Ochrana osobných údajov – právo na ochranu súkromia
„Každý má právo na ochranu pred neoprávneným
zasahovaním do súkromného a rodinného života.“
Ústava Slovenskej republiky, čl. 19 ods. 2
„Každý má právo na ochranu pred neoprávneným
zhromažďovaním, zverejňovaním alebo iným
zneužívaním údajov o svojej osobe.“
Ústava Slovenskej republiky, čl. 19 ods. 3
Osobné údaje sú dôležitou súčasťou života každého z nás. Právo na ochranu osobných údajov je
úzko späté s právom na ochranu súkromného života. Svojim obsahom a povahou sa ochrana
osobných údajov a ochrana súkromného života radí medzi základné ľudské práva a slobody
garantované Ústavou Slovenskej republiky.
Problematika ochrany osobných údajov je pomerne rozsiahlou témou, ktorá zasahuje takmer do
všetkých oblastí spoločenského života. V čoraz väčšej miere sa spracúvanie osobných údajov
využíva na úpravu a zabezpečenie vzájomných vzťahov, a preto je nevyhnutné zabezpečiť
primeranú úroveň ochrany jednotlivcov pri ich spracúvaní ich osobných údajov. Bez ich náležitej
ochrany sa otvára priestor na únik či neoprávnenú manipuláciu s osobnými údajmi, čo
v končenom dôsledku môže nepríjemne zasiahnuť do osobnej integrity človeka a spôsobiť mu
predovšetkým nemateriálnu ujmu. K najčastejším neoprávneným zásahom do práva na ochranu
osobných údajov a práva na ochranu súkromného života dochádza predovšetkým z dôvodu
neplnenia povinností a nezabezpečenia primeranej bezpečnosti ochrany osobných údajov zo
strany prevádzkovateľa a sprostredkovateľa. Bez dodržiavania pravidiel ochrany osobných
údajov dochádza k vystaveniu sa rizika uloženia pokuty za každé porušenie, ktoré Úrad na
ochranu osobných údajov Slovenskej republiky zistí alebo aj zverejnenia informácie o porušení
zákona, ktorého sa prevádzkovateľ alebo sprostredkovateľ dopustí.
Otázka predchádzania únikov osobných údajov nie je však len záležitosťou nastavenia
povinností a rozsahu zodpovednosti prostredníctvom zákona, ale aj vnímania a prístupu
jednotlivcov k svojmu súkromnému životu a osobnej integrite.
Dňa 1. júla 2013 nadobudne účinnosť zákon č. 122/2013 Z. z. o ochrane osobných údajov
a o zmene a doplnení niektorých zákonov (ďalej len „zákon ochrane osobných údajov“), ktorý
nahradí doposiaľ platný zákon a poskytne prehľadnejšiu úpravu práv a povinností osôb
začlenených do procesu spracúvania osobných údajov.
Účel zákona o ochrane osobných údajov.
Hlavným účelom zákona o ochrane osobných údajov je ochrana práv fyzických osôb pred
neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov.
Čo sú to osobné údaje?
Osobné údaje sú vstupnou bránou do súkromia každého. Niekedy však môže byť náročné určiť,
čo všetko, aké údaje a informácie, možno považovať za osobné údaje, ktoré je potrebné chrániť.
Zákon o ochrane osobných údajov neupravuje konkrétny zoznam údajov, ktoré sú považované za
osobné údaje. Definícia osobných údajov pozostáva zo štyroch úzko prepojených hlavných
zložiek, ktoré sa navzájom dopĺňajú
a) zložka „akékoľvek údaje, charakteristiky“,
b) zložka „týkajúce sa“,
c) zložka „identifikovaná a identifikovateľná“,
d) zložka „fyzická osoba“.
V rámci osobných údajov rozoznávame tzv. osobitnú kategóriu osobných údajov. Ide o druh
osobných údajov, medzi ktoré patria
a) osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru
alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v
odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života,
b) všeobecne použiteľný identifikátor (rodné číslo),
c) osobné údaje o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej
spôsobilosti,
d) osobné údaje o porušení ustanovení zakladajúcich trestnú zodpovednosť
alebo administratívnoprávnu zodpovednosť,
e) biometrické údaje.
Osobné údaje patriace medzi osobitnú kategóriu osobných údajov sú považované za citlivé
osobné údaje, ktoré sú spôsobilé zasiahnuť do súkromia dotknutej osobe a privodiť jej ujmu
v značnejšom rozsahu. Na ich spracúvanie zákon o ochrane osobných údajov preto kladie
prísnejšie kritériá.
Základné pravidlá pri spracúvaní osobných údajov.
Pred začatím spracúvania osobných údajov je potrebné určiť základné náležitosti
a) osoba prevádzkovateľa (prípadne ďalších osôb),
b) účel spracúvania,
c) právny základ spracúvania osobných údajov,
d) zoznam osobných údajov,
e) podmienky spracúvania osobných údajov (prostriedky a spôsob spracúvania).
Ďalšie povinnosti podľa zákona (s ohľadom na základné náležitosti).
2
Osoby v procese spracúvania.
•
O kom sa osobné údaje spracúvajú?
Dotknutá osoba.
•
Kto spracúva osobné údaje?
Prevádzkovateľ / Sprostredkovateľ.
Zástupca prevádzkovateľa / Subdodávateľ.
•
Kto má u prevádzkovateľa prístup k osobných údajom?
Oprávnená osoba.
Zodpovedná osoba.
•
Komu sa osobné údaje ďalej postupujú?
Tretia strana (poskytovanie).
Príjemca (sprístupňovanie).
Dotknutá osoba.
Dotknutou osobou je každá fyzická osoba, ktorej sa osobné údaje týkajú. Dotknutou osobou
môže byť výlučne fyzická osoba – jednotlivec, pričom je rozhodujúce, či fyzická osoba požíva
určité sociálne postavenie alebo je v spoločnosti radená do rôznych spoločenských skupín
(rasový, etnický pôvod, a pod.). Ochrana patrí všetkým fyzickým osobám bez rozdielu.
Prevádzkovateľ.
Prevádzkovateľ je ústredná postava na strane povinnostných subjektov v procese spracúvania
osobných údajov. Prevádzkovateľom je ten, kto určuje účel a podmienky spracúvania osobných
údajov. Prevádzkovateľ spracúva osobné údaje
a) vo vlastnom mene, vždy, aj keď spracovateľskými operáciami na základe zmluvy poverí
sprostredkovateľa,
b) za existencie právneho základu,
c) spôsobom, ktorý je v súlade s dobrými mravmi,
d) na vymedzený alebo ustanovený účel.
Sprostredkovateľ.
Existencia sprostredkovateľa závisí od rozhodnutia prevádzkovateľa, na ktorého uvážení je, či
bude osobné údaje spracúvať osobne, alebo konkrétnymi spracovateľskými operáciami zmluvne
zaviaže sprostredkovateľa. Sprostredkovateľ vykonáva spracúvanie osobných údajov v mene
prevádzkovateľa, v súlade s uzatvorenou písomnou zmluvou určujúcou rozsah a podmienky
spracúvania a v súlade so zákonom. Sprostredkovateľ vykonáva spracúvanie osobných údajov
osobne, pokiaľ sa zmluvne s prevádzkovateľom nedohodne, že spracovateľské operácie vykoná
prostredníctvom subdodávateľa. Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu
na zodpovednosť sprostredkovateľa. Na subdodávateľa sa v zmysle zákona o ochrane osobných
údajov nahliada ako na sprostredkovateľa.
3
Vzťah medzi prevádzkovateľom a sprostredkovateľom.
Vzťah medzi prevádzkovateľom a sprostredkovateľom sa zakladá písomnou zmluvou.
Prevádzkovateľ je povinný pri výbere osoby sprostredkovateľa povinný zohľadniť odbornú,
technickú, organizačnú a personálnu spôsobilosť a požiadavku na primerané bezpečnostné
opatrenia pri spracúvaní osobných údajov. Na uzatvorenie tejto zmluvy sa súhlas dotknutej
osoby nevyžaduje.
Čo znamená účel a podmienky spracúvania osobných údajov?
Účel spracúvania osobných údajov je vopred jednoznačne vymedzený alebo zákonom
ustanovený zámer spracúvania osobných údajov, ktorá sa viaže na určitú činnosť. Účel určuje
výlučne len prevádzkovateľ (ak nie je vymedzený zákonom).
Podmienky spracúvania osobných údajov sú prostriedky a spôsob spracúvania a všetky
požiadavky súvisiace so spracúvaním osobných údajov na dosiahnutie účelu spracúvania (napr.
aké osobné údaje sa budú spracúvať, v akom rozsahu a akým spôsobom a pod.).
Čo rozumieť pod právnym základom spracúvania osobných údajov?
Právnym základom je oprávnenie prevádzkovateľa k spracúvaniu osobných údajov, resp. dôvod,
ktorý umožňuje prevádzkovateľovi vykonávať jednotlivé operácie s osobnými údajmi,
samozrejme za splnenia aj ďalších povinností, ktoré v tejto súvislosti prevádzkovateľovi plynú .
Právnym základom spracúvania osobných údajov môže byť len
a) priamo vykonateľný právne záväzný právny akt Európskej únie,
b) medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c) zákon o ochrane osobných údajov,
d) osobitný zákon alebo
e) súhlas dotknutej osoby.
Osobné údaje možno spracúvať
a) bez súhlasu dotknutej osoby alebo
b) so súhlasom dotknutej osoby.
Súhlas dotknutej osoby.
Súhlas dotknutej osoby je jeden zo základných princípov ochrany osobných údajov. Súhlasom je
akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na
základe poskytnutých informácií vyjadruje súhlas so spracúvaním osobných údajov. Inými
slovami, súhlasom možno rozumieť povolenie k oprávneným zásahom do osobných údajov
dotknutej osoby a jej súkromia.
Zmyslom inštitútu súhlasu je právo dotknutej osoby rozhodnúť o spracúvaní (nespracúvaní) na
základe vlastného uváženia. Je neprípustné si súhlas vynucovať ani podmieňovať hrozbou
odmietnutia zmluvného vzťahu, tovaru, služby, a pod.
4
Súhlas musí byť slobodne daný, konkrétny a zrozumiteľný, vedomý, výslovný a jednoznačný.
Forma súhlasu je ponechaná na uvážení prevádzkovateľa (s ohľadom na podmienky
spracúvania), pokiaľ zákon výslovne nevyžaduje písomnú formu. Súhlas musí byť hodnoverne
preukázateľný (napr. zvukový, zvukovo obrazový záznam, čestné vyhlásenie). Dotknutá osoba
má právo súhlas kedykoľvek odvolať.
Fázy spracúvania osobných údajov.
Povinnosti podľa zákona o ochrane osobných údajov možno rozdeliť do jednotlivých fáz
spracúvania osobných údajov, ktorými sú
a) Príprava na spracúvanie osobných údajov
(napr. osoba prevádzkovateľa, vymedziť účel, určiť prostriedky spracúvania, určiť správny
právny základ spracúvania a zoznam osobných údajov, ktoré budú predmetom spracúvania,
prijatie primeraných bezpečnostných opatrení, poučenie oprávnených osôb, povinnosť
mlčanlivosti, zodpovedná osoba, registrácia)
b) Začatie spracúvania osobných údajov
(napr. informačná povinnosť, získavanie osobných údajov výlučne len na vopred vymedzený
alebo zákonom ustanovený účel, zákaz získavania osobných údajov pod zámienkou iného
účelu spracúvania)
c) Priebeh spracúvania osobných údajov
(napr. zabezpečenie, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a
obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie, zákaz
združovania osobných údajov, spracúvanie len správnych, úplných a aktualizovaných
osobných údajov, spracúvanie osobných údajov v súlade s dobrými mravmi)
d) Ukončenie spracúvania osobných údajov
(napr. likvidácia osobných údajov)
Plnenie jednotlivých povinnosti je prevádzkovateľ povinný zabezpečovať priebežne v celom
procese spracúvania (jednotlivých štádiách), s ohľadom na konkrétne podmienky spracúvania
v danom informačnom systéme.
Čo je informačná povinnosť?
Informačnou povinnosťou je oznámenie zákonom stanovených informácií dotknutej osobe.
Dotknutá osoba má právo vedieť o tom, kto, kde a akým spôsobom bude spracúvať jej osobné
údaje. Pokiaľ bude dochádzať k spracúvaniu osobných údajov na základe jej súhlasu, má mať
možnosť posúdenia a rozhodnutia, či poskytne svoje osobné údaje prevádzkovateľovi na
spracúvanie.
5
Bezpečnosť osobných údajov.
Bezpečnosť osobných údajov je kľúčovou otázkou pri spracúvaní osobných údajov.
Prevádzkovateľ je povinný zabezpečiť ochranu osobných údajov pri ich spracúvaní pred ich
poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím
alebo zverejnením ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na
tento účel je povinný prijať primerané bezpečnostné opatrenia (technické organizačné
a personálne) a s ohľadom na podmienky spracúvania ich aktualizovať. Prijaté bezpečnostné
opatrenia je prevádzkovateľ povinný následne zdokumentovať v dokumentácii v základnom
rozsahu, bezpečnostnej smernici alebo bezpečnostnom projekte.
Poučenie oprávnenej osoby.
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci
svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo iného
obdobného vzťahu, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo
výkonu verejnej funkcie, a ktorá vykonáva také operácie s osobnými údajmi, ktoré je možné
považovať za spracúvanie osobných údajov podľa zákona. Fyzická osoba sa stáva oprávnenou
osobou dňom poučenia.
Prevádzkovateľ poučí svoje oprávnené osoby o ich právach a povinnostiach pri spracúvaní
osobných údajov v súlade so zákonom o ochrane osobných údajov a o zodpovednosti za ich
porušenie. O poučení sa vyhotovuje písomný záznam v zákonom o ochrane osobných údajov
stanovenom rozsahu. Oprávnená osoba je oprávnená spracúvať osobné údaje len v rozsahu
a spôsobom určeným v poučení.
Zodpovedná osoba.
Zodpovedná osoba je fyzická osoba, ktorá je prevádzkovateľom písomne poverená vykonávať
dohľad nad ochranou osobných údajov, a ktorá v rámci svojej činnosti dozerá na dodržiavanie
zákonných ustanovení pri spracúvaní osobných údajov. Zodpovednou osobou môže byť len
fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné
potvrdenie úradu o absolvovaní skúšky na výkon funkcie zodpovednej osoby. Fyzická osoba
môže byť poverená výkonom dohľadu nad ochranou osobných údajov a vykonávať funkciu
zodpovednej osoby až po úspešnom absolvovaní skúšky na výkon funkcie zodpovednej osoby.
Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa,
členom štatutárneho orgánu prevádzkovateľa a fyzická osoba, ktorá je oprávnená konať v mene
štatutárneho orgánu prevádzkovateľa alebo člena štatutárneho orgánu prevádzkovateľa pri plnení
povinností a uplatňovaní práv podľa zákona o ochrane osobných údajov. Zodpovednou osobou
nemôže byť ani osoba, ktorej bola úradom opakovane uložená pokuta za neplnenie povinností
vyplývajúce z jej funkcie.
Prevádzkovateľ je povinný poveriť zodpovednú osobu, ak spracúva osobné údaje
prostredníctvom 20 a viac oprávnených osôb, a to v lehote najneskôr do 60 dní od začatia
spracúvania osobných údajov alebo vzniku tejto povinnosti. Zákon neumožňuje
6
prevádzkovateľovi, ktorý spracúva osobné údaje prostredníctvom menej ako 20 oprávnených
osôb mať zodpovednú osobu na báze dobrovoľnosti a nahradiť tak plnenie registračnej
povinnosti poverením zodpovednej osoby.
Registrácia a osobitná registrácia informačných systémov.
Registrácia a osobitná registrácia informačných systémov predstavuje „povoľovacie“ konanie
na spracúvanie osobných údajov, pričom pre osobitnú registráciu zákon o ochrane osobných
údajov stanovuje prísnejšie pravidlá z dôvodu potreby posúdenia vzniku nebezpečenstva
porušenia práv a slobôd dotknutých osôb. Registrácia a osobitná registrácia podliehajú
poplatkovej povinnosti.
Cezhraničný prenos osobných údajov.
Cezhraničným prenosom osobných údajov je akýkoľvek prenos osobných údajov mimo územia
Slovenskej republiky a na územie Slovenskej republiky. Zákon o ochrane osobných údajov
rozlišuje prenos osobných údajov do členských štátov EÚ a štátov, ktoré sú zmluvnou stranou
dohody o EHP a do tretích krajín s primeranou/bez primeranej úrovne ochrany osobných údajov,
a primerane tomu stanovuje podmienky na prenos osobných údajov.
Zmeny zákona vo všeobecnosti.
Zákon o ochrane osobných údajov zmenil systematiku, prepracoval a precizoval viaceré
ustanovenia doposiaľ platného zákona. Zákonom sa zároveň zaviedla prehľadnejšia úprava
prevádzkovateľa, sprostredkovateľa a ich vzájomného vzťahu, spresnili sa pravidlá, ktoré
regulujú povinnosti a postupy pri určovaní oprávnenej osoby a nanovo sa upravili podmienky
prenosu osobných údajov do tretích krajín s primeranou či bez primeranej úrovne ochrany
osobných údajov ako aj inštitút zodpovednej osoby vykonávajúcej dohľad nad ochranou
osobných údajov.
7
Download

Ochrana osobných údajov – právo na ochranu súkromia