Samospráva a nová právna úprava v oblasti

ochrany osobných údajov od 25.5.2018

 

Nariadenie EP ( GDPR General Data Protection Regulation) , ako aj zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, nadobúdajú účinnosť dňom 25.05.2018  zákon č. 122/2013 Z.z. a jeho dve vyhlášky, sa stanú neúčinnými.

V súlade s príslušným článkom Ústavy SR má každá fyzická osoba právo na ochranu osobných údajov zaručené, a to aj v prípade, ak osobné údaje  spracováva pri výkone svojej činnosti samospráva, t.j. mesto Rožňava ( prenesený výkon štátnej správy alebo výkon originálnych kompetencií).

Nariadenie GPDR stanovuje základné zásady spracúvania osobných údajov. GDPR vyžaduje, aby prevádzkovateľ a aj sprostredkovateľ vedeli kedykoľvek preukázať súlad spracúvania osobných údajov týmito zásadami, resp. s nariadením GDPR.

Medzi základné zásady spracúvania osobných údajov v zmysle nariadenia GDPR patria:
  • zákonnosť, spravodlivosť a transparentnosť
  • obmedzenie účelu spracovania
  • minimalizácia údajov
  • správnosť osobných údajov
  • minimalizácia uchovávania (likvidácia)
  • integrita a dôvernosť
  • zodpovednosť prevádzkovateľa

 

Zákonnosť, spravodlivosť a transparentnosť
Osobné údaje môže prevádzkovateľ spracúvať len v prípade, ak disponuje primeraným právnym základom, napríklad súhlasom alebo na základe osobitného právneho predpisu či na účel plnenia zmluvy. Na transparentné spracúvanie osobných údajov sa vyžaduje, aby dotknutá osoba bola informovaná o rozsahu a spôsoboch spracúvania jej údajov.
 
Obmedzenie účelu spracovania
Získavať osobné údaje dotknutých osôb je prípustné len na výslovne uvedené a legitímne účely a môžu byť ďalej spracúvané len na účel, na ktorý boli získané. Získané osobné údaje sa nesmú ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s účelom, na ktoré boli tieto osobné údaje získané (okrem výnimiek ustanovených v  samotnom nariadení GDPR, napr. v prípade kompatibilného účelu). Je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti.
 
Minimalizácia údajov (nevyhnutnosť)
Rozsah spracúvaných osobných údajov dotknutých osôb má byť primeraný (obmedzený) vzhľadom na účel, na ktorý sa spracúvajú. Tzn. na určený účel sa majú spracúvať len osobné údaje, ktoré sú na naplnenie daného účelu nevyhnutné.
 
Správnosť osobných údajov
Prevádzkovateľ má povinnosť zabezpečiť, aby sa osobné údaje dotknutých osôb, ktoré sú nesprávne z hľadiska účelu, na ktorý sa spracúvajú, bezodkladne vymazali alebo opravili.
 
Minimalizácia uchovávania osobných údajov (likvidácia)
Osobné údaje dotknutých osôb majú byť uchovávané vo forme, ktorá umožní identifikáciu dotknutých osôb, najviac do doby potrebnej na naplnenie účelov, na ktoré sú údaje spracúvané. Uchovávanie osobných údajov na dlhšiu dobu ako uvedenú vyššie je možné výlučne v prípadoch špecifikovaných v samotnom nariadení GDPR.
 
Integrita a dôvernosť (bezpečnosť)
Osobné údaje majú byť spracúvané výlučne takým spôsobom, aby sa zabezpečila primeraná bezpečnosť pri ich spracúvaní, ako aj pred ich nezákonným spracúvaním, náhodnou stratou, zničením alebo poškodením. Zabezpečenie ochrany osobných údajov má byť realizované prostredníctvom primeraných technických alebo organizačných opatrení.
 
Zodpovednosť
Prevádzkovateľ a rovnako aj sprostredkovateľ musia vedieť preukázať, že splnil požiadavky GDPR počas celej doby spracúvania osobných údajov.  
 
Cieľom GDPR je ochrana digitálneho práva všetkých občanov.
 
Definíciu, čo je osobný údaj, nájdeme aj v novom nariadení GDPR. Osobné údaje sú podľa Článku 4 odsek 1 nariadenia GDPR akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. Nariadenie GDPR dopĺňa definíciu osobných údajov podľa slovenského zákona č. 122/2013 Z. z. o ochrane osobných údajov, ktoré je už v súčasnosti zrušený. Osobným údajom je teda aj emailová adresa, dokonca podľa nového nariadenia GDPR osobné údaje sú aj cookies.
 
Vo všeobecnosti môžeme povedať, že prevádzkovateľ musí mať k spracúvaniu osobných údajov písomný súhlas so spracovaním osobných údajov alebo iný legitímny základ, ktorý je stanovený v právnych predpisoch.
 
Nariadenie GDPR nám poskytuje definíciu súhlasu a taktiež jeho náležitosti. Podľa Nariadenia GDPR, súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením. Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť by sa preto nemali pokladať za súhlas. Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely.
 
Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely. Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje. Písomné tlačivo o súhlase teda musí mať svoje náležitosti. Okrem iného aj výslovný súhlas so spracovaním vašich osobných údajov. Podľa Článku 4 odsek 11 nariadenia GDPR, súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka. Samozrejme tam musí byť aj odvolanie súhlasu so spracovaním osobných údajov t.j. spôsob a forma. Ak by teda bolo spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas s takýmto spracúvaním. Hlavne v kontexte písomného vyhlásenia by záväzky mali zabezpečovať, že dotknutá osoba si je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje.
 
Mesto Rožňava má:
  • určenú zodpovednú osobu, ktorou je obchodná spoločnosť SOMI Systems a.s., Lazovová 69, 974 01 Banská Bystrica, Ing. Ján Fraňo, mail: zodpovednaosoba@roznava.sk
  • príslušnú internú dokumentáciu podľa novej právnej úpravy
     

 

 

Prehlásenie o spracovaní osobných údajov

Spoločnosť mesto Rožňava (ďalej „Prevádzkovateľ“) zhromažďuje,  spracováva  a  používa  osobné  údaje  v súlade s  Nariadením Európskeho parlamentu a rady (EÚ) 2016/679 z 27.04.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov a so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a robí všetko potrebné tak, aby zabezpečila súlad s týmito právnymi predpismi.

Prevádzkovateľ bude spracúvať osobné údaje len na ten účel, na ktorý boli získané. Prevádzkovateľ vyhlasuje, že bude spracúvať osobné údaje len v súlade s dobrými mravmi a bude konať spôsobom, ktorý neodporuje zákonu o ochrane osobných údajov, ani iným všeobecne záväzným právnym predpisom a ani nebude tieto predpisy obchádzať. Prevádzkovateľ po splnení účelu spracúvania osobných údajov, bez zbytočného odkladu zabezpečí likvidáciu osobných údajov pokiaľ to osobitný zákon nevyžaduje inak.

Prevádzkovateľ zabezpečí primeranú úroveň ochrany osobných údajov, tiež chráni spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania a za týmto účelom prijal a prijíma primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov.

Prevádzkovateľ bude spracúvať osobné údaje v súlade s právami dotknutej osoby. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o:

  • účele spracúvania osobných údajov,
  • kategórii spracúvaných osobných údajov,
  • identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
  • dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
  • práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
  • práve podať návrh na začatie konania podľa,
  • zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
  • existencii automatizovaného individuálneho rozhodovania vrátane profilovania.

 

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
 
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkaj, ak:
  • osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
  • dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
  • dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov
  • osobné údaje sa spracúvajú nezákonne.

 

Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak:

  • dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
  • spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
  • prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale
  • potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
  • dotknutá osoba namieta spracúvanie osobných údajov.

 

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné. Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
 
Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vykonávané v rámci oprávneného záujmu prevádzkovateľa, vrátane profilovania založeného na týchto ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku.
 
Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie spracúvať.
 
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú pokiaľ sa to netýka osobných údajov  nevyhnutných na uzavretie zmluvy alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom.
 

Dotknutá osoba má právo podať podnet na šetrenie v zmysle §100 zákona č.: 18/2018 Z.z. o ochrane osobných údajov pokiaľ má podozrenie, že s jej osobnými údajmi je nakladané nezákonným spôsobom alebo ak spracovaním jej osobných údajov alebo porušením bezpečnosti spracovania došlo k porušeniu jej práv.

Prevádzkovateľ alebo sprostredkovateľ môže za podmienok ustanovených osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, obmedziť rozsah povinností a práv ak je také obmedzenie ustanovené s cieľom zaistiť:

  • bezpečnosť Slovenskej republiky,
  • obranu Slovenskej republiky,
  • verejný poriadok,
  • plnenie úloh na účely trestného konania,
  • iné dôležité ciele všeobecného verejného záujmu Európskej únie alebo Slovenskej republiky, najmä predmet dôležitého hospodárskeho záujmu alebo dôležitého finančného záujmu Európskej únie alebo Slovenskej republiky vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia alebo sociálneho zabezpečenia,
  • ochranu nezávislosti súdnictva a súdnych konaní,
  • predchádzanie porušeniu etiky v regulovaných povolaniach alebo regulovaných odborných činnostiach,
  • monitorovaciu funkciu, kontrolnú funkciu alebo regulačnú funkciu spojenú s výkonom verejnej moci,
  • ochranu práv dotknutej osoby alebo iných osôb,
  • uplatnenie právneho nároku,
  • hospodársku mobilizáciu.

 

Dotknutá osoba má právo obhajovať svoje práva prostredníctvom zodpovednej osoby alebo podaním podnetu na šetrenie, sťažnosti, dozornému orgánu, na Slovensku Úradu na ochranu osobných údajov v zmysle §100 zákona č.: 18/2018 Z. z.

 

Kontaktné údaje na zodpovednú osobu: RNDr. Daniel Schikor  zodpovednaosoba@somi.sk

 


© Mesto Rožňava, 2018, JUDr. Judita Jakobejová - Odbor všeobecnej  a vnútornej správy, Mestský úrad Rožňava
Publikované: 24.05.2018 11:16 hod.