Ochrana osobných údajov – vysvetlenie základných princípov

Ochrana osobných údajov je nepochybne slovné spojenie, s ktorým ste sa už určite stretli. Obzvlášť  v online na nás ochrana osobných údajov „vyskakuje“ v cookies banneroch neustále. Vidíme, že čím ďalej tým viac webových stránok má podstránky „privacy policy“, zásady osobných údajov, „cookies policy“ a pod.

Viete však čo si pod samotnou ochranou osobných údajov predstaviť? V tomto článku sa dočítate čo znamená ochrana osobných údajov, aké právne predpisy ju upravujú, na koho sa vzťahuje a kto je to zodpovedná osoba. Ochrana osobných údajov sa týka subjektov, ktoré osobné údaje spracúvajú. Ale aj bežných osôb, ktorých osobné údaje sú spracúvané. Prinášame stručný prehľad.

Čo je ochrana osobných údajov?

V článku „Čo patrí medzi osobné údaje“ sme sa venovali priamo osobným údajom – čo považujeme za osobné údaje. Na účely tohto článku možno zjednodušene povedať, že osobné údaje sú citlivé informácie, ktoré slúžia k identifikácii osoby. Spracúvanie takýchto údajov je preto potrebné limitovať, aby sa zabezpečila ich ochrana. 

Ochrana osobných údajov vychádza zo základného ľudského práva – právo na rešpektovanie súkromného a rodinného života. Uvedené právo chráni každú osobu pred neoprávneným zasahovaním do jej súkromného a rodinného života. Taktiež toto právo chráni každú osobu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o jej osobe.

Takéto údaje sa preto môžu spracúvať len so súhlasom danej osoby. Možno teda povedať, že ochrana osobných údajov predstavuje systém limitov a podmienok spracúvania osobných údajov. Takáto ochrana má zamedziť zneužitiu týchto údajov v neprospech danej osoby.

Nariadenie GDPR, zákon o ochrane osobných údajov a iné právne predpisy

Hlavnou úlohou úpravy ochrany osobných údajov je dohľad nad spracúvaním a využívaním osobných údajov. 

V právnom poriadku Slovenskej republiky upravuje ochranu osobných údajov Zákon o ochrane osobných údajov. Tomuto zákonu je však nadradené Nariadenie GDPR. Kedy sa použije slovenský zákon a kedy Nariadenie GDPR upravujeme v článku Nariadenie GDPR vs. zákon o ochrane osobných údajov.

Vo všeobecnosti sa však primárne používa Nariadenie GDPR. Ide o súbor ucelených pravidiel na ochranu osobných údajov v rámci EÚ.

Treba však zdôrazniť, že ochranu osobných údajov upravujú aj nasledovné právne predpisy: 

• Ústava Slovenskej republiky, 
• Vyhláška o rozsahu a dokumentácii bezpečnostných opatrení,
• Vyhláška o skúške fyzickej osoby na výkon funkcie zodpovednej osoby,
• Občiansky zákonník,
• Správny poriadok,
• Trestný zákon. 

Na koho sa vzťahuje úprava ochrany osobných údajov? 

Podmienky ochrany osobných údajov sa vzťahujú na každý subjekt, ktorý systematicky spracúva osobné údaje. 

V zásade možno pod takýmto subjektom chápať nasledovné: 

• štátna správa, 
• územná samospráva,
• orgány verejnej moci,
• právnické osoby,
• fyzické osoby. 

Uvedené subjekty preto vystupujú v postavení buď prevádzkovateľa alebo sprostredkovateľa spracúvania osobných údajov. V niektorých prípadoch aj fyzická osoba je subjektom, ktorý spracúva osobné údaje.

V prípade, ak pri vašej činnosti spracúvate osobné údaje bez ohľadu na váš „status“, máte povinnosti vyplývajúce z GDPR Nariadenia. Pri fyzických však osobách existujú výnimky.

Aj keď sa úprava ochrany osobných údajov vzťahuje aj na spracúvanie fyzickou osobou, nie vždy máte povinnosti vyplývajúce z GDPR a legislatívy. Ak osobné údaje spracúvate v rámci výlučne osobnej alebo domácej činnosti, nebudete mať postavenie prevádzkovateľa, či sprostredkovateľa spracúvania. Príkladom je situácia, ak si na vlastné súkromné účely vediete telefónny zoznam členov vašej rodiny, kamarátov, či známych. 

Naopak, postavenie prevádzkovateľa alebo sprostredkovateľa máte, napríklad ak vlastníte spoločnosť. Pri výkone činností vašej spoločnosti dochádza z vašej strany k spracúvaniu osobných údajov viacerých osôb, napr. vašich zamestnancov, obchodných partnerov, osôb navštevujúcich vašu webovú stránku, či uchádzačov o zamestnanie a pod. 

Kto je zodpovedná osoba a aká je jej činnosť? 

Zodpovedná osoba je osoba, ktorú si stanoví prevádzkovateľ (napr. podnikateľ), aby dohliadala nad spracovaním osobných údajov. 

Zodpovedná osoba plní nasledovné úlohy: 

• prevádzkovateľovi alebo sprostredkovateľovi poskytuje informácie a poradenstvo o povinnostiach pri spracúvaní osobných údajov,
• monitoruje dodržiavanie súladu spracúvania s právnou úpravou,
• spolupracuje s Úradom na ochranu osobných údajov pri plnení svojich úloh a
• plní aj úlohy kontaktného miesta pre tento úrad.

Zákon o ochrane osobných údajov vymedzuje kedy je prevádzkovateľ alebo sprostredkovateľ povinný určiť zodpovednú osobu. Ide o nasledovné situácie:

• spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
• hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
• hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa § 16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.

Z uvedeného vyplýva, že nie každý prevádzkovateľ, či sprostredkovateľ je povinný určiť si zodpovednú osobu (DPO). 

Pokuty GDPR

Pri subjektoch, ktoré však povinné sú, môžeme hovoriť aj o sankciách za nesplnenie si svojej povinnosti. Pokuty zo strany Úradu na ochranu osobných údajov za nesplnenie povinnosti určiť si zodpovednú osobu dosahujú až sumu do 10 000 000 €. Ak ide o podnik, takáto pokuta môže byť vo výške až do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Napriek tomu, že tieto pokuty sa netýkajú subjektov, ktorým povinnosť nevzniká, nie je vylúčené, že prevádzkovateľa alebo sprostredkovateľa postihne iná pokuta. Najčastejšie sa totižto stáva, že prevádzkovatelia alebo sprostredkovatelia dostanú pokutu za porušenie ochrany osobných údajov.

V prípade, že sa vám video nezobrazuje a chcete ho vidieť, je potrebné povoliť zbieranie súborov cookies alebo ísť na náš GDPR YouTube kanál.

GDPR dokumentácia a externá zodpovedná osoba pre vašu firmu – securion

Ochrana osobných údajov je významnou oblasťou a nastavenie súladu s Nariadením GDPR je v rámci subjektov často náročné. Každý subjekt, ktorý spracúva osobné údaje je povinný mať prijatú dokumentáciu, procesy, postupy a bezpečnostné opatrenia.

Pri kontinuálnom riešení úloh vyplývajúcich z predpisov o ochrane osobných údajov vám môže pomôcť externý konzultant. Vhodné je aj  určenie zodpovednej osoby (DPO), ktorá má úlohy stanovené priamo nariadením. Zodpovedná osoba môže byť externá aj interná. Nie je povinnou, ale vie pomôcť s GDPR v každom subjekte. Pozícia DPO (zodpovednej osoby) vyžaduje znalosti a vzdelanie v oblasti. 

V súčasnosti sa čoraz viac spoločností pôsobiacich na slovenskom trhu uberá cestou zodpovedného podnikania a v dôsledku toho si určujú aj samotnú zodpovednú osobu. Odpadne im tak nepríjemná povinnosť nastavovať do súladu s Nariadením GDPR všetky procesy spoločnosti a môžu sa zameriavať na svoje hlavné činnosti bez obavy z udelenia pokuty. 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb