- Podnikam.sk
- Články
- Manažment
- Bezpečnostný manažment
- GDPR: Ochrana osobných údajov v roku 2018 – Základné pojmy
GDPR: Ochrana osobných údajov v roku 2018 – Základné pojmy
Ochrana osobných údajov je od 25. 5. 2018, odkedy je v praxi účinné nariadenie GDPR, ako aj nový zákon o ochrane osobných údajov, prísnejšia. Čo znamenajú pojmy z GDPR, ktoré na vás vyskakujú zo všetkých emialov? Prinášame vám prehľad pojmov zo zákona o ochrane osobných údajov a nariadenia GDPR, ktoré by mal každý podnikateľ a nielen on poznať.
Pojem osobné údaje v GDPR
Zákon ustanovuje, že osobnými údajmi sú všetky údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, ktorým je rodné číslo alebo iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, iný online identifikátor, alebo je osoba, ktorú možno identifikovať na základe jednej alebo viacerých charakteristík či znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
Za osobný údaj je považovaná akákoľvek informácia, na základe ktorej dokážeme bezpečne identifikovať určitú osobu. Z vyššie uvedeného je zrejmé, že osobnými údajmi tak sú nielen titul, meno, priezvisko, adresa, dátum narodenia alebo emailová adresa, ale aj akékoľvek iné informácie o konkrétnej osobe, jej osobných vlastnostiach, pomeroch alebo o iných špecifických znakoch, ktoré charakterizujú alebo odhaľujú fyzickú, fyziologickú, psychickú, ekonomickú, kultúrnu alebo sociálnu identitu konkrétnej fyzickej osoby. Osobné údaje sa môžu vyskytovať v akejkoľvek forme, a to v grafickej, fotografickej, zvukovej alebo papierovej podobe, ako aj v pamäti počítača. Zákon poskytuje ochranu pri spracúvaní osobných údajov fyzických osôb a upravuje aj ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov.
Osobitné kategórie osobných údajov v GDPR
Zákon ustanovuje aj tzv. osobitné kategórie osobných údajov, kam patria niektoré osobné údaje, ktoré možno považovať za citlivejšie. Táto kategória osobných údajov je spôsobilá zasiahnuť do súkromia dotknutej osoby a privodiť jej ujmu v značnejšom rozsahu. Z toho dôvodu zákon kladie prísnejšie kritériá na spracúvanie týchto osobných údajov a ich spracúvanie povoľuje len v určitých prípadoch a za splnenia zákonom ustanovených podmienok.
Do osobitnej kategórie osobných údajov podľa GDPR spadajú údaje, ktoré odhaľujú:
- rasový alebo etnický pôvod,
- politické názory,
- náboženskú vieru,
- filozofické presvedčenie,
- členstvo v odborových organizáciách,
- genetické údaje,
- biometrické údaje,
- údaje týkajúce sa zdravia, sexuálneho života a sexuálnej orientácie fyzickej osoby.
Výnimky z uvedeného pravidla predstavujú nasledovné situácie:
- dotknutá osoba dala na ich spracúvanie výslovný súhlas aspoň na jeden konkrétny účel,
- spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia,
- spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas,
- spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
- spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
- spracúvanie je nevyhnutné na uplatnenie právneho nároku,alebo pri výkone súdnej právomoci,
- spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,
- spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky,
- spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti,poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
Súhlas dotknutej osoby
Súhlasom dotknutej osoby sa rozumie akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.
Spracúvanie osobných údajov
Spracúvaním osobných údajov sa rozumie akákoľvek spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä však nasledovné:
- získavanie, zaznamenávanie,
- usporadúvanie, štruktúrovanie,
- uchovávanie,
- zmena, vyhľadávanie, prehliadanie, využívanie,
- poskytovanie prenosom, šírením alebo iným spôsobom,
- preskupovanie alebo kombinovanie,
- obmedzenie a vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými alebo neautomatizovanými prostriedkami.
Profilovanie
Profilovaním sa rozumie akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, a to najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
Pseudonymizácia
Pseudonymizáciou sa rozumie spracúvanie osobných údajov takým spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe.
Online identifikátor
Online identifikátor je identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu.
Informačný systém
Informačným systémom sa rozumie akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, a to bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.
Porušenie ochrany osobných údajov
Porušením ochrany osobných údajov je akékoľvek porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k poskytnutiu neoprávneného prístupu k takým údajom.
Kódex správania
Kódexom správania sa rozumie súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý sa prevádzkovateľ alebo sprostredkovateľ zaviazal dodržiavať.
Kto je kto pri spracúvaní osobných údajov podľa GDPR
Dotknutou osobou
je každá fyzická osoba, ktorej sa osobné údaje týkajú. Osobné údaje dotknutej osoby spracúva prevádzkovateľ vo svojom informačnom systéme.
Prevádzkovateľom
je každý (fyzická osoba, právnická osoba, orgán štátnej správy alebo územnej samosprávy), kto spĺňa nasledovné podmienky:
- sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, t.j. vopred určí zámer, ktorý sa viaže na určitú činnosť a výsledok, ktorý chce spracúvaním dosiahnuť,
- sám alebo spoločne s inými určí podmienky spracúvania osobných údajov, t.j. akým spôsobom sa budú osobné údaje spracúvať,
- spracúva osobné údaje fyzickej osoby a vo vlastnom mene,
- spracúvanie osobných údajov vykonáva pravidelne a opakovane.
Prevádzkovateľom nie je ten, kto spracúva osobné údaje pre vlastnú potrebu v rámci osobných alebo domácich činností (napríklad vedenie adresára, fotoalbumu) ani ten, kto získal osobné údaje bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v informačnom systéme a tieto údaje nebude ďalej systematicky spracúvať.
Sprostredkovateľ
je osoba, ktorá spracúva údaje v mene prevádzkovateľa. Sprostredkovateľom je každý, kto spracúva údaje v mene prevádzkovateľa. Podobne ako prevádzkovateľ, aj sprostredkovateľ je každá osoba (fyzická osoba, právnická osoba, orgán štátnej správy alebo územnej samosprávy), ktorá spracúva osobné údaje, avšak nie vo vlastnom mene. Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa na základe, v rozsahu a za podmienok určených v písomnej zmluve uzatvorenej s prevádzkovateľom. Sprostredkovateľ si neurčuje účel a podmienky spracúvania osobných údajov, ale osobné údaje spracúva za účelom a podmienok vopred určených prevádzkovateľom.
Príjemca
je príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou. Za príjemcu sa však nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov. Príjemcom je tak každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana. Príjemcom môže byť orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická alebo fyzická osoba, ktorej sú osobné údaje ďalej poskytnuté (môže ich ďalej spracúvať ako napr. Sociálna poisťovňa, daňový úrad) alebo sprístupnené (umožnený prístup k osobným údajom ako napr. nahliadnutie účastníka konania do súdneho spisu, ktorý ich ďalej nebude spracúvať). Príjemcom nemôže byť Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „Úrad“) ani prevádzkovateľ, ktorý spracúva osobné údaje za účelom výkonu kontroly dohľadu alebo dozoru podľa osobitného zákona (napr. Slovenská obchodná inšpekcia, inšpektorát práce). O príjemcu pôjde napr. aj v prípade služby na opravu pokazeného kamerového zariadenia, hostingových služieb alebo IT servisu.
Tretia strana
je každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje. Treťou stranou je každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou. Tretia strana však tiež spracúva osobné údaje vo vlastnom mene rovnako ako prevádzkovateľ. Treťou stranou tak môže byť orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo právnická osoba alebo fyzická osoba, ktorej prevádzkovateľ poskytuje osobné údaje, a ktorá tieto osobné údaje ďalej spracúva ako prevádzkovateľ vo svojom vlastnom informačnom systéme.
Zodpovedná osoba
je osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona,
Zástupca
je fyzická osoba alebo právnická osoba so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ alebo sprostredkovateľ písomne poveril.
Podnikom
je fyzická osoba – podnikateľ alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane združení fyzických osôb alebo združení právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť. Skupinou podnikov je ovládajúci podnik a ním ovládané podniky.
Medzinárodnou organizáciou
je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody. Členským štátom je štát, ktorý je členským štátom Európskej únie (EÚ) alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore. Treťou krajinou je krajina, ktorá nie je členským štátom.
Ing. Lenka Falatová študovala manažment na ekonomickej univerzite. Následne pôsobila niekoľko rokov ako produktová manažérka vydavateľstva odbornej literatúry, kde sa venovala problematike živnostenského podnikania, daní, účtovníctva, ale aj školstva a odpadového hospodárstva. Následne pracovala na pozícii produktovej manažérky a projektovej manažérky. Venuje sa tiež problematike E-commerce, AI a automatizácii a procesnej analýze v podnikoch.