ZÁKON O OCHRANE OSOBNÝCH ÚDAJOV V PRAXI J a r n é s t r e t n u t i e S A C K A J a r n é s t r e t n u t i e S A C K A 26. V a l n é z h r o m a ž d e n i e SACKA O d b o r n ý s e m i n á r 11. – 13. apríla – 13. apríla 2014

Základné body Právny rámec ochrany osobných údajov (OU) Vysvetlenie základných pojmov zákona o ochrane osobných údajov (ZOOU) + zmeny podľa novely ZOOU CA a CK z pohľadu ZOOU Povinnosti CA a CK ako prevádzkovateľa všeobecne Povinnosti CA a CK ako prevádzkovateľa voči: -Oprávneným osobám/ iným osobám -Sprostredkovateľovi -Zodpovednej osobe -Dotknutým osobám -Úradu a pri kontrole a v konaní Registrácia/ oznamovacia povinnosť; osobitná registrácia a evidencia Bezpečnostné opatrenia na úseku ochrany OU Novela zákona v kocke

Právny rámec ochrany osobných údajov  zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov  vyhláška č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení  vyhláška č. 165/2013 Z. z. ktorou sa ustanovujú podrobnosti o skúške FO na výkon funkcie zodpovednej osoby  iné zákony; v podmienkach CA/CK napríklad: -zákon č. 281/2001 Z. z. o zájazdoch, podmienkach podnikania cestovných kancelárií a cestovných agentúr a o zmene a doplnení Občianskeho zákonníka v znení neskorších predpisov -štvrtý oddiel OZ §§ 741a – 741k zmluva o obstaraní zájazdu -a iné upravujúce die ľ čie činnosti CA/CK -a i.

VYSVETLENIE ZÁKLADNÝCH POJMOV ZÁKONA + ZMENY PODĽA NOVELY ZOOU

Osobný údaj akýkoľvek údaj týkajúci sa konkrétnej FO, na základe ktorého môžem túto osobu určiť/ vyčleniť z davu (meno, priezvisko, farba pleti, rodné číslo, výška platu...); osoba určená priamo/ nepriamo, všeobecne použiteľným identifikátorom, na základe charakteristiky; OU „bežné“ a citlivé OU

Prevádzkovateľ spracúva OU FO vo VLASTNOM mene a to na základe zákona(bez súhlasu)/ sám si určil účel spracúvania OU FO (so súhlasom, ak nie výnimka podľa ZOOU); zodpovedá za spracúvanie OU a ich ochranu počas celej doby spracúvania OU;

Zodpovedná osoba Fyzická osoba, prevádzkovateľom písomne poverená dohľadom nad ochranou osobných údajov, dozerá na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie jej úloh; Jej poverenie je fakultatívne nie viazané na počet OO prevádzkovateľa; skúška naďalej povinná; ak ZO tak výnimka z registračnej/ oznamovacej povinnosti; prílohou jej písomného poverenia už nemusí byť jej písomné poučenie; ZO môže byť aj štatutár; Prevádzkovateľ môže mať 1/ viac ZO; interné aj externé môžu byť

Sprostredkovateľ je KAŽDÝ, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v PÍSOMNEJ ZMLUVE podľa § 8, a v súlade s týmto zákonom; náležitosti písomnej zmluvy stanovuje ZOOU; doba zosúladenia z 1 roka na 2 roky od účinnosti ZOOU ak zistí, že prevádzkovateľ sa pri spracúvaní osobných údajov dopustil zjavného porušenia zákona, je povinný ho na to písomne upozorniť a do vykonania nápravy iba neodkladné operácie s OU; ak NIE, tak zodpovedá za porušenie povinnosti a za škodu spôsobenú porušením tejto povinnosti spoločne a nerozdielne spolu s prevádzkovateľom;>> VYPADLO

Oprávnená osoba každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru>> pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21; poučenie oprávnenej osoby: poučenie bude mať prevádzkovateľ povinnosť vypracovať tak, aby jeho existenciu vedel úradu hodnoverne preukázať; súčasťou poučenia bude poučenie o právach a povinnostiach oprávnenej osoby, už nie o jej zodpovednosti; vzory poučení zverejní úrad na svojom webovom sídle;

Iná osoba osoba odlišná od oprávnenej osoby nespracúva osobné údaje ani na základe poučenia ani jej to nevyplýva z jej pracovného zaradenia/ zmluvy/pracovných povinností s OU môže prísť do styku náhodne nie je potrebné poučenie v zmysle ZOOU postačujúce je ustanovenie o mlčanlivosti napríklad v pracovnej zmluve napríklad ide o upratovačky, servisných technikov, iných zamestnancov prevádzkovateľa nespracúvajúcich OU

Dotknutá osoba (DO) každá fyzická osoba, ktorej sa osobné údaje týkajú; má svoje práva, ktoré si môže uplatniť tak u prevádzkovateľa ako aj u sprostredkovateľa; právo si môže uplatniť, písomne, osobne, elektronicky so zaručeným elektronickým podpisom alebo elektronicky bez neho ( do 3 dní musí ovú žiadosť zaslať písomne); za maloletého koná jeho právny zástupca; za zomrelého/ vyhláseného za mŕtveho konajú jeho blízke osoby; ak prevádzkovateľ nereaguje>možnosť DO>návrh na začatie konania na úrad s predpísanými náležitosťami!!!

Súhlas dotknutej osoby akýkoľvek slobodne daný, výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov; Preukazovanie súhlasu  zvukovým alebo zvukovo – obrazovým záznamom  čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému  iným, hodnoverným spôsobom  písomný súhlas >> dokladom potvrdzujúcim poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaje o tom  kto súhlas poskytol  komu sa tento dáva  na aký účel sa dáva  zoznam, alebo rozsah osobných údajov  čas platnosti súhlasu.

Informačný systém osobných údajov informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, spracúvaných čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania; papierová kartotéka, tabuľka, program na spracovanie miezd, kamerový systém; od jeho charakteristiky je daná povinnosť vypracovať bezpečnostné opatrenia podľa zákona; bezpečnostná dokumentácia: bezpečnostná smernica sa vypúšťa; bude potrebné mať vypracovanú bezpečnostnú dokumentáciu v rozsahu zodpovedajúcom spracúvaným osobným údajom (1. bezpečnostná dokumentácia v základnom rozsahu alebo 2. bezpečnostný projekt); vyhláška č. 164/2013 Z. z. sa bude meniť v potrebnom rozsahu – momentálne je v medzirezortnom pripomienkovom konaní ak vyplýva ISOU a jeho vedenie zo zákona, len OU stanovené zákonom, ak si účel určil prevádzkovateľ mal by vymedziť konkrétne OU ktoré chce v IS spracúvať;

CK z pohľadu ZOOU Zákon o zájazdoch: Cestovná kancelária je podnikateľ, ktorý na základe živnostenského oprávnenia organizuje, ponúka a predáva zájazdy a uzatvára zmluvu o obstaraní zájazdu (ďalej len "zmluva o zájazde"). Cestovná kancelária v rámci živnostenského oprávnenia a) organizuje kombinácie služieb, ponúka a predáva ich inej cestovnej kancelárii na účel jej ďalšieho podnikania, b) ponúka a predáva na základe individuálnej objednávky jednotlivé služby alebo ich kombinácie, c) sprostredkúva predaj jednotlivých služieb pre inú cestovnú kanceláriu, cestovnú agentúru alebo iné právnické osoby a fyzické osoby (dopravcov, prevádzkovateľov ubytovacích zariadení, usporiadateľov kultúrnych, športových a iných spoločenských podujatí), d) sprostredkúva predaj zájazdov pre inú cestovnú kanceláriu; zmluva o zájazde sa v týchto prípadoch musí uzatvoriť v mene cestovnej kancelárie, pre ktorú sa zájazd sprostredkúva, a táto zodpovedá za plnenie zmluvy o zájazde, e) predáva veci súvisiace s cestovným ruchom, najmä vstupenky, mapy, plány, prospekty, cestovné poriadky, vytlačených sprievodcov a spomienkové predmety, f) organizuje, ponúka a predáva jednotlivé služby alebo ich kombinácie, ktoré sa neposkytujú dlhšie ako 24 hodín a nezahŕňajú ubytovanie cez noc, g) poskytuje činnosť sprievodcu v cestovnom ruchu. prevádzkovateľ sprostredkovateľ

CA z pohľadu ZOOU Zákon o zájazdoch: Cestovná agentúra je podnikateľ, ktorý na základe živnostenského oprávnenia vykonáva služby podľa § 3 ods. 2. Cestovná agentúra nesmie sprostredkovať predaj zájazdu pre osobu, ktorá nie je cestovnou kanceláriou. prevádzkovateľ sprostredkovateľ Teda vzájomná zmluva medzi CK a CA musí okrem náležitostí obsahovať aj náležitosti „sprostredkovateľskej“ zmluvy podľa ZOOU

Objednávateľ z pohľadu ZOOU Zákon o zájazdoch: Objednávateľ je a) osoba, ktorá uzatvorí s cestovnou kanceláriou zmluvu o zájazde, b) osoba, v ktorej prospech sa zmluva o zájazde uzatvorila, c) osoba, na ktorú sa zájazd previedol za podmienok podľa Občianskeho zákonníka. Dotknutá osoba

Povinnosti CA a CK ako prevádzkovateľa všeobecne príprava príprava na spracúvanie OU (vymedziť účel, určiť prostriedky spracúvania, prijať primerané bezpečnostné opatrenia, poučiť oprávnené osoby + povinnosť mlčanlivosti, poveriť zodpovednú osobu dohľadom/ registrovať>>oznámiť úradu ISOU) začatie začatie spracúvania OU (informačná povinnosť § 15 ods. 1 až 3 zákona, získavať osobné údaje výlučne len na vopred ním vymedzený alebo zákonom ustanovený účel, zákaz získavať osobné údaje pod zámienkou iného účelu spracúvania) v priebehu v priebehu spracúvania OU (zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie, zákaz združovania osobných údajov, spracúvať len správne, úplne a aktualizované osobné údaje, spracúvať osobné údaje v súlade s dobrými mravmi, reagovať na práva dotknutých osôb) ukončenie spracúvania ukončenie spracúvania OU (likvidácia osobných údajov/ postup podľa osobitných zákonov)

Povinnosti CA a CK ako prevádzkovateľa voči: Oprávneným osobám/ iným osobám: poučenie, opätovné poučenie;// iné osoby – poučenie o mlčanlivosti Sprostredkovateľovi: písomná zmluva uzavretá najneskôr v deň začatia spracúvania OU; prevádzkovateľ pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov bezpečnostnými opatreniami !!!nesmie zveriť spracúvanie OU sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb; Zodpovednej osobe: písomne poveriť, oznámiť poverenie (30 dní)/ zmenu úradu(bez zbytočného odkladu) Dotknutým osobám: reagovať na ich práva, ktoré si uplatňujú, bezplatne, do 30 dní Úradu a pri kontrole a v konaní: súčinnosť; plnenie informačných a ohlasovacích povinností (30 dní ZO, 15 dní oznamovacia povinnosť/osobitná registrácia + ich zmeny);

Registrácia/oznamovacia povinnosť a osobitná registrácia a evidencia Registrácia/ oznamovacia povinnosť: registračná povinnosť informačných systémov osobných údajov sa mení na oznamovaciu povinnosť, oznamovanie bude možné nahlásiť aj elektronicky, a to aj bez zaručeného elektronického podpisu; oznamovacia povinnosť už nebude spoplatnená správnym poplatkom vo výške 20 €; zodpovedná osoba poverená = výnimka z oznamovacej povinnosti; výnimky z registračnej povinnosti = výnimky z oznamovacej povinnosti ako bolo; oznámenie – pred začatím spracúvania OU – UOOU SR pridelí identifikačné číslo a na žiadosť vydá prevádzkovateľovi potvrdenie o oznámení>nie je potrebné naň čakať a možno spracúvať OU v danom IS; spracúvať možno odo dňa oznámenia; Osobitná registrácia sa vzťahuje na IS, v ktorých prevádzkovateľ spracúva : – osobné údaje na základe § 10 ods. 3 písm. g), >na ochranu záujmov prevádzkovateľa – osobné údaje na základe § 13 ods. 5 písm. b), c) a d),>bio OU mimo zákon. pr. základu – aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov; osobitná registrácia sa nevyžaduje v prípadoch podľa § 31 ods. 9. Prevádzkovateľ je povinný prihlásiť IS na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov. Prevádzkovateľ je oprávnený začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu až po doručení potvrdenia o osobitnej registrácii! Úrad rozhodnutím zruší osobitnú registráciu - ak sa preukáže, že prevádzkovateľ spracúva osobné údaje v rozpore so zákonom alebo dobrými mravmi. Evidencia ISOU: O ISOU nepodliehajúcich oznamovacej povinnosti a osobitnej registrácii vedie prevádzkovateľ evidenciu

Bezpečnostné opatrenia na úseku ochrany OU BOL: základný rozsah bezpečnostnej dokumentácie, bezpečnostná smernica, bezpečnostný projekt BUDE: základný rozsah bezpečnostnej dokumentácie – bezpečnostné opatrenia, bezpečnostný projekt Bezpečnostné opatrenia : popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb podľa § 21 zákona, záznamami o kontrolnej činnosti prevádzkovateľa zameranej na dodržiavanie bezpečnosti informačného systému a záznamami o zistených bezpečnostných incidentoch s dopadom na bezpečnosť osobných údajov a záznamami o opatreniach, ktoré prevádzkovateľ prijal po bezpečnostných incidentochna zaistenie bezpečnosti informačného systému

Novela zákona v kocke poučenie oprávnenej osoby: poučenie bude mať prevádzkovateľ povinnosť vypracovať tak, aby jeho existenciu vedel úradu hodnoverne preukázať; súčasťou poučenia bude poučenie o právach a povinnostiach oprávnenej osoby, už nie o jej zodpovednosti; vzory poučení zverejní úrad na svojom webovom sídle; bezpečnostná dokumentácia: bezpečnostná smernica sa vypúšťa; bude potrebné mať vypracovanú bezpečnostnú dokumentáciu v rozsahu zodpovedajúcom spracúvaným osobným údajom (1. bezpečnostná dokumentácia v základnom rozsahu alebo 2. bezpečnostný projekt);

Novela zákona v kocke zodpovedná osoba: písomné poverenie zodpovednej osoby nebude viazané na počet minimálne 20 oprávnených osôb prevádzkovateľa, bude dobrovoľným, nezávislým na počte oprávnených osôb prevádzkovateľa, teda bude na prevádzkovateľovi/ sprostredkovateľovi, či si zodpovednú osobu poverí alebo nie; v prípade že sa tak rozhodne, skúška fyzickej osoby na výkon funkcie zodpovednej osoby zostáva aj naďalej povinnou a zodpovedná osoba bude aj naďalej výnimkou z oznamovacej povinnosti (terajšej registrácie informačných systémov osobných údajov); zodpovednou osobou bude môcť byť aj štatutár; registrácia: registračná povinnosť informačných systémov osobných údajov sa mení na oznamovaciu povinnosť, oznamovanie bude možné nahlásiť aj elektronicky, a to aj bez zaručeného elektronického podpisu; oznamovacia povinnosť už nebude spoplatnená správnym poplatkom vo výške 20 €;

Novela zákona v kocke kopírovanie a skenovanie úradných dokladov: kopírovanie a skenovanie úradných dokladov v rozsahu potrebnom na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu bude možné na základe zákona o ochrane osobných údajov, teda bez súhlasu dotknutej osoby – zamestnanca; ROZSAH, teda nie všetky ÚD!!!! pokuty: zmiernenie povinného ukladania pokút a zníženie horných hraníc sadzieb pokút; sprostredkovateľská zmluva: zmluvu medzi prevádzkovateľom a sprostredkovateľom bude povinnosť zosúladiť v lehote do dvoch rokoch od účinnosti zákona, teda do (pôvodná lehota bola 1 rok od účinnosti zákona); účinnosť novely: novela zákona o ochrane osobných údajov nadobudne účinnosť ; zmena vyhlášky č. 164/2013 Z. z.: na základe zmeny ustanovení zákona o ochrane osobných údajov novelou zákona, sa upravia aj ustanovenia vyhlášky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení;

Novela zákona prechodné ustanovenia § 77a Prechodné ustanovenia k úpravám účinným od 15. apríla 2014 (1)Registrácie informačných systémov vykonané do 14. apríla 2014 sa považujú za oznámenia informačných systémov podľa § 34 v znení účinnom od 15. apríla (2) Konania o registrácii informačných systémov a konania o osobitnej registrácii informačných systémov, ktoré neboli ukončené do 14. apríla 2014 sa dokončia podľa zákona účinného do 14. apríla (3) Pri vyhotovovaní oznámenia podľa § 35 ods. 1, oznámení zmeny oznámených údajov a oznámení ukončenia používania informačného systému elektronickou formou sa od 15. apríla 2014 nevyžaduje zaručený elektronický podpis; od 1. septembra 2014 možno oznámenie podľa § 35 ods. 1, oznámenie zmeny oznámených údajov a oznámenie ukončenia používania informačného systému vykonať aj prostredníctvom elektronického formulára. Úrad zverejní elektronický formulár na svojom webovom sídle. (4) Konania podľa § 68 a 69 začaté pred 15. aprílom 2014 sa dokončia podľa zákona účinného do 14. apríla 2014.

Ď akujem za za pozornos ť. pozornos ť.