Zatvoriť

GDPR – základné zásady spracúvania osobných údajov

V dnešnom príspevku sa budeme venovať GDPR – inými slovami nariadeniu o ochrane osobných údajov, ktoré nadobúda účinnosť 25. mája 2018. V súvislosti s nariadením nadobúda účinnosť aj nový zákona č. 18/2018 Z. z. o ochrane osobných údajov, ktorý nadväzuje na nariadenie EÚ a v niektorých otázkach ho dopĺňa.

Pri spracúvaní osobných údajov je každý prevádzkovateľ povinný dodržiavať niekoľko zásad spracúvania osobných údajov. Na tieto zásady odkazuje GDPR, ale aj zákon o ochrane osobných údajov.

Základné zásady spracúvania osobných údajov sú tieto:

Zásada zákonnosti

Všetky osobné údaje musia byť spracúvané zákonným spôsobom (teda v súlade s GDPR a zákonom č. 18/2018 Z. z.), pričom je potrebné zabezpečiť, aby nedochádzalo k porušeniu práv osoby, ktorej osobné údaje sa spracúvajú. Toto je základná zásada, od ktorej sa odvíjajú ďalšie povinnosti všetkých prevádzkovateľov.

Zásada obmedzenia účelu

Osobné údaje sa môžu získavať len na konkrétne určený, ktorý musí byť jasne vymedzený a osoba, ktorej osobné údaje sa spracúvajú musí tento účel poznať. Osobné údaje získané na jeden účel nemôžu byť bez ďalšieho právneho základu použité na iný účel. Po naplnení účelu nemôžu byť osobné údaje ďalej spracúvané a musia byť zlikvidované, resp. ak sú splnené zákonné podmienky môžu byť archivované na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak sú splnené zákonné podmienky a poskytnuté záruky ochrany takto ďalej spracúvaných osobných údajov (najmä údaje musia byť zabezpečené, pseudonymizované a môžu byť spracúvané len v nevyhnutnom rozsahu).

Zásada minimalizácie osobných údajov

Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú. To znamená, že je neprípustné spracúvať údaje, ktoré nie sú nevyhnutne potrebné na dosiahnutie účelu spracúvania a právnemu základu.

Právnych základov spracúvania osobných údajov podľa GDPR je šesť a sú nimi:

  1. súhlas dotknutej osoby;
  2. plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
  3. spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
  4. spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
  5. spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci,
  6. spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany

Zásada správnosti

Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; Prevádzkovatelia musia mať prijaté opatrenia, aby sa nesprávne, alebo neaktuálne údaje bez zbytočného odkladu vymazali alebo opravili. Rovnako je potrebné opraviť, alebo vymazať osobné údaje na podnet dotknutej osoby.

Zásada minimalizácie uchovávania

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.

Zásada integrity a dôvernosti

Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov. Technické a organizačné opatrenia sú opatrenia a procesy, prostredníctvom ktorých sú chránené osobné údaje. Softwarové opatrenia sú šifrovanie, používanie hesiel, firewall, antivírový program. Ďalšie technické opatrenia sú uzamykanie priestorov, inštalácia bezpečnostných systémov – alarmov, mreží, uzamykanie dokumentov s osobnými údajmi do archivačných skríň. Organizačné opatrenia sú preškolenie oprávnených osôb, dodržiavanie procesov spracúvania osobných údajov, a ďalšie opatrenia na minimalizáciu bezpečnostných incidentov.

Zásada zodpovednosti

Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať. Zodpovednosť prevádzkovateľa je objektívna. Aj keď v dnešnej dobe nie je možné vylúčiť absolútne všetky riziká, je potrebné eliminovať ich dostupnými prostriedkami do takej miery, aby zostatkové riziko bolo čo najmenšie.

V prípade otázok v súvislosti s ochranou osobných údajov, novým zákonom a nariadením GDPR nás neváhajte kontaktovať.

Bratislava, 12. mája 2018

< späť na aktuality

zdroj:
Zákon č. 18/2018 Z. z. o ochrane osobných údajov dostupný na: https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525
GDPR dostupné na: https://dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf

 

Máte otázku? Neváhajte sa nám ozvať.

Kontaktný formulár

Potvrďte, prosím, kontrolu proti spamu.