Nástup novej legislatívy v oblasti ochrany osobných údajov (pre mestá a obce)

Odo dňa 25. 5. 2018 sa začne v praxi uplatňovať nariadenie európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) a zákon o ochrane osobných údajov.

Autori: Úrad na ochranu osobných údajov Slovenskej republiky
Právny stav od: 25. 5. 2018
Dátum publikácie: 4. 5. 2018
Prameň: EPI Odborné články / epi - 2018
Oblasti práva: Správne právo / Informácie, informačný systém / Ochrana údajov / GDPR; Správne právo / Samospráva


Odo dňa 25.5. 2018 sa začne v praxi uplatňovať NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“)https://dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf a zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“ alebo „zákon č. 18/2018 Z. z.“)

Ako sa prakticky vysporiadať s nástupom tejto legislatívy?
Na čo sa zamerať v prostredí miest a obcí?
Čo skontrolovať?

Na základe nižšie uvedených „kontrolných otázok“ z jednotlivých oblastí, ktoré legislatíva ochrany osobných údajov obsahuje je možné, aby sa obce a mestá pripravili na nástup nariadenia a zákona a zmapovali si toky osobných údajov v ich prostredí.

MAPOVANIE TOKU OSOBNÝCH ÚDAJOV – VŠEOBECNÉ MAPOVANIE

Na zosúladenie sa s nariadením a zákonom v prostredí prevádzkovateľa, ktorým je obec alebo mesto, je potrebné vedieť, ako má „ prevádzkovateľ – obec, mesto“ vo svojich podmienkach riešenú oblasť ochrany a spracúvania osobných údajov podľa terajšej legislatívy. Len tak obec/mesto zistí, „aké osobné údaje spracúva, a ako má spracúvanie vo svojich podmienkach upravené“, kde sú nedostatky a čo je potrebné urobiť, aby sa dosiahol súlad s nariadením a zákonom; zmapovanie toku osobných údajov je základom, na ktorom sa môže a má začať proces zosúlaďovania sa s novou legislatívou v prostredí akéhokoľvek prevádzkovateľa, teda aj obce alebo mesta.

 

Otázky - všeobecné zmapovanie toku osobných údajov

Je vhodné vykonať „mapovanie“ toku osobných údajov v prostredí prevádzkovateľa – obce, mesta; konkrétne:

  • je potrebné preskúmať ako v prostredí obce/mesta „tečú“ osobné údaje: ako ich obec získava a ako spracúva, na akom právnom základe toto spracúvanie prebieha, ako ich obec/mesto archivuje, na akom právnom základe ich sprístupňuje, poskytuje alebo zverejňuje, a ako prebieha ich likvidácia;
  • účelom tohto začiatočného mapovania je preskúmanie a zistenie stavu, ako obec/mesto spracúva osobné údaje;
  • cieľom tohto prvého kroku je „očistiť“ tok údajov v obci/meste od tých osobných údajov, na ktorých spracúvanie obci/mestu právny základ chýba a zistenie, že spracúvanie prebieha bez právneho základu a vyradenie takto identifikovaných osobných údajov, prípadne priradenie im správneho právneho základu, ak taký je;
  • cieľom je tiež eliminovať „spájanie, prepájanie či zdvojovanie“ právnych základov tam, kde to je nevhodné alebo priamo nesprávne, napríklad ak v predzmluvných vzťahoch alebo zmluvných vzťahoch okrem zmluvy „pre istotu“ obec/mesto požaduje od dotknutých osôb aj súhlas so spracúvaním osobných údajovPožadovanie zaslania súhlasu so spracúvaním osobných údajov na účely výberového konania a jeho vyhodnotenia; nie je to potrebné, nakoľko konkrétne výberové konania je predzmluvný vzťah, teda právnym základ na spracúvanie osobnýchúdajov je teraz § 10 ods. 3 písm. b) zákona č. 122/2013 Z. z. a od 25.5.2018 bude právnym základom čl. 6 ods. 1 písm. b) nariadenia. ;
  • cieľom je na záver mapovania získať prehľad o toku osobných údajov v prostredí prevádzkovateľa (obce/mesta) aj s jeho chybami a nedostatkami, ktoré následne, už ako identifikované, bude prevádzkovateľ (obec/mesto) riešiť.

Na účely vykonania mapovania je možné použiť aj nižšie uvedené otázky, ktoré si prevádzkovateľ – obec/mesto zodpovie a získa prehľad o toku osobných údajov vo svojom prostredí:

  1. Uvedenie údajov prevádzkovateľa – obec/mesto, adresa, kontaktné údaje obce/mesta, uvedenie štatutára;
  2. Termín vykonania mapovania – uviesť konkrétny termín vykonania mapovania, prípadne začiatok a koniec mapovania;
  3. V akých oblastiach vykonáva obec/mesto spracúvanie osobných údajov vo vlastnom mene – je prevádzkovateľom?

    - uvedú sa oblasti pôsobnosti, pri ktorých dochádza k spracúvaniu osobných údajov fyzických osôb obcou/mestom, je vhodné tieto oblasti presne identifikovať, teda si
    určiť aj osobitný zákon/y a jeho/ich konkrétne ustanovenie/a na základe ktorých dochádza k spracúvaniu osobných údajov obcou alebo mestomNapríklad agendy: Personalistika a mzdy, Evidencia obyvateľov, Matrika, Hlavný kontrolór, Miestne dane a poplatky, Rozhodovanie vo veciach životného prostredia, Spoločný úrad - Rozhodovanie vo veciach životného prostredia, Sociálna starostlivosť, Stavebný úrad, Spoločný stavebný úrad, Kamerový systém – priestor prístupný verejnosti, Propagácia, Sťažnosti, Súdne spory, Správa registratúry, Nahlasovanie protispoločenskej činnosti, Školský úrad, Evidencia žiakov, Školská jedáleň, Účtovné doklady, Obecné zastupiteľstvo, Žiadosti podľa infozákona, Evidencia podujatí, Petičné právo, Obecná knižnica, Zmluvné vzťahy. ;konkrétne:

    I. Prenesený výkon štátnej správy;
    II. Výkon štátnej správy – samospráva;
    III. Interné procesy prevádzkovateľa (obce/mesta) – agenda personalistiky a miezd, agenda BOZP zamestnancov, iné školenia zamestnancov, dochádzka zamestnancov, služobné motorové vozidlá, pracovné cesty zamestnancov a pod.
  4. Aké kategórie osobných údajov obec/mesto spracúva? Je potrebné, aby na základe vyššie urobeného zoznamu právnych základov (najčastejšie osobitných zákonov a prípadne súhlasu) identifikovať aké konkrétne kategórie (prípadne aj konkrétne osobné údaje) osobných údajov sú obcou/mestom spracúvané:

    - „bežné“ osobné údaje ako meno, priezvisko, adresa, dátum narodenia a pod., nezabúdať, že od 25.5.2018 už rodné číslo nebude osobitnou kategóriou osobného údaja, ale bežným osobným údajom (bližšie § 78 ods. 4 zákona č. 18/2018 Z. z.);
    - osobitné kategórie osobných údajov (čl. 9 nariadenia, alebo § 16 ods. 1 zákona č. 18/2018 Z. z.) ako napríklad osobné údaje týkajúce sa zdravia, členstva v odborových organizáciách, osobné údaje vypovedajúce o náboženstve alebo svetonázore a pod.,
    - osobné údaje týkajúce sa uznania viny za trestné činy a priestupky; čl. 10 nariadenia
  5. Identifikácia dotknutej osoby; je potrebné, aby na základe vyššie rozpracovanej analýzy bolo doplnené v akom postavení je dotknutá osoba voči prevádzkovateľovi obci/mestu v rámci konkrétneho účelu spracúvania (napríklad: občan, poslanec obecného/mestského zastupiteľstva – je dotknutou aj oprávnenou osobou súčasne, platiteľ dane, poplatník, zamestnanec, dlžník, sťažovateľ a pod.);
  6. Aký je právny základ spracúvania?Pozri čl. 6 ods. 1 písm. a ) až f) nariadenie, prípadne § 13 ods. 1 písm. a) až f) zákona.
    Je potrebné doplniť do vyššie vypracovaného mapovania „právny základ“ spracúvania osobných údajov, teda či obec/mesto spracúva osobné údaje na základe osobitného zákona, alebo bude aj na základe zákona č. 18/2018 Z. z., na základe zmluvy. Je tiež potrebné, aby bolo mapovanie vykonané s ohľadom na ešte účinný zákon č. 122/2013 Z. z. a následne, aby právne základy, ktoré so zánikom účinnosti zákona č. 122/2013 Z. z. „zaniknú/prestanú existovať“ boli v mapovaní nahradené už „novými“ právnymi základmi podľa nariadenia alebo zákona, ktoré budú platiť od 25.5.2018 (napríklad monitorovanie podľa § 15 ods. 7 zákona č. 122/2013 Z. z. bude nahradené spracúvaním na základe plnenia povinnosti vo verejnom záujme podľa čl. 6 ods. 1 písm. e) nariadenia, alebo napríklad spracúvanie podľa § 15 ods. 6 druhá veta 122/2013 Z. z. bude nahradené spracúvaním na účely oprávneného záujmu podľa čl. 6 ods. 1 písm. e) nariadenia a pod.).
  7. Určenie účelov. Je potrebné, aby boli k doteraz zisteným údajom priradené účely spracúvania osobných údajov, teda čo je účelom toho, že dané osobné údaje na základe osobitného zákona obec/mesto spracúva. Napríklad splnenie informovania Sociálnej poisťovne o zamestnancovi obecného úradu, ktoré vyplýva obci v postavení zamestnávateľa/prevádzkovateľa z vyššie identifikovaného právneho základu – osobitného zákona.
  8. Kde a ako obec/mesto archivuje osobné údaje?
    - Tu bude odpoveďou napríklad, že obec/mesto má optický archív – napríklad cloud/“papierový“ klasický archív;
    - Je tiež potrebné, aby boli spresnené parametre úložiska alebo archívu obce/mesta; teda ak má obec/mesto optický archív prevádzkuje ho technicky obec, alebo jej túto službu zabezpečuje externá firma? Ak externá firma, čo pre obec v rámci služby zabezpečuje (len archiváciu alebo aj likvidáciu, či aj iné služby)? Musí s ňou mať obec uzatvorenú sprostredkovateľskú zmluvu? Má ju uzatvorenú aj teraz?
    - Ak má obec/mesto „klasický“ papierový archív, kde sa nachádza? Ako je archív zabezpečený? Aké sú konkrétne bezpečnostné opatrenia? Kto má doň prístup? Ako sa dozvie obec/mesto o bezpečnostnom incidente v rámci tohto archívu (napríklad narušenie bezpečnosti, vlámanie, vytopenie a pod.)?
  9. Komu osobné údaje dotknutých osôb obec posiela? Kto sú príjemcovia osobných údajov pre obec/mesto v zmysle nariadenia/zákona? Tu je potrebné vymenovať všetkých sprostredkovateľov obce, iné štátny orgány, ktorým osobné údaje obec/mesto posiela, tiež napríklad advokátske kancelárie, ak zastupujú obec alebo mesto a pod.
  10. Ako dlho osobné údaje obec/mesto spracúva? Ako má obec vymedzený účel spracúvania v kontexte času? Je potrebné si zrevidovať a dodržiavať, aby osobné údaje boli spracúvané najmä v lehotách, ktoré na ich spracúvanie stanovuje právny základ, teda doba určená podľa osobitného zákona, alebo doba na ktorú bol udelený súhlas; potom je potrebné, aby po splnení primárneho účelu spracúvania boli osobné údaje zlikvidované, alebo boli archivované podľa registratúrneho poriadku obce/mesta.
  11. Ako dlho obec/mesto osobné údaje archivuje, uchováva? Je potrebné pozrieť a zrevidovať registratúrny poriadok7 obce/mesta (alebo ho vyhotoviť, ak nie je), či sú v ňom stanovené lehoty uchovávania osobných údajov. Účelom je, aby sa predchádzalo ukladaniu a archivovaniu všetkého na „veky“ čo zaťažuje jednak prevádzkovateľa (obec/mesto) a nie je to správne ani s ohľadom na povinnosti prevádzkovateľa (obec/mesto), ktorý by nemal mať osobné údaje dlhšie, ako je potrebné v kontexte účelu, prípadne na účely archivácie, po skončení spracúvania na primárny účel.
  12. Ako obec/mesto osobné údaje likviduje? Vykonáva obec/mesto likvidáciu aktív obsahujúcich osobné údaje vo svojej réžii alebo má na túto činnosť zazmluvnený externý subjekt? Je tento v postavení sprostredkovateľa voči obci? Ak áno, má s ním obec/mesto uzatvorenú sprostredkovateľskú zmluvu? Ako dohliada obec/mesto na likvidáciu? Prebieha kontrola obce/mesta, či likvidácia prebehla ako mala, aby sa nestalo, že osobné údaje neboli zlikvidované/ správne zlikvidované? Vedie si o likvidácii obec/mesto záznamy?
  13. Má obec/mesto sprostredkovateľovPozri čl. 28 nariadenia. ? Ak áno, je potrebné si upraviť zmluvy s nimi a zosúladiť ich znenie s čl. 28 nariadenia, prípadne ich uzavrieť nanovo.

Po tom, čo si obec/mesto vykoná zmapovanie toku osobných údajov získa prehľad o tom, na aké účely spracúva konkrétne osobné údaje, aký má právny základ spracúvania, ako má vyriešené archivovanie a likvidáciu osobných údajov, bude vedieť procesy nastaviť tak, aby časti, ktoré teraz nemá správne nastavené vedela do 25.5.2018 nastaviť správne a tiež, aby sa vysporiadala so zmenou niektorých právnych základov (ktoré poznáme so zákona č. 122/2013 Z. z.) ktoré zaniknú k 25.5.2018 a tiež aby ich správne e „nastavila“ v kontexte nastupujúceho nariadenia a zákona č. 18/2018 Z. z.

PERSONÁLNY SUBSTRÁT – ZODPOVEDNÁ OSOBAPozri čl. 37 až 39 nariadenia a recitál 97 nariadenia.

Je vhodné, aby si prevádzkovateľ ošetril personálny substrát, ktorého sa s príchodom novej legislatívy budú týkať určité zmeny, najmä pokiaľ ide o potrebné dokumenty v kontexte zásady preukazovania plnenia povinností a súladného spracúvania osobných údajov so zákonom č. 18/2018 Z. z a nariadením. Súčasťou personálneho substrátu obce/mesta ako prevádzkovateľa je okrem zamestnancov spracúvajúcich a pracujúcich s osobnými údajmi (oprávnené osoby) aj zodpovedná osoba obce/mesta.

 

Otázky – Zodpovedná osoba K zodpovednej osobe v prostredí miestnej samosprávy pozri aj metodické usmernenie úradu č. 1/2018 k tejto problematike, ktoré bude zverejnené v polovici apríla 2018 na webovom sídle úradu.

1. Má obec/mesto poverenú zodpovednú osobu podľa zákona č. 122/2013 Z. z. ?

2. Oznámila obec/mesto poverenú zodpovednú osobu (poverenú ešte podľa zákona č. 122/2013 Z. z.) úradu?

3. Odo dňa 25.5.2018 MUSÍ MAŤ POVINNEPozri čl. 37 ods. 1 písm. a) až c) nariadenia. obec/mesto určenú/poverenú zodpovednú osobu na základe nariadenia/zákona č. 18/2018 Z. z.

  • Chce si obec/mesto ponechať tú doterajšiu, alebo určiť inú zodpovednú osobu?
  • Ak chce obec/mesto poveriť/určiť inú zodpovednú osobu musí zodpovednú osobu poverenú podľa zákona č. 122/2013 Z. z. na úrade odhlásiť a zodpovednú osobu určenú podľa nariadenia ku dňu 25.5.2018 oznámiť úradu + oznámiť aj jej kontaktné údaje; ideálne je, ak to obec/mesto urobí jedným krokom, teda na úrade odhlási poverenú zodpovednú osobu podľa zákona č. 122/2013 Z. z. a oznámi úradu zodpovednú osobu podľa nariadenia.

4. Ak obec/mesto zodpovednú osobu doposiaľ poverenú nemalo, musí ju poveriť a jej kontaktné údaje oznámiť úraduPozri čl. 37 ods. 7 nariadenia.!
5. Bude zodpovedná osoba obce/mesta po 25.5.2018 interná – zamestnanec obce/mesta alebo externá?

  • Bude zodpovednou osobou zamestnanec? Je potrebné, aby to, že bude zodpovednou osobou bolo zohľadnené v jeho opise práce/činnosti a aby mala obec/mesto vyriešený prípadný konflikt záujmov tejto osoby.
  • Bude zodpovedná osoba externá? Je potrebné, aby s ňou mesto/obec uzavrelo zmluvu odplatnú/bezodplatnú na základe ktorej bude vykonávať pre mesto/obec funkciu zodpovednej osoby.
  • Bude zodpovednou osobou obce/mesta právnická osoba - člen právnickej osoby? Je potrebné, aby v zmluve medzi obcou/mestom a právnickou osobou (zabezpečujúcou služby zodpovednej osoby pre obec/mesto) bola konkrétne v zmluve určená fyzická osoba – budúca zodpovedná osoba priamo menom a priezviskom, konkretizovaná.

6. Bude obec/mesto ako prevádzkovateľ využívať v rámci možností, ktoré dáva nariadenie, zodpovednú osobu spolu s inými obcami (spoločná zodpovedná osoba pre viacero obcí)?

  • Ak áno je potrebné zvážiť, či bude táto zodpovedná osoba stíhať si plniť riadne svoje povinnosti. Ak je odpoveď nie, je vhodné a odporúčame hľadať inú fyzickú osobu alebo právnickú osobu (v rámci nej zamestnanca), ktorá by pre mesto/obec vykonávala funkciu zodpovednej osoby.

7. Je obec/mesto pripravené a vedomé si povinnosti poskytnúť zodpovednej osobe všetku potrebnú súčinnosťPozri čl. 38 nariadenia.?

PERSONÁLNY SUBSTRÁT – OPRÁVNENÁ OSOBA

Nariadenie pojem „oprávnená osoba“ nepozná, to ale neznamená, že by tým prestala oprávnená osoba fakticky existovať.

Dovoľujeme si Vám dať do pozornosti čl. 32 ods. 4 nariadenia

„Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.“.

Tiež si dovoľujeme dať do pozornosti čl. 29 nariadenia

„Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.“.

Z vyššie uvedených ustanovení vyplýva, že terajšie poučenie oprávnenej osoby možno vykladať v zmysle vyššie uvedeného poverenia prevádzkovateľa v prostredí prevádzkovateľa a pokyny možno chápať, ako spresnenie konkrétnych povinností konkrétnemu zamestnancovi na základe ktorých a podľa ktorých má spracúvanie osobných údajov vykonávať.

Otázky – Oprávnená osoba

1. Má obec/mesto oprávnené osoby (osoby spracúvajúce osobné údaje)?

  • Má obec/mesto zamestnancov (trvalý pracovný pomer, pracovný pomer na čiastočný úväzok , dohoda o pracovnej činnosti, štátnozamestnanecký pomer.....), iné fyzické osoby, ktoré v jej mene spracúvajú osobné údaje?

2. Má obec/mesto tieto osoby poučené v súlade so zákonom č. 122/2013 Z. z. ?

  • Sú tieto poučenia aktuálne (zodpovedajú reálne poučenia aj skutočnému stavu a pracovnej náplni konkrétneho zamestnanca)?
  • Ak sú poučenia oprávnených osôb vypracované v súlade so zákonom č. 122/2013 Z. z. mesto/obec je povinné ich vo svojom prostredí skontrolovať, doplniť a aktualizovať ich v kontexte nastupujúceho zákona č. 18/2018 Z. z. a nariadenia.
  • Ak nie sú poučenia aktuálne a sú s chybami je vhodnejšie ich vypracovať nanovo (obsahovo možno čiastočne prevziať z poučenia podľa zákona č. 122/2013 Z. z.https://dataprotection.gov.sk/uoou/sk/content/vzory-pouceni-opravnenej-osoby-0) už v kontexte novej legislatívy a nazvať ich napríklad „Poverením oprávnenej osoby“.

3. S konkrétnymi povereniami je potrebné oboznámiť konkrétne oprávnené osoby, zamestnancov spracúvajúcich osobné údaje v mene prevádzkovateľa a zaistiť si dôkaz, že sú si vedomí svojich povinností, napríklad formou podpisu daného poverenia, ktorým bude zrejmé, že sa zamestnanec v podmienkach prevádzkovateľa (obce/mesta) oboznámil so svojimi povinnosťami v kontexte spracúvania osobných údajov a im aj porozumel.

4. Vypracované poverenia je potrebné uchovať u prevádzkovateľa (v priestoroch obce, mesta – napríklad u zodpovednej osoby), úradu sa nezasielajú.

5. Ak sa zmení zaradenie zamestnanca, alebo sa zmení jeho pracovná náplň a tým sa zmení aj oblasť v rámci ktorej spracúva osobné údaje je potrebné poverenie, tak ako doteraz poučenie, aktualizovať v danom konkrétnom čase (formou dodatku ho v potrebnej časti zmeniť či doplniť).

BEZPEČNOSŤ – MAPOVANIE

Nariadenie a zákon už nepracujú s pojmom „bezpečnostný projekt“ a ani neurčujú striktne konkrétne bezpečnostné opatrenia a názvy bezpečnostných dokumentov ako tomu bolo podľa zákona č. 122/2013 Z. z. Nariadenie a zákon striktne nestanovujú dokumentáciu týkajúcu sa bezpečnosti v kontexte toho, že ak prevádzkovateľ spracúva citlivé osobné údaje prostredníctvom počítača prepojeného s verejne prístupnou sieťou MUSÍ mať vypracovaný k danému informačnému systému bezpečnostný projekt, ako doposiaľ.
Nariadenie aj zákon sú všeobecnejšie pri popise bezpečnostných opatrení. Bezpečnosti sú venované najmä čl. 24 a 32 nariadenia, ktoré iba uvádzajú, že prevádzkovateľ a sprostredkovateľ majú povinnosť osobné údaje primerane chrániť a prijať na ich ochranu primerané bezpečnostné opatrenia, ako napríklad pseudonymizáciu alebo šifrovanie, alebo môžu tiež súladnosť spracúvania preukázať aj formou pristúpenia ku schválenému kódexu správania a pod.

V rámci bezpečnosti však vzniká parameter, ktorý je potrebné posudzovať, ktorý zákon č. 122/2013 Z. z. nepoznal, ide o to, že podľa čl. 32 ods. 1 „Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku,“. Posudzovanie bezpečnosti a prijatých bezpečnostných opatrení s ohľadom na práva a slobody fyzických osôb doteraz nebolo potrebné, odteraz už áno.

Otázky – bezpečnostná dokumentácia

1. Má obec/mesto toho času vypracovaný a aktualizovaný bezpečnostný projekt, alebo zavedené a aktualizované bezpečnostné opatrenia? Ak áno, je potrebné skontrolovať ich aktuálnosť, ak obec/mesto identifikuje nedostatok, je potrebné sa s ním vysporiadať.

2. Je potrebné identifikovať práva a slobody fyzických osôb, aby obec/mesto ako prevádzkovateľ mohlo posúdiť, či danou spracovateľskou operáciou môže dochádzať k ich ohrozeniu, prípadne až k vzniku majetkovej alebo nemajetkovej ujmy dotknutých osôb (príkladom základných práv a slobôd dotknutých osôb je právo na slobodu prejavu,
právo na ochranu osobných údajov, právo na zachovanie listového tajomstva, právo na život, právo na vyznanie a pod).

3. Je potrebné, aby prevádzkovateľ (obec/mesto) vo svojom prostredí identifikovali hrozby, ktoré môžu spôsobiť ujmu na právach a slobodách dotknutých osôb a tieto popísal a prijal voči nim primerané opatrenia;

  • vonkajšie útoky ( = HROZBA) – (konkrétna forma HROZBY >> napr.: zneužitie prístupu k PC na ktorom sú osobné údaje spracúvané ( >> UJMA: napríklad získanie
    vedomosti, že osoba je dlžníkom obce, neplatičom, teda došlo k porušeniu práva na ochranu osobných údajov a prípadne daňového tajomstva a možno aj k prezradeniu finančných aspektov dotknutej osoby, únik údajov) >> z toho vyplývajúce bezpečnostné opatrenie napríklad: vedenie záznamov o prístupoch jednotlivých oprávnených osôb prevádzkovateľa minimálne v najdôležitejších a najcitlivejších agendách/ dobrovoľné logovanie + správne nastavenie prístupových práv a kontrola tohto nastavenia;

S ohľadom na vyššie uvedený nový parameter posudzovania prijatých bezpečnostných opatrení – práva a slobody dotknutých osôb, je potrebné aktualizovať aj bezpečnostné opatrenia.

DOKUMENTÁCIA – ZÁZNAMY O SPRACOVATEĽSKÝCH ČINNOSTIACH

Doteraz používané evidencie (evidenčné listy), oznámenia informačného systému a žiadosti o osobitné registrácie (rozhodnutia o osobitnej registrácii), ktoré boli najmä formálnym dôkazom o informačnom systéme osobných údajov, pričom dve z nich sa zasielali úradu, zanikajú.

Ich „náhradou“, inou formou vedenia evidencie o účeloch, už nie o informačných systémoch osobných údajov, budú tzv. záznamy o spracovateľských činnostiach podľa čl. 30 nariadenia.

Tieto si bude musieť viesť tak prevádzkovateľ, ako aj sprostredkovateľ. Záznamy majú svoje presné obsahové vymedzenie v nariadení. Na úrad sa nezasielajú.

Čiastočne obsahovo možno vychádzať z dnešných evidenčných listov, či oznámení informačných systémov.

Otázky – dokumentácia – záznamy o spracovateľských činnostiach

1. Má obec/mesto toho času vypracované evidenčné listy, oznámenia, prípadne schválené osobitné registrácie? Obsahovo je možné využiť informácie z týchto dokumentov a tieto doplniť do obsahovej štruktúry záznamov podľa čl. 30 nariadenia.

2. Úrad zverejní na svojom webovom sídle vzor záznamu o spracovateľských činnostiach, obec/mesto môže použiť ten, alebo si vytvoriť vlastný.

Materiál nie je právne záväzný, má len odporúčací charakter nakoľko prostredie každého prevádzkovateľa, či sprostredkovateľa je jedinečné a vyžaduje zohľadnenie konkrétnych
odlišností.

Autor: Úrad na ochranu osobných údajov Slovenskej republiky

Súvisiace odborné články

Súvisiace príklady z praxe

Súvisiace právne predpisy ZZ SR


S-EPI, s.r.o. © 2010-2018, všetky práva vyhradené