Logo Podnikajte.sk
Podnikajte.sk > Právo a legislatíva > Zákonné povinnosti podnikateľa

Prehľad povinností prevádzkovateľa podľa GDPR

Prehľad povinností prevádzkovateľa podľa GDPR
Petra Pohorelá
Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Články autora
Zápis do obchodného registra od 1. 11. 2023
Centrálny register účtov – otázky a odpovede
Projekt premeny obchodných spoločností a družstiev od 1. 3. 2024
Rozdelenie obchodných spoločností od 1. 3. 2024
Zmeny právnej formy od 1. 3. 2024
Neprípustnosť premeny obchodných spoločností od 1. 3. 2024
Nový zákon o premenách obchodných spoločností a družstiev od 1. 3. 2024
Ako založiť rodinný podnik od 1. 7. 2023
Dedenie majetku podnikateľa – praktické prípady
Evidovaný a registrovaný rodinný podnik od 1. 7. 2023
Zobraziť viac
Zobraziť menej

Kto je podľa nového európskeho nariadenia o ochrane osobných údajov prevádzkovateľom? Aké povinnosti mu z GDPR vyplývajú? Pozrite si stručný prehľad.

Európske nariadenie o ochrane osobných údajov – GDPR a nový slovenský zákon o ochrane osobných údajov vstúpili do účinnosti dňa 25. 5. 2018. Oproti pôvodnej právnej úprave priniesli viacero zmien, ktoré sa dotýkajú aj povinností prevádzkovateľov. Niektoré z nich boli zrušené alebo zmenené, iné zase vynovené (prispôsobené aktuálnym podmienkam).

Kto je podľa GDPR prevádzkovateľ?

Prevádzkovateľom je každý:

  1. kto sám alebo spoločne s inými určí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene - ten, kto rozhoduje o tom, prečo a ako by sa mali osobné údaje spracúvať

príklad: Firma AB s.r.o. uzavrela s bezpečnostnou agentúrou zmluvu, na základe ktorej má táto agentúra nainštalovať v priestoroch firmy kamery. Účel a spôsob získavania a ukladania kamerových záznamov určuje výlučne firma AB s.r.o., preto sa považuje za jediného prevádzkovateľa tejto spracovateľskej operácie.

  1. komu funkcia prevádzkovateľa vyplýva zo zákona alebo kto splní zákonom ustanovené požiadavky na určenie prevádzkovateľa (ak osobitný predpis alebo medzinárodná zmluva, ktorou je SR viazaná, ukladá verejným alebo súkromným subjektom povinnosť spracúvať určité údaje)

príklad: Zamestnávateľ spracúva osobné údaje svojich zamestnancov týkajúce sa ich mzdy za účelom splnenia si zákonnej povinnosti vedenia mzdového listu (zákon č. 595/2003 Z. z. o dani z príjmu). Zamestnávateľ je preto prevádzkovateľom.

Prevádzkovateľom môže byť fyzická i právnická osoba (jednotlivec i obchodná spoločnosť), orgán verejnej moci (obec, VÚC), agentúra alebo iný subjekt.

Prevádzkovateľ je osobou, ktorá nesie plnú zodpovednosť za dodržiavanie a súlad spracúvania osobných údajov so zásadami spracúvania ustanovenými v čl. 5 GDPR.

Kedy ide o spoločných prevádzkovateľov?

Na rozdiel od pôvodnej právnej úpravy ochrany osobných údajov GDPR vymedzuje vzájomný vzťah spoločných prevádzkovateľov.

Spoloční prevádzkovatelia sú dvaja alebo viacerí prevádzkovatelia, ktorí spoločne určia účel a prostriedky spracúvania osobných údajov. Pokiaľ ich vzájomný vzťah nie je upravený osobitným predpisom, musia uzavrieť vzájomnú dohodu. V nej si určia svoje príslušné zodpovednosti za plnenie jednotlivých povinností, týkajúcich sa najmä vykonávania práv dotknutej osoby a poskytovania informácií pri získavaní osobných údajov od dotknutej osoby.

Príklad: V jednom areáli pôsobia štyri rôzne firmy, ktoré za účelom ochrany svojho majetku prevádzkujú spoločný bezpečnostný kamerový systém. Títo prevádzkovatelia sú teda spoločnými prevádzkovateľmi.

Ktoré povinnosti prevádzkovateľa boli zrušené?

GDPR a nový zákon o ochrane osobných údajov zásadným spôsobom zasiahli do úpravy týkajúcej sa povinností prevádzkovateľa. Niektoré povinnosti, ktoré ustanovoval starý zákon o ochrane osobných údajov, už od konca mája 2018 neplatia.

Po účinnosti GDPR došlo k zrušeniu:

  • oznamovacej povinnosť k informačným systémom – prevádzkovateľ bol v minulosti povinný oznámiť informačný systém, v ktorom sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami, Úradu na ochranu osobných údajov SR, a to ešte pred začatím spracúvania osobných údajov,
  • povinnosti osobitnej registrácie informačného systému - prevádzkovateľ bol v minulosti povinný prihlásiť informačný systém na osobitnú registráciu na Úrade na ochranu osobných údajov SR ešte pred začatím spracúvania osobných údajov.

Ktoré povinnosti prevádzkovateľa boli zmenené?

Stará povinnosť viesť evidenciu informačných systémov (tzv. povinnosť vypracovať evidenčný list) bola nahradená novou povinnosťou, a to viesť záznamy o spracovateľských činnostiach.

To znamená, že po novom už prevádzkovateľ nemusí viesť evidenciu o informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii (ktoré boli zrušené), ale má povinnosť viesť záznamy o spracovateľských činnostiach.

Prečítajte si tiež
Otvorenie prevádzky v SR - povinnosti

Ďalšiu povinnosť, pri ktorej po účinnosti GDPR nastala zmena, je povinnosť vypracovať bezpečnostný projekt. Táto je síce od 25. 5. 2018 zrušená, no na jej miesto bola zavedená nová, a to povinnosť posudzovať vplyv na ochranu osobných údajov. V podstate ide o proces vyhodnocovania rizík spojených s osobitným spôsobom spracúvania osobných údajov.

Článok pokračuje pod reklamou

Hlavné povinnosti prevádzkovateľa ustanovené v GDPR

Z nového európskeho nariadenia vplývajú pre prevádzkovateľa viaceré povinnosti. Medzi tie najdôležitejšie môžeme zaradiť nasledovné:

  1. Dodržiavať zásady ochrany osobných údajov (čl. 5 GDPR) a preukázať tento súlad Úradu na ochranu osobných údajov SR (ďalej len „úrad“) pri kontrole – napr. zásadu zákonnosti, teda že osobné údaje sú spracúvané zákonným spôsobom.
  2. Informačná povinnosť, t. j. povinnosť poskytnúť pri získavaní osobných údajov dotknutej osobe ustanovené informácie – napr. totožnosť a kontaktné údaje prevádzkovateľa, účel a právny základ spracúvania osobných údajov alebo dobu ich uchovávania.
  3. Preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov (to platí len v prípade, že spracúvanie sa realizuje na základe súhlasu) a že súhlas spĺňa všetky požadované náležitosti – napr. udelený slobodne.
  4. Prijať vhodné technické a organizačné opatrenia, aby prevádzkovateľ zabezpečil a bol schopný preukázať, že spracúvanie osobných údajov sa vykonáva v súlade s GDPR (pritom musí brať ohľad na povahu, rozsah, kontext a účely spracúvania, na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb).
  5. Viesť záznamy o spracovateľských činnostiach, za ktoré je prevádzkovateľ zodpovedný (musia sa viesť v písomnej i elektronickej podobe a musia obsahovať predpísané náležitosti – napr. meno/názov a kontaktné údaje prevádzkovateľa, účely spracúvania, opis kategórií dotknutých osôb a kategórií osobných údajov).
  6. Spolupracovať s úradom pri výkone jeho úloh.
  7. Oznamovacia povinnosť:
  • oznámiť porušenie ochrany osobných údajov úradu bez zbytočného odkladu, najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti prevádzkovateľ dozvedel (okrem prípadu, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb) – napr. nahlásiť bezpečnostný incident (neoprávnený výmaz osobných údajov), ku ktorému došlo pri dočasnom výpadku informačného systému zabezpečujúceho plnenie kritických úloh prevádzkovateľa v oblasti bezpečnosti a ochrany jeho majetku,
  • oznámiť porušenie ochrany osobných údajov dotknutej osobe bez zbytočného odkladu (to platí len v prípade porušenia, pri ktorom je pravdepodobnosť, že povedie k vysokému riziku pre práva a slobody fyzických osôb).

Viac o oznamovacej povinnosti prevádzkovateľa sa dočítate Oznamovacia povinnosť pri porušení ochrany osobných údajov.

  1. Zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
  2. Posúdiť vplyv plánovaných spracovateľských operácií na ochranu osobných údajov ešte pred ich spracúvaním (za predpokladu, že typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb) – napr. v prípade spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo systematického monitorovania verejne prístupných miest vo veľkom rozsahu.
  3. Povinnosť predchádzajúcej konzultácie, t. j. povinnosť uskutočniť s úradom pred spracúvaním osobných údajov konzultáciu (iba v prípade, ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie by viedlo k vysokému riziku, ak by neboli prijaté opatrenia na zmiernenie tohto rizika).
  4. Určiť zodpovednú osobu v ustanovených prípadoch – napr. keď hlavnými činnosťami prevádzkovateľa je spracúvanie osobitných kategórií osobných údajov (tzv. citlivých údajov) vo veľkom rozsahu.

Kto je zodpovednou osobou a kedy vzniká povinnosť jej určenia sa dozviete Určenie zodpovednej osoby podľa GDPR.

Sankcie za porušenie povinností prevádzkovateľa

Pri porušení vyššie vymenovaných povinností hrozia prevádzkovateľovi vysoké pokuty, ktoré sú príjmom štátneho rozpočtu.

Pokutu do výšky 10 000 000 eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, môže úrad uložiť napríklad za porušenie povinnosti:

  • viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný,
  • poskytnutia súčinnosti (spolupráce) úradu pri výkone jeho úloh,
  • oznámenia porušenia ochrany osobných údajov úradu.

Pokutu do výšky 20 000 000 eur alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia, môže úrad uložiť napríklad za porušenie povinnosti:

  • dodržiavať základné zásady spracúvania osobných údajov,
  • poskytnúť pri získavaní osobných údajov dotknutej osobe ustanovené informácie.

Viac o pokutách ukladaných za porušenie GDPR a nového zákona o ochrane osobných údajov sa dozviete v tomto článku Ukladanie pokút podľa GDPR.

Povinnosti podnikateľa Ochrana osobných údajov GDPR - ochrana osobných údajov

Viac podobných článkov nájdete na www.podnikajte.sk

Petra Pohorelá
Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Články autora
Zápis do obchodného registra od 1. 11. 2023
Centrálny register účtov – otázky a odpovede
Projekt premeny obchodných spoločností a družstiev od 1. 3. 2024
Rozdelenie obchodných spoločností od 1. 3. 2024
Zmeny právnej formy od 1. 3. 2024
Neprípustnosť premeny obchodných spoločností od 1. 3. 2024
Nový zákon o premenách obchodných spoločností a družstiev od 1. 3. 2024
Ako založiť rodinný podnik od 1. 7. 2023
Dedenie majetku podnikateľa – praktické prípady
Evidovaný a registrovaný rodinný podnik od 1. 7. 2023
Zobraziť viac
Zobraziť menej

Súvisiace témy

Národný program reforiem: na čo sa pripraviť?
Pripravované zmeny v legislatíve - Libuša Removčíková

Národný program reforiem: na čo sa pripraviť?

Návrat k eFaktúre, efektívnejšie plnenie daňových povinností, podpora inovácií či jednoduchšie zamestnávanie cudzincov. Súhrn opatrení, ktoré reagujú na odporúčania EÚ.
Otváracie hodiny počas veľkonočných sviatkov 2024
Zákonné povinnosti podnikateľa - Libuša Removčíková

Otváracie hodiny počas veľkonočných sviatkov 2024

Prehľad otváracej doby jednotlivých reťazcov počas Veľkej noci - od 29.3.2024 do 1.4.2024. Kto (ne)musí prevádzku zatvoriť?
Aplikovať botox nemôže hocikto: aké sú pravidlá v estetickej medicíne?
Zákonné povinnosti podnikateľa - Libuša Removčíková

Aplikovať botox nemôže hocikto: aké sú pravidlá v estetickej medicíne?

Kedy môže zväčšovať pery alebo vyhladzovať vrásky kozmetička a kedy to musí robiť lekár? Môže botox aplikovať zdravotná sestra? Čo hovorí zákon a kto kontroluje jeho dodržiavanie?
Povinnosti podnikateľa/účtovníka v januári 2024
Dane - Dominika Ružičková Kubišová

Povinnosti podnikateľa/účtovníka v januári 2024

Ukončenie roka so sebou prináša množstvo povinností. Čo všetko musia podnikatelia, príp. ich účtovníci stihnúť (spravidla) do 31. januára 2024?
Inšpirácia pre podnikanie
Podnikanie vo dvojici: keď sa zo životných partnerov stanú partneri aj v biznise Generačná výmena môže biznis posunúť vpred: príkladom je prešovská textilná firma
Štart podnikania
Ako výhodne vybrať peniaze z s. r. o.? Voľná živnosť – ako ju založiť v roku 2024?
Dane a účtovníctvo
Základná náhrada za 1 km pri použití motorového vozidla od 1. 5. 2024 PN a nemocenské živnostníka v roku 2024
Financie ekonomika
Predčasný dôchodok od 15. 5. 2024 Schvaľovanie dôchodku: riziko výpadku príjmu a neplatenia odvodov
Manažment a marketing
Elektromobilita na Slovensku: v rozvoji nestíhame priemeru EÚ Nekalé praktiky a podvody pri obchodovaní s ázijskými firmami
Právo a legislatíva
Európska smernica o minimálnych mzdách: čo znamená pre Slovensko? Cestovné náhrady za spotrebované pohonné látky od 1.1.2025 (návrh)
To najlepšie z Podnikajte.sk do vašej schránky