Ochrana osobných údajov podľa nového zákona č. 18/2018 Z. z. v platnom znení a nariadenia GDPR - účinné od 25.05.2018

Osobné údaje (OÚ) – sú podľa nariadenia čl. 4 bod 1

- akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej FO. Identifikovateľná osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor (napr. IP adresa), alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto FO.

IP adresa je osobným údajom, ak ju spracúva poskytovateľ internetového pripojenia spoločne s identifikáciou (osobnými údajmi) koncového užívateľa internetového pripojenia.

Statické IP adresy využívané FO – jednotlivcami je potrebné považovať za chránené osobné údaje.

Dynamické IP adresy, ktoré poskytovateľ online služieb (prevádzkovateľ) uchováva v súvislosti s prehliadaním obsahu jeho webového sídla zo strany dotknutej osoby, predstavuje pre prevádzkovateľa osobný údaj, ak má k dispozícii právne prostriedky (nariadenie súdu napr. pri pokuse o kybernetický útok), na základe ktorých dokáže identifikovať dotknutú osobu a to aj vďaka napr. logovacích záznamov prevádzkovateľa http/https denník).
- bude považovaná za osobný údaj aj v prípade, keď poskytovateľ online služby bude spracúvať spolu s dynamickou IP adresou aj ďašie identifikátory napr. meno, priezvisko alebo mail. Prevádzkovatelia webstránok ktorí ukladajú IP adresy, budú odteraz musieť zaobchádzať s IP adresou ako s osobným údajom.

Cezhraničný tok osobných údajov podľa nariadenia je buď:
1) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkární prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte, alebo
2) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa , ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte.

Cezhraničným spracúvaním sa rozumie spracúvanie osobných údajov na území EÚ a ich prenos výlučne v rámci členských štátov.

Prevádzkovateľ – podľa nariadenia je FO alebo PO, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania OU.

Tretia strana – podľa nariadenia je FO alebo PO, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov. Treťou stranou je napr. iný prevádzkovateľ alebo jeho sprostredkovateľ, tým sa rozumie napr. vzťah keď jeden prevádzkovateľ poskytuje OU inému prevádzkovateľovi, teda tretej strane a súčasne aj príjemcovi, alebo keď prevádzkovateľ poskytuje OU inému sprostredkovateľovi (nejedná sa o sprostredkovateľa v zmluvnom vzťahu s týmto prevádzkovateľom), teda tretej strane a súčasne ide o príjemcu. Tretia strana nemusí byť subjektom ustanoveným v zmysle zákona. To či spoločnosť poskytujúca IT servis bude alebo nie podliehať GDPR závisí od splnenia vecnej pôsobnosti, a to či táto spoločnosť v rámci výkonu predmetu svojej činnosti bude alebo nie spracúvať OU či už vo vlastnom mene alebo v mene prevádzkovateľa.

Príjemca – podľa nariadenia je FO alebo PO, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa OU poskytujú bez ohľadu na to, či je treťou stranou.

Sprostredkovateľ – podľa nariadenia je FO alebo PO, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva OU v mene prevádzkovateľa - prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia, vrátane požiadavky na bezpečnosť spracúvania.

Informačný systém „ďalej len IS“ (§ 4 ods. 3 písm. b) – podľa nariadenia je akýkoľvek usporiadaný súbor OU, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.

Príklady Informačných systémov (IS)

  • IS Reklamačný informačný systém (kniha reklamácií)
  • IS Marketing (newsleter)
  • IS E-shop
  • IS Súťaž
  • IS Vernostný program

Právny základ spracúvania OU podľa nariadenia čl. 6

Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

  • a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich OU na jeden alebo viaceré konkrétne účely,
  • b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy,
  • c) spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,
  • d) spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby, alebo inej FO,
  • e) spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
  • f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu OU, najmä ak je dotknutou osobou dieťa.

Oprávnené záujmy prevádzkovateľa – právny základ v čl. 6 ods. 1 písm. f) GDPR
- spracúvanie osobných údajov na účely priameho marketingu alebo na iné formy marketingu alebo reklamy,

Oprávnené záujmy prevádzkovateľa môžu poskytnúť právny základ pre spracúvanie, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi. Takýto oprávnený záujem by mohol existovať napr. vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napr. keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách.

Prevádzkovateľ bude musieť:

  • uviesť o aké záujmy ide,
  • zhodnotiť rozsah vplyvu na dotknutú osobu,preukázať, že dotknutá osoba môže v danom čase a kontexte získavania OU primerane rozumne očakávať,
  • uviesť prečo sa nedajú dosiahnuť menej rušivým spôsobom (zásada proporcionality)

Zásady spracúvania podľa nariadenia – čl. 5 ods. 1 OU musia byť:

  • a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe,
  • b) získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s čl. 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi („obmedzenie účelu“),
  • c) primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“),
  • d) správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa OU, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia („správnosť“),
  • e) uchovávané vo forme, kt. umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na kt. sa OU spracúvajú; OU sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s čl. 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb („minimalizácia uchovávania“),
  • f) spracúvané spôsobom, kt. zaručuje primeranú bezpečnosť OU, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

Súhlasom dotknutej osoby podľa nariadenia – je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním OU, ktoré sa jej týka.

Súhlas by sa mal poskytnúť jasným prejavom vôle, kt. je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby a to napr. písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením. Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej OU.

Mlčanie, vopred označené políčka alebo nečinnosť sa nebudú považovať za súhlas.

Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely. Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby pre ktorú sa poskytuje.

Podmienky vyjadrenia súhlasu (čl. 7)
Ods. 1 - Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich OU.
Ods. 2 - Ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, kt. sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho. Akákoľvek časť takéhoto vyhlásenia, kt. predstavuje porušenie tohto nariadenia, nie je záväzná.
Ods. 3 - Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.
Ods. 4 - Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním OU, kt. nie je na plnenie tejto zmluvy nevyhnutný.

Doba spracúvania OU na základe súhlasu by mala byť určiteľná, napr. cez účel spracúvania predmetných OU.

Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti spracúva OU na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku (overiť či má 16 rokov). Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie OU je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.

Informovanie dotknutých osôb podľa nariadenia čl. 13
V prípadoch, keď sa od dotknutej osoby získavajú OU, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní OU dotknutej osobe všetky tieto informácie:

  • a) totožnosť a kontaktné údaje prevádzkovateľa prípadne zástupcu prevádzkovateľa,
  • b) kontaktné údaje prípadnej zodpovednej osoby,
  • c) účely spracúvania, na kt. sú OU určené, ako aj právny základ spracúvania,
  • d) ak sa spracúvanie zakladá na čl. 6 ods. 1 písm. f), oprávnené záujmy, kt. sleduje prevádzkovateľ alebo tretia strana,
  • e) príjemcovia alebo kategórie príjemcov OU ak existujú,
  • f) v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť OU do tretej krajiny (odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté), ďalšie údaje ktoré je potrebné poskytnúť (okrem čl. 13 ods. 1)
  • g) dobu uchovávania presne vypísať dobu (3,5,10,50 rokov), alebo kritériá na jej určenie,
  • h) existenciu práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,
  • i) ak je spracúvanie založené na čl. 6 ods. 1 písm. a) alebo na čl. 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
  • j) právo podať sťažnosť dozornému orgánu,
  • k) informácie o tom, či je poskytovanie OU zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, kt. je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť OU, ako aj možné následky neposkytnutia takýchto údajov,

Právo dotknutej osoby na prístup k údajom:

  • prevádzkovateľ nemôže umožniť výkon práv dotknutej osoby automaticky každému, kto o to požiada,
  • prevádzkovateľ musí pri každej žiadosti overiť totožnosť žiadateľa a určiť, či skutočne ide o dotknutú osobu,
  • prevádzkovateľ už pri zhromažďovaní má určiť identifikátor/y, kt. poskytnutie bude nutné pre výkon práv, napr. aj e-mailová adresa, z kt. budú žiadosti prijímané,
  • pri strate alebo ak nemá dotknutá osoba identifikátor k dispozícii, prevádzkovateľ by mal byť schopný overiť identitu dotknutej osoby inými všeobecnými spôsobmi určenia totožnosti,
  • prevádzkovateľ poskytne kópiu OU ktoré sa spracúvajú, ak o to dotknutá osoba požiada.

Práva dotknutej osoby:

  • ✓ právo na opravu,
  • ✓ právo na výmaz, právo na zabudnutie čl. 17
  • ✓ právo na obmedzenie spracúvania,
  • ✓ právo na prenosnosť údajov,
  • ✓ právo namietať,
  • ✓ právo namietať automatizované individuálne rozhodovanie a profilovanie.

Právo na zabudnutie čl. 17

Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

  • a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali,
  • b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa čl. 6 ods. 1 písm. a) alebo čl. 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie,
  • c) dotknutá osoba namieta voči spracúvaniu podľa čl. 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa čl. 21 ods. 2,
  • d) osobné údaje sa spracúvali nezákonne,
  • e) osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, kt. prevádzkovateľ podlieha,
  • f) osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa čl. 8 ods. 1.

Ak prevádzkovateľ zverejnil OU a podľa čl. 21 ods. 1 je povinný vymazať OU, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto OU, ich kópiu alebo repliky.

Odseky 1 a 2 v článku 21 sa neuplatňujú, pokiaľ je spracúvanie potrebné:

  • a) na uplatnenie práva na slobodu prejavu a informácie,
  • b) na splnenie zákonnej povinnosti, na splnenie úlohy vo verejnom záujme, alebo pri výkone verejnej moci zverenej prevádzkovateľovi….,
  • c) z dôvodov verejného záujmu v oblasti verejného zdravia……
  • d) na účely archivácie, vedeckého alebo historického výskumu, štatistické účely….
  • e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Povinnosti prevádzkovateľa

- vypracuje Záznamy o spracovateľských činnostiach – podľa čl. 30 ods. 1
- poskytuje sa iba Úradu na ochranu osobných údajov

Záznamy o spracovateľských činnostiach čl. 30
ods. 1 Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný.
Tieto záznamy musia obsahovať všetky tieto informácie:

  • a) meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby,
  • b) účely spracúvania,
  • c) opis kategórií dotknutých osôb a kategórií osobných údajov,
  • d) kategórie príjemcov, ktorým boli alebo budú OU poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií,
  • e) v príslušných prípadoch prenosy OU do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v čl. 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk,
  • f) podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov,
  • g) podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v čl. 32 ods. 1.

ods. 2 Každý sprostredkovateľ a v príslušnom prípade zástupca sprostredkovateľa vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú …… str. 49

ods. 3 Záznamy uvedené v ods. 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby.

ods. 4 Prevádzkovateľ alebo sprostredkovateľ a v príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa na požiadanie sprístupnia záznamy dozornému orgánu.

Bezpečnostné opatrenia podľa nariadenia
čl. 24 zodpovednosť prevádzkovateľa
Ods. 1 S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody FO prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

Ods. 2 Ak je to primerané vzhľadom na spracovateľské činnosti opatrenia uvedené v ods. 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

Ods. 3 Dodržiavanie schválených kódexov správania uvedených v čl. 40 alebo schválených certifikačných mechanizmov uvedených v čl. 42 sa môže použiť ako prvok na preukázanie splnenia povinností prevádzkovateľa.

Posúdenie vplyvu na ochranu osobných údajov
Prevádzkovateľ má povinnosť podľa čl. 35 ods. 7 nariadenia posúdiť vplyv na ochranu OU, ktorý musí obsahovať aspoň:

  • a) systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu ako právneho základu podľa čl. 6 ods. 1 písm. f) nariadenia, kt. sleduje prevádzkovateľ,
  • b) posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
  • c) posúdenie rizika pre práva a slobody dotknutých osôb vo vzťahu k rizikovým spracovateľským operáciám a
  • d) opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany OU a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, kt. sa to týka. Vykonané posúdenie vplyvu prevádzkovateľom je povinný prehodnocovať a to aspoň v tedy ak došlo k zmene rizika.

Oznámenie porušenia ochrany osobných údajov dozornému orgánu

čl. 33 ods. 1 – V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možností najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu príslušnému podľa čl. 55 s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany OU povedie k riziku pre práva a slobody FO - (čl. 33 ods. 3 čo musí oznámenie obsahovať).

Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany OU vrátane skutočností spojených s porušením ochrany OU, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom ods. 5 čl. 33.

V prípade porušenia ochrany OU, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody FO, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany OU dotknutej osobe (čl. 34 ods. 1).

Kódexy správania a certifikácie

S cieľom zlepšiť transparentnosť a posilniť súlad s týmto nariadením by sa malo podporiť vytvorenie mechanizmov certifikácie a pečatí a značiek ochrany údajov, aby sa dotknutým osobám umožnilo rýchlo posúdiť úroveň ochrany osobných údajov v prípade relevantných produktov a služieb.

Zodpovedná osoba

Od 25.05.2018 podľa nariadenia GDPR – je povinnosť mať zodpovednú osobu v troch prípadoch. Povinnosť platí pre prevádzkovateľa ale aj pre sprostredkovateľa.

Čl. 37 ods. 1 Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

  • a) spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci,
  • b) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo
  • c) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa čl. 10.
  • (berú sa do úvahy nasledovné faktory – počet dotknutých subjektov údajov, objem dát, doba trvania spracúvania alebo nepretržitosť spracúvania, územný rozsah spracúvania, cielené internetové reklamy pomocou e-mailu (newsletter), profilovanie pre účely posúdenia rizík napr. úverových rizík, sledovanie polohy napr. u mobilných aplikáciách, vernostné programy, behaviorálna reklama, kamerové systémy, napr. chytré merače, chytré autá, inteligentné domy, atď. ).

Zodpovedná osoba sa určí (čl. 37 ods. 5) na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v čl. 39 (napr. odbornými znalosťami sa rozumie dosiahnuté vzdelanie, úspešné absolvovanie seminárov, prednášok či workshopov ako aj samotná prax).
Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb (čl. 37 ods. 6).
Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu. Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.
Zodpovedná osoba musí mať vlastnú e-mailovú adresu napr. zodpovedna.osoba@westernobchod.sk.
Postavenie zodpovednej osoby (čl. 38)

Ods. 1 Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, kt. súvisia s ochranou osobných údajov.

Ods. 2 Prevádzkovateľ a sprostredkovateľ podporujú zodpovednú osobu pri plnení úloh uvedených v čl. 39, a to tak, že poskytujú zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

Ods. 3 Prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s plnením týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

Ods. 4 Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

Ods. 5 Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s právom Únie alebo s právnom členského štátu.

Ods. 6 Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov (nemôže byť štatutár).

Zodpovedná osoba musí mať poverenie, kt. sa zasiela na Úrad na ochranu OU.

Úlohy zodpovednej osoby (čl. 39)

  • ✓ poskytuje informácií a poradenstvo
  • ✓ monitoruje súlad s týmto nariadením, s ostatnými právnymi predpismi,
  • ✓ zvyšuje povedomie a odbornú prípravu personálu
  • ✓ poskytuje poradenstvo na požiadanie, pokiaľ ide o posúdenie vplyvu
  • ✓ spolupracuje s dozorným orgánom
  • ✓ plní úlohy kontaktného miesta pre dozorný orgán
  • ✓ zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.

Pokuty

Za porušenie nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10 000 000 EUR, alebo v prípade podniku až do výšky 2% celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

  • ✘ povinnosti prevádzkovateľa a sprostredkovateľa podľa článkov 8,11,25 až 39 a 42 a 43,
  • ✘ povinnosti certifikačného subjektu podľa čl. 42 a 43,
  • ✘ povinnosti monitorujúceho subjektu podľa čl. 41 ods. 4.

Za porušenie nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

  • ✘ základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 5, 6, 7 a 9,
  • ✘ práva dotknutých osôb podľa čl. 12 až 22,
  • ✘ prenos osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa článkov 44 až 49.

Analýza a hodnotenie rizík
Analýza nutnosti vykonávať