14. 6. 2026
0,00 €
poradca.sk
INFORMAČNÝ PORTÁL
sk Slovenský Poradca
cs Český Poradce

Postup pri posudzovaní vplyvu na ochranu osobných údajov

 

 

 

Postup vplyvu je upravený vyhláškou Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. Vyhláška nadobudla účinnosť 15. júna 2018.

Úrad na ochranu osobných údajov

Tento úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.

Pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

Kontrola spracúvania osobných údajov

Kontrolu spracúvania osobných údajov, kontrolu dodržiavania kódexu správania schváleného úradom podľa § 85 zákona č. 18/2018 Z. z., kontrolu súladu spracúvania osobných údajov s vydaným certifikátom podľa § 86 zákona č. 18/2018 Z. z. a kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie podľa § 87 a § 88 zákona č. 18/2018 Z. z. vykonáva úrad prostredníctvom kontrolného orgánu zloženého zo zamestnancov úradu.

Každý člen kontrolného orgánu vykonáva kontrolu na základe písomného poverenia vedúceho zamestnanca; ak je vedúci zamestnanec členom kontrolného orgánu, členovia kontrolného orgánu vykonávajú kontrolu na základe písomného poverenia predsedu úradu.

Kontrolný orgán vykoná kontrolu na základe plánu kontrol alebo na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom alebo v rámci konania o ochrane osobných údajov.

Vyhláška o postupe posúdenia vplyvu na ochranu osobných údajov

Prípady spracovateľských operácií, ktoré podliehajú posúdeniu vplyvu na ochranu osobných údajov a postup pri posudzovaní vplyvu na ochranu osobných údajov podľa zákona o ochrane osobných údajov ustanovuje všeobecne záväzný právny predpis vydaný úradom, ktorým je vyhláška o postupe pri posudzovaní vplyvu na ochranu osobných údajov.

Táto vyhláška upravuje postup prevádzkovateľa pri posudzovaní vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov podľa § 42 ods. 1 a 3 zákona č. 18/2018 Z. z. o ochrane osobných údajov.

Ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziko, postačí jedno posúdenie.

Prevádzkovateľ je povinný počas vykonávania posúdenia vplyvu na ochranu osobných údajov konzultovať jednotlivé postupy so zodpovednou osobou, ak bola určená.

Kedy sa vyžaduje posúdenie vplyvu na ochranu osobných údajov

Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o

–   systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich sa dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa dotknutej osoby alebo s podobne závažným vplyvom na ňu,

–   spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku,

–   systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.

Do osobitných kategórii osobných údajov patria údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Spracúvať osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.

Obsah posúdenia vplyvu
na ochranu osobných údajov

–   systematický opis plánovaných spracovateľských operácií a účel spracúvania osobných údajov vrátane uvedenia prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,

–   posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,

–   posúdenie rizika pre práva dotknutej osoby,

–   opatrenia na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu so zákonom o ochrane osobných údajov s prihliadnutím na práva a oprávnené záujmy dotknutej osoby a ďalších fyzických osôb, ktorých sa to týka.

Pri posudzovaní dosahu spracovateľských operácií vykonávaných prevádzkovateľom alebo sprostredkovateľom úrad zohľadňuje, či prevádzkovateľ alebo sprostredkovateľ postupuje v súlade so schváleným kódexom správania alebo certifikátom, a to najmä na účely posúdenia vplyvu na ochranu osobných údajov.

Schválením kódexu správania zo strany úradu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa dodržiavať zákon o ochrane osobných údajov alebo nariadenie.

Žiadosť o schválenie návrhu kódexu správania, návrhu zmeny schváleného kódexu správania alebo návrhu rozšírenia schváleného kódexu správania podáva úradu združenie alebo iný subjekt.

Prevádzkovateľ je oprávnený získavať názory dotknutej osoby alebo organizácie, ktorá zastupuje jej záujmy, na zamýšľané spracúvanie osobných údajov; ochrana obchodných záujmov, verejného záujmu alebo bezpečnosť spracovateľských operácií nesmie byť dotknutá.

Prevádzkovateľ je povinný posúdiť, či sa spracúvanie osobných údajov uskutočňuje v súlade s posúdením vplyvu na ochranu osobných údajov, a to najmä, ak došlo k zmene rizika, ktoré predstavuje spracovateľská operácia.

Obsah dokumentácie pri posúdení vplyvu

–   opis plánovaného spracúvania,

–   posúdenie nevyhnutnosti a primeranosti v spojení s opatreniami na preukázanie súladu so zákonom o ochrane osobných údajov,

–   posúdenie rizika pre práva fyzickej osoby v spojení s opatreniami na riešenie rizík,

–   dokumentáciu podľa § 6 vyhlášky,

–   monitorovanie a preskúmanie.

Opis plánovaného spracúvania

Ide o systematický opis spracovateľských operácií zameraných na povahu, rozsah, kontext a účely spracúvania osobných údajov. Tento opis obsahuje najmä účely spracúvania osobných údajov.

V prípade ak sú osobné údaje spracúvané na základe § 13 ods. 1 písm. f) zákona o ochrane osobných údajov, opis spracovateľských operácií obsahuje aj konkrétnu charakteristiku oprávneného záujmu prevádzkovateľa alebo tretej strany vrátane

–   opisu posúdenia oprávnenosti záujmu prevádzkovateľa alebo tretej strany,

–   opisu vzťahu prevádzkovateľa a dotknutých osôb,

–   podmienok, na ktorých základe dotknutá osoba môže primerane očakávať spracovateľské operácie s osobnými údajmi, ktoré sa jej týkajú,

–   posúdenia primeranosti spracovateľských operácií a odôvodnenia prevahy záujmu prevádzkovateľa alebo tretej strany nad právami fyzickej osoby.

Ide o spracúvanie osobných údajov, ktoré je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.

Opis plánovaného spracúvania obsahuje aj

–   zoznam alebo rozsah osobných údajov, ktoré sú predmetom spracúvania,

–   zoznam alebo okruh príjemcov, ktorým sú osobné údaje poskytnuté,

–   vymedzenie obdobia uchovávania osobných údajov.

-   Kódex správania

Ak sa na spracúvanie osobných údajov vzťahuje schválený kódex správania, súčasťou opisu spracovateľských operácií sú odkazy na tie časti kódexu správania, ktoré prevádzkovateľ pri posudzovaní vplyvu na ochranu osobných údajov zohľadnil.

-   Certifikát

Ak sa na spracúvanie osobných údajov vzťahuje platný certifikát, súčasťou opisu spracovateľských operácií sú odkazy na tie časti žiadosti o vydanie certifikátu a jej príloh, ktoré preukazujú súlad spracúvania osobných údajov so zákonom a existenciu primeraných záruk ochrany osobných údajov.

Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva subjekt, ktorému bola udelená akreditácia podľa § 88 v súlade so zákonom o ochrane osobných údajov, alebo úrad.

Prevádzkovateľ alebo sprostredkovateľ na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa zákona č. 18/2018 Z. z. alebo nariadenia môže požiadať úrad alebo certifikačný subjekt o vydanie certifikátu alebo obnovenie certifikátu. Certifikát sa vydá alebo obnoví najviac na obdobie troch rokov.

Úrad alebo certifikačný subjekt posudzuje súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa na základe certifikačných kritérií v súlade so zákonom. Vydaním certifikátu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa za dodržiavanie zákona a nariadenia ani nie sú dotknuté právomoci úradu podľa zákona o ochrane osobných údajov.

Certifikát je verejnou listinou, pričom úrad zverejňuje vydané certifikáty na svojom webovom sídle. Žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu úradom musí obsahovať zákonom vymedzené náležitosti.

Posúdenie nevyhnutnosti a primeranosti

Na zabezpečenie súladu so zákonom o ochrane osobných údajov musí byť spracovateľská operácia vo vzťahu k účelu spracúvania osobných údajov nevyhnutná a primeraná.

-   Nevyhnutnosť spracovateľskej operácie

Tá sa preukazuje jej posúdením vo vzťahu k požadovanému účelu spracúvania osobných údajov.

-   Primeranosť spracovateľskej operácie

Táto sa preukazuje posúdením jej povahy, rozsahu a kontextu, ktorý musí zodpovedať účelu spracúvania osobných údajov.

Pri posúdení nevyhnutnosti a primeranosti spracovateľskej operácie sa zohľadní a odôvodní každé opatrenie prijaté na dosiahnutie súladu so zákonom, najmä:

   uplatnenie zásady zákonnosti,

Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

   uplatnenie zásady obmedzenia účelu,

Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby, sa nepovažuje za nezlučiteľné s pôvodným účelom.

   uplatnenie zásady minimalizácie osobných údajov,

Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.

   uplatnenie zásady správnosti,

Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.

   uplatnenie zásady minimalizácie uchovávania,

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.

   uplatnenie zásady integrity a dôvernosti,

Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.

   dodržiavanie postupov na uplatňovanie práv dotknutých osôb podľa § 19 až 28 zákona o ochrane osobných údajov,

   dodržiavanie postupov na zabezpečenie zákonného spracúvania osobných údajov sprostredkovateľom,

Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje. Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa.

Sprostredkovateľ je povinný vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu. Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je ustanovený predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.

   primerané záruky súvisiace s prenosom osobných údajov do tretej krajiny alebo medzinárodnej organizácii,

Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii.

   primerané technické a organizačné opatrenia,

Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad. Prevádzkovateľ je povinný pri špecificky navrhnutej ochrane osobných údajov zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby. Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb. Na preukázanie splnenia povinností môže prevádzkovateľ použiť certifikát.

   názory dotknutých osôb alebo organizácií zastupujúcich záujmy dotknutých osôb na spracúvanie osobných údajov.

Prevádzkovateľ je oprávnený získavať názory dotknutej osoby alebo organizácie, ktorá zastupuje jej záujmy, na zamýšľané spracúvanie osobných údajov; ochrana obchodných záujmov, verejného záujmu alebo bezpečnosť spracovateľských operácií nesmie byť dotknutá.

-   Posúdenie rizika pre práva
fyzickej osoby v spojení
s opatreniami na riešenie rizík

Prevádzkovateľ pri posúdení rizika pre práva fyzickej osoby zohľadní najmä

–   opis plánovaného spracúvania,

–   nevyhnutnosť a primeranosť spracovateľskej operácie,

–   opis podmienok spracúvania osobných údajov zákona vrátane existujúcich bezpečnostných opatrení prijatých podľa § 39 zákona o ochrane osobných údajov.

Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä pseudonymizáciu a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.

Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom.

Súlad s požiadavkami možno preukázať schváleným kódexom správania alebo certifikátom. Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby fyzická osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

-   Posúdenie rizika pre práva
fyzickej osoby prevádzkovateľ vykonáva z pohľadu dopadov
na fyzickú osobu

pričom zohľadňuje najmä riziko súvisiace s náhodným alebo nezákonným poškodením, zničením, stratou, zmenou, neoprávneným prístupom a poskytnutím alebo zverejnením osobných údajov, ako aj s akýmkoľvek iným neprípustným spôsobom spracúvania, pričom identifikuje

–   hrozby a pravdepodobnosť ich výskytu,

–   zraniteľnosti zneužiteľné hrozbami,

–   riziká a pravdepodobnosť ich výskytu a závažnosť,

–   a zhodnotí mieru dopadu na práva fyzickej osoby v dôsledku straty integrity, dôvernosti a dostupnosti údajov,

–   vysoké riziko pre práva fyzickej osoby, ak neprijme opatrenia na zmiernenie rizika.

-   Prevádzkovateľ pri posúdení rizík spracovateľských operácií môže postupovať aj podľa
medzinárodných noriem

Prevádzkovateľ prijme primerané opatrenia na zmiernenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu so zákonom.

-   Prevádzkovateľ prijme
primerané opatrenia na zabezpečenie pravidelného monitorovania všetkých podmienok
spracúvania osobných údajov

ktoré zohľadnil pri posudzovaní rizika pre práva fyzickej osoby, vrátane kontroly zavedených postupov. Prevádzkovateľ môže postupovať aj podľa medzinárodných noriem.

Prevádzkovateľ pri prijímaní opatrení na zmiernenie rizík pre práva fyzickej osoby postupuje v primeranom rozsahu podľa prílohy k vyhláške.

Preukazovanie súladu vyhlášky so zákonom o ochrane osobných údajov

Na preukazovanie súladu so zákonom, prevádzkovateľ zdokumentuje posúdenie vplyvu v rozsahu podľa § 2 písm. a) až c) a e).

S ohľadom na povahu, rozsah a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby je prevádzkovateľ povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s týmto zákonom. Uvedené opatrenia je prevádzkovateľ povinný podľa potreby aktualizovať.

Dokumentáciou pri posúdení vplyvu sa rozumie aj dokumentácia podľa osobitného predpisu, ak sa v nej preukazuje účel spôsobom podľa tejto vyhlášky.

Osobitným predpisom je napríklad zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Bezpečnostnými opatreniami na účely zákona o kybernetickej bezpečnosti sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov.

Bezpečnostné opatrenia realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti sa prijímajú s cieľom predchádzať kybernetickým bezpečnostným incidentom a minimalizovať vplyv kybernetických bezpečnostných incidentov na kontinuitu prevádzkovania služby.

Bezpečnostné opatrenia sú všeobecné, realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti pre všetky siete a informačné systémy a sektorové, ktoré sa realizujú na základe špecifík kategorizácie sietí a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti podľa prílohy č. 1 k zákonu a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti.

Klasifikácia informácií a kategorizácia sietí a informačných systémov

sa vykonáva na základe významnosti, funkcie a účelu informácií a informačných systémov s ohľadom na dôvernosť, integritu, dostupnosť, kvalitu služby a kontrolnú činnosť.

Bezpečnostné opatrenia sa prijímajú najmä pre oblasť

–   organizácie informačnej bezpečnosti,

–   riadenia aktív, hrozieb a rizík,

–   personálnej bezpečnosti,

–   riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov,

–   technických zraniteľností systémov a zariadení,

–   riadenia bezpečnosti sietí a informačných systémov,

–   riadenia prevádzky,

–   riadenia prístupov,

–   kryptografických opatrení,

–   riešenia kybernetických bezpečnostných incidentov,

–   monitorovania, testovania bezpečnosti a bezpečnostných auditov,

–   fyzickej bezpečnosti a bezpečnosti prostredia,

–   riadenia kontinuity procesov.

Bezpečnostné opatrenia musia zahŕňať

najmenej

–   detekciu kybernetických bezpečnostných incidentov,

–   evidenciu kybernetických bezpečnostných incidentov,

–   postupy riešenia a riešenie kybernetických bezpečnostných incidentov,

–   určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,

–   pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.

Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.

Opatrenie na elimináciu rizík pre práva fyzickej osoby

Technické opatrenia

-   Technické opatrenia - technické opatrenie realizované prostriedkami fyzickej povahy

–   zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia),

–   zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu (napr. steny, mreže alebo presklenia),

–   umiestnenie dôležitých prostriedkov informačných technológií v chránenom priestore a ochrana informačnej infraštruktúry pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia,

–   bezpečné uloženie fyzických nosičov osobných údajov vrátane bezpečného uloženia listinných dokumentov,

–   opatrenie na zamedzenie náhodného prečítania osobných údajov zo zobrazovacích jednotiek (napr. vhodné umiestnenie zobrazovacích jednotiek).

-   Technické opatrenia – ochrana pred neoprávneným prístupom

–   šifrová ochrana uložených a prenášaných údajov, pravidlá pre kryptografické opatrenia,

–   pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza.

-   Technické opatrenia – riadenie prístupu poverených osôb

–   riadenie prístupov a opatrenia na zaručenie platných politík riadenia prístupov (napr. identifikácia, autentizácia a autorizácia osôb v informačnom systéme),

–   riadenie privilegovaných prístupov v informačnom systéme,

–   zaznamenávanie prístupu a aktivít poverených osôb v informačnom systéme.

-   Technické opatrenia – riadenie zraniteľností

–   opatrenia na detekciu a odstránenie škodlivého kódu a nápravu následkov škodlivého kódu,

–   ochrana pred nevyžiadanou elektronickou poštou,

–   používanie legálneho a prevádzkovateľom schváleného softvéru,

–   opatrenia na zaručenie pravidelnej aktualizácie operačných systémov a programového aplikačného vybavenia,

–   pravidlá sťahovania súborov z verejne prístupnej počítačovej siete a spôsob ich overovania,

–   filtrovanie sieťovej komunikácie,

–   zhromažďovanie informácií o technických zraniteľnostiach informačných systémov, vyhodnocovanie úrovne rizík a implementácia opatrení na potlačenie týchto rizík.

-   Technické opatrenia – sieťová bezpečnosť

–   kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou počítačovou sieťou,

–   ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástrojov sieťovej bezpečnosti (napr. firewall), segmentácia počítačovej siete,

–   pravidlá prístupu do verejne prístupnej počítačovej siete, opatrenia na zamedzenie pripojenia k určitým adresám, pravidlá používania sieťových protokolov,

–   ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok),

–   aktualizácia operačného systému a programového aplikačného vybavenia.

-   Technické opatrenia – zálohovanie

–   test funkčnosti záložných dátových nosičov,

–   vytváranie záloh s vopred zvolenou periodicitou,

–   určenie doby uchovávania záloh a kontrola jej dodržiavania,

–   test obnovy informačného systému zo zálohy,

–   bezpečné ukladanie záloh.

-   Technické opatrenia
– likvidácia osobných údajov a dátových nosičov

–   technické opatrenia na bezpečné vymazanie osobných údajov z dátových nosičov,

–   zariadenie na mechanické zničenie dátových nosičov osobných údajov (napr. zariadenie na skartovanie listín a dátových médií).

Organizačné opatrenia

-   Personálne opatrenia

–   poverenie osoby prevádzkovateľom alebo sprostredkovateľom, ktorá má prístup k osobným údajom,

–   pokyny prevádzkovateľa na spracúvanie osobných údajov, najmä vymedzenie osobných údajov, ku ktorým má mať konkrétna osoba prístup na plnenie jej povinností alebo úloh, určenie postupov, ktoré je poverená osoba povinná uplatňovať pri spracúvaní osobných údajov, vymedzenie základných postupov alebo operácií s osobnými údajmi, vymedzenie zodpovednosti za porušenie zákona.

–   poučenie poverených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov),

–   určenie zodpovednej osoby podľa zákona o ochrane osobných údajov,

–   vzdelávanie poverených osôb (napr. právna oblasť, oblasť informačných technológií),

–   postup pri ukončení pracovného alebo obdobného pracovného vzťahu alebo obdobného pomeru poverenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poučenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti),

–   práca na diaľku a pravidlá mobilného spracovania dát.

Poznámka

Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci, hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku vo veľkom rozsahu.

Skupina podnikov môže určiť jednu zodpovednú osobu, ak táto osoba bude spôsobilá plniť úlohy pre každý podnik zo skupiny podnikov. Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávna inštitúcia, môže byť pre viaceré takéto orgány alebo inštitúcie určená jedna zodpovedná osoba, pričom sa zohľadní ich rozsah a ich organizačná štruktúra. Zodpovednú osobu môže určiť prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takých združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

Prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov je povinný určiť zodpovednú osobu, ak sa to vyžaduje v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov a na základe spôsobilosti plniť úlohy. Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy. Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.

Zodpovedná osoba najmä

poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa tohto zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov, monitoruje súlad s týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa súvisiacimi s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov, poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania, spolupracuje s úradom pri plnení svojich úloh, plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov vrátane predchádzajúcej konzultácie a podľa potreby aj konzultácie v iných veciach.

Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov.

-   Riadenie aktív

–   vedenie inventárneho zoznamu aktív a jeho pravidelná aktualizácia,

–   evidencia všetkých miest prepojenia sietí vrátane prepojení s verejne prístupnou počítačovou sieťou,

–   určenie vlastníctva aktív a zodpovednosti za riziká,

–   pravidlá a postupy klasifikácie informácií,

–   pravidlá a postupy na označovanie informácií a zaobchádzanie s nimi v súlade s platnou klasifikačnou schémou,

–   pravidlá na prijateľné používanie informácií a aktív spojených s prostriedkami na spracúvanie informácií,

–   opatrenia na vrátenie aktív (napr. prostriedkov spracúvania osobných údajov) patriacich prevádzkovateľovi po ukončení pracovného pomeru, po vypršaní uzatvorenej dohody alebo zmluvy, pri zmene pracovného miesta alebo pracovného zaradenia a pod.

-   Riadenie prístupu osôb
k osobným údajom

–   pravidlá fyzického vstupu do objektu a chránených priestorov prevádzkovateľa,

–   správa prístupových prostriedkov a zariadení do objektov (individuálne prideľovanie kľúčov, elektronických kľúčov, vstupných kariet a bezpečné ukladanie ich rezerv),

–   pravidlá prideľovania prístupových práv a úrovní prístupu (rolí) povereným osobám,

–   politika hesiel a pravidlá používania autorizačných a autentizačných prostriedkov,

–   pravidlá vzájomného zastupovania poverených osôb (napr. pri nehode, dočasnej pracovnej neschopnosti, ukončení pracovného alebo obdobného pomeru),

–   pravidlá odstránenia alebo zmeny prístupových práv poverených osôb a zariadení na spracúvanie informácií pri ukončení zamestnania, zmluvy alebo dohody, alebo prispôsobenie zmenám rolí.

-   Organizácia spracúvania
osobných údajov

–   pravidlá spracúvania osobných údajov v chránenom priestore,

–   nepretržitá prítomnosť poverenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako poverené osoby,

–   režim údržby a upratovania chránených priestorov,

–   pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovedností, pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovedností, pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovedností.

-   Likvidácia osobných údajov

–   určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých poverených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov).

-   Porušenia ochrany osobných údajov

–   postup pri oznamovaní porušenia ochrany osobných údajov úradu a dotknutej osobe na včasné prijatie preventívnych alebo nápravných opatrení,

–   pravidelné preskúmavanie záznamov udalostí, záznamov o aktivitách používateľov, záznamov o výnimkách,

–   evidencia porušení ochrany osobných údajov a použitých riešení,

–   postup identifikácie a riešenia jednotlivých typov porušení ochrany osobných údajov,

–   postup odstraňovania následkov porušení ochrany osobných údajov,

–   postupy zaručenia kontinuity pri havárii alebo inej mimoriadnej udalosti,

–   postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania.

-   Kontrolná činnosť

–   kontrolná činnosť zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov),

–   informovanie osôb o kontrolnom mechanizme, ak ho prevádzkovateľ alebo sprostredkovateľ má zavedený (rozsah kontroly a spôsoby jej uskutočňovania),

–   postupy monitorovania súladu spracúvania osobných údajov. Prevádzkovateľ je povinný posúdiť, či sa spracúvanie osobných údajov uskutočňuje v súlade s posúdením vplyvu na ochranu osobných údajov, a to najmä, ak došlo k zmene rizika, ktoré predstavuje spracovateľská operácia.

-   Dodávateľské vzťahy

–   postup overenia dostatočných záruk,

–   začlenenie požiadaviek na ochranu údajov do požiadaviek nových systémov a do pravidiel vývoja a nákupu systémov,

–   začlenenie požiadaviek na ochranu údajov do zmluvných vzťahov s dodávateľmi a tretími stranami,

–   testovanie bezpečnostných funkcií počas vývoja systémov,

–   monitorovanie a pravidelné preskúmavanie úrovne bezpečnosti služieb poskytovaných dodávateľmi.

Zamestnanec a zamestnávateľ

Zamestnávateľ môže o zamestnancovi zhromažďovať len osobné údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami zamestnanca a údaje, ktoré môžu byť významné z hľadiska práce, ktorú zamestnanec má vykonávať, vykonáva alebo vykonával.

Zamestnávateľ je v pracovnoprávnych vzťahoch povinný zaobchádzať so zamestnancami v súlade so zásadou rovnakého zaobchádzania ustanovenou pre oblasť pracovnoprávnych vzťahov osobitným zákonom o rovnakom zaobchádzaní v niektorých oblastiach a o ochrane pred diskrimináciou a o zmene a doplnení niektorých zákonov (antidiskriminačný zákon).

V pracovnoprávnych vzťahoch sa zakazuje diskriminácia zamestnancov z dôvodu pohlavia, manželského stavu a rodinného stavu, sexuálnej orientácie, rasy, farby pleti, jazyka, veku, nepriaznivého zdravotného stavu alebo zdravotného postihnutia, genetických vlastností, viery, náboženstva, politického alebo iného zmýšľania, odborovej činnosti, národného alebo sociálneho pôvodu, príslušnosti k národnosti alebo etnickej skupine, majetku, rodu alebo iného postavenia alebo z dôvodu oznámenia kriminality alebo inej protispoločenskej činnosti.

Výkon práv a povinností vyplývajúcich z pracovnoprávnych vzťahov musí byť v súlade s dobrými mravmi. Nikto nesmie tieto práva a povinnosti zneužívať na škodu druhého účastníka pracovnoprávneho vzťahu alebo spoluzamestnancov. Nikto nesmie byť na pracovisku v súvislosti s výkonom pracovnoprávnych vzťahov prenasledovaný ani inak postihovaný za to, že podá na iného zamestnanca alebo zamestnávateľa sťažnosť, žalobu, návrh na začatie trestného stíhania alebo iné oznámenie o kriminalite alebo inej protispoločenskej činnosti.

Zamestnávateľ nesmie bez vážnych dôvodov spočívajúcich v osobitnej povahe činností zamestnávateľa narúšať súkromie zamestnanca na pracovisku a v spoločných priestoroch zamestnávateľa tým, že ho monitoruje, vykonáva záznam telefonických hovorov uskutočňovaných technickými pracovnými zariadeniami zamestnávateľa a kontroluje elektronickú poštu odoslanú z pracovnej elektronickej adresy a doručenú na túto adresu bez toho, aby ho na to vopred upozornil. Ak zamestnávateľ zavádza kontrolný mechanizmus, je povinný prerokovať so zástupcami zamestnancov rozsah kontroly, spôsob jej uskutočnenia, ako aj dobu jej trvania a informovať zamestnancov o rozsahu kontroly, spôsobe jej uskutočnenia, ako aj o dobe jej trvania.

Zamestnávateľ nesmie zamestnancovi uložiť povinnosť zachovávať mlčanlivosť o jeho pracovných podmienkach vrátane mzdových podmienok a o podmienkach zamestnávania. Nikto nesmie byť na pracovisku prenasledovaný ani inak postihovaný za to, že nezachová mlčanlivosť o svojich pracovných podmienkach vrátane mzdových podmienok a o podmienkach zamestnávania.

Zamestnanec má právo podať zamestnávateľovi sťažnosť v súvislosti s porušením zásady rovnakého zaobchádzania a nedodržaním podmienok; zamestnávateľ je povinný na sťažnosť zamestnanca bez zbytočného odkladu odpovedať, vykonať nápravu, upustiť od takého konania a odstrániť jeho následky.

Zamestnanec, ktorý sa domnieva, že jeho práva alebo právom chránené záujmy boli dotknuté nedodržaním zásady rovnakého zaobchádzania alebo nedodržaním podmienok podľa odseku 3, môže sa obrátiť na súd a domáhať sa právnej ochrany ustanovenej osobitným zákonom o rovnakom zaobchádzaní v niektorých oblastiach a o ochrane pred diskrimináciou a o zmene a doplnení niektorých zákonov (antidiskriminačný zákon).

Zamestnanec, ktorý sa domnieva, že jeho súkromie na pracovisku alebo v spoločných priestoroch bolo narušené nedodržaním podmienok alebo že zamestnávateľ nedodržal podmienky, môže sa obrátiť na súd a domáhať sa právnej ochrany.

Štátny zamestnanec a služobný úrad

Služobný úrad postupuje v štátnozamestnaneckých vzťahoch vo vzťahu k štátnemu zamestnancovi a uchádzačovi o štátnu službu podľa zásady rovnakého zaobchádzania a rešpektuje ich súkromie, ústavné práva a zákonné práva.

Služobný úrad nesmie bez vážnych dôvodov spočívajúcich v osobitnej povahe činností služobného úradu narúšať súkromie štátneho zamestnanca na pracovisku a v spoločných priestoroch služobného úradu tým, že ho monitoruje, vykonáva záznam telefonických hovorov uskutočňovaných technickými pracovnými zariadeniami služobného úradu a kontroluje elektronickú poštu odoslanú zo služobnej elektronickej adresy a doručenú na túto adresu bez toho, aby ho na to vopred písomne upozornil.

Ak služobný úrad zavádza kontrolný mechanizmus, je povinný prerokovať so zástupcami zamestnancov rozsah kontroly, spôsob jej uskutočnenia, dobu jej trvania a informovať o tom štátnych zamestnancov.

Štátny zamestnanec, ktorý sa domnieva, že jeho súkromie na pracovisku alebo v spoločných priestoroch služobného úradu bolo narušené nedodržaním podmienok, sa môže domáhať ochrany v služobnom úrade alebo na súde.

Mgr. Mariana Matulková

2019
obalka
Verejná správa č. 4-5
Vypredané
Tlačená + e-verzia
3,07 €
Elektronická verzia
Neprihlásený
Id
Heslo
REGISTRÁCIA
Zabudol som prihlasovacie údaje
E-SHOP
E-mailové noviny
Ukážky zadarmo
O Poradcovi
Úplné znenia zákonov
Daňové výdavky
Vzory zmlúv a podaní
Vydané publikácie
Predplatné
Zákony 2026
Novinky
Aktuálna ponuka
Kurzy
Menová kalkulačka
Kontakty
Obchodné podmienky
Pripomienky