Dátum publikácie:30. 6. 2014
Oblasti práva: Správne právo / Informácie, informačný systém / Ochrana údajov
Právny stav od:15. 4. 2014
Právny stav do:31. 12. 2016
Stručne:
Zákon o ochrane osobných údajov prešiel novelou, ktorá nám priniesla niektoré zmeny. Od 15. apríla 2014 úplné znenie zákona znie: zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (ďalej len „zákon o ochrane osobných údajov“).
Do 15. apríla 2014 mal mať prevádzkovateľ ku každému informačnému systému vypracované buď:
- evidenčný list (je nespoplatnený, prevádzkovateľ ho uchováva u seba),
- osobitnú registráciu [registrácia a aj nahlasovanie jej zmien spoplatnené sumou 50 € sa zasiela na Úrad na ochranu osobných údajov SR (ďalej len „úrad“)],
- „obyčajnú“ registráciu (registrácia a aj nahlasovanie jej zmien bolo spoplatnené sumou 20 € sa zasielalo na úrad).
Od 15. apríla 2014 prevádzkovateľ musí mať ku každému informačnému systému buď evidenčný list, oznamovaciu povinnosť, alebo osobitnú registráciu. Tzv. „obyčajná“ registrácia sa zmenila na oznamovaciu povinnosť a je bezplatná.
Registrácie informačných systémov vykonané do 14. apríla 2014 sa považujú za oznámenia informačných systémov podľa § 34 v znení účinnom od 15. apríla 2014. Konania o registrácii informačných systémov a konania o osobitnej registrácii informačných systémov, ktoré neboli ukončené do 14. apríla 2014, sa dokončia podľa zákona účinného do 14. apríla 2014.
1. Oznamovacia povinnosť
Ako bolo už vyššie uvedené, od 15. apríla 2014 je tu oznamovacia povinnosť. Oznamovacia povinnosť sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania. To znamená, ak prevádzkovateľ spracúva osobné údaje inými ako automatizovanými prostriedkami spracúvania, niekedy sa hovorí aj neautomatizovaná alebo listinná podoba, tak taký informačný systém nepodlieha oznamovacej povinnosti.
Podľa § 34 ods. 2 zákona o ochrane osobných údajov oznamovacia povinnosť sa nevzťahuje na informačné systémy, ktoré:
a) podliehajú osobitnej registrácii podľa § 37,
b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona, okrem informačného systému, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), ktorý vždy podlieha oznamovacej povinnosti; úrad môže rozhodnúť, že informačný systém, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), podlieha osobitnej registrácii [z uvedeného je zrejmé, že informačný systém, kde právny základ je § 10 ods. 3 písm. g) citovaného zákona, vždy podlieha oznamovacej povinnosti, bez ohľadu na to, či prevádzkovateľ má alebo nemá zodpovednú osobu],
c) obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
d) obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
Prevádzkovateľ je povinný oznámiť informačný systém podľa § 34 citovaného zákona pred začatím spracúvania osobných údajov; oznámenie možno vykonať aj prostredníctvom elektronického formulára (elektronický formulár sa spustí až od 1. septembra 2014). Oznámenie musí obsahovať:
a) identifikačné údaje prevádzkovateľa,
b) meno a priezvisko štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa,
c) identifikačné údaje zástupcu prevádzkovateľa, ak je vymenovaný; ak prevádzkovateľ vymenoval svojho zástupcu, uvedie aj meno a priezvisko štatutárneho orgánu zástupcu prevádzkovateľa alebo inej osoby oprávnenej konať v mene zástupcu prevádzkovateľa,
d) počet oprávnených osôb prevádzkovateľa,
e) názov informačného systému,
f) účel spracúvania osobných údajov,
g) právny základ spracúvania osobných údajov,
h) okruh dotknutých osôb,
i) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety,
j) tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté a právny základ ich poskytovania,
k) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené a právny základ ich sprístupnenia,
l) spôsob zverejnenia, ak prevádzkovateľ osobné údaje zverejňuje a právny základ ich zverejnenia,
m) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov a právny základ ich prenosu,
n) označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany osobných údajov podľa § 19 ods. 1 a 2,
o) deň, keď sa začnú spracúvať osobné údaje v informačnom systéme.
NEPREHLIADNITE
Vzor oznámenia informačného systému a vzorový zoznam informačných systémov zverejnil úrad na svojom webovom sídle.
Zo zoznamu je zrejmé, že ide hlavne o informačné systémy, kde právny základ spracúvania osobných údajov je súhlas dotknutej osoby alebo zmluva s dotknutou osobou.
Oznamovacej povinnosti nepodliehajú informačné systémy ako napríklad IS Personalistika a mzdy, IS Účtovné doklady, IS Správa registratúry, IS Jednorazový vstup do priestorov prevádzkovateľa.
Vzorový zoznam informačných systémov, ktoré nepodliehajú oznamovacej povinnosti:
| Názov informačného systému osobných údajov**)
| Poznámka (na účel spracúvania osobných údajov)
|
| IS Marketing
| podpora predaja: marketingové ponuky, newsletter, informácie o produktoch a novinkách
|
| IS Vernostný program
| poskytovanie zliav, bonusov, vernostné programy,
|
| IS Správa bytov
| správa vlastníkov bytov a nebytových priestorov spoločenstvom alebo správcom
|
| IS E-shop
| nákup a predaj tovaru cez internet, vrátane jeho doručenia klientovi
|
| IS Realitná činnosť
| činnosť realitnej kancelárie (zmluvy a predzmluvné vzťahy)
|
| IS Cestovná kancelária
| uzatváranie zmlúv o obstaraní zájazdu
|
| IS Školenia a kurzy
| zabezpečovanie vzdelávacích aktivít
|
| IS Inzercia
| poskytovanie inzertných služieb
|
| IS Záložňa
| uzatvorenie zmluvného vzťahu na účely založenia hnuteľného majetku
|
| IS darovacie zmluvy
| poskytovanie darov: napr. občianskym združeniam, neziskovým organizáciám
|
| IS pôžičky
| poskytovanie úverov a pôžičiek nebankovým spôsobom z vlastných finančných zdrojov
|
| IS Spotrebiteľská súťaž
| organizovanie spotrebiteľských súťaží
|
POZNÁMKY
*) Ak prevádzkovateľ nemá poverenú zodpovednú osobu
**) Uvádza sa výstižný názov zodpovedajúci účelu spracúvania osobných údajov
Ak ide o informačný systém, ktorý podlieha oznamovacej povinnosti a oznámenie spĺňa náležitosti podľa § 35 ods. 1 citovaného zákona, úrad informačnému systému pridelí identifikačné číslo. O splnení oznamovacej povinnosti vydá úrad na žiadosť prevádzkovateľa potvrdenie, ktoré obsahuje:
a) identifikačné údaje úradu,
b) identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
c) názov informačného systému,
d) pridelené identifikačné číslo,
e) titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f) dátum splnenia oznamovacej povinnosti
g) odtlačok úradnej pečiatky úradu.
K oznámeniu od 15. apríla 2014 nie je potrebné posielať okrem formulára ďalší dokument, ak by bolo úradu niečo nejasné, vyzve prevádzkovateľa na doplnenie.
UPOZORNENIE
Úrad nedáva potvrdenie automaticky, ale až na žiadosť. Odporúčame prevádzkovateľom na to nezabudnúť a o takúto žiadosť požiadať hneď pri oznamovaní.
Ak oznámenie nespĺňa náležitosti podľa § 35 ods. 1 citovaného zákona, úrad vyzve prevádzkovateľa na odstránenie nedostatkov v lehote, ktorú určí a ktorá nemôže byť kratšia ako sedem dní. Ak prevádzkovateľ neodstráni nedostatky v určenej lehote, úrad identifikačné číslo nepridelí a na oznámenie sa neprihliada.
Ak informačný systém podlieha oznamovacej povinnosti a prevádzkovateľ si splnil oznamovaciu povinnosť podľa § 35 ods. 1, je oprávnený začať so spracúvaním osobných údajov odo dňa oznámenia. Nemusí čakať na potvrdenie úradu o splnení oznamovacej povinnosti.
Ak informačný systém prevádzkovateľa po jeho oznámení začne spĺňať podmienky uvedené v § 34 ods. 2 citovaného zákona, prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad; úrad odníme identifikačné číslo, o čom bez zbytočného odkladu informuje prevádzkovateľa. Ak úrad zistí túto skutočnosť pri plnení úloh podľa tohto zákona z vlastnej iniciatívy, odníme identifikačné číslo, o čom bez zbytočného odkladu informuje prevádzkovateľa. Proti rozhodnutiu o odňatí identifikačného čísla nie je prípustný opravný prostriedok.
Pri vyhotovovaní oznámenia, oznámení zmeny oznámených údajov a oznámení ukončenia používania informačného systému elektronickou formou sa od 15. apríla 2014 nevyžaduje zaručený elektronický podpis; od 1. septembra 2014 možno oznámenie podľa § 35 ods. 1, oznámenie zmeny oznámených údajov a oznámenie ukončenia používania informačného systému vykonať aj prostredníctvom elektronického formulára.
Úrad zverejní elektronický formulár na svojom webovom sídle.
UPOZORNENIE
Od 1. septembra 2014 je tu „diera“ v zákone, pretože môže ktokoľvek komukoľvek oznámiť informačný systém a daný subjekt o tom ani nemusí vedieť, pretože sa automaticky neposiela potvrdenie o oznámení, ale až na žiadosť.
2. Osobitná registrácia
Osobitná registrácia je druhá forma dokumentácie a vzťahuje sa na informačné systémy, v ktorých prevádzkovateľ spracúva:
a) osobné údaje na základe § 10 ods. 3 písm. g), ak o tom rozhodne úrad podľa § 34 ods. 2 písm. b) (NOVINKA: nebudem žiadať o osobitnú registráciu podľa tohto ustanovenia, ale úrad v konaní o oznamovacej povinnosti rozhodne o tom, že daný informačný systém nepodlieha oznamovacej povinnosti, ale osobitnej registrácii). Ide o spracúvanie osobných údajov, ktoré je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje sú spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona;
Uveďme si teda, najmä aké informačné systémy možno považovať za tie, v ktorých ide o spracovanie osobných údajov na ochranu práv a právom chránených záujmov.
Hot linka (telefonická alebo e-mailová) – zákazníci aj zamestnanci majú možnosť nahlásiť, oznámiť (aj anonymne), ak sú s niečím nespokojní, ak zistili protiprávne konanie a pod. Je to určitá súčasná forma knihy prianí a sťažností.
Whistleblowing – o whistleblowingu hovoríme vtedy, keď existujúci alebo bývalí zamestnanci organizácie (prevádzkovateľa), obchodní partneri spoločnosti a podobne upozorňujú na nekalé praktiky na pracovisku, korupčné správanie a obracajú sa na inštitúcie alebo orgány, ktoré môžu oznamovanú skutočnosť, spravidla ohrozujúcu verejnosť a idúcu proti verejnému záujmu, preveriť a prípadne zakročiť (väčšinou je to „čierna schránka“ – black box buď v rámci spoločnosti, alebo spoločnosť vedením takejto schránky poverí inú spoločnosť, ktorá potom vedie vyšetrovanie a preskúmavanie podnetov. Až v prípade, že sa naozaj zistí, že došlo k spáchaniu trestného činu, postupujú vec orgánom činným v trestnom konaní podaním trestného oznámenia.).
Due diligence – pojem due diligence pochádza z amerického práva a tamojšej praxe pri uzatváraní zmlúv, v preklade znamená obvyklú opatrnosť a starostlivosť vynakladanú v obchodnom styku podnikateľov, v európskych krajinách sa pod termínom due diligence rozumie najmä hĺbková previerka podniku v súvislosti s potenciálnou obchodnou transakciou, akou môže byť napríklad kúpa akcií podniku, kúpa a následný prevod obchodného podielu alebo poskytnutie úveru zo strany banky.
Ak je potrebné pri hĺbkovej previerke preverovanej spoločnosti spracúvať osobné údaje aj zamestnancov a ďalších osôb, je potrebné takýto informačný systém prihlásiť na osobitnú registráciu.
Kamerové systémy – prostredníctvom ktorých sa monitorujú priestory, ktoré nie sú prístupné verejnosti alebo nejde o priestor, ktorý monitoruje zamestnancov podľa Zákonníka práce. Ide napríklad o kamery umiestnené na vozidlách, ktoré monitorujú priestor pred alebo v okolí vozidla (vozidlá technických služieb, sanitky alebo aj rušeň). Ďalej ide o kamerové systémy, ktoré sa používajú na ochranu objektov, ako sú sklady, výrobné haly, oplotené areály a kamerové systémy sa používajú na ochranu pred vniknutím cudzích a neoprávnených osôb a na ochranu majetku.
b) osobné údaje na základe § 13 ods. 5 písm. b), c) a d), t. j. biometrické údaje. Prevádzkovateľ je oprávnený spracúvať biometrické údaje len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie a ak b) dotknutá osoba dala na spracúvanie písomný alebo inak hodnoverne preukázateľný súhlas, c) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy podľa § 10 ods. 3 písm. b) alebo d) spracúvanie osobných údajov je nevyhnutné na účely podľa § 10 ods. 3 písm. g);
Biometrický údaj
Biometrickým údajom je osobný údaj fyzickej osoby, na základe ktorého je osoba jednoznačne a nezameniteľne určiteľná. Ide o biologické vlastnosti, fyziologické znaky, črty alebo opakované činnosti, v prípade ktorých sú tieto vlastnosti a/alebo činnosti špecifické pre konkrétneho človeka a zároveň merateľné. Biometrickými údajmi sú napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny a pod.
Ako je uvedené v definícii, jednou z možností spracúvania biometrických údajov je súhlas dotknutej osoby. Súhlas však musí byť poskytnutý slobodne, prevádzkovateľ nesmie poskytnutie služby alebo uzavretie zmluvy podmieňovať poskytnutím súhlasu.
Jednou z možností, kedy sa využíva inštitút súhlasu, je uzatváranie zmluvy, kde prevádzkovateľ poskytne dotknutej osobe možnosť podpísania zmluvy aj prostredníctvom zariadenia, ktoré spracúva biometrický podpis.
Pri evidencii dochádzky je možné spracúvať biometrické údaje na základe súhlasu, ak prevádzkovateľ poskytne svojim zamestnancom alternatívny spôsob evidencie dochádzky.
Z uvedeného vyplýva, že ak skupina zamestnancov nesúhlasí s biometrickou evidenciou, prevádzkovateľ je povinný týmto zamestnancom poskytnúť iný spôsob evidencie, napr. magnetické karty, kniha dochádzky a pod.
Samozrejme, je nevyhnutné, aby prevádzkovateľ pri takomto spracúvaní biometrických údajov splnil všetky podmienky osobitnej registrácie, t. j. prihlásil informačný systém na osobitnú registráciu, odôvodnil, prečo poskytuje možnosť spracúvania biometrických údajov (napr. je nežiaduce, aby sa na pracovisku zdržiavali cudzie osoby z dôvodu nebezpečenstva úrazu, havárie, znehodnotenia zariadení, je rizikové nosiť pri sebe magnetické karty – riziko krádeže a pod.).
c) aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov; osobitná registrácia sa nevyžaduje v prípadoch podľa § 31 ods. 9 [podľa písm. c) je tak veľmi špecifická osobitná registrácia, že sa vyskytuje veľmi ojedinele alebo vôbec, preto sa ňou ani v tomto článku nebudeme zaoberať].
Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, musí okrem náležitostí podľa § 35 ods. 1 citovaného zákona obsahovať aj dôvod prihlasovania informačného systému na osobitnú registráciu podľa § 37. Na osobitnú registráciu je potrebné priložiť ďalšie dokumenty – podklady nevyhnutné na posúdenie, či spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb.
Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, zverejnil úrad na svojom webovom sídle.
K žiadosti o osobitnú registráciu podľa § 37 písm. a) citovaného zákona je potrebné priložiť dokument, na základe ktorého sa bude spracúvanie osobných údajov uskutočňovať, napr. interný predpis, etický kódex, upozornenie dotknutej osoby, informácia o hot linke a pod.
Druh dokumentu je potrebné vyznačiť alebo uviesť na konci žiadosti o osobitnú registráciu.
Ako právny základ pri osobitnej registrácii podľa § 37 písm. a) citovaného zákona sa vždy uvádza „ochrana práv a právom chránených záujmov“ alebo „§ 10 ods. 3 písm. g) zákona o ochrane osobných údajov“.
Žiadosť o osobitnú registráciu
K žiadosti o osobitnú registráciu podľa § 37 písm. b) (spracúvanie biometrických údajov) je potrebné priložiť:
- popis prostredia, citlivého zariadenia alebo prevádzky; v tomto bode je potrebné podrobne odôvodniť, prečo chce prevádzkovateľ spracúvať biometrické údaje (odôvodniť primeranosť a nevyhnutnosť spracúvania biometrických údajov), napr. je nežiaduce, aby sa na pracovisku zdržiavali cudzie osoby z dôvodu nebezpečenstva úrazu, havárie, znehodnotenia zariadení, je rizikové nosiť pri sebe magnetické karty – riziko krádeže a následného zneužitia a pod.;
- okruh osôb, ktorých biometrické údaje budú spracúvané v informačnom systéme;
- pôdorys priestoru, v ktorom bude umiestnené zariadenie snímajúce biometrické údaje; vyznačenie vstupov, umiestnenie zariadenia snímajúceho biometrické údaje, umiestnenie priestorov prístupných verejnosti a pod.;
- technický popis zariadenia, ktoré sníma a spracúva biometrické údaje; spôsob, akým zariadenie sníma a ďalej spracúva biometrické údaje, spôsob identifikácie biometrického údaja (jeho priradenie ku konkrétnej osobe z množiny iných údajov) a pod.;
- fotodokumentáciu priestoru, ak jej vyhotovenie nevylučuje osobitný zákon.
Pri osobitnej registrácii biometrických informačných systémov sa ako právny základ uvádza jeden z bodov uvedených v ustanovení § 13 ods. 5, teda súhlas – § 13 ods. 5 písm. b), alebo zmluva – § 13 ods. 5 písm. c), alebo ochrana práv a právom chránených záujmov – § 13 ods. 5 písm. d) zákona o ochrane osobných údajov. Kumulatívny zoznam právnych základov je možné použiť len vo výnimočných a prevádzkovateľom odôvodnených prípadoch.
Ak žiadosť nespĺňa náležitosti alebo ak pri posudzovaní žiadosti vzniknú akékoľvek pochybnosti, úrad vyzve prevádzkovateľa na odstránenie nedostatkov alebo doplnenie podkladov v lehote, ktorú určí a ktorá nemôže byť kratšia ako desať dní; počas tejto doby lehota v konaní o osobitnej registrácii neplynie.
Mieru nebezpečenstva porušenia práv a slobôd dotknutej osoby pri spracúvaní osobných údajov individuálne pre konkrétny prípad posudzuje úrad. Ak spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb, úrad zaregistruje informačný systém a pridelí mu registračné číslo.
O osobitnej registrácii vydá úrad potvrdenie, ktoré obsahuje:
a) identifikačné údaje úradu,
b) identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
c) názov informačného systému,
d) pridelené registračné číslo,
e) titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f) dátum registrácie a
g) odtlačok úradnej pečiatky úradu.
Prevádzkovateľ je oprávnený začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu až po doručení potvrdenia o osobitnej registrácii.
UPOZORNENIE
Zákonodarca nie veľmi šťastne do § 34 ods. 2 písm. b) uviedol, že v prípade informačného systému, kde právny základ spracúvania osobných údajov je § 10 ods. 3 písm. g) citovaného zákona, tento informačný systém vždy podlieha oznamovacej povinnosti, ale úrad môže rozhodnúť, že podlieha osobitnej registrácii. Zo znenia zákona nie je úplne jasné, ako to bude úrad riešiť v prípade, ak ja napríklad oznámim informačný systém Hotline linka (účelom je oznamovanie nekalých praktík na pracovisku).
Oznamovacia povinnosť znamená, že môžem spracúvať hneď, nemusím úrad dokonca ani požiadať o potvrdenie splnenia oznamovacej povinnosti a môžem spracúvať osobné údaje odo dňa oznámenia. Ale ak úrad usúdi, že to podlieha oznamovacej povinnosti, nemala by som spracúvať osobné údaje, ale čakať na potvrdenie úradu o zaregistrovaní.
Uvedené ustanovenie je veľmi nešťastne formulované a bude robiť problémy v praxi či už prevádzkovateľom, alebo úradu.
Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú registráciu posúdi ako rizikové, rozhodne o neudelení osobitnej registrácie prevádzkovateľovi na spracúvanie osobných údajov na daný účel.
Prevádzkovateľ je povinný bez zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.
Ak pri posudzovaní predložených údajov úrad zistí, že prihlásený informačný systém nepodlieha osobitnej registrácii, konanie o osobitnej registrácii zastaví a prevádzkovateľa o tom bez zbytočného odkladu informuje.
O osobitnej registrácii sa nevyhotovuje písomné rozhodnutie; proti osobitnej registrácii nie je prípustný opravný prostriedok.
Ak sa preukáže, že prevádzkovateľ spracúva osobné údaje v rozpore so zákonom alebo dobrými mravmi, úrad rozhodnutím zruší osobitnú registráciu informačného systému a rozhodne o ukončení spracúvania osobných údajov.
Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny oznámených údajov a údajov prihlásených na osobitnú registráciu, ktoré nastanú v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d).
Vzor žiadosti o oznámení zmien zverejní úrad na svojom webovom sídle.
Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne oznámiť ukončenie používania informačného systému podľa § 35 ods. 1 a písomne odhlásiť informačný systém z osobitnej registrácie.
Pri písomnom oznámení podľa prvej vety je prevádzkovateľ povinný uviesť najmä svoje identifikačné údaje, názov odhlasovaného informačného systému, identifikačné alebo registračné číslo a dátum skončenia spracúvania osobných údajov.
POZNÁMKA
Vzor písomného oznámenia zverejnil úrad na svojom webovom sídle. Zmenu oznámených údajov a oznámenie ukončenia používania informačného systému možno vykonať od 1. septembra 2014 aj prostredníctvom elektronického formulára.
Úrad prostredníctvom svojho webového sídla zverejňuje zoznam oznámení a osobitných registrácií v rozsahu:
a) názov a identifikačné číslo prevádzkovateľa informačného systému; titul, meno a priezvisko, ak je prevádzkovateľom fyzická osoba, a
b) identifikačné alebo registračné číslo informačného systému.
3. Evidencia informačného systému
O informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1. Vzor evidencie zverejnil úrad na svojom webovom sídle.
Prevádzkovateľ je povinný viesť a aktualizovať evidenciu až do dňa ukončenia spracúvania osobných údajov v informačnom systéme; povinnosť aktualizácie sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d) citovaného zákona.
Ilustrácia na lepšie pochopenie situácie po novele účinnej od 15. apríla 2014:
| Do 15. apríla 2014
| Od 15. apríla 2014*
|
| 15 oprávnených osôb
| 150 oprávnených osôb
| 15 oprávnených osôb
| 15 oprávnených osôb
|
| Prevádzkovateľ nemá
zodpovednú osobu
| Prevádzkovateľ má
zodpovednú osobu
| Prevádzkovateľ nemá
zodpovednú osobu
| Prevádzkovateľ má
zodpovednú osobu
|
| K informačnému systému sú vypracované:
a) evidenčný list
b) osobitná registrácia
c) „obyčajná“ registrácia
| K informačnému systému sú vypracované:
a) evidenčný list
b) osobitná registrácia
| K informačnému systému sú vypracované:
a) evidenčný list
b) osobitná registrácia
c) oznamovacia povinnosť
| K informačnému systému sú vypracované:
a) evidenčný list
b) osobitná registrácia
c) oznamovacia povinnosť, ale iba v prípade, ak
právny základ spracúvania osobných údajov je v § 10 ods. 3 písm. g) zákona o ochrane osobných údajov
|
POZNÁMKA
*) Od 15. apríla 2014 prevádzkovateľ môže mať poverenú zodpovednú osobu bez ohľadu na počet oprávnených osôb.
Záver
Prevádzkovateľ (nie sprostredkovateľ) je povinný mať vypracovanú ku každému informačnému systému jednu z foriem, t. j. buď oznamovaciu povinnosť, osobitnú registráciu, alebo evidenciu.
Uvedené dokumenty musí mať prevádzkovateľ u seba a v prípade kontroly zo strany úradu ich predložiť kontrolnému orgánu.
Autor: JUDr. Marcela Macová
Súvisiace dôvodové správy
Súvisiace príklady z praxe
Súvisiace právne predpisy ZZ SR
Súhlas s použitím cookies
Vlastné nastavenie cookies