Dňa 25. mája 2018 nadobudol účinnosť zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý vznikol s cieľom zosúladenia vnútroštátneho práva s Nariadením Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, známeho ako General Data Protection Regulation (GDPR). Toto nariadenie a zákon o ochrane osobných údajov nadobudli účinnosť k rovnakému dňu.
Zásady spracúvania osobných údajov
Prevádzkovateľ by mal s ohľadom na spracovateľské činnosti, pokiaľ je to primerané, zaviesť internú smernicu, ktorá by sa v jeho podmienkach vzťahovala na zabezpečenie a ochranu osobných údajov. Každý prevádzkovateľ je však iný, preto sa rozsah a zameranie interných smerníc môže diametrálne líšiť. V smernici môže upraviť všetko, čo považuje za potrebné a primerané k ochrane osobných údajov v jeho podmienkach, pričom sa pohybuje v medziach zákona.
Súhlas so spracovaním osobných údajov je v súčasnosti najvyužívanejším spôsobom na získavanie a spracúvanie osobných údajov. V prípade, že prevádzkovateľ od dotknutej osoby získava osobné údaje, má voči nej tzv. informačnú povinnosť. Táto povinnosť zahŕňa poskytnutie informácií o účele spracovania osobných údajov, na ktorý sú jej osobné údaje určené, a to aj v prípade, keď sa osobné údaje nezískavajú priamo od dotknutej osoby. Je potrebné, aby tieto informácie boli dotknutej osobe poskytnuté najneskôr pri získavaní jej osobných údajov, respektíve v dostatočnom časovom predstihu, jasne a zrozumiteľne a takým spôsobom, aby sa s týmito informáciami mohla skutočne oboznámiť a porozumela im.
Jednou zo zásad spracúvania osobných údajov je zásada obmedzenia účelu. Spracúvanie osobných údajov má byť úzko naviazané na účel spracúvania osobných údajov, a to najmä pokiaľ ide o zoznam alebo rozsah spracúvaných osobných údajov, ktorý by mal byť nevyhnutný na to, aby sa spracúvaním daných osobných údajov účel mohol dosiahnuť. Nie je správne, aby sa zoznam alebo rozsah osobných údajov umelo alebo dodatočne rozširoval vzhľadom na účel.
Minimalizácia a uchovávanie osobných údajov
Z dôvodu dodržiavania zásady minimalizácie sú všetky poskytnuté osobné údaje nevyhnutnou zákonnou alebo zmluvnou požiadavkou pre naplnenie účelu ich spracúvania. Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlúčiteľný s týmto účelom. Ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel je možné, ak je v súlade s osobitným predpisom a ak sú dodržané primerané záruky ochrany práv dotknutej osoby. Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú. Osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu, a ak sú dodržané primerané záruky ochrany práv dotknutej osoby.
Zodpovedná osoba a sprostredkovateľ
Zodpovedná osoba je osobou, ktorú za určitých špecifických situácií musí prevádzkovateľ alebo sprostredkovateľ poveriť s cieľom plnenia úloh podľa čl. 38 GDPR. Určenie, postavenie a úlohy zodpovednej osoby sú prioritne upravené v čl. 37 a nasl. GDPR a v § 44 až § 46 zákona č. 18/2018 Z. z. Prevádzkovateľ môže poveriť spracúvaním aj inú osobu, ktorú nazývame „sprostredkovateľ“.
Spracúvanie osobných údajov v domovoch dôchodcov
Zariadenia sociálnych služieb, ako sú domovy dôchodcov, spracúvajú osobné údaje na rôzne účely. Väčšinou je spracúvanie osobných údajov nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Právny základ pre spracúvanie osobných údajov podľa písmena c) a e) musí byť stanovený zákonom, osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná. Osobitný zákon musí ustanovovať účel spracovania osobných údajov, kategóriu dotknutých osôb a zoznam alebo rozsah spracúvaných osobných údajov.
Účely spracúvania osobných údajov v domovoch dôchodcov
Pre ilustráciu sú uvedené niektoré účely spracúvania osobných údajov v domovoch dôchodcov, spoločne s okruhom dotknutých osôb, zoznamom osobných údajov a právnym základom spracúvania:
| Účel spracúvania | Okruh dotknutých osôb | Zoznam osobných údajov | Právny základ | Lehoty na vymazanie |
|---|---|---|---|---|
| Evidencia ubytovaných v zariadení poskytujúce sociálne služby (prijímatelia) | Prijímateľ sociálnej služby, zákonný zástupca prijímateľa | Meno, priezvisko, titul, adresa, dátum narodenia, zdravotná poisťovňa, adresa príbuzných, výška dôchodku, národnosť, číslo OP a ZŤP preukazu, telefónne číslo | Zákon č. 448/2008 Z. z. o sociálnych službách a ďalšie súvisiace zákony | Osobné spisy prijímateľov: 45 rokov |
| Evidencia žiadateľov v zariadení poskytujúce sociálne služby | Žiadatelia o uzatvorenie zmluvy o sociálnej službe a ich zástupcovia, dieťa žiadateľa | Meno, priezvisko, titul, adresa, dátum narodenia, zdravotná poisťovňa, adresa príbuzných, výška dôchodku, národnosť, číslo OP a ZŤP preukazu, telefónne číslo | Zákon č. 448/2008 Z. z. o sociálnych službách | Osobné spisy žiadateľov: 45 rokov |
| Evidencia došlej a odoslanej pošty a správa registratúry | Fyzické osoby - adresáti, zamestnanci | Osobné údaje nachádzajúce sa v registratúrnych záznamoch: meno, priezvisko, titul, trvalý pobyt, dátum narodenia, číslo OP | Zákon č. 395/2002 Z.z. o archívoch a registratúrach | Registratúrny denník: 10 rokov |
| Sťažnosti a priania | Fyzické osoby - sťažovateľ, zástupca sťažovateľa, iné fyzické osoby súvisiace so sťažnosťou | Meno, priezvisko a adresa trvalého/prechodného pobytu sťažovateľa, adresa na doručovanie v elektronickej forme, telefónne číslo, ďalšie údaje zistené počas vybavovania sťažnosti | Zákon č. 9/2010 Z.z. o sťažnostiach | Neurčené (pravdepodobne súvisí s lehotami pre registratúru) |
| Fotografie (prezentácia) | Fyzické osoby - zamestnanci, klienti zariadenia a účastníci akcií | Meno, priezvisko, fotografia | Súhlas dotknutej osoby | Po dobu trvania súhlasu |
| Kniha návštev | Fyzické osoby - návšteva | Meno, priezvisko, číslo OP/služobného preukazu, čas príchodu a odchodu | čl. 6 ods. 1 písm. f) Nariadenia (oprávnený záujem) | Neurčené (oprávnený záujem: ochrana majetku, osôb) |
| Kamerový informačný systém | Osoby nachádzajúce sa v monitorovanom priestore | Záznam z kamier | čl. 6 ods. 1 písm. f) Nariadenia (oprávnený záujem) | Neurčené (oprávnený záujem: ochrana verejného poriadku a bezpečnosti, odhaľovanie kriminality, ochrana zdravia a majetku) |
Kategórie príjemcov
Kategórie príjemcov osobných údajov zahŕňajú inštitúcie ako Sociálna poisťovňa, zdravotné poisťovne, daňový úrad a subjekty, ktorým osobitný predpis zveruje právomoc rozhodovať o právach a povinnostiach fyzických osôb (napríklad súdy, orgány činné v trestnom konaní). Prenos osobných údajov do tretích krajín sa v uvedených prípadoch nerealizuje.
Práva dotknutých osôb podľa GDPR
Dotknuté osoby, o ktorých sú spracúvané osobné údaje pre konkrétne vymedzené účely, si môžu uplatniť nasledovné práva:
- Právo požadovať prístup k svojim osobným údajom. Na základe žiadosti dotknutej osoby vystaví prevádzkovateľ potvrdenie o tom, či sa spracúvajú osobné údaje dotknutej osoby, ktoré sa jej týkajú. Pokiaľ prevádzkovateľ tieto osobné údaje spracúva, vystaví na základe žiadosti dotknutej osoby kópiu týchto osobných údajov.
- Právo na opravu osobných údajov. Zároveň má dotknutá osoba právo na doplnenie neúplných osobných údajov. Prevádzkovateľ vykoná opravu, prípadne doplnenie osobných údajov bez zbytočného odkladu po tom, čo ho dotknutá osoba požiada.
- Právo na vymazanie osobných údajov (právo na zabudnutie), za predpokladu splnenia určitých podmienok, napríklad, že osobné údaje už nie sú potrebné na účely, na ktoré sa získavali, alebo dotknutá osoba odvolá súhlas. Dotknutá osoba nebude mať právo na výmaz osobných údajov za predpokladu, že je ich spracúvanie potrebné na uplatnenie práva na slobodu prejavu a na informácie, na splnenie povinnosti podľa zákona, alebo z dôvodov verejného záujmu.
- Právo na obmedzenie spracúvania osobných údajov, pokiaľ dotknutá osoba napadne správnosť osobných údajov, spracúvanie je protizákonné a dotknutá osoba žiada namiesto výmazu obmedzenie ich použitia, alebo prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov.
- Právo namietať proti spracúvaniu osobných údajov z dôvodov týkajúcich sa jej konkrétnej situácie, napríklad pri spracúvaní na účely priameho marketingu. Pokiaľ dotknutá osoba namietne spracúvanie osobných údajov na účely priameho marketingu, jej osobné údaje prevádzkovateľ nemôže ďalej spracúvať.
- Právo na prenos svojich osobných údajov, čo znamená získanie osobných údajov, ktoré poskytla prevádzkovateľovi, pričom má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi v bežne používateľnom a strojovo čitateľnom formáte za predpokladu, že osobné údaje boli získané na základe súhlasu dotknutej osoby alebo na základe zmluvy a ich spracovanie prebieha formou automatizovaných prostriedkov.
- Právo na neúčinnosť automatizovaného individuálneho rozhodovania vrátane profilovania, ak prevádzkovateľ spracúva osobné údaje profilovaním, ani obdobným spôsobom založenom na automatizovanom individuálnom rozhodovaní.
- Právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, pokiaľ bolo spracúvanie osobných údajov založené na tomto právnom základe. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.
- Právo podať sťažnosť dozornému orgánu, t.j. Úradu na ochranu osobných údajov SR, so sídlom Hraničná 12, 820 07 Bratislava 27, dataprotection.gov.sk.
Uvedené práva dotknutej osoby sú bližšie špecifikované v článkoch 15 až 21 Nariadenia. Dotknutá osoba si uvedené práva uplatňuje v súlade s Nariadením a ďalšími príslušnými právnymi predpismi. Voči prevádzkovateľovi si dotknutá osoba môže svoje práva uplatniť prostredníctvom písomnej žiadosti alebo elektronickými prostriedkami. V prípade, že dotknutá osoba požiada o ústne poskytnutie informácií, informácie sa môžu takto poskytnúť za predpokladu, že dotknutá osoba preukázala svoju totožnosť.
Zabezpečenie osobných údajov
Prevádzkovatelia, ako napríklad Seniorvital, n. o. alebo Centrum sociálnych služieb Víta vitalis, prijali všetky primerané personálne, organizačné a technické opatrenia za účelom maximálnej ochrany osobných údajov s cieľom v čo najväčšej miere znížiť riziko ich zneužitia. V zmysle povinnosti vyplývajúcej z článku 34 Nariadenia prevádzkovatelia oznamujú, že ak nastane situácia, že porušia ochranu Vašich osobných údajov spôsobom, ktorý pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, bez zbytočného odkladu túto skutočnosť oznámia.
Právne predpisy a s nimi súvisiace spôsoby spracovávania osobných údajov sa môžu meniť. Ak sa tieto zásady rozhodnú aktualizovať, umiestnia zmeny na svojej webstránke a budú o týchto zmenách informovať. V prípadoch, kedy má dôjsť k zásadnejšej zmene týchto zásad, alebo v prípade, kedy to uloží zákon, budú informovať vopred. Odporúča sa starostlivo si tieto zásady prečítať a pri ďalšej komunikácii, respektíve používaní webstránky, tieto zásady pravidelne kontrolovať.
V prípade akýchkoľvek otázok ohľadne spracúvania osobných údajov, vrátane uplatnenia vyššie uvedených práv, sa možno obrátiť na zodpovednú osobu prevádzkovateľa, ktorá je často poskytovaná externou konzultačnou spoločnosťou, ako je napríklad EuroTRADING s.r.o. alebo MOIRA - AISA, spol. s r.o.