Všeobecné informácie o ochrane osobných údajov.
Čo je to GDPR?
GDPR, alebo po anglicky General Data Protection Regulation, je európske nariadenie o ochrane osobných údajov, ktoré je platné pre všetky štáty Európskej únie a je priamo uplatniteľné pre každý štát Európskej únie. Celý názov nariadenia znie Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). Toto nariadenie vzniklo, aby sa stanovili spoločné požiadavky európskych štátov na správne a legitímne spracúvanie osobných údajov fyzických osôb tak, aby platilo v každom štáte rovnako. Nariadenie stanovuje všeobecné povinnosti, práva a požiadavky všetkých aktérov, ktorí sú zapojení do spracúvania osobných údajov v celom európskom priestore. Nariadenie reguluje voľný tok osobných údajov v Európskej únii a zároveň stanovuje, čo všetko spadá pod ochranu osobných údajov a čo už je vyňaté spod ochrany osobných údajov. Toto nariadenie GDPR bolo priamo transponované do slovenského právneho poriadku ako zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. Od dátumu účinnosti tohto zákona od 25. mája 2018 bol dvakrát zákon novelizovaný, naposledy v roku 2021, keď novelou zákona boli osobné údaje zosnulých osôb na Slovensku vyňaté spod ochrany osobných údajov.
Všeobecné informácie o ochrane osobných údajov v Národnej agentúre pre sieťové a elektronické služby
Národná agentúra pre sieťové a elektronické služby (ďalej len „NASES“) na tomto webe informuje dotknuté osoby o tom, aké osobné údaje môže NASES získavať, ako ich môže využívať a akým spôsobom môžu poverené osoby NASES zaobchádzať s osobnými údajmi, ktoré NASES dotknuté osoby poskytnú.
Ďalej NASES informuje o účeloch spracúvania, dobách spracúvania osobných údajov, ako aj o právach dotknutých osôb.
Kontaktné údaje
Prevádzkovateľ:
Národná agentúra pre sieťové a elektronické služby
Sídlo: Kollárova 8, 917 02 Trnava
Detašované pracovisko: Pribinova 25, 811 09, Bratislava 1
Zodpovedná osoba za ochranu osobných údajov:
Zodpovedná osoba:
tel. č.: +421 2 3278 0771
e-mail:dpo@nases.gov.sk
Bezpečnosť a transparentnosť spracúvania osobných údajov
NASES postupuje pri spracúvaní osobných údajov v súlade s Nariadením Európskeho parlamentu a Rady Európskej Únie 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“) a so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon“).
NASES získava osobné údaje priamo od dotknutej osoby (ďalej len „dotknutá osoba“) alebo od inej osoby, ktorá NASES poskytne osobné údaje. Môže tak nastať situácia, ak NASES získa osobné údaje aj od inej osoby ako priamo od dotknutej osoby, preto tento dokument poskytuje informácie všetkým dotknutým osobám v zmysle čl. 13 Nariadenia, tak aj v zmysle čl. 14 Nariadenia.
Všetky osobné údaje, ktoré NASES o dotknutej osobe spracúva sú spracúvané iba pre odôvodnené účely, len na obmedzenú dobu a s využitím maximálnej možnej miery zabezpečenia.
NASES zároveň prijalo súbor interných smerníc ako súčasť bezpečnostných opatrení, taktiež prijalo ako prevádzkovateľ množstvo organizačno-technických opatrení na ochranu osobných údajov a primeranosť úrovne prijatých bezpečnostných opatrení pravidelne analyzuje a vyhodnocuje.
Záznamy o spracovateľských činnostiach
NASES spracúva osobné údaje dotknutých osôb výlučne v súlade so zásadou zákonnosti, spravodlivosti a transparentnosti, a to na účely spracúvania osobných údajov, ktoré sú uvedené v zázname o spracovateľských činnostiach a v informačnej povinnosti prevádzkovateľa.
V tomto dokumente nájdete informácie o tom, aké osobné údaje NASES spracúva, na aký konkrétny účel, na akom právnom základe, komu môže NASES osobné údaje poskytovať, ako dlho ich môže spracúvať a aké bezpečnostné opatrenia NASES prijalo na ochranu osobných údajov.
Právny základ pre spracúvanie osobných údajov
NASES spracúva osobné údaje dotknutých osôb len v prípade, ak je splnená jedna z nasledujúcich podmienok – vhodný právny základ pre spracúvanie osobných údajov.
Plnenie zmluvných povinností – NASES spracúva osobné údaje pri plnení zmluvy s dotknutou osobou, v rozsahu potrebnom na plnenie zmluvných povinností. K spracúvaniu osobných údajov pri plnení zmluvných povinností dochádza napríklad pri uzatvorení kúpnej zmluvy, alebo zmluvy súvisiacej so sociálnymi službami, ktorá je uzatvorená medzi prevádzkovateľom a dotknutou osobou.
Plnenie zákonných povinností – NASES spracúva osobné údaje aj pri plnení zákonných povinností. Týmito zákonnými povinnosťami sú napríklad povinnosti vyplývajúce z daňových predpisov, predpisov súvisiacich s auditmi alebo s účtovníctvom.
Ochrana životne dôležitých záujmov – k spracúvaniu osobných údajov môže prísť aj v prípade, ak NASES chráni životne dôležité záujmy dotknutej osôb, napr. ak je v ohrození život alebo zdravie dotknutej osoby.
Splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci – NASES plní úlohy realizované vo verejnom záujme, ako aj úlohy pri výkone verejnej moci, v rámci pôsobnosti prevádzkovateľa vyplývajúcej z osobitných právnych predpisov, preto je povinný spracúvať osobné údaje pre splnenie významnej úlohy vo verejnom záujme.
Oprávnený záujem prevádzkovateľa – NASES spracúva osobné údaje aj na základe oprávneného záujmu, výlučne v prípadoch, ak je spracúvanie nevyhnutné na sledovanie oprávnených záujmov prevádzkovateľa alebo tretej strany, ak nad týmito záujmami neprevažujú záujmy alebo základné práva a slobody dotknutej osoby. Oprávnený záujem NASES aplikuje napríklad pri monitorovaní priestorov prevádzkovateľa z dôvodu ochrany majetku, pri určitých činnostiach spojených s verejnou prezentáciou prevádzkovateľa na akciách s účasťou verejnosti. Pred aplikovaním tohto právneho základu musí prevádzkovateľ vykonať balančný test, pričom výsledok balančného testu nesmie vo výsledku prevažovať nad slobodami, právami a záujmami fyzických osôb, ktorých sa plánované spracúvanie dotýka.
Súhlas so spracúvaním osobných údajov – NASES spracúva osobné údaje aj na základe súhlasu dotknutej osoby. NASES si od dotknutej osoby vyžiada súhlas vždy, keď iný právny základ nemožno aplikovať. K spracúvaniu osobných údajov na základe súhlasu dochádza napríklad pri zasielaní informácií o prevádzkovateľovi prostredníctvom
e-mailu alebo zapojení sa do súťaže dotknutou osobou.
NASES spracúva osobné údaje na základe vyššie uvedených právnych základov, pričom určenie, či ide o zákonnú alebo zmluvnú požiadavku na spracovanie osobných údajov alebo oprávnený záujem, resp. verejný záujem prevádzkovateľa či iný z právnych základov, legitímny výber je na samotnom prevádzkovateľovi. Tieto informácie sú uvedené v záznamoch o spracovateľských činnostiach a v informačnej povinnosti prevádzkovateľa.
Kategórie osobných údajov
NASES spracúva dve kategórie osobných údajov: všeobecnú kategóriu osobných údajov a osobné údaje osobitnej kategórie.
Medzi všeobecné osobné údaje patrí napr. titul, meno, priezvisko, telefónne číslo, e-mailová adresa, adresa pobytu, rodné číslo a pod.
Medzi osobné údaje osobitnej kategórie patria typy osobných údajov, s ktorými sa musí narábať citlivo a smú sa spracúvať iba podľa osobitných výnimiek, ktoré stanovuje nariadenie v článku 9 ods. 2; sú to osobné údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Doba uchovávania osobných údajov
NASES uchováva osobné údaje v závislosti od účelu spracovávania osobných údajov. Pri dobe uchovávania NASES zohľadňuje zásadu minimalizácie uchovávania osobných údajov, t. j. uchováva osobné údaje výlučne počas doby, počas ktorej je uchovávanie osobných údajov nevyhnutné.
NASES uchováva osobné údaje v súlade s požiadavkami osobitných predpisov Slovenskej republiky, v ktorých sú stanovené doby uchovávania jednotlivých osobných údajov. V prípadoch, keď nie sú doby uchovávania uvedené zákonom, sú stanovené v smernici o registratúrnom poriadku, v registratúrnom pláne prevádzkovateľa. Ak ide o osobitnú situáciu spracúvania osobných údajov, tak NASES určuje dobu uchovávania osobných údajov podľa stanoveného účelu a dodržiava pri tom zásadu minimalizácie uchovávania.
Všetky informácie o dobách uchovávania osobných údajov sú uvedené v záznamoch o spracovateľských činnostiach prevádzkovateľa a v informačná povinnosti prevádzkovateľa.
Práva dotknutých osôb
Dotknuté osoby majú podľa čl. 12 až 22 nariadenia stanovené svoje práva, ktoré NASES v plnej miere rešpektuje. Taktiež má NASES v interných riadiacich aktoch stanovené postupy na vybavovanie požiadaviek pri uplatňovaní týchto práv.
Žiadosť o uplatnenie práv dotknutých osôb vybavíte podaním poštou na oficiálnu adresu NASES, podaním na podateľni NASES alebo elektronicky e-mailom na zodpovednú osobu za ochranu osobných údajov.
Právo na prístup k údajom
Podľa čl. 15 nariadenia má dotknutá osoba právo
- získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje,
- získať prístup k týmto údajom,
- získať doplňujúce informácie, ktoré zahŕňajú:
- účely spracúvania,
- kategórie osobných údajov,
- príjemcov alebo kategórie príjemcov, ak sa údaje ďalej poskytujú,
- dobu uchovávania osobných údajov alebo kritériá na jej určenie,
- informáciu o existencii automatizovaného rozhodovania vrátane profilovania, použitom postupe, význame a dôsledkoch pre dotknutú osobu,
- ak sa údaje nezískali od dotknutej osoby, informácie o zdroji,
- informácie o právach dotknutej osoby požadovať od prevádzkovateľa opravu, vymazanie alebo obmedzenie spracúvania jej osobných údajov, o práve namietať proti spracúvaniu osobných údajov a o práve podať sťažnosť dozornému orgánu.
Právo na opravu
Podľa čl. 16 nariadenia má dotknutá osoba právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú a tiež právo na doplnenie neúplných osobných údajov.
Právo na vymazanie / zabudnutie
Podľa čl. 17 nariadenia má dotknutá osoba právo na to, aby prevádzkovateľ vymazal jej osobné údaje za predpokladu, že sú splnené určité presne stanovené podmienky. V tejto súvislosti treba spomenúť „právo na zabudnutie“, ktoré je relatívne novým ustanovením v oblasti ochrany osobných údajov. Ide o povinnosť prevádzkovateľa oznámiť uplatnenie práva dotknutej osoby na vymazanie jej osobných údajov všetkým príjemcom, ktorým boli osobné údaje poskytnuté. Táto oznamovacia povinnosť prevádzkovateľa sa vzťahuje aj na uplatnenia práva dotknutej osoby na opravu a obmedzenie spracúvania.
Právo na obmedzenie spracúvania
Podľa čl. 18 nariadenia má dotknutá osoba právo na to, aby prevádzkovateľ obmedzil spracúvanie jej osobných údajov v presne definovaných špecifických prípadoch.
Právo na prenosnosť údajov
Podľa čl. 20 nariadenia má dotknutá osoba právo získať osobné údaje, ktoré sa jej týkajú, a ktoré poskytla prevádzkovateľovi a preniesť tieto údaje k inému prevádzkovateľovi (v prípade splnenia presne stanovených podmienok).
Právo namietať
Podľa čl. 21 nariadenia má dotknutá osoba právo namietať proti spracúvaniu jej osobných údajov (za určitých podmienok) vrátane namietania proti profilovaniu. Prevádzkovateľ v takom prípade nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže oprávnené dôvody, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby alebo dôvody v súvislosti s uplatňovaním alebo obhajovaním právnych nárokov. V tejto súvislosti treba spomenúť právo dotknutej osoby namietať proti spracúvaniu jej osobných údajov na účely priameho marketingu, vrátane profilovania, kedy prevádzkovateľ musí takejto požiadavke vyhovieť a osobné údaje ďalej na takéto účely spracúvať nesmie.
Práva v súvislosti s automatizovaným rozhodovaním / profilovaním
Podľa čl. 22 nariadenia má dotknutá osoba právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky pre dotknutú osobu. Aj v tomto prípade je uplatnenie práva viazané k určitým okolnostiam. V každom prípade je tu ustanovenie, podľa ktorého prevádzkovateľ musí vykonať opatrenia na ochranu práv, slobôd a oprávnených záujmov dotknutej osoby, a to minimálne práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.
Právo odvolať súhlas
Podľa čl. 7 nariadenia má dotknutá osoba právo kedykoľvek odvolať svoj súhlas so spracúvaním svojich osobných údajov.
Právo podať sťažnosť dozornému orgánu
Podľa čl. 77 nariadenia má dotknutá osoba právo podať sťažnosť dozornému orgánu, ak sa domnieva, že spracúvanie jej osobných údajov je v rozpore s nariadením.
Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu
Podľa čl. 78 nariadenia má dotknutá osoba právo na účinný súdny prostriedok nápravy, ak dozorný orgán jej sťažnosť nevybavil alebo neinformoval dotknutú osobu do troch mesiacov o výsledku sťažnosti podanej podľa čl. 77 nariadenia.
Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi/sprostredkovateľovi
Podľa čl. 79 nariadenia má dotknutá osoba právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s nariadením došlo k porušeniu jej práv.
Právo na náhradu škody
Podľa čl. 82 nariadenia má dotknutá osoba právo na náhradu škody od prevádzkovateľa/sprostredkovateľa, ak utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia ustanovení nariadenia.
Právo na zastupovanie
Podľa čl. 80 nariadenia má dotknutá osoba právo poveriť neziskový subjekt, ktorý pôsobí v oblasti ochrany práv a slobôd dotknutých osôb, aby podal sťažnosť v jej mene, aby uplatnil práva podľa čl. 77, 78 a 79 nariadenia, a aby v jej mene uplatnil právo na náhradu škody, ak to umožňuje právo členského štátu.
Právo byť informovaný v prípade porušenia ochrany osobných údajov
Podľa čl. 34 nariadenia v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutej osoby, prevádzkovateľ musí bez zbytočného odkladu takéto porušenie ochrany osobných údajov dotknutej osobe oznámiť.