Zásady ochrany osobných údajov

           I.IDENTIFIKÁCIA PREVÁDZKOVATEĽA IS:

Obchodné meno: MCNET.SK, s.r.o.

Sídlo: Ilijská 44/3, Banská Štiavnica

IČO 43836305

Zapísaný v ORSR OS Banská Bystrica, odd.: Sr.o, vložka číslo 14006/S

(Ďalej aj ako „prevádzkovateľ“ alebo „spoločnosť“)

  • Prevádzkovateľ je obchodná spoločnosť založená a podnikajúca podľa právnych predpisov Slovenskej republiky.
  • Prevádzkovateľ v rámci svojej činnosti vykonáva činnosť v oblasti poskytovanie pripojenia do internetu.
  • Prevádzkovateľ zamestnáva zamestnancov a dohodárov. prevádzkovateľ nevyužíva služby aj Externistov.
  • Prevádzkovateľ vykonáva činnosť na viacerých prevádzkach[MK5] :
  • Klientmi / odberateľmi prevádzkovateľa sú
    • právnické osoby,
    • fyzické osoby – podnikatelia,
    • fyzické osoby – nepodnikatelia
  • Prevádzkovateľ spracúva osobné údaje v nasledovných IS:
  Názov informačného systému: Označenie IS :
  Ekonomicko – účtovná agenda IS 01
  Právne vzťahy IS 02
  Zmluvné vzťahy IS 03
  Správa registratúry IS 04
  Evidencia SZČO IS 05
  Evidencia zástupcov dodávateľov a odberateľov IS 06
  Uplatňovanie práv dotknutých osôb IS 07
  Evidencia spoločníkov spoločnosti s ručením obmedzeným IS 08
  Evidencia klientov – zmluvné vzťahy – klienti FO IS 09
  Evidencia reklamácií IS 10
  Poskytovanie telefonickej, e-mailovej a online podpory zákazníkom IS 11
  • Informácie o právnych základoch, účele, likvidácii údajov, kategórii dotknutých osôb, kategórii osobných údajov a pod. sa nachádzajú v dokumente „Záznamy o spracovateľských činnostiach prevádzkovateľa“.

 II.  ÚVOD

 

Za účelom chodu spoločnosti  je potrebné, aby dochádzalo ku toku osobných údajov, či už zamestnancov, zákazníkov, alebo iných fyzických osôb, pričom sa prirodzene vynára otázka ochrany pred zneužitím, stratou, zverejnením alebo iným narušením takýchto údajov. Osobné údaje sú kategóriou, ktoré spadajú pod základné ľudské práva a slobody, ktoré chráni okrem iných predpisov i samotná Ústava SR, čo svedčí o tom, že ide o kategóriu vysoko citlivú a intímnu, ktorá patrí každému jednému človeku ako jeho právo.

Prevádzkovateľ zodpovedá za bezpečnosť údajov, ktoré spracúva. Z daného dôvodu je povinný spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom, sprístupnením, poskytnutím, zverejnením, alebo pred akýmikoľvek inými neprípustnými formami spracúvania chrániť.  

Prevádzkovateľ spracúva osobné údaje dotknutých osôb v informačných systémoch, ktoré sa navzájom líšia nielen formou, ako prichádza k samotnému spracúvaniu, ale aj použitými prostriedkami spracúvania, ktoré môžu mať osobitný charakter. Túto smernicu treba chápať ako základný dokument (manuál) pre všetkých užívateľov informačných systémov.

Prevádzkovateľ vydáva túto bezpečnostnú smernicu za účelom zaistenia bezpečnosti a ochrany informačných systémov a osobných údajov v nich spracúvaných osobami na to poverenými.

Bezpečnostná smernica je aplikáciou, resp. Implementáciou záverov Analýzy rizík v spoločnosti. Tieto pravidlá je potrebné rešpektovať a dodržiavať za účelom zachovania bezpečného chodu a spracúvania osobných údajov prevádzkovateľom v praxi.

Súčasťou bezpečnostnej dokumentácie GDPR sú v Prílohe č. 1 navrhované primerané personálne, technické a organizačné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, zohľadňujúc najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.

Medzi základné pramene práva v oblasti ochrany osobných údajov patrí primárne :

  • Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej aj ako „nariadenie GDPR“)
  • Zákon 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej aj ako „zákon“)

 III.  ZÁKLADNÉ POJMY

  1. Osobné údaje sú akékoľvek informácie týkajúce sa fyzickej osoby, na základe ktorých ju možno priamo alebo nepriamo identifikovať. Osobnými údajmi sú napríklad  meno, priezvisko, druh a adresa pobytu, dátum narodenia, rodné číslo, email, tel. č., podpis, ale aj lokalizačné údaje, či online identifikátor. Za osobný údaj sa považuje každý údaj, ktorý je špecifický pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
  • Spracúvanie osobných údajov je akákoľvek operácia, činnosť alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov. Za spracúvanie osobných údajov sa považuje napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia. Spracúvaním je každá takáto operácia s osobnými údajmi bez ohľadu na to, akými prostriedkami je vykonávaná. 
  • Prevádzkovateľ je osoba, ktorá spracúva osobné údaje a určí účely a prostriedky spracúvania. Prevádzkovateľom môže byť fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt. Prevádzkovateľ sa odlišuje od iných subjektov, ktoré spracúvajú osobné údaje (napr. sprostredkovateľ) tým, že určí účely a prostriedky spracúvania osobných údajov. Prevádzkovateľom je vaša firma.
  • Sprostredkovateľ je osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa, na základe jeho poverenia. Sprostredkovateľom je napríklad externý účtovník, ktorý pre vás spracúva osobné údaje za účelom vedenia účtovníctva.
  • Dotknutá osoba je fyzická osoba, ktorej sa osobné údaje týkajú, resp. ktorej osobné údaje sa spracúvajú. Dotknutými osobami sú napr. vaši zamestnanci, zákazníci alebo osoby, ktoré vám dali súhlas na zasielanie newsletter-a.
  • Informačný systém je akýkoľvek usporiadaný súbor osobných údajov spracúvaných podľa určitých kritérií na vymedzený účel.
  • Príjemca každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.

 IV. ZÁKLADNÉ CIELE A ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV

  1. Prevádzkovateľ stanovuje základné ciele v oblasti ochrany osobných údajov:
  1. Spracúvanie osobných údajov poverenými osobami v súlade s pokynmi prevádzkovateľa a pri dodržaní všetkých prijatých bezpečnostných opatrení;
  1. Spracúvanie osobných údajov v súlade so zásadou zákonnosti;
  1. Spracúvanie len tých osobných údajov, ktoré sú pre dosiahnutie presne vymedzeného účelu spracúvania osobných údajov považované za nevyhnutné;
  1. Zabezpečenie likvidácie osobných údajov zo všetkých nosičov dát po uplynutí nevyhnutnej doby na ich uchovávanie;
  1. Naplnenie informačnej povinnosti voči dotknutým osobám vyplývajúcej z článkov 12 a nasl. Nariadenia GDPR. Pri spracúvaní osobných údajov je prevádzkovateľ povinný dodržiavať zásadu transparentnosti. V rámci tejto zásady prevádzkovateľ dotknutú osobu musí informovať o podmienkach spracúvania osobných údajov a následne jej údaje skutočne spracúvať v súlade s týmito informáciami;
  1. Zabezpečenie zachovávania mlčanlivosti zamestnancov a osôb prítomných v objekte / objektoch;
  1. Uzatvorenie zmluvného vzťahu so sprostredkovateľom a zabezpečenie naplnenia všetkých legislatívnych požiadaviek upravujúcich vzťah prevádzkovateľ – sprostredkovateľ;
  1. Rešpektovanie základných práv dotknutých osôb a zabezpečenie ich dodržiavania.
  • Medzi základné zásady spracúvania osobných údajov patrí:
  • ZÁSADA ZÁKONNOSTI

Spracúvať osobné údaje môže prevádzkovateľ len na niektorom z právnych základov stanovených nariadením GDPR, pričom táto povinnosť sa vzťahuje na dodržiavanie nie len nariadenia GDPR a zákona o ochrane osobných údajov ale aj iných relevantných právnych predpisov.

  • ZÁSADA OBMEDZENIA ÚČELU

osobné údaje môže prevádzkovateľ získavať len na konkrétne určený, výslovne uvedený a legitímny účel. Ďalej spracúvať takto získané osobné údaje na iný účel, ktorý nie je zlučiteľný s pôvodným účelom, je zakázané.

  • ZÁSADA MINIMALIZÁCIE ÚDAJOV

Prevádzkovateľ je oprávnený spracúvať len tie osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie. Spracúvať také osobné údaje, ktoré sú nadbytočné, nepotrebné a nie sú nevyhnutné na dosiahnutie stanoveného účelu je zakázané.

  • ZÁSADA SPRÁVNOSTI

Ak zistíte, že osobné údaje nie sú správne, musíte prijať všetky dostupné opatrenia na ich opravu alebo vymazanie.

  • ZÁSADA MINIMALIZÁCIE UCHOVÁVANIA

V zmysle nariadenia GDPR sa môžu osobné údaje spracúvať len po dobu, ktorá je nevyhnutná na dosiahnutie stanoveného účelu. Po ukončení spracúvania osobných údajov na daný účel je potrebné osobné údaje zlikvidovať.

  • ZÁSADA INTEGRITY A DÔVERNOSTI

Prevádzkovateľ je povinný zabezpečiť ochranu osobných údajov, ktoré spracúva. Za týmto účelom je povinný prijať primerané technické a organizačné opatrenia.

  • ZÁSADA ZODPOVEDNOSTI

Súlad spracúvania osobných údajov s nariadením GDPR a zákonom o ochrane osobných údajov a dodržiavanie všetkých svojich povinností je prevádzkovateľ povinný zdokumentovať, aby splnenie jednotlivých povinností vedel prevádzkovateľ preukázať v prípade kontroly.

V. PRÁVA DOTKNUTÝCH OSÔB

  1. Prevádzkovateľ kladie dôraz na rešpektovanie práv dotknutých osôb. Dotknuté osoby majú tieto práva:
  1. Právo na informácie

Každá osoba, ktorej osobné údaje prevádzkovateľ spracúva, má právo na informácie, ktoré stanovuje nariadenie GDPR a zákon o ochrane osobných údajov. Za týmto účelom je prevádzkovateľ povinný prijať vhodné opatrenia, aby tieto informácie dotknutej osobe poskytol. Informácie môžu byť poskytnuté prostredníctvom webovej stránky, emailom alebo v listinnej forme. Informácie musia byť poskytnuté v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho.

Prevádzkovateľ uvedené informácie zverejnil / sprístupnil[MK6] :         https://web.mcnet.sk/dokumenty/

Právo na prístup k údajom

Každá osoba, ktorej osobné údaje prevádzkovateľ spracúva, má právo získať potvrdenie o tom, či konkrétny prevádzkovateľ spracúva jej osobné údaje. Ak osobné údaje tejto osoby spracúva, má dotknutá osoba právo na prístup k týmto údajom a informácie o ich spracúvaní stanovené zákonom.

  1. Právo na opravu

Každá osoba má právo, aby prevádzkovateľ spracúval iba jej správne a aktuálne údaje. Ak dotknutá osoba o to prevádzkovateľa požiada, tak musí nesprávne a neaktuálne údaje opraviť.

  1. Právo na vymazanie

V určitých prípadoch má osoba, ktorej údaje prevádzkovateľ spracúva, právo na vymazanie jej osobných údajov. Ak sú splnené zákonné podmienky, prevádzkovateľ je povinný jej údaje vymazať.

  1. Právo na obmedzenie spracúvania

V určitých prípadoch má osoba, ktorej údaje prevádzkovateľ spracúva, právo na obmedzenie spracúvania jej osobných údajov. Počas obmedzenia spracúvania môže prevádzkovateľ jej údaje len uchovávať, iným spôsobom ich spracúvať nemôžete.

  1. Právo na prenosnosť údajov

Pokiaľ prevádzkovateľ spracúva osobné údaje v elektronickej forme na základe súhlasu danej osoby, môže ho požiadať, aby jej osobné údaje poskytol vo forme, ktorá umožňuje prenos inému prevádzkovateľovi.

  1. Právo namietaťDotknutá osoba má za určitých okolností právo namietať proti spracúvaniu jej údajov.
  • Dotknutým osobám prevádzkovateľ zabezpečí bezporuchový výkon ich práv, v čo najjednoduchšej podobe, nekladie im prekážky. Preto vytvoril systém, prostredníctvom ktorého by mohli dotknuté osoby uplatňovať svoje práva.
  • Dotknutej osobe sú vždy poskytnuté informácie o spracúvaní jej osobných údajov a sú poučené o svojich právach. Prevádzkovateľ poskytuje tieto informácie vhodným spôsobom podľa okruhu dotknutých osôb, napríklad písomne v listinnej forme, mailom alebo zverejnením na webovom sídle.
  • Dotknuté osoby môžu uplatňovať svoje práva e-mailom na info@mcnet.sk  alebo poštou.
  • Pri uplatnení práv dotknutou osobou telefonicky dotknutú osobu kompetentná osoba prevádzkovateľa upovedomí o vhodnej forme, akou môže svoje práva uplatniť.
  • Prevádzkovateľ každú žiadosť zaeviduje a vybaví bez zbytočného odkladu, najneskôr však do jedného mesiaca. V tejto lehote informuje dotknutú osobu, ktorá žiadosť podala, o opatreniach, ktoré na základe jej žiadosti prijali. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. O predĺžení lehoty dotknutú osobu informuje do jedného mesiaca od podania žiadosti spolu s odôvodnením zmeškania lehoty. Oznámenie o spôsobe vybavenia žiadosti sa podáva rovnakým spôsobom, akým bola podaná žiadosť, pokiaľ dotknutá osoba nepožiada o iný spôsob.
  • Pri použití ktoréhokoľvek z vyššie uvedených spôsobov uplatnenia práv dotknutých osôb, je potrebné zabezpečiť nasledovné:
  1. presnú identifikáciu žiadateľa. Jeho autenticitu. Preukázateľné zabezpečenie skutočnosti, že žiadosť o poskytnutie informácii je skutočne od DO alebo osoby, ktorá je oprávnená žiadať v mene DO o poskytnutie informácií.
  • nepopierateľnosť odoslania žiadosti, preukázateľné zabezpečenie nemožnosti poprieť skutočnosť,  že žiadosť o poskytnutie informácii bola odoslaná DO.
  • zabezpečenie dôvernosti a integrity odosielaných informácii počas ich prenosu k DO.
  • preukázateľné zabezpečenie toho že informácie boli dotknutej osobe komunikačným kanálom doručené.

 VI. SŤAŽNOSTI A NÁVRH NA ZAČATIE KONANIA

  1. V prípade doručenia sťažnosti je povinná osoba, ktorá sťažnosť prijala oboznámiť vedenie spoločnosti / zodpovednú osobu o prijatí tejto sťažnosti a odovzdať jej všetky informácie, ktoré vo vzťahu ku sťažnosti a konkrétnemu sťažovateľovi má k dispozícii. Vedenie spoločnosti / zodpovedná osoba poverí vybavením sťažnosti konkrétnu oprávnenú osobu, alebo sťažnosť vybaví sama.
  • Sťažnosti sa podávajú v zmysle Nariadenia GDPR, resp. Zákona č. 18/2018 Z. z. o ochrane osobných údajov a zákona č. 9/2010 Z. z. o sťažnostiach. Zodpovedný pracovník prijímajúci sťažnosť okamžite vyrozumie zodpovednú osobu prevádzkovateľa, ako aj samotného prevádzkovateľa. Sťažnosti sa vybavujú                             v zmysle Zákona č. 9/2010 Z.z. o sťažnostiach.
  • Dotknutá osoba má právo podať návrh na začatie konania v zmysle ustanovenia § 100 zákona o ochrane osobných údajov.
  • Dotknutá osoba, ktorá má podozrenie, že dochádza k neoprávnenému spracúvaniu jej osobných údajov alebo došlo k zneužitiu jej osobných údajov, môže podať na Úrade pre ochranu osobných údajov Slovenskej republiky (ďalej len ,,Úrad“) návrh na začatie konania o ochrane osobných údajov.
  • Návrh na začatie konania možno podať písomne, osobne ústnou formou do zápisnice, elektronickými prostriedkami, pričom musí byť podpísaný zaručeným elektronickým podpisom, telegraficky alebo telefaxom, ktorý však treba písomne alebo ústne do zápisnice doplniť najneskôr do 3 dní.
  • Predmetný návrh musí v zmysle ustanovenia § 100 zákona o ochrane osobných údajov obsahovať:
  • meno, priezvisko, adresu trvalého pobytu a podpis navrhovateľa,
  • označenie toho, proti komu návrh smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
  • predmet návrhu s označením, ktoré práva sa podľa tvrdenia navrhovateľa pri spracúvaní osobných údajov porušili,
  • dôkazy na podporu tvrdení uvedených v návrhu,
  • kópiu listiny preukazujúcej uplatnenie práva podľa § 28 zákona, ak sa takéto právo mohlo uplatniť, alebo uvedenie dôvodov hodných osobitného zreteľa.
  • Úrad následne rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch môže Úrad túto lehotu primerane predĺžiť, najviac však o 6 mesiacov. O predĺžení lehoty Úrad písomne informuje účastníkov konania.

VII. SPÔSOB ZÍSKAVANIA OSOBNÝCH ÚDAJOV

  1. Oprávnené osoby sú povinné dbať na kontrolu dodržiavania zásady zákonnosti a pri získavaní osobných údajov od dotknutých osôb získavať len tie osobné údaje, ktoré sú nevyhnutné na dosiahnutie vopred stanoveného účelu a v súlade s konkrétnym právnym základom.
  2.  Oprávnené osoby pri získavaní osobných údajov dodržiavajú nasledovný postup:
  3. osobné údaje nevyžiadané – oprávnená osoba je povinná zhodnotiť, či údaje, o ktoré nepožiadala sú nevyhnutné na dosiahnutie účelu, na ktorý ich dotknutá osoba poskytla. Údaje, ktoré prevádzkovateľ nepožiadal a k naplneniu účelu nie sú nevyhnutné je potrebné preukázateľne dotknutej osobe vrátiť a zo všetkých nosičov dát ich zlikvidovať.
    1. napr. poštou (žiadosť o zamestnanie) v prípade, že nedôjde k podpisu pracovnej zmluvy je tieto potrebné preukázateľne vrátiť žiadateľovi alebo skartovať ( s výnimkou osobných údajov zaslaných v elektronickej podobe, ktoré je potrebné bezpečne vymazať). Pokiaľ sa budú z nejakých dôvodov (napr. možnosť zamestnania v blízkej budúcnosti ) uchovávať niektoré osobné údaje, je potrebné zabezpečiť ich ochranu, súhlas so spracúvaním osobných údajov a nakladať s nimi ako s ostatnými osobnými údajmi,
  4. ostatné osobné údajeoprávnená osoba, ktorá získava osobné údaje v mene prevádzkovateľa, alebo sprostredkovateľa, preukáže na požiadanie tomu, od koho osobné údaje dotknutej osoby požaduje, svoju totožnosť a bez vyzvania mu vopred poskytne informácie podľa čl. 13 nariadenia GDPR, prípadne predloží dokument „informačná povinnosť prevádzkovateľa – zásady spracúvania osobných údajov“ alebo informuje dotknutú osobu, kde sa tieto informácie nachádzajú. Dodržanie tejto povinnosti považuje prevádzkovateľ za nevyhnutné a jej porušenie zo strany oprávnenej osoby môže prevádzkovateľ ako zamestnávateľ považovať za hrubé porušenie pracovnej disciplíny. V prípade ak dotknutej osobe oprávnená osoba neposkytne informácie podľa čl. 13, je povinná o tejto skutočnosti bezodkladne oboznámiť nadriadeného, alebo zamestnávateľa, aby túto skutočnosť mohol bez zbytočného odkladu napraviť.
  • Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol. Zamestnanec je povinný aktualizovať osobné údaje, ktoré poskytol zamestnávateľovi.
  • Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.
  • Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.
  • Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.
  • Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.
  • Pri poskytovaní súhlasu dotknutej osoby nesmie oprávnená osoba na dotknutú osobu vyvíjať nátlak ani iným spôsobom ovplyvňovať jej rozhodovanie. Nátlakom sa rozumie taká hrozba, kedy neudelenie súhlasu dotknutou osobou bude mať za následok odmietnutie poskytnutia zmluvného vzťahu, neposkytnutie služby, alebo zamedzenie predaja či dostupnosti tovaru pre danú dotknutú osobu, za predpokladu, že sa súhlas netýka spracúvania osobných údajov nevyhnutných pre takéto uzatvorenie zmluvného vzťahu, poskytnutie služby alebo predaja tovaru, ale ide o taký súhlas na spracúvanie osobných údajov požadovaný od dotknutej osoby, ktorý so zmluvným vzťahom, poskytnutím služby alebo predajom tovaru nemá priamy súvis (napríklad súhlas požadovaný prevádzkovateľom na účely marketingu).
  • Oprávnená osoba je povinná dotknutú osobu predtým, než požiada o udelenie súhlasu so spracovaním jej osobných údajov, poskytnúť informácie v nevyhnutnom rozsahu, najmä identitu prevádzkovateľa, účel spracúvania osobných údajov a ďalšie informácie uvedené v jednotlivých vzorových dokumentoch – Súhlas dotknutej osoby. Oprávnená osoba v každom prípade nesmie zabudnúť na informačnú povinnosť prevádzkovateľa.

VIII. INFORMANČNÁ POVINNOSŤ

  • Nariadenie v ustanovení článku 12 a nasl. stanovuje prevádzkovateľovi tzv. informačnú povinnosť. V súlade s touto povinnosťou, prevádzkovateľ informuje dotknuté osoby v požadovanom rozsahu vhodným spôsobom.
  • V prípade zamestnancov a dohodárov je toto oznámenie vykonané vždy pri uzavretí pracovnej zmluvy, resp. dohody o výkone práce mimo pracovného pomeru. Dotknutá osoba potvrdí oboznámenie sa so zásadami spracúvania osobných údajov svojim podpisom na písomnom vyhotovení oznámenia.

IX. ZÁZNAMY O SPRACOVATEĽSKÝCH ČINNOSTIACH

  • Oznámenie voči Zákazníkom je dotknutým osobám poskytnuté vhodným spôsobom pri vzniku záväzkového vzťahu.
  1. Podľa ustanovení nariadenia je každý prevádzkovateľ povinný viesť záznamy o spracovateľských činnostiach (ďalej aj ako „záznamy“).
  • Povinnosť vedenia záznamov sa netýka takého prevádzkovateľa, ktorý je podnikom alebo organizáciou, zamestnávajúcou menej ako 250 osôb, a výlučne v takom prípade, kedy bude dochádzať ku spracúvaniu osobných údajov takým spôsobom, ktorý nie je možné považovať za rizikový a nebude závažným spôsobom zasahovať do práv a slobôd fyzických osôb.
  • Vychádzajúc z ustanovení nariadenia, bez ohľadu na počet zamestnancov musí záznamy viesť prevádzkovateľ:
  1. pokiaľ spracovanie, ktoré vykonáva, pravdepodobne predstavuje riziko pre práva a slobody dotknutých osôb;
  2. spracovanie nie je príležitostné, alebo;
  3. spracovanie zahŕňa spracovanie osobitých kategórií osobných údajov alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku
  • S poukázaním na vyššie uvedené sa na prevádzkovateľa v čase prípravy smernice nevzťahuje povinnosť vedenia záznamov.
  • Záznam o spracovateľských činnostiach obsahuje:
  1. identifikačné údaje a kontaktné údaje prevádzkovateľa a zodpovednej osoby, ak je určená,
  2. účel spracúvania osobných údajov,
  3. opis kategórií dotknutých osôb a kategórií osobných údajov,
  4. kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii
  5. označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos,
  6. predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
  7. všeobecný opis technických a organizačných bezpečnostných opatrení
  • Zákon umožňuje vedenie záznamov v písomnej alebo elektronickej podoby. Prevádzkovateľ bude viesť záznamy v elektronickej podobe.

 X. USTANOVENIE ZODPOVEDNEJ OSOBY

  1. Podľa ustanovenia článku 37 nariadenia je prevádzkovateľ povinný určiť zodpovednú osobu, ak je naplnená aspoň jedna z týchto podmienok stanovených alternatívne:
  2. spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
  3. hlavnými činnosťami prevádzkovateľa alebo Sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo
  4. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa ustanovenia článku 9 vo veľkom rozsahu alebo spracúvani osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa článku 10 nariadenia.

Ad. a.: Prevádzkovateľ nevykonáva spracúvanie osobných údajov ako /v postavení/ orgánu verejnej moci alebo verejnoprávnej inštitúcie. Na základe uvedeného, táto podmienka nie je naplnená.

Ad. b.: Podľa odôvodnenia 97 GDPR v súkromnom sektore sa hlavné činnosti prevádzkovateľa týkajú jeho primárnych činností, a nie spracúvania osobných údajov ako vedľajšej činnosti. Podľa Usmernenia týkajúceho sa zodpovedných osôb, za hlavné činnosti možno považovať kľúčové operácie nevyhnutné na dosiahnutie cieľov prevádzkovateľa.

Podľa Usmernenia týkajúceho sa zodpovedných osôb sa pri určovaní, či sa spracúvanie vykonáva vo veľkom rozsahu, majú zohľadniť predovšetkým tieto faktory:

  • počet dotknutých osôb, ktorých sa spracúvanie týka, vyjadrený buď ako konkrétne číslo, alebo ako podiel príslušnej populácie,
  • objem údajov a/alebo rozsah rôznych položiek údajov, ktoré sa spracúvajú,
  • dĺžka trvania alebo stálosť (trvalosť) činnosti spracúvania údajov,
  • geografický rozsah spracovateľskej činnosti

Podľa Usmernenia týkajúceho sa zodpovedných osôb, výklad výrazu „pravidelné“ zahŕňa jeden alebo viacero z týchto významov:

  • prebiehajúce alebo vyskytujúce sa v určitých intervaloch počas určitého obdobia,
  • opakovane sa vyskytujúce alebo opakované v pevne stanovených časoch,
  • odohrávajúce sa nepretržite alebo pravidelne

Podľa Usmernenia týkajúceho sa zodpovedných osôb, výklad výrazu „systematické“ zahŕňa jeden alebo viacero z týchto významov:

  • vyskytujúce sa v súlade so systémom,
  • vopred naplánované, organizované alebo metodické,
  • odohrávajúce sa ako súčasť všeobecného plánu zberu údajov,
  • vykonávané v rámci stratégie

Monitorovanie jednoznačne však zahŕňa všetky formy sledovania a profilovania na internete vrátane sledovania a profilovania na účely behaviorálnej reklamy.

Pri hlavnej činnosti prevádzkovateľ spracúva osobné údaje klientov – fyzických osôb nepodnikateľov. Súčasne prevádzkovateľ spracúva osobné údaje zamestnancov, dohodárov, bývalých zamestnancov a dohodárov, uchádzačov o zamestnanie, externistov, konateľov.

Hlavnými činnosťami prevádzkovateľa teda nie sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, a teda prevádzkovateľ nespĺňa podmienku podľa ustanovenia § 44 ods. 1 písm. b) Zákona.

Ad c.: Spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku:

Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby. Prevádzkovateľ spracúva výlučne osobné údaje týkajúce sa zdravia zamestnancov a dohodárov, a to potvrdenie o invalidite a potvrdenie o tehotenstve zamestnankyne. Vychádzajúc z Usmernenia týkajúceho sa zodpovedných osôb, v prípade prevádzkovateľa, s ohľadom na počet dotknutých osôb, rozsah spracúvaných osobných údajov, skutočnosť, že tieto sa spracúvajú len v súvislosti s pracovným pomerom u prevádzkovateľa, nejde o spracúvanie vo veľkom rozsahu.

Prevádzkovateľ vôbec nespracúva osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa vyššie uvedených ustanovení.

Prevádzkovateľ nespĺňa ani podmienku podľa ustanovenia § 44 ods. 1 písm. c) Zákona.

  • Na základe vyššie uvedených úvah zastávame názor, že prevádzkovateľ nie je povinný ustanoviť tzv. zodpovednú osobu.
  • V prípade, že prevádzkovateľ určí / poverí zodpovednú osobu a registruje ju na Úrade pre ochranu osobných údajov sa uvádzajú nasledovné oprávnenia a povinnosti zodpovednej osoby, ktorých nositeľom v situácii nevymenovania zodpovednej osoby je štatutárny orgán spoločnosti.
  • V prípade, že prevádzkovateľ poveril dohľadom nad ochranou osobných údajov zodpovednú osobu, alebo viaceré zodpovedné osoby (v súlade s čl. 37 Nariadenia GDPR, resp. §44 a nasl. zákona ), ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov, sú oprávnené osoby povinné dodržiavať príkazy tejto/týchto zodpovednej/zodpovedných osôb.
  •  Zodpovedná osoba zabezpečuje:

zodpovedná osoba môže plniť aj iné úlohy a povinnosti; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.

  • Zodpovedná osoba zodpovedá za:
  • aktualizáciu bezpečnostnej politiky,
  • údržbu bezpečnostnej dokumentácie a autorizáciu ich zmien príslušnými riadiacimi pracovníkmi a následnú aktualizáciu súvisiacej dokumentácie,
  • riadenie školení pracovníkov – zodpovedná osoba, alebo iná poverená osoba vykoná poučenie pracovníkov o ich oprávneniach, právach a povinnostiach, o prístupoch do zamestnania v pracovnom čase a mimo pracovného času a o spôsobe narábania s údajmi, ktoré obsahujú osobné údaje; poučené musia byť aj osoby, ktoré nenarábajú s údajmi osobného charakteru, ak sú zamestnancami spoločnosti, alebo ak majú voľný prístup do priestorov spoločnosti ( napr. upratovačka, údržbár a pod.).
  • Zodpovedná osoba kontroluje:
  • dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov,
  • dodržiavanie a plnenie bezpečnostnej dokumentácie,
  • pravidelnosť a dodržiavanie termínov údržby a profylaxie systému,
  • pravidelnosť a dodržiavanie termínov zálohovania,
  • správne uloženie záloh,
  • správne umiestnenie kľúčových prvkov.

 XI. KONTROLNÉ ČINNOSTI – SPÔSOB, PERIODICITA, FORMA

  1. Kontrola informačného systému:
  2. Kontrola IS je vykonávaná na viacerých úrovniach:

a) kontrola miery rizika vzniku nebezpečenstva narušenia práv a slobôd dotknutých osôb začatím spracúvania zamýšľaných osobných údajov;

b) kontrola dodržiavania zásad spracúvania osobných údajov oprávnenými osobami;

c) kontrola prevádzky automatizovaného IS;

d) kontrola zabezpečenia objektu a miestností, v ktorých dochádza k spracúvaniu osobných údajov.

Ad a)  Pred začatím spracúvania osobných údajov v informačnom systéme konateľ spoločnosti preverí, či vykonaním zamýšľaných spracovateľských operácií nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím alebo v priebehu spracúvania osobných údajov konateľ spoločnosti bezodkladne odstráni.

Ad b) Kontrola dodržiavania zásad spracúvania osobných údajov sa vykonáva v pravidelnej perióde, minimálne raz za rok.

Ad c) Kontrola Prevádzky automatizovaného informačného systému sa vykonáva nepretržite.

Ad d) Kontrola zabezpečenia miestností pred nedovoleným prístupom v mimopracovnom čase je vykonávaná denne osobou, ktorá posledná opúšťa priestory miestnosti v objekte.

 XII. RIEŠENIE BEZPEČNOSTI SPRACÚVANIA OSOBNÝCH ÚDAJOV

  1. Cieľom riešenia bezpečnosti je vytvoriť s minimálnymi nákladmi maximálnu ochranu informačného systému pred jeho možným narušením. Bezpečnosť informačného systému je nutné riešiť tak, aby riziká, ktorým je informačný systém vystavený, boli pomocou vhodných opatrení znížené na prijateľnú úroveň. Takéto riešenie potom zabezpečí elimináciu prevažnej časti rizík v kombinácii s vhodnými preventívnymi opatreniami ešte pred ich vznikom.
  2. Bezpečnosť zabezpečuje prevádzkovateľ na úrovni:
  3. Personálnej

– s citlivými informáciami sa zoznamuje iba osoba, ktorá ich potrebuje k výkonu svojej činnosti (oprávnená/poverená osoba).

  • Administratívnej

– pomocou organizačných opatrení sa dosiahne výrazné zvýšenie bezpečnosti.

  • Fyzickej

– chráni prostredie, v ktorom sa informačný systém prevádzkuje.

  • Počítačovej

– ochrana informačného systému a dát spracovávaných a prenášaných medzi počítačmi.

  • Vývojového prostredia

– bezpečný vývoj aplikácií, ktoré budú pracovať s citlivými informáciami.

  • Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä:
  • pseudonymizáciu a šifrovanie osobných údajov,
    • zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
    • proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
    • proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
  • Pri posudzovaní primeranej úrovne bezpečnosti je potrebné prihliadať na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom.
  • Zamestnanec prevádzkovateľa môže spracúvať osobné údaje dotknutých osôb len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
  • Prevádzkovateľ zabezpečí, aby neoprávneným osobám bol znemožnený akýkoľvek nedovolený prístup k spracúvaným osobným údajom.
  • Na základe informácií získaných analýzou spracúvania osobných údajov prevádzkovateľom bola analyzovaná primeranosť a stav personálnych, organizačných a technických opatrení. Stav a aktuálnosť jednotlivých opatrení ako i odporúčania prijatia sa nachádzajú v prílohe č. 1 k tejto smernici.
  • Analýza bezpečnosti informačného systému je rozbor, analyzovanie stavu bezpečnosti informačných systémov z hľadiska hrozieb, ktoré pôsobia na jednotlivé aktíva.
  • Kvalitatívna analýza rizík:
  • Vykonanou analýzou bezpečnosti informačných systémov obsahujúcich osobné údaje dotknutých osôb je odhalenie bezpečnostných rizík, ktorými v rámci informačných systémov môžu byť potenciálne útoky na:
  • dôvernosť IS – zabezpečenie ochrany pred neoprávneným prístupom nepovolaných – neoprávnených osôb – napríklad hackerov, vlamačov, PC vírusov, odpočúvania, zneužitia, neoprávneného vyhotovovania rozmnoženín,
  • integritu IS – ochrana proti poškodeniu, zmene, vymazaniu a neplánovanému zničeniu,
  • dostupnosť IS – ochrana proti výpadkom napájania a iným havarijným stavom.
  • Analýzou vyššie spomínaných potenciálnych útokov ako bezpečnostných rizík boli identifikované hrozby, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov:
  • Neoprávnené prístupy zo strany nepovolaných osôb – hackerov
    • návrh eliminácie hrozby: zabránenie prístupu do informačných systémov z internetu neoprávneným osobám, heslovanie počítačov, používanie antivírového programu.
  • Neoprávnený prístup zo strany nepovolaných osôb – vlamačov
    • návrh eliminácie hrozby: bezpečnostné zámky na dverách, elektronická signalizácia narušenia objektu, riešenie kontrolovaného, evidovaného alebo obmedzeného prístupu  zamestnancov, konateľov, návštevníkov a klientov do objektu spoločnosti
  • Poškodenie integrity informačných systémov počítačovými vírusmi
    • návrh eliminácie hrozby: antivírový program, firewall, zálohovanie dát
  • Zneužitie rozsahu oprávnení oprávnenej osoby v rozsahu neoprávneného konania, ako napr. neoprávnené rozmnožovanie a rozširovanie osobných údajov
    • návrh eliminácie hrozby: vypracovanie tejto smernice,  preškolenie oprávnených osôb, dostatočné poučenie o právach a povinnostiach oprávnenej osoby v rámci poverenia.
  • Ochrana proti poškodeniu, zmene, vymazaniu a zničeniu osobných údajov v informačných systémoch
    •  návrh eliminácie hrozby: dodržiavanie opatrení uvedených v prílohe č. 1
  • Ochrana proti výpadkom napájania
    • návrh eliminácie hrozby: napojenie serveru a aktívnych prvkov siete na záložné zdroje
  • Ochrana spracúvaných údajov pri likvidácii
    •  návrh eliminácie hrozby: dodržiavanie opatrení uvedených v prílohe č. 1
  • Ochrana proti požiaru:
    • návrh eliminácie hrozby: vypracovanie požiarneho plánu ochrany objektov
  • Riziká, ktoré nie sú vyššie uvedené a nie je možné ich v uvedenom čase identifikovať – tzv. nepokryté riziká:  nepokrytými rizikami sú udalosti, ktoré môžu nastať, a to z objektívnych alebo subjektívnych príčin, a ktoré v súčasnosti nie je možné dostatočne objektívne predvídať.

8.2. Bezpečnostné štandardy, metódy a prostriedky:

  • Ochrana pred neoprávneným prístupom zo strany nepovolaných osôb – hackerov:   Technické vybavenie a prijaté opatrenia v Smernici dostatočne eliminujú riziko.
  • Ochrana pred neoprávneným prístupom zo strany nepovolaných osôb – vlamačov:   Fyzická ochrana objektov je dostatočná, zabezpečujú ju mechanické zábrany vstupu. Vchod do budovy je zabezpečený spôsobom špecifikovaným v Prílohe č. 1.
  • Ochrana pred poškodením integrity informačných systémov počítačovými vírusmi: Súčasné vybavenie je dostatočné.
  • Ochrana pred zneužitím rozsahu oprávnení oprávnenej osoby, najmä k neoprávnenému rozmnožovaniu a rozširovaniu osobných údajov:
  • sú prijaté primerané opatrenia,
  • oprávnené osoby sú poučené o svojich povinnostiach v oblasti ochrany osobných údajov v zmysle zákona ako aj o povinnosti mlčanlivosti,                                     
  • riešenia prístupových práv do informačného systému zabezpečuje nemožnosť tlačenia, resp. kopírovania dokumentov obsahujúcich osobné údaje neoprávnenou osobou. Dokument môžu vytlačiť, resp. kopírovať len tie oprávnené osoby, ktoré majú oprávnenie s údajmi pracovať – prístup k údajom v automatizovanej forme je zabezpečený vstupným heslom, v manuálnej forme umožnením prístupu do skríň (trezoru), kde sa informačný systém nachádza, iba oprávneným osobám,                       
  • zabezpečenie školenia všetkých oprávnených osôb k spracúvaniu osobných údajov v informačných systémoch (interné pravidlá, ustanovenia predpisov v konkrétnej oblasti) a stanovenie zodpovednosti oprávnenej osoby za porušenie povinností ochrany osobných údajov pri manipulácii s nimi a za porušenie povinnosti mlčanlivosti,                                    
  • určenie oprávnených osôb na získavanie osobných údajov a spôsobu ich získavania,
  • miesta uloženia komponentov informačných systémov v manuálnej a automatizovanej podobe sú zabezpečené mechanickými zábranami.
  • Ochrana proti poškodeniu, zmene, vymazaniu a zničeniu osobných údajov v informačných systémoch: zálohovanie, prístup do informačných systémov, dátových nosičov i zariadení, v ktorých sa osobné údaje nachádzajú, alebo prostredníctvom ktorých je možný prístup do servera je chránený heslom. Bližší opis jednotlivých opatrení a návrhov je uvedený v Prílohe č. 1.
  • Ochrana informačných systémov v manuálnej podobe: Sú stanovené bezpečné miesta v kontrolovaných priestoroch, ako aj stanovené povinnosti zamestnancov chrániť údaje pred možnosťou nahliadnutia do nich inou neoprávnenou osobou prítomnou na pracovisku.
  • Ochrana proti výpadkom napájania:
  • je zabezpečené ukladanie spracúvaných dát v určenej periodicite na externý server (všetky informačné systémy, v ktorých sa spracúvajú osobné údaje, sú umiestňované na externý server)
  • ochrana proti požiaru spĺňa náležitosti zákona č. 314/2001 Z. z.  o ochrane pred požiarmi v znení neskorších predpisov v zmysle vypracovaného požiarneho plánu ochrany objektu
  • Určenie a zabezpečenie miesta uschovávania osobných údajov v manuálnej podobe a zabezpečenie oddelenia prvkov informačných systémov v automatizovanej forme obsahujúcich osobné údaje od iných prvkov automatizovaných systémov, ktoré sú prístupné v rámci siete aj iným ako oprávneným osobám: nachádzajúce sa v Prílohe č. 1.
  • Určenie termínov a spôsobu likvidácie nepotrebných údajov po skončení účelu, na ktorý boli získavané a osôb zodpovedných za likvidáciu: Uvedené v prílohe č. 1. Ochrana spracúvaných údajov pri likvidácii je dostatočne zabezpečená, likvidujú sa protokolárne, za prítomnosti oprávnenej osoby a konateľa spoločnosti alebo ním poverenej osoby, v počítačovej podobe likviduje oprávnená osoba v spolupráci s osobou zodpovednou za výpočtovú techniku. O likvidácii je vyhotovený písomný záznam.
  • Posúdenie zhody bezpečnostných opatrení s použitými bezpečnostnými štandardami, metódami a prostriedkami:
    • Objekty, v ktorých sa nachádzajú komponenty informačných systémov, sú v rámci kontroly prístupu dostatočne zabezpečené pred vstupom nepovolaných osôb.
    • Objekt, v ktorom má sídlo Spoločnosť, je z hľadiska požiarnej bezpečnosti vybavené zodpovedajúcimi hasiacimi prístrojmi a je spracovaný požiarny plán v zmysle zákona č. 314/2001 Z. z. o ochrane pred požiarmi v znení neskorších predpisov a spĺňa požiadavky stanovené týmto zákonom.
    • Fyzická bezpečnosť komponentov informačných systémov je štandardná. Ochrana osobných údajov v Spoločnosti je v súlade so Zákonom.
    • Neprijatie potrebných personálnych, organizačných a technických opatrení alebo nevykonanie vyššie uvedených navrhovaných opatrení môže u prevádzkovateľa viesť k vzniku bezpečnostného incidentu, ktorý môže viac či menej významne narušiť bezpečnosť spracúvaných osobných údajov u prevádzkovateľa a spôsobiť nemalé problémy, zvýšiť riziká pre dotknuté osoby a znížiť bezpečnosť spracúvaných osobných údajov.
    • Vzhľadom na súčasný stav a spôsob prevádzky informačných systémov a po prijatí potrebných opatrení vyplývajúcich z prílohy č. 1 nevzniká pre spoločnosť potreba ďalšieho financovania. Informačné systémy v spoločnosti sú dôveryhodnými výpočtovými systémami.

 

 XIII. BEZPEČNOSTNÉ INCIDENTY

  1. Týmto zavádzame postupy pri haváriách, poruchách a iných mimoriadnych situáciách (ďalej aj ako „bezpečnostný incident“) vrátane preventívnych opatrení na zníženie pravdepodobnosti vzniku mimoriadnych situácií a možností efektívnej obnovy stavu z pred havárie. Štandardne zaužívanými postupmi pre periodické hodnotenie zraniteľnosti je pravidelné hodnotenie slabých miest a ohrození informačného systému prevádzkovateľa s periodicitou najmenej raz ročne.
  2. Prevádzkovateľ je povinný oznámiť Úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel. To neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
  3. Zmeškanie uvedenej lehoty, resp. nesplnenie oznamovacej povinnosti je prevádzkovateľ povinný náležite odôvodniť.
  4. Oznámenie musí obsahovať najmä:
    1. opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
    1. kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
    1. opis pravdepodobných následkov porušenia ochrany osobných údajov,
    1. opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.
  5. Prevádzkovateľ je povinný poskytnúť informácie v rozsahu, v akom sú mu známe v čase oznámenia. Ak v čase oznámenia nie sú prevádzkovateľovi známe všetky informácie, poskytne ich bezodkladne po tom, čo sa o nich dozvie.
  6. Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
  7. Oznamovaciu povinnosť v čase vzniku bezpečnostného incidentu alebo hrozby vzniku bezpečnostného incidentu má i sprostredkovateľ voči prevádzkovateľovi, pričom je tak povinný vykonať bez zbytočného odkladu po tom, ako sa o danej skutočnosti dozvedel.
  8. Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
  9. Medzi obligatórne náležitosti oznámenia vzniku bezpečnostného incidentu patrí jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia uvedené v čl. 33 ods. 3 nariadenia GDPR.
  10. Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, Úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z vyššie uvedených podmienok.
  11. Oznámenie sa nevyžaduje, ak:

a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,

b) prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby,

c) by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.