Ochrana osobných údajov: Potvrdenie a vzor

V súčasnom digitálnom svete, kde sa osobné údaje spracúvajú na dennej báze, je ochrana týchto údajov mimoriadne dôležitá. Európska únia a Slovenská republika prijali rozsiahle právne predpisy na zabezpečenie ochrany osobných údajov fyzických osôb. Tento článok poskytuje komplexný pohľad na ochranu osobných údajov v zmysle platnej legislatívy, vrátane práv dotknutých osôb a povinností prevádzkovateľov informačných systémov.

Právny rámec ochrany osobných údajov

Ochrana osobných údajov je upravená Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známym ako GDPR (ďalej len „Nariadenie“), a zákonom NR SR č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Tieto právne predpisy stanovujú pravidlá pre spracúvanie osobných údajov, práva dotknutých osôb a povinnosti prevádzkovateľov a sprostredkovateľov osobných údajov.

Účely spracúvania osobných údajov

Účely spracúvania osobných údajov sú dôvody, pre ktoré sa spracúvajú osobné údaje dotknutých osôb (zamestnancov, klientov, žiadateľov, sťažovateľov a podobne) v informačných systémoch prevádzkovateľa na presne určených právnych základoch. Medzi najčastejšie účely spracúvania patrí:

  • Plnenie povinností zamestnávateľa súvisiacich s pracovným pomerom, štátnozamestnaneckým pomerom alebo obdobným vzťahom (napríklad na základe dohôd o prácach vykonávaných mimo pracovného pomeru).
  • Vedenie personálnej a mzdovej agendy zamestnancov.
  • Zabezpečenie bezpečnosti a ochrany zdravia pri práci (BOZP).
  • Poskytovanie sociálnych služieb.
  • Vybavovanie žiadostí a sťažností.
  • Vedenie účtovníctva a plnenie daňových povinností.
  • Príprava a vedenie dodávateľsko-odberateľských vzťahov so samostatne zárobkovo činnými osobami.
  • Monitorovanie zamestnancov z dôvodu sledovania dodržiavania pracovnej disciplíny.
  • Vedenie evidencie o uchádzačoch o zamestnanie z ÚPSVaR SR vykonávajúcich aktivačnú činnosť.
  • Prešetrovanie podnetov.
  • Vedenie evidencie žiadostí na základe zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám.

Právne základy spracúvania osobných údajov

Spracúvanie osobných údajov je zákonné len vtedy, ak je splnený aspoň jeden z právnych základov stanovených v článku 6 Nariadenia. Medzi najčastejšie právne základy patria:

  • Súhlas dotknutej osoby (článok 6 ods. 1 písm. a) Nariadenia): Súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný prejav vôle, ktorým dotknutá osoba dáva súhlas na spracúvanie svojich osobných údajov na konkrétny účel.
  • Plnenie zmluvy (článok 6 ods. 1 písm. b) Nariadenia): Spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy.
  • Plnenie zákonnej povinnosti (článok 6 ods. 1 písm. c) Nariadenia): Spracúvanie je nevyhnutné na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa.
  • Ochrana životne dôležitých záujmov (článok 6 ods. 1 písm. d) Nariadenia): Spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.
  • Plnenie úlohy vo verejnom záujme (článok 6 ods. 1 písm. e) Nariadenia): Spracúvanie je nevyhnutné na plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
  • Oprávnený záujem prevádzkovateľa (článok 6 ods. 1 písm. f) Nariadenia): Spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov.

Právnym základom spracúvania osobných údajov sú rôzne právne predpisy, ako napríklad:

Prečítajte si tiež: Rekvalifikácia: Cesta k lepšiemu zamestnaniu

  • Ústava Slovenskej republiky
  • Zákonník práce
  • Zákon o výkone prác vo verejnom záujme
  • Zákon o odmeňovaní niektorých zamestnancov pri výkone práce vo verejnom záujme
  • Zákon o dani z príjmov
  • Daňový poriadok
  • Zákon o sociálnom poistení
  • Zákon o prídavku na dieťa
  • Zákon o náhrade príjmu pri dočasnej pracovnej neschopnosti zamestnanca
  • Zákon o zdravotnom poistení
  • Zákon o doplnkovom dôchodkovom sporení
  • Zákon o sociálnych službách
  • Zákon o službách zamestnanosti
  • Zákon o nelegálnej práci a nelegálnom zamestnávaní
  • Zákon o ochrane osobných údajov
  • Zákon o sociálnom fonde
  • Zákon o starobnom dôchodkovom sporení
  • Zákon o brannej povinnosti
  • Zákon o civilnej ochrane obyvateľov
  • Zákon o ochrane pred požiarmi
  • Zákon o bezpečnosti a ochrane zdravia pri práci
  • Zákon o ochrane, podpore a rozvoji verejného zdravia
  • Zákon o hospodárskej mobilizácii
  • Zákon o účtovníctve
  • Zákon o dani z pridanej hodnoty
  • Zákon o správnych poplatkoch
  • Občiansky zákonník
  • Obchodný zákonník
  • Zákon o štátnej službe
  • Zákon o sťažnostiach
  • Zákon o slobodnom prístupe k informáciám
  • Zákon o archívoch a registratúrach
  • Zákon o výchove a vzdelávaní (Školský zákon)
  • Zákon o vysokých školách
  • Zákon o rozsahu zdravotnej starostlivosti uhrádzanej na základe verejného zdravotného poistenia
  • Zákon o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve

Práva dotknutých osôb

Nariadenie priznáva dotknutým osobám rozsiahle práva, ktoré im umožňujú kontrolovať spracúvanie ich osobných údajov. Medzi tieto práva patria:

  • Právo na prístup k osobným údajom: Dotknutá osoba má právo získať potvrdenie o tom, či sa spracúvajú jej osobné údaje, a ak áno, má právo získať prístup k týmto údajom a informácie o účeloch spracúvania, kategóriách osobných údajov, príjemcoch alebo kategóriách príjemcov, dobe uchovávania a ďalšie informácie.
  • Právo na opravu: Dotknutá osoba má právo na opravu nesprávnych alebo neúplných osobných údajov, ktoré sa jej týkajú.
  • Právo na vymazanie (právo „na zabudnutie“): Dotknutá osoba má právo na vymazanie jej osobných údajov, ak je splnený niektorý z dôvodov stanovených v článku 17 Nariadenia, napríklad ak osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo spracúvali, ak dotknutá osoba odvolá súhlas, ak sa osobné údaje spracúvali nezákonne a pod.
  • Právo na obmedzenie spracúvania: Dotknutá osoba má právo na obmedzenie spracúvania jej osobných údajov, ak je splnený niektorý z dôvodov stanovených v článku 18 Nariadenia, napríklad ak dotknutá osoba namieta správnosť osobných údajov, ak je spracúvanie nezákonné a dotknutá osoba žiada namiesto vymazania obmedzenie spracúvania a pod.
  • Právo na prenosnosť osobných údajov: Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi, ak sa spracúvanie zakladá na súhlase alebo na zmluve a ak sa spracúvanie vykonáva automatizovanými prostriedkami.
  • Právo namietať: Dotknutá osoba má právo namietať proti spracúvaniu jej osobných údajov, ak sa spracúvanie zakladá na oprávnenom záujme prevádzkovateľa alebo na plnení úlohy vo verejnom záujme.
  • Právo podať sťažnosť dozornému orgánu: Dotknutá osoba má právo podať sťažnosť dozornému orgánu, ak sa domnieva, že spracúvanie jej osobných údajov je v rozpore s Nariadením. Dozorným orgánom na Slovensku je Úrad na ochranu osobných údajov Slovenskej republiky.

Povinnosti prevádzkovateľov informačných systémov

Prevádzkovatelia informačných systémov majú podľa Nariadenia a zákona o ochrane osobných údajov rozsiahle povinnosti, ktoré majú zabezpečiť ochranu osobných údajov dotknutých osôb. Medzi tieto povinnosti patria:

  • Zásada zákonnosti, spravodlivosti a transparentnosti: Osobné údaje musia byť spracúvané zákonne, spravodlivo a transparentne vo vzťahu k dotknutej osobe.
  • Zásada obmedzenia účelu: Osobné údaje musia byť získavané na konkrétne, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý je s týmito účelmi nezlučiteľný.
  • Zásada minimalizácie údajov: Osobné údaje musia byť primerané, relevantné a obmedzené na to, čo je nevyhnutné vzhľadom na účely, na ktoré sa spracúvajú.
  • Zásada správnosti: Osobné údaje musia byť správne a podľa potreby aktualizované.
  • Zásada obmedzenia uchovávania: Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb, najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú.
  • Zásada integrity a dôvernosti: Osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a pred náhodnou stratou, zničením alebo poškodením, a to pomocou primeraných technických alebo organizačných opatrení.
  • Zodpovednosť: Prevádzkovateľ je zodpovedný za dodržiavanie zásad spracúvania osobných údajov a musí byť schopný preukázať ich dodržiavanie.
  • Implementácia primeraných technických a organizačných opatrení: Prevádzkovateľ je povinný prijať primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku.
  • Vedenie záznamov o spracovateľských činnostiach: Prevádzkovateľ je povinný viesť záznamy o spracovateľských činnostiach, ktoré vykonáva.
  • Ohlasovanie prípadov porušenia ochrany osobných údajov dozornému orgánu: V prípade porušenia ochrany osobných údajov je prevádzkovateľ povinný ohlásiť túto skutočnosť dozornému orgánu bez zbytočného odkladu a ak je to možné, najneskôr do 72 hodín po tom, čo sa o porušení dozvedel.
  • Poskytovanie informácií dotknutým osobám: Prevádzkovateľ je povinný poskytnúť dotknutým osobám informácie o spracúvaní ich osobných údajov, a to transparentným, zrozumiteľným a ľahko dostupným spôsobom.
  • Umožnenie výkonu práv dotknutých osôb: Prevádzkovateľ je povinný umožniť dotknutým osobám výkon ich práv, ako je právo na prístup k údajom, právo na opravu, právo na vymazanie, právo na obmedzenie spracúvania, právo na prenosnosť údajov a právo namietať.
  • Určenie zodpovednej osoby (DPO): V určitých prípadoch je prevádzkovateľ povinný určiť zodpovednú osobu (Data Protection Officer), ktorá dohliada na dodržiavanie Nariadenia a zákona o ochrane osobných údajov.

Bezpečnosť osobných údajov

Bezpečnosť osobných údajov je kľúčovým aspektom ochrany osobných údajov. Prevádzkovatelia sú povinní prijať primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku. Tieto opatrenia zahŕňajú:

  • Šifrovanie osobných údajov: Šifrovanie je proces premeny čitateľných údajov na nečitateľnú formu, ktorá je zrozumiteľná len pre osoby s príslušným dešifrovacím kľúčom.
  • Používanie pseudonymizácie: Pseudonymizácia je proces spracúvania osobných údajov takým spôsobom, že ich už nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ktoré sa uchovávajú oddelene a sú predmetom technických a organizačných opatrení na zabezpečenie toho, aby sa osobné údaje nepriradili identifikovanej alebo identifikovateľnej fyzickej osobe.
  • Zabezpečenie fyzickej bezpečnosti: Zabezpečenie fyzickej bezpečnosti zahŕňa opatrenia na ochranu priestorov, v ktorých sa spracúvajú osobné údaje, pred neoprávneným prístupom, krádežou, poškodením alebo zničením.
  • Zabezpečenie sieťovej bezpečnosti: Zabezpečenie sieťovej bezpečnosti zahŕňa opatrenia na ochranu počítačových sietí a systémov pred neoprávneným prístupom, vírusmi, malware a inými hrozbami.
  • Pravidelné zálohovanie osobných údajov: Pravidelné zálohovanie osobných údajov je dôležité na zabezpečenie toho, aby sa v prípade straty, poškodenia alebo zničenia údajov dali obnoviť.
  • Pravidelné testovanie a hodnotenie účinnosti technických a organizačných opatrení: Pravidelné testovanie a hodnotenie účinnosti technických a organizačných opatrení je dôležité na zabezpečenie toho, aby tieto opatrenia boli účinné a aby sa v prípade potreby mohli aktualizovať alebo vylepšiť.

Cezhraničný prenos osobných údajov

Cezhraničný prenos osobných údajov je prenos osobných údajov do krajiny mimo Európskeho hospodárskeho priestoru (EHP). Cezhraničný prenos osobných údajov je povolený len vtedy, ak je splnená jedna z podmienok stanovených v kapitole V Nariadenia. Medzi tieto podmienky patria:

  • Rozhodnutie Európskej komisie o primeranosti: Európska komisia môže rozhodnúť, že určitá krajina mimo EHP zabezpečuje primeranú úroveň ochrany osobných údajov. V takom prípade je prenos osobných údajov do tejto krajiny povolený bez potreby ďalších opatrení.
  • Primerané záruky: Ak Európska komisia nerozhodla o primeranosti, prenos osobných údajov do krajiny mimo EHP je povolený len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytne primerané záruky a ak sú dotknuté osoby k dispozícii vymožiteľné práva a účinné prostriedky nápravy. Primerané záruky môžu byť poskytnuté prostredníctvom štandardných doložiek o ochrane údajov, záväzných podnikových pravidiel alebo iných mechanizmov stanovených v Nariadení.
  • Výnimky pre osobitné situácie: V určitých osobitných situáciách je cezhraničný prenos osobných údajov povolený aj bez rozhodnutia o primeranosti alebo primeraných zárukách, napríklad ak dotknutá osoba výslovne súhlasila s prenosom, ak je prenos nevyhnutný na plnenie zmluvy s dotknutou osobou alebo ak je prenos nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby.

Doba uchovávania osobných údajov

Doba uchovávania osobných údajov musí byť obmedzená na minimum. Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb, najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Po uplynutí doby uchovávania musia byť osobné údaje vymazané alebo anonymizované.

Prečítajte si tiež: Podmienky a suma príspevku pri narodení dieťaťa

Lehoty na vymazanie osobných údajov sú stanovené v rôznych právnych predpisoch a závisia od účelu spracúvania. Napríklad, osobné údaje spracúvané na účely plnenia povinností zamestnávateľa súvisiacich s pracovným pomerom sa uchovávajú počas doby trvania pracovného pomeru a po jeho skončení počas doby stanovenej v archívnych predpisoch. Osobné údaje spracúvané na účely vedenia účtovníctva sa uchovávajú počas doby stanovenej v zákone o účtovníctve.

Prečítajte si tiež: Príspevok od ÚPSVaR

tags: #upsvar #ochrana #osobných #údajov #potvrdenie #vzor

Ďalšie články