Vy sa pýtate, my odpovedáme. V rámci našej poradne Podnikajte s odborníkmi ste nám zaslali otázky k GDPR, teda nariadeniu o ochrane osobných údajov, ktoré je už rok v platnosti. Na otázky odpovedala senior právna expertka Lucia Semančínová z advokátskej kancelárie SEMANČÍN & PARTNERS.
Som živnostník, bez zamestnancov a predávam svoje produkty len cez sociálne siete. Týka sa ma GDPR?
Áno, nakoľko pri predaji spracúvate osobné údaje dotknutých osôb, ktorými sú aj vzhľadom na charakter sociálnych sietí najmä fyzické osoby a spracúvanie ako uvádzate je systematické. Dostávate sa do pozície prevádzkovateľa, ktorý sám určuje účely a prostriedky spracúvania osobných údajov vašich klientov.
Pracujem vo firme na HR oddelení. Keď si fotím občiansky preukaz zamestnanca, potrebujem od neho písomný súhlas na archiváciu osobných údajov? Ak áno, môže súhlas vyjadriť napísaním vety „Súhlasím s archiváciou svojich osobných údajov“ a svojím podpisom na papier pod fotokópiu OP?
Pri vytváraní kópie občianskeho preukazu zamestnanca je potrebné zobrať do úvahy, že občiansky preukaz obsahuje viaceré osobné údaje zamestnanca, ktoré zamestnávateľ štandardne nemá právo spracúvať, resp. nie sú nevyhnutné na činnosť zamestnávateľa v rámci personálnych vzťahov.
Ide napríklad o fotografiu zamestnanca, ktorá je na občianskom preukaze (tá sa zväčša spracúva len so súhlasom zamestnanca na propagačné účely či na zabezpečenie prístupu ako bezpečnostné opatrenie), dátum jeho vydania a platnosti či rôzne osobitné záznamy. Preto je vhodné najprv určiť, na aký účel zamestnávateľ potrebuje kópiu občianskeho preukazu svojho zamestnanca, ktoré osobné údaje z občianskeho preukazu má právo spracúvať a či v súlade so zásadou minimalizácie je nevyhnutné spracúvať aj ostatné údaje na občianskom preukaze.
Aj kopírovanie osobných údajov je spracovateľskou operáciou s osobnými údajmi, preto ak skopírujete z občianskeho preukazu aj osobné údaje, na ktoré nemáte právny základ a nie sú nevyhnutné pre niektorú spracovateľskú činnosť zamestnávateľa, je potrebné ich z kópie vymazať, resp. začierniť tak, aby neboli čitateľné, inak by dochádzalo k neoprávnenému spracúvaniu týchto osobných údajov.
Ani samotný súhlas zamestnanca nemôže zhojiť takúto neoprávnenosť, nakoľko jednak súhlas zamestnanca sa nepovažuje za úplne dobrovoľný, keďže ide o vzťah nadriadenosti a podriadenosti medzi zamestnávateľom a zamestnancom ako slabšou stranou a jednak z dôvodu, že ak údaje nie sú nevyhnutné na naplnenie niektorého účelu, ide o porušenie zásady minimalizácie.
Sme škôlka a nedávno sme mali detskú besiedku. Spravili sme z nej videozáznam a chceli by sme ho publikovať na našu stránku. Potrebujem písomný súhlas zo strany všetkých rodičov?
Účelom zverejňovania videozáznamov na webovej stránke predškolského zariadenia sú v tomto prípade pravdepodobne propagačné aktivity predškolského zariadenia, preto možno považovať súhlas zákonných zástupcov za správny právny základ spracúvania týchto osobných údajov detí.
Zverejniť môžete osobné údaje len tých detí, u ktorých viete preukázať, že ich rodičia udelili súhlas, či už písomne, emailom alebo zaškrtnutím check boxu na web stránke škôlky alebo iným preukazným spôsobom. Osobné údaje – fotografie, videozáznam detí, ktorých rodičia súhlas neudelili, nemôžete zverejniť.
Je však potrebné upozorniť, že za spracúvanie osobných údajov sa považuje už ich získanie na daný účel, nielen ich následné uloženie či zverejnenie na web stránke. To znamená, že už samotným zhotovením videozáznamu detí ste začali spracúvať osobné údaje detí na účely propagácie vašej škôlky a zverejnenie videozáznamu je len ďalšou spracovateľskou činnosťou v tomto procese spracúvania. Preto je potrebné získať súhlas rodičov na spracúvanie osobných údajov ich detí ešte pred zhotovením videozáznamu a nie až pred jeho zverejnením a na videozáznam nenahrávať deti, ktorých rodičia súhlas neudelili, v opačnom prípade bude videozáznam zhotovený neoprávnene.
Deti sú zraniteľnými dotknutými osobami a je potrebné dať zákonným zástupcom skutočnú možnosť a kontrolu nad tým ako sa majú spracúvať osobné údaje ich detí na takéto propagačné účely.
Ako mám postupovať, ak človek uverejnený na firemnej fotografii stiahne svoj súhlas na zverejnenie? Napríklad na firemnom večierku mi zamestnanec dal súhlas na vyhotovenie fotografie, no neskôr ho stiahol.
Osobitnou vlastnosťou dobrovoľnosti súhlasu dotknutej osoby na spracúvanie jej osobných údajov je oprávnenie tejto fyzickej osoby svoj súhlas kedykoľvek odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov, ktoré sa uskutočnilo odo dňa získania súhlasu až do jeho odvolania.
Ak zamestnanec odvolá svoj súhlas so zverejnením jeho fotografie na propagačné účely, stráca zamestnávateľ právny základ na spracúvanie do budúcna, tzn. stratí právo len na ďalšie zverejňovanie fotografie napríklad na web stránke zamestnávateľa. Nakoľko zamestnávateľ od momentu odvolania súhlasu nemá právo zverejňovať fotografiu zamestnanca, mal by ju z webovej stránky či intranetu, kde ju zverejňuje, odstrániť.
Môžem snímať verejne činné osoby (policajti, učitelia, poslanci, úradníci) na videozáznam so zvukom alebo ide o porušenie GDPR?
Podľa súčasnej judikatúry verejní činitelia musia strpieť vyhotovovanie audiozáznamov či audiovizuálnych záznamov z ich verejnej činnosti. Konštatoval to aj Ústavný súd Slovenskej republiky nálezom II. ÚS 44/00-133 zo dňa 05.01.2001 s odôvodnením, že činnosť policajta nemožno považovať za prejav jeho osobnej povahy a ani za súčasť jeho základného práva na súkromie.
V prípade, že si fyzická osoba bude zhotovovať audiovizuálny záznam z komunikácie s verejným činiteľom na prípadné budúce použitie ako napríklad dôkazný prostriedok proti verejnému činiteľovi, je možné toto nahrávanie považovať za jej osobnú či domácu činnosť, a preto takéto spracúvanie nebude spadať pod pôsobnosť GDPR.
Plánujem založiť vzdelávacie centrum – doučovanie pre základné a stredné školy ako živnostníčka. Ako mám postupovať ohľadom GDPR?
V prvom rade by ste si mali rozanalyzovať ako budete nakladať s osobnými údajmi. Posúdiť by ste mali aké osobné údaje budú nevyhnutné na to, aby ste svoju vzdelávaciu aktivitu mohli fyzickým osobám poskytovať, aké budete získavať osobné údaje, akých kategórii dotknutých osôb sa budú týkať, na aký účel ich budete spracúvať, komu ich budete poskytovať, ako dlho ich budete spracúvať a ukladať, kto k ním bude mať prístup, aké riziká vplývajú na bezpečnosť dát a akými bezpečnostnými opatreniami ich pokryjete.
Následne je potrebné určiť správny právny základ, napríklad plnenie zmluvy s fyzickou osobou o poskytovaní vzdelávania či plnenie zákonných povinností spojených s platbami a účtovníctvom a pod. Až následne odporúčame pokračovať s vypracovaním potrebnej dokumentácie, ktorou budete vedieť preukázať svoj súlad s GDPR. V žiadnom prípade netreba zabúdať na dôležitú povinnosť, a to informovať dotknuté osoby o tom, ako s ich údajmi nakladáte (čl. 13 GDPR).
Dovoľujeme si upozorniť, že deti sú zraniteľnými dotknutými osobami a pri spracúvaní ich osobných údajov treba starostlivo zvážiť postavenie dieťa a jeho najlepší záujem, právo na súkromie dieťaťa a zákonné zastupovanie dieťaťa.
Akú dokumentáciu by mal mať vypracovanú e-shop?
Rozsah dokumentácie, ktorú by mal mať e-shop ako prevádzkovateľ vypracovanú, nie je pevne stanovený. Odporúčame, aby e-shopy mali vypracovanú dokumentáciu minimálne v tomto rozsahu:
1. Interná časť dokumentácie, ktorá zahŕňa predovšetkým:
- interné smernice o spracúvaní osobných údajov prevádzkovateľom,
- záznamy o spracovateľských činnostiach,
- poučenia o pravidlách spracúvania osobných údajov pre poverené osoby (zamestnancov, ktorí spracúvajú osobné údaje),
- sprostredkovateľské zmluvy (napr. s externou účtovníckou spoločnosťou, poskytovateľom externých cloudových služieb, IT služieb, logistickým centrom atď.),
- testy proporcionality v prípade spracúvania osobných údajov na základe oprávneného záujmu,
- analýzu rizík,
- posúdenie vplyvu a vymenovanie zodpovednej osoby, ak je to potrebné
2. Externá časť, uverejnená prevažne na web stránke alebo odovzdaná dotknutým osobám iným preukázateľným spôsobom, ktorá zahŕňa najmä:
- informačné povinnosti voči dotknutým osobám, ktorých osobné údaje sú spracúvané e-shopom,
- súhlasy so spracúvaním osobných údajov (napríklad na účely newslettera),
- správne nastavenie cookies manažmentu a k tomu prislúchajúcej dokumentácie.
Aké náležitosti v rámci GDPR musíme mať ako firma splnené, ak plánujeme posielať vzorky krvi do USA?
Bez ďalších informácii (najmä postavenia účastníkov takéhoto vzťahu, účelu atď.) nie je možné na túto otázku kvalifikovane odpovedať.
Vo vzťahu k prenosu osobných údajov platí, že ide o prenos do tzv. tretej krajiny (mimo EÚ). Prenos osobných údajov do tretej krajiny sa môže uskutočniť, ak Európska komisia rozhodla, že tretia krajina zaručuje primeranú úroveň ochrany. Štít na ochranu osobných údajov medzi EÚ a USA (v anglickom jazyku označovaný ako „Privacy Shield“) je právny rámec pre transatlantické výmeny osobných údajov na obchodné účely medzi Európskou úniou a Spojenými štátmi americkými.
Európska komisia potvrdila, že Štít na ochranu osobných údajov poskytuje primeranú úroveň ochrany osobných údajov poskytovaných z EÚ do USA pre spoločnosti zapísané v zozname Štítu na ochranu osobných údajov, a je teda nástrojom zaisťujúcim právne záruky pre takto poskytnuté osobné údaje. Ide o certifikačný mechanizmus pre americké spoločnosti, pričom pokiaľ je v rámci neho spoločnosť certifikovaná, má sa za to, že poskytuje primeranú úroveň ochrany osobných údajov a osobné údaje k nej možno z EÚ bezpečne prenášať.
Vo vzťahu k tomu, že sa otázka týka vzoriek krvi je potrebné brať do úvahy aj špecifické podmienky spracúvania údajov týkajúcich sa zdravia, kde GDPR stanovuje sprísnený režim, tzn. na spracúvanie vzoriek krvi je potrebné mať primeraný právny základ a zároveň spĺňať niektorú z podmienok podľa čl. 9 GDPR.
Ak bude prenos vzoriek krvi uskutočňovaný do USA smerom k organizácii, ktorá je certifikovaná pod Štítom na ochranu osobných údajov, nebude potrebné vykonávať ďalšie opatrenia. Ak by príjemcom v USA bola organizácia, ktorá nespadá pod Štít na ochranu osobných údajov, takýto prenos by sa považoval za prenos do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany a museli by sa uplatniť iné záruky bezpečnosti, napríklad záväzné vnútropodnikové pravidlá či štandardné zmluvné doložky.
V prípade, že pracujeme vo firme len rodina v zložení manžel, manželka a otec manžela, je nutné riešiť GDPR? Mzdy nám spracováva externá účtovníčka.
Áno, GDPR je nutné riešiť aj v tomto prípade. Aj malá rodinná firma spracúva osobné údaje dotknutých osôb, napríklad klientov – fyzické osoby alebo zamestnancov či konateľov právnických osôb – obchodných partnerov, a preto ich musia spracúvať v súlade s GDPR.
Externá účtovníčka bude v mene vašej firmy spracúvať nielen osobné údaje vašich rodinných príslušníkov na mzdové účely ale najmä osobné údaje dotknutých osôb uvedených na účtovných dokladoch či zmluvách za účelom plnenia zákonných účtovných a daňových povinností. Externá účtovníčka je v tomto prípade sprostredkovateľom, a preto je potrebné mať s ňou uzatvorenú sprostredkovateľskú zmluvu a stanoviť jej pravidlá spracúvania osobných údajov vo vašom mene.
V rámci zmluvného vzťahu sprostredkovateľskej zmluvy medzi prevádzkovateľom a sprostredkovateľom sa zamestnanci sprostredkovateľa dostávajú do reálneho kontaktu so zamestnancami prevádzkovateľa a zhromažďujú o nich mená, telefonický kontakt, e-maily a pod. Je potrebné sa v takomto prípade zaoberať otázkou ochrany osobných údajov a informačných povinností smerom k zamestnancom sprostredkovateľa? Čo v prípade, ak je sprostredkovateľ fyzická osoba – SZČO, napríklad účtovník?
V zásade je jedno, či sprostredkovateľom je fyzická osoba - SZČO ako účtovník alebo je to veľká účtovnícka spoločnosť. Spracúvanie osobných údajov kontaktných osôb v rámci obchodného vzťahu navzájom samotnými obchodnými partnermi vytvára samostatný proces a účel, kde sa údaje zamestnancov/zástupcov obchodného partnera spracúvajú pravdepodobne v rámci vymedzených účelov v súvislosti s realizáciou a plnením ich zmluvných vzťahov.
Sprístupňovanie osobných údajov zamestnancov na účely plnenia pracovných povinností predpokladá aj už vyššie spomínaný Zákon o ochrane osobných údajov. Obidvaja zmluvní partneri by si preto mali splniť informačnú povinnosť jednak voči vlastným zamestnancom (že ich osobné údaje budú poskytované obchodným partnerom) a jednak aj vo vzťahu k zamestnancom obchodného partnera (že spracúvajú ich osobné údaje na účely kontaktovania a plnenia zmluvných povinností).
Ak mám na prevádzke kamery, do akej miery musím riešiť GDPR?
Kamerový záznam sa vo všeobecnosti považuje za osobný údaj, nakoľko zachytáva vizuálnu podobu fyzickej osoby ako aj prejavy jej osobnej povahy. Získavanie a spracúvanie kamerových záznamov preto bude spadať do pôsobnosti GDPR.
Pri určovaní konkrétnych povinností, ktoré je prevádzkovateľ kamerového systému povinný podľa GDPR splniť, je dôležité posúdiť, na aký účel sa kamerové systémy používajú. Kamery sa zväčša využívajú ako bezpečnostné opatrenie na ochranu majetku či života a zdravia osôb, môžu sa používať aj na kontrolu zamestnancov či iné účely.
Je potrebné zvážiť aj rozsah monitorovania a či nedochádza k monitorovaniu verejných priestorov vo veľkom rozsahu. V tomto prípade a taktiež v prípade kontrolného mechanizmu voči zamestnancom je potrebné okrem bežnej dokumentácie ešte vykonať posúdenie vplyvu (DPIA).
Pri kamerových systémoch sa nesmie zabúdať na informačnú povinnosť, ktorú je potrebné plniť zreteľným označením monitorovaného priestoru, a to pri každom vstupe do daného priestoru.
Má revízor v autobuse právo nahliadnuť do občianskeho preukazu? Alebo musí byť zamestnávateľom poučený a poverený?
Postavenie revízora a jeho oprávnenia upravuje zákon o cestnej doprave. Revízor je ako zamestnanec dopravcu oprávnený kontrolovať cestovné lístky a má tiež ďalšie oprávnenia v zmysle zákona o cestnej doprave ako napríklad uložiť cestujúcemu, ktorý sa nepreukáže platným cestovným lístkom, povinnosť zaplatiť cestovné a sankčnú úhradu, alebo preukázať svoju totožnosť a poskytnúť údaje potrebné na vymáhanie cestovného a sankčnej úhrady.
Podľa zákona o občianskych preukazoch občiansky preukaz je verejná listina, ktorou občan Slovenskej republiky preukazuje svoju totožnosť a ďalšie údaje uvedené v občianskom preukaze podľa tohto zákona.
Ak dopravca ako prevádzkovateľ určil účel spracúvania, na základe ktorého je revízor ako jeho zamestnanec oprávnený vykonávať činnosti podľa zákona o cestnej doprave, dopravca je povinný revízora na uvedený účel spracúvania poveriť a poučiť ho o jeho procese, ako je povinný osobné údaje kontrolovaných osôb získavať a spracúvať a je povinný ho zaviazať mlčanlivosťou o osobných údajoch, s ktorými príde do styku.
Ako funguje právo na výmaz podľa GDPR? Kedy a ako ho môžem uplatniť?
Právo na vymazanie (právo na zabudnutie) predstavuje povinnosť prevádzkovateľa zlikvidovať osobné údaje a ďalej ich neuchovávať.
Prevádzkovateľ ma v zmysle GDPR povinnosť vymazať osobné údaje na žiadosť dotknutých osôb, iba ak je splnená jedna z podmienok podľa článku 17 ods. 3 GDPR, napríklad ak spracúva osobné údaje neoprávnene alebo pominul účel spracúvania či bol odvolaný súhlas.
Dotknutá osoba si uplatňuje právo na výmaz jej osobných údajov prostredníctvom žiadosti, ktorú adresuje prevádzkovateľovi. O forme a spôsobe uplatňovania práv dotknutých osôb má prevádzkovateľ povinnosť dotknutú osobu informovať, napr. na web stránke alebo iným vhodným spôsobom pri získavaní osobných údajov.
Je potrebné tiež pamätať na to, že nie vždy musí prevádzkovateľ vymazať osobné údaje dotknutej osoby. Osobné údaje prevádzkovateľ nevymaže najmä v prípade, že ich potrebuje na obhajobu svojich práv, ak je potrebné ich archivovať alebo ak ich je prevádzkovateľ povinný ďalej spracúvať na základe právnych predpisov či verejného záujmu.
