1. GDPR PRAKTICKY Irena Hudecová
To use this title animation slide with a new image simply 1) move the top semi-transparent shape to the side, 2) delete placeholder image, 3) click on the picture icon to add a new picture, 4) Move semi-transparent shape back to original position, 5) Update text on slide.
Irena Hudecová

2. OPERÁTOR ÚVOD 20 000 000 EUR 4% celkového svetového ročného obratu
2016
1,2 milióna zákazníkov
EUR
OPERÁTOR
EUR
4% celkového svetového ročného obratu

3. Nový zákon o ochrane osobných údajov (napr. e-Privacy, Trestný zákon)
LEGISLATÍVNY RÁMEC 2
Nový zákon o ochrane osobných údajov
(ČPT 704) 1
Nariadenie
2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov (GDPR) 3
Osobitné predpisy
(napr. e-Privacy, Trestný zákon)

4. Nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
GDPR čl. 2 ods. 1

5. 1 2 3 4 5 VECNA PÔSOBNOSŤ GDPR GDPR sa nevzťahuje na spracúvanie OÚ
v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie
členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ
fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti
príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií
inštitúciami, orgánmi, úradmi a agentúrami Únie (Nariadenie č. 45/2001)

6. Členenie NOVÝ ZÁKON O OCHRANE OÚ Základné ustanovenia (pôsobnosť)
Spracúvanie, na ktoré sa nevzťahuje GDPR (druhá časť)
Implementácia dotknutej osobe (tretia časť)
Splnomocňujúce ustanovenia GDPR (napr. RČ, OÚ zamestnanca)
Postavenie úradu
Kódex správania
Certifikácia
Akreditácia
Členenie

7. Členenie NOVÝ ZÁKON O OCHRANE OÚ Proces kontroly
Konanie o ochrane osobných údajov
Spoločné, prechodné a záverečné ustanovenia
Členenie

8. POZITÍVNA PÔSOBNOSŤ NOVÉHO ZÁKONA O OCHRANE OÚ
1. Spracúvanie OÚ vykonávané úplne alebo čiastočne automatizovanými prostriedkami alebo inými než automatizovanými prostriedkami, ak ide o OÚ, ktoré tvoria súčasť informačného systému alebo sú určené a to, aby tvorili súčasť informačného systému
2. Spracúvanie OÚ, na ktoré sa vzťahuje GDPR (okrem základných pojmov, druhej a tretej časti zákona)
3. Spracúvanie osobných údajov Policajným zborom, Vojenskou políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi na plnenie úloh na účely trestného konania (implementácia Policajnej smernice)

9. POZITÍVNA PÔSOBNOSŤ NOVÉHO ZÁKONA O OCHRANE OÚ
4. Spracúvanie OÚ v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt je na území Slovenskej republiky, a to bez ohľadu na to, či sa spracúvanie osobných údajov vykonáva na území Slovenskej republiky alebo mimo územia Slovenskej republiky
5. Spracúvanie OÚ v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je na území Slovenskej republiky, ale je v mieste, kde sa na základe medzinárodného práva verejného uplatňuje právny poriadok Slovenskej republiky

10. POZITÍVNA PÔSOBNOSŤ NOVÉHO ZÁKONA O OCHRANE OÚ
6. Spracúvanie OÚ dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, prevádzkovateľom alebo sprostredkovateľom, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom spracúvanie osobných údajov súvisí
s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
so sledovaním jej správania na území Slovenskej republiky

11. NEGATÍVNA PÔSOBNOSŤ NOVÉHO ZÁKONA O OCHRANE OÚ
1. Spracúvanie OÚ fyzickou osobou v rámci výlučne osobnej činnosti alebo domácej činnosti
2. Spracúvanie OÚ Slovenskou informačnou službou, Vojenským spravodajstvom
3. Spracúvanie OÚ NBÚ na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov pre rozhodovanie Súdnej rady SR o splnení predpokladov sudcovskej spôsobilosti

12. SPRACÚVANIE OSOBNÝCH ÚDAJOV SPADAJÚCE POD GDPR
áno
nie
Uplatňuje sa GDPR
Uplatňuje sa nový zákon s výnimkou 3. časti (policajná smernica)
Uplatňuje sa nový zákon s výnimkou § 5, 2. a 3. časti
Uplatňujú sa aj iné osobitné predpisy

13. OSOBNÉ ÚDAJE
Akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby
Informácie môžu byť objektívne, subjektívne
Informácie nemusia byť pravdivé ani preukázané. Môžu byť v akejkoľvek forme: abecednej, číselnej, grafickej, fotografickej alebo zvukovej, zahŕňa informácie uchovávané na papieri ako aj informácie uchovávané v pamäti počítača vo forme kódu, nahrávky, video záznamu

14. OSOBNÉ ÚDAJE
Identifikovaná fyzická osoba = fyzická osoba je v rámci skupiny osôb „odlíšená“ od všetkých ostatných príslušníkov skupiny
Identifikovateľná fyzická osoba = napriek tomu, že fyzická osoba ešte nebola identifikovaná, je možné ju identifikovať prostredníctvom prostriedkov, u ktorých je primeraná pravdepodobnosť, že ich využije prevádzkovateľ alebo ľubovoľná iná osoba na identifikáciu
Osobu možno identifikovať priamo menom alebo nepriamo telefónnym číslom, evidenčným číslom auta, lokalizačným údajom, číslom cestovného pasu, online identifikátorom (IP adresa, cookies, atď.) alebo spojením dôležitých kritérií, ktoré umožňujú, aby bola spoznaná zúžením skupiny, do ktorej patrí (vek, povolanie, bydlisko, atď.)

15. Zásada obmedzenia účelu Zásada minimalizácie údajov
PREPARE
ZÁSADY SPRACÚVANIA
OSOBNÝCH ÚDAJOV 1
Zásada zákonnosti, spravodlivosti a transparentnonsti 2
Zásada obmedzenia účelu 3
Zásada minimalizácie údajov

16. Zásada minimalizácie uchovávania Zásada integrity a dôvernosti
PREPARE
ZÁSADY SPRACÚVANIA
OSOBNÝCH ÚDAJOV 4
Zásada správnosti 5
Zásada minimalizácie uchovávania 6
Zásada integrity a dôvernosti

17. Prevádzkovateľ je zodpovedný za súlad so zásadami spracúvania osobných údajov a musí vedieť tento súhlas preukázať.
GDPR, článok 5 ods. 2

18. POROVNANIE ZMIEN V PRÁVNYCH ZÁKLADOCH
122/2013
GDPR / zákon
Právny akt EÚ
(priamo vykonateľný, právne záväzný) 👆
Zákonná povinnosť
Medzinárodná zmluva
(SR viazaná)
Osobitný zákon

19. POROVNANIE ZMIEN V PRÁVNYCH ZÁKLADOCH
122/2013
GDPR / zákon
Zákon o ochrane osobných údajov 👆
Zákonná povinnosť
Súhlas 👍
Umelecké / literárne diela
(bez súhlasu)
Akademický, umelecký alebo literárny účel (bez súhlasu)

20. POROVNANIE ZMIEN V PRÁVNYCH ZÁKLADOCH
122/2013
GDPR / zákon
Informovanie verejnosti masovokomunikačnými prostriedkami / predmet činnosti 👍
Informovanie verejnosti masovokomunikačnými prostriedkami / predmet činnosti (bez súhlasu)
Plnenie zmluvy / predzmluvné vzťahy
Ochrana života / zdravia / majetku dotknutej osoby 👆
Životne dôležité záujmy dotknutej alebo inej fyzickej osoby

21. POROVNANIE ZMIEN V PRÁVNYCH ZÁKLADOCH
122/2013
GDPR / zákon
Zverejnenie 👆
-----
Poštový styk (titul, meno, priezvisko, adresa)
Dôležitá úloha vo verejnom záujme
Splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej P

22. POROVNANIE ZMIEN V PRÁVNYCH ZÁKLADOCH
122/2013
GDPR / zákon
Ochrana práv a právom chránených záujmov prevádzkovateľa / 3. strany 👆
Oprávnené záujmy prevádzkovateľa alebo tretej strany
Monitorovanie priestoru prístupného verejnosti
Zákonná povinnosť
Verejný záujem
Oprávnený záujem
Osobné údaje zamestnanca
Aj osobné číslo (bez súhlasu)

23. POROVNANIE ZMIEN V PRÁVNYCH ZÁKLADOCH
122/2013
GDPR / zákon
Jednorázový vstup 👆
-----
Úradné dokumenty

24. ĎALŠIE OSOBITNÉ SITUÁCIE ZÁKONNÉHO SPRACÚVANIA OÚ
1. Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor podľa osobitného predpisu len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný a nesmie ho vylučovať osobitný predpis, ak ide o jeho spracúvanie na právnom základe súhlasu dotknutej osoby. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje; to neplatí, ak všeobecne použiteľný identifikátor zverejní sama dotknutá osoba (nie je samostatným právnym základom, treba aplikovať právny základ podľa čl. 6 GDPR alebo § 13 nového zákona; nie je osobitnou kategóriou OÚ)
2. Prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

25. ĎALŠIE OSOBITNÉ SITUÁCIE ZÁKONNÉHO SPRACÚVANIA OÚ
3. Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

26. PRÁVNE ZÁKLADY
SÚHLAS

27. HLAVNÉ ZMENY Sprísnenie požiadaviek na získanie súhlasu
Výslovná úprava práva dotknutej osoby súhlas odvolať
Doba udelenia
Súhlas dieťaťa v súvislosti so službami informačnej spoločnosti
Súhlas na účely vedeckého výskumu
Povinnosť prevádzkovateľa vedieť súhlas preukázať
HLAVNÉ ZMENY

28. PRVKY SÚHLASU 1 2 3 4
Slobodný
Konkrétny
Jednoznačný
Informovaný

29. SÚHLAS
BEŽNÝ| VÝSLOVNÝ

30. VÝSLOVNÝ SÚHLAS Spracúvanie osobitných kategórií osobných údajov
Automatizované individuálne rozhodovanie vrátane profilovania
Prenos osobných údajov do 3. krajiny / neexistencia rozhodnutia o primeranosti či primeraných záruk

31. 1 2 3 4 5 SÚHLAS Ako ho poskytnúť
V zrozumi teľnej forme, jasne, jednoducho
V ľahko dostupnej forme
Bez nekalých podmienok
Vyhlásenie (písomné / ústne)
Jednoznačne potvrdzujúci úkon

32. 6 7 8 9 10 SÚHLAS Ako ho poskytnúť
Vlastnoruč ný podpis dotknutej osoby
Vyhlásenie prostredníc tvom elektronických prostriedkov
Označenie políčka pri vypĺňaní online formulára (opt in)
Zvolenie technických nastavení internetového prehliadača (napr. pri cookies)
Aktívny prístup

33. SÚHLAS Ako ho poskytnúť 11 12 13
Súhlas zachytený prostredníctvom telefonickej alebo audiovizuálnej nahrávky 12
Iné vyhlásenie alebo úkon, ktorý jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov 13
---

34. NA ČO NEZABUDNÚŤ Získať pred začiatkom spracúvania
Zásady spracúvania osobných údajov
1 súhlas = 1 účel
Preukázať splnenie požiadavky informovaného súhlasu
Poskytnúť dotknutej osobe info v zmysle článku 13 a informovať dotknutú osobu, ako uplatniť práva

35. 11/16/2018 2:26 AM
NA ČO NEZABUDNÚŤ
Skupina dotknutých osôb / jazyk poskytnutia informácií a vyjadrenia súhlasu
Jasné odlíšenie od ostatných zmluvných podmienok
Vedieť preukázať udelenie súhlasu
Uchovanie dôkazu o udelení súhlasu a splnení info povinnosti / aplikovať primerané bezpečnostné opatrenia
© 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

36. 1 2 3 4 5 SÚHLAS DIEŤAŤA Služby informačnej spoločnosti Súhlas
Služba informačnej spoločnosti
Ponuka služieb adresovaná priamo dieťaťu
Súhlas dieťaťa ≥ 16 r. (SR)
Súhlas nositeľa rodičovských práv a povinností

37. SÚHLAS Overenie súhlasu dieťaťa /
Primerané úsilie
Zásada minimalizácie
Závislé od okolností konkrétneho prípadu, najmä od povahy spracúvania, kategórie osobných údajov, rizík vyplývajúcich pre dotknutú osobu ako aj dostupnej technológie
Overenie súhlasu dieťaťa /
nositeľa rodičovských práv a povinností

38. SÚHLAS DIEŤAŤA
Máš aspoň 16 r.?
Informácia – na spracúvanie osobných údajov je potrebný súhlas nositeľa rodičovských práv
PREVÁDZKOVATEĽ musí určiť, aké opatrenia na overenie veku dieťaťa a súhlasu nositeľa rodičovských práv považuje za primerané
Získanie súhlasu a overenie

39. Nositeľa rodičovských práv
SÚHLAS
Nositeľa rodičovských práv 1
Nevyžaduje sa v súvislosti s preventívnymi alebo poradenskými službami 2
Vyprší“ dosiahnutím digitálneho veku dieťaťa 3
GDPR súbežne so všeobecným zmluvným právo členských štátov (vo vzťahu k dieťaťu)

40. 1 2 3 4 5 ODVOLANIE SÚHLASU Právo dotknutej osoby
P je povinný o tom informovať dotknutú osobu pred udelením súhlasu
Kedykoľvek a rovnako jednoducho ako udelenie
Bez nepriaznivých následkov / bez poplatkov / bez zníženia kvality služby
Pôsobí od momentu odvolania

41. SÚHLAS Práva dotknutej osoby Právo na prístup k údajom Právo na opravu
Právo na vymazanie
Právo na obmedzenie spracúvania
Právo na prenosnosť údajov
Právo namietať
Práva dotknutej osoby

42. Súhlas a priamy marketing
GDPR / nie e-Privacy
Oprávnený záujem (vzťah medzi dotknutou osobou a P, test proporcionality, primerané očakávania)
Súhlas, ak nie je splnená podmienka 1.
GDPR aj e-Privacy
Bez súhlasu (vlastné tovary a služby, informovaný o práve namietať, zadarmo a rovnako jednoducho)
Súhlas, ak nie je splnená podmienka bez súhlasu

43. SÚHLASY ZÍSKANÉ DO GDPR
Mlčanie
Vopred označené políčka
Vopred nadefinované súhlasy bez možnosti vyjadrenia nesúhlasu
Defaultné nastavenia , ktoré v prípade nesúhlasu musí dotknutá osoba zmeniť
Nečinnosť
Neschopnosť preukázať získanie, splnenie informovania (nie celej info povinnosti)
Platné, ak spĺňajú všetky podmienky súhlasu podľa GDPR

44. PRÁVA DOTKNUTEJ OSOBY
INFORMAČNÁ POVINNOSŤ

45. INFORMAČNÁ POVINNOSŤ OÚ získavané od dotknutej osoby – pri získavaní
Totožnosť a kontaktné údaje prevádzkovateľa / zástupcu prevádzkovateľa
Kontaktné údaje zodpovednej osoby
Účely spracúvania
Právny základ spracúvania
Oprávnené záujmy prevádzkovateľa / 3. strany
Príjemcovia / kategórie príjemcov
Informácia o tom, že prevádzkovateľ zamýšľa preniesť OÚ do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii / neexistencii rozhodnutia Komisie o primeranosti alebo v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté
OÚ získavané od dotknutej osoby – pri získavaní

46. INFORMAČNÁ POVINNOSŤ OÚ získavané od dotknutej osoby – pri získavaní
Dobu uchovávania OÚ, ak to nie je možné, kritériá na jej určenie
Existenciu práva na prístup k OÚ, práva na ich opravu / vymazanie / obmedzenie spracúvania, práva namietať proti spracúvaniu, práva na prenosnosť údajov
Existenciu práva kedykoľvek svoj súhlas odvolať
Právo podať sťažnosť dozornému orgánu
Informácia o tom, či je poskytovanie zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť OÚ, ako aj možné následky neposkytnutia takýchto údajov
Existencia automatizovaného rozhodovania vrátane profilovania a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe
OÚ získavané od dotknutej osoby – pri získavaní

47. PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ
BEZPEČNOSŤ

48. Osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).
GDPR, článok 5 ods. 1. f)

49. BEZPEČNOSŤ požiadavky GDPR
Najnovšie poznatky
Náklady na vykonanie opatrení
Povahu, rozsah, kontext a účely spracúvania
Riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb
Prevádzkovateľ a sprostredkovateľ prijmú primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku

50. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie.
GDPR, článok 32 ods. 2

51. OPATRENIA MÔŽU ZAHŔŇAŤ1 2 3 4 5
Pseudonymi záciu
Šifrovanie
Schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb
Schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického / technického incidentu
Proces pravidelného testovania/ hodnotenia účinnosti technických a organizačn ých opatrení

52. SYSTÉM SPRACÚVANIA Dôvernosť Integrita Dostupnosť BEZPEČNOSŤ
Obmedzenie prístupu k informáciám len pre oprávnené osoby
Integrita
Miera správnosti a úplnosti informácie
Dostupnosť
Miera dostupnosti (dispozície) informácie pre používateľa v prípade, keď je vyžadovaná

53. PRIMERANÉ TECHNICKÉ A ORGANIZAČNÉ OPATRENIA
„Postupy, praktiky a mechanizmy, ktoré môžu pomôcť chrániť pred nejakou hrozbou, znížiť zraniteľnosť, odhaliť malígnu udalosť, obmedziť vplyv nechcenej udalosti a umožniť zotavenie alebo odškodnenie.“

54. PRIMERANÉ TECHNICKÉ A ORGANIZAČNÉ OPATRENIA
opatrenia na zníženie bezpečnostných rizík pomocou prostriedkov fyzickej a technologickej povahy
ORGANIZAČNÉ
opatrenia na zníženie bezpečnostných rizík pomocou zmien procesov a úpravou dokumentácie

55. BEZPEČNOSŤ Typické technické opatrenia Bezpečný vývoj softvéru
Kontrola prístupu
Šifrovanie osobných údajov
Pseudonymizácia osobných údajov
Záložné kópie dát
Ochrana proti malware
Sieťové firewally
Sledovanie siete a analýza správania
Typické technické opatrenia

56. BEZPEČNOSŤ Typické organizačné opatrenia
Vzdelávanie a zvyšovanie povedomia
Postup pri ukončení alebo zmene pracovného pomeru
Poučenie oprávnenej osoby o povinnostiach pri spracúvaním a zodpovednosti za ich porušenie
Klasifikácia informácií
Riadenie prístupových práv a úrovni prístupu oprávnených osôb, správa hesiel
Typické
organizačné
opatrenia

57. BEZPEČNOSŤ Typické organizačné opatrenia
Pravidlá zastupovania oprávnených osôb
Politika čistého stola
Riadenie vstupu do objektu, chráneného priestoru, správa kľúčov
Pravidlá likvidácie osobných údajov
Pravidlá pre prácu na diaľku
Pravidlá používania prenositeľných IT prostriedkov (napr. notebookov)
Pravidlá pre prístup dodávateľov k informáciám (zmluvné požiadavky)
BEZPEČNOSŤ
Typické
organizačné
opatrenia

58. ÚROVNE RIZIKA Stredné Vysoké Vysoké Edit Text Here Nízke Stredné
Pravdepodobnosť
Nízke
Stredné
Vysoké
Nízke
Nízke
Edit Text Here
Stredné
Dopad

60. POSÚDENIE VPLYVU NA OCHRANU OSOBNÝCH ÚDAJOV
BEZPEČNOSŤ
POSÚDENIE VPLYVU NA OCHRANU OSOBNÝCH ÚDAJOV

61. BEZPEČNOSŤ
Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb prevádzkovateľ vykoná pred spracúvaním posúdenie vplyvu plánovaných spracovateľských operácií (generálna klauzula).
POSÚDENIE VPLYVU

62. demonštratívny výpočet
BEZPEČNOSŤ
POSÚDENIE VPLYVU
demonštratívny výpočet 1
Systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu 2
Spracúvania vo veľkom rozsahu osobitných kategórií údajov alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky 3
Systematického monitorovania verejne prístupných miest vo veľkom rozsahu

63. POSÚDENIE VPLYVU Na čo nezabudnúť
Pozrieť black list vydaný dozorným orgánom
Počas vykonávania sa radiť so zodpovednou osobou
Usilovať sa získať názory dotknutých osôb / ich zástupcov na zamýšľané spracúvanie
Vykonávať prehodnotenie, aspoň vtedy keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie
Na čo
nezabudnúť

64. POSÚDENIE VPLYVU OBSAHUJE1 2 3 4
Systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu
Posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu
Posúdenie rizika pre práva a slobody dotknutých osôb
Opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s GDPR, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka

65. POSÚDENIE VPLYVU Kedy sa nevyžaduje?
Ak nie je pravdepodobné, že spracúvanie povedie k vysokému riziku pre práva a slobody fyzických osôb
Ak sú povaha, rozsah, kontext a účely spracúvania veľmi podobné spracúvaniu, pre ktoré sa už posúdenie vplyvu vykonalo
Keď spracovateľské operácie povolil dozorný orgán pred májom 2018 a nedošlo k zmene v spracúvaní
Ak má spracúvanie (zákonná povinnosť, verejný záujem) právny základ v práve EÚ / práve členského štátu, pričom v tomto práve sa upravuje konkrétna spracovateľská operácia a posúdenie vplyvu na ochranu údajov sa už vykonalo ako súčasť stanovenia tohto právneho základu, okrem prípadov, ak členský štát uviedol, že posúdenie vplyvu sa musí vykonať pred začatím spracovateľských činností
Ak je spracúvanie zahrnuté do dobrovoľného zoznamu spracovateľských operácií (vypracovaného dozorným orgánom), v prípade ktorých sa nevyžaduje posúdenie vplyvu
Kedy sa nevyžaduje?

66. Prevádzkovateľ a sprostredkovateľ pri prijímaní bezpečnostných opatrení a pri posudzovaní vplyvu na ochranu osobných údajov postupuje primerane podľa medzinárodných noriem a štandardov.
Nový zákona § 78 (11)

67. POSÚDENIE VPLYVU Príklad dostupných metodík a katalógov hrozieb
STN ISO/IEC Informačné technológie - Bezpečnostné metódy - Riadenie rizík informačnej bezpečnosti
ISO/IEC Information technology – Seciruty techniques – Guideline for privacy impact assessment
LINDDUN Privacy by Design Framework
WP29: Usmernenie týkajúce sa posúdenia vplyvu na ochranu údajov a stanovenie toho, či na účely Nariadenia 2016/679 spracúvanie „pravdepodobne povedie k vysokému riziku“
Príklad dostupných metodík a katalógov hrozieb

68. PREDCHÁDZAJÚCA KONZULTÁCIA S DOZORNÝM ORGÁNOM
BEZPEČNOSŤ
PREDCHÁDZAJÚCA KONZULTÁCIA S DOZORNÝM ORGÁNOM

69. Ak z posúdenia vplyvu vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika, prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie.
GDPR, článok 36 ods. 1

70. OZNÁMENIE PORUŠENIA OCHRANY OÚ DOZORNÉMU ORGÁNU
BEZPEČNOSŤ
OZNÁMENIE PORUŠENIA OCHRANY OÚ DOZORNÉMU ORGÁNU

71. OZNÁMENIE PORUŠENIA DOZORNÉMU ORGÁNU
KTO?
Prevádzkovateľ
KEDY?
Došlo k porušeniu ochrany OÚ
Je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb
LEHOTA?
Bez zbytočného odkladu
do 72 hod. po tom, čo sa o porušení dozvedel

72. 1 2 3 4 5 ČO MUSÍ OZNÁMENIE OBSAHOVAŤ
Opis povahy porušenia vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb a kategórií a približného počtu dotknutých záznamov o osobných údajoch
Meno/názov a kontaktné údaje zodpovednej osoby
Opis pravdepodobných následkov porušenia ochrany
Opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie / zmierniť jeho potenciálne nepriaznivé dôsledky
Poskytnutie v etapách, ak nie je možné súčasne

73. OZNÁMENIE PORUŠENIA OCHRANY OÚ DOTKNUTEJ OSOBE
BEZPEČNOSŤ
OZNÁMENIE PORUŠENIA OCHRANY OÚ DOTKNUTEJ OSOBE

74. OZNÁMENIE PORUŠENIA DOTKNUTEJ OSOBE
KTO?
Prevádzkovateľ
KEDY?
Došlo k porušeniu ochrany OÚ
Je pravdepodobné, že porušenie ochrany osobných údajov povedie k vysokému riziku pre práva a slobody fyzických osôb
LEHOTA?
Bez zbytočného odkladu

75. KEDY SA OZNÁMENIE NEVYŽADUJE
1. Prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie
2. prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 pravdepodobne už nebude mať dôsledky
3. by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom

76. PRVKY NA PREUKÁZANIE SÚLADU
S GDPR
ZODPOVEDNÁ OSOBA

77. OBLIGATÓRNE URČENIE ZODPOVEDNÁ OSOBA Kto to je?
orgán verejnej moci / verejnoprávny subjekt (s výnimkou súdov pri výkone ich súdnej moci)
pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu (P/S ako hlavná činnosť)
spracúvanie osobitných kategórií údajov vo veľkom rozsahu / údajov týkajúcich sa uznania viny za trestné činy a priestupky (P/S ako hlavná činnosť)
orgán na účely predchádzania a odhaľovania trestných činov
Kto to je?
Nie je osobne zodpovedná za súlad s GDPR alebo zákonom

78. ZODPOVEDNÁ OSOBA Monitorovanie DO Pravidelné Systematické
Sledovanie, spracúvanie osobných údajov dotknutých osôb
Pravidelné
Nepretržité, opakujúce sa v určených intervaloch
Systematické
Súčasť určitého plánu, vopred naplánované, organizované

79. Bežné činnosti = zvyčajne podporný charakter
ZODPOVEDNÁ OSOBA
HLAVNÁ ČINNOSŤ 1
Spracúvanie je nevyhnutné na to, aby P / S dosiahol svoj zamýšľaný cieľ 2
Spracúvanie osobných údajov tvorí neoddeliteľnú súčasť hlavnej činnosti P / S 3
Bežné činnosti = zvyčajne podporný charakter

80. ZODPOVEDNÁ OSOBA Vo veľkom rozsahu?
zobrať do úvahy predovšetkým počet dotknutých osôb
objem a rozsah osobných údajov
geografický rozsah spracúvania
trvanie spracovateľskej činnosti
Vo veľkom rozsahu?
Značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, mohli by ovplyvniť veľký počet dotknutých osôb a pravdepodobne povedú k vysokému riziku. Spracúvanie osobných údajov by sa nemalo považovať za spracúvanie veľkého rozsahu, ak sa týka osobných údajov pacientov a klientov jednotlivým lekárom, iným zdravotníckym pracovníkom alebo právnikom (recitál 91)

81. ZODPOVEDNÁ OSOBA ZO
obec ZO
riadiaci
riadený

82. KTO ŇOU MÔŽE BYŤ ZODPOVEDNÁ OSOBA Viazaná povinnosťou mlčanlivosti
Jedna osoba / tím ľudí
Fyzická osoba
Právnická osoba (v zmluve určiť hlavnú kontaktNÚ osobu)
Internista / externista
Odborná znalosť ochrany OÚ
Spôsobilosť plniť úlohy
Posúdiť riziká modelu a prijať primerané bezpečnostné opatrenia
Viazaná povinnosťou mlčanlivosti
Nezakazuje jej kontaktovať a radiť sa s dozorným orgánom

83. ZODPOVEDNÁ OSOBA
Povinnosti prevádzkovateľa / sprostredkovateľa 1 2 3 4 5
Nezávislosť
Priama komunikácia s najvyšším vedením
Podporovať ZO v plnení jej úloh
Zverejniť kontaktné údaje
Zaslať kontaktné údaje príslušnému dozornému orgánu a zamestnancom

84. ZODPOVEDNÁ OSOBA
Povinnosti prevádzkovateľa / sprostredkovateľa 6 7 8 9
Dôvernosť komunikácie
Nemožnosť odvolať za výkon jej úloh
Nemožno postihovať za výkon jej úloh (platí aj pre hrozbu postihu)
Zapojiť do všetkých záležitostí, ktoré súvisia s ochranou OÚ (riadnym spôsobom a včas)

85. ZODPOVEDNÁ OSOBA
v čo najskoršom štádiu
pri posúdení vplyvu na ochranu OÚ
pri riešení prípadov porušenia ochrany OÚ a ich následnom oznámení dozornému orgánu aj dotknutej osobe
pravidelne pozývať na zasadnutie najvyššieho vedenia
pri nesúhlasnom stanovisku zdokumentovať dôvody, pre ktoré sa nepostupovalo v súlade s názorom zodpovednej osoby
Zapojiť do všetkých záležitostí, ktoré súvisia s ochranou OÚ (riadnym spôsobom a včas)

86. 1 2 3 4 5 ÚLOHY ZODPOVEDNEJ OSOBY Demonštratívny výpočet
Poskytovanie informácií, poradenstva v oblasti ochrany osobných údajov
Monitorova nie súladu
Zvyšovanie povedomia a odborná príprava personálu
Poradenstv o k posúdeniu vplyvu na ochranu údajov
Monitorova nie vykonávania posúdenia vplyvu na ochranu

87. ÚLOHY ZODPOVEDNEJ OSOBY
Demonštratívny výpočet 6 7 8 9
Spolupráca s dozorným orgánom
Kontaktné miesto pre dotknuté osoby
Kontaktné miesto pre dozorné orgány
Aj iné úlohy, ak tam nie je konflikt záujmov

88. PRVKY NA PREUKÁZANIE SÚLADU
S GDPR
CERTIFIKÁCIA

89. Spracovateľské operácie
CERTIFIKÁCIA
KOMU?
Prevádzkovateľovi
Sprostredkovateľovi
KTO?
Úrad (3 r.)
Certifikačný subjekt
(3 r.)
ČO?
Spracovateľské operácie

90. CERTIFIKÁCIA Dobrovoľná
Benefity pre P/S, dozorné orgány aj dotknuté osoby
Technologicky neutrálna
Neznižuje zodpovednosť za dodržiavanie GDPR
Nie sú ňou dotknuté úlohy a právomoci dozorného orgánu
CERTIFIKÁCIA

91. PRVKY NA PREUKÁZANIE SÚLADU
S GDPR
KÓDEXY SPRÁVANIA

92. Združenia alebo iný subjekt zastupujúci kategóriu P / S
KÓDEXY SPRÁVANIA
PRIPRAVUJE?
Združenia alebo iný subjekt zastupujúci kategóriu P / S
KOMU?
Prevádzkovateľovi
Sprostredkovateľovi
SCHVAĽUJE?
Úrad (90 D)

93. 1 2 3 4 5 PREDMET KÓDEXU SPRÁVANIA Demonštratívny výpočet
Spravodlivé a transparent spracúvanie
Oprávnené záujmy prevádzkovat eľa
Získavania osobných údajov
Pseudony mizácia osobných údajov
Informovanie verejnosti a dotknutých osôb

94. PREDMET KÓDEXU SPRÁVANIA Uplatnenie práv dotknutých osôb
Demonštratívny výpočet 6 7 8 9 10
Uplatnenie práv dotknutých osôb
Deti
Bezpečnosť
Prenosy
Riešenie sporov

95. KÓDEXY SPRÁVANIA Na čo nezabudnúť Dobrovoľné členstvo
Benefity pre P/S, dozorné orgány aj dotknuté osoby
Neznižuje zodpovednosť za dodržiavanie GDPR
Nie sú ňou dotknuté úlohy a právomoci dozorného orgánu
Povinné monitorovanie členov kódexu zo strany akreditovaného subjektu monitorujúceho schválené kódexy správania
Výnimka: orgány verejnej moci a verejnoprávne subjekty
Na čo nezabudnúť

96. AKREDITÁCIA
SUBJEKTOV MONITORUJÚCICH SCHVÁLENÉ KÓDEXY SPRÁVANIA | CERTIFIKAČNÝCH SUBJEKTOV

97. SUBJEKTU MONITORUJÚCEHO SCHVÁLENÉ KÓDEXY SPRÁVANIA v podmienkach SR
AKREDITÁCIA
SUBJEKTU MONITORUJÚCEHO SCHVÁLENÉ KÓDEXY SPRÁVANIA v podmienkach SR

98. Fyzická osoba - podnikateľ napr. odňatie osvedčenia
MONITORUJÚCI SUBJEKT
AKREDITÁCIA
KOHO?
Právnická osoba
Fyzická osoba - podnikateľ
KTO?
Úrad
SANKCIA?
napr. odňatie osvedčenia
pokuta

99. CERTIFIKAČNÉHO SUBJEKTU v podmienkach SR
AKREDITÁCIA
CERTIFIKAČNÉHO SUBJEKTU v podmienkach SR

100. Fyzická osoba - podnikateľ napr. odňatie osvedčenia
CERTIFIKAČNÝ SUBJEKT
AKREDITÁCIA
KOHO?
Právnická osoba
Fyzická osoba - podnikateľ
KTO?
Úrad
(5 r.)
SANKCIA?
napr. odňatie osvedčenia
pokuta

101. SPROSTREDKOVATEĽ Kto je to? Určený zákonom vs prevádzkovateľom
Právny základ
Jeden vs viacero sprostredkovateľov
Celé spracovanie vs jeho časť
1 S = 1 alebo viacero P
Zmluva vs štandardné zmluvné doložky
Písomná alebo elektronická
Ďalší sprostredkovateľ = subdodávateľ
Osobitné vs všeobecné povolenie (písomné)
Kto je to?

102. ďalší sprostredkovateľ
prevádzkovateľ
banka
SBS A B
PAM C

103. SPROSTREDKOVATEĽ
prevádzkovateľ
sprostredkovateľ
SBS
banka
nemocnica

104. DOSTATOČNÉ ZÁRUKY Dodržiavanie schváleného kódexu správania
Dodržiavanie schváleného certifikačného mechanizmu
Určenie zodpovednej osoby sprostredkovateľa
Checklist s požiadavkami týkajúcimi sa ochrany dát a bezpečnosti
Vykonanie due dilligence
Preverenie aj pred predĺžením zmluvy
DOSTATOČNÉ ZÁRUKY

105. Práva a povinnosti prevádzkovateľa a sprostredkovateľa
Spracúvať len na základe zdokumentovaných pokynov P
Zabezpečiť dôvernosť informácií
Vykonávať požadované bezpečnostné opatrenia
Dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa
Pomáhať prevádzkovateľovi plniť jeho povinnosť reagovať na žiadosti o výkon práv dotknutých osôb
Pomáhať prevádzkovateľovi zabezpečiť plnenie povinností v súvislosti s bezpečnosťou osobných údajov (čl. 32 až 36)
Práva a povinnosti prevádzkovateľa a sprostredkovateľa

106. Práva a povinnosti prevádzkovateľa a sprostredkovateľa
Po ukončení na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov
Preukazuje splnenie povinností
Audity, kontroly
Iné (napr. informačná povinnosť voči DO, ak sa na tom s P v zmluve dohodne)
Práva a povinnosti prevádzkovateľa a sprostredkovateľa

107. Práva a povinnosti prevádzkovateľa a sprostredkovateľa
Povinnosť informovať prevádzkovateľa, ak sa podľa jeho názoru pokynom porušujú právne predpisy
Viesť záznamy o spracovateľských činnostiach
Prijať primerané bezpečnostné opatrenia
Spolupracovať s dozorným úradom
Oznámiť prevádzkovateľovi porušenie ochrany osobných údajov (bez zbytočného odkladu)
Práva a povinnosti prevádzkovateľa a sprostredkovateľa

108. Práva a povinnosti prevádzkovateľa a sprostredkovateľa
Určiť zodpovednú osobu (pre obligatórne prípady)
Dodržiavať schválený kódex správania
Dodržiavať vydaný certifikát
Dodržiavať podmienky pri prenosoch osobních údajov
Práva a povinnosti prevádzkovateľa a sprostredkovateľa

109. ZODPOVEDNOSŤ PREVÁDZKOVATEĽA A SPROSTREDKOVATEĽA
Zodpovedá za súlad
Musí ho vedieť preukázať
Mal by overovať dodatočné záruky
Dokumentovať pokyny
Stanoviť opatrenia pre sprostredkovateľa
SPROSTREDKOVATEĽ
Zodpovedá, iba ak nesplnil povinnosti uložené GDPR alebo konal nad rámec / v rozpore s pokynmi prevádzkovateľa, kt. boli v súlade so zákonom

110. ZODPOVEDNOSŤ PREVÁDZKOVATEĽA A SPROSTREDKOVATEĽA
ďalší S
nesplnil povinnosti, ktoré mu GDPR výslovne ukladá
konal nad rámec alebo v rozpore s pokynmi
Mgr. Irena Hudecová, Úrad na ochranu osobných údajov SR

111. ZÁZNAMY O SPRACOVATEĽSKÝCH ČINNOSTIACH
122/2013
GDPR
a) identifikačné údaje prevádzkovateľa, b) meno a priezvisko štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa, c) identifikačné údaje zástupcu prevádzkovateľa, ak je vymenovaný; ak prevádzkovateľ vymenoval svojho zástupcu, uvedie aj meno a priezvisko štatutárneho orgánu zástupcu
a) meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby
f) účel spracúvania osobných údajov
b) účely spracúvania
h) okruh dotknutých osôb a i) zoznam osobných údajov, alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety
c) opis kategórií dotknutých osôb a kategórií osobných údajov

112. ZÁZNAMY O SPRACOVATEĽSKÝCH ČINNOSTIACH
122/2013
GDPR
j) tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté a právny základ ich poskytovania, k) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené a právny základ ich sprístupnenia
d) kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií
m) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov a právny základ ich prenosu
e) v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v čl. 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk
okruh dotknutých osôb a zoznam osobných údajov, alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety
opis kategórií dotknutých osôb a kategórií osobných údajov

113. ZÁZNAMY O SPRACOVATEĽSKÝCH ČINNOSTIACH
122/2013
GDPR
n) označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany osobných údajov podľa § 19 ods. 1 a 2
f) podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1
g) podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov
d) počet oprávnených osôb prevádzkovateľa,
e) názov informačného systému
g) právny základ spracúvania osobných údajov
l) spôsob zverejnenia, ak prevádzkovateľ osobné údaje zverejňuje a právny základ ich zverejnenia
o) deň, kedy sa začnú spracúvať osobné údaje v informačnom systéme

114. “ÚČINNÁ OCHRANA OSOBNÝCH ÚDAJOV V RÁMCI CELEJ ÚNIE SI VYŽADUJE POSILNENIE ZODPOVEDAJÚCICH SANKCIÍ ZA PORUŠENIE PRAVIDIEL V ČLENSKÝCH ŠTÁTOCH.”
—GDPR, recitál 11

115. 1 2 3 4 5 SUBJEKTY ktorým možno sankcie uložiť Prevádzko vateľ
Sprostredko vateľ
Certifikač ný subjekt a Monitoruj úci subjekt
Príslušný orgán
Osoba neposkytu júca súčinnosť

116. SANKCIE
OPATRENIA | POKUTY

117. OPATRENIA OPATRENIA NA NÁPRAVU
Odstránenie zistených nedostatkov a príčin ich vzniku v úradom určenej lehote
Prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti primeranú rizikám pre práva FO
OPATRENIA NA NÁPRAVU
Vykonať posúdenie vplyvu na ochranu osobných údajov

118. OPATRENIA OPATRENIA NA NÁPRAVU
Oprava / vymazanie osobných údajov alebo obmedzenie spracúvania a informovanie príjemcov, ktorým boli poskytnuté
Odňať certifikát / zrušiť záväznosť schváleného kódexu správania pre P / S
OPATRENIA NA NÁPRAVU
Nariadiť certifikačnému subjektu odňatie certifikátu
Odňať osvedčenie o udelení akreditácie

119. OPATRENIA OPATRENIA NA NÁPRAVU
Vyhovenie žiadosti dotknutej osoby o uplatnenie jej práv
Oznámenie porušenia ochrany osobných údajov dotknutej osobe
Dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania
Pozastavenie toku údajov príjemcovi v 3. krajine alebo medzinárodnej organizácii
OPATRENIA NA NÁPRAVU

120. POKUTY Povaha porušenia Závažnosť porušenia Trvanie porušenia
Zavinenie
Zmiernenie škody
Prijaté technické a organizačné opatrenia
Predchádzajúce porušenia

121. POKUTY Spolupráca s dozorným orgánom Kategórie osobných údajov
Hlásenie porušenia
Splnenie prijatých opatrení v tej istej veci
Kódexy správania
Certifikácia
Iné priťažujúce / poľahčujúce okolnosti

122. POKUTY 1 2 3 4 5 Konzistent né uplatňova nia
Účinné, primerané a odrádzajú ce
Nie je dotknuté uplatňova nie iných právomocí
Do 2 r. odo dňa, keď úrad porušenie zistil
Do 5 r. odo dňa keď k porušeniu došlo

123. POKUTY 10 000 000 EUR 2% celkového svetového ročného obratu
Súhlas dieťaťa
Spracúvanie bez potreby identifikácie
Privacy by design
Privacy by default
Spoloční prevádzkovatelia
Zástupca prevádzkovateľa / sprostredkovateľa
Sprostredkovateľ
Oprávnené osoby
Záznamy o spracovateľských činnostiach
EUR
2% celkového svetového ročného obratu

124. POKUTY 10 000 000 EUR 2% celkového svetového ročného obratu
Bezpečnosť spracúvania
Oznámenie porušenia ochrany úradu
Oznámenie porušenia ochrany dotknutej osobe
Posúdenie vplyvu na ochranu údajov
Predchádzajúca konzultácia
Zodpovedná osoba
Certifikácia a certifikačný subjekt
Kódexy správania a monitorujúci subjekt
EUR
2% celkového svetového ročného obratu

125. POKUTY 20 000 000 eur 4% celkového svetového ročného obratu
Základné zásady
Právne základy
Podmienky súhlasu
Osobitná kategória osobných údajov
Práva dotknutých osôb
Prenos príjemcovi v 3. krajine alebo medzinárodnej organizácii
Osobitné situácie zákonného spracúvania
eur
4% celkového svetového ročného obratu

126. POKUTY 20 000 000 eur 4% celkového svetového ročného obratu
Neplnenie príkazu, nedodržanie dočasného / definitívneho obmedzenia / pozastavenia tokov údajov nariadeného úradom alebo neposkytnutie prístupu
eur
4% celkového svetového ročného obratu

127. POKUTY Rozklad Nesplnenie príkazu (opatrenia) úradu
ZAUJÍMAVOSTI
“Možnosti napadnutia rozhodnutia o sankcii“
Rozklad
Súd
“Prechod do vyššej pokuty“
Nesplnenie príkazu (opatrenia) úradu
“Prechod do vyššej pokuty“
Porušenie do EUR a ďalšie do EUR

128. Komukoľvek za neposkytnutie súčinnosti
11/16/2018 2:26 AM
PORIADKOVÁ POKUTA 1
Komukoľvek za neposkytnutie súčinnosti
© 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

129. Prevádzkovateľovi, sprostredkovateľovi a zástupcovi
PORIADKOVÁ POKUTA 2
Prevádzkovateľovi, sprostredkovateľovi a zástupcovi

130. DPA DO KTOREJ PÔSOBNOSTI SPADÁ | VEDÚCI DOZORNÝ ORGÁN

131. CEZHRANIČNÉ SPRACÚVANIA I.PL HU SK CZ DE

132. CEZHRANIČNÉ SPRACÚVANIA II.PL HU SK CZ 👪👪 DE

133. HLAVNÁ PREVÁDZKAREŇ| JEDINÁ PREVÁDZKAREŇ
VEDÚCI DOZORNÝ ORGÁN
HLAVNÁ PREVÁDZKAREŇ| JEDINÁ PREVÁDZKAREŇ

134. Miesto centrálnej správy
HLAVNÁ PREVÁDZKAREŇ
PREVÁDZKOVATEĽA
Miesto centrálnej správy
Prevádzkareň, kde sa rozhoduje o účeloch a prostriedkoch spracúvania a má právomoc presadiť vykonanie rozhodnutí

135. HLAVNÁ PREVÁDZKAREŇ SPROSTREDKOVATEĽA
11/16/2018 2:26 AM
HLAVNÁ PREVÁDZKAREŇ SPROSTREDKOVATEĽA
Miesto centrálnej správy v Únii
Prevádzkareň v Únii, kde sa uskutočňujú hlavné spracovateľské činnosti
© 2014 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

136. NA ČO NEZABUDNÚŤ VEDÚCI DOZORNÝ ORGÁN Hlavná prevádzkareň
riadiaceho podniku = hlavná prevádzkareň
skupiny podnikov Neplatí, ak o účeloch a prostriedkoch spracúvania rozhoduje iný podnik
Určenie
vedúceho
dozorného orgánu = zodpovednosť
P / S
Dotknuté
dozorné
orgány
V prípadoch týkajúcich sa prevádzkovateľa aj sprostredkovateľa =)
hlavná prevádzkareň prevádzkovateľa

137. DOTKNUTÝ ORGÁN P / S má prevádzkareň na jeho území
Dotknuté osoby s pobytom na jeho území sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním
Konkrétny orgán prijme sťažnosť

138. ZÁVER https://www.privacy- regulation.eu/sk/index.htm
/item-detail.cfm?item_id=50083
rt.html

139. ĎAKUJEM ZA POZORNOSŤ