Získavanie osobných údajov po novom

Nové postupy v spracúvaní osobných údajov sa dotknú aj povinnej informačnej povinnosti voči dotknutým osobám. Samozrejmosťou je, že každá organizácia musí vedieť plnenie tejto povinnosti preukázať. V tomto článku sa dozviete o dôležitej zmene, ktorá sa týka získavania osobných údajov na základe osobitných zákonov.

Získavaním sa to celé začína

Získavanie osobných údajov je úvodnou činnosťou celého procesu spracúvania osobných údajov v podmienkach organizácie. Pokiaľ ide o samotnú definíciu „spracúvania osobných údajov“, v novom zákone o ochrane osobných údajov k jej zásadným zmenám nedochádza. Aj naďalej je spracúvaním osobných údajov

spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.

Automatizovaným prostriedkami rozumieme napríklad stolový počítač, notebook, mobil. Naopak neautomatizované spracúvanie osobných údajov je taká forma, kedy sú osobné údaje spracúvané napríklad výhradne v listinnej podobe. Vo firmách dochádza mnohokrát ku kombinácii oboch metód, to znamená, že časť osobných údajov je vedená v listinnej podobe (napríklad v zakladači, v spise) a časť v elektronickej podobe (napríklad na pevnom disku počítača alebo na USB).

Príklad:

Prevádzkovateľ ubytovacieho zariadenia získava osobné údaje o svojich návštevníkoch. Tieto si zaznamenáva do zošita. Aj napriek tomu, že prevádzkovateľ nevyužíva automatizované metódy – osobné údaje si vedie len v listinnej podobe, hovoríme, že spracúva osobné údaje.

Informačná povinnosť ako súčasť získavania osobných údajov

So získavaním osobných údajov je spätá informačná povinnosť voči dotknutej osobe, kedy je informovaná o tom, ako budú jej osobné údaje spracúvané.

Zákon rozlišuje dve situácie:

  • keď organizácia získava osobné údaje priamo od dotknutej osoby
  • a keď organizácia nezíska osobné údaje od dotknutej osoby. Osobné údaje môžu byť napríklad získané od inej organizácie, alebo od inej fyzickej osoby.

A práve v situácii, keď sú osobné údaje získané priamo od dotknutej osoby dochádza k zásadnej zmene.

Kým podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov nebolo potrebné dotknutú osobu informovať napríklad vtedy, keď firma postupovala podľa osobitného zákona (tento bol tzv. právnym základom pre spracúvanie osobných údajov), podľa nového nebude nutné dotknutú osobu informovať len vtedy a v

rozsahu, v akom boli informácie dotknutej osobe poskytnuté pred spracúvaním osobných údajov.

Príklad:

Organizácia spracúva osobné údaje o svojich zamestnancoch v mzdovej a personálnej agende. Je to nevyhnutné k tomu, aby plnila požiadavky osobitných predpisov (napríklad Zákonníka práce, zákona o sociálnom poistení, zákona o zdravotnom poistení). Tieto osobitné predpisy tvoria tzv. právny základ spracúvania.

Kým podľa starých postupov (zákona č. 122/2013 Z. z.) nebolo potrebné informovať dotknuté osoby (zamestnancov) o tom, akým spôsobom budú ich osobné údaje spracúvané, po novom bude potrebné plnenie informačnej povinnosti zabezpečiť, a to napríklad prostredníctvom pracovnej zmluvy alebo samostatným formulárom určeným pre získavanie osobných údajov.

Príklad:

Organizácia spracúva osobné údaje pre potreby plnenia zmluvy (zmluva je právnym základom spracúvania osobných údajov). V rámci získavania osobných údajov bola splnená aj informačná povinnosť voči dotknutým osobám. Po určitom období pristúpi organizácia k uzatvoreniu dodatkov k existujúcim zmluvám. Informačnú povinnosť už nie je potrebné plniť, keďže informácie o spracúvaní osobných údajov boli dotknutej osobe poskytnuté v predchádzajúcom období, pri uzatvorení zmluvy.

Naopak, dotknutú osobu by bolo potrebné informovať opätovne, ak by novým dodatkom napríklad dochádzalo k spracúvaniu ďalších osobných údajov alebo by boli osobné údaje poskytované iným (novým) príjemcom.

Príklad:

Prevádzkovateľ elektronického obchodu (e-shopu) získava osobné údaje o svojich zákazníkoch, a to z toho dôvodu, aby zrealizoval dodanie objednaného tovaru a vystavil daňový doklad. Prevádzkovateľ je povinný informovať svojich zákazníkov o tom, ako bude ich osobné údaje spracúvať.

Kedy je potrebné informácie o spracúvaní osobných údajov poskytnúť?

Ak sú osobné údaje získavané priamo od dotknutej osoby, potom je potrebné informáciu poskytnúť v čase získavanie osobných údajov.

Príklad:

Organizácia získava osobné údaje uchádzačov o zamestnanie. Osobné údaje sú získavané priamo od dotknutých osôb – uchádzačov, preto plní informačnú povinnosť najneskôr v čase získavania osobných údajov, a to nasledujúcim spôsobom:

  • pri osobnom kontaktne s uchádzačom – prostredníctvom listinné formulára
  • a cez webovú stránku, prostredníctvom ktorej môže uchádzač o zamestnanie poskytnúť svoje osobné údaje organizácii.

Ak však osobné údaje neboli získané priamo do dotknutej osoby (boli získané napríklad od inej fyzickej osoby alebo od inej organizácie), potom nové postupy v spracúvaní osobných údajov hovoria o tom, že prevádzkovateľ poskytuje informácie:

a) najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,

b) najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou,  alebo

c)  najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi.

Loading
2018-12-02T19:18:51+00:00