25.máj sa blíží a s ním aj platnosť nového zákona 18/2018 o ochrane osobných údajov. Slovenský úrad na ochranu osobných údajov (ďalej ako „UOOU“) postupne publikuje vzory a usmernenia, ktorých by sa mali prevádzkovatelia a sprostredkovatelia držať. Prinášame vám preto na jednom mieste súhrn informácií a linkov, ktoré by vás mali zaujímať.
Otázky a odpovede vypracované UOOU
Som prevádzkovateľom, ktorý spracúva osobné údaje klientov na základe súhlasu, musím na základe nástupu novej legislatívy získavať nový súhlas od klientov, keď sa mi v rámci spracúvania voči nim nič nezmenilo?
Dávame Vám do pozornosti § 110 ods. 11 zákona č. 18/2018 Z. z. „Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je v súlade s týmto zákonom alebo osobitným predpisom (nariadením) sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od 25. mája 2018.“; ak Váš terajší súhlas získaný od klienta je súhlasom so všetkými náležitosťami podľa nariadenia a zákona č. 18/2018 Z. z. (teda dotknutá osoba vyjadrila súhlas konkrétnemu prevádzkovateľovi so spracúvaním konkrétnych osobných údajov na vymedzený účel alebo účely; čl. 7 ods. 1 nariadenia) javí sa, že by ste na tomto právnom základe súhlasu získaného podľa terajšieho zákona mohli osobné údaje klienta spracúvať aj naďalej za podmienky, že mu doplníte informačnú povinnosť, teda informácie podľa čl. 13 nariadenia (terajší § 15 ods. 1 zákona č. 122/2013 Z. z. ). Súladnosť súhlasu získaného do 24.mája 2018 vrátane posúdenia možnosti pokračovania spracúvania na danom súhlase je na zodpovednosti každého prevádzkovateľa.
V prípade, že posúdenie dopadne v prospech skôr získaného súhlasu a prevádzkovateľ doplní dotknutej osobe informačnú povinnosť podľa čl. 13 nariadenia, nie je potrebný nový súhlas získavať iba preto, že v starom je odkaz na zákon č. 122/2013 Z. z.
Je možné súhlas získať aj inak ako písomne, alebo elektronicky?
Podľa čl. 4 ods. 11 nariadenia je súhlas dotknutej osoby „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka“; zo samotnej definície súhlasu vyplýva, že súhlasom je akýkoľvek prejav vôle dotknutej osoby, ak spĺňa v definícii uvedené náležitosti, teda súhlas je možné získať aj napríklad nahraním cez telefón, alebo nahraním na kameru, za splnenia poskytnutia informácií podľa čl. 13 nariadenia najneskôr v čase získania súhlasu. Prevádzkovateľ nesmie zabúdať na zásadu, že je povinný získanie súhlasu preukázať, teda napríklad uchovávať si papierové súhlasy, alebo uchovávať si nahrávky súhlasov, alebo elektronicky poskytnuté súhlasy mať uložené napríklad v optickom archíve.
Je možné, aby prevádzkovateľ naformuloval súhlas tak, že v jednom súhlase uvedie niekoľko účelov spracúvania?
Formulácia súhlasov je na prevádzkovateľovi. Je potrebné, aby, ak je účelov spracúvania uvedených v jednom súhlase viac, aby si dotknutá osoba mohla vybrať, a to napríklad tak, že zaškrtne len kolónky (checkboxy) tých účelov, s ktorými súhlasí; nie je možné a nie je správny taký postup prevádzkovateľa, kedy tento vopred zaškrtne všetky účely a dotknutá osoba si má „odškrtnúť“ tie, ktoré sa jej „nepáčia“; metóda OPT OUT nie je pri súhlase so spracúvaním osobných údajov dovolená, vždy by mala dotknutá osoba voliť a vyberať účely aktívne, teda prevádzkovatelia majú využívať iba metódu OPT IN.
Stále platí, že zodpovedná osoby by mala mať vykonanú skúšku na úrade?
Nie, skúška na úrade, jej úspešné absolvovanie, od 25.5.2018 nebude podmienkou poverenia zodpovednej osoby.
Aké má mať zodpovedná osoba v rámci prevádzkovateľa/sprostredkovateľa postavenie?
Zodpovedná osoby je poradným orgánom, ktorý prevádzkovateľovi/sprostredkovateľovi radí, pomáha napríklad aj pri uzatváraní sprostredkovateľských zmlúv, poskytuje mu podporu a informácie pri nastavovaní spracúvania osobných údajov. Jej postavenie by malo byť nezávislé a prevádzkovateľ by sa mal jej odporúčaniami riadiť, v prípade, že sa s nimi nestotožňuje, mal by iné vykonané riešenie zdôvodniť. Zodpovedná osoba, najmä ak ide o interného zamestnanca nesmie byť v konflikte záujmov (v tomto postavení je to najpravdepodobnejšie), znamená to, že zodpovednou osobou by nemal byť zamestnanec, ktorý sa podieľa alebo priamo nastavuje účely spracúvania a zodpovedá za ne. Zodpovedná osoba povedané jednoducho, by mala mať nezávislé postavenie a byť ako „audítor“ pokiaľ ide o spracúvanie osobných údajov a dohľad nad ním.
Ďalej vám dávame do pozornosti aj nasledovné informácie a vzory:
- Prenos do krajín zaručujúcich primeranú úroveň ochrany – krajiny, ktoré zaručujú primeranú úroveň ochrany osobných údajov.
- Vzor Záznamov o spracovateľských činnostiach – Každý prevádzkovateľ alebo zástupca prevádzkovateľa (ak takého má prevádzkovateľ povereného) má povinnosť viesť záznam o spracovateľskej činnosti (ďalej len „záznam“) a to buď v papierovej aleboelektronickej podobe, ktorý nemá povinnosť nikam zasielať a ponecháva si ho u seba.
-
Pracovná skupina WP29 k nariadeniu GDPR – informácie od pracovnej skupiny pod názvom „WP29“, ktoré sa priebežne dopĺňajú.
-
Metodické usmernenia podľa nariadenia a zákona č. 18/2018 Z.z. – usmernenia pre mestá a obce.
Pozrite si aj video príhovor predsedníčky úradu Soni Pőtheovej k nastupujúcej legislatíve v oblasti ochrany osobných údajov – http://bit.ly/2Kf282u
