GDPR: Ochrana osobných údajov pre stavebníctvo
Nové pravidlá ochrany osobných údajov (GDPR) vstúpili do účinnosti 25. mája 2018 a vzťahujú sa na každého podnikateľa, ktorý vykonáva podnikateľskú činnosť na území Slovenskej republiky. Jedným z hlavných cieľov aktuálnej legislatívy je predchádzať neadekvátnemu zhromažďovaniu údajov o fyzických osobách a prevencia ich zneužívaniu. Najväčšie zmeny reagujú najmä na súčasné využívanie moderných technológií, sprísňujú spracúvanie dát organizáciami a rozširujú práva fyzických osôb pri nakladaní s osobnými údajmi. Uvedené zmeny sa nevyhli ani stavebnému sektoru, kde môžu pôsobiť firmy tak v pozícii prevádzkovateľov, ako aj sprostredkovateľov. Ich povinnosti z hľadiska GDPR v praxi v roku 2018 si priblížime si priblížime aj v nasledovných riadkoch.
Niektoré požiadavky na prevádzkovateľa
Zákon č. 18/2018 o ochrane osobných údajov (ďalej aj ako „zákon“) ustanovuje, že osobné môže spracovávať len prevádzkovateľ a sprostredkovateľ. Zároveň s tým platí, že osobné údaje fyzických osôb môžu spracovávať len spôsobom ustanoveným týmto právnym predpisom, v jeho medziach a tak, aby pritom nedošlo k porušeniu základných práv a slobôd dotknutých osôb. Osobné údaje môže vo vlastnom mene spracúvať vždy len prevádzkovateľ. Pre správne spracúvanie osobných údajov je potrebné splniť najmä nasledovné požiadavky:
- prevádzkovateľ je povinný ustanoviť, kto je prevádzkovateľom, prípadne sprostredkovateľom a definovať ich vzájomné vzťahy v písomnej zmluve,
- ak sa osobné údaje nespracúvajú na základe všeobecného právneho predpisu, je nutné presne určiť účel spracúvania osobných údajov,
- pripraviť zoznam osobných údajov, ktoré sa nespracúvajú na základe všeobecného právneho predpisu,
- pri získavaní a spracovávaní osobných údajov sa riadiť ustanovenými zásadami,
- získať súhlas dotknutých osôb so spracúvaním osobných údajov, pokiaľ zákon neustanovuje, že ich možno spracúvať aj bez takéto súhlasu,
- splniť si informačnú povinnosť voči dotknutej osobe pred získaním jej osobných údajov,
- prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s týmto zákonom. Uvedené opatrenia je prevádzkovateľ povinný podľa potreby aktualizovať,
- prevádzkovateľ je povinný pravidelne preverovať trvanie účelu spracúvania osobných údajov a po jeho splnení bez zbytočného odkladu zabezpečiť výmaz osobných údajov. Táto povinnosť však neplatí v prípade, ak sú osobné údaje súčasťou registratúrneho záznamu,
- prevádzkovateľ zabezpečuje vyradenie registratúrneho záznamu, ktorý obsahuje osobné údaje, podľa osobitného predpisu,
- prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie,
- prevádzkovateľ je povinný pri špecificky navrhnutej ochrane osobných údajov zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie potrebných opatrení, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby,
- prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb,
- prevádzkovateľ je povinný zachovať mlčanlivosť o spracovávaných údajoch,
- v prípade, že mu táto povinnosť vyplýva zo zákona, je povinný ustanoviť zodpovednú osobu,
- oznámiť informačné systémy, prihlásiť ich alebo o nich viesť evidenciu,
- poskytovať potrebnú súčinnosť Úradu pri plnení jeho úloh vyplývajúcich mu zo zákona.
V prémiovej časti obsahu nájdete:
- Niektoré požiadavky na sprostredkovateľa
- Zmluva medzi prevádzkovateľom a sprostredkovateľom
- Oprávnená osoba a rozsah poučenia
Niektoré požiadavky na sprostredkovateľa
Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje. Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa. Sprostredkovateľ je povinný vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu.
Zákon ukladá prevádzkovateľovi a sprostredkovateľovi písomne uzatvoriť zmluvu alebo iný právny úkon, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je potrebné určiť predmet, dobu, povahu, účel spracúvania, zoznam alebo rozsah osobných údajov, ako aj jednotlivé kategórie dotknutých osôb, povinnosti a práva prevádzkovateľa.
V zmluve alebo inom právnom úkone je ďalej potrebné ustanoviť, že sprostredkovateľ je povinný najmä:
- spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
- zachovávať mlčanlivosť,
- zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona
- vykonať opatrenia podľa § 39 zákona za účelom zaistenia bezpečnosti spracúvania osobných údajov. Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä pseudonymizáciu a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov
- poskytnúť prevádzkovateľovi súčinnosť,
- vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov
- po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov
- poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ
Aj sprostredkovateľ je povinný spracúvať osobné tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb. Rovnako aj pre neho platí informačná povinnosť voči dotknutej osobe, ak s ňou príde do kontaktu. pri prvom kontakte s dotknutou osobou je sprostredkovateľ povinný jej vždy oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo zákonom ustanovený účel. Sprostredkovateľ je povinný dodržiavať podmienky súvislosti s poverením zodpovednej osoby a poskytovať súčinnosť Úradu pre ochranu osobných údajov pri plnení úloh podľa zákona. Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný.
Zmluva medzi prevádzkovateľom a sprostredkovateľom
Ako je vyššie uvedené, každý prevádzkovateľ je oprávnený poveriť spracúvaním osobných údajov sprostredkovateľa. Toto poverenie sprostredkovateľa je potrebné vykonať písomnou zmluvou uzatvorenou medzi príslušnými subjektmi. Na účely uzatvorenia zmluvy a poverenia sprostredkovateľa spracúvaním osobných údajov zákon nevyžaduje súhlas dotknutej osoby. Tým však nie je dotknutá informačná povinnosť prevádzkovateľa pri získavaní osobných údajov podľa § 15 zákona o ochrane osobných údajov. V súvislosti s ponukou služieb informačnej spoločnosti spracúva prevádzkovateľ osobné údaje na základe súhlasu dotknutej osoby zákonne, pričom podmienkou je, že dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca. Prevádzkovateľ je zároveň povinný vyvinúť primerané úsilie na to, aby si overil udelenie súhlasu zákonným zástupcom.
Upozornenie:
Pri výbere sprostredkovateľa je prevádzkovateľ povinný posudzovať spôsobilosť zvoleného subjektu pri ochrane osobných údajov. Je povinný dbať na odbornú, technickú a personálnu spôsobilosť a jeho schopnosť zaistiť bezpečnosť spracúvaných údajov.
Obsahové náležitosti zmluvy:
Prevádzkovateľ a sprostredkovateľ sú oprávnení uzatvoriť samostatný typ zmluvy s nižšie uvedenými obsahovými náležitosťami alebo ich vložiť do inej zmluvy. Obsahovými náležitosťami zmluvy sú:
- údaje o zmluvných stranách,
- deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
- účel spracúvania osobných údajov,
- názov informačného systému,
- zoznam osobných údajov, ktoré sa budú spracúvať, pričom tento zoznam možno v praxi možno nahradiť aj rozsahom osobných údajov,
- okruh dotknutých osôb,
- podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
- vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami,
- súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby (subdodávateľa),
- dobu, na ktorú sa zmluva uzatvára,
- dátum uzatvorenia zmluvy a podpisy zmluvných strán.
Poznámka:
Písomnú zmluvu medzi prevádzkovateľom a sprostredkovateľom možno uzavrieť najneskôr v deň začatia spracúvania osobných údajov sprostredkovateľom.
Oprávnená osoba a rozsah poučenia
Oprávnenou osobu je fyzická osoba, ktorá prichádza do kontaktu s osobnými údajmi u prevádzkovateľa v rámci plnenia svojich pracovných (služobných) povinností alebo obdobného vzťahu s prevádzkovateľom (založeného napr. na základe poverenia, vymenovania, zvolenia alebo v rámci výkonu verejnej funkcie), a ktorá vykonáva prevádzkovateľom určené spracovateľské operácie s osobnými údajmi. Prevádzkovateľ je v zmysle zákona povinný poučiť oprávnenú osobu o rozsahu jej oprávnení, povolených činnostiach a podmienkach spracúvania osobných údajov. Poučenie vždy zodpovedá spracovateľským operáciám, ktoré fyzická osoba s osobnými údajmi vykonáva s ohľadom na svoju pracovnú pozíciu, poverenie alebo funkciu. O poučení prevádzkovateľ vyhotovuje záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať. Vzory záznamov o poučení zverejňuje úrad. Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia.