Buďte správne informovaný! Získajte prémiový účet TU
Prihlásenie
Zakúpiť členstvo
Používate zastaralý prehliadač, stránka sa nemusí zobraziť správne, môže sa zobrazovať pomaly, alebo môžu nastať iné problémy pri prehliadaní stránky. Odporúčame Vám stiahnuť si nový prehliadač tu.
FOAF.sk - Aký má firma zisk? Kto ju vlastní? Kto má dlhy? Zistite TU

GDPR: Ochrana osobných údajov – úrad, certifikácia, kontrola

GDPR
GDPR
11. apríla 2018 277762230_10227855937332247_5827520268110490218_n.jpg Zdroj podnikam.sk Tlačiť

Nariadenie GDPR, ktoré do slovenskej praxe prenáša zákon č. 18/2018 Z. z. o ochrane osobných údajov vstúpi do platnosti už 25. 5. 2018. V minulom príspevku sme si priblížili podmienky a práva pri spracúvaní osobných údajov. V tomto príspevku sa dozviete viac o tom, čo znamená skratka GDPR pre certifikáciu a kontrolu a akú funkciu má úrad na ochranu osobných údajov.

Úrad na ochranu osobných údajov

Úrad na ochranu osobných údajov (ďalej aj ako „úrad“) je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv fyzických osôb pri spracúvaní osobných údajov, vykonáva dozor nad ochranou osobných údajov a dozor nad ochranou osobných údajov spracúvaných príslušnými orgánmi pri plnení úloh na účely trestného konania. Úrad je dozorný orgán, ktorý plní úlohy a vykonáva právomoci, ktoré sú mu zverené podľa zákona a iných právnych predpisov. Medzi jeho úlohy patria nasledovné:

  • monitorovanie uplatňovanie zákona o ochrane osobných údajov,
  • vyjadrovanie sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
  • poskytovanie konzultácií v oblasti ochrany osobných údajov,
  • metodické usmerňovanie prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
  • zvyšovanie povedomia verejnosti v oblasti rizík a práv súvisiacich so spracúvaním osobných údajov,
  • zvyšovanie povedomia prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa zákona,
  • na požiadanie poskytovať informácie dotknutej osobe v súvislosti s uplatnením jej práv podľa zákona a na tento účel spolupracovať s dozornými orgánmi iných členských štátov,
  • pri výkone dozoru nad ochranou osobných údajov preverovať zákonnosť spracúvania osobných údajov príslušným orgánom pri výkone práva dotknutou osoboua informovať ju o výsledku preverenia do 30 dní odo dňa podania žiadosti o preverenie alebo o dôvodoch, prečo k prevereniu nedošlo, a o možnosti uplatnenia práva dotknutej osoby na podanie návrhu na začatie konania podľa na inú právnu ochranu podľa osobitného predpisu,
  • monitorovať najmä vývoj informačných a komunikačných technológií a obchodných praktík, ak majú dosah na ochranu osobných údajov,
  • spolupracovať s Európskym výborom pre ochranu údajov v oblasti ochrany osobných údajov,
  • predkladať Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za rok; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle a poskytuje ju Európskemu výboru pre ochranu údajov a Komisii,
  • spolupracovať s dozornými orgánmi iných členských štátov vrátane výmeny informácií a poskytuje im vzájomnú pomoc s cieľom zabezpečiť spoločný postup pri ochrane osobných údajov podľa tohto zákona a osobitného predpisu.

Úrad je pri plnení svojich úloh oprávnený:

  • nariadiť prevádzkovateľovi a sprostredkovateľovi, prípadne aj zástupcovi prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, aby poskytli informácie, ktoré sú nevyhnutné na plnenie jeho úloh,
  • získať prístup k osobným údajom a informáciám, ktoré sú nevyhnutné na plnenie jeho úloh,
  • vstupovať do priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie osobných údajov, a to v rozsahu nevyhnutnom na plnenie jeho úloh,
  • úrad môže upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie môžu porušovať ustanovenia tohto zákona alebo osobitného predpisu a uložiť opatrenia na nápravu, a to pokutu alebo poriadkovú pokutu pre prípady, ak prevádzkovateľ, sprostredkovateľ, monitorujúci subjekt alebo certifikačný subjekt porušili ustanovenia tohto zákona alebo osobitného predpisu,
  • môže tiež nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhoveli žiadosti dotknutej osoby o uplatnenie jej práv,
  • nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladili podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami príslušných právnych predpisov,
  • nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe,
  • nariadiť dočasné obmedzenie spracúvania osobných údajov alebo trvalé obmedzenie spracúvania osobných údajov,
  • predvolať prevádzkovateľa alebo sprostredkovateľa na účely podania vysvetlenia pri podozrení z porušenia povinností uložených príslušnými právnymi predpismi alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná,
  • odporučiť prevádzkovateľovi alebo sprostredkovateľovi opatrenia na zabezpečenie ochrany osobných údajov v používaných informačných systémoch,
  • nariadiť pozastavenie prenosu osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.

Úrad zároveň plní oznamovaciu povinnosť voči komisii v oblasti ochrany osobných údajov, prijíma opatrenia na vykonanie rozhodnutí komisie vydaných v oblasti ochrany osobných údajov, spolupracuje pri výkone dozoru nad ochranou osobných údajov s dozornými orgánmi iných členských štátov a s obdobnými orgánmi dozoru mimo územia členských štátov. Predmetom dozoru nad ochranou osobných údajov však nie sú spory zo zmluvných vzťahov alebo predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutou osobou alebo inými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov. Úrad môže účtovať primeraný poplatok zodpovedajúci administratívnym nákladom alebo môže odmietnuť konať na základe žiadosti, ak je žiadosť zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu, pričom dôležité je, že túto zjavnú neopodstatnenosť alebo neprimeranosť žiadosti preukazuje úrad.

V prémiovej časti obsahu nájdete:

  • Kódex správania
  • Certifikát
  • Žiadosť o vydanie certifikátu
  • Monitorujúci subjekt
  • Certifikačný subjekt
  • Kontrola
  • Konanie o ochrane osobných údajov

Kódex správania

Každý prevádzkovateľ, sprostredkovateľ alebo akýkoľvek iný subjekt, ktorý zastupuje prevádzkovateľov alebo sprostredkovateľov môže prijať kódex správania, v ktorom spresní uplatňovania pravidiel podľa zákona o ochrane osobných údajov a nariadenia. Takto pripravený kódex je potrebný predložiť na schválenie úradu. Rovnako to platí, ak už bol kódex schválený a žiadateľ má záujem o rozšírenie jeho ustanovení. Aj v tomto prípade je povinný predložiť úradu návrh rozšíreného kódexu na schválenie.

V žiadosti je potrebné uviesť nasledovné údaje:

  • identifikačné údaje žiadateľa,
  • meno a priezvisko štatutárneho zástupcu alebo osoby oprávnenej konať v mene žiadateľa,
  • označenie, či ide o návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania,
  • postup združenia, ktorým sa člen združenia zaväzuje dodržiavať schválený kódex správania,
  • záväzok prevádzkovateľa alebo sprostredkovateľa podrobiť sa monitorovaniu dodržiavania schváleného kódexu správania v súlade s pravidlami a postupmi na monitorovanie dodržiavania kódexu správania,
  • opis práv a povinností prevádzkovateľa alebo sprostredkovateľa pri výkone monitorovania dodržiavania schváleného kódexu správania,
  • predmet, na ktorý sa návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania vzťahuje,
  • účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
  • kategórie osobných údajov,
  • kategórie dotknutých osôb,
  • identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
  • opis spracovateľských činností, informácie o existencii automatizovaného individuálneho rozhodovania a informácie o existencii profilovania,
  • opis postupu žiadateľa pri uplatnení práv dotknutou osobou,
  • informáciu, či sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch,
  • identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných údajov a informáciu o prijatých primeraných zárukách tohto prenosu,
  • prijaté pravidlá a postupy na monitorovanie dodržiavania kódexu správania.

Žiadateľ musí k žiadosti o schválenie kódexu správania priložiť návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania, a to aj v anglickom jazyku, ak sa týka spracovateľských činností vo viacerých členských štátoch a potvrdenie o zaplatení správneho poplatku.

Certifikát

Na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov môže prevádzkovateľ alebo sprostredkovateľ požiadať úrad alebo certifikačný subjekt o vydanie alebo obnovenie certifikátu. Certifikát sa vydáva alebo obnovuje najviac na obdobie troch rokov. Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva akreditovaný certifikačný subjekt alebo samotný úrad na ochranu osobných údajov. Úrad alebo certifikačný subjekt posudzuje súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa na základe ustanovených certifikačných kritérií. Vydaný certifikát je verejnou listinou a vydané certifikáty sú zverejnené na webovom sídle úradu.

Žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu úradom musí obsahovať nasledovné údaje:

  • identifikačné údaje žiadateľa,
  • meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
  • kontaktné údaje zodpovednej osoby, ak je určená,
  • predmet certifikátu, na ktorý sa má certifikát udeliť,
  • účel spracúvania osobných údajov,
  • právny základ spracúvania osobných údajov,
  • kategórie dotknutých osôb,
  • kategórie osobných údajov,
  • identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
  • opis spracovateľských činností vrátane informácií o existencii automatizovaného individuálneho rozhodovania vrátane profilovania,
  • opis postupu žiadateľa pri uplatnení práv dotknutou osobou
  • identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných údajov.

Žiadateľ je povinný k žiadosti priložiť aj technickú a bezpečnostnú dokumentáciu nevyhnutnú na vydanie certifikátu, výsledok auditu ochrany osobných údajov, ktorý nemôže byť starší ako šesť mesiacov, dokumenty preukazujúce splnenie certifikačných kritérií, opis primeraných záruk pri prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácii,  potvrdenie o zaplatení správneho poplatku a ďalšie informácie i podklady nevyhnutné na posúdenie súladu so zákonom o ochrane osobných údajov a nariadením.

Úrad rozhodne o vydaní certifikátu alebo jeho obnove do 90 odo dňa začatia konania, preskúma žiadosť a zistí, či žiadateľ spĺňa certifikačné kritériá a podmienky a jeho spracovateľské činnosti sú v súlade so zákonom o ochrane osobných údajov a nariadením. Úrad zároveň skúma ním prijaté bezpečnostné opatrenia, ktoré musia poskytovať dostatočné záruky ochrany osobných údajov podľa vyššie uvedeného nariadenia. Certifikát platí po obdobie troch rokov a obsahuje nasledovné údaje:

  • identifikačné údaje úradu,
  • identifikačné údaje žiadateľa,
  • predmet certifikátu,
  • označenie certifikačných kritérií, na ktorých základe sa vydáva certifikát,
  • číslo certifikátu,
  • dátum vydania certifikátu a ak ide o obnovu certifikátu, aj dátum skoršieho vydania certifikátu,
  • dobu platnosti certifikátu,
  • odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.

Certifikovaná osoba musí počas platnosti vydaného certifikátu spĺňať nasledovné požiadavky:

  • spĺňať požiadavky ustanovené zákonom o ochrane osobných údajov a požiadavky na vydanie certifikátu v súlade s rozhodnutím o vydaní certifikátu,
  • najneskôr do 15 dní odo dňa vzniku zmeny písomne oznámiť úradu akékoľvek zmeny týkajúce sa rozhodnutia o vydaní certifikátu,
  • umožniť úradu vykonanie dozoru,
  • archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu.

Monitorujúci subjekt

Monitorujúci subjekt dohliada na súlad spracúvania osobných údajov podľa zákona o ochrane osobných údajov a nariadenia s kódexmi správania. Pre výkon tejto činnosti musí tento subjekt splniť zákonom ustanovené kritériá a následne mu bude udelená akreditácia. Takýmto subjektom sa môže stať akákoľvek byť právnická osoba alebo fyzická osoba – podnikateľ, ktorý má vytvorené technické a organizačné podmienky na vykonávanie monitorovania kódexu správania a ktorému bola udelená akreditácia.

Monitorujúci subjekt je oprávnený:

  • monitorovať súlad spracúvania osobných údajov prevádzkovateľom alebo sprostredkovateľom, ktorý je členom združenia a ktorý sa zaviazal dodržiavať schválený kódex správania,
  • prijímať primerané opatrenia v prípadoch porušenia kódexu správania prevádzkovateľom alebo sprostredkovateľom,
  • dočasne pozastaviť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
  • zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania.

Po udelení akreditácie v rámci akreditačného postupu je monitorujúci subjekt povinný spĺňať nasledovné požiadavky:

  • spĺňať požiadavky ustanovené týmto zákonom a akreditačné požiadavky v súlade s rozhodnutím o udelení akreditácie,
  • písomne oznámiť úradu akékoľvek zmeny udelenej akreditácie do 15 dní odo dňa vzniku zmeny,
  • informovať dotknutého prevádzkovateľa alebo sprostredkovateľa o oprávnenosti monitorovať dodržiavanie kódexu správania a o predmete monitorovaného kódexu správania, podrobne a zrozumiteľne informovať o bezpečnostných opatreniach, pravidlách a o postupoch monitorovania kódexu správania a informovať o možných právnych dôsledkoch monitorovania dodržiavania predmetu kódexu správania pred výkonom monitorovania schváleného kódexu správania,
  • bez zbytočného odkladu informovať dotknutého prevádzkovateľa alebo sprostredkovateľa o prijatých opatreniach, ak bolo zistené porušenie dodržiavania kódexu správania dotknutého prevádzkovateľa alebo sprostredkovateľa podľa odseku
  • dodržiavať zásadu nezávislosti,
  • archivovať dokumentáciu súvisiacu s monitorovaním kódexu správania.

Certifikačný subjekt

Certifikačný subjekt je každý, kto spĺňa kritériá a podmienky na udelenie akreditácie a komu bola udelená akreditácia. Certifikačný subjekt vydáva, obnovuje alebo odníma subjektom vydané certifikáty. Môže sa ním stať akákoľvek právnická osoba alebo fyzická osoba – podnikateľ, ktorý má primeranú úroveň odborných znalostí v oblasti ochrany osobných údajov a má vytvorenú technické a organizačné podmienky na certifikačný postup. Tento subjekt je zodpovedný za posudzovanie súladu spracúvaných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa. Na základe týchto skutočností udeľuje, obnovuje alebo odníma certifikát.

Žiadateľ o udelenie akreditácie musí v žiadosti uviesť nasledovné údaje a priložiť nasledovné dokumenty:

  • identifikačné údaje žiadateľa,
  • meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
  • uvedenie predmetu certifikačných kritérií,
  • technickú a bezpečnostnú dokumentáciu nevyhnutnú pre certifikačný postup,
  • postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a prevádzkovateľom alebo sprostredkovateľom, ktorý požiadal o vydanie certifikátu alebo obnovu certifikátu, ktorý by mohol narušiť objektivitu vydania certifikátu alebo obnovy certifikátu, obmedziť objektivitu vydania alebo obnovy certifikátu alebo porušiť princíp transparentnosti pre dotknutú osobu a verejnosť. Konflikt záujmov v tomto prípade zahŕňa najmä situácie, kedy žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh vydania alebo obnovy certifikátu, má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem alebo iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti s vydaním alebo obnovením certifikátu,
  • dokumenty určujúce kvalifikačné požiadavky vo vzťahu k certifikačnému postupu osôb žiadateľa, ktoré budú realizovať certifikačný postup,
  • pravidlá a postupy výkonu certifikačného postupu vrátane postupu na vydanie certifikátu, pravidelné preskúmanie certifikátu, obnovu certifikátu a odňatie certifikátu,
  • vyhlásenie o dodržiavaní certifikačných kritérií pre certifikačný postup,
  • dokumenty preukazujúce postupy a pravidlá na vybavovanie sťažností týkajúcich sa porušení vydaného certifikátu alebo spôsobu, akým sú oprávnenia z certifikátu dotknutým prevádzkovateľom alebo sprostredkovateľom vykonávané,
  • dokumenty preukazujúce, že pravidlá a postupy vybavovania sťažností v súvislosti s vydaným certifikátom sú transparentné pre verejnosť,
  • výsledok auditu výkonu certifikačného postupu,
  • potvrdenie o zaplatení správneho poplatku,
  • ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom alebo nariadenímna účely posúdenia žiadosti o udelenie akreditácie.

Úrad rozhoduje o udelení akreditácie do 90dní odo dňa začatia konania. Osvedčenie o udelení akreditácie je verejnou listinou.

Kontrola

Úrad vykonáva kontrolu spracúvania osobných údajov, kontroluje dodržiavanie kódexu správania, súlad spracúvania údajov s vydanými certifikátmi a vykonáva kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie. Kontrolu vykonáva pomocou kontrolného orgánu, ktorý tvoria zamestnanci úradu. Každý člen kontrolného orgánu vykonáva kontrolu na základe písomného poverenia vedúceho zamestnanca. Ak je vedúci zamestnanec členom kontrolného orgánu, členovia kontrolného orgánu vykonávajú kontrolu na základe písomného poverenia predsedu úradu. Člen kontrolného orgánu musí byť zamestnanec úradu, ktorý je bezúhonný, má príslušné odborné vzdelanie a prax v oblasti patriacej do dozornej činnosti úradu.

Písomné poverenie na vykonanie kontroly obsahuje:

  • identifikačné údaje úradu,
  • identifikačné údaje kontrolovanej osoby,
  • titul, meno a priezvisko člena kontrolného orgánu, ktorý má kontrolu vykonať,
  • odtlačok úradnej pečiatky a podpis. Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle.

Kontrola sa začína v deň, kedy je kontrolovanej osobe, ktorou môže byť prevádzkovateľ, sprostredkovateľ, ich zástupcovia, monitorujúci alebo certifikačný subjekt, doručené oznámenie o začatí kontroly. Kontrolný orgán vykoná kontrolu na základe plánu kontrol alebo na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov. Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.

Kontrolný orgán má pri výkone kontroly nasledovné oprávnenia:

  • vstupovať na pozemok a do priestorov kontrolovanej osoby, ak na to nie je potrebné povolenie podľa osobitného zákona,
  • mať prístup k prostriedkom a zariadeniam, ktoré môžu slúžiť alebo slúžia, alebo mali slúžiť na spracúvanie osobných údajov kontrolovanou osobou,
  • mať prístup k údajom v automatizovaných prostriedkoch spracúvania do úrovne správcu systému vrátane v rozsahu potrebnom na vykonanie kontroly,
  • overovať totožnosť fyzických osôb, ktoré v mene kontrolovanej osoby konajú alebo poskytujú kontrolnému orgánu súčinnosť,
  • vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla originál dokladov alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii v súlade s podmienkami ich nadobudnutia, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch mu umožnila odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
  • požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným skutočnostiam a s kontrolou súvisiacim skutočnostiam,
  • zdokumentovať dôkazy súvisiace s výkonom kontroly vyhotovovaním fotodokumentácie, audiozáznamu, videozáznamu alebo audiovizuálneho záznamu, a to aj bez súhlasu dotknutej osoby,
  • vyžadovať aj inú súčinnosť kontrolovanej osoby v rozsahu predmetu kontroly,
  • vyžadovať poskytnutie súčinnosti na mieste výkonu kontroly aj od inej než kontrolovanej osoby, najmä od sprostredkovateľa kontrolovanej osoby a jeho zamestnancov, alebo iných osôb, ak je dôvod predpokladať, že ich činnosť má vzťah k predmetu kontroly alebo ak je to potrebné na objasnenie skutočností súvisiacich s predmetom kontroly,
  • predvolať v určenom čase a na určené miesto kontrolovanú osobu a aj inú než kontrolovanú osobu s cieľom podať vysvetlenie k predmetu kontroly,
  • vykonávať spoločné operácie spolu s dozornými orgánmi iných členských štátov podľa osobitného predpisu.

Povinnosti kontrolovanej osoby:

  • strpieť výkon kontroly a vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
  • poskytnúť kontrolnému orgánu súčinnosť nevyhnutnú na riadny výkon kontroly, najmä pri dokumentovaní primeranej úrovne bezpečnosti s ohľadom na riziká, ktoré predstavuje spracúvanie osobných údajov v podmienkach prevádzkovateľa a sprostredkovateľa,
  • v čase výkonu kontroly zabezpečiť kontrolnému orgánu dostupný a bezpečný prístup k zariadeniam, prostriedkom a k informačným systémom,
  • poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami podľaa zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
  • dostaviť sa na predvolanie kontrolného orgánu s cieľom podať vysvetlenia k predmetu kontroly,
  • v určenej lehote poskytnúť kontrolnému orgánu originál alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch umožniť odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
  • poskytnúť kontrolnému orgánu úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam,
  • na požiadanie kontrolného orgánu sa dostaviť na prerokovanie protokolu.

Oprávnenia kontrolovanej osoby:

  • priebežne sa vyjadrovať ku skutočnostiam zisteným v priebehu kontroly,
  • oboznámiť sa s obsahom protokolu a podať písomné námietky po oboznámení sa s kontrolnými zisteniami v protokole,
  • vyžadovať od kontrolného orgánu preukázanie skutočností,
  • vyžadovať od prizvanej osoby preukázanie sa písomným poverením predsedu úradu
  • vyžadovať od kontrolného orgánu potvrdenie o odobratí originálu dokladov alebo kópie dokladov.

Výsledkom kontroly je protokol o kontrole alebo záznam o kontrole. Ak boli počas kontroly zistené nedostatky pri spracúvaní osobných údajov, kontrolný orgán vypracuje protokol, ktorý obsahuje identifikačné údaje úradu, identifikačné údaje kontrolovanej osoby, dátum začatia kontroly, predmet kontroly, preukázané kontrolné zistenia s ich odôvodnením, titul, meno a priezvisko člena kontrolného orgánu, ktorý kontrolu vykonal, dátum vypracovania protokolu, odtlačok úradnej pečiatky úradu a podpisy členov kontrolného orgánu. Ak protokol obsahuje prílohy preukazujúce kontrolné zistenia, tieto tvoria súčasť protokolu. Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami v protokole oprávnená podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu. Na neskôr podané námietky kontrolný orgán neprihliada.

Ak sú proti kontrolným zisteniam podané námietky alebo vyšli najavo nové skutočnosti týkajúce sa predmetu kontroly, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovanej osoby, je povinný to v dodatku zdôvodniť. Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 pracovných dní odo dňa doručenia námietok. Písomne vyzve kontrolovanú osobu na prerokovanie protokolu po doručení výsledku preskúmania námietok kontrolovanej osobe alebo po márnom uplynutí lehoty na podanie námietok kontrolovanou osobou. Kontrolný orgán vypracuje zápisnicu o prerokovaní protokolu, ktorá tvorí neoddeliteľnou súčasťou protokolu.

Ak sa kontrolou nezistí porušenie povinností, kontrolný orgán vypracuje záznam o kontrole. Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu, alebo dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam, ako aj dňom nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam a dňom doručenia záznamu o kontrole.

Konanie o ochrane osobných údajov

Cieľom konania o ochrane osobných údajov (ďalej aj ako „konanie“) je  zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo nedošlo k inému porušeniu ustanovení zákona alebo nariadenia v oblasti ochrany osobných údajov. V prípade zistenia nedostatkov, ak je to dôvodné a účelné, je potrebné uložiť opatrenia na nápravu, prípadne pokutu za porušenie. Takéto konanie nie je verejné a jeho účastníkom konania môže byť dotknutá osoba, prevádzkovateľ, sprostredkovateľ, certifikačný subjekt, a monitorujúci subjekt. Konania sa môže začať na návrh dotknutej osoby, ktorá o sebe tvrdí, že bola dotknutá na svojich právach alebo ho môže začať úrad z vlastnej moci, a to na základe určitého zistenia počas výkonu dozoru.

Ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom alebo nariadením na strane účastníka konania, rozhodnutím môže: 

  • uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia, a to za predpokladu, že je to dôvodné a účelné,
  • zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
  • odňať certifikát,
  • nariadiť certifikačnému subjektu odňatie certifikátu,
  • odňať osvedčenie o udelení akreditácie,
  • uložiť pokutu.

Uložená pokuta môže dosiahnuť až 10 tisíc eur a ak ide o podnik, tak môže byť uložená vo výške 2 % celkového svetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá z uvedených súm by bola vyššia. Pokuty ukladá v závislosti od okolností každého prípadu. Pri rozhodovaní o uložení uvedených a ďalších pokút ustanovených v zákone, zohľadňuje najmä nasledovné faktory:

  • povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
  • prípadné zavinenie porušenia ochrany osobných údajov,
  • opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
  • mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia,
  • do úvahy pritom berie aj predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa,
  • mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov,
  • kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka,
  • spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu,
  • splnenie opatrení prevádzkovateľom alebo sprostredkovateľom, ak boli skoršie v konaní o ochrane osobných údajov uložené také opatrenia,
  • dodržiavanie schválených kódexov správania podľaalebo vydaných certifikátov podľa,
  • priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných údajov.

Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými spracovateľskými operáciami alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto zákona alebo nariadenia, celková suma pokuty nesmie presiahnuť výšku ustanovenú za najzávažnejšie porušenie ochrany osobných údajov. Pokutu možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo. Poriadkovú pokutu podľa úrad uloží aj opakovane, ak povinnosť nebola splnená v určenej lehote. Poriadkovú pokutu podľa možno uložiť do 6 mesiacov odo dňa, keď k porušeniu povinnosti došlo.

Nová legislatíva ustanovuje množstvo rôznych povinností pre povinné subjekty a na druhej strane dáva mnohé práva oprávneným subjektom. V praxi platí, že neznalosť zákona neospravedlňuje a je to preto dôležité dôkladne sa vopred pripraviť na prichádzajúce zmeny, ktoré už čoskoro vstúpia do účinnosti. Cieľom novej právnej úpravy je najmä ochrana pre akýmkoľvek zneužívaním osobných údajov v podmienkach 21. storočia. Zo samotnej výšky trestov je zrejmé, že je táto oblasť predstavuje jedna z priorít súčasných zákonodarcov napriek krajinami Európskej únie.

277762230_10227855937332247_5827520268110490218_n.jpg

Ing. Lenka Falatová študovala manažment na ekonomickej univerzite. Následne pôsobila niekoľko rokov ako produktová manažérka vydavateľstva odbornej literatúry, kde sa venovala problematike živnostenského podnikania, daní, účtovníctva, ale aj školstva a odpadového hospodárstva. Následne pracovala na pozícii produktovej manažérky a projektovej manažérky. Venuje sa tiež problematike E-commerce, AI a automatizácii a procesnej analýze v podnikoch.

K téme

FOAF.sk firmy - Hosp. výsledky, súvahy, výkazy, DLHY, vlastníci - Zistite TU

Témy

GDPR - ochrana osobných údajovPrémiový obsah

Najčítanejšie za 24 hodín

Z kategórie Bezpečnostný manažment

Poradca podnikateľa a živnostníka

Prémiový obsah pre členov klubu Podnikam.sk

Zobraziť ďalšie články

Seriály na Podnikam.sk

Školenia, semináre, kurzy

BOZP - Bezpečnosť a ochrana zdravia pri práci
BOZP vo výrobe
Cash flow
Clo
Clo a logistika
Controlling
Dane a účtovníctvo
Doprava
Dotácie
DPH - Daň z pridanej hodnoty
DzP - Dane z príjmu
Enviro
Environmentalistika
Eurofondy
Finančné riadenie
IAS/IFRS
Industry 4.0
ISO
Komunikačné zručnosti
Koronavírus
Legislatíva a zákony
Legislatíva, zákony
Logistika
Manažérske zručnosti
Manažment
Marketing
Marketing a predaj
Marketingové zručnosti
Medzinárodné účtovné štandardy - IAS/IFRS, US GAAP
Medzinárodné účtovné štandardy (IAS/IFRS, US GAAP)
Medzinárodné zdaňovanie
Mzdy a odvody
Nehnuteľnosti
Osobný rozvoj
Ostatné dane
Personalistika
Počítačové zručnosti
Pohľadávky
Pracovné právo
Právo
Právo, Pracovné právo
Predaj
Riadenie
Riadenie firmy
Riadenie ľudských zdrojov
Samospráva
Školstvo
Školy
Smernice
Stavebníctvo
Účtovníctvo
Účtovníctvo a dane
Účtovníctvo verejnej správy
Verejná správa
Verejné obstarávanie-obstarávateľ
Verejné obstarávanie-uchádzač
Výroba
žiadny
Živnosť

marec

27mar9:30ChatGPT a Bard – využitie v biznise9:30 Udalosť usporiadaná: Verlag Dashöfer, s.r.o. Typ Udalosti:ŠkolenieOblasť školenia:Marketing

27mar9:30ChatGPT a Bard – využitie v biznise9:30 Udalosť usporiadaná: Verlag Dashöfer, s.r.o. Typ Udalosti:ŠkolenieOblasť školenia:Marketing

27mar9:30ChatGPT a Bard – využitie v biznise9:30 Udalosť usporiadaná: Verlag Dashöfer, s.r.o. Typ Udalosti:ŠkolenieOblasť školenia:Marketing

Zobraziť všetky školenia

Eshop Podnikam.sk

Prejsť do eshopu

Zoznam firiem B2B

Zobraziť všetky firmy
Copyright © iSicommerce s.r.o. Všetky práva vyhradené. Vyhradzujeme si právo udeľovať súhlas na rozmnožovanie, šírenie a na verejný prenos obsahu. Ochrana osobných údajov | Podmienky používania | Kontakt | GDPR - Nastavenie sukromia
X