Úrad na ochranu osobných údajov SR vydal od nadobudnutia účinnosti Nariadenia GDPR niekoľko usmernení a odpovedí na najčastejšie otázky vyplývajúce z praxe.
Prinášame Vám súhrn niektorých z týchto otázok a odpovedí.
Nastanú v procese kontroly, ktorú vykonáva Úrad nejaké zásadné zmeny?
Na začiatok je potrebné uviesť, že kontrola môže byť riadna a mimoriadna. Vykonanie riadnej kontroly je Úrad povinný oznámiť minimálne 10 dní vopred pred vykonaním kontroly danému prevádzkovateľovi, resp. sprostredkovateľovi.
Mimoriadna kontrola nemusí byť ohlásená vopred, a to vtedy, ak by informovaním vopred hrozilo zmarenie účelu kontroly. V takomto prípade sa oznámenie o kontrole nezašle, a oznámenie kontrolný orgán vykoná až bezprostredne pred výkonom kontroly, priamo na mieste.
Pred začatím kontroly je kontrolný orgán povinný sa preukázať poverením na vykonanie kontroly. Členovia kontroly sú povinní sa preukázať služobným preukazom Úradu.
Ďalšou zmenou je, že doteraz mohla kontrolovaná osoba namietať v protokole kontrolné zistenia v lehote siedmych dní odo dňa doručenia protokolu, podľa platného a účinného Nariadenia GDPR sa táto lehota predlžuje na 21 dní odo dňa doručenia protokolu.
Nastanú v procese konania o ochrane osobných údajov, ktoré vykonáva úrad, nejaké zásadné zmeny?
Doteraz boli vedené dve samostatná konania o ochrane osobných údajov, jedno v rámci ktorého úrad ukladal opatrenia a druhým bolo konanie o pokute. V súčasnosti bude Úrad viesť len jedno konanie o ochrane osobných údajov, v rámci ktorého rozhodne tak o opatreniach, ako aj o pokute naraz.
Došlo tiež k predĺženiu lehôt v rámci ktorých úrad v konaní bude povinný vydať rozhodnutie. Úrad rozhodne v konaní do 90 dní odo dňa začatia konania. V odôvodnených prípadoch úrad môže túto lehotu primerane predĺžiť, najviac však o 180 dní. O predĺžení lehoty na rozhodnutie úrad písomne informuje účastníkov konania.
Nastala novinka aj v rámci podávania rozkladu, proti rozhodnutiu Úradu sa totiž nepodáva odvolanie, ale rozklad. Platí, že podávateľ rozkladu môže rozšíriť alebo doplniť podaný rozklad o ďalší návrh alebo o ďalšie body, ale len v rámci lehoty určenej na podanie rozkladu. Lehota na podanie rozkladu je 15 dní odo dňa oznámenia rozhodnutia. Platí, že včas podaný rozklad má odkladný účinok.
Aký je právny základ spracúvania osobných údajov na menovke, čo všetko môže menovka zamestnanca obsahovať? Môže zamestnanec vôbec nosiť menovku?
V prípade, ak sa jedná o vzťah zamestnanec (dotknutá osoba) a zamestnávateľ (prevádzkovateľ) tak sa na spracúvanie osobných údajov na menovke vzťahuje § 78 ods. 3 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov:
Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu:
- titul
- meno
- priezvisko
- pracovné zaradenie
- služobné zaradenie
- funkčné zaradenie
- osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca
- odborný útvar
- miesto výkonu práce
- telefónne číslo
- faxové číslo
- adresa elektronickej pošty na pracovisko
- identifikačné údaje zamestnávateľa,
A to len ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
Ako vyplýva z citovaného ustanovenia zákona, na údaje na menovke okrem fotografie nie je potrebný súhlas zamestnanca, nakoľko spracúvanie osobných údajov je možné aj bez jeho súhlasu. V prípade, ak by prevádzkovateľ chcel pridať na menovku aj fotografiu, v tomto prípade by od zamestnanca potreboval získať osobitný súhlas s jej spracúvaním.
Platí tiež, že v oboch prípadoch, či už s fotografiou alebo bez, má zamestnávateľ povinnosť plniť si voči zamestnancovi informačnú povinnosť podľa čl. 13 Nariadenia GDPR.
Úrad vydal formulár pre prevádzkovateľa na nahlasovanie bezpečnostných incidentov
Tento formulár slúži prevádzkovateľovi, ktorý povinný nahlasovať Úradu porušenie ochrany osobných údajov bez zbytočného odkladu a podľa možností najneskôr do 72 hodín po tom, ako sa o tom dozvedel. Túto povinnosť nemá vtedy, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
Formulár na nahlasovanie bezpečnostných incidentov – Data Breach musí obsahovať najmä povahu porušenia, kategórie, približný počet dotknutých osôb, počet príslušných záznamov a osobných údajoch, pravdepodobné dôsledky a opatrenia, ktoré boli prijaté na riešenie a zmiernenie porušenia. Formulár na vyplnenie nájdete tu. Tento formulár sa netýka sprostredkovateľa, nakoľko tento je povinný oznámiť porušenie ochrany osobných údajov bez zbytočného odkladu prevádzkovateľovi.
Pozrite si aj náš predošlý článok – najčastejšie otázky o GDPR. V prípade záujmu o naše služby v oblasti GDPR, v podobe konzultácií, poradenstva alebo prípravy dokumentov nás neváhajte kontaktovať.