Kto je podľa nového európskeho nariadenia o ochrane osobných údajov prevádzkovateľom? Aké povinnosti mu z GDPR vyplývajú? Pozrite si stručný prehľad.
Európske nariadenie o ochrane osobných údajov – GDPR a nový slovenský zákon o ochrane osobných údajov vstúpili do účinnosti dňa 25. 5. 2018. Oproti pôvodnej právnej úprave priniesli viacero zmien, ktoré sa dotýkajú aj povinností prevádzkovateľov. Niektoré z nich boli zrušené alebo zmenené, iné zase vynovené (prispôsobené aktuálnym podmienkam).
Kto je podľa GDPR prevádzkovateľ?
Prevádzkovateľom je každý:
- kto sám alebo spoločne s inými určí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene - ten, kto rozhoduje o tom, prečo a ako by sa mali osobné údaje spracúvať
príklad: Firma AB s.r.o. uzavrela s bezpečnostnou agentúrou zmluvu, na základe ktorej má táto agentúra nainštalovať v priestoroch firmy kamery. Účel a spôsob získavania a ukladania kamerových záznamov určuje výlučne firma AB s.r.o., preto sa považuje za jediného prevádzkovateľa tejto spracovateľskej operácie.
- komu funkcia prevádzkovateľa vyplýva zo zákona alebo kto splní zákonom ustanovené požiadavky na určenie prevádzkovateľa (ak osobitný predpis alebo medzinárodná zmluva, ktorou je SR viazaná, ukladá verejným alebo súkromným subjektom povinnosť spracúvať určité údaje)
príklad: Zamestnávateľ spracúva osobné údaje svojich zamestnancov týkajúce sa ich mzdy za účelom splnenia si zákonnej povinnosti vedenia mzdového listu (zákon č. 595/2003 Z. z. o dani z príjmu). Zamestnávateľ je preto prevádzkovateľom.
Prevádzkovateľom môže byť fyzická i právnická osoba (jednotlivec i obchodná spoločnosť), orgán verejnej moci (obec, VÚC), agentúra alebo iný subjekt.
Prevádzkovateľ je osobou, ktorá nesie plnú zodpovednosť za dodržiavanie a súlad spracúvania osobných údajov so zásadami spracúvania ustanovenými v čl. 5 GDPR.
Kedy ide o spoločných prevádzkovateľov?
Na rozdiel od pôvodnej právnej úpravy ochrany osobných údajov GDPR vymedzuje vzájomný vzťah spoločných prevádzkovateľov.
Spoloční prevádzkovatelia sú dvaja alebo viacerí prevádzkovatelia, ktorí spoločne určia účel a prostriedky spracúvania osobných údajov. Pokiaľ ich vzájomný vzťah nie je upravený osobitným predpisom, musia uzavrieť vzájomnú dohodu. V nej si určia svoje príslušné zodpovednosti za plnenie jednotlivých povinností, týkajúcich sa najmä vykonávania práv dotknutej osoby a poskytovania informácií pri získavaní osobných údajov od dotknutej osoby.
Príklad: V jednom areáli pôsobia štyri rôzne firmy, ktoré za účelom ochrany svojho majetku prevádzkujú spoločný bezpečnostný kamerový systém. Títo prevádzkovatelia sú teda spoločnými prevádzkovateľmi.
Ktoré povinnosti prevádzkovateľa boli zrušené?
GDPR a nový zákon o ochrane osobných údajov zásadným spôsobom zasiahli do úpravy týkajúcej sa povinností prevádzkovateľa. Niektoré povinnosti, ktoré ustanovoval starý zákon o ochrane osobných údajov, už od konca mája 2018 neplatia.
Po účinnosti GDPR došlo k zrušeniu:
- oznamovacej povinnosť k informačným systémom – prevádzkovateľ bol v minulosti povinný oznámiť informačný systém, v ktorom sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami, Úradu na ochranu osobných údajov SR, a to ešte pred začatím spracúvania osobných údajov,
- povinnosti osobitnej registrácie informačného systému - prevádzkovateľ bol v minulosti povinný prihlásiť informačný systém na osobitnú registráciu na Úrade na ochranu osobných údajov SR ešte pred začatím spracúvania osobných údajov.
Ktoré povinnosti prevádzkovateľa boli zmenené?
Stará povinnosť viesť evidenciu informačných systémov (tzv. povinnosť vypracovať evidenčný list) bola nahradená novou povinnosťou, a to viesť záznamy o spracovateľských činnostiach.
To znamená, že po novom už prevádzkovateľ nemusí viesť evidenciu o informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii (ktoré boli zrušené), ale má povinnosť viesť záznamy o spracovateľských činnostiach.
Ďalšiu povinnosť, pri ktorej po účinnosti GDPR nastala zmena, je povinnosť vypracovať bezpečnostný projekt. Táto je síce od 25. 5. 2018 zrušená, no na jej miesto bola zavedená nová, a to povinnosť posudzovať vplyv na ochranu osobných údajov. V podstate ide o proces vyhodnocovania rizík spojených s osobitným spôsobom spracúvania osobných údajov.
Hlavné povinnosti prevádzkovateľa ustanovené v GDPR
Z nového európskeho nariadenia vplývajú pre prevádzkovateľa viaceré povinnosti. Medzi tie najdôležitejšie môžeme zaradiť nasledovné:
- Dodržiavať zásady ochrany osobných údajov (čl. 5 GDPR) a preukázať tento súlad Úradu na ochranu osobných údajov SR (ďalej len „úrad“) pri kontrole – napr. zásadu zákonnosti, teda že osobné údaje sú spracúvané zákonným spôsobom.
- Informačná povinnosť, t. j. povinnosť poskytnúť pri získavaní osobných údajov dotknutej osobe ustanovené informácie – napr. totožnosť a kontaktné údaje prevádzkovateľa, účel a právny základ spracúvania osobných údajov alebo dobu ich uchovávania.
- Preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov (to platí len v prípade, že spracúvanie sa realizuje na základe súhlasu) a že súhlas spĺňa všetky požadované náležitosti – napr. udelený slobodne.
- Prijať vhodné technické a organizačné opatrenia, aby prevádzkovateľ zabezpečil a bol schopný preukázať, že spracúvanie osobných údajov sa vykonáva v súlade s GDPR (pritom musí brať ohľad na povahu, rozsah, kontext a účely spracúvania, na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb).
- Viesť záznamy o spracovateľských činnostiach, za ktoré je prevádzkovateľ zodpovedný (musia sa viesť v písomnej i elektronickej podobe a musia obsahovať predpísané náležitosti – napr. meno/názov a kontaktné údaje prevádzkovateľa, účely spracúvania, opis kategórií dotknutých osôb a kategórií osobných údajov).
- Spolupracovať s úradom pri výkone jeho úloh.
- Oznamovacia povinnosť:
- oznámiť porušenie ochrany osobných údajov úradu bez zbytočného odkladu, najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti prevádzkovateľ dozvedel (okrem prípadu, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb) – napr. nahlásiť bezpečnostný incident (neoprávnený výmaz osobných údajov), ku ktorému došlo pri dočasnom výpadku informačného systému zabezpečujúceho plnenie kritických úloh prevádzkovateľa v oblasti bezpečnosti a ochrany jeho majetku,
- oznámiť porušenie ochrany osobných údajov dotknutej osobe bez zbytočného odkladu (to platí len v prípade porušenia, pri ktorom je pravdepodobnosť, že povedie k vysokému riziku pre práva a slobody fyzických osôb).
Viac o oznamovacej povinnosti prevádzkovateľa sa dočítate Oznamovacia povinnosť pri porušení ochrany osobných údajov.
- Zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
- Posúdiť vplyv plánovaných spracovateľských operácií na ochranu osobných údajov ešte pred ich spracúvaním (za predpokladu, že typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb) – napr. v prípade spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo systematického monitorovania verejne prístupných miest vo veľkom rozsahu.
- Povinnosť predchádzajúcej konzultácie, t. j. povinnosť uskutočniť s úradom pred spracúvaním osobných údajov konzultáciu (iba v prípade, ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie by viedlo k vysokému riziku, ak by neboli prijaté opatrenia na zmiernenie tohto rizika).
- Určiť zodpovednú osobu v ustanovených prípadoch – napr. keď hlavnými činnosťami prevádzkovateľa je spracúvanie osobitných kategórií osobných údajov (tzv. citlivých údajov) vo veľkom rozsahu.
Kto je zodpovednou osobou a kedy vzniká povinnosť jej určenia sa dozviete Určenie zodpovednej osoby podľa GDPR.
Sankcie za porušenie povinností prevádzkovateľa
Pri porušení vyššie vymenovaných povinností hrozia prevádzkovateľovi vysoké pokuty, ktoré sú príjmom štátneho rozpočtu.
Pokutu do výšky 10 000 000 eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, môže úrad uložiť napríklad za porušenie povinnosti:
- viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný,
- poskytnutia súčinnosti (spolupráce) úradu pri výkone jeho úloh,
- oznámenia porušenia ochrany osobných údajov úradu.
Pokutu do výšky 20 000 000 eur alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia, môže úrad uložiť napríklad za porušenie povinnosti:
- dodržiavať základné zásady spracúvania osobných údajov,
- poskytnúť pri získavaní osobných údajov dotknutej osobe ustanovené informácie.
Viac o pokutách ukladaných za porušenie GDPR a nového zákona o ochrane osobných údajov sa dozviete v tomto článku Ukladanie pokút podľa GDPR.