Osobné údaje v praxi a na čo si dať pozor

Osobné údaje v praxi
a na čo si dať pozor

Zásadám a pravidlám disponovania s osobnými údajmi v podmienkach subjektov verejnej správy a bližšie odpovedá aj na časté otázky k tejto téme je venovaný tento príspevok. Bližšie sa budeme venovať oblasti úprav Nariadenia Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej v texte príspevku ako GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Pri uplatňovaní zásad a pravidiel ochrany osobných údajov musia subjekty venovať osobitnú pozornosť postaveniu dieťaťa, pretože vždy musia rešpektovať jeho najlepší záujem. Osobné údaje musia byť spracúvané spravodlivo, transparentne a zákonne. Je potrebné uviesť, že by mali byť získavané len na konkrétny a zákonný účel.

Všetky údaje musia byť teda:

– primerané,

– relevantné a

– obmedzené na nevyhnutný rozsah.

Z dôvodu, že porušenie ochrany osobných údajov môže spôsobiť fyzickým osobám ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby, má prevádzkovateľ povinnosť, ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov oznámiť Úradu na ochranu osobných údajov Slovenskej republiky.

Otázka 1

Aké sú bežné a citlivé osobné údaje v prostredí verejnej správy?

Bežné osobné údaje predstavujú:

1. Fotografia

2. Meno, priezvisko, adresa

3. E-mail

4. Telefónne číslo

5. Dátum narodenia

6. Rodné číslo

7. Známka dieťaťa

Citlivé osobné údaje, tzv. osobitná kategória osobných údajov podľa čl. 9 GDPR

1. rasový alebo etnický pôvod,

2. politické názory,

3. náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách,

4. genetické údaje,

5. biometrické údaje na individuálnu identifikáciu fyzickej osoby,

6. údaje týkajúce sa zdravia,

7. údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie.

Údaje uvedené v osobnom spise musia podliehať prísnemu zachovávaniu mlčanlivosti. Prístup k údajom sa má obmedzovať na školské orgány, školských inšpektorov, zdravotníckych pracovníkov, sociálnych pracovníkov a orgány činné v trestnom konaní. V niektorých prípadoch postačí aj poskytnutie údajov v anonymizovanej podobe.

Na čo si dať pozor?

Vždy je potrebné pri poskytovaní súčinnosti zvážiť všetky riziká, zabrániť neoprávneným osobám nahliadať a čítať v dokumentácii zamestnanca, zabrániť neoprávnenému kopírovaniu, prenosu údajov, úprave, či vymazaniu záznamov a zaviesť opatrenia, ktoré umožnia určiť a overiť komu boli údaje sprístupnené. Hlavné subjekty, s ktorými si subjekt vymieňa údaje sú iné štátne orgány, úrady, obce a podobne. Najdôležitejšie aspekty poskytnutia údajov sú uistiť sa, či je na to oprávnená (na základe zákona, verejného záujmu, súhlasu), či miesto kam majú byť údaje dané zaručuje ich bezpečnosť, uistiť sa, že dotknuté osoby sú informované o príjemcoch.

Zásady bezpečnostných opatrení do praxe

1. Každý zamestnanec pri nakladaní s osobnými údajmi rešpektuje ich povahu, a tomu prispôsobí úkony s tým spojené. Zamestnanec najmä osobné údaje nezverejňuje bez overenia, že takýto postup je možný, nesprístupňuje údaje osobám, ktoré nepreukážu právo ich získať. Zamestnanec sa vždy pokúsi o poskytnutie základných informácií dotknutej osoby; inak odkáže dotknutú osobu na zodpovednú osobu alebo na štatutára (riaditeľa školy, starostu, predsedu, primátora, konateľa).

2. Subjekt pri spracúvaní osobných údajov aktívne spolupracuje so zodpovednou osobou.

3. Subjekt ihneď rieši každý bezpečnostný incident týkajúci sa ochrany osobných údajov, a to v súčinnosti so zodpovednou osobou a spíše sa o ňom záznam.

4. Pre školy: Pedagogická dokumentácia je trvalo uložená v uzamykateľných skrinkách v kanceláriách školy. Triednym učiteľom sú zapožičané len na nevyhnutne potrebnú dobu k vykonaniu zápisov. Údaje o žiakoch by sa nemali vynášať zo školy, poskytovať cudzím osobám kópie a podobne.

5. Osobné spisy zamestnancov sú tiež uchovávané bezpečne v uzamykateľných skrinkách, prístup k nim má len riaditeľ školy, prípadne jeho zástupca a personálne a mzdové oddelenie.

6. Ak zamestnanec, zistí porušenie ochrany osobných údajov, bezodkladne zabráni ďalšiemu neoprávnenému nakladaniu s osobnými údajmi a ohlási túto skutočnosť štatutárovi alebo zodpovednej osobe.

7. Štatutárny orgán alebo zodpovedná osoba sú povinní informovať zamestnancov o všetkých významných skutočnostiach a postupoch v súvislosti so spracúvaním osobných údajov. Zabezpečia, aby boli riadne poučení o právach a povinnostiach pri spracúvaní osobných údajov a podľa možností zabezpečia vzdelávanie a preškoľovanie v oblasti ochrany osobných údajov.

8. Používanie služobných zariadení by malo byť bezpečnejšie. Je na zamestnávateľovi a internej smernici o osobných údajoch, aby určili pravidlá používania služobných mobilov, tabletov alebo notebookov.

9. Povinnosti a odporúčania pri spracúvaní osobných údajov možno zapracovať napríklad do pracovného poriadku, internej smernice na ochranu osobných údajov.

10. Pre školy: Treba spomenúť, že triedny učiteľ má prístup k údajom žiakov a ich rodičov len v rámci jemu pridelenej triedy, k údajom o zdravotnom stave žiaka, k správam z vyšetrenia a posudkom má prístup len výchovný poradca, vedúci pedagogickí pracovníci, triedny učiteľ. Riaditeľ školy, zástupca riaditeľa, kontrolné orgány budú mať pravdepodobne prístup k celej databáze. Rodič má právo len na prístup k údajom o svojom dieťati. Osobné údaje vedené v elektronickej podobe, napríklad v prípade elektronickej žiackej knižky, sa uchovávajú len v zabezpečenom systéme. Do tohto systému majú prístup jednotliví pedagógovia a ďalšie osoby poverené riaditeľom škôl, a to len na základe jedinečného prihlasovacieho mena a hesla a len v rámci oprávnenia daného funkčným zaradením. Rodičia a žiaci majú zabezpečený vzdialený prístup výhradne k vlastným údajom, na základe prideleného hesla, odovzdaného individuálne triednym učiteľom.

11. Heslá musia byť chránené a nesmú sa s nikým zdieľať. Pri práci s elektronickou evidenciou nesmie oprávnená osoba opustiť počítač bez odhlásenia.

12. V rámci neautomatizovaného spracúvania údajov v účtovnej agende sú povereným oprávneným osobám za účelom automatizovaného zaúčtovania (vedenia účtovníctva) poskytované v písomnej forme požadované podklady, vrátane osobných údajov dotknutých osôb v rozsahu potrebnom na zaúčtovanie dohôd, zmlúv s fyzickými osobami a podobne. Ochrana osobných údajov využívaných ako podklady účtovnej agendy sa prioritne zabezpečujú riadeným prístupom do priestorov ich spracúvania, požadovanou evidenciou a ukladaním písomností obsahujúcich osobné údaje dotknutých osôb.

Tiež je potrebné, aby dotknutá osoba mohla svoj súhlas odvolať a bola o tomto práve jasne a zreteľne informovaná a tiež, aby súhlas mohla odvolať tak jednoducho, ako ho poskytla (napríklad, ak súhlas poskytla zakliknutím „checkboxu“, tak odvolať by ho mala mať možnosť tiež elektronicky, napríklad zaslaním žiadosti na prevádzkovateľom ustanovený e-mail; prevádzkovateľ by mal zabezpečiť, že ak súhlas dotknutá osoba poskytne elektronicky, tak ho aj elektronicky, prípadne aj inak ako elektronicky môže odvolať).

Prevádzkovateľ, ktorý je orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci, alebo ak hlavnými činnosťami Prevádzkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, je povinný určiť zodpovednú osobu a jej určenie nahlásiť na Úrad na ochranu osobných údajov Slovenskej republiky.

Otázka 2

Čo znamená súhlas dieťaťa so službami informačnej spoločnosti?

Súhlas osoby mladšej ako 16 rokov so službami informačnej spoločnosti znamená, že ak chce osoba mladšia ako 16 rokov využiť služby informačnej spoločnosti, tak v prípade, ak je potrebné na tento účel poskytnúť súhlas so spracúvaním osobných údajov, tento súhlas buď poskytne osoba mladšia ako 16 rokov a jej rodič/zákonný zástupca/súdom určený opatrovník ho schváli, potvrdí prevádzkovateľovi, alebo súhlas priamo za menej ako 16 ročného poskytne jeho rodič/zákonný zástupca/súdom určený opatrovník; iba v takom prípade bude prevádzkovateľ tieto osobné údaje osoby mladšej ako 16 rokov spracúvať prevádzkovateľ zákonne.

Otázka 3

Je možné súhlas získať aj inak ako písomne, alebo elektronicky?

Podľa čl. 4 ods. 11 nariadenia je súhlas dotknutej osoby „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka“; zo samotnej definície súhlasu vyplýva, že súhlasom je akýkoľvek prejav vôle dotknutej osoby, ak spĺňa v definícii uvedené náležitosti, teda súhlas je možné získať aj napríklad nahraním cez telefón, alebo nahraním na kameru, za splnenia poskytnutia informácií podľa čl. 13 nariadenia najneskôr v čase získania súhlasu.

Prevádzkovateľ nesmie zabúdať na zásadu, že je povinný získanie súhlasu preukázať, teda napríklad uchovávať si papierové súhlasy, alebo uchovávať si nahrávky súhlasov, alebo elektronicky poskytnuté súhlasy mať uložené napríklad v optickom archíve.

Otázka 4

Aké sú príklady technických bezpečnostných opatrení, ktoré sa v kontexte spracúvania osobných údajov môžu uplatniť na základe konkrétnych podmienok prevádzkovateľa alebo sprostredkovateľa jeho prostredí?

Technické bezpečnostné opatrenia predstavujú najmä:

1. Zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia).

2. Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovacích jednotiek).

3. Šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových sietí.

4. Identifikácia, autentizácia a autorizácia osôb v informačnom systéme.

5. Vytváranie záloh s vopred zvolenou periodicitou.

6. Bezpečné vymazanie osobných údajov z dátových nosičov.

7. Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete alebo z dátových nosičov.

8. Pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam).

Dr. Jozef Sýkora, MBA

§ 1 zákona č. 18/2018 Z. z.
citácia na strane 70

Predmet úpravy

Tento zákon upravuje

a) ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov,

b) práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,

c) postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).

§ 2 zákona č. 18/2018 Z. z.
citácia na strane 70

Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje,¹) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.

§ 3 zákona č. 18/2018 Z. z.
citácia na strane 70

Pôsobnosť

(1) Tento zákon sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

(2) Tento zákon, okrem § 2, § 5, druhej a tretej časti zákona, sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje osobitný predpis o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom...

ZÁKONY 2026

ZÁKONY 2026

Vypredané

18,20 €