GDPR vs E-shop, časť 3 - Články

Záznamy o spracovateľských operáciách a zodpovedná osoba

Podľa súčasne platnej legislatívy má prevádzkovateľ povinnosť viesť o každom informačnom systéme evidenciu informačných systémov (§43 a 44) alebo oznamovaciu povinnosť (§34 – 36) alebo osobitnú registráciu (§37 – 41). Podľa GDPR sa ruší a nahrádza novým pojmom záznam o spracovateľských činnostiach. Tieto záznamy je povinný viesť prevádzkovateľ v písomnej a listinnej podobe. Novinkou je, že sa dopĺňa informácia o zodpovednej osobe, dopĺňajú sa podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov.

Tieto záznamy vypracováva prevádzkovateľ podľa čl. 30 ods. 1 a sprostredkovateľ podľa čl. 30 ods. 2.

Záznamy o spracovateľských činnostiach sa nevzťahujú na podnik alebo organizáciu, ktorá, zamestnáva menej ako 250 ľudí, POKIAĽ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitnú kategóriu údajov (napr. personalistika) podľa čl. 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky.

Podľa súčasne platnej legislatívy prevádzkovateľ vypracuje ku každému informačnému systému bezpečnostný projekt alebo bezpečnostné opatrenia v zmysle §19 ods. 1, podľa GDPR sa zmení na posúdenie vplyvu na ochranu osobných údajov. Každý si vypracuje podľa čl. 35 ods. 1, ak to povedie k vysokému riziku. Výnimky, kto nemusí vypracovávať posúdenie vplyvov sú uvedené v bode 91 recitálu.

Porovnanie povinnosti prevádzkovateľa (evidenčná povinnosť) podľa súčasnej legislatívy a GDPR:

Zákon 122/2013 Z. z.	GDPR Zákon č. 18/2018 Z. z. § 37 ods. 1
Identifikačné údaje prevádzkovateľa. Meno a priezvisko štatutárneho orgánu prevádzkovateľa. Identifikačné údaje zástupcu prevádzkovateľa. Počet oprávnených osôb. Názov IS. Účel spracúvania OÚ. Právnu základ spracúvania OÚ. Okruh dotknutých osôb. Zoznam (rozsah) OÚ. Tretie strany (okruh). Okruh príjemcov. Spôsob zverejnenia a pr. základ zverejnenia. Tretie krajiny a pr. základ ich prenosu. Označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany OÚ podľa §19 ods. 1 a 2.	Meno/názov a kontaktné údaje prevádzkovateľa (spoločného prevádzkovateľa), zodpovednej osoby. Účel spracúvania OÚ. Opis kategórií dotknutých osôb a kategórií OÚ. Kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácií. Predpokladané lehoty na vymazanie rôznych kategórií a OÚ. Všeobecný opis technických a organizačných bezpečnostných opatrení § 39 ods.1 (napr. šifrovanie...). Záznamy sa vedú v elektronickej a listinnej podobe.

Zákon 122/2013 Z. z.

GDPR Zákon č. 18/2018 Z. z. § 37 ods. 1

Identifikačné údaje prevádzkovateľa.
Meno a priezvisko štatutárneho orgánu prevádzkovateľa.
Identifikačné údaje zástupcu prevádzkovateľa.
Počet oprávnených osôb.
Názov IS.
Účel spracúvania OÚ.
Právnu základ spracúvania OÚ.
Okruh dotknutých osôb.
Zoznam (rozsah) OÚ.
Tretie strany (okruh).
Okruh príjemcov.
Spôsob zverejnenia a pr. základ zverejnenia.
Tretie krajiny a pr. základ ich prenosu.
Označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany OÚ podľa §19 ods. 1 a 2.

Meno/názov a kontaktné údaje prevádzkovateľa (spoločného prevádzkovateľa), zodpovednej osoby.
Účel spracúvania OÚ.
Opis kategórií dotknutých osôb a kategórií OÚ.
Kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácií.
Predpokladané lehoty na vymazanie rôznych kategórií a OÚ.
Všeobecný opis technických a organizačných bezpečnostných opatrení § 39 ods.1 (napr. šifrovanie...).
Záznamy sa vedú v elektronickej a listinnej podobe.

Porovnanie povinnosti sprostredkovateľa (evidenčná povinnosť) podľa súčasnej legislatívy a GDPR:

Zákon 122/2013 Z. z.	GDPR Zákon č. 18/2018 Z. z. § 37 ods. 2
Podľa súčasnej legislatívy, túto povinnosť sprostredkovateľ nemal.	Identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa (zástupcu sprostredkovateľa), zodpovednej osoby. Kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa. Označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa. Všeobecný opis technických a organizačných bezpečnostných opatrení § 39 ods.1 (napr. šifrovanie...). Záznamy sa vedú v elektronickej a listinnej podobe.

Zákon 122/2013 Z. z.

GDPR Zákon č. 18/2018 Z. z. § 37 ods. 2

Podľa súčasnej legislatívy, túto povinnosť sprostredkovateľ nemal.

Identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa (zástupcu sprostredkovateľa), zodpovednej osoby.
Kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa.
Označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa.
Všeobecný opis technických a organizačných bezpečnostných opatrení § 39 ods.1 (napr. šifrovanie...).
Záznamy sa vedú v elektronickej a listinnej podobe.

Zodpovedná osoba

Zmení sa aj inštitút zodpovednej osoby. Zodpovednou osobou podľa aktuálne platnej legislatívy je ten, kto zloží skúšku na Úrade na ochranu osobných údajov. Prevádzkovateľ sa rozhodne či chce mať zodpovednú osobu. Podľa GDPR môže byť zodpovednou osobou ten, kto má znalosti práva a postupov v oblasti ochrany osobných údajov a je spôsobilý plniť úlohy v zmysle zákona.

Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy. Skupina viacerých podnikov si môže určiť jednu zodpovednú osobu.

Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.

Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak:

spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu (táto činnosť sa bude týkať pravdepodobne aj zasielania newslettrov), alebo
hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa §16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa §17 vo veľkom rozsahu.

Pri jednoosobovej sro-čke, nemôže byť zodpovednou osobou štatutár.
§ 45 ods. 6 Zodpovedná osoba môže plniť aj iné úlohy a povinnosti ako podľa §46; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.

Pri jednoosobovej sro-čke, nemôže byť zodpovednou osobou štatutár.

§ 45 ods. 6

Zodpovedná osoba môže plniť aj iné úlohy a povinnosti ako podľa §46;

prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.

Úlohy zodpovednej osoby

poskytuje informácie a poradenstvo prevádzkovateľovi alebo s prostredkovateľovi a zamestnancom,
monitoruje súlad so zákonmi a inými právnymi predpismi,
poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania,
spolupracuje s úradom pri plnení svojich úloh,
plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov.

Oprávnená osoba

Inštitút oprávnenej osoby ako takej je definovaný len v aktuálnom zákone. V zákone 18/2018 Z. z. sa tento pojem neobjavuje. V GDPR sa v čl. 32 ods. 4 objavuje ako „Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúva tieto údaje len na základe pokynov prevádzkovateľa, s výnimkou prípadov, keď sa od nej vyžaduje práva únie alebo práva členského štátu.“