VYRIEŠTE GDPR VZOROVOU DOKUMENTÁCIOU LEN ZA 99 €

Koho sa týka zákonná povinnosť ochrany osobných údajov GDPR?

GDPR sa týka všetkých subjektov, ktoré spracúvajú osobné údaje na iné ako súkromné účely.

Týka sa teda hlavne podnikateľských subjektov (firiem a živnostníkov), ktoré pracujú s osobnými údajmi fyzických osôb, napr. svojich zákazníkov alebo zamestnancov.

Naše riešenie GDPR pomocou vzorovej dokumentácie

Word a excel dokumenty, ktoré si podľa jednoduchého návodu vyplníte presne pre Vašu spoločnosť. V prípade potreby radi poradíme telefonicky, alebo emailom.

Základný dokument – organizačná smernica obsahuje zásady, ktoré Vaša spoločnosť prijala, aby bola schopná preukázať spracovanie osobných údajov v súlade s GDPR a zákonom č. 18/2018. Veľkou výhodou je, že vďaka vypĺňaniu organizačnej smernice pochopíte hlavné princípy ochrany osobných údajov a GDPR.

Prečo nerobíme riešenie GDPR „na mieru“?

Pri riešení GDPR „na mieru“ Vám poskytovateľ tejto služby musí spraviť analýzu a výsledky analýzy vpíše do svojich vzorových dokumentov. Je to krok navyše, ktorý Vám a jemu zaberie čas a ten čas mu musíte zaplatiť. Vy poznáte najlepšie svoju organizáciu a stačí ak to ako spracúvate osobné údaje, doplníte do vzorovej dokumentácie. V prípade nejasností s vypĺňaním radi poradíme telefonicky, alebo emailom.

Komplexné informácie o GDPR

GDPR je nariadenie európskej únie o ochrane osobných údajov. Bolo prijaté v apríli 2016 a jeho účinnosť vo všetkých štátoch Európskej únie nastala 25. mája 2018. Cieľom GDPR je výrazné zvýšenie ochrany osobných údajov fyzických osôb.

GDPR chráni základné práva a slobody fyzických osôb so zameraním na právo ochrany osobných údajov fyzických osôb. GDPR stanovuje pravidlá ochrany fyzických osôb a pravidlá pre voľný pohyb osobných údajov v Európskej únii. Plošná ochrana osobných pri spracúvaní osobných údajov GDPR v celej Únii má zabrániť rozdielom, ktoré môžu byť prekážkou voľného pohybu osobných údajov v rámci Európskej únie.

• Územná pôsobnosť GDPR
• GDPR zákon
• Nariadenie o ochrane osobných údajov GDPR
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov
• Čo znamená skratka GDPR?
• GDPR dokumentácia
• Organizačná smernica GDPR
• Zákonnosť spracúvanie osobných údajov podľa GDPR
• Dotknutá osoba podľa GDPR
• Kategórie dotknutých osôb
• Zásady spracúvania osobných údajov podľa GDPR
• Práva dotknutých osôb podľa GDPR
• Súhlas so spracovaním osobných údajov podľa GDPR

Ako podať podnet na konanie o ochrane osobných údajov?

Ak máte podozrenie, že došlo alebo dochádza k porušeniu Vašich práv pri spracúvaní Vašich osobných údajov alebo došlo k porušeniu zákona o ochrane osobných údajov, môžete Úradu podať návrh na začatie konania o ochrane osobných údajov.

1. Pripravte si Návrh na začatie konania o ochrane osobných údajov podľa vzoru, ktorý zverejnil úrad na ochranu osobných údajov.
2. Podajte Návrh na začatie konania o ochrane osobných údajov úradu na ochranu osobných údajov buď písomne, emailom alebo osobne formou zápisnice.
3. Úrad na ochranu osobných údajov rozhodne o odložení návrhu alebo začatí konania.
4. V prípade začatia konania úrad rozhodne do 90 dní odo dňa začatia konania.

Územná pôsobnosť GDPR

Článok 3 GDPR vymedzuje územnú pôsobnosť nariadenia na základe dvoch hlavných kritérií:

1. kritéria „prevádzkarne“ podľa článku 3 ods. 1
2. kritéria „zacielenia“ podľa článku 3 ods. 2.

Ak sa teda prevádzkareň prevádzkovateľa osobných údajov nachádza v členskom štáte EÚ, alebo prevádzkovateľ cieli svoju činnosť na občanov EÚ, je potrebné dodržiavať nariadenie GDPR.

GDPR zákon

Nedá sa úplne povedať, že by GDPR bol zákon. GDPR je nariadenie EÚ, ale je premietnuté do slovenskej legislatívy. V slovenskom právnom poriadku je nariadenie GDPR premietnuté do zákona č. 18/2018 Z. z. o ochrane osobných údajov. Nariadenia EÚ sú priamo účinné v každom členskom štáte EÚ, takže aj na Slovensku.

Nariadenie o ochrane osobných údajov GDPR

Plný názov nariadenia GDPR je Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). Nariadenie GDPR je všeobecne záväzný právny akt, ktorý je priamo uplatniteľný vo svojej celistvosti v celej EÚ.

Nariadenie GDPR je reakciou na základné právo – ochrana fyzických osôb a ich osobných údajov. Každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

Zákon č. 18/2018 Z. z. o ochrane osobných údajov

Zákon č. 18/2018 Z. z. o ochrane osobných údajov upravuje ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov. Upravuje tiež práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb. V neposlednom rade rieši postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky.

Čo znamená skratka GDPR?

Skratka GDPR reprezentuje písmená anglického slovného spojenia General Data Protection Regulation. V preklade to znamená Všeobecné nariadenie o ochrane údajov.

GDPR dokumentácia

GDPR dokumentácia slúži na preukázanie súladu spracovania osobných údajov prevádzkovateľa podľa GDPR, keďže v súlade s prístupom zodpovednosti prevádzkovateľ podľa GDPR je prevádzkovateľ povinný kedykoľvek preukázať súlad s nariadením GDPR, a teda súlad so zákonom č. 18/2018 Z. z.. GDPR dokumentácia môže mať rôzne formy a pozostáva z viacerých častí.

Organizačná smernica GDPR

Organizačná smernica GDPR obsahuje technické a organizačné opatrenia, ktoré sa prevádzkovateľ zaviazal dodržiavať, keďže je podľa článku 24 GDPR s ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb zodpovedný, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s nariadením GDPR.

Zákonnosť spracúvania osobných údajov podľa GDPR

Zákonnosť spracúvania – právny základ je jedna z najdôležitejších oblastí GDPR. Na každé spracovanie osobného údaju musí mať prevádzkovateľ právny základ – jedno z písmen a) – f) paragrafu 13 odsek 1 zákona č. 18/2018 Z.z. o ochrane osobných údajov. Prevádzkovateľ sa zaviazal spracúvať údaje len zákonným spôsobom tak, aby nedošlo k porušeniu základných práv dotknutých osôb. Zákonnosť spracúvania osobných údajov možno označiť za jeden z najdôležitejších princípov ochrany osobných údajov.

Dotknutá osoba podľa GDPR

Dotknutou osobou sa podľa GDPR rozumie každá fyzická osoba, ktorej osobné údaje sa spracúvajú. Je ale dôležité podotknúť, že dotknutou osobou môže byť výlučne iba fyzická osoba – jednotlivec. Môže to byť cudzinec, alebo občan Slovenska. Za dotknutú osobu sa nepovažuje právnická osoba, ani fyzická osoba – podnikateľ pri výkone podnikateľskej činnosti.

Kategórie dotknutých osôb

Dotknuté osoby je vhodné rozdeliť do kategórií. A to z dôvodu, že jednotlivé kategórie majú spoločné črty podľa GDPR. Daná kategória dotknutých osôb má spoločný právny základ spracúvania, spôsob získania osobných údajov, príjemcov a podobne. V rámci mapovania osobných údajov si prevádzkovateľ na základe kategórií osobných údajov určuje tzv. informačné systémy (IS). Bežnými informačnými systémami v organizácií sú napr. IS Zákazníci, IS Zamestnanci, IS Kamerový systém, IS Cookies alebo IS Marketing.

Zásady spracúvania osobných údajov podľa GDPR

Podľa zásad GDPR musia byť osobné údaje spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. Musia byť tiež primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Ďalej tiež uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú.

Práva dotknutých osôb podľa GDPR

Nariadenie GDPR priznáva dotknutej osobe viaceré práva, ktoré sú definované v kapitole 3 GDPR. Ide o nasledovné práva:

Právo na prístup k osobným údajom

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Vzor žiadosti na prístup k osobným údajom. Dotknutá osoba má právo na nasledovné informácie, podľa článku 15 GDPR.

Právo na opravu osobných údajov

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

Právo na vymazanie osobných údajov (právo „na zabudnutie“)

Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z dôvodov uvedených v článku 17 GDPR.

Právo na obmedzenie spracúvania osobných údajov

Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z prípadov uvedených v článku 18 GDPR.

Právo na prenosnosť osobných údajov

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, za podmienok ustanovených v článku 20 GDPR.

Právo namietať spracúvanie osobných údajov

Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach.

Právo na to, aby sa na dotknutú osobu nevzťahovalo automatizované individuálne rozhodovanie vrátane profilovania

Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

Právo odvolať súhlas so spracovaním osobných údajov

Odvolanie súhlasu má vo všeobecnom nariadení o ochrane údajov popredné miesto. Ustanovenia a odôvodnenia týkajúce sa odvolania súhlasu vo všeobecnom nariadení o ochrane údajov možno považovať za kodifikáciu existujúceho výkladu tejto otázky v stanovisku WP29 k definícii súhlasu.

Právo podať návrh na začatie konania o ochrane osobných údajov

Ak má dotknutá osoba podozrenie, že došlo k porušeniu jej práv pri spracúvaní jej osobných údajov môže podať na Úrad na ochranu osobných údajov návrh na začatie konania o ochrane osobných údajov. Pre podanie návrhu na začatie konania možno využiť tento vzor návrhu.

Súhlas so spracovaním osobných údajov podľa GDPR

Súhlas dotknutej osoby je akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,

Súhlas je v súlade s GDPR v tom prípade, ak má dotknutá osoba všetky potrebné informácie, aby sa rozhodla, či súhlas slobodne poskytne a či má zároveň možnosť kontroly a voľby, či sa osobné údaje, ktoré sa ich týkajú, budú spracúvať, alebo nie. Súhlas by mal byť tiež rozhodnutím, ktoré možno zmeniť, a teda na strane dotknutej osoby zostáva určitý stupeň kontroly.

Súhlas so spracovaním osobných údajov musí byť podľa GDPR slobodne daný

Súhlas so spracovaním osobných údajov musí byť slobodne daný. Za „slobodne daný“ sa považuje taký súhlas, ktorý dáva dotknutým osobám naozajstnú možnosť voľby (súhlasím alebo nesúhlasím). Ak dotknutá osoba nemá možnosť voľby, takto udelený súhlas nie je právoplatný.

Súhlas so spracovaním osobných údajov musí byť podľa GDPR konkrétny

Konkrétnosť udelenia súhlasu je zabezpečená len vtedy, ak sa osobné údaje spracúvajú len na tie účely o ktorých bola pri udeľovaní súhlasu dotknutá osoba informovaná.  A teda len na tie účely s ktorými súhlasila. Konkrétnosť zabezpečuje ochranu pred rozširovaním účelov spracovania osobných údajov, čo by nebolo v súlade s GDPR.

Súhlas so spracovaním osobných údajov musí byť podľa GDPR informovaný

Dotknutá osoba musí pred udelením súhlasu vedieť, byť informovaná o všetkých potrebných informáciách. Len tak je zabezpečené, že môže prijať informované rozhodnutie a súhlas je tak možné považovať za informovaný.

Súhlas so spracovaním osobných údajov musí byť podľa GDPR jednoznačným prejavom vôle dotknutej osoby

Súhlas so spracovaním osobných údajov založený na mlčaní nie je v súlade s GDPR a nie je možné použiť ani predškrtnuté možnosti. Je potrebné, aby boli vylúčené všetky pochybnosti o zámere dotknutej osoby poskytnúť súhlas. Dotknutá osoba musí jednoznačne prejaviť vôľu, vykonať jednoznačný a úmyselný potvrdzujúci úkon.

Podľa GDPR musí prevádzkovateľ preukázať získanie súhlasu so spracovaním osobných údajov

Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.