Ochrana osobných údajov a digitálneho súkromia

Spracovanie osobných údajov

Spracovanie osobných údajov

Spracovanie osobných údajov je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov

Príklady: získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami

V podstate akékoľvek „narábanie“ s osobnými údajmi

Práva dotknutých osôb

Dotknutá osoba = fyzická osoba, o ktorej sa spracúvajú osobné údaje.

Právo na prístup k osobným údajom

Dotknuté osoby majú právo požadovať informácie o tom, aké osobné údaje sa o nich spracúvajú a na aké účely. Toto právo umožňuje transparentnosť procesu spracúvania údajov.

Ak dotknutá osoba zistí, že jej osobné údaje sú nepresné alebo neaktuálne, má právo požiadať o ich opravu. To zabezpečuje, aby údaje používané o nej boli správne.

Dotknuté osoby môžu namietať voči spracúvaniu svojich osobných údajov na základe konkrétnych dôvodov. Toto právo im dáva kontrolu nad tým, ako sa ich údaje používajú.

Dotknuté osoby majú právo požiadať o vymazanie svojich osobných údajov, najmä ak už nie sú nevyhnutné na účely, na ktoré boli pôvodne zhromaždené.

Dotknuté osoby môžu požiadať o obmedzenie spracúvania svojich osobných údajov v určitých prípadoch, napríklad ak sú osobné údaje sporné alebo spracúvajúce subjekty už nepotrebujú tieto údaje na určité účely.

Dotknuté osoby majú právo na to, aby ich osobné údaje boli presné a aktualizované. To znamená, že spracúvajúce subjekty musia mať k dispozícii mechanizmy na zabezpečenie presnosti údajov.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Dotknuté osoby majú právo, aby neboli podrobené rozhodnutiam založeným výlučne na automatizovanom spracúvaní osobných údajov, ak to nemá na nejaký právny alebo iný podstatný vplyv. To zabezpečuje, že ľudský faktor sa zachová pri dôležitých rozhodnutiach týkajúcich sa dotknutej osoby.

Je dôležité, aby organizácie, ktoré spracúvajú osobné údaje, rešpektovali tieto práva a zabezpečili, že dotknuté osoby môžu uplatniť svoje práva v súlade s platnými právnymi predpismi.

Príklady porušenia práv dotknutých osôb

Príklad 1: Prevádzkovateľ informačného systému OÚ nevyhovel žiadosti navrhovateľa ako dotknutej osoby vo veci uplatnenia si práva na prístup k jeho OÚ v lehote 1 mesiaca od jej doručenia (obchodná spoločnosť, 10.000€)
Príklad 2: Nevybavenie žiadosti dotknutej osoby v lehote 1 mesiaca od doručenia žiadosti (poskytnutie informácie o tom, či spoločnosť disponuje fotokópiou občianskeho preukazu) (obchodná spoločnosť, 1.000€)
Príklad 3: Nevybavenie žiadosti dotknutej osoby v lehote 1 mesiaca od jej doručenia (štátny orgán, 700€). Povinnosť v lehote 10 dní od právoplatnosti rozhodnutia priebežne sledovať pracovné emaily vrátane spamov, aby včas zaznamenal uplatnenie práva dotknutých osôb a vybavoval ich bezodkladne, najneskôr do 1 mesiaca od doručenia žiadosti dotknutej osoby

Prevádzkovateľ vs. Sprostredkovateľ

Tieto dva termíny definujú rôzne úlohy a zodpovednosti v procese spracúvania osobných údajov.

Prevádzkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.
Sprostredkovateľ: Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.

Príklad 1: Vydávanie certifikátov

  • UPJŠ – sprostredkovateľ
  • Disig – prevádzkovateľ


Príklad 2: Poskytovanie cloudových služieb (emaily, úložisko)

  • UPJŠ – prevádzkovateľ
  • Microsoft – sprostredkovateľ

Zásady spracúvania osobných údajov

Zásada zákonnosti, spravodlivosti a transparentnosti

Podľa d. 5 ods. 1 pism. a) GDPR/ 56 Zákona o ochrane osobných údajov
Osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe.

Podľa čl. 5 ods. 1 pism. b) GDPR / 57 Zákona o ochrane osobných údajov
Osobne údaje sú získavané na konkrétne určené výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.

Podľa d. 5 ods. 1 pism. c) GDPR/ 58 Zákona o ochrane osobných údajov
Osobné údaje musia byt spracúvané primerané relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

Podľa d. 5 ods. 1 pism. d) GDPR / 59 Zákona o ochrane osobných údajov
Osobne údaje musia byt spracúvane správne a podľa potreby aktualizovane musia sa prijať všetky potrebne opatrenia, aby sa zabezpečilo, že sa osobne údaje, ktoré sú nesprávne z hadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia.

Podľa č1. 5 ods. 1 pism, e) GDPR / 510 Zákona o ochrane osobných údajov
Osobné údaje musia byt uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobne údaje spracúvajú.

Podľa čl. 5 ods. 1 pism. f) GDPR / $11 Zákona o ochrane osobných údajov
Osobne údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení

Podľa d.2 GDPR/S12 Zákon o ochrane osobných údajov:
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov za súlad spracúvania osobných údajov, so zásadami spracúvania osobných údajov.
Je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

Transparentnosť

Ide o transparentnosť vo vzťahu k fyzickým osobám ohľadne toho, ako sa získavajú, používajú a spracúvajú ich osobné údaje, vrátane vymedzenia rozsahu spracovania. Všetky informácie týkajúce sa spracúvania osobných údajov musia byť ľahko prístupné, ľahko pochopiteľné a  jasne a jednoducho formulované.
Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní. Osobitný dôraz kladený na vymedzenie účelu spracovania osobných údajov.

Definovanie účelov (výber):

  1. Študijné účely (zabezpečovanie a poskytovanie štúdia)

2. Vydávanie študijných preukazov

3. Zabezpečenie stravovania a ubytovania

5. Plnenie povinností a úloh verejnej vysokej školy

6. Knižnično-informačné účely (univerzitná knižnica)

8. Personálne a mzdové účely

12. Ochrana majetku, bezpečnosti a zdravia

15. Zvyšovanie povedomia o vysokej škole (marketingové účely)

19. Zabezpečenie informačnej a kybernetickej  bezpečnosti   

20. Správa digitálnych identít používateľov elektronických (sieťových a informačných ) služieb univerzity    

26. Elektronická komunikácia s orgánmi verejnej moci (e-Government)

Príklady porušenia transparentnosti

Príklad 1: Záznam z kamerového systému inštalovaného v múzeu obsahujúci OÚ navrhovateľky (podobizeň a informáciu o jej pohybe v danom čase a priestore) nevyužil výlučne za deklarovaným účelom, ale aj za účelom plnenia kontroly pracovných povinností navrhovateľky (múzeum, 700€).
Príklad 2: Neposkytoval dotknutým osobám (účastníkom) informácie, ktoré je povinný poskytovať pri získavaní ich OÚ dostatočne transparentným (stručným, jasným, zrozumiteľným) spôsobom, nakoľko v nich neuviedol informácie o účele, právnom základe spracúvania a primeraných zárukách v súvislosti s prípadným prenosom ich OÚ do tretej krajiny, čím voči dotknutým osobám postupoval netransparentne (ISP, 3.000€).
Príklad 3: Prevádzkovateľ na svojom webovom sídle vo Všeobecných obchodných podmienkach v rámci plnenia informačnej povinnosti uvádzal odkazy na neúčinný zákon č. 122/2013 Z. z. a na tento neúčinný zákon odkazoval aj v tzv. „súhlase so spracovaním OÚ“ adresovanom dotknutej osobe (obchodná spoločnosť, 500€.

Minimalizácia údajov

Osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.
Príklad 1: V prípade kamier je monitorovaný aj priestor nad rámec nevyhnutný na dosiahnutie účelu monitorovania (okolité rodinné domy a záhrady) – (obec, 700€).
Príklad 2: Pri telefonickom rozhovore realizovanom z telefónneho  čísla – prevádzkovateľ na účel vybavenia žiadosti o overenie dostupnosti služieb na adrese trvalého bydliska vyžadoval od potenciálneho klienta (navrhovateľa) jeho rodné číslo, ktorého získanie nebolo nevyhnutné na dosiahnutie daného účelu spracúvania  (obchodná spoločnosť, 1.200€).

Minimalizácia uchovávania

S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie.

Príklad 1: prevádzkovateľom stanovaná 14 dňová lehota uchovávania OÚ nebola nevyhnutá na dosiahnutie sledovaného účelu ochrany majetku, osôb a odhaľovanie kriminálnej činnosti (obchodná spoločnosť, 700€).
Príklad 2: uchovával záznamy z kamerového systému nad časový rozsah nevyhnutný pre splnenie účelu spracúvania (podľa kapacity úložiska 6-8 dní) – (obec, 700€).
Príklad 3: prevádzkovateľ Úradu nepreukázal nevyhnutnosť spracúvania pracovného emailu navrhovateľa pod dobu 10 mesiacov od skončenia pracovného pomeru s ním (obchodná spoločnosť, 500€).
Príklad 4: prevádzkovateľ uchovával poistnú dokumentáciu klientov v elektronickej podobe najmenej 15 rokov od skončenia zmluvného vzťahu s dotknutou osobou, pričom táto nebola nevyhnutná na dosiahnutie takto stanoveného účelu (poisťovňa, 6.500€).

Zákonnosť spracovania osobných údajov

  1. Súhlas
    Dotknutá osoba (napr. pacient) vyjadril súhlas so spracúvaním svojich osobných údajov.
    Napr. posielanie marketingových správ od poskytovateľa zdravotnej starostlivosti.
    Plnenie zmluvy: Spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením vykonali opatrenia pred uzatvorením zmluvy.
    Napr. pracovnoprávne vzťahy.
  2. Zákonná povinnosť
    Spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa.
    Napr. zákon č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich  s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, podľa ktorého sa súhlas dotknutej osoby (pacienta) na spracúvanie údajov zo zdravotnej dokumentácie za podmienok ustanovených týmto zákonom nevyžaduje.
  3. Životne dôležitý záujem
    Spracúvanie je nevyhnutné aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby.
    Napr. spracúvanie osobných údajov obeti alebo účastníkov dopravnej nehody.
    Napr. spracúvanie osobných údajov je nevyhnutne na humanitárne účely.
  4. Verejný záujem
    Spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom zaujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
    Napr. samotne poskytovanie zdravotnej starostlivosti.
  5. Oprávnený záujem: spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana.
    Napr. prevádzka kamerového systému v priestoroch poskytovateľa zdravotnej starostlivosti.

 

Príklad 1: Používaním emailovej schránky dotknutej osoby v období po ukončení pracovného pomeru dotknutej osoby bez právneho základu (obec, 500€).
Príklad 2: Prevádzkovateľ nepreukázal Úradu primeraný právny základ spracúvania pracovnej emailovej adresy navrhovateľa po ukončení pracovného pomeru s ním, nakoľko sa v zmysle čl. 6 ods. 1 písm. f) GDPR porovnávaním jednotlivých práv dotknutých osôb s jeho oprávneným záujmom vôbec nezaoberal.
Príklad 3: Uverejňovanie na webovom sídle prevádzkovateľa (v ozname Rozhodnutie Inšpektorátu práce BA o uložení pokuty) mena, priezviska a dátumu narodenia dotknutej osoby bez právneho základu (obec, 2.000€).