V zmysle GDPR sa za osobný údaj považuje akákoľvek informácia týkajúca sa identifikovanej alebo identifikovateľnej t. j. určenej alebo určiteľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na jej identifikátor, ako sú:

• meno;
• identifikačné číslo;
• lokalizačné údaje;
• online identifikátor – fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly (IP adresa, cookies, alebo iné identifikátory);
• odkaz na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú (napr. farba vlasov, farba očí, výška, váha, spôsob chôdze a pod.), mentálnu (informácie o správaní alebo reakciách osoby v určitých situáciách), ekonomickú (informácie o majetku, záväzkoch či pohľadávkach), kultúrnu (záujmy a záľuby) alebo sociálnu (rodinný stav, dosiahnuté vzdelanie, zamestnanie) identitu tejto fyzickej osoby;
• informácie týkajúce sa osoby, ktoré sa nedajú okamžite zistiť (napr. profesia, funkcia a pod.)

Každý prípad je potrebné posudzovať jednotlivo a s ohľadom na všetky relevantné skutočnosti, ktoré môžu viesť k identifikácii alebo identifikovaniu konkrétnej fyzickej osoby.

Áno, pre nahlásenie úniku osobných údajov existuje formulár, ktorý je potrebné vyplniť a odoslať do 72 hodín od zistenia úniku. Tento formulár je súčasťou povinnosti nahlásiť porušenie ochrany osobných údajov. Avšak, ak nie je pravdepodobné, že únik povedie k riziku pre práva fyzických osôb, a údaje sú aj napriek úniku chránené proti zneužitiu, táto povinnosť nahlásenia nie je vyžadovaná. Formulár slúži na to, aby správca údajov mohol informovať príslušné orgány a zabezpečil primeranú ochranu dotknutých osôb.

Viac informácií nájdete na stránke Úradu na ochranu osobných údajov.

Služba ochrany utajovaných skutočností je určená pre osoby, ktoré majú záujem poskytovať služby orgánom štátnej správy alebo sa oboznamovať s utajovanými informáciami. Okrem toho je určená pre firmy, ktoré obchodujú s citlivými údajmi alebo poskytujú služby ozbrojeným silám Slovenskej republiky. Ďalej je nevyhnutná pre tých, ktorí vykonávajú letecké snímkovanie alebo sa podieľajú na zvýšení bezpečnosti a imidžu firmy. Tento typ služby zaisťuje bezpečný prístup k utajovaným skutočnostiam a pomáha zabezpečiť ochranu citlivých informácií v rôznych oblastiach podnikania a štátnej správy.

Existujú rôzne stupne ochrany osobných údajov, ktoré závisia od citlivosti informácií a rizika ich zneužitia. Tieto stupne zahŕňajú:

• Prísne tajné: Najvyšší stupeň ochrany, určený pre informácie, ktoré by mohli mať závažné dôsledky pre národnú bezpečnosť alebo verejný poriadok, ak by sa dostali do nesprávnych rúk.
• Tajné: Informácie, ktorých zverejnenie by mohlo spôsobiť vážne poškodenie záujmov štátu alebo iných subjektov.
• Dôverné: Údaje, ktoré sú citlivé, ale ich únik by nemusel mať také závažné dôsledky.
• Vyhradené: Informácie, ktoré majú určitú úroveň ochrany, ale nepredstavujú bezprostrednú hrozbu v prípade ich zneužitia.

Podľa nariadenia GDPR je povinnosť ustanoviť zodpovednú osobu (DPO) daná len v určitých prípadoch. V čl. 37 GDPR je uvedené, že prevádzkovatelia musia ustanoviť DPO, ak:

• ide o orgány a inštitúcie verejnej moci, ktoré spracúvajú osobné údaje;
• ak prevádzkovateľ spracúva „big data“ alebo osobitnú kategóriu osobných údajov vo veľkom rozsahu;
• ak prevádzkovateľ spracúva údaje o trestnej činnosti alebo priestupkoch.

V ostatných prípadoch však môže byť zodpovedná osoba dobrovoľne ustanovená, aby dohliadala na ochranu osobných údajov.

Zodpovedná osoba (DPO) je kľúčová pre dodržiavanie pravidiel GDPR. Táto osoba musí mať odborné kvality, predovšetkým odborné znalosti práva a postupov v oblasti ochrany osobných údajov. Jej úlohou je dohliadať na správne spracovanie údajov v súlade s predpismi. Zodpovedná osoba môže byť členom interného personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť tieto úlohy na základe zmluvy o poskytovaní služieb. Je dôležité, aby zodpovedná osoba bola nezávislá a mala potrebné prostriedky a autoritu na plnenie svojich povinností, ako aj pravidelne informovala vedenie organizácie.

Oprávnená osoba je fyzická osoba, ktorá má prístup k osobným údajom u prevádzkovateľa v rámci plnenia svojich pracovných alebo služobných povinností. Táto osoba môže mať vzťah k prevádzkovateľovi na základe poverenia, vymenovania, zvolenia alebo v rámci výkonu verejnej funkcie. Oprávnené osoby vykonávajú spracovateľské operácie s osobnými údajmi, ktoré sú im určené prevádzkovateľom. Je dôležité, aby tieto osoby spracovávali údaje v súlade s GDPR a chránili ich pred neautorizovaným prístupom.

Technicky nevyhnutné cookies, ktoré sú nevyhnutné pre fungovanie vašej webovej stránky, spracúvate na základe vášho oprávneného záujmu ako záujmu prevádzkovateľa, proti ktorému môžu návštevníci vzniesť námietku. O tom musíte v texte pod tlačidlom Viac informácií v rámci cookie banneru,príp. v dostupnej cookies politike návštevníka poučiť, no jeho súhlas nepotrebujete.

Preferenčné/štatistické cookies merajú návštevnosť webu a správanie sa návštevníkov na webe. Ich spracúvanie môžete opätovne skryť pod váš oprávnený záujem, voči ktorému môže návštevník vzniesť námietku.

Okrem uvedených informácií je potrebné návštevníka informovať aj o možnosti prehliadať stránku bez spustenia týchto cookies – teda je potrebné uviesť informáciu, že návštevník si môže zmeniť nastavenia vo svojom prehliadači.

Za únik osobných údajov hrozia vysoké sankcie, ak sa nepostupuje podľa pravidiel GDPR. Ak sa o úniku dozviete, máte povinnosť nahlásiť ho do 72 hodín prostredníctvom príslušného formulára. Tieto pravidlá platia v prípade, že únik osobných údajov predstavuje riziko pre práva dotknutých osôb. Ak však nie je pravdepodobné, že únik povedie k poškodeniu, napríklad ak sú údaje chránené proti zneužitiu, túto povinnosť nemusíte splniť. Je dôležité vždy dôkladne posúdiť situáciu a zabezpečiť ochranu osobných údajov, aby sa predišlo právnym a finančným dôsledkom.

Pri úniku osobných údajov je potrebné dodržiavať prísne postupy na ochranu dotknutých osôb a informovať príslušné orgány. Uvedieme príklad spoločnosti EquiFax, ktorá spracúva úverovú históriu a zaznamenala únik údajov 143 miliónov Američanov. Aj keď spoločnosť o úniku vedela, nenahlásila ho ani neinformovala poškodené osoby, čo ich vystavilo riziku individuálnych útokov.

Podľa GDPR je však potrebné únik okamžite nahlásiť príslušnému orgánu do 72 hodín a informovať dotknuté osoby, pokiaľ to môže ohroziť ich práva a slobodu. Ochrana musí byť komplexná, napríklad ak sú údaje kryptované, neexistuje riziko pre poškodené osoby.

Sankcie za porušenie povinností externého účtovníka podľa GDPR môžu byť veľmi závažné. Ak účtovník poruší povinnosť viesť záznamy o spracovateľských činnostiach, nezabezpečí oznámenie bezpečnostného incidentu prevádzkovateľovi alebo poruší povinnosť mlčanlivosti, Úrad na ochranu osobných údajov môže uložiť pokutu až do výšky 10 000 000 eur. Ak ide o podnik, pokuta môže dosiahnuť až 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, pričom sa uplatní tá vyššia suma.

Základné povinnosti externého účtovníka podľa GDPR:

• chrániť spracúvané osobné údaje pred neoprávneným prístupom;
• viesť záznamy o spracovateľských činnostiach (čl. 30 bod 2 GDPR);
• oznámiť prevádzkovateľovi porušenie ochrany osobných údajov;
• spolupracovať s Úradom na ochranu osobných údajov SR;
• po ukončení spracovania vymazať alebo vrátiť osobné údaje prevádzkovateľovi;
• zachovávať mlčanlivosť o spracovaných informáciách (§ 79 nového zákona o ochrane osobných údajov).

Externý účtovník môže spracúvať osobné údaje dotknutých osôb na základe poverenia od prevádzkovateľa. Podľa GDPR je prevádzkovateľ oprávnený poveriť sprostredkovateľa spracúvaním osobných údajov, avšak toto poverenie musí byť vykonané prostredníctvom osobitnej zmluvy. Táto zmluva medzi prevádzkovateľom a sprostredkovateľom musí presne definovať podmienky spracúvania údajov, vrátane účelu, rozsahu, doby spracúvania a bezpečnostných opatrení, ktoré musia byť dodržiavané pri spracovaní osobných údajov.

Pri ochrane osobných údajov je potrebné rozlišovať dva subjekty – prevádzkovateľa a sprostredkovateľa.

Prevádzkovateľom je fyzická alebo právnická osoba, ktorá spracúva osobné údaje vo vlastnom mene (napr. zamestnávateľ sám spracúva osobné údaje svojich zamestnancov na účel plnenia povinností súvisiacich s pracovným pomerom).

Naopak, sprostredkovateľom je fyzická alebo právnická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa (napr. účtovník, resp. účtovnícka firma vedie účtovníctvo a mzdovú agendu pre inú firmu). V prípade externého účtovníka teda ide o sprostredkovateľa, ktorý spracúva údaje na základe zmluvy a podľa pokynov prevádzkovateľa, napríklad pri vedení účtovníctva alebo mzdovej agendy.

Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa:

• požadovať prístup k jej osobným údajom;
• požadovať opravu, vymazanie alebo obmedzenie spracúvania jej osobných údajov;
• namietať spracúvanie osobných údajov,
• na prenosnosť svojich osobných údajov;
• kedykoľvek svoj súhlas so spracúvaním osobných údajov odvolať, ak sa osobné údaje spracúvajú na tomto právnom základe,
• právo podať sťažnosť dozornému orgánu t. j. Úradu na ochranu osobných údajov Slovenskej republiky.

Áno, podľa nariadenia GDPR má každá osoba, ktorej obraz je zaznamenaný na kamerovom systéme, právo požadovať a mať k dispozícii kópiu svojich osobných údajov, ktoré sú zaznamenané na kamerovom zázname. To znamená, že ak zamestnanec požiada o prístup k svojej osobe zachytenej na kamerovom zázname, ste povinní poskytnúť tieto informácie v primeranej forme. Tento postup slúži na ochranu práv zamestnanca a zabezpečenie transparentnosti spracovania osobných údajov v súlade s GDPR.

Vo všeobecnosti na Slovensku platí, že záznamy z kamerového systému by mali byť uchovávané maximálne 15 dní, aby sa zamedzilo porušovaniu nariadenia GDPR. Ak máte dôvod uchovávať záznamy dlhšie, je nevyhnutné, aby ste vykonali hodnotenie rizika, ktoré presne vysvetlí, prečo je potrebné uchovávanie na dlhšiu dobu a aký je účel takéhoto uchovávania. Moderné kamerové systémy CCTV umožňujú nastaviť konkrétne obmedzenia pre každú kameru, čím sa zabezpečí, že záznamy budú uchovávané len po dobu, ktorá je nevyhnutná na splnenie daného účelu.

Áno, je potrebné informovať ľudí o prítomnosti CCTV. Podľa nariadenia GDPR je dôležité, aby informácie o monitorovanom objekte, ako napríklad značka, ktorá upozorňuje na používanie CCTV, a kontaktné číslo správcu, boli zreteľne zobrazené na viditeľných miestach, ako sú všetky vstupy a vjazdy.

Na zlepšenie prehľadnosti môžu byť tieto informácie doplnené aj jednoduchými a názornými obrázkami. Okrem toho môže správca poskytnúť informácie elektronickou formou, aby zabezpečil, že všetci dotknutí jednotlivci budú informovaní o monitorovaní. Týmto spôsobom sa zaručí transparentnosť a rešpektovanie práv osôb.

Áno, používanie kamerového systému na monitorovanie zamestnancov podlieha pravidlám GDPR. V prípade, že sa kamery používajú, je dôležité, aby organizácia dokázala, že existuje oprávnený záujem na ich použití.

Monitorovanie zamestnancov môže byť považované za narušenie ich práva na súkromie, a preto je potrebné, aby zamestnávateľ preukázal, že kamery sú nevyhnutné na ochranu zdravia a bezpečnosti zamestnancov. V tomto prípade môže byť používanie kamier legitímne. Je tiež dôležité informovať zamestnancov o existencii kamerového systému a jeho účele.

Náhodné porušenie ochrany osobných údajov neospravedlňuje nedodržanie pravidiel GDPR. Aj v prípade náhodného porušenia môže byť organizácia vystavená vysokým pokutám. Podľa nariadenia GDPR môže byť pokuta až do výšky 20 miliónov eur alebo 4 % ročných príjmov spoločnosti, podľa toho, ktorá hodnota je vyššia. To znamená, že aj neúmyselné porušenie pravidiel o ochrane osobných údajov môže mať vážne finančné následky pre organizáciu. Preto je dôležité, aby organizácie prijali potrebné opatrenia na ochranu osobných údajov a zamedzili riziku porušenia pravidiel.