Smernica na ochranu osobných údajov

AZ services s. r. o., IČO: 50 235 991, so sídlom: Československých tankistov 111, 841 06 Bratislava – mestská časť Záhorská Bystrica, zapísaná v Obchodnom registri Okresného súdu Bratislava I, oddiel: Sro, vložka č.: 110348/B (ďalej len ako „Prevádzkovateľ“)

Smernica na ochranu osobných údajov
spracúvaných v informačných systémochPrevádzkovateľa
(ďalej len ako „Smernica na ochranu osobných údajov“)

Vypracoval: ADVOKÁTSKA KANCELÁRIA – Marek Piršel s.r.o., IČO: 47 255 498, so sídlom: Kopčianska 10, 851 01 Bratislava, zapísaná v Obchodnom registri Okresného súdu Bratislava I, oddiel: Sro, vložka č.: 110554/B

Schválil: Bc. Andrea Zavarská Pírová

Dátum: 25.05.2018


Podpis: ……………………………………..

ÚVOD
Smernica na ochranu osobných údajov Prevádzkovateľa je vypracovaná pre ochranu práv a oprávnených záujmov prevádzkovateľa v zmysle ustanovení Nariadenia Európskeho parlamentu a Rady (EU) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie“) a zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“) ochranu práv a oprávnených záujmov fyzických pri spracúvaní ich osobných údajov zo strany Prevádzkovateľa.
Smernica na ochranu osobných údajov stanovuje všeobecné pravidlá ochrany osobných údajov fyzických osôb pri ich spracúvaní, zásady spracúvania osobných údajov, práva dotknutých osôb a povinnosti zamestnancov Prevádzkovateľa pri spracovávaní osobných údajov.
Smernica na ochranu osobných údajov bližšie konkretizuje v súlade s právnymi predpismi ustanovenia Nariadenia podľa osobitných podmienok Prevádzkovateľa. Smernica na ochranu osobných údajov má pre zamestnancov Prevádzkovateľa povahu pracovného poriadku resp. iného záväzného pokynu v zmysle predpisov pracovného práva a teda je záväzná pre Prevádzkovateľa a pre všetkých jeho zamestnancov. Nadobúda účinnosť dňom, ktorý je v ňom určený, najskôr však dňom, keď bola u Prevádzkovateľa zverejnená. Každý zamestnanec Prevádzkovateľa musí byť oboznámený so Smernicou na ochranu osobných údajov. Smernica na ochranu osobných údajov musí byť každému zamestnancovi prístupná.
Prevádzkovateľ v zmysle ustanovení Nariadenia s ohľadom na povahu, rozsah a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby je povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s Nariadením. Uvedené opatrenia je Prevádzkovateľ povinný podľa potreby aktualizovať.
Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad spracovania osobných údajov.
Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
Pri definovaní a zabezpečovaní bezpečnostných opatrení sa prihliada najmä na použiteľné dostupné technické, softvérové, hardvérové prostriedky, primerané náklady Prevádzkovateľa, organizačné a personálne opatrenia, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť spracovávania osobných údajov a to od momentu ich získania až po ich likvidáciu.
Smernica na ochranu osobných údajov vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných k eliminácii a minimalizácií hrozieb a rizík pôsobiacich na spracovávanie osobných údajov z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
Medzi základné zásady spracovania osobných údajov patria
zásada zákonnosti – v zmysle, ktorej osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby
zásada obmedzenia účelu – v zmysle, ktorej osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom
zásada minimalizácie osobných údajov – v zmysle, ktorej spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú
zásada správnosti – v zmysle, ktorej spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.
zásada minimalizácie uchovávania – v zmysle, ktorej osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú
zásada integrity a dôvernosti – v zmysle, ktorej osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov
zásada zodpovednosti – v zmysle, ktorej je Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov

Výklad pojmov
Adresou je súbor údajov o pobyte fyzickej osoby, do ktorého patria: názov ulice, orientačné prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu.
Akceptácia rizika (angl. risk acceptance): rozhodnutie prijať určité riziko.
Aktívum (angl. asset): čokoľvek, čo má pre organizáciu hodnotu.
Analýza rizík: proces na pochopenie pôvodu rizík a zistenie úrovne rizík.
Anonymizovaným údajom je osobný údaj upravený do takej podoby, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka.
Biometrickým údajom sú údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
Blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na splnenie povinnosti uloženej Nariadením.
Cezhraničným prenosom osobných údajov je prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky.
Dotknutou osobou je každá fyzická osoba, ktorej sa osobné údaje týkajú.
Dostupnosť (angl. availability): schopnosť byť dostupný a použiteľný na požiadanie autorizovanej entity.
Dôvernosť (angl. confidentiality): vlastnosť, na základe ktorej informácie nie sú sprístupňované a odhaľované neautorizovaným osobám, entitám ani procesom.
Incident informačnej bezpečnosti (angl. information security incident): jedna alebo viaceré neočakávané udalosti informačnej bezpečnosti, pri ktorých je vysoká pravdepodobnosť kompromitácie aktivít Prevádzkovateľa a ohrozenia informačnej bezpečnosti.
Informačná bezpečnosť (angl. information security): zachovanie dôvernosti, integrity a dostupnosti informácií; navyše sa môže týkať aj ďalších vlastností, akými sú autentičnosť, sledovateľnosť, nemožnosť poprieť zodpovednosť a spoľahlivosť.
Informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, ďalej len „informačný systém“; informačným systémom sa na účely Nariadenia rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.
Spracúvaním osobných údajov je spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
Integrita (angl. integrity): vlastnosť zabezpečujúca presnosť a kompletnosť aktív.
Kritériá rizika sú referenčné hodnoty, podľa ktorých sa hodnotí závažnosť rizík.
Likvidáciou osobných údajov je zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.
Následok je výsledok udalosti ovplyvňujúci cieľ.
Ohodnotenie rizika (angl. risk evaluation): proces porovnania odhadnutého rizika podľa daných kritérií rizika, s cieľom určiť významnosť rizika.
Opatrenie je zákrok, ktorý upravuje riziko.
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa Nariadenia.
Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu..
Osobitné kategórie osobných údajov (citlivé údaje) sú údaje, ktorých nekorektné použitie môže mať pre subjekt údajov zvlášť závažné dôsledky. Preto pre ich spracovanie platia prísnejšie opatrenia ako pre iné osobné údaje. Ide o údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Ošetrovanie rizika (angl. risk treatment): proces výberu a implementácie opatrení na modifikovanie rizika.
Podmienkami spracúvania osobných údajov sú prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania.
Poskytovaním osobných údajov je odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva.
Posúdenie rizík je celkový proces identifikácie rizík, analýzy rizík a vyhodnotenia rizík.
Pravdepodobnosť je možnosť, že sa niečo stane.
Preskúmavanie rizík (angl. risk assessment): celkový proces analýzy rizika a ohodnotenia rizika.
Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie, alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky.
Priestorom prístupným verejnosti je priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon.
Príjemcom je každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana;
Riadenie rizík (angl. risk management): koordinované aktivity na usmernenie a riadenie organizácie vzhľadom na riziko.
Incident manažment: koordinovaná aktivita v prípade neželaného/negatívneho incidentu informačnej bezpečnosti alebo udalosť informačnej bezpečnosti, ktorý má za dôsledok možnosť ohrozenia práv dotknutých osôb
Riziko je miera neistoty dosiahnutia cieľa.
Spracúvaním osobných údajov je vykonávanie operácií alebo súboru operácií  s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.
Sprístupňovaním osobných údajov je oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva.
Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve
Súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov
Systém manažérstva informačnej bezpečnosti tzv. SMIB (angl. Information Security Management system (ISMS)): časť celkového systému manažérstva, založená na prístupe k riziku organizácie, ktorej úlohou je zriadiť, implementovať, prevádzkovať, monitorovať, preskúmavať, udržiavať a zlepšovať informačnú bezpečnosť.
Profilovaním je akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
Pseudonymizáciou je spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe.
Šifrovaním je transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo,
Treťou krajinou je krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.
Treťou stranou je každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.
Udalosť informačnej bezpečnosti (angl. information security event): identifikovaný výskyt stavu systému, služby alebo siete, ktorý signalizuje možnosť porušenia politiky informačnej bezpečnosti alebo zlyhania opatrení alebo doposiaľ nezaznamenanú situáciu, ktorá môže byť relevantná z hľadiska bezpečnosti.
Účelom spracúvania osobných údajov je vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť.
Úroveň rizika je vyjadrená ako kombinácia následkov a pravdepodobnosti.
Verejným záujmom je dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.
Všeobecne použiteľným identifikátorom je trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch.
Zvyškové riziko je riziko, ktoré zostane po ošetrení rizika.
Zverejňovaním osobných údajov je publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste.
Sprostredkovateľ
Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje.
Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho:
odbornú,
technickú,
organizačnú
personálnu spôsobilosť
a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov primeranými opatreniami.
Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov.
Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa Nariadenia.
Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorá musí obsahovať predmet a dobu spracúvania osobných údajov, povahu a účel ich spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.
Zmluva, alebo iný úkon podľa predchádzajúceho bodu ďalej musí obsahovať najmä povinnosť sprostredkovateľa a) spracúvať osobné údaje len na základe písomných pokynov Prevádzkovateľa, b) zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, c) vykonať opatrenia podľa ust. § 39 Zákona, d) dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa, e) po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť Prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby, f) poskytnúť súčinnosť Prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa ust. § 39 až 43 Zákona s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi, g) vymazať osobné údaje alebo vrátiť Prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a h) po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia Prevádzkovateľa osobné údaje vymazať alebo vrátiť Prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov, i) poskytnúť Prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany Prevádzkovateľa alebo ním povereného audítora.
Základné povinnosti Prevádzkovateľa
Pred začatím spracúvania osobných údajov vymedziť účel spracúvania osobných údajov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade so zákonmi, právnymi predpismi EU a medzinárodnými zmluvami. Je potrebné od úplného začiatku spracúvania osobných údajov v informačných systémoch vylúčiť možnosť spracúvania takých osobných údajov, ktoré sú nezlučiteľné s daným účelom spracúvania.
Prevádzkovateľ je povinný určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené Nariadením. Ide o presnú špecifikáciu podmienok, za akých budú osobné údaje získavané, zhromažďované, zaznamenávané, usporadúvané, vyhľadávané, premiestňované, využívané, uchovávané, poskytované, sprístupňované, zverejňované a likvidované. Podmienky spracúvania vyjadrujú aj použitie automatizovaných (napr. databázy spracúvané prostredníctvom PC) a neautomatizovaných (napr. doklady spracúvané manuálnym spôsobom) prostriedkov spracúvania.
Prevádzkovateľ je povinný získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti.
Prevádzkovateľ je povinný zabezpečiť aby sa spracúvali len také osobné údaje, ktoré svojim obsahom a rozsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie. Podmienku, podľa ktorej možno spracúvať osobné údaje, ktoré svojím obsahom a rozsahom zodpovedajú účelu ich spracúvania, treba posudzovať z pohľadu ich nevyhnutnosti na dosiahnutie daného účelu spracúvania. Nepatria sem teda také osobné údaje, bez ktorých možno daný účel spracúvania dosiahnuť. Prevádzkovateľ nie je oprávnený jeden informačný systém s osobnými údajmi získanými na určitý konkrétny účel využívať zároveň na iný účel len preto, že tieto údaje sú pre oba účely použiteľné.
Prevádzkovateľ je povinný získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené. Je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely.
Prevádzkovateľ je povinný zaviesť a neustále preverovať správnosť procesu spracovania osobných údajov tak, aby bolo zachovaná integrita, dôvernosť a dostupnosť osobných údajov. Integrita osobných údajov znamená zabezpečenie takej formy spracovateľských operácii, ktoré zabezpečia správnosť osobných údajov v informačných systémoch prevádzkovateľa.
Prevádzkovateľ je povinný spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje.
Prevádzkovateľ je povinný zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania.
Prevádzkovateľ je povinný zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu.
Spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje Nariadeniu a ostatným právnym predpisom.
Prevádzkovateľ je povinný zaviesť a udržiavať po celú dobu risk manažment/riadenie rizík, ktorý zahŕňa tieto procesy a) identifikácia rizika, b) hodnotenie rizika, c) riadenie rizika a d) monitoring rizika.
Prevádzkovateľ je povinný zaviesť a udržiavať po celú dobu incident manažment, ktorý zahŕňa tieto procesy a) identifikáciu incidentu, b) analýzu incidentu c) oznámenie incidentu, d) identifikáciu nápravných opatrení, e) obnovu dostupnosti osobných údajov a e) prevenciu.
Prevádzkovateľ ustanoví osobu, ktorá bude zodpovedná za ochranu osobných údajov. Tejto osobe prevádzkovateľ vytvorí materiálne a organizačné predpoklady tak, aby táto osoba mohla zabezpečiť splnenie povinností vyplývajúcich z Nariadenia, Zákona a tejto smernice pre Prevádzkovateľa. Toutu osobou je Bc. Andrea Zavarská Pírová.
Prevádzkovateľ je povinný oznámiť Úradu a ochranu osobných údajov Slovenskej republiky porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby. Oznámenie musí obsahovať: a) opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch b) kontaktnú osobu c) opis pravdepodobných následkov porušenia ochrany osobných údajov a d) opis prijatých alebo navrhovaných opatrení.
Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
Cezhraničným spracúvaním sa rozumie spracúvanie osobných údajov na území EU a ich prenos výlučne v rámci členských štátov. Na cezhraničné spracúvanie osobných údajov sa nevyžadujú žiadne opatrenia z dôvodu voľného pohybu osobných údajov v rámci EÚ. Rovnako sa nevyžadujú iné opatrenia pri prenose osobných údajov do ostatných krajín EHS. V prípade, že ide o prenos osobných údajov do tretích krajín, môžu nastať dve situácie. Ak ide o krajinu, ktorá zaručuje primeranú úroveň ochrany na základe rozhodnutia o primeranosti – rozhodnutie Komisie, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné povolenie alebo opatrenie a uplatňujú sa zásady ako pri prenose v rámci EÚ podľa Nariadenia.

V prípade, že neexistuje rozhodnutie o primeranosti, prenos je možný len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

Za primerané záruky možno považovať bez potreby povolenia od dozorného orgánu:
medzinárodnú zmluvu, ktorou je Slovenská republika viazaná,
záväzné vnútropodnikové pravidlá podľa čl. 47 Nariadenia,
štandardné zmluvné doložky o ochrane osobných údajov, ktoré prijala Komisia,
štandardné doložky o ochrane osobných údajov, ktoré prijal dozorný orgán,
schválený kódex správania,
schválený certifikačný mechanizmus

Za primerané záruky možno považovať aj iné opatrenia, napríklad zmluvné doložky, na základe povoľovacieho mechanizmu Úradu na ochranu osobných údajov Slovenskej republiky.
Ak neexistuje rozhodnutie o primeranosti alebo ak neexistujú primerané záruky, tak prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční len za taxatívne uvedených podmienok:
dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o rizikách, ktoré takéto prenosy môžu pre ňu predstavovať z dôvodu absencie rozhodnutia o primeranosti a primeraných záruk;
prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby;
prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou;
prenos je nevyhnutný z dôležitých dôvodov verejného záujmu;
prenos je nevyhnutný na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov;
prenos je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas;
prenos sa uskutočňuje z registra, ktorý je podľa práva Únie alebo práva členského štátu určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadanie verejnosti alebo akejkoľvek osobe, ktorá vie preukázať oprávnený záujem, ale len pokiaľ sú v tomto konkrétnom prípade splnené podmienky stanovené právom Únie alebo právom členského štátu na nahliadanie.
Ak by sa prenos nemohol zakladať na žiadnom z vyššie uvedenom ustanovení prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak prenos nie je opakujúcej sa povahy, týka sa len obmedzeného počtu dotknutých osôb, je nevyhnutný na účely závažných oprávnených záujmov, ktoré sleduje Prevádzkovateľ a nad ktorými neprevažujú záujmy alebo práva a slobody dotknutej osoby, a prevádzkovateľ posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia poskytol vhodné záruky, pokiaľ ide o ochranu osobných údajov. Prevádzkovateľ informuje o prenose dozorný orgán. Prevádzkovateľ okrem poskytnutia vyššie uvedených informácií informuje dotknutú osobu o prenose a o závažných oprávnených záujmoch, ktoré sleduje.

Politika bezpečného spracúvania osobných údajov Prevádzkovateľa
Hlavné zásady politiky bezpečného spracúvania osobných údajov:
zabezpečíme ochranu osobných údajov pred ich odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou, rozširovaním;
zabezpečíme dostupnosť aktív tak, aby boli dostupné autorizovanému subjektu v požadovanú dobu a aby nedochádzalo k odmietnutiu prístupu;
zabezpečíme ochranu aktív, ktoré sú súčasťou chráneného systému;
zabezpečíme dôvernosť, integritu a autenticitu spracúvaných osobných údajov;
zabezpečíme minimalizáciu rizík hroziacich pri spracúvaní osobných údajov v podmienkach prevádzkovateľa;
zabezpečíme nepretržitosť činností súvisiacich so spracúvaním osobných údajov v prípade narušenia;
zabezpečíme pripravenosť všetkých oprávnených osôb a ostatných zamestnancov prevádzkovateľa a ich aktívny prístup v prípade narušenia bezpečnosti spracúvaných osobných údajov;
v pravidelných intervaloch budeme analyzovať a vyhodnocovať možnosti napadnutia informačných systémov;
zabezpečíme pravidelné preškoľovanie všetkých oprávnených osôb pri spracúvaní osobných údajov v informačných systémoch prevádzkovateľa v zmysle Nariadenia;
zabezpečíme trvalé dosahovanie zodpovedného, profesionálneho a uvedomelého prístupu každej oprávnenej osoby s dôrazom na bezpečnosť spracúvaných osobných údajov a dobré meno prevádzkovateľa využitím aj vhodných motivačných metód;
zabezpečíme trvalé fungovanie risk manažmentu a incident manažmentu, v tomto rozsahu budeme pravidelne vykonávať analýzu rizík (raz ročne) a vždy v prípade výskytu incidentu informačnej bezpečnosti.

Bezpečnostný zámer
Bezpečnostný zámer – základná charakteristika
Bezpečnostný zámer špecifikuje požiadavky na bezpečnosť informačných systémov a ciele, ktoré sa majú dosiahnuť na ochranu informačných systémov pred ich ohrozením.
Formulácia aktuálnych bezpečnostných cieľov je výsledok vykonanej analýzy bezpečnosti informačného systému. V prvom rade je dôležitá merateľnosť bezpečnostných cieľov, kedy ciele v sledovanom období vieme porovnávať, čo nám poskytne hmatateľný výsledok k ich vyhodnoteniu a teda, či boli alebo neboli splnené. Ďalej by ciele mali byť ekonomické, to znamená, že náklady, ktoré sme vynaložili na ich spracovanie musia byť nižšie ako efekt, ktorý prinesú.
Formulácia cieľov a špecifikácia súvisiacich opatrení
Formulácia cieľa: Zabezpečiť, aby pracovníci – oprávnené osoby, iné fyzické osoby ako aj zmluvní partneri Prevádzkovateľa z pozícií tretích strán si boli vedomí svojich zodpovedností a boli vhodní na výkon procesov a subprocesov Prevádzkovateľa súvisiacimi so spracúvaním osobných údajov
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
jasne definovať popis pracovného miesta a očakávaní
zabezpečovať overenie správnosti predložených dokladov a vhodný výber pracovníkov
počas pracovného, zmluvného či obdobného vzťahu Prevádzkovateľa s jednotlivcom alebo externým subjektom zabezpečiť preukázateľné poučenia pracovníkov a preukázateľné zverenie aktív
zabezpečiť udržiavanie bezpečnostného povedomia oprávnených osôb
zabezpečiť formuláciu primeraného disciplinárneho procesu a súvisiacich porušení
po ukončení pracovnoprávneho, zmluvného či obdobného vzťahu Prevádzkovateľa s oprávnenou osobou zabezpečiť dodržiavanie záväzkov mlčanlivosti, vrátenie všetkých zverených aktív Prevádzkovateľa, odňatie prístupových práv do informačných systémov Prevádzkovateľa
zabezpečiť odňatie prístupových práv pred skončením pracovného pomeru, príp. iného zmluvného vzťahu
zabezpečiť na časovej a vecnej úrovni kontrolu pohybu oprávnených osôb v informačných systémoch Prevádzkovateľa
Formulácia cieľa: Zabezpečenie preukázateľného riadenia aktív Prevádzkovateľa, ktoré súvisia so spracúvaním osobných údajov tak, aby bola zabezpečená ich primeraná ochrana.
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
identifikovať kritické aktíva
prideliť zodpovednosť za aktíva
viesť a udržiavať inventárny zoznam aktív
zabezpečiť poučenie pracovníkov pri zverení aktíva
Formulácia cieľa: Pravidelným kontrolovaním zabezpečiť odhaľovanie nezhôd v procesoch a súvisiacich dokumentáciách, formou doporučení navrhovať zlepšovanie a aktualizácie, či nové spracovanie dokumentácie
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
vykonávať plánované, následné a v prípade potreby mimoriadne kontrolné činnosti
Formulácia cieľa: Preskúmavaním risk manažmentu, incident manažmentu a systému manažérstva informačnej bezpečnosti Prevádzkovateľa dosiahnuť navrhnutie a prijatie vhodných opatrení, ktoré zabezpečia trvalé zlepšovanie kvality spracúvania osobných údajov
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
Zabezpečiť preskúmavanie a implementáciu záznamov protokolov z kontrolných činností
Zabezpečiť posudzovanie požiadaviek na obstaranie aktív
Zabezpečiť preskúmavanie dokumentácie a tým jej trvalú vhodnosť
Formulácia cieľa: Zabezpečiť, aby zraniteľnosti, hrozby, incidenty informačnej bezpečnosti a udalosti informačnej bezpečnosti boli oznamované riadeným spôsobom, čo zabezpečí primeranú a najmä rýchlu reakciu pre prijatie vhodných opatrení
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
Zabezpečovať preventívnu prípravu pracovníkov, ako aj poučenia z udalostí informačnej bezpečnosti
Zabezpečiť riadenie bezpečnostných incidentov vo vzťahu k dodávateľom podporných služieb, či služieb spracúvania osobných údajov od sprostredkovateľov, prípadne iných externých subjektov
Zabezpečovať vhodné komunikačné kanály pre oznamovanie bezpečnostných incidentov zo strany iných fyzických osôb a vlastných pracovníkov
Zabezpečiť vykonávanie vhodných priebežných opatrení až po úplnú obnovu systému, zdokumentovanie priebehu bezpečnostného incidentu
Formulácia cieľa: Zabezpečiť, aby boli zmeny vykonávané na aktívach tak, aby ich implementáciou nedošlo k ich poškodeniu, či zlyhaniu a v konečnom dôsledku narušeniu dostupnosti, integrity a celkovej bezpečnosti spracúvania osobných údajov
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
Zabezpečiť riadené vykonávanie zmien prevádzkového softvéru
Zabezpečiť vykonávanie upgrade operačného systému
Zabezpečiť testovanie zmien
Formulácia cieľa: zabezpečiť riadené vytváranie kópií z informačných systémov tak, aby v prípade vzniku neočakávaného javu, či priamo bezpečnostného incidentu ich použitím bol zabezpečený návrat do stavu, ktorý spĺňa kritérium dostupnosti a integrity
Súvisiace opatrenia v podmienkach prevádzkovateľa:
Určiť intervaly pre vytváranie záložných a archívnych kópií z informačných systémov
Zabezpečiť ochranu vytvorených kópií, ich označovanie a evidenciu
Zabezpečiť preverovanie funkčnosti vytvorených kópií, v prípade ak bol ukončený účel spracúvania zabezpečiť ich bezpečnú likvidáciu
Formulácia cieľa: Zabezpečiť, aby aktíva prevádzkovateľa boli správne udržiavané
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
Zabezpečiť udržiavanie sprievodnej dokumentácie technických zariadení
Zabezpečiť vykonávanie preventívnej údržby zariadení
Zabezpečiť vedenie záznamov udržiavaných technických zariadení
Formulácia cieľa: Riadenou manipuláciou s médiami zabezpečiť ochranu osobných údajov pred ich poškodením, neoprávneným sprístupnením a pod.
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
Zabezpečiť, aby všetky prenosné média boli súčasťou inventárneho zoznamu
Zabezpečiť priebežné revidovanie vytvorených záznamov
Formulácia cieľa: Zabezpečiť identifikovateľnosť hrozieb, ktoré by mohli mať dopad na kvalitu spracúvania osobných údajov
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
Zabezpečiť vykonávanie kvalitatívnej analýzy spracúvania osobných údajov
Formulácia cieľa: zabezpečiť primeranú úroveň ochrany aktív prevádzkovateľa vo forme fyzickej bezpečnosti, opatrení pred výpadkami napájania a riadenia prístupu k aktívam prevádzkovateľa a opatrení pred infiltráciou škodlivým kódom
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
Identifikovať opatrenia v oblasti fyzického prístupu
Zabezpečiť opatrenia v oblasti ochrany pred vonkajšími hrozbami a hrozbami prostredia
Zabezpečiť opatrenia proti škodlivému kódu a neautorizovanému prístupu
Implementovať opatrenia v oblasti riadenia prístupu, autentifikácii používateľa a opatrenia v oblasti výpadkov napájania kritických aktív
Formulácia cieľa: Zabezpečiť, aby spracúvanie osobných vo všetkých informačných systémoch bolo v súlade s Nariadením
Súvisiace opatrenia v podmienkach Prevádzkovateľa:
Zabezpečiť aktualizovanie Smernice na ochranu osobných údajov, ktorá upravuje prácu s osobnými údajmi v tomto informačnom systéme ako aj súvisiacich činností a následne preukázateľné poučenie všetkých oprávnených osôb s jej znením
Zabezpečiť šifrovanie osobných údajov pri komunikácii s oprávnenými osobami, zamestnancami, sprostredkovateľmi a ďalšími subjektmi spolupracujúcimi s Prevádzkovateľom.
Zabezpečiť, aby heslo potrebné pre otvorenie šifrovaných osobných údajov alebo pre logovanie nebolo voľné dostupné alebo zasielané mailom, oznamované telefonicky príp. iným spôsobom, ktorý by mohol narušiť jeho dôvernosť.
Zabezpečiť, aby heslo potrebné na dešifrovanie osobných údajov bolo jedinečné pre každú oprávnenú osobu, zamestnanca, sprostredkovateľa a ďalšie subjektmi spolupracujúce s Prevádzkovateľom.
Zabezpečiť, aby zasielané osobné údaje boli šifrované na úrovni dokumentu .Doc, Xls., prípadne ďalšie. V prípade zvýšeného rizika zabezpečiť, aby šifrovanie prebehlo na úrovni mailu.
Zabezpečiť webové rozhranie pomocou SSL certfikátu, ktorý umožní šifrovanie dátových prenosov medzi prehliadačom návštevníka a serverom a potvrdenie identity hostingu.
Zabezpečiť vytvorenie a pravidelnú obmenu hesla pre prístup do informačných systémov Prevádzkovateľa. Heslo musí byť jedinečné pre každý subjekt vstupujúci do systému Prevádzkovateľa a dostatočné silné (odporúča sa heslo pozostávajúce z min. 8 znakov obsahujúce číslice a veľké a malé písmena), prípadne zadanie dodatočného hesla zaslaného mailom príp. SMS správou na telefónne číslo.
Zabezpečiť, aby logovanie do informačných systémov Prevádzkovateľa umožňovalo spätné časové a obsahové sledovanie činnosti vykonávané každou oprávnenou osobou.
Zabezpečiť inštaláciu antivíroveho programu a firewall na každom počítači patriacom do aktív Prevádzkovateľa.
Zabezpečiť pravidelné vytváranie a ochranu záloh osobných údajov (odporúča sa vytvorenie zálohy aspoň každých 24 hodín)

Analýza bezpečnosti spracúvania osobných údajov
Aktuálny stav v oblasti bezpečnosti ľudských zdrojov
K výberu pracovníkov dochádza osobným pohovorom s určeným pracovníkom Prevádzkovateľa, kedy uchádzač predkladá potrebné dokumenty preukazujúce jeho vhodnosť na obsadzované pracovné miesto. Uchádzači predkladajú svoje žiadosti o prijatie do zamestnania v prevažnej miere osobne. Pokiaľ uchádzač nie je vhodný, resp. Prevádzkovateľ nemá momentálne voľné pracovné miesto, predložené žiadosti sa vracajú ihneď uchádzačovi, alebo sa skartujú. V prípade elektronickej komunikácie sa zlikvidujú.
Aktuálny stav v oblasti riadenia aktív
Pracovníci Prevádzkovateľa spracúvajú osobné údaje s použitím aktív Prevádzkovateľa. Tieto sú evidované zatiaľ len pre potreby vedenia účtovníctva. V prípade zmien na aktívach pracovníci informujú zodpovednú osobu podľa tejto Smernice na ochranu osobných údajov.
Aktuálny stav v oblasti kontrolných činností a preskúmavania manažmentom prevádzkovateľa
Prevádzkovateľ zatiaľ nemá zdokumentované žiadne výsledky z predchádzajúcich kontrolných činností týkajúcich sa spracúvania osobných údajov ani ich následného preskúmavania manažmentom prevádzkovateľa.
Aktuálny stav v oblasti riadenia bezpečnostných incidentov
Prevádzkovateľ sa zatiaľ nevenoval preventívnej príprave pracovníkov v oblasti možných bezpečnostných incidentov.
Aktuálny stav v oblasti riadenia prevádzky
Prevádzkovateľ využíva k spracúvaniu osobných údajov svoje počítačové zariadenia.
Oprávnené osoby Prevádzkovateľa využívajú k likvidácii osobných údajov spracúvaných manuálne skartovacie stroje.
Aktuálny stav v oblasti riadenia bezpečnostných rizík
Prevádzkovateľ zatiaľ nevykonával bezpečnostné analýzy s cieľom eliminácie prejavov bezpečnostných hrozieb.
Aktuálny stav v oblasti bezpečnosti systémov
Prevádzkovateľ spracúva osobné údaje vo vlastných priestoroch v samostatných kanceláriách. Vstup do priestorov Prevádzkovateľa je chránený bežnou zámkou, ku ktorej je vyhotovený individuálny kľúč pre každú oprávnenú osobu (zamestnanec a zmluvný partner Prevádzkovateľa).
Emailová komunikácia predmetom ktorej sú aj osobné údaje je zabezpečovaná bežnými prostriedkami – šifrovaním. Prevádzkovateľ odosiela a taktiež prijíma prostredníctvom e-mailu správy obsahujúce osobné údaje.
Oprávnené osoby majú vytvorené len také používateľské práva, ktoré nevyhnutne potrebujú k svojej pracovnej činnosti. Prihlasujú sa prostredníctvom prideleného mena a hesla. Prvé heslo prideľuje správca IT a zostáva v platnosti aj po prvom prihlásení, následne je oprávnená osoba vyzvaná na zmenu hesla. Heslo pozostáva minimálne zo ôsmych znakov, ako kombinácia čísel a písmen. 


ZÁZNAMY O SPRACOVATEĽSKYCH ČINNOSTIACH
Záznamy o spracovateľských činnostiach slúžia na dokumentáciu skutočností súvisiacich so spracúvaním osobných údajov dotknutých osôb, ktoré vykonáva Prevádzkovateľ, resp. sprostredkovateľ. Obsahové náležitosti týchto záznamov stanovuje Nariadenie, a to samostatne pre Prevádzkovateľa a samostatne pre sprostredkovateľa. Za vedenie záznamov je vždy zodpovedný Prevádzkovateľ, resp. sprostredkovateľ.
Miera detailnosti týchto záznamov je však individuálna a bude závisieť vždy od konkrétnych okolností, za ktorých sa osobné údaje spracúvajú. Z Nariadenia však vyplýva, že miera zdokumentovania týchto spracovateľských činností musí byť dostatočná na to, aby bol Prevádzkovateľ, resp. sprostredkovateľ, schopný preukázať, že spracúvanie osobných údajov dotknutých osôb vykonáva v súlade s Nariadením.
Záznamy vedené Prevádzkovateľom musia obsahovať minimálne nasledovné informácie:
(a) Kontaktné údaje: Záznamy musia obsahovať obchodné meno, resp. názov a kontaktné údaje prevádzkovateľa. V prípade, ak má prevádzkovateľ vymenovanú zodpovednú osobu, je potrebné uviesť aj obchodné meno, resp. názov alebo meno a priezvisko a kontaktné údaje aj tejto zodpovednej osoby.
(b) Účely spracúvania: Záznamy musia obsahovať informáciu, za akými účelmi sa osobné údaje dotknutých osôb pri konkrétnych spracovateľských činnostiach spracúvajú.
(c) Opis kategórií dotknutých osôb a osobných údajov: Záznamy musia obsahovať informáciu, akých kategórií dotknutých osôb sa spracovateľné činnosti týkajú. Záznamy tiež musia obsahovať informácie ohľadom kategórií osobných údajov, ktorých sa jednotlivé spracovateľské činnosti týkajú.
(d) Kategórie príjemcov osobných údajov: V prípade, ak Prevádzkovateľ poskytol, resp. sa chystá poskytnúť osobné údaje dotknutých osôb tretím osobám (príjemcom), je potrebné túto skutočnosť v záznamoch zadokumentovať. Táto povinnosť sa týka ako príjemcov nachádzajúcich sa v členských štátoch EÚ, tak i príjemcov z tretích krajín, resp. medzinárodných organizácií.
(e) Prenosy osobných údajov: Pokiaľ Prevádzkovateľ prenáša osobné údaje dotknutých osôb do tretích krajín, resp. medzinárodných organizácií, musia záznamy obsahovať označenie každej takejto tretej krajiny, resp. medzinárodnej organizácie.
(f) Lehoty na vymazanie osobných údajov: Záznamy by mali obsahovať predpokladané lehoty, v ktorých dôjde k výmazu príslušných osobných údajov dotknutej osoby u Prevádzkovateľa, pokiaľ je stanovenie tejto lehoty zo strany Prevádzkovateľa objektívne možné.
(g) Opis technických a organizačných bezpečnostných opatrení: Záznamy musia obsahovať všeobecný opis technických a organizačných bezpečnostných opatrení, ktoré Prevádzkovateľ prijal v súlade s Nariadením.
Záznamy vedené sprostredkovateľom musia obsahovať minimálne nasledovné informácie:
(a) Kontaktné údaje: Záznamy musia obsahovať obchodné meno, resp. názov a kontaktné údaje sprostredkovateľa, ako aj obchodné meno, resp. názov a kontaktné údaje prevádzkovateľa, v mene ktorého sprostredkovateľ osobné údaje spracúva. V prípade, ak má sprostredkovateľ vymenovanú zodpovednú osobu, je potrebné uviesť aj obchodné meno, názov alebo meno a priezvisko a kontaktné údaje aj tejto zodpovednej osoby.
(b) Kategórie spracúvania vykonávaného v mene každého prevádzkovateľa: Záznamy musia obsahovať informácie týkajúce sa kategórií spracúvaných osobných údajov dotknutých osôb, a to pre každého prevádzkovateľa, pre ktorého sprostredkovateľ osobné údaje spracúva.
(c) Prenosy osobných údajov: Pokiaľ Prevádzkovateľ prenáša osobné údaje dotknutých osôb do tretích krajín, resp. medzinárodných organizácií, musia záznamy obsahovať označenie každej takejto tretej krajiny, resp. medzinárodnej organizácie.
(d) Opis technických a organizačných bezpečnostných opatrení: Záznamy musia obsahovať všeobecný opis technických a organizačných bezpečnostných opatrení, ktoré sprostredkovateľ prijal v súlade s Nariadením.

Oznamovanie porušení ochrany osobných údajov
V prípade, ak nastane bezpečnostný incident, je Prevádzkovateľ povinný takýto incident ohlásiť dozornému orgánu, a to v lehote 72 hodín od okamihu, odkedy sa o bezpečnostnom incidente dozvedel. V prípade ak Prevádzkovateľ ohlási bezpečnostný incident po vyššie uvedenej lehote, musí k ohláseniu pripojiť aj zdôvodnenie, prečo incident neohlásil v lehote. Prevádzkovateľ má v tomto prípade poskytnúť dozornému orgánu informácie v rozsahu, v akom ich aktuálne poskytnúť možno, t. j. Prevádzkovateľ by mal informácie poskytnúť vo viacerých etapách a bez ďalšieho zbytočného odkladu.
Pre začatie plynutia uvedenej 72 hodinovej lehoty bude mať zásadný význam skutočnosť, kedy sa Prevádzkovateľ dozvie o udalosti (resp. slede udalostí), ktorá by mohla mať za následok porušenie ochrany osobných údajov. V prípade, ak existuje primeraná pravdepodobnosť, že následkom udalosti mohlo dôjsť k porušeniu ochrany osobných údajov, Prevádzkovateľ by takúto udalosť za porušenie ochrany považovať a mal by postupovať v zmysle svojich procesov, ktoré má určené na detekciu, vyhodnocovanie a reakciu na bezpečnostné incidenty.

V prípade, pokiaľ Prevádzkovateľ udalosť vyhodnotí tak, že nie je pravdepodobné, že jej následkom je porušenie ochrany osobných údajov dotknutých osôb, nejde o bezpečnostný incident z pohľadu ochrany osobných údajov a tento incident nebude povinný dozornému orgánu hlásiť.

Nariadenie vo vzťahu k hláseniu porušenia ochrany osobných údajov stanovuje výnimku, v zmysle ktorej Prevádzkovateľ nie je povinný hlásiť bezpečnostný incident v prípade, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody dotknutých osôb.
Prevádzkovateľ vyhotoví vo vzťahu k posudzovanému bezpečnostnému incidentu dokumentáciu, ktorej súčasťou bude dokumentovanie okolností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad postupu Prevádzkovateľa vo vzťahu k hláseniu bezpečnostných incidentov dozorným orgánom.
Prevádzkovateľ pri vyhodnocovaní bezpečnostného incidentu postupuje nasledovným spôsobom:
vyhodnotí, či daná udalosť (resp. sled udalostí) predstavuje porušenie ochrany osobných údajov,
vykoná posúdenie rizika, ktoré z porušenia ochrany osobných údajov plynie pre práva a slobody dotknutých osôb,
na základe vyhodnoteného rizika prijať ďalšie kroky (hlásenie dozornému orgánu, prípadne aj dotknutej osobe),
zadokumentuje proces detekcie, vyhodnocovania a reagovania na bezpečnostný incident.
V prípade, ak by bezpečnostný incident nastal u sprostredkovateľa, ten v zmysle Nariadenia nehlási incident dozornému orgánu alebo Prevádzkovateľovi, a to bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.

Obsahom hlásenia bezpečnostného incidentu dozornému orgánu sú najmä nasledovné skutočnosti:

opis povahy porušenia ochrany osobných údajov, vrátane kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a vrátane kategórií a približného počtu dotknutých záznamov o osobných údajoch,
meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde môže dozorný orgán získať viac informácií,
opis pravdepodobných následkov porušenia ochrany osobných údajov, najmä vo vzťahu k právam a slobodám dotknutých osôb;
opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov, a to vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

Hlásenie bezpečnostného incidentu dotknutej osobe. V prípade, ak Prevádzkovateľ v rámci vyhodnocovania bezpečnostného incidentu pri vykonaní posúdenia rizika zistí, porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb, Prevádzkovateľ je v tomto prípade povinný bez zbytočného odkladu oznámiť porušenie ochrany osobných údajov dotknutej osobe.

Oznámenie dotknutej osobe musí byť formulované jasne a jednoducho, a musí obsahovať aspoň nasledovné informácie:

meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde môže dotknutá osoba získať viac informácií,
opis pravdepodobných následkov porušenia ochrany osobných údajov, najmä vo vzťahu k právam a slobodám dotknutých osôb;
opis opatrení prijatých alebo navrhovaných Prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov, a to vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

Nariadenie zároveň stanovuje viacero výnimiek, kedy Prevádzkovateľ nie je povinný hlásiť dotknutej osobe bezpečnostný incident. Jedná sa o nasledovné prípady:

Prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia, a tieto opatrenia zároveň uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týkalo. Pôjde najmä o opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup (napríklad na základe šifrovania),
Prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb už pravdepodobne už nebude mať dôsledky.
informovanie dotknutej osoby by si vyžadovalo neprimerané úsilie. V tomto prípade Prevádzkovateľ nemusí informovať priamo dotknutú osobu, ale môže si informačnú povinnosť plniť prostredníctvom informovania verejnosti, alebo iným rovnako efektívnym spôsobom.

Záverečné ustanovenia
Smernica na ochranu osobných údajov je dôverným dokumentom (dokument s obmedzeným prístupom), ktorého obsah je nevyhnutné chrániť pred neautorizovaným prístupom.
Sprístupnenie obsahu Smernice na ochranu osobných údajov neoprávneným a nepovolaným osobám môže mať za následok eliminovanie bezpečnostných mechanizmov informačného systému a ohrozenie jeho bezpečnosti. Z uvedených dôvodov Prevádzkovateľ stanovuje, že s obsahom tejto Smernice na ochranu osobných údajov sa môže oboznámiť iba prevádzkovateľ informačných systémov.
V prípade vyžiadania si a prevzatia kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov obsahujúcich osobné údaje zo strany kontrolného orgánu je potrebné písomné potvrdenie kontrolného orgánu o prevzatí a vrátení zapožičaných dokumentov.
Kontrolu realizácie opatrení vyplývajúcich zo Smernice na ochranu osobných údajov vykonáva zodpovedná osoba.
Aktualizáciu Smernice na ochranu osobných údajov zabezpečuje poverená zodpovedná osoba. Aktualizácia sa vykonáva vypracovaním písomného dodatku, pre ktorý platia ustanovenia rovnaké ako pre Smernicu na ochranu osobných údajov, vypracovaný v súlade s Nariadením.