Ochrana osobných údajov: Kto môže v roku 2016 čakať kontrolu?

Ochrana osobných údajov: Kto môže v roku 2016 čakať kontrolu?
Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.

Zobraziť viac
Zobraziť menej

Úrad na ochranu osobných údajov SR zverejnil na svojej internetovej stránke plán kontrol na rok 2016. Čo plánuje kontrolovať a na aké subjekty sa zameria v tomto roku?

Musí byť kontrola z Úradu na ochranu osobných údajov vopred oznámená?

Kontrola spracúvania osobných údajov sa musí kontrolovanej osobe vopred písomne oznámiť a v tomto oznámení sa musí uviesť predmet a účel kontroly. Kontrola je začatá dňom doručenia oznámenia o kontrole.

Vopred sa kontrola neoznamuje v prípade, ak by oznámenie o začatí kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontrolu. Oznámenie o začatí kontroly sa v takomto prípade vykoná pri začatí kontroly.

Oblasti kontroly spracúvania osobných údajov v roku 2016

Formulácia premetu a účelu kontroly môže byť (a spravidla je) veľmi všeobecná. Kontrolovaná osoba by tak mala pred začatím kontroly preveriť splnenie všetkých povinností, ktoré jej v súvislosti s ochranou osobných údajov vznikli. Vychádzajúc z informácií zverejnených Úradom na ochranu osobných údajov SR, kontroly by mali v roku 2016 byť zamerané najmä (nie však výlučne) tieto oblasti:

  1. Oznamovacie, registračné a evidenčné povinnosti - kontrole môže podliehať splnenie povinnosti oznámiť informačný systém, povinnosť registrovať informačný systém a povinnosť viesť evidenciu informačného systému.
  2. Získavanie súhlasu dotknutej osoby - preverenie postupu, akým prevádzkovateľ získava súhlas dotknutej osoby pri zbere osobných údajov, ak je súhlas potrebný. Súhlas nie je možné vynucovať ani podmieňovať. Ak vzniknú pochybnosti o udelení súhlasu, hodnoverne preukázať túto skutočnosť musí prevádzkovateľ.
  3. Poučenie oprávnených osôb - pred prvým uskutočnením operácie s osobnými údajmi je prevádzkovateľ povinný poučiť osobu, ktorá bude tieto operácie vykonávať a o poučení je povinný vyhotoviť záznam.
  4. Poverenie zodpovednej osoby - zodpovedná osoba vykonáva dohľad nad spracúvaním osobných údajov v súlade so zákonom o ochrane osobných údajov. Zodpovednou osobou sa stáva dňom, ktorý je v poverení uvedený ako dátum začiatku platnosti poverenia zodpovednej osoby. V súvislosti s poverením zodpovednej osoby má prevádzkovateľ napríklad tieto povinnosti, ktoré môžu byť kontrolované: písomne alebo elektronicky oznámiť Úradu na ochranu osobných údajov SR skutočnosť, že dohľadom poveril zodpovednú osobu, umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov, prijať oprávnené návrhy zodpovednej osoby.
  5. Likvidácia osobných údajov - prevádzkovateľ je po skončení účelu spracúvania osobných údajov povinný bez zbytočného odkladu zabezpečiť ich likvidáciu. Likvidácia sa môže vykonať rôznymi spôsobmi, napríklad fyzickým zničením (skartovaním), rozložením, zmazaním a pod. Kamerové záznamy musia byť v zásade zlikvidované do 15 dní odo dňa vyhotovenia.
  6. Technické, organizačné a personálne opatrenia - môže sa kontrolovať primeranosť prijatých opatrení. Zabezpečenie objektu alarmom, kamerovým systémom, mrežami, uzamykateľné skrine, trezory, skartovačky, antivírusové programy, používanie legálneho softvéru, individuálne prideľovanie kľúčov a pod.
  7. Spôsob vybavovania riadne uplatneného práva dotknutej osoby - kontrolný orgán sa môže zaujímať o to akým spôsobom a či vôbec prevádzkovateľ vybavil riadne uplatnené právo dotknutej osoby. Dotknutá osoba má právo žiadať od prevádzkovateľa informácie (napr. aké osobné údaje sú o nej spracúvané, presné informácie o zdroji, z ktorého prevádzkovateľ osobné údaje získal, zoznam osobných údajov, ktoré sú predmetom spracúvania) a namietať spracúvanie, využívanie alebo poskytovanie osobných údajov na účely priameho marketingu.
Článok pokračuje pod reklamou

Subjekty, v ktorých sú plánované kontroly spracúvania osobných údajov v roku 2016

Kontroly sa vykonávajú ako riadne (podľa plánu kontrol na príslušný kalendárny rok) a ako mimoriadne (z podnetu Úradu na ochranu osobných údajov SR, dotknutej osoby alebo inej osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach). Zoznam subjektov, u ktorých bude Úrad na ochranu osobných údajov SR v roku 2016 vykonávať kontrolu sa nezverejňuje.

Podľa plánu kontrol Úradu na ochranu osobných údajov na rok 2016 budú kontroly zamerané na:

  • športové a lyžiarske strediská,
  • zábavné centrá,
  • prevádzkovateľov bankových a nebankových registrov klientskych informácií,
  • agentúry dočasného zamestnávania,
  • zamestnávateľov.

Kontroly spracúvania osobných údajov sú naplánované aj:

  • v obciach a mestách,
  • vo Výpočtovom stredisku Ministerstva vnútra SR,
  • v Národnej ústredni SIRENE,
  • v konzulárnych pracoviskách na vybraných zastupiteľských úradoch SR.

Zdroj: Plán kontrol na rok 2016, internetová stránka Úradu na ochranu osobných údajov SR

Viac podobných článkov nájdete na www.podnikajte.sk

Ján Benko
Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.


Kontroly GDPR v roku 2020 – kto ich môže čakať?

Koho si Úrad pre ochranu osobných údajov SR plánuje zobrať na mušku? Prezradil plán kontrol na rok 2020. V strehu by mali byť ubytovacie zariadenia, prevádzkovatelia STK či webhostingové firmy.

Pozor na chyby v pravidlách o ochrane osobných údajov (GDPR)

Aj po vyše roku a pol od účinnosti GDPR sa na internetových stránkach či e-shopoch nájdu neaktuálne a nesprávne informácie o ochrane osobných údajov. Aké sú najčastejšie chyby?

Je mzda osobným údajom zamestnanca?

V pracovnoprávnej oblasti sa bežne spracúvajú osobné údaje ako meno, priezvisko alebo dátum narodenia zamestnanca. Považuje sa však za osobný údaj zamestnanca aj jeho mzda?

GDPR a e-shop – ako má e-shop spracúvať osobné údaje?

Newsletter, recenzie zákazníkov či cookies – ako sa ich dotýka GDPR? Na praktické rady pre e-shopy sme sa pýtali právnej expertky na GDPR Lucie Semančínovej z advokátskej kancelárie SEMANČÍN & PARTNERS.
To najlepšie z Podnikajte.sk do vašej schránky