evidenciu, je spracúvanie životopisov v nej založené na súhlase daných osôb, ktorí prácu hľadajú (dotknuté osoby). V prípade, ak do tejto databázy firma zaraďuje aj neúspešných uchádzačov z riadne vyhlásených výberových konaní na konkrétne pozície, je potrebné, aby aj od nich pýtala na zaradenie do databázy súhlas (čl. 6 ods. 1 písm. a) nariadenia), nakoľko nie je možné postupovať tak, že by zaradenie do databázy uchádzačov bolo pokračovaním predzmluvných vzťahov z nejakého konkrétneho výberového konania, na ktorom sa daná osoba vo firme zúčastnila a v ktorom neuspela. V kontexte súhlasu je potrebné, aby firma postupovala pri kreovaní súhlasu v súlade s čl. 7 nariadenia. Je tiež potrebné, aby si prevádzkovateľ voči osobám splnil informačnú povinnosť v súlade s čl. 13 nariadenia, a to napríklad formou jej zverejnenia na svojom webovom sídle, alebo formou jej zverejnenia/ uvedenia/ objavenia sa v ponuke, ak je možné do databázy poskytnúť údaje napríklad formou mobilnej aplikácie danej spoločnosti.
Pri objednávke k masérovi či, kaderníkovi je potrebné poskytnúť súhlas tomuto živnostníkovi/ firme poskytujúcej tieto a obdobné služby? Aký je právny základ spracúvania prípadných osobných údajov týmito prevádzkovateľmi?
Vykonanie manikúry, pedikúry, ostrihanie, či obdobné je poskytnutím služby, teda medzi zákazníkom a medzi poskytovateľom služby (manikérkou, kaderníčkou a pod.) vzniká zmluvný vzťah, a to aj v prípade ak sa zmluva nespíše, pôjde o tzv. nepísanú zmluvu, do ktorej možno zaradiť aj spracúvanie osobných údajov pri objednaní sa na takúto službu. V prípade, ak napríklad kadernícky salón/kaderníčka živnostníčka eviduje objednávky na meno, priezvisko a telefón zákazníka, spracúva osobné údaje zákazníka (fyzickej osoby) v pozícii prevádzkovateľa. Nakoľko ide o objednanie na určitú službu, ktorá má byť vykonaná v prospech zákazníka spravidla za odplatu na spracúvanie osobných údajov zákazníka na účely objednávky a výkonu objednanej služby nie je potrebný súhlas zákazníka, nakoľko osobné údaje sa spracúvajú v „režime“ predzmluvných/zmluvných vzťahov, teda podľa čl. 6 ods. 1 písm. b) nariadenia; nie na základe súhlasu zákazníka. Je tiež potrebné, aby si prevádzkovateľ vo vzťahu k zákazníkovi plnil informačnú povinnosť v zmysle čl. 13 a 14 nariadenia, a to napríklad jej zverejnením na svojom webovom sídle alebo inak preukázateľne, transparentne a zrozumiteľne v zmysle čl. 12 ods. 1 nariadenia. Inou situáciou je, ak chce napríklad kadernícky salón osloviť a zasielať newslettre/ponuky služieb, zľavy/reklamné materiály tým, ktorí o to prejavia záujem prostredníctvom mobilnej aplikácie alebo formou prihlásenia sa na odber cez ich web. Platí, že v prípade, ak na účely zasielanie ponúk prevádzkovateľ – kaderníctvo zbiera meno, priezvisko, e-mailovú adresu a telefónne číslo napríklad, je takéto zasielanie založené na súhlase dotknutej osoby, záujemcu o zasielanie. Ak by bol adresátom zasielania ponúk už klient daného kaderníctva – prevádzkovateľa, kaderníctvo – prevádzkovateľ, by mohlo ako právny základ zasielania ponúk využiť aj oprávnený záujem (čl. 6 ods. 1 písm. f) nariadenia), kedy by oprávneným záujmom bol presne definovaný účel spracúvania osobných údajov, napríklad „skvalitnenie a personifikácia služieb dlhodobému zákazníkovi.“. Pri oprávnenom záujme je vždy potrebné, aby prevádzkovateľ, ktorý chce oprávnený záujem využiť ako právny základ spracúvania osobných údajov, tento definoval/ konkretizoval, nepostačuje, ak prevádzkovateľ napríklad v záznamoch o spracovateľských činnostiach (podľa čl. 30 nariadenia) iba uvedie, že právnym základom spracúvania je čl. 6 ods. 1 písm. f) nariadenia. Tiež v prípade zasielania ponúk či už na základe súhlasu, alebo na základe konkrétneho oprávneného záujmu je potrebné, aby si prevádzkovateľ plnil informačnú povinnosť podľa čl. 13 alebo 14 nariadenia.
Naše zariadenie poskytuje ubytovanie pre ľudí, vedieme knihu ubytovaných, aký je právny základ spracúvania osobných údajov v tejto knihe?
Spracúvanie osobných údajov ubytovaných hostí v knihe ubytovaných je upravené ako povinnosť podľa § 24 ods. 1 zákona č. 253/1998 Z. z. o hlásení pobytu podľa ktorého, cit., „Fyzické osoby a právnické osoby, ktoré poskytujú služby na základe zmluvy o ubytovaní,9) sú povinné viesť knihu ubytovaných, ktorá obsahuje údaje o mene a priezvisku ubytovaného, číslo jeho občianskeho preukazu alebo cestovného dokladu, adresu trvalého pobytu a dobu ubytovania.“. Na základe vyššie citovaného ustanovenia je toto ustanovenie osobitného zákona právnym základom spracúvania, v rámci nariadenia je právnym základom zákonná povinnosť vyplývajúca z vyššie citovaného zákona, teda čl. 6 ods. 1 písm. c) nariadenia. Nakoľko táto povinnosť pre prevádzkovateľov ubytovacích zariadení vyplýva zo zákona o hlásení pobytu, nie je potrebné a vhodné na takéto spracúvanie pýtať od ubytovaných hostí súhlas, títo sú povinní strpieť poskytnutie údajov nakoľko to subjektu, v ktorom sú ubytovaní, vyplýva zo zákona o hlásení pobytu. Je potrebné dodať, že osoby poskytujúce ubytovanie – prevádzkovatelia, si musia voči ubytovaným hosťom plniť informačnú povinnosť podľa čl. 13 prípadne 14 nariadenia, a to napríklad jej zverejnením na svojom webe, alebo jej uvedením v písomnej podobe na recepcii, alebo inak vhodne tak, aby dotknuté osoby, hostia, tieto informácie dostali najneskôr pri poskytovaní osobných údajov zariadeniu. Je tiež nepodstatné, či si ubytovacie zariadenie vedie knihu ubytovaných v papierovej alebo elektronickej podobe, alebo oboch, právny základ spracúvania je totožný, len prostriedky spracúvania sú rôzne/ dvojaké, v oboch prípadoch ide o spracúvanie osobných údajov na účel podľa osobitného zákona o hlásení pobytu, kde pýtanie súhlasu od ubytovaných na tento účel neodporúčame, nakoľko by nadbytočne dochádzalo ku kumulovaniu právnych základov, čo v tomto prípade nie je žiadúce a potrebné.
Sme obchodná spoločnosť, ktorá má sieť predajní, v nich naši zamestnanci obsluhujúci zákazníkov a majú na svojom odeve menovky. Aký je právny základ spracúvania osobných údajov na menovke, čo všetko môže menovka zamestnanca obsahovať? Môže vôbec zamestnanec nosiť menovku?
V prípade, ak sa jedná o vzťah zamestnanec (dotknutá osoba) a zamestnávateľ (prevádzkovateľ) tak sa na spracúvanie osobných údajov na menovke vzťahuje § 78 ods. 3 zákona č. 18/2018 Z. z. zákona; cit., „Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.“. Z vyššie citovaného ustanovenia vyplýva, že ak zverejnenie mena, priezvisko a ostatných údajov z ustanovenia § 78 ods. 3 zákona je potrebné na plnenie si pracovných povinností a nenarúša vážnosť, dôstojnosť a bezpečnosť dotknutej osoby, môže zamestnávateľ menovky zamestnancov zaviesť. Je potrebné vziať do úvahy aj zásadu nevyhnutnosti a účelnosti, podľa ktorej by na menovke nemali byť nadbytočne uvádzané údaje, ktoré nie sú na splnenie účelu (napríklad identifikáciu pracovnej pozície a zamestnanca) potrebné, teda je na prevádzkovateľovi, či podľa neho postačuje, ak na menovke uvedie iba pozíciu osoby (vedúci predajne, predavačka) alebo uvedie kombináciu údajov pozícia a meno zamestnanca (Jana, vedúca predajne), alebo na menovke uvedie aj priezvisko osoby (Jana Trhová, predavačka). V prípade, ak by chcel zamestnávateľ uviesť na menovke aj fotografiu zamestnanca a nešlo by o plnenie oprávneného záujmu, ktorý by prevádzkovateľ musel identifikovať a konkretizovať, tak by fotografiu mohol zverejniť iba na menovke tých zamestnancov, ktorí na jej zverejnenie na menovke poskytli prevádzkovateľovi – zamestnávateľovi súhlas, a musel by rešpektovať, ak by tento súhlas odvolali. Ako je uvedené vyššie, na údaje na menovke mimo fotografie nie je potrebný súhlas zamestnanca, nakoľko spracúvanie osobných údajov umožňuje bez súhlasu § 78 ods. 3 zákona. V prípade, ak by prevádzkovateľ chcel pridať na menovku aj fotografiu, tak na ňu by od zamestnanca potreboval získať súhlas s jej spracúvaním. V oboch prípadoch (spracúvanie osobných údajov na menovke bez fotografie, alebo s fotografiou) má zamestnávateľ povinnosť plniť si voči zamestnancovi informačnú povinnosť podľa čl. 13 nariadenia.