Zákon o ochrane osobných údajov a dôležité termíny

Redakcia Podnikajte.sk | 17.01.2014
Zákon o ochrane osobných údajov a dôležité termíny
Od 1. 7. 2013 je účinný nový zákon o ochrane osobných údajov. Aké sú termíny na splnenie nových povinností?

Čo sú osobné údaje, kto je prevádzkovateľ a kto sprostredkovateľ

Po viac ako 10 rokoch nahradil nový zákon č.  122/2013 Z. z. o ochrane osobných údajov pôvodný zákon 428/2002 Z. z. o ochrane osobných údajov.
Osobné údaje sú vymedzené v § 4 ako údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Zjednodušene možno povedať, že buď ide o jednoznačný identifikátor fyzickej osoby, akým je napríklad rodné číslo, alebo súhrn viacerých údajov, pomocou ktorých možno identifikovať osobu.

V súvislosti s touto problematikou sú ešte dôležité dva pojmy: prevádzkovateľ a sprostredkovateľ.

Prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene.  Môže ním byť napríklad zamestnávateľ, ktorý spracováva osobné údaje svojich zamestnancov, e-shop, ktorý spracováva údaje o svojich zákazníkoch, marketingová firma, ktorá má databázu kontaktov na účely reklamy a pod.

Sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Môže ním byť napr. externá spoločnosť, ktorá spracováva mzdy pre zamestnávateľ a a pod.

Lehoty na splnenie nových povinností

Nový zákon prináša aj nové povinnosti. Pri ich plnení si musia podnikatelia dávať pozor na tri termíny.

31. 12. 2013
  • Uviesť do súladu s novým zákonom všetky informačné systémy, v ktorých spracovávajú osobné údaje
  • Poučenie oprávnených osôb (v zákone je uvedená nová definícia oprávnenej osoby).
  • Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu alebo osobitnú registráciu
31. 03. 2014
  • Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s novým zákonom.
30. 06. 2014
  • Prevádzkovateľ je povinný dať zmluvný vzťah so sprostredkovateľom do súladu s novým zákonom.
  • Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu.

Registrácia informačného systému

Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou takých informačných systémov, ktoré:

  • podliehajú osobitnej registrácii podľa § 37,
  • podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ
  • obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
  • obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Ak je podnikateľom napr. malá firma, ktorá nemá zodpovednú osobu, tak musí registrovať informačné systémy, v ktorých spracováva osobné údaje a toto spracovávanie nevykonáva na základe nejakého  zákona. Napríklad informačný systém, v ktorom sa spracovávajú osobné údaje kvôli mzdám zamestnancov nie je potrebné registrovať, keďže existuje legislatíva, ktorá vyžaduje spracovávanie týchto údajov, ale na druhej strane informačný systém, ktorým je napríklad databáza klientov už registrovať treba.  Táto povinnosť sa týka napríklad e-shopov. Podľa informácie uvedenej na stránke Úradu pre ochranu osobných údajov  informačný systém osobných údajov e – shop podlieha registračnej povinnosti na základe § 34 ods. 1 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ak prevádzkovateľ nemá písomne poverenú zodpovednú osobu.

Upozornenie: Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu pred začatím spracúvania osobných údajov.

Povinné údaje v zmluvách

Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Typickým príkladom je spracovávanie miezd. Zamestnávateľ je v tomto prípade  z pohľadu zákona o ochrane osobných údajov prevádzkovateľom a účtovná firma sprostredkovateľom.
Nový zákon o ochrane osobných údajov v § 8, ods. 2 hovorí, že prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami. Zároveň zákon určuje, aké body musia byť upravené v zmluve medzi prevádzkovateľom a sprostredkovateľom. Môže ísť o samostatnú zmluvu, alebo uvedené body môžu byť súčasťou inej zmluvy medzi týmito dvomi subjektmi.  
Zmluva  musí obsahovať :

  • údaje o zmluvných stranách  
    • titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
    • názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
    • obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu - podnikateľa,
  • deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
  • účel spracúvania osobných údajov,
  • názov informačného systému,
  • zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov,
  • okruh dotknutých osôb,
  • podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
  • vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety,
  • súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby,
  • dobu, na ktorú sa zmluva uzatvára,
  • dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Najlepšie články do vášho mailu každý pondelok

Čítajte len to, čo vás naozaj zaujíma. Sumár vybraných článkov raz za týždeň, žiadny spam. Zasielanie newslettra si môžete kedykoľvek vypnúť.

Zvoľte si témy: