Ochrana osobných údajov: Vaše práva a povinnosti v digitálnom veku

By /

V dnešnej dobe, kedy digitálne technológie prenikajú do všetkých aspektov nášho života, sa otázka ochrany osobných údajov stáva čoraz dôležitejšou. Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, známe pod skratkou GDPR (General Data Protection Regulation), ktoré je od 25. mája 2018 účinné aj v Slovenskej republike, prinieslo zásadné zmeny v spôsobe, akým subjekty spracúvajú osobné údaje fyzických osôb. V Slovenskej republike sa GDPR premietlo do zákona č. 18/2018 Z. z. o ochrane osobných údajov, ktorý nahradil predchádzajúcu legislatívu. Tento článok sa zameriava na objasnenie toho, čo predstavujú osobné údaje, kedy je súhlas na ich spracúvanie potrebný a kedy nie, aké formy súhlasu sú akceptovateľné a aké požiadavky musí súhlas spĺňať.

Ilustrácia symbolizujúca ochranu osobných údajov

Čo sú osobné údaje podľa GDPR?

Podľa GDPR (článok 4, bod 1) sú osobné údaje akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je taká osoba, ktorú možno priamo či nepriamo identifikovať, najmä na základe všeobecného identifikačného znaku alebo na základe jedného či viacerých špecifických prvkov jej fyzickej, fyziologickej, psychickej, ekonomickej, kultúrnej alebo sociálnej identity. Medzi osobné údaje patria napríklad:

  • Meno a priezvisko
  • Adresa bydliska (ulica a číslo, PSČ, mesto)
  • Emailová adresa
  • Telefónne číslo
  • Dátum narodenia
  • Rodné číslo (ak je relevantné)
  • Číslo občianskeho preukazu alebo iného identifikačného dokladu
  • Bankové údaje (číslo účtu, údaje o platobnej karte)
  • IP adresa, identifikátor mobilného zariadenia
  • Súbory cookies, ak umožňujú identifikáciu konkrétnej fyzickej osoby
  • Biometrické údaje (snímok tváre, odtlačok prsta)
  • Informácie o polohe alebo pohybe

Je dôležité poznamenať, že technické údaje ako IP adresa či cookies sa považujú za osobné údaje len vtedy, ak umožňujú identifikáciu konkrétnej fyzickej osoby. Údaje o obchodných spoločnostiach, ako sú názov, sídlo a identifikačné číslo, ktoré sú verejne dostupné v registroch, sa za osobné údaje fyzických osôb nepovažujú.

Kedy ide o spracúvanie osobných údajov podľa GDPR?

Spracúvaním osobných údajov sa podľa GDPR (článok 4, bod 2) rozumie akákoľvek operácia alebo súbor operácií s osobnými údajmi alebo so súbormi osobných údajov, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami. Medzi tieto operácie patria:

  • Získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie
  • Uchovávanie, prispôsobovanie alebo zmena
  • Vyhľadávanie, prehliadanie, využívanie
  • Poskytovanie osobných údajov prenosom, šírením alebo iným spôsobom sprístupnenia
  • Preskupovanie alebo kombinovanie
  • Obmedzenie, vymazanie alebo likvidácia

Súhlas so spracúvaním osobných údajov podľa GDPR

GDPR definuje súhlas dotknutej osoby (článok 4, bod 11) ako akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

Infografika vysvetľujúca kľúčové požiadavky na platný súhlas podľa GDPR

Požiadavky na platný súhlas so spracúvaním osobných údajov podľa GDPR:

GDPR uprednostňuje iné právne základy na spracúvanie osobných údajov (napr. plnenie zmluvy, zákonná povinnosť) pred súhlasom. Ak však súhlas slúži ako jediný právny základ, musí spĺňať nasledujúce kritériá:

  1. Slobodný: Fyzická osoba musí mať reálnu možnosť výberu a nesmie byť k udeleniu súhlasu donútená.
  2. Konkrétny (určitý): Zo súhlasu musí byť jasné, na aký účel a v akom rozsahu sa osobné údaje spracúvajú. Ak sa údaje spracúvajú na viacero účelov, súhlas by mal byť poskytnutý pre každý z nich samostatne.
  3. Informovaný: Pred udelením súhlasu je prevádzkovateľ povinný dotknutej osobe poskytnúť základné informácie, ako sú:
    • Totožnosť a kontaktné údaje prevádzkovateľa.
    • Účel a právny základ spracúvania.
    • Doba uchovávania osobných údajov.
    • Právo kedykoľvek súhlas odvolať a podať sťažnosť dozornému orgánu.
    • Prípadné riziká prenosu osobných údajov do tretích krajín.Tieto informácie musia byť formulované stručne, jednoducho a zrozumiteľne, nie skryté v zložitých právnych formuláciách alebo všeobecných obchodných podmienkach.
  4. Jednoznačný: Pri udelení súhlasu nesmú existovať žiadne pochybnosti o tom, že dotknutá osoba súhlasí so spracúvaním svojich osobných údajov. Musí ísť o vyhlásenie alebo jednoznačný úkon potvrdzujúci súhlas.

Súhlas nesmie byť súčasťou všeobecných obchodných podmienok, zmluvy alebo internej smernice, ani nesmie byť podmienený poskytnutím služby či dodaním tovaru, pokiaľ to nie je nevyhnutné na plnenie zmluvy.

Forma súhlasu so spracúvaním osobných údajov podľa GDPR

GDPR neustanovuje predpísanú formu súhlasu, ale musí byť odlíšený od iných skutočností a musí byť jasný, zrozumiteľný a ľahko dostupný. Keďže prevádzkovateľ musí byť schopný súhlas preukázať, ústna forma súhlasu (hoci platná) si vyžaduje zaznamenanie. Najčastejšie sa využíva písomná forma (listinná alebo elektronická). Pri elektronickom súhlase je kľúčový vedomý úkon dotknutej osoby, napríklad zakliknutie políčka "Súhlasím so spracovaním osobných údajov".

Z udeleného súhlasu by malo byť zrejmé:

  • Kto súhlas udelil (dotknutá osoba).
  • Komu sa súhlas udelil (prevádzkovateľ).
  • Účel, na ktorý sa súhlas udelil.
  • Rozsah spracúvaných osobných údajov.
  • Právo dotknutej osoby súhlas odvolať.
  • Doba platnosti súhlasu.
  • Informácie poskytnuté pred udelením súhlasu.
  • Spôsob udelenia súhlasu.
  • Dátum udelenia súhlasu.

Kedy sa súhlas na spracúvanie osobných údajov vyžaduje a kedy nie?

Súhlas je vyžadovaný v nasledujúcich prípadoch:

  • Marketingová komunikácia: Zasielanie marketingových informácií, newsletterov, ponúk.
  • Vernostné programy: Zapojenie do programov odmeňujúcich verných zákazníkov.
  • Súťaže a prieskumy: Účasť na spotrebiteľských súťažiach alebo odpovedanie na prieskumy, ktoré si to vyžadujú.
  • Zverejňovanie fotografií: Použitie fotografií osôb na webových stránkach alebo v iných marketingových materiáloch.
  • Používanie cookies na marketingové účely: Ak cookies slúžia na sledovanie správania používateľa na marketingové účely.

V týchto prípadoch, ak nie je možné nájsť iný právny základ, je nevyhnutné získať slobodný, konkrétny, informovaný a jednoznačný súhlas dotknutej osoby.

Súhlas nie je vyžadovaný, ak je spracúvanie nevyhnutné:

  • Na splnenie zákonnej povinnosti: Napríklad spracúvanie údajov zamestnancov pre účely miezd, sociálneho a zdravotného poistenia podľa Zákonníka práce, zákona o sociálnom poistení alebo medzinárodných zmlúv.
  • Na plnenie zmluvy: Spracúvanie údajov potrebných na vybavenie objednávky, dodanie tovaru, poskytnutie služby na základe kúpnej zmluvy alebo inej zmluvy, ktorej ste zmluvnou stranou.
    • Príklad: EGNE s.r.o. spracúva meno, priezvisko, adresu, IČO a DIČ kupujúceho na účely vystavenia daňového dokladu, kontaktovania zákazníka ohľadom objednávky a plnenia zmluvy, vrátane vybavovania zodpovednosti za vady predaných výrobkov. Toto spracúvanie je nevyhnutné na plnenie zmluvy a je na neho uplatňovaný zákon č. 222/2004 Z. z., pričom doba uchovávania údajov je desať rokov. Poskytnutie týchto údajov je zmluvnou povinnosťou.
  • Na ochranu životne dôležitých záujmov: V prípade ohrozenia života alebo zdravia dotknutej osoby alebo inej fyzickej osoby, napríklad spracovanie údajov pacienta v nemocnici na účely identifikácie.
  • Na splnenie úlohy vo verejnom záujme alebo pri výkone verejnej moci: Napríklad spracúvanie údajov v rámci disciplinárneho konania profesijnými komorami.
  • Na účel oprávnených záujmov prevádzkovateľa alebo tretej strany: Ak už existuje vzťah medzi prevádzkovateľom a dotknutou osobou (napr. pracovnoprávny vzťah) a spracúvanie je nevyhnutné na dosiahnutie týchto záujmov, ktoré neprevažujú nad právami a záujmami dotknutej osoby.
    • Príklad: Prevádzkovateľ EGNE s.r.o. vzhľadom na rozsah a predmet svojej činnosti nemá povinnosť stanoviť zodpovednú osobu v zmysle § 44 zákona č. 18/2018 Z. z.

Práva dotknutej osoby v súvislosti so spracúvaním osobných údajov

Každá fyzická osoba, ktorej osobné údaje sa spracúvajú, má v zmysle GDPR a zákona č. 18/2018 Z. z. nasledujúce práva:

  1. Právo na prístup k osobným údajom: Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie, či sa jej osobné údaje spracúvajú, a ak áno, má právo na prístup k týmto údajom a ďalším informáciám o ich spracúvaní (účel, kategórie údajov, príjemcovia, doba uchovávania, zdroj údajov, informácie o automatizovanom rozhodovaní vrátane profilovania).
  2. Právo na opravu: Má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne alebo doplnil neúplné osobné údaje.
  3. Právo na výmaz (zabudnutie): Má právo na vymazanie svojich osobných údajov, ak už nie sú potrebné na účel ich získania, ak odvolá súhlas (a neexistuje iný právny základ), ak namieta spracúvanie (a neexistujú prevažujúce oprávnené dôvody), ak sú spracúvané nezákonne, alebo ak ide o splnenie zákonnej povinnosti. Existujú však výnimky, kedy prevádzkovateľ nemusí údaje zmazať (napr. na účely archivácie, vedeckého výskumu, uplatnenie právneho nároku).
  4. Právo na obmedzenie spracúvania: Môže požiadať o obmedzenie spracúvania, ak namieta správnosť údajov (počas ich overovania), ak je spracúvanie nezákonné (a namiesto výmazu žiada obmedzenie), ak prevádzkovateľ už nepotrebuje údaje, ale ona ich potrebuje na uplatnenie právneho nároku, alebo ak namieta spracúvanie (do overenia oprávnených dôvodov).
  5. Právo na prenosnosť údajov: Má právo získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a preniesť ich inému prevádzkovateľovi, ak sa spracúvanie vykonáva automatizovanými prostriedkami a na základe súhlasu alebo zmluvy.
  6. Právo namietať: Má právo namietať spracúvanie svojich osobných údajov, najmä na účely priameho marketingu alebo ak sa spracúvanie vykonáva na základe verejného záujmu, verejnej moci alebo oprávnených záujmov prevádzkovateľa.
  7. Právo podať sťažnosť dozornému orgánu: Ak sa domnieva, že došlo k porušeniu jej práv, môže podať návrh na začatie konania o ochrane osobných údajov na Úrad na ochranu osobných údajov SR.

M. Macová: Práva dotknutej osoby podľa GDPR

Poučenie o právach dotknutej osoby pri písomnej žiadosti

Dotknutá osoba má právo na základe písomnej žiadosti u prevádzkovateľa domáhať sa informácií o svojich osobných údajoch, ktoré sú predmetom spracúvania alebo likvidácie, či opravy. Prevádzkovateľ je povinný žiadosť vybaviť bezplatne do 30 dní odo dňa doručenia, okrem prípadov, kedy môže účtovať primeraný poplatok zodpovedajúci administratívnym nákladom za opakované poskytnutie údajov.

Medzi informácie, ktoré môže dotknutá osoba požadovať, patria:

  • Potvrdenie o spracúvaní osobných údajov.
  • Informácie o spracúvaní v informačnom systéme (identifikačné údaje prevádzkovateľa, účel, rozsah údajov, právny základ, doba platnosti súhlasu, tretie strany, okruh príjemcov, forma zverejnenia, prenos do tretích krajín).
  • Presné informácie o zdroji, z ktorého prevádzkovateľ získal jej osobné údaje.
  • Zoznam jej osobných údajov, ktoré sú predmetom spracúvania.
  • Opravu alebo likvidáciu nesprávnych, neúplných alebo neaktuálnych osobných údajov.
  • Likvidáciu osobných údajov, ktorých účel spracúvania sa skončil, alebo ak došlo k porušeniu zákona.
  • Blokovanie osobných údajov z dôvodu odvolania súhlasu pred uplynutím jeho platnosti.

Účely spracúvania osobných údajov prevádzkovateľom EGNE s.r.o.

Prevádzkovateľ EGNE s.r.o., so sídlom Hlavná 71/88, 040 01 Košice, IČO 52 043 711, spracúva osobné údaje na nasledujúce účely:

  • Vystavenie daňového dokladu: Na základe zákona č. 222/2004 Z. z. o dani z pridanej hodnoty.
  • Kontaktovanie zákazníka ohľadom objednávky: Na účely komunikácie súvisiacej s vybavovaním objednávky.
  • Plnenie zmluvy: Na účely dodania tovaru a splnenia zmluvných záväzkov vyplývajúcich z kúpnej zmluvy.
  • Vybavovanie uplatňovania zodpovednosti za vady predaných výrobkov: Na základe zákonných povinností vyplývajúcich z plnenia zmluvy.

Právnym základom pre tieto účely je nevyhnutnosť spracúvania na plnenie zmluvy a na splnenie zákonnej povinnosti. Doba uchovávania osobných údajov je v týchto prípadoch desať rokov. Poskytnutie týchto osobných údajov je zmluvnou povinnosťou.

Okrem toho, prevádzkovateľ môže spracúvať osobné údaje na účely zasielania marketingových informácií, ak dotknutá osoba udelila na tento účel súhlas (právny základ: článok 6 ods. 1 písm. a) GDPR). Doba uchovávania v tomto prípade je tiež desať rokov. Poskytnutie údajov na marketingové účely je dobrovoľné.

Príjemcovia osobných údajov

Prevádzkovateľ EGNE s.r.o. môže pri spracúvaní osobných údajov poskytovať tieto údaje nasledujúcim príjemcom:

  • Direct Parcel Distribution SK s.r.o.: Technická 7, 821 04 Bratislava, IČO: 35834498.
  • BCARE S.R.O.: Karpatská 1328/3, 04001 Košice, IČO 50321846.
  • QUEEN CONTROL s. r. o.: Magnezitárska 11, 040 13 Košice, IČO 47735414.

Prevádzkovateľ nemá povinnosť ustanoviť zodpovednú osobu v zmysle § 44 zákona č. 18/2018 Z. z.

Dodržiavanie pravidiel ochrany osobných údajov je kľúčové pre budovanie dôvery medzi prevádzkovateľmi a dotknutými osobami a pre zabezpečenie základných práv a slobôd v digitálnom prostredí.

tags: #suhlas #so #spracovanim #osobnych #udajov #bydlisko

Populárne príspevky:

  • Rekonštrukcia a prenájmy v Mlynskej Doline
  • Aktuálna ponuka 3-izbových bytov v regióne Malacky
  • OSBD Bardejov pre nájomníkov
  • Byty v Dunajskej Strede
  • Nové bývanie v Šamoríne na Gazdovskom rade