Embed Size (px)
Citation preview
Trh práce 2014 Praktický sprievodca novelou
zákona o ochrane osobných údajov
Lektor: JUDr. Marcela Macová
2
Úvodná informácia
Adresa: Úrad na ochranu osobných údajov SR Hraničná 12 820 07 Bratislava Web stránka: www. dataprotection. gov. sk Adresa pre elektronický poštový styk: [email protected]
3
1) zákon č. 256/1992 Zb. o ochrane osobných údajov v informačných systémoch
2) zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch
3) zákon č. 428/2002 Z. z. o ochrane osobných údajov
4) zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov účinný od 1. júla 2013
Predpis č. 165/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby
Predpis č. 164/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov
Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení
Vývoj ochrany osobných údajov v SR
4
Predmet zákona § 1
Tento zákon upravuje • ochranu práv fyzických osôb pred neoprávneným
zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov,
• práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
• postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky
5
Na koho sa zákon vzťahuje?
Tento zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie.
Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.
6
Osobné údaje
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu Zákon o ochrane osobných údajov neupravuje konkrétny zoznam údajov, ktoré sú považované za osobné údaje. Poskytuje demonštratívny výpočet charakteristík určujúcich fyzickú osobu.
záleží od sociálnej vzorky aký rozsah osobných údajov je na identifikovanie potrebných (obec 200 obyvateľov/Bratislava) Identifikácia sa obvykle realizuje prostredníctvom konkrétnych informácií, ktoré môžeme nazvať „identifikátormi“ a ktoré majú úzky vzťah ku konkrétnemu jednotlivcovi, ako napríklad znaky vytvárajúce vonkajší vzhľad osoby (napr. výška, farba očí) alebo charakteristiky osoby, ktoré nemusia byť zrejmé z prvotného kontaktu (napr. profesia, funkcia, meno a priezvisko).
7
Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie, alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná ustanovené podmienky.
Prevádzkovateľa určuje osobitný predpis napr. zákon č. 311/2001 Z. z. Zákonník
práce alebo si sám určí účel a prostriedky napr. požičovňa DVD (databáza klientov).
Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ.
Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je v súlade s dobrými mravmi, a to len na vymedzený alebo ustanovený účel (§ 6 ods. 1)
Prevádzkovateľ § 4 ods. 2 písm. b)
8
Osoby v procese spracúvania osobných údajov
O kom sa osobné údaje spracúvajú? Dotknutá osoba Kto spracúva osobné údaje? Prevádzkovateľ/Sprostredkovateľ Zástupca prevádzkovateľa/Subdodávateľ Komu sa osobné údaje postupujú? Tretia strana(poskytovanie) Príjemca (sprístupňovanie) Kto má u prevádzkovateľa prístup k osobným údajom? Oprávnená osoba Zodpovedná osoba
9
Informačný systém § 4 ods. 3 písm. b)
informačným systémom osobných údajov je informačný systém, v ktorom sa - na vopred vymedzený alebo ustanovený účel systematicky - spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov
prístupných podľa určených kritérií, - bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo
distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“);
!!!!! informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť - niečo kvôli čomu potrebujem spracúvať osobné údaje - Určuje výlučne prevádzkovateľ (ak nie je stanovený zákonom)
10
IS Personalistika a mzdy - Dotknuté osoby
- Účel spracúvania osobných údajov
- Právny základ – Potrebujem súhlas zamestnanca na
spracúvanie osobných údajov?
- Tretie strany
- Príjemca
- Zverejňovanie osobných údajov
11
Súhlas dotknutej osoby NOVINKA § 12 ods. 3 Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby. POZOR – ak sa zverejňujú na webovej stránke tak treba to uviesť do evidenčného listu!!!! Súhlas zamestnanca sa nevyžaduje
12
Povinnosti prevádzkovateľa
Pred začatím spracúvania osobných údajov §15
Čo je to informačná povinnosť? - Oznámenie zákonom stanovených informácií dotknutej osobe - Vedomosť dotknutej osoby o tom, kto, kde a akým spôsobom bude spracúvať jej osobné údaje - Pokiaľ bude dochádzať k spracúvaniu osobných údajov na základe jej súhlasu, má mať možnosť posúdenia a rozhodnutie, či poskytne svoje osobné údaje prevádzkovateľovi na spracúvanie
Od koho získam osobné údaje? Od dotknutej osoby alebo inej osoby Komu oznamujem? Dotknutej osobe
13
Povinnosti prevádzkovateľa
Pred začatím spracúvania osobných údajov §15 – napr. zamestnanca pri nástupe do zamestnania
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie a) identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak
bol vymenovaný, b) identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ
pri získavaní osobných údajov nepostupuje podľa § 8, c) účel spracúvania osobných údajov, d) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10
ods. 4 prvá veta a
14
Povinnosti prevádzkovateľa e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a
podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä
1. preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2. poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti súhlasu a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej túto povinnosť ukladá a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
15
Povinnosti prevádzkovateľa
e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä
3. tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné údaje zverejnené, 6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín
uskutoční prenos osobných údajov, 7. poučenie o právach dotknutej osoby.
16
Povinnosti prevádzkovateľa
1) prijať bezpečnostné opatrenia: bezpečnostný projekt, bezpečnostná smernica, základná dokumentácia
2) registrovať informačný systém, viesť evidenciu informačného systému
3) písomne poveriť zodpovednú osobu dohľadom nad ochranou osobných údajov u prevádzkovateľa
4) poučiť oprávnené osoby 1) a 2) bude mať prevádzkovateľ vypracovanú ku každému informačnému systému
