GDPR

Ochranu osobných údajov upravuje Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov a zákon 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „nariadenie“).

Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva.

V zásadách a pravidlách ochrany fyzických osôb pri spracúvaní ich osobných údajov by sa, bez ohľadu na ich štátnu príslušnosť alebo bydlisko, mali rešpektovať ich základné práva a slobody, najmä ich právo na ochranu osobných údajov.

Čo je spracúvanie osobných údajov?

Spracúvanie je akákoľvek operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Spracúvanie v zmysle nariadenia však nemožno chápať ako akékoľvek nakladanie s osobným údajom. Spracúvanie osobných údajov je nutné považovať za sofistikovanejšiu činnosť, ktorú prevádzkovateľ s osobnými údajmi uskutočňuje za určitým účelom a z určitého pohľadu tak činí systematicky.

Zásady spracúvania osobných údajov

  • zákonnosť, spravodlivosť, transparentnosť – osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe,
  • obmedzenie účelu - osobné údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi,
  • minimalizácia údajov - osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú,
  • správnosť – osobné údaje musia byť správne a podľa potreby aktualizované,
  • minimalizácia uchovávania - osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné  na účely, na ktoré sa osobné údaje spracúvajú,
  • integrita a dôvernosť – osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

Čo sa rozumie právnym základom spracúvania osobných údajov?

Právny základ spracúvania osobných údajov znamená oprávnenie prevádzkovateľa osobné údaje spracúvať. Právny základ je tak nevyhnutným predpokladom, aby vôbec mohlo byť hovorené zo strany prevádzkovateľa o legálnom spracúvaní, pretože pokiaľ by prevádzkovateľ nedisponoval riadnym právnym základom k spracúvaniu osobných údajov, bolo by ďalej nerozhodné, či si plní ostatné povinnosti, osobné údaje by spracúval nezákonne a musel by osobné údaje zlikvidovať.

Je dôležité vedieť, že aj osobné údaje môže prevádzkovateľ spracovávať pre rôzne účely, pričom pre každý účel potrebuje právny základ spracúvania osobných údajov. Spracúvanie osobných údajov sa vždy viaže k účelu, na základe ktorého sa určí právny základ spracovávania. Nie je vylúčené, že „jeden druh“ osobných údajov (alebo ich určitý súhrn) bude prevádzkovateľ spracovávať  pre rôzne účely, pričom tieto účely môžu  v čase vznikať či zanikať, bez toho, aby to predstavovalo povinnosť osobné údaje vymazať. Povinnosť výmazu osobných údajov nastane v prípade, keď prevádzkovateľovi zanikne posledný právny základ k spracúvaniu osobných údajov.

Kedy je spracovávanie osobných údajov zákonné?

Spracovávanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

  • dotknutá osoba vyjadrila súhlas so spracovávaním svojich osobných údajov na jeden alebo viaceré konkrétne účely,
  • spracovávanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy,
  • spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,
  • spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
  • spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
  • spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa.

Čo znamená súhlas so spracúvaním osobných údajov?

Súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačne daný prejav vôle dotknutej osoby, ktorý formou vyhlásenia alebo jednoznačne potvrdzujúceho úkonu, vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú. Ide o aktívny a dobrovoľný prejav vôle dotknutej osoby, ku ktorému nesmie byť nútená.

Súhlas je jedným z právnych základov, na základe ktorého môže prevádzkovateľ osobné údaje spracúvať a nastupuje vtedy, pokiaľ spracúvanie nemožno podriadiť pod účely, pre ktoré nie je nutné súhlas vyžadovať.

Súhlas sa vždy poskytuje k určitému účelu spracúvania, ktorý musí dotknutá osoba poznať.

Súhlas je odvolateľný. Nie vždy odvolanie súhlasu znamená povinnosť prevádzkovateľa osobné údaje vymazať, pretože odvolanie súhlasu sa deje k určitému účelu, pre ktorý sú osobné údaje spracúvané, pričom prevádzkovateľ môže osobné údaje spracúvať pre iné účely, pre ktoré využije iný právny dôvod spracúvania než súhlas dotknutej osoby. Inými slovami, v prípade odvolania súhlasu je prevádzkovateľ povinný prestať spracúvať osobné údaje pre účely definované v súhlase. Pokiaľ bol súhlas  jediným právnym základom  spracúvania, bude spravidla nasledovať aj výmaz osobných údajov.

Musím mať ku každému spracúvaniu osobných údajov súhlas dotknutej osoby?

Nie, nemusíte. Hlavne tam, kde je spracúvanie nevyhnutné pre plnenie zmluvy s dotknutou osobou, či k plneniu zákonnej povinnosti sa súhlas so spracúvaním osobných údajov nevyžaduje. Súhlas sa nevyžaduje ani k ďalším účelom spracúvania, ktoré sú uvedené vyššie (s výnimkou prvého bodu). V prípade spracúvania pre účely, ktoré nejde podriadiť pod vyššie uvedené účely, je nutné spracúvanie uskutočňovať na základe súhlasu dotknutej osoby.

Súhlas dotknutej osoby nie je  vyžadovaný  pre účely spracovania nevyhnutného napr. pre  dodanie tovaru v rámci objednávky v e-shope alebo pre spracúvanie osobných údajov zamestnancov pre pracovnoprávne účely (pre plnenie pracovnej zmluvy či plnenie zákonom stanovených povinností zo strany zamestnávateľa).

Je súhlas odvolateľný?

Dotknutá osoba má právo svoj súhlas kedykoľvek odvolať, na čo by mal byť prevádzkovateľ pripravený, a to i na jeho ďalšie kroky s odvolaním súhlasu spojené (napr. uskutočnenie likvidácie osobných údajov). Odvolaním nie je  dotknutá zákonnosť spracúvania vychádzajúceho zo súhlasu, ktorý bol daný pred jeho odvolaním. Je nutné si uvedomiť, že súhlas bol daný k určitým účelom a odvolanie súhlasu nemusí vždy predstavovať pre prevádzkovateľa povinnosť osobné údaje vymazať, ale bude predstavovať pre prevádzkovateľa  len povinnosť prestať osobné údaje spracúvavať pre určitý účel, ku ktorému bol súhlas udelený. Rovnako tak i v prípade, keď prevádzkovateľ použil súhlas pre prípady, keď mu stačí iný právny základ spracúvania osobných údajov, neznamená odvolanie súhlasu (teda úkonu, ktorý nebol nevyhnutný pre spracúvanie) povinnosť osobné údaje vymazať, či ich prestať spracúvať napr., pokiaľ osobné údaje musí mať pre zákonom stanovené účely.

Práva dotknutej osoby

Dotknutá osoba má právo na to byť informovaná o spracúvaní svojich osobných údajov. Tým sa rozumie právo na určité informácie o spracúvaní jej osobných údajov, tak aby bola predovšetkým  naplnená zásada transparentnosti spracúvania. Ide hlavne o informácie o účele spracúvania, identifikácie prevádzkovateľa, o jeho oprávnených záujmoch, o príjemcoch osobných údajov. V tomto prípade ide o pasívne právo, pretože aktivitu musí voči dotknutej osobe  vyvinúť prevádzkovateľ, aby požadované informácie stanovené v  nariadení dotknutej osobe poskytol, resp. sprístupnil.

Medzi ďalšie práva dotknutej osoby, ktoré sú v mnohých prípadoch založené na aktivite (žiadosti) dotknutej osoby, patrí právo na prístup k osobným údajom,

  • právo na opravu, resp. doplnenie,
  • právo na vymazanie (právo „na zabudnutie“),
  • právo na obmedzenie spracúvania,
  • právo na prenosnosť údajov,
  • právo namietať,
  • právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

Je nejaká lehota, do kedy musí prevádzkovateľ reagovať na podanú žiadosť dotknutej osoby?

Pokiaľ sa jedná o žiadosť podľa článkov 15 až 22  nariadenia, musia byť informácie o prijatých opatreniach poskytnuté bez zbytočného odkladu a v každom prípade do jedného mesiaca od obdržania žiadosti. Lehotu možno vo výnimočných prípadoch predĺžiť o dva mesiace, o čom musí byť dotknutá osoba zo strany prevádzkovateľa informovaná, vrátane dôvodu predĺženia.

Čo sa rozumie prístupom k osobným údajom?

Prístupom k osobným údajom sa rozumie oprávnenie dotknutej osoby na základe jej aktívnej žiadosti získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

  • účely spracúvania,
  • kategórie dotknutých osobných údajov,
  • príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté,
  • predpokladaná doba uchovávania osobných údajov,
  • existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takému spracúvaniu,
  • právo podať sťažnosť dozornému orgánu,
  • ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj,
  • existencia automatizovaného rozhodovania vrátane profilovania.

Pokiaľ prevádzkovateľ o fyzickej osobe žiadne údaje nespracúva, poskytuje sa informácia, že osobné údaje žiadateľa nie sú predmetom spracúvania osobných údajov zo strany prevádzkovateľa.

Čo keď sú údaje nesprávne?

Dotknutá osoba má právo na opravu nesprávnych osobných údajov, ktoré sa jej týkajú. Toto právo vyviera zo zásady správnosti. Neznamená to povinnosť prevádzkovateľa aktívne vyhľadávať nesprávne údaje (avšak nič mu v tom ani nebráni), ani to neznamená povinnosť prevádzkovateľa napr. každoročne požadovať od dotknutej osoby aktualizáciu jej údajov. Pokiaľ sa dotknutá osoba domnieva, že prevádzkovateľ spracúva jej nesprávne údaje, upozorní ho na to. Je povinnosťou prevádzkovateľa, pokiaľ mu dotknutá osoba oznámi, že požaduje opravu jej osobných údajov, zaoberať sa jej žiadosťou.

Čo znamená právo „na zabudnutie“?

Právo na výmaz („na zabudnutie“) predstavuje v nariadení inými slovami vyjadrenú povinnosť prevádzkovateľa vymazať osobné údaje, pokiaľ je splnená aspoň jedna podmienka:

  • osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali,
  • dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, a ak neexistuje iný právny základ pre spracúvanie,
  • dotknutá osoba namieta voči spracúvaniu a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu,
  • osobné údaje sa spracúvali nezákonne,
  • osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť,
  • osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1 nariadenia.

Právo na výmaz sa teda uplatní len vo vymenovaných bodoch, tj. keď nastane daná okolnosť.

Právo na výmaz nie je absolútne právo, ktoré by dotknutej osobe  dávalo možnosť žiadať kedykoľvek a za akejkoľvek situácie o vymazanie osobných údajov. Nejde napr. v rámci práva na zabudnutie žiadať likvidáciu všetkých osobných údajov napr. pri ukončení zamestnania či poskytovaní finančných služieb, pretože na prevádzkovateľa sa vzťahujú povinnosti o ďalšom uchovávaní niektorých osobných údajov.

Môžem si ako prevádzkovateľ účtovať náklady v súvislosti s výkonom práv dotknutej osoby?

V zásade platí, že informácie a všetky oznámenia a úkony podľa nariadenia sa poskytujú a činia bezplatne. Len v prípade, keď sú žiadosti podané dotknutou osobou zjavne bezdôvodné alebo neprimerané, najmä pretože sa opakujú, môže prevádzkovateľ buď uložiť primeraný poplatok, alebo odmietnuť žiadosti vyhovieť. Zjavnú bezdôvodnosť dokladá prevádzkovateľ.

Čo keď dotknutá osoba zneužíva svoje právo?

Zneužitím nejde a priori rozumieť výkon práv dotknutej osoby. O zneužití práva dotknutou osobou možno hovoriť najmä vtedy, pokiaľ sa žiadosti opakujú a sú zjavne bezdôvodné či neprimerané. V takomto prípade môže prevádzkovateľ uložiť primeraný poplatok alebo odmietnuť žiadosti vyhovieť. Zjavnú bezdôvodnosť alebo neprimeranosť dokladuje prevádzkovateľ.

Na koho sa obrátiť pri uplatňovaní svojich práv?

Vaše podnety, žiadosti a otázky, prosím, posielajte písomne na nasledovné adresy:

  1. SMS a.s., Partizánska cesta 91, 974 01 Banská Bystrica
  2. alebo emailom gdpr@stavbymostov.sk.

SMS a.s.

Partizánska cesta 91

974 01  Banská Bystrica