Zákon o ochrane osobných údajov a mzdy

Dňa 1. 5. 2005 nadobudol účinnosť zákon č. 90/2005 Z. z. (ďalej len „novela“), ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z. a č. 576/2004 Z. z. 

Autori: Ing. Jolana Strýčková
Právny stav od: 1. 5. 2005
Právny stav do: 31. 12. 2007
Dátum publikácie: 7. 7. 2005
Prameň: Daňový a účtovný poradca podnikateľa / DÚPP - 2005 / DÚPP - 12/2005
Oblasti práva:
Správne právo / Dane a poplatky / Daň z príjmov
Pracovné právo / Pracovné právo a personalistika / Odmena za prácu, mzda, plat



Tým, že rešpektuje poslednú hodnotiacu správu Európskej komisie z novembra 2003, kde sa v oblasti ochrany osobných údajov požaduje úplné zosúladenie zákona o ochrane osobných údajov so Smernicou Európskeho parlamentu a Rady č. 95/46/ES o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, zbližuje náš právny poriadok v oblasti ochrany osobných údajov s právom platným v členských štátoch Európskej únie. 

Dopĺňa nové pojmy v súlade s textom smernice č. 95/46/ES: 

  • tretia krajina, 
  • tretia strana, 
  • príjemca, 
  • zástupca prevádzkovateľa. 

Upresňuje vymedzenie už použitých pojmov: 

  • informačný systém, 
  • súhlas dotknutej osoby, 
  • prevádzkovateľ, 
  • oprávnená osoba. 

Precizuje ustanovenia, ktoré sa v priebehu ostatných dvoch rokov uplatňovania zákona o ochrane osobných údajov v praxi ukázali ako nie dostatočne zrozumiteľné alebo presné. 

Prináša prehľadnosť a účelnosť vymedzenia základných povinností prevádzkovateľa v rámci jedného paragrafu, čo umožní ľahšiu aplikáciu jednotlivých ustanovení zákona v praxi. 

Dopĺňa ustanovenia o dohľade nad ochranou osobných údajov u prevádzkovateľov, ktoré vykonáva, tzv. „zodpovedná osoba“. 

Zavádza inštitút osobitnej registrácie informačných systémov, kde takémuto typu registrácie budú podliehať najmä systémy obsahujúce osobitné kategórie osobných údajov v prípade, že sú predmetom cezhraničného toku do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov. 

Pretože v súvislosti so spracovaním miezd je v postavení prevádzkovateľa každý zamestnávateľ a v postavení oprávnenej, a vo väčšine prípadov aj zodpovednej osoby, každá mzdová účtovníčka, cieľom tohto článku je poskytnúť základné informácie: 

  1. o obsahu dôležitých ustanovení zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z.., zákona č. 576/2004 Z. z.  a novely (ďalej len „zákon o ochrane osobných údajov alebo len „zákon“) a 
  2. o povinnostiach, ktoré musí prevádzkovateľ a zodpovedná osoba pri ochrane osobných údajov plniť hlavne z hľadiska bezpečnosti. 

1. Pôsobnosť zákona a vymedzenie základných pojmov 

zákon o ochrane osobných údajov sa vzťahuje na: 

  • orgány štátnej správy, územnej samosprávy, iné orgány verejnej moci, ako aj na ostatné právnické osoby a fyzické osoby, ktoré spracúvajú osobné údaje, určujú účel a prostriedky spracúvania alebo poskytujú osobné údaje na spracúvanie, 
  • na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území SR, ale sú umiestnení, v zahraničí na mieste, kde sa uplatňuje právny poriadok SR prednostne na základe medzinárodného práva verejného, 
  • členského štátu Európskej únie, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území SR, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej únie, 
  • osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme. 

Tento zákon sa nevzťahuje na ochranu osobných údajov, ktoré: 

  • spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, ako je vedenie osobného adresára alebo korešpondencia, 
  • boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané. 

Osobné údaje 
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora (rodného čísla) alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. Do informačného systému je možné poskytovať len pravdivé osobné údaje. Za ich nepravdivosť zodpovedá ten, kto ich do informačného systému poskytol. Správnosť a aktuálnosť údajov zabezpečuje prevádzkovateľ. Osobný údaj sa považuje za správny, kým sa nepreukáže opak. 

Osobitné kategórie osobných údajov 
Zakazuje sa spracúvať údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života. 

Všeobecne použiteľný identifikátorje možné použiť len vtedy, ak je to nevyhnutné. Spracúvanie biometrických údajov a údajov o psychickej identite je možné použiť podľa osobitného zákona. 

Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ, ktorízodpovedajú za bezpečnosť údajov a sú povinní zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú. 

Prevádzkovateľ 
Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá sama alebo spoločne s inými určuje účel a prostriedky spracúvania osobných údajov. Ak účel, prípadne aj prostriedky spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho na plnenie účelu spracúvania ustanoví zákon alebo kto splní zákonom ustanovené podmienky. To platí aj vtedy, ak tak ustanovuje právny akt Európskych spoločenstiev a Európskej únie. 

Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až po získaní osobných údajov, oznámi to dotknutým osobám najneskôr do 3 mesiacov od poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme iný prevádzkovateľ. 

Sprostredkovateľ 
Sprostredkovateľomje orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa alebo zástupcu prevádzkovateľa.  

Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve alebo v písomnom poverení. 

Príjemcom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorej sú osobné údaje poskytnuté alebo sprístupnené. Prevádzkovateľ, ktorý je oprávnený spracúvať osobné údaje napríklad na základe výkonu kontroly, dohľadu, atď., a Úrad na ochranu osobných údajov SR (ďalej aj „úrad“) pri plnení úloh ustanovených týmto zákonom, sa nepovažuje za príjemcu. 

Zástupcom prevádzkovateľa je právnická osoba alebo fyzická osoba, ktorá na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine. 

Treťou krajinou je štát, ktorý nie je členským štátom Európskej únie. 

Treťou stranou je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba iná ako dotknutá osoba, vlastný prevádzkovateľ alebo zástupca prevádzkovateľa, jeho sprostredkovateľ a ich oprávnené osoby. 

Informačným systémom je akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napríklad kartotéka, zoznam, register, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy. 

Oprávnená osoba 
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania alebo v rámci výkonu verejnej funkcie, ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak tento zákon alebo osobitný zákon neustanovuje inak. 

Zodpovedná osoba 
Zodpovednou osobou je osoba, ktorá má postavenie oprávnenej osoby prevádzkovateľa. Dozerá na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov u prevádzkovateľa. 

Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu a spĺňa podmienku bezúhonnosti, teda nebola právoplatne odsúdená za úmyselný trestný čin alebo za trestný čin, za ktorý jej bol uložený nepodmienečný trest odňatia slobody.Bezúhonnosť preukazuje doložením výpisu z registra trestov nie starším ako tri mesiace, ktorý je prevádzkovateľ povinný uchovávať počas doby výkonu funkcie zodpovednej osoby. Výpis z registra trestov zostáva priložený k písomnému povereniu zodpovednej osoby u prevádzkovateľa počas celého výkonu tejto funkcie. 

Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa. 

Ak prevádzkovateľ zamestnáva viac ako 5 osôb, je podľa § 19 ods. 2 povinný výkonom dohľadu nad ochranou spracúvaných osobných údajov písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Jedna zodpovedná osoba musí byť odborne vyškolená v rozsahu ustanovení zákona, tak ako to ustanovuje § 19 ods. 3. Ak prevádzkovateľ zamestnáva menej ako 6 osôb, písomné poverenie zodpovednej osoby nie je jeho povinnosťou, ale môže písomne poveriť zodpovednú osobu. 

Prevádzkovateľ, ktorý zamestnáva menej ako 6 osôb a výkonom dohľadu nad ochranou osobných údajov písomne nepoverí zodpovednú osobu, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podliehajú registrácii podľa § 25.  

Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť dohľadom nad ochranou osobných údajov inú zodpovednú osobu, ak sa preukáže, že písomne poverená zodpovedná osoba neplnila alebo nedostatočne plnila povinnosti ustanovené zákonom. 

Prevádzkovateľ, ktorý písomne poverilvýkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať Úrad na ochranu osobných údajov SR, Odborárske námestie č. 3, 817 60 Bratislava 15 bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou. 

Formulár „Oznámenie prevádzkovateľa o poverení zodpovednej osoby výkonom dohľadu nad ochranou osobných údajov“ jemožné nájsť na web stránke Úradu na ochranu osobných údajov SR na adrese: www.dataprotection.gov.sk. 

K tomuto oznamovaciemu formuláru Úrad na ochranu osobných údajov SR nepožaduje doloženie žiadnych iných písomných dokumentov. Aj potvrdenie o odbornom vyškolení je možno nahradiť vyhlásením na oznamovacom formulári. Ak prevádzkovateľ údaje o zodpovednej osobe oznamuje na formulári, nie je ho potrebné zasielať so sprievodným listom. V prípade, že bude formulár vyplnený ručne, tak ho je potrebné vyplniť paličkovým písmom. 

Prevádzkovateľ musí mať k dispozícii k písomnému povereniu aj potvrdenie o bezúhonnosti, aj dôkaz o odbornom vyškolení v zmysle zákona o ochrane osobných údajov. Rozsah odborného školeniamá zodpovedať obsahu zákona. Zákon neurčuje, kto môže školenie vykonať. Môže tak urobiť napr. prevádzkovateľ sám vo vlastnej réžií, ak je odborne dostatočne kompetentný, príp. právny zástupca, ak firma takého má alebo môže využiť služby, ktoré ponúkajú vzdelávacie agentúry. 

Písomné poverenie zodpovednej osoby vydané podľa doterajších predpisov sa považuje za písomné poverenie podľa zákona o ochrane osobných údajov, ak: 

  • zodpovedná osoba spĺňa podmienky ustanovené v § 19 ods. 12 (je bezúhonná a preškolená), 
  • prevádzkovateľ oznámi úradu údaje podľa § 19 ods. 5 a  
  • vyhlási, že zodpovedná osoba bola odborne vyškolená. 

Zodpovedná osoba, ktorá bola písomne poverená dohľadom nad ochranou osobných údajov podľa doterajších predpisov a nespĺňa podmienky ustanovené v § 19 ods. 12 (nie je bezúhonná a nie je preškolená), musí byť odvolaná z funkcie zodpovednej osoby a prevádzkovateľ je povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu. 

Dotknutá osoba 
Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje. Ochranu práv dotknutých osôb vymedzujú § 20 – § 22. (Pojem fyzickej osoby je vymedzený širšie, ako ho vymedzuje zákon o živnostenskom podnikaní). 

Súhlas dotknutej osoby 
Osobné údaje dotknutej osoby možno spracúvať len so súhlasom dotknutej osoby, ak tento zákon neustanovuje inak. Súhlas dotknutej osoby sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného zákona, ktorý ustanovuje:  

  • zoznam osobných údajov, 
  • účel ich spracúvania a  
  • okruh dotknutých osôb. 

Spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak. Bez súhlasu možno osobné údaje spracúvať za podmienok ustanovených v zákone. 

Práca s osobnými údajmi
Spracúvanie osobných údajov je vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr.: 

  • ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie. 

Poskytovanie osobných údajov je odovzdávanie osobných údajov na spracúvanie inému prevádzkovateľovi alebo inému zástupcovi prevádzkovateľa, alebo jeho sprostredkovateľovi. 

Sprístupňovanie osobných údajov je oznámenie osobných údajov alebo umožnenie prístupu k nim inej právnickej osobe alebo fyzickej osobe s výnimkou dotknutej osoby alebo oprávnenej osoby, ktorá ich nebude spracúvať ako prevádzkovateľ, zástupca prevádzkovateľa alebo sprostredkovateľ. 

Podmienkami spracúvania osobných údajov sú prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov alebo v priebehu ich spracúvania. 

Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania je možné: 

Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom. 

Likvidáciu osobných údajov zabezpečí prevádzkovateľ v zmysle zákona bezodkladne po splnení účelu spracúvania. Nelikviduje osobné údaje, ak napr. osobitný zákon ustanovuje lehotu, ktorá neumožňuje osobné údaje bezodkladne zlikvidovať, sú súčasťou archívnych dokumentov, ak sa písomný, obrazový, zvukový alebo iný záznam obsahujúci osobné údaje zaradí do predarchívnej starostlivosti, počas ktorej sa nesmú vykonávať žiadne operácie spracúvania s osobnými údajmi s výnimkou ich uchovávania a využiť ich možno len na účely občianskoprávneho konania. 

2. Povinnosti prevádzkovateľa a zodpovednej osoby 

Základnými povinnosťami prevádzkovateľa podľa § 6 sú:

a) pred začatím spracúvania osobných údajov jednoznačne a konkrétne vymedziť účel spracúvania osobných údajov; účel spracúvania musí byť jasný a nesmie byť v rozpore s Ústavou SR, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je SR viazaná, 
b) určiť prostriedky a spôsob spracúvania osobných údajov, prípadne ďalšie podmienky spracúvania osobných údajov. Túto povinnosť nemá prevádzkovateľ v prípade, ak prostriedky spracúvania ustanovuje osobitný zákon.  
c) získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti, 
d) zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,  
e) získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely,
f) spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a zlikviduje ihneď, ako to okolnosti dovolia, 
g) zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania, 
h) zlikvidovať tie osobné údaje, ktorých účel spracúvania skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v zákone, na základe osobitného zákona, napríklad zákona č. 395/2002 Z. z. o archívoch a registratúrach v znení neskorších predpisov, na štatistické, vedecké alebo historické účely, 
i) spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje tomuto zákonu ani iným všeobecne záväzným právnym predpisom a ani ich neobchádza; súhlas dotknutej osoby si nesmie prevádzkovateľ vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom. 

Prevádzkovateľ, ktorý poveril spracúvaním osobných údajov sprostredkovateľa, je povinný zabezpečiť, aby sprostredkovateľ dodržiaval povinnosti ustanovené zákonom. 

Prevádzkovateľ alebo sprostredkovateľ je povinný poučiť oprávnené osoby o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie. Poučenie vykoná prevádzkovateľ alebo sprostredkovateľ pred vydaním prvého pokynu oprávnenej osobe na vykonanie akejkoľvek spracovateľskej operácie s osobnými údajmi. Oprávnená osoba poučenie potvrdí svojim podpisom; o poučení prevádzkovateľ alebo sprostredkovateľ vedie písomný záznam. 

Základnými povinnosti zodpovednej osoby sú podľa § 19 ods. 4

  • posúdiť pred začatím spracúvania osobných údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb, 
  • bezodkladne oznámiť prevádzkovateľovi, ak zistí narušenie práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov v informačnom systéme, 
  • ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámiť túto skutočnosť Úradu na ochranu osobných údajov SR. 

Zodpovedná osoba zabezpečuje: 

a) potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie, písomné oznámenia vystavené pre prevádzkovateľa § 19 ods. 4, preukázať rozsah získaných vedomostí odborným školením, 
b) povinnosti podľa § 19 ods. 4
c) dohľad nad plnením základných povinností prevádzkovateľa podľa § 6
d) poučenie oprávnených osôb podľa § 17
e) vybavovanie žiadostí dotknutých osôb podľa § 20 – § 22., 
f) realizáciu technických, organizačných a personálnych opatrení a dohliada na ich aplikáciu v praxi; ak je prevádzkovateľ povinný vypracovať bezpečnostný projekt v súlade s § 16 alebo dokumentáciu podľa § 15 ods. 2 písm. b) , zabezpečuje ich vypracovanie, 
g) dohľad pri výbere sprostredkovateľa podľa § 5 ods. 34, prípravu písomnej zmluvy alebo písomného poverenia pre sprostredkovateľa v súlade s § 5 ods. 2 a zodpovedá za jeho obsah; počas trvania zmluvného vzťahu alebo poverenia preveruje dodržiavanie dohodnutých podmienok, 
h) dohľad nad cezhraničným tokom osobných údajov, 
i) prihlásenie informačných systémov na osobitnú registráciu a oznamovanie zmien a odhlásenie informačných systémov z osobitnej registrácie; o informačných systémoch, ktoré nepodliehajú registrácii vedie evidenciu v rozsahu ustanovenom týmto zákonom podľa § 29 § 30 a zabezpečuje jej sprístupnenie komukoľvek, kto o to požiada v súlade s § 32. 

Bezpečnosť osobných údajov 
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred náhodným ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania. Opatrenia prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného projektu informačného systému (ďalej len „bezpečnostný projekt“) a zabezpečí jeho vypracovanie podľa § 16 , ak 

a) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8 a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť, 
b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8 v tomto prípade prevádzkovateľ a sprostredkovateľ len zdokumentuje prijaté technické, organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje § 16 ods. 3 písm. c) a ods. 6, alebo 
c) informačný systém slúži na zabezpečenie verejného záujmu podľa § 2 ods. 1; ustanovenie § 16 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona, zákon č. 215/2004 Z. z.

Podľa § 16 ods. 3 bezpečnostný projekt obsahuje najmä: 

a) bezpečnostný zámer, 
b) analýzu bezpečnosti informačného systému, 
c) bezpečnostné smernice

Podľa § 16 ods. 6 bezpečnostné smernice obsahujú najmä: 

a) popis technických, organizačných a personálnych opatrení a ich využitie v konkrétnych podmienkach, 
b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k informačnému systému, 
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov podľa § 19
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému, 
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možnosti efektívnej obnovy stavu pred haváriou. 

Prevádzkovateľ a sprostredkovateľ na požiadanie úradu preukážu rozsah a obsah prijatých technických, organizačných a personálnych opatrení. 

Ak sú predmetom kontroly informačné systémy, úrad má právo požadovať od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému, ak sú vážne pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v bezpečnostnom projekte. 

Hodnotiacu správu nie staršiu ako 2 roky bezodkladne predloží prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí vykonanie auditu bezpečnosti informačného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do 3 mesiacov odo dňa uloženia povinnosti. 

Audit bezpečnosti informačného systému môže vykonať iba externá, odborne spôsobilá právnická alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní bezpečnostného projektu predmetného informačného systému, a nie sú pochybnosti o jej zaujatosti. 

Registrácia a evidencia informačných systémov
Podľa § 24 prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu. Úrad na ochranu osobných údajov SR vykonáva bezplatne podľa § 25 ods.1 registráciu informačných systémov a podľa § 27 ods.1 osobitnú registráciu informačných systémov. 

Registrácia 
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou tých informačných systémov, ktoré: 

a) podliehajú osobitnej registrácii podľa § 27 ods. 2
b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 19 ods. 2 alebo 8 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona, 
c) obsahujú osobné údaje fyzických osôb spracúvané na účely plnenia predzmluvných vzťahov alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z existujúceho alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého pomeru alebo členského pomeru s týmito fyzickými osobami, vrátane osobných údajov ich blízkych osôb,
d) obsahujú osobné údaje o členstve osôb v odborovej organizácii, ktoré sú jej členmi a ak tieto osobné údaje spracúva odborová organizácia a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo 
e) obsahujú osobné údaje potrebné na uplatňovanie práv alebo plnenie povinností vyplývajúcich z osobitného zákona alebo sú spracúvané na základe osobitného zákona. 

 V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne Úrad na ochranu osobných údajov SR. Stanovisko úradu je záväzné. 

Informačné systémy s použitím len manuálnych prostriedkov spracúvania registrácii nepodliehajú (§ 25 ods. 2). 

Na registráciu, osobitnú registráciu a nahlásenie zmien údajov informačného systému je určený spoločný formulár. „FORMULÁR informačného systému“ jemožné nájsť na web stránke Úradu na ochranu osobných údajov SR na adrese: www.dataprotection.gov.sk. 

V prípade, že bude formulár vyplnený ručne, tak ho je potrebné vyplniť paličkovým písmom. 

Na odhlásenie informačného systému je určený samostatný formulár. 

Evidencia 
O informačných systémoch, ktoré nepodliehajú registrácii vedie podľa § 29 prevádzkovateľ evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia podľa § 29 ods.1 obsahuje údaje uvedené v § 26 ods. 3. Evidenčný list personálneho a mzdového systému je uvedený v Prílohe. 

Pokuty
Za neplnenie povinností ustanovených v zákone o ochrane osobných údajov môže Úrad na ochranu osobných údajov SR uložiť za podmienok ustanovených v § 49 a § 50

  • pokutu prevádzkovateľovi alebo sprostredkovateľovi od 50 000 Sk (1 659,70 €) do 10 000 000 Sk (331 939,19 €).  
  • pokutu do 100 000 Sk (3 319,39 €) tomu, kto: 
    a) poskytne osobné údaje v rozpore s § 7 ods. 5, to neplatí pre prevádzkovateľa a sprostredkovateľa, 
    b) poskytne nepravdivé osobné údaje ( § 11), 
    c) poruší povinnosť mlčanlivosti o osobných údajoch (§ 18), alebo 
    d) ako zodpovedná osoba písomne neupozorní prevádzkovateľa ( § 19 ods. 4). 

Pokutu možno uložiť do 1 roka odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do 3 rokov odo dňa, keď k porušeniu povinnosti došlo. 

Prechodné ustanovenia zákona k úpravám účinným od 1. 5. 2005 
Prevádzkovatelia, ktorí spracovávajú osobné údaje na základe osobitného zákona, ktorý neustanovuje náležitosti podľa § 7 ods. 3, 5, 6 alebo podľa § 9 ods.1 písm. a), môžu osobné údaje spracúvať v rozsahu nevyhnutnom na dosiahnutie ustanoveného účelu spracúvania bez súhlasu dotknutých osôb. 

Prevádzkovatelia už fungujúcich informačných systémov, na ktoré sa podľa doterajších predpisov nevzťahovala osobitná registrácia podľa § 27, sú povinní prihlásiť ich na osobitnú registráciu, inak právo na spracúvanie osobných údajov v týchto informačných systémoch zanikne uplynutím tejto lehoty. 

Prevádzkovatelia už fungujúcich informačných systémov sú povinní ich uviesť do súladu s týmto zákonom. 

Príloha:
Evidenčný list personálneho a mzdového informačného systému  

Názov prevádzkovateľa: 

Právna forma: 

Adresa sídla: 

Ulica

Mesto

PSČ

IČO: 

Meno a priezvisko štatutárneho orgánu: 

Meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov: 

Identifikačné označenie informačného systému: 

Účel spracúvania osobných údajov: (uvedie sa účel na základe textu osobitného zákona) 

Zoznam osobných údajov: 

1. Meno, 2. Priezvisko, 3. Dátum narodenia, 4. Miesto narodenia, 5. Rodné číslo, 6. Štátna príslušnosť, 7. Národnosť, 8. Dosiahnuté vzdelanie, 9. Základná mzda, 10. Osobné ohodnotenie, 11……atď….Uvedú sa všetky spracúvané údaje. 

Okruh dotknutých osôb: 

Zamestnanci organizácie a ich rodinní príslušníci 

Okruh príjemcov: 

Ak sa predpokladá, že im budú osobné údaje sprístupnené. 

Tretie strany: 

Sociálna poisťovňa, zdravotné poisťovne (uvedú sa ich názvy), doplnkové dôchodkové spoločnosti (uvedú sa ich názvy) 

Právny základ informačného systému: Zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov, č. 90/1996 Z. z. o minimálnej mzde v znení neskorších predpisov, č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov, č. 462/2003 Z. z. o náhrade príjmu pri dočasnej pracovnej neschopnosti zamestnanca a o zmene a doplnení niektorých zákonov, č. 580/2004 o zdravotnom v znení neskorších predpisov, č. 595/2003 Z. z. o dani z príjmov v znení neskorších predpisov, č. 650/2004 Z. z. o doplnkovom dôchodkovom sporení v znení neskorších predpisov, atď. … 

Forma zverejnenia: Nevykonáva sa. 

Tretie krajiny: 

Ak sa uskutočňuje cezhraničný tok osobných údajov do tretích krajín, teda do krajín mimo EÚ uvedie sa názov krajiny. Napr. USA. 

Opatrenia na zabezpečenie ochrany osobných údajov: 

Smernica č. XXX/MMRRRR, ktorej prílohou je evidenčný list informačného systému (alebo bezpečnostný projekt, ak je informačný systém prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť). 

Dátum začatia spracúvania osobných údajov: 

DD.MM.RRRR (dátum vzniku pracovného pomeru prvého zamestnanca) 

Vypracoval: Titul, meno, priezvisko. 

Funkcia: Zodpovedná osoba 

Dátum vypracovania: DD.MM.RRRR 

Autor: Ing. Jolana Strýčková

Súvisiace právne predpisy ZZ SR


S-EPI, s.r.o. © 2010-2020, všetky práva vyhradené

Nastavenie súborov cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou prosíme o potvrdenie súhlasu alebo nastavenie vašich preferencií. Ďakujeme.

Viac informácií.