dnes je 20.10.2019
Input:

Zmeny v zákone o ochrane osobných údajov týkajúce sa mzdovej a HR oblasti od 25. 5. 2018

12.6.2018, , Zdroj: Verlag Dashöfer

2018.06.1.1 Zmeny v zákone o ochrane osobných údajov týkajúce sa mzdovej a HR oblasti od 25. 5. 2018

PaeDr. Anna Miklošová

Nariadenie Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane osobných údajov) (ďalej len „GDPR”) a zákon č. 18/2018 Z. z. o ochrane osobných údajov a zmene a doplnení niektorých zákonov (ďalej len „zákon č. 18/2018 Z. z.”), ktoré nadobudli účinnosť od 25. 5. 2018 priniesli zmenené pravidlá pre spracúvanie a ochranu osobných údajov. Všeobecne pri praktickej aplikácii týchto legislatívnych dokumentov na spracúvanie osobných údajov má GDPR prednosť pred zákonom č. 18/2018 Z. z.

GDPR stanovilo zásady spracúvania osobných údajov a v zmysle týchto zásad ustanovuje nasledovné právne základy spracúvania osobných údajov:

a) Súhlas dotknutej osoby, ktorý musí byť preukázateľný, slobodný, jasný, zrozumiteľný, informovaný a kedykoľvek odvolateľný. Preto sa na základe súhlasu spracúvajú osobné údaje v takých situáciách, pri ktorých nevznikajú žiadne finančné alebo iné záväzky. Ak spracúvanie osobných údajov patriacich do osobitnej kategórie osobných údajov neustanovuje osobitný zákon, tak takéto osobné údaje je v súlade s GDPR možné spracúvať na základe súhlasu.

b) Osobné údaje je možné spracúvať aj bez súhlasu dotknutej osoby. Je to vtedy ak spracúvanie osobných údajov:

- je nevyhnutné na plnenie zmluvných a predzmluvných vzťahov,

- je ustanovené osobitným zákonom,

- sa uskutočňuje z dôvodu životne dôležitých záujmov dotknutej osoby,

- sa uskutočňuje z dôvodu splnenia úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, pričom táto skutočnosť je ustanovená zákonom platným v Slovenskej republike,

- sa uskutočňuje z dôvodu oprávneného záujmu prevádzkovateľa alebo tretej strany.

Podľa GDPR ťažiskovým subjektom pri spracúvaní osobných údajov je prevádzkovateľ. Sprostredkovateľ je subjekt, ktorý je oprávnený spracúvať osobné údaje na základe pokynu prevádzkovateľa transformovaného do zmluvy medzi týmito dvomi subjektmi. Zmluva môže byť uzatvorená písomne alebo elektronicky.

Podľa GDPR je prevádzkovateľ aj sprostredkovateľ povinný:

a) spracúvať osobné údaje na legálnom základe a na ustanovený účel;

b) informovať dotknuté osoby o všetkých skutočnostiach súvisiacich so spracúvaním ich osobných údajov, ako aj o ich právach. GDPR posilnilo práva dotknutej osoby. Právo na informácie o spracúvaní osobných údajov má dotknutá osoba vždy pri získavaní osobných údajov. Z tejto povinnosti nie je výnimka ani v prípade ak sa osobné údaje spracúvajú na základe zákona. Prevádzkovateľ aj sprostredkovateľ sú povinní vytvoriť pre dotknutú osobu podmienky na uplatňovanie práv dotknutej osoby ustanovených GDPR tak, aby tieto práva boli uplatniteľné vždy, jednoducho a priamo, bez zbytočnej administratívy a prekážok. Preto GDPR ustanovuje že je potrebné dotknutej osobe umožniť uplatniť si práva aj elektronicky. Pri elektronickej komunikácii s dotknutou osobou, ktorá si uplatňuje svoje práva, je nevyhnutné primerane overiť jej totožnosť.

Podľa GDPR má dotknutá osoba tieto práva: právo na prístup k osobným údajom, na opravu osobných údajov, na vymazanie osobných údajov (právo na zabudnutie), na obmedzenie spracúvania, na prenosnosť osobných údajov, právo namietať proti spracúvaniu vrátane namietania proti profilovaniu (ak sa vykonáva), právo podať sťažnosť dozornému orgánu, teda Úradu na ochranu osobných údajov SR (ďalej len „Úrad”), právo odvolať súhlas so spracúvaním osobných údajov;

c) prijať primerané opatrenia na ochranu osobných údajov, ktoré môžu byť navrhnuté špecificky so zreteľom na osobitosti spracúvania osobných údajov alebo ustanovené štandardne. GDPR zavádza nové nástroje bezpečnosti spracúvania osobných údajov, ktorými sú pseudonymizácia alebo šifrovanie. Nástroje sú voliteľné. Je na prevádzkovateľovi, ktorú z týchto techník použije. Ďalšími voliteľnými technikami bezpečného spracúvania osobných údajov je kódex správania alebo certifikovaný proces spracúvania osobných údajov. Tieto nástroje bezpečného spracúvania osobných údajov podliehajú schváleniu Úradom, ktorý podľa zákona č. 18/2018 Z. z. je nielen dozorným orgánom ale aj certifikačným orgánom;

d) posúdiť vplyv na ochranu osobných údajov (tzv. Data Protection Impact Assesment - DPIA). Ak záverom z posúdenia vplyvu bude zistenie, že prevádzkovateľ vykonáva rizikovú operáciu s osobnými údajmi, ktorej vzhľadom k účelu spracúvania osobných údajov nie je možné zamedziť a aj pri implementácii bezpečnostných opatrení je táto spracovateľská činnosť naďalej riziková pre súkromie dotknutých osôb, musí vykonať predchádzajúcu konzultáciu s dozorným orgánom;

e) oznamovať porušenie ochrany osobných údajov Úradu a dotknutej osobe do 72 hodín odkedy sa prevádzkovateľ o porušení dozvedel. Je to nová povinnosť, ktorá sa vzťahuje na prevádzkovateľa. Sprostredkovateľ je povinný takýto incident oznámiť prevádzkovateľovi. Nová povinnosť vyplýva zo zmeny pohľadu na aplikáciu opatrení na ochranu osobných údajov. Prioritné je hľadisko dotknutej osoby, pretože ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetku, spoločenskú ujmu (strata dobrého mena), stratu kontroly nad osobnými údajmi, obmedzenie ich práv, diskrimináciu, krádež totožnosti alebo privodiť podvod, finančnú stratu ap.;

f) poverenie