Princípy spracúvania osobných údajov

Aké sú základné princípy a pravidlá, ktoré je nutné dodržiavať pri spracúvaní osobných údajov fyzických osôb s prihliadnutím na spracúvanie osobných údajov v rámci činnosti občianskych združení? Prinášame praktické informácie.

Z legislatívneho hľadiska upravujú problematiku ochrany osobných údajov tri dokumenty, z ktorých sú pre naše potreby rozhodujúce dva:

  • Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej „nariadenie GDPR“); Nariadenie sa začalo uplatňovať od 25. mája 2018.
  • Zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (v ďalšom texte tiež „zákon“).
    Definícia niektorých pojmov

Nie je to síce populárne, ale bez zoznámenia sa s niektorými základnými pojmami sa nezaobídeme.
Vecná pôsobnosť nariadenia GDPR

Nariadenie GDPR sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

Vecná pôsobnosť nariadenia GDPR je vymedzená vo vzťahu k prostriedkom spracúvania, teda k tomu na čom, prípadne ako sú osobné údaje spracúvané.

Nariadenie GDPR sa vzťahuje na spracúvanie osobných údajov vykonávané prostredníctvom automatizovaných prostriedkov spracúvania (napr.: počítač, tablet, smartphone), ako aj na spracúvanie vykonávané prostredníctvom neautomatizovaných prostriedkov spracúvania (napr.: záznamová kniha, evidenčný zošit, papierová evidencia).

Nariadenie GDPR sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti.
Osobné údaje

Osobnými údajmi sú akékoľvek informácie (údaje) týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky (charakteristiky alebo znaky), ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Nariadenie GDPR neupravuje konkrétny konečný zoznam údajov, ktoré sú považované za osobné údaje. Poskytuje tzv. demonštratívny výpočet charakteristík určujúcich fyzickú osobu. Uvedená definícia osobných údajov nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba prostredníctvom konkrétnych osobných údajov identifikovateľná.

Identifikácia sa realizuje prostredníctvom konkrétnych charakteristických znakov, t. j. identifikátorov, ktoré možno priradiť ku konkrétnej fyzickej osobe. Fyzickú osobu považujeme za určenú, keď na základe dostupných údajov je jednoznačne identifikovaná a odlíšená od ostatných osôb v danom informačnom systéme, v ktorom sa osobné údaje spracúvajú.

Osobnými údajmi môžu byť v konkrétnej situácii napríklad: titul, meno, priezvisko, adresa trvalého pobytu, dátum narodenia, rodné číslo, údaj o zdravotnom stave, konkrétne tetovanie, lokalizačný údaj, on-line identifikátor a pod.
Biometrické údaje

Biometrickými údajmi sa rozumejú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje.
Údaje o zdraví

Údajmi týkajúcimi sa zdravia sa rozumejú osobné údaje týkajúce sa fyzického zdravia alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti alebo služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave.

Osobné údaje týkajúce sa zdravia sú také osobné údaje, ktoré poskytujú informácie o minulom, súčasnom alebo možnom budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Patria sem aj údaje o zdraví fyzickej osoby získané pri jej registrácii na účely poskytovania služieb zdravotnej starostlivosti, služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo sociálnych služieb.

Medzi osobné údaje týkajúce sa zdravia patria tiež akékoľvek informácie o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze alebo klinickej liečbe.
Spracúvanie osobných údajov

Spracúvaním osobných údajov sa rozumie spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
Informačný systém

Informačným systémom je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe.

Informačným systémom sa na účely nariadenia GDPR rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje fyzických osôb, ktoré sú systematicky spracúvané pre potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania.
Dotknutá osoba

Dotknutou osobou sa rozumie každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
Prevádzkovateľ

Prevádzkovateľom sa rozumie každý, kto sám alebo spoločne s inými pred začatím spracúvania osobných údajov vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene.
Sprostredkovateľ

Sprostredkovateľom sa rozumie každý, kto spracúva osobné údaje v mene prevádzkovateľa.

Právny vzťah na základe ktorého dochádza k spracúvaniu osobných údajov sprostredkovateľom v mene prevádzkovateľa je založený na zmluve, plnej moci, poverení sprostredkovateľa prevádzkovateľom.
Súhlas

Súhlasom dotknutej osoby sa rozumie akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.
Porušenie ochrany osobných údajov

Porušením ochrany osobných údajov sa rozumie porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo k neoprávnenému prístupu k nim.

Za porušenie ochrany osobných údajov považujeme situácie, pri ktorých dochádza k nedovolenému resp. nezákonnému nakladaniu s osobnými údajmi, či už úmyselne alebo v dôsledku zanedbania povinností a opatrení prijatých na ich ochranu.
Príjemca

Príjemcom sa rozumie každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.

Príjemcom je každý, komu sú osobné údaje poskytnuté alebo sprístupnené, či sa jedná o tretiu stranu alebo nie. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s osobitným predpisom, sa však nepovažujú za príjemcov.
Tretia strana

Treťou stranou sa rozumie každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.

Treťou stranou je každý subjekt súkromného sektora alebo orgán verejnej moci, alebo fyzická osoba, ktorá nie je prevádzkovateľom, sprostredkovateľom alebo dotknutou osobou. Treťou stranou sú aj osoby, ktoré nie sú priamo poverené spracúvaním osobných údajov prevádzkovateľom alebo sprostredkovateľom. Tretia strana je užší pojem ako príjemca. Príjemca je akýkoľvek subjekt, ktorému sa osobné údaje poskytujú, s výnimkou orgánov verejnej moci.
Zásady spracúvania osobných údajov

Zásady spracúvania osobných údajov sú základnými mantinelmi, v rámci ktorých sa konkrétne spracúvanie osobných údajov fyzickej osoby vykonáva. Cieľom je vykonávanie spracúvania osobných údajov tak, aby boli rešpektované práva dotknutých osôb a aby spracúvaním osobných údajov nedochádzalo k porušovaniu práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do práva na ochranu súkromia.

Preto pri spracúvaní osobných údajov je nutné dodržiavať niekoľko základných zásad.
Zásada zákonnosti

Osobné údaje môžu byť spracúvané len zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe, a to tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

Každé spracúvanie osobných údajov má byť zákonné, založené na legálnom právnom základe. Spracúvanie nesmie byť protiprávne, nesmie prebiehať na nelegálnom právnom základe alebo samotný účel spracúvania nesmie byť nelegitímny.
Zásada obmedzenia účelu

Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a legitímny (oprávnený) účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie alebo na štatistický účel, ak sú dodržané primerané záruky ochrany práv dotknutej osoby, sa nepovažuje za nezlučiteľné s pôvodným účelom.

Spracúvané osobné údaje majú byť obmedzené na zoznam alebo rozsah osobných údajov nevyhnutný vzhľadom na účel, na ktorý sa spracúvajú. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvaných osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných osobných údajov.

Účel má byť vymedzený dostatočne jasne a určito, aby z neho bolo jasné, aké spracovateľské operácie na základe neho budú a nebudú prebiehať a aké spracovateľské operácie so svojimi osobnými údajmi dotknutá osoba môže očakávať.

Spracúvať osobné údaje na iný účel, než na ktorý boli získané je zakázané, ibaže by tento iný účel úzko súvisel s pôvodným účelom spracúvania, bol s ním zlučiteľný.
Zásada minimalizácie osobných údajov

Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účel, na ktorý sa spracúvajú.

Spracúvanie osobných údajov má byť úzko naviazané na účel spracúvania osobných údajov, a to najmä pokiaľ ide o zoznam alebo rozsah spracúvaných osobných údajov, ktorý by mal byť nevyhnutný na to, aby sa spracúvaním daných osobných údajov účel mohol dosiahnuť.

Nie je správne, aby sa zoznam alebo rozsah osobných údajov umelo alebo dodatočne rozširoval vzhľadom na účel. Ak je účel a zoznam alebo rozsah osobných údajov stanovený zákonom, je potrebné ho rešpektovať. Ak si zoznam alebo rozsah spracúvaných osobných údajov určuje prevádzkovateľ, má dbať na to, aby ho zbytočne, nad rámec účelu nerozširoval.
Zásada správnosti

Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.

Osobné údaje spracúvané na určitý účel musia byť správne, presné a podľa potreby aktualizované tak, aby bolo zabezpečené, že osobné údaje, ktoré sú nesprávne, boli bezodkladne opravené alebo vymazané.

Ak nesprávny osobný údaj odhalí prevádzkovateľ, má povinnosť ho opraviť, ak je to možné, ak nie, má povinnosť ho zlikvidovať. V prípade ak nesprávny osobný údaj zistí dotknutá osoba, mala by sama iniciatívne kontaktovať prevádzkovateľa a požadovať opravu nesprávneho osobného údaja alebo jeho likvidáciu.

Ak sa nesprávnosť údaju potvrdí, prevádzkovateľ má požiadavke dotknutej osoby na opravu alebo vymazanie vyhovieť.

Zásada aktuálnosti znamená tiež to, že prevádzkovateľ má povinnosť spracúvané osobné údaje pravidelne kontrolovať a aktualizovať. Pravidelnosť kontroly je potrebné nastaviť s ohľadom na ujmu, ktorá môže vzniknúť dotknutej osobe pri spracúvaní nesprávneho osobného údaja prevádzkovateľom.

Prevádzkovateľ nesie zodpovednosť za aktuálnosť osobného údaja v jeho informačnom systéme osobných údajov. V prípade, ak dotknutá osoba sama poskytne prevádzkovateľovi nesprávne osobné údaje, za ich nesprávnosť v tomto prípade nenesie zodpovednosť prevádzkovateľ, iba že by mal možnosť, prípadne zákonom stanovenú povinnosť si ich správnosť preveriť.
Zásada minimalizácie uchovávania

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy , kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie alebo na štatistický účel a ak sú prijaté primerané technické a organizačné opatrenia na ochranu práv dotknutých osôb.

Zásada minimalizácie uchovávania spracúvaných osobných údajov má za cieľ dosiahnuť, aby sa osobné údaje vo forme, kedy je ich možné priradiť ku konkrétnej fyzickej osobe, spracúvali iba dovtedy, kým je to potrebné a nevyhnutné na dosiahnutie sledovaného účelu spracúvania.

Akonáhle je tento cieľ spracúvania osobných údajov dosiahnutý, je možné, aby sa osobné údaje už spracúvali iba na účely archivácie alebo na štatistické účely za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných nariadením GDPR na ochranu práv dotknutých osôb.
Zásada integrity a dôvernosti

Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou alebo zničením osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.

Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila ich primeraná bezpečnosť a dôvernosť vrátane predchádzania neoprávnenému prístupu k osobným údajom a prostriedkom spracúvania osobných údajov. Prijaté bezpečnostné opatrenia musia byť adekvátne spracúvaným osobným údajom, a to tak po technickej, personálnej, ako aj po organizačnej stránke.
Zásada zodpovednosti

Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu na ochranu osobných údajov preukázať.

Zásada zodpovednosti za spracúvané osobné údaje pre prevádzkovateľa znamená zodpovednosť za dodržiavanie všetkých povinností stanovených prevádzkovateľovi nariadením GDPR a zákonom o ochrane osobných údajov a zásada zodpovednosti pre neho znamená aj povinnosť, aby vedel deklarovať navonok, že všetky požadované povinnosti si skutočne plní.
Spracúvanie osobných údajov
Zákonnosť spracúvania – právny základ spracúvania osobných údajov

Spracúvať osobné údaje možno len niektorým zo zákonných spôsobov v nariadení GDPR presne definovaných –zákon na ochranu osobných údajov používa pojem právny základ pre spracúvanie osobných údajov. Ide o situácie, kedy spracúvanie osobných údajov dotknutej osoby prebieha na legálnom alebo na legitímnom právnom základe.

Spracúvanie osobných údajov je zákonné iba vtedy, ak sa vykonáva mimo iných na základe aspoň jedného z týchto právnych základov:

  • dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely,
  • spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba,
  • spracúvanie osobných údajov je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, resp. podľa osobitného predpisu, alebo
  • spracúvanie osobných údajov je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa.

(Poznámka: vymenované sú len tie právne základy spracúvania osobných údajov, ktoré prichádzajú do úvahy v rámci činnosti občianskych združení.)
Spracúvanie osobných údajov na základe osobitného predpisu

Právny základ pre spracúvanie osobných údajov na základe osobitného predpisu musí byť ustanovený v zákone o ochrane osobných údajov, v osobitnom predpise minimálne so silou zákona vzťahujúcom sa na prevádzkovateľa.

Alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, prípadne môže obsahovať ďalšie podmienky spracúvania osobných údajov.

Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.
Spracúvanie osobných údajov na základe oprávnených záujmov prevádzkovateľa

Nariadenie GDPR bližšie nešpecifikuje pojem oprávnené záujmy. Je na strane prevádzkovateľa, aby v prípade, ak pre spracúvanie osobných údajov uvedie tento právny základ, dokázal si ho voči úradu na ochranu osobných údajov i obhájiť.

Môže ísť napr. o databázu členov občianskeho združenia alebo o prípady, ak pre preukázanie využitia poskytnutej dotácie od orgánu štátnej správy alebo samosprávy je potrebné doložiť zoznam účastníkov aktivity, na ktorú bola dotácia použitá.
Spracúvanie osobných údajov na základe súhlasu dotknutej osoby

Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov, kedy o spracúvaní svojich osobných údajov rozhoduje výlučne dotknutá osoba.

Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, tento súhlas musí byť odlíšený od iných skutočností príslušného dokumentu, súhlas musí byť jasne a zreteľne oddelený, odlíšiteľný od iných častí daného dokumentu, napríklad ako samostatný článok zmluvy.

Súhlas musí byť formulovaný jasne a jednoducho, v zrozumiteľnej a ľahko dostupnej forme.

Z udeleného súhlasu musí byť zrejmé kto súhlas udelil, kedy bol súhlas udelený, aké informácie dostala dotknutá osoba pred udelením súhlasu a akým spôsobom bol súhlas udelený (elektronicky, písomne).

Súhlas dotknutej osoby musí byť poskytnutý výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním jej osobných údajov. Súhlas môže byť daný na jeden alebo viacero výslovne uvedených účelov spracúvania osobných údajov, vyžaduje sa však samostatný súhlas na jednotlivé účely.

Pri udeľovaní súhlasu sa vyžaduje aktívna účasť dotknutej osoby, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať, napr. zaškrtnutím políčka „súhlas“ alebo označením voľby „súhlasím – nesúhlasím“. Vopred vyznačené políčka, nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne.

V prípade, ak je predmetom spracúvania osobitná kategória osobných údajov, je potrebné, aby bol súhlas dotknutej osoby výslovný, teda taký, ktorý je oddelený od inej časti dokumentu, do ktorej môže byť včlenený. A hlavne, v ktorom je výslovne uvedené aké konkrétne osobitné kategórie osobných údajov majú na jeho základe byť predmetom spracúvania zo strany prevádzkovateľa a na aký účel.

Je treba, aby prevádzkovateľ výslovne v takto naformulovanom súhlase uviedol, že na uvedený účel dotknutá osoba súhlasí napr. so spracúvaním jej zdravotného postihnutia, teda osobitná kategória osobného údaja, ktorá je spracovávaná, musí byť v súhlase výslovne zmienená, uvedená.

Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba si musí byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov, respektíve zo strany prevádzkovateľa musí byť najneskôr pri poskytnutí súhlasu dotknutou osobou splnená jeho informačná povinnosť podľa nariadenia GDPR.

Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním jej osobných údajov, o možnosti súhlas odvolať musí byť dotknutá osoba pred jeho poskytnutím informovaná.

Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založenom na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

Ak je spracúvanie založené na súhlase, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.
Spracúvanie osobitných kategórií osobných údajov

Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Mimo iných sa zakazuje spracúvanie biometrických údajov na individuálnu identifikáciu fyzickej osoby a údajov týkajúcich sa zdravia.

Spracúvanie osobitných kategórií osobných údajov sa vo všeobecnosti zakazuje, je prípustné len v prípade splnenia v nariadení GDPR taxatívne ustanovených výnimiek. V prípade splnenia týchto podmienok prevádzkovateľ môže spracúvať osobitnú kategóriu osobných údajov v súlade s nariadením GDPR.

Zákaz spracúvania osobitných kategórií osobných údajov mimo iného neplatí, ak

  • dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov,
  • spracúvanie vykonáva v rámci oprávnenej činnosti mimo iných občianske združenie, nadácia, nezisková organizácia poskytujúca všeobecne prospešné služby alebo akýkoľvek iný neziskový subjekt a toto spracúvanie sa týka výlučne ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
  • spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
  • spracúvanie je nevyhnutné mimo iného na účel poskytovania sociálnych služieb,

-spracúvanie je nevyhnutné mimo iného na účel archivácie alebo na štatistický účel podľa zákona, nariadenia GDPR, osobitného predpisu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a sú ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

Vyššie uvedené výnimky predstavujú primerané právne základy pre spracúvanie citlivých osobných údajov, na základe ktorých je spracúvanie osobných údajov osobitnej kategórie nariadením GDPR dovolené.
Spracúvanie osobných údajov na iný účel

Spracúvať osobné údaje na iný účel, než na ktorý boli získané je zakázané. Nariadenie GDPR napriek tomuto všeobecnému pravidlu obsahuje výnimku, ktorá povoľuje za určitých okolností a pri splnení daných podmienok spracúvať osobné údaje i na iný účel.

Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, ale napr. na oprávnenom záujme prevádzkovateľa, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané okrem iného musí zohľadniť

  • akékoľvek prepojenie medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov,
  • okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom,
  • povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov,
  • možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu a
  • existenciu primeraných záruk ochrany osobných údajov.

Predmetom takéhoto posúdenia, tzv. testu zlučiteľnosti je, aby sa vylúčila možnosť, že spracúvanie na ďalší účel je s pôvodným účelom spracúvania nezlučiteľné, a teda nerealizovateľné.

Až na základe pozitívneho výsledku testu zlučiteľnosti môže prevádzkovateľ pristúpiť k spracúvaniu osobných údajov na iný účel, ako bol pôvodný na ktorý osobné údaje získal, ale na tom istom právnom základe.
Obmedzenie využívania rodného čísla

Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor podľa osobitného predpisu (rodné číslo) len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania.

Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný a nesmie ho vylučovať osobitný predpis, ak ide o jeho spracúvanie na právnom základe súhlasu dotknutej osoby. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje; to neplatí, ak všeobecne použiteľný identifikátor zverejní sama dotknutá osoba.

Pri využití rodného čísla v informačnom systéme je potrebné zvážiť, či jeho použitie je vzhľadom na daný účel nevyhnutné, či nie je možné nahradiť ho iným identifikátorom a bez jeho užitia sa v danom prípade zaobísť.
Informačná povinnosť voči dotknutej osobe

Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní

  • identifikačné údaje a kontaktné údaje prevádzkovateľa,
  • kontaktné údaje zodpovednej osoby, ak je určená,
  • účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
  • oprávnené záujmy prevádzkovateľa, ak sa osobné údaje spracúvajú na tomto právnom základe,
  • dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia,
  • identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
  • informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a identifikáciu tretej krajiny alebo medzinárodnej organizácie.

Tieto informácie úzko súvisia s konkrétnym účelom spracúvania osobných údajov.

Okrem vyššie uvedených informácií je prevádzkovateľ povinný pri získavaní osobných údajov poskytnúť dotknutej osobe všeobecné informácie o jej právach pri spracúvaní jej osobných údajov, mimo iných informácie o

  • práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
  • práve kedykoľvek svoj súhlas odvolať,
  • práve podať návrh na začatie konania na Úrad na ochranu osobných údajov Slovenskej republiky,
  • tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy a o tom či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

Vyššie uvedené informácie nie je potrebné poskytnúť v rozsahu, v akom boli informácie dotknutej osobe poskytnuté pred spracúvaním osobných údajov. To znamená, že v prípade ak už dotknutá osoba vyššie uvedenými informáciami disponuje (napríklad jej už boli skoršie prevádzkovateľom poskytnuté), prevádzkovateľ jej ich opätovne poskytovať nemusí, poskytne jej iba tie, ktorými dotknutá osoba nedisponuje, napr. uvedie sa len informácia o inom účele spracúvania osobných údajov.

Milan Měchura