Články

Privacy policy

Metodický pokyn k “Súhlasu so spracovaním osobných údajov”

Úrad na ochranu osobných údajov vydal dňa 2.12.2015  metodické usmernenie č. 1/2015 k základným pojmom – súhlas dotknutej osoby. Je pre nás ocenením, že jeden so vzorov súhlasu v metodickom pokyne sa zhoduje so vzorom súhlasu, ktorý sme zverejnili pre našich klientov na našej web stránke ešte v marci 2015 a ktorý štandardne dodávame našim klientom ako súčasť bezpečnostnej dokumentácie.

Podľa metodického pokynu súhlas je právnym úkonom dotknutej osoby a na jeho platnosť sa vyžaduje, aby bol uskutočnený dobrovoľne a vážne, určite a zrozumiteľne, inak je absolútne neplatný. Na základe súhlasu sú najčastejšie spracúvané osobné údaje pri marketingovej komunikácii, pri rôznych benefitných programoch, vernostných programoch (súťaže alebo zákaznícke/vernostné karty), alebo pri zverejňovaní fotografií na webovom sídle prevádzkovateľa. Súhlas dotknutej osoby si prevádzkovateľ nesmie vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi osobitným predpisom. Nie je dovolené, aby prevádzkovateľ zamedzil dotknutej osobe prístup k tovarom alebo využívaniu služieb, pokiaľ mu neudelila súhlas na spracúvanie osobných údajov na účel marketingovej komunikácie, napríklad zasielania propagačných materiálov.

Ak prevádzkovateľ spracúva osobné údaje na základe iného právneho základu (napríklad osobitný zákon alebo zmluva), dochádza k spracúvaniu osobných údajov bez súhlasu dotknutej osoby. Ak by prevádzkovateľ aj napriek tomu získaval od dotknutej osoby na tento účel naviac aj súhlas so spracúvaním osobných údajov, nemohol by zabezpečiť dotknutej osobe uplatňovanie jej práv, ktoré jej zákon o ochrane osobných údajov priznáva vo vzťahu k spracúvaniu osobných údajov na základe súhlasu. Preto nie je správne “poistiť” si spracúvanie osobných údajov vždy súhlasom.

Na to, aby bol súhlas získaný v súlade so zákonom o ochrane osobných údajov, dotknutá osoba musí mať pred jeho udelením dostatok informácií, aby sa o jeho udelení vedela jednoznačne rozhodnúť. Prevádzkovateľ je povinný dotknutej osobe vopred oznámiť základné údaje uvedené v § 15 zákona o ochrane osobných údajov. Za splnenie informačnej povinnosti zodpovedá prevádzkovateľ informačného systému. Je preto na jeho uvážení zvoliť najvhodnejší spôsob splnenia informačnej povinnosti s ohľadom na vlastné podmienky spracúvania tak, aby v prípade potreby prevádzkovateľ vedel hodnoverne preukázať splnenie tejto povinnosti. Najčastejšie tak môže spraviť osobne, ústne, priložením písomného poučenia k súhlasu, odkazom na obchodné podmienky alebo zverejnením na svojom webovom sídle. 

Zákon o ochrane osobných údajov ustanovuje obligatórne (povinné) obsahové náležitosti súhlasu so spracúvaním osobných údajov, a to a) kto súhlas udeľuje, b) komu sa súhlas udeľuje, c) na aký účel sa súhlas udeľuje, d) zoznam alebo rozsah osobných údajov, ktoré majú byť predmetom spracúvania, e) čas platnosti súhlasu. Vzory súhlasov so spracúvaním osobných údajov sú uvedené v prílohe č. 1. metodického pokynu.

Zákon o ochrane osobných údajov ako obsahovú náležitosť súhlasu dotknutej osoby ustanovuje aj čas, na ktorý je súhlas udelený. Čas platnosti súhlasu musí byť primeraný účelu spracúvania osobných údajov. Čas sa vyjadruje konkrétnym časovým údajom (mesiace, roky) alebo vo výnimočných prípadoch (ak presné časové obdobie nie je možné s ohľadom na podmienky spracúvania určiť) sa ohraničuje vymedzením splnenia účelu, na ktorý sa súhlas udeľuje. Súhlas so spracúvaním osobných údajov nie je možné udeliť na dobu neurčitú. Napríklad určenie času platnosti súhlasu so spracúvaním osobných údajov „až do odvolania súhlasu so spracúvaním osobných údajov“ nie je dovolené, nakoľko by mohlo dôjsť k situácii, že osobné údaje by boli spracúvané na dobu neurčitú, čo je ako je vyššie uvedené v rozpore so zásadou primeranosti a zákonnou povinnosťou určenia času platnosti súhlasu prevádzkovateľom.

V praxi sa v oblasti elektronických komunikácií rozlišuje súhlas získavaný formou „opt-in“ (aktívny súhlas) a formou „opt-out“ (pasívny súhlas). Rozdiel spočíva v tom, že „opt-in“ určuje udelenie predchádzajúceho súhlasu kliknutím na konkrétnu ikonku, prostredníctvom ktorej dotknutá osoba súhlasí s použitím jej osobných údajov na daný účel, zatiaľ čo forma „opt-out“ vyjadruje, že dotknutá osoba „automaticky“ súhlasí so spracúvaním osobných údajov, ak nevyjadrí nesúhlas (napr. neklikne na ikonku nesúhlasu). Pri spracúvaní osobných údajov dotknutých osôb je možné používať iba formu „opt-in“, teda formu aktívneho súhlasu, nakoľko v opačnom prípade nie je možné hovoriť o vyjadrení slobodnej vôle dotknutej osoby.

 

Zdroj: http://dataprotection.gov.sk/uoou/sites/default/files/metodicky_pokyn_1_2015_suhlas_151203.pdf

 

Autor: JUDr. Lucia Semančínová

ochrana osobných údajov v USA

Kauza FACEBOOK: koniec ukladania európskych dát na servery v USA?

Súdny dvor Európskej únie včera rozhodol, že rozhodnutie Európskej komisie o primeranosti ochrany poskytovanej zásadami bezpečného prístavu, na základe ktorého dochádzalo k cezhraničnému prenosu osobných údajov do USA, je neplatné.

Prenos osobných údajov do tretích krajín, teda krajín mimo Európskeho hospodárskeho priestoru, je možné len vtedy, ak zariadenia, na ktorých sa údaje uchovávajú alebo inak spracúvajú, sa nachádzajú v krajinách, ktoré zaručujú primeranú úroveň ochrany. Ide o krajiny, o ktorých Európska komisia rozhodla, že poskytujú takúto primeranú úroveň ochrany.  Pokiaľ také podmienky nie sú splnené, je nutné, aby sám prevádzkovateľ zaistil zasielaným údajom primeranú ochranu, teda takú, ktorá bude v súlade so štandardami EÚ.

V uvedenom spore rakúsky študent práva Max Schrems spochybnil ochranu svojich osobných údajov poskytnutých FACEBOOK-u, ktoré sa prenášajú sčasti alebo v celom rozsahu z írskej dcérskej spoločnosti na servery, ktoré sa nachádzajú na území USA, kde sa spracúvajú. Tieto pochybnosti vyplývali z toho, že  právo a prax USA nezabezpečujú dostatočnú ochranu údajov prenesených do tejto krajiny pred činnosťami sledovania orgánov verejnej moci.

Systém “bezpečného prístavu” je aplikovateľný len na organizácie v USA, ktoré sa k tomuto systému prihlásili. Verejné orgány USA mu nie sú nijako podriadené a zásadám “bezpečného prístavu” nepodliehajú. Okrem toho tam, kde právo USA stanovuje povinnosti odporujúce zásadám “bezpečného prístavu”, musí americká organizácia takúto povinnosť rešpektovať. Prednosť majú predovšetkým požiadavky bezpečnosti štátu či verejného záujmu a americké organizácie nemôžu uplatňovať zásady “bezpečného prístavu”, ak sa ukážu ako nezlučiteľné práve s vnútroštátnou úpravou. Súdny dvor dospel k záveru, že v prípade osobných údajov zasielaných do USA, kedy verejné orgány môžu, a to bez akéhokoľvek rozlišovania, obmedzenie alebo výnimiek, k týmto dátam pristupovať a jednotlivec nemá možnosť sa právnou cestou účinne brániť, vyššie uvedené podmienky „bezpečného prístavu“ pre prenos osobných údajov do tretej krajiny nie sú splnené. Súdny dvor doplnil, že právnu úpravu umožňujúcu orgánom verejnej moci všeobecný prístup k obsahu elektronických komunikácií treba považovať za právnu úpravu, ktorá zasahuje do podstaty obsahu základného práva na rešpektovanie súkromného života.

Tento rozsudok má za následok, že írsky dozorný orgán je povinný rozhodnúť, či je podľa európskej smernice o ochrane osobných údajov potrebné zastaviť prenos údajov európskych používateľov FACEBOOKU do USA z dôvodu, že táto krajina nezaisťuje primeranú úroveň ochrany osobných údajov.

Toto rozhodnutie môže mať ďalekosiahle dôsledky pre viac ako 4 000 amerických firiem, nielen nadnárodných gigantov ako Facebook, Google, Amazon, ale aj malých podnikateľov a startupov, ktoré využívajú napríklad cloudové riešenia na serveroch v USA.

Pre slovenské spoločnosti, najmä dcérske firmy medzinárodných spoločností, ale aj iné firmy, ktoré majú svoje osobné údaje uložené na cloude v USA, to znamená, že uloženie osobných údajov na amerických serveroch tak ako boli doteraz, môže byť považované za porušenie práva na ochranu osobných údajov.

Slovenské spoločnosti ovplyvnené rozhodnutím musia teda svoj cezhraničný prenos osobných údajov do USA zosúladiť s požiadavkami § 31 zákona č. 122/2013 Z.z. o ochrane osobných údajov v platnom znení napríklad prijatím záruk vo forme inkorporácie štandardných zmluvných doložiek do zmluvy o cezhraničnom prenose alebo schválením záväzných vnútropodnikových pravidiel dozorným orgánom so sídlom v členskej krajine EÚ.

 

 

Tlačovú správu Súdneho dvora Európskej únie v plnom znení nájdete tu: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117sk.pdf

Odporúčania Úrad na ochranu osobných údajov SR pre cezhraničný prenos osobných údajov nájdete tu: https://dataprotection.gov.sk/uoou/sk/content/prenos-do-krajin-nezarucujucich-primeranu-uroven-ochrany

 

 

Autor: JUDr. Lucia Semančínová

bezpečnostné opatrenia na ochranu osobných údajov

Tipy ako zabezpečiť osobné údaje spracúvané v informačných systémoch

Základné technické bezpečnostné opatrenia na ochranu osobných údajov v informačných systémoch.

Za ochranu osobných údajov, ktoré prevádzkovateľ spracúva, je zodpovedný samotný prevádzkovateľ. Na tento účel je povinný prijať primerané technické, organizačné a personálne bezpečnostné opatrenia. Mnohí prevádzkovatelia však netušia, čo si majú pod týmito slovami predstaviť. V tomto článku Vám priblížime základné technické opatrenia. Hlavným zámerom prijatia bezpečnostných opatrení je vylúčiť neoprávnený prístup k spracovávaným osobným údajom a ich ochrana pred poškodením, zničením či zneužitím.

1. Prvotným krokom je zabezpečenie samotného objektu a priestorov, kde sa údaje nachádzajú a spracovávajú. Základnými opatreniami fyzickej bezpečnosti je:

  • uzamykanie dverí,
  • mreže,
  • plechové protipožiarne uzamykateľné kartotéky či trezory pre listinné dokumenty,
  • elektrické zabezpečovacie systémy (alarm),
  • kamerový systém,
  • skartovací stroj,
  • umiestnenie monitorov PC tak, aby sa zabránilo náhodnému odpozorovaniu osobných údajov neoprávnenou osobou.

2. Následne je potrebné zabezpečiť výpočtovú techniku používanú na spracúvanie osobných údajov. Ide najmä o:

  • nastavenie mena a hesla na prístup do PC, na prístup do aplikácii/softvérov,  používaných databáz,
  • v prípade zasielania osobných údajov prostredníctvom elektronickej pošty, zvlášť keď sa odosielajú citlivé údaje ako rodné číslo, je potrebné údaje posielať šifrovane a zabezpečiť heslom (napr. komprimačný program WINZIP).

3. Súčasťou ochrany osobných údajov je aj otázka sieťovej bezpečnosti. Pokiaľ je informačný systém pripojený k internetu, je potrebné zvoliť vhodný spôsob ochrany prostredníctvom:

  • antivírusových programov,
  • nastavenia firewallu,
  • kontroly spamov.

4. V neposlednej rade by mali byť osobné údaje chránené aj formou:

  • zálohovania a
  • správnym spôsobom likvidácie.

Bezpečnostné opatrenia odporúčané Úradom na ochranu osobných údajov sú uvedené vo vyhláške č. 164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení.

 

Autor: JUDr. Lucia Semančínová

osobné údaje cena

Súhlas so spracovaním osobných údajov – vzor

Súhlas dotknutej osoby so spracovaním osobných údajov pre IS Marketing

Prevádzkovateľ: Obchodné meno, sídlo, IČO

Týmto ako dotknutá osoba dobrovoľne udeľujem podľa § 11 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „Zákon“) súhlas so spracúvaním poskytnutých osobných údajov v rozsahu meno, priezvisko, telefón, email, bydlisko, a to na účely zasielania noviniek, katalógov a iných marketingových aktivít v rámci podpory predaja prevádzkovateľa.

Súhlas udeľujem na dobu 5 rokov. Udelený súhlas je možné kedykoľvek odvolať zaslaním žiadosti na emailovú adresu prevádzkovateľa alebo písomnej žiadosti na adresu sídla prevádzkovateľa.

Ako dotknutá osoba vyhlasujem, že som si vedomá svojich práv v zmysle § 28 Zákona a že mi boli poskytnuté všetky informácie podľa § 15 Zákona.

Zároveň vyhlasujem, že poskytnuté osobné údaje sú pravdivé, boli poskytnuté slobodne a za nepravdivosť osobných údajov zodpovedám v zmysle § 68 ods. 7 písm. b) Zákona.

______________________

Uvedený vzor súhlasu dotknutej osoby so spracovaním osobných údajov je možné použiť pre všetkých prevádzkovateľov, ktorý svojim zákazníkom posielajú emailom alebo poštou rôzne newslettre, katalógy, informačné letáky, brožúry, informácie o novinkách a akciách alebo vykonávajú akúkoľvek inú marketingovú aktivitu, napr. e-shop, webový portál, kamenná predajňa, realitná kancelária, cestovná kancelária-cestovná agentúra a pod.

V prípade, že sa potrebujete pri vypracovaní Vašej dokumentácie poradiť alebo máte záujem o komplexné spracovanie ochrany osobných údajov vo Vašej organizácii, neváhajte nás kontaktovať na tel. č. 0917 523 986, e-mialom na office@firemne-poradenstvo.sk alebo nám zašlite základné údaje o Vami spracúvaných osobných údajov a my Vám pošleme cenovú ponuku http://www.firemne-poradenstvo.sk/chrana-osobnych-udajov/dotaznik-pre-osobne-udaje/. Podrobnejšie informácie o našich službách v oblasti ochrany osobných údajov nájdete na http://www.firemne-poradenstvo.sk/chrana-osobnych-udajov/.

 

Autor: JUDr. Lucia Semančínová – zodpovedná osoba