Informácie o ochrane osobných údajov fyzických osôb

Dňa 25.5.2018 nadobudnú účinnosť nové právne predpisy na ochranu osobných údajov fyzických osôb:
  1. Nariadenie Európskeho parlamentu a Rady /EÚ/ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov / GDPR/, ktorým sa zrušuje smernica 95/46/ES / všeobecné nariadenie o ochrane údajov/. / ďalej len GDPR/
  2. Zákon NR SR č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov / ZOOÚ/. Týmto zákonom sa zrušujú:
  3. Smernica Európskeho parlamentu a Rady /EÚ/ 2016/680 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV.

Základné pojmy a ich definície k uvedeným právnym predpisom.

A/ Vymedzenie základných pojmov podľa § 5 zákona č. 18/2018 Z. z. na účely tohto zákona:

a/ súhlas dotknutej osoby, b/ genetické údaje, c/ biometrické údaje, d/ údaje týkajúce sa zdravia, e/ spracúvanie osobných údajov, f/ obmedzenie spracúvania osobných údajov g/ profilovanie, h/ pseudonymizácia spracúvania osobných údajov, i/ logo záznamu o priebehu činnosti , j/ šifrovanie transformácie osobných údajov, k/ online identifikátor, l/ informačný systém usporiadaného súboru osobných údajov, m/ porušenie osobných údajov, n/ dotknutá osoba, o/ prevádzkovateľ, p/ sprostredkovateľ, q/ príjemca osobných údajov, r/ tretia strana, s/ zodpovedná osoba, t/ zástupca, u/ podnik, v/ skupina podnikov, w/ hlavná prevádzkareň, x/ vnútropodnikové pravidlá, y/ kódex správania, z/ medzinárodná organizácia, aa/ členský štát, ab/ tretia krajina, ac / zamestnanec úradu.

Úplné znenie definícií týchto základných pojmov sú vo vymenovanom paragrafe.

Tieto základné pojmy a ich definície sú vymenované aj v GDPR / Nariadenie EP a rady EÚ 2016/679/ v jeho jednotlivých bodoch recitálu / odborný výraz / a to konkrétne v článku 4., kapitola I.

B/ Vymedzenie základných pojmov podľa GDPR:

GDPR a nový ZOOÚ zásadným spôsobom menia povinnosti prevádzkovateľa, pričom viaceré povinnosti sa rozšírili aj na sprostredkovateľa.
  1. Osobné údaje podľa čl. 4 ods.1 GDPR: sú informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby / ďalej len „dotknutá osoba“ a identifikátorom je odkaz na meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkaz na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú , genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. 

    Podľa čl. 6 GDPR a podľa § 13 nového ZOOÚ môže prevádzkovateľ osobné údaje dotknutých osôb spracúvať na základe aspoň jedného z týchto právnych základov:
  2. Osobné údaje podľa GDPR bod 30 recitálu: fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad štítky na rádiofrekvenčnú identifikáciu.
  3. IP adresa ako osobný údaj: IP adresa je osobným údajom, ak ju spracúva poskytovateľ internetového pripojenia spoločne s identifikáciou koncového užívateľa internetového pripojenia. IP adresa môže byť dynamická / uchováva ju poskytovateľ online služieb/ alebo statická / IP adresa využívaná fyzickými osobami-jednotlivcami a vtedy je považovaná za chránený osobný údaj/.
  4. Osobitná kategória osobných údajov: osobitná kategória ochrany osobných údajov nemôže byť na základe zmluvy, môže byť len o zákona / viď bod 5/.
  5. Prevádzkovateľ: Prevádzkovateľ podľa článku 4 bod 7. GDPR: Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Všeobecné povinnosti prevádzkovateľa sú definované aj v §§ 31 a 32 ZOOÚ a v článku 24 a 25 GDPR. Prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná / § 78 ods. 5 ZOOÚ/. Prevádzkovateľ môže spracúvať biometrické údaje len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby. Zamestnávateľ je v kontexte ochrany osobných údajov zamestnanca prevádzkovateľom. Prevádzkovateľ je zodpovedný za dodržiavanie a súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov, ale musí vedieť tento súlad aj preukázať. Povinnosťou prevádzkovateľa je viesť záznamy o spracovateľských činnostiach.
  6. Sprostredkovateľ: Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci alebo agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa na základe uzavretej sprostredkovateľskej zmluvy. Účel spracúvania osobných údajov si nikdy sprostredkovateľ, ale určí mu ho prevádzkovateľ neurčí sám. Zamestnávateľ nemá povinnosť viesť záznamy k tým spracovateľským operáciám, ktoré spĺňajú nižšie uvedené podmienky: Povinnosti a práva sprostredkovateľa sú uvedené v článku 28 až 31 GDPR a v § 34 ZOOÚ.
  7. Dotknutá osoba: Dotknutá osoba je zamestnanec v kontexte aplikácie pravidiel na ochranu osobných údajov teda je fyzickou osobou, ktorej osobné údaje sa spracúvajú Okrem zamestnanca prichádzajú do úvahy ako dotknuté osoby: uchádzači o zamestnanie, dočasne pridelený zamestnanci, rodinní príslušníci zamestnanca, ak ich údaje spracúvajú v súvislosti s realizovanými pracovnoprávnymi vzťahmi a pod. Práva a povinnosti dotknutej osoby sú vymenované v GDPR a ZOOÚ.
  8. Zodpovedná osoba: Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa. Zodpovedná osoba môže vykonávať činnosť len na základe poverenia vydaného štatutárnym orgánom prevádzkovateľa. Povinnosti zodpovednej osoby sú vymenované v článkoch 37 až 39 GDPR a v §§ 44 až 46 OOÚ

Kontakt na zodpovednú osobu za Nitriansky samosprávny kraj: osobneudaje@unsk.sk

Úrad na ochranu osobných údajov SR

Je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov garantovaných Ústavou SR.

Úrad pravidelne dopĺňa svoju stránku http://www.dataprotection.gov.sk o nové údaje súvisiace s novými platnými predpismi na ochranu osobných údajov fyzických osôb, ktoré nadobudnú účinnosť 25.5.2018 / viď bod 1. až 3. preambuly tohto dokumentu. Zároveň sú na tejto stránke postupne vymazávané údaje o zákone č. 122/2013 Z. z., ktorého platnosť skončí dňom 24.5.2018.