Praktický sprievodca novelou zákona o ochrane osobných údajov / Marcela Macová
1. Trh práce 2014
Praktický sprievodca novelou
zákona o ochrane osobných údajov
Lektor: JUDr. Marcela Macová
2. Úvodná informácia
Adresa:
Úrad na ochranu osobných údajov SR
Hraničná 12
820 07 Bratislava
Web stránka:
www. dataprotection. gov. sk
Adresa pre elektronický poštový styk:
statny.dozor@pdp.gov.sk
2
3. Vývoj ochrany osobných údajov v SR
1)
zákon č. 256/1992 Zb. o ochrane osobných údajov v informačných
systémoch
2)
zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných
systémoch
3)
zákon č. 428/2002 Z. z. o ochrane osobných údajov
4)
zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a
doplnení niektorých zákonov účinný od 1. júla 2013
Predpis č. 165/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov
Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške
fyzickej osoby na výkon funkcie zodpovednej osoby
Predpis č. 164/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov
Slovenskej republiky o rozsahu a dokumentácii bezpečnostných
opatrení
3
4. Predmet zákona § 1
Tento zákon upravuje
• ochranu práv fyzických osôb pred neoprávneným
zasahovaním do ich súkromného života pri spracúvaní ich
osobných údajov,
• práva, povinnosti a zodpovednosť pri spracúvaní osobných
údajov fyzických osôb,
• postavenie, pôsobnosť a organizáciu Úradu na ochranu
osobných údajov Slovenskej republiky
4
5. Na koho sa zákon vzťahuje?
Tento zákon sa vzťahuje na každého, kto spracúva osobné
údaje, určuje účel a prostriedky spracúvania alebo poskytuje
osobné údaje na spracúvanie.
Tento zákon sa vzťahuje na osobné údaje systematicky
spracúvané úplne alebo čiastočne automatizovanými
prostriedkami
spracúvania
alebo
inými
ako
automatizovanými prostriedkami spracúvania, ktoré sú
súčasťou informačného systému alebo sú určené
na spracúvanie v informačnom systéme.
5
6. Osobné údaje
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej
osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo
nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na
základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej
fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo
sociálnu identitu
Zákon o ochrane osobných údajov neupravuje konkrétny zoznam údajov,
ktoré sú považované za osobné údaje. Poskytuje demonštratívny výpočet
charakteristík určujúcich fyzickú osobu.
záleží od sociálnej vzorky aký rozsah osobných údajov je na identifikovanie
potrebných (obec 200 obyvateľov/Bratislava)
Identifikácia sa obvykle realizuje prostredníctvom konkrétnych informácií,
ktoré môžeme nazvať „identifikátormi“ a ktoré majú úzky vzťah ku
konkrétnemu jednotlivcovi, ako napríklad znaky vytvárajúce vonkajší vzhľad
osoby (napr. výška, farba očí) alebo charakteristiky osoby, ktoré nemusia byť
zrejmé z prvotného kontaktu (napr. profesia, funkcia, meno a priezvisko).
6
7. Prevádzkovateľ § 4 ods. 2 písm. b)
Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel
spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva
osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania
osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt
Európskej únie, alebo medzinárodná zmluva, ktorou je Slovenská republika
viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za
prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným
právne záväzným aktom Európskej únie, alebo medzinárodnou zmluvou,
ktorou je Slovenská republika viazaná ustanovené podmienky.
Prevádzkovateľa určuje osobitný predpis napr. zákon č. 311/2001 Z. z. Zákonník
práce alebo si sám určí účel a prostriedky napr. požičovňa DVD (databáza
klientov).
Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ.
Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je
v súlade s dobrými mravmi, a to len na vymedzený alebo ustanovený účel (§ 6
ods. 1)
7
8. Osoby v procese spracúvania osobných údajov
O kom sa osobné údaje spracúvajú?
Dotknutá osoba
Kto spracúva osobné údaje?
Prevádzkovateľ/Sprostredkovateľ
Zástupca prevádzkovateľa/Subdodávateľ
Komu sa osobné údaje postupujú?
Tretia strana(poskytovanie)
Príjemca (sprístupňovanie)
Kto má u prevádzkovateľa prístup k osobným údajom?
Oprávnená osoba
Zodpovedná osoba
8
9. Informačný systém § 4 ods. 3 písm. b)
informačným systémom osobných údajov je informačný systém, v ktorom sa
na vopred vymedzený alebo ustanovený účel systematicky
spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov
prístupných podľa určených kritérií,
- bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo
distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný
systém“);
!!!!! informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov,
ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo
inými ako automatizovanými prostriedkami spracúvania
-
účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo
ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť
- niečo kvôli čomu potrebujem spracúvať osobné údaje
- Určuje výlučne prevádzkovateľ (ak nie je stanovený zákonom)
9
10. IS Personalistika a mzdy
-
Dotknuté osoby
-
Účel spracúvania osobných údajov
-
Právny základ – Potrebujem súhlas zamestnanca na
spracúvanie osobných údajov?
-
Tretie strany
-
Príjemca
-
Zverejňovanie osobných údajov
10
11. Súhlas dotknutej osoby
NOVINKA § 12 ods. 3
Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený
sprístupniť alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko,
pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu
práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko
a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením
pracovných, služobných alebo funkčných povinností dotknutej osoby.
Sprístupnenie alebo zverejnenie osobných údajov nemôže narušiť
vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
POZOR – ak sa zverejňujú na webovej stránke tak treba to uviesť do evidenčného
listu!!!!
Súhlas zamestnanca sa nevyžaduje
11
12. Povinnosti prevádzkovateľa
Pred začatím spracúvania osobných údajov §15
Čo je to informačná povinnosť?
- Oznámenie zákonom stanovených informácií dotknutej osobe
- Vedomosť dotknutej osoby o tom, kto, kde a akým spôsobom bude
spracúvať jej osobné údaje
- Pokiaľ bude dochádzať k spracúvaniu osobných údajov na základe jej
súhlasu, má mať možnosť posúdenia a rozhodnutie, či poskytne svoje
osobné údaje prevádzkovateľovi na spracúvanie
Od koho získam osobné údaje?
Od dotknutej osoby alebo inej osoby
Komu oznamujem?
Dotknutej osobe
12
13. Povinnosti prevádzkovateľa
Pred začatím spracúvania osobných údajov §15 – napr. zamestnanca pri
nástupe do zamestnania
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov
dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred
oznámiť tieto informácie
a) identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak
bol vymenovaný,
b) identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ
pri získavaní osobných údajov nepostupuje podľa § 8,
c) účel spracúvania osobných údajov,
d) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10
ods. 4 prvá veta a
13
14. Povinnosti prevádzkovateľa
e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a
podmienky spracúvania osobných údajov potrebné pre dotknutú osobu
na zaručenie jej práv a právom chránených záujmov v rozsahu najmä
1. preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje
alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom
k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná
takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2. poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné
údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na
základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti
súhlasu a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z
priamo vykonateľného právne záväzného aktu Európskej únie,
medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo
zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej
túto povinnosť ukladá a upovedomí ju o následkoch odmietnutia
poskytnúť osobné údaje,
14
15. Povinnosti prevádzkovateľa
e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a
podmienky spracúvania osobných údajov potrebné pre dotknutú
osobu na zaručenie jej práv a právom chránených záujmov v rozsahu
najmä
3. tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné
údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú
osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné údaje zverejnené,
6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín
uskutoční prenos osobných údajov,
7. poučenie o právach dotknutej osoby.
15
16. Povinnosti prevádzkovateľa
1) prijať bezpečnostné opatrenia: bezpečnostný projekt,
bezpečnostná smernica, základná dokumentácia
2) registrovať informačný systém, viesť evidenciu informačného
systému
3) písomne poveriť zodpovednú osobu dohľadom nad ochranou
osobných údajov u prevádzkovateľa
4) poučiť oprávnené osoby
1) a 2) bude mať prevádzkovateľ vypracovanú ku každému
informačnému systému
16