Zákon č. 18/2018 Z. z. o ochrane osobných údajov

Dôvodom prijatia zákona o ochrane osobných údajov je harmonizácia právnej úpravy spracúvania osobných údajov fyzických osôb v právnom poriadku Slovenskej republiky s novou komunitárnou právnou úpravou spracúvania a ochrany osobných údajov obsiahnutou v Nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES. Cieľom právneho predpisu je zároveň upraviť nové inštitúty, procesné pravidlá a tiež postavenie orgánu dozoru nad ochranou osobných údajov tak, ako ho na to nariadenie vo svojich článkoch splnomocňuje alebo mu prikazuje. Navrhovaný právny predpis taktiež reflektuje skúsenosti úradu z jeho aplikačnej praxe, aby bola navrhovaná právna úprava funkčnou a účinnou súčasťou právneho poriadku Slovenskej republiky. Podstatnou súčasťou harmonizácie nariadenia s právnym poriadkom Slovenskej republiky je tiež novelizácia osobitných zákonov upravujúcich spracúvanie osobných údajov fyzických osôb, ktoré sú dotknuté nariadením, a zabezpečenie súladu týchto osobitných zákonov s nariadením tak, aby sa predišlo rozporom a splnili sa požiadavky nariadenia na spracúvanie osobných údajov.

Politika ochrany osobných údajov Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky, Sekcie programov cezhraničnej spolupráce

Politika ochrany súkromia Ministerstva investícií, regionálneho rozvoja a informatizácie SR (ďalej len „MIRRI“) touto politikou informuje dotknuté osoby aké osobné údaje môže získavať, spracúvať, ako ich môže využívať a akým spôsobom môžu oprávnené osoby MIRRI  zaobchádzať s osobnými údajmi, ktoré MIRRI dotknuté osoby poskytnú.

Ďalej informuje o účeloch spracúvania, dobách spracúvania osobných údajov, ako aj o právach dotknutých osôb.

Prevádzkovateľ:   

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR
Sekcia programov cezhraničnej spolupráce

Pribinova 4195/25

811 09 Bratislava

Kontakt na Zodpovednú osobu pre ochranu osobných údajov:

Zodpovedná osoba: 
tel. č.: +421 2 2092 8425
e-mail: zodpovedna.osoba@mirri.gov.sk

MIRRI postupuje pri spracúvaní osobných údajov v súlade s Nariadením Európskeho parlamentu a Rady Európskej Únie 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné Nariadenie o ochrane údajov) (ďalej ako „Nariadenie“) a so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej ako „Zákon“).

MIRRI získava osobné údaje priamo od dotknutej osoby (ďalej aj ako „Dotknutá osoba“) alebo od inej osoby, ktorá nám poskytne osobné údaje. Môže tak nastať situácia, ak MIRRI získa osobné údaje aj od inej osoby, ako priamo od dotknutej osoby, preto tento dokument poskytuje informácie všetkým Dotknutým osobám ako v zmysle čl. 13 Nariadenia, tak aj v zmysle čl. 14 Nariadenia § 19 a § 20 Zákona.

Všetky osobné údaje, ktoré MIRRI o dotknutej osobe spracováva sú spracovávané iba pre odôvodnené účely, len na obmedzenú dobu a s využitím maximálnej možnej miery zabezpečenia.

MIRRI zároveň prijal súbor interných smerníc ako súčasť bezpečnostných opatrení, taktiež prijal ako prevádzkovateľ množstvo technologických opatrení na ochranu osobných údajov a primeranosť úrovne prijatých bezpečnostných opatrení pravidelne analyzuje a vyhodnocuje.

V záložke Záznamy o spracovateľských činnostiach nájdete informácie o tom, aké osobné údaje spracováva, za akým konkrétnym účelom, na akom právnom základe, komu môže MIRRI Vaše osobné údaje poskytovať. Informácie o právach dotknutých osôb sú uvedené na konci tohoto dokumentu. 

Účely spracúvania osobných údajov

MIRRI spracováva osobné údaje dotknutých osôb výlučne v súlade so zásadou zákonnosti, a to na účely spracovávania osobných údajov uvedené v Zázname o spracovateľských činnostiach a v informačnej povinnosti, ak je u Prevádzkovateľa splnená aspoň jedna z nasledujúcich podmienok:

Plnenie zmluvných povinností – MIRRI spracováva osobné údaje pri plnení zmluvy s Dotknutou osobou, v rozsahu potrebnom k plneniu zmluvných povinností. K spracovávaniu osobných údajov pri plnení zmluvných povinností dochádza napríklad pri uzatvorení kúpnej zmluvy, zámennej zmluvy, zmluvy súvisiacej so sociálnymi službami, ktorá je uzatvorená medzi Prevádzkovateľom a Dotknutou osobou.

Plnenie zákonných povinností – MIRRI spracováva Vaše osobné údaje aj pri plnení zákonných povinností. Týmito zákonnými povinnosťami sú napríklad povinnosti vyplývajúce z daňových predpisov, predpisov súvisiacich s auditmi, účtovníctvom.

Ochrana životne dôležitých záujmov – k spracovávaniu Vašich osobných údajov môže prísť aj v prípade, ak MIRRI chráni životne dôležité záujmy Dotknutej osoby.

Splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci – MIRRI plní úlohy realizované vo verejnom záujme, ako aj úlohy pri výkone verejnej moci, v rámci pôsobnosti Prevádzkovateľa vyplývajúcej z osobitných právnych predpisov, preto je povinný spracovávať osobné údaje. K spracovávaniu osobných údajov prichádza napríklad v prípadoch, kde je MIRRI správnym orgánom.

Oprávnený záujem Prevádzkovateľa – MIRRI spracováva osobné údaje aj na základe oprávneného záujmu, výlučne v prípadoch, ak je spracovávanie nevyhnutné na sledovanie oprávnených záujmov Prevádzkovateľa alebo tretej strany, ak nad týmito záujmami neprevažujú záujmy alebo základné práva a slobody Dotknutej osoby. Oprávnený záujem MIRRI aplikuje napríklad pri monitorovaní priestorov na adrese Prevádzkovateľa z dôvodu ochrany majetku, pri určitých činnostiach spojených s prezentáciou Prevádzkovateľa.

Súhlas so spracovaním osobných údajov – MIRRI spracováva osobné údaje aj na základe súhlasu Dotknutej osoby. MIRRI si od Dotknutej osoby vyžiada súhlas vždy, keď je to potrebné k spracovávaniu osobných údajov. K spracovávaniu osobných údajov na základe súhlasu dochádza napríklad pri zasielaní informácií o Prevádzkovateľovi prostredníctvom e-mailu alebo zapojení sa do súťaže Dotknutou osobou.

MIRRI spracúva osobné údaje na základe vyššie uvedených právnych základov, pričom určenie, či ide o zákonnú alebo zmluvnú požiadavku na spracovanie osobných údajov, ako aj oprávnený záujem, resp. verejný záujem Prevádzkovateľa je na samotnom Prevádzkovateľovi. Tieto informácie sú uvedené v Záznamoch o spracovateľských činnostiach a v Plnení informačnej povinnosti Prevádzkovateľa.

V prípade, ak by nedošlo k poskytnutiu osobných údajov Prevádzkovateľovi, v niektorých prípadoch by nebolo možné splniť povinnosti Prevádzkovateľa uložené právnymi predpismi a / alebo zákonmi, nemohlo by dôjsť k splneniu úlohy plnenej Prevádzkovateľom vo verejnom záujme/pri výkone verejnej moci Prevádzkovateľom, alebo by nebolo možné uzavrieť medzi Prevádzkovateľom a Dotknutou osobou zmluvu a / alebo iný zmluvný vzťah.

Všetky účely spracovávania osobných údajov nájdete kliknutím na odkazy  Záznamy o spracovateľských činnostiach Prevádzkovateľa a Informácie o spracúvaní osobných údajov / Informovanie dotknutých osôb o spracúvaní osobných údajov (Informačná povinnosť prevádzkovateľa).

Kategórie osobných údajov

MIRRI spracováva osobné údaje, ktoré sú potrebné na spracovávanie osobných údajov vždy v súlade so zásadou minimalizácie tak, aby MIRRI plnil zmluvné a zákonné požiadavky, chránil životne dôležité záujmy, ak je to potrebné, plnil úlohy vo verejnom záujme a pri výkone verejnej moci, prípadne aby mohol spracovávať osobné údaje, na ktorých spracovávanie Dotknutá osoba udelila súhlas alebo aby spracovával osobné údaje, na spracovávanie ktorých má oprávnený záujem.

Medzi osobné údaje patria aj osobitné kategórie osobných údajov, ktoré je MIRRI oprávnený a zároveň povinný spracovávať. Osobitné kategórie osobných údajov, ktoré MIRRI spracováva sú napríklad údaje o zdravotnom stave, sociálnej situácii, majetkových pomeroch. Tieto kategórie osobných údajov MIRRI spracúva len na zákonnom právnom základe.

Osobné údaje, resp. kategórie spracovávaných osobných údajov nájdete kliknutím na odkazy  Záznamy o spracovateľských činnostiach Prevádzkovateľa a Informácie o spracúvaní osobných údajov / Informovanie dotknutých osôb o spracúvaní osobných údajov (Informačná povinnosť prevádzkovateľa).

Pri právnych základoch spracovávania osobných údajov, kde plní MIRRI zmluvné povinnosti, zákonné povinnosti a úlohy vo verejnom záujme a pri výkone verejnej moci sú osobné údaje, ktoré MIRRI spracováva prevažne špecifikované v právnych predpisoch. Pri spracovávaní osobných údajov, kde je právnym základom súhlas alebo oprávnený záujem, stanovuje kategórie spracovávaných osobných údajov Prevádzkovateľ.

Doba uchovávania osobných údajov

MIRRI uchováva osobné údaje v závislosti od účelu spracovávania osobných údajov. Pri dobe uchovávania zohľadňuje MIRRI zásadu minimalizácie uchovávania osobných údajov, t. j. uchováva osobné údaje výlučne počas doby, počas ktorej je uchovávanie osobných údajov nevyhnutné.

MIRRI uchováva osobné údaje v súlade s požiadavkami platnej legislatívy SR, najmä Zákonom č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov, v ktorom sú stanovené doby uchovávania jednotlivých skupín osobných údajov v zmysle platných právnych predpisov. V prípadoch, keď nie sú doby uchovávania uvedené v Registratúrnom pláne Prevádzkovateľa, MIRRI určuje dobu uchovávania osobných údajov, ktorá je uvedená v Záznamoch o spracovateľských činnostiach.

Informácie o dobe uchovávania osobných údajov sú uvedené v Registratúrnom pláne Prevádzkovateľa a nájdete ich aj kliknutím na odkazy  Záznamy o spracovateľských činnostiach Prevádzkovateľa a Informácie o spracúvaní osobných údajov / Informovanie dotknutých osôb o spracúvaní osobných údajov (Informačná povinnosť prevádzkovateľa).

Práva Dotknutých osôb

Dotknuté osoby majú podľa čl. 12 až 22 Nariadenia stanovené práva, ktoré MIRRI v plnej miere rešpektuje. Taktiež má v interných riadiacich predpisoch stanovené postupy na vybavovanie požiadaviek pri uplatňovaní týchto práv. Žiadosť o uplatnenie práv dotknutých osôb vybavíte podaním poštou na oficiálnu adresu ÚPVII, podaním na podateľni ÚPVII, alebo elektronicky na kontakte zodpovednej osoby pre ochranu osobných údajov (vyššie v tomto dokumente).

Právo na prístup k údajom        

Podľa čl. 15 Nariadenia má Dotknutá osoba právo

  • získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje,
  • získať prístup k týmto údajom,
  • získať doplňujúce informácie, ktoré zahŕňajú:
    • účely spracúvania,
    • kategórie osobných údajov,
    • príjemcovia alebo kategórie príjemcov, ak sa údaje ďalej poskytujú,
    • doba uchovávania osobných údajov alebo kritériá na jej určenie,
    • informácia o existencii automatizovaného rozhodovania vrátane profilovania, použitom postupe, význame a dôsledkoch pre Dotknutú osobu,
    • ak sa údaje nezískali od Dotknutej osoby, informácie o zdroji,
    • informácie o právach Dotknutej osoby požadovať od prevádzkovateľa opravu, vymazanie alebo obmedzenie spracúvania jej osobné údaje, o práve namietať proti spracúvaniu osobných údajov a o práve podať sťažnosť dozornému orgánu.

Právo na opravu   

Podľa čl. 16 Nariadenia má Dotknutá osoba právo na to, aby Prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú a tiež právo na doplnenie neúplných osobných údajov.

Právo na vymazanie / zabudnutie

Podľa čl. 17 Nariadenia má Dotknutá osoba právo na to, aby Prevádzkovateľ vymazal jej osobné údaje za predpokladu, že sú splnené určité presne stanovené podmienky. V tejto súvislosti treba spomenúť „právo na zabudnutie“, ktoré je novým ustanovením v oblasti ochrany osobných údajov. Ide o povinnosť prevádzkovateľa oznámiť uplatnenie práva Dotknutej osoby na vymazanie jej osobných údajov všetkým príjemcom, ktorým boli osobné údaje poskytnuté. Táto oznamovacia povinnosť Prevádzkovateľa sa vzťahuje aj na uplatnenia práva Dotknutej osoby na opravu a obmedzenie spracúvania.

Právo na obmedzenie spracúvania    

Podľa čl. 18 Nariadenia má Dotknutá osoba právo to, aby Prevádzkovateľ obmedzil spracúvanie jej osobných údajov v presne definovaných špecifických prípadoch.

Právo na prenosnosť údajov

Podľa čl. 20 Nariadenia má Dotknutá osoba právo získať osobné údaje, ktoré sa jej týkajú, a ktoré poskytla prevádzkovateľovi a preniesť tieto údaje k inému prevádzkovateľovi (v prípade splnenia presne stanovených podmienok).

Právo namietať

Podľa čl. 21 Nariadenia má Dotknutá osoba právo namietať proti spracúvaniu jej osobných údajov (za určitých podmienok) vrátane namietania proti profilovaniu. Prevádzkovateľ v takom prípade nesmie ďalej spracúvať  osobné údaje, pokiaľ nepreukáže oprávnené dôvody, ktoré prevažujú nad záujmami, právami a slobodami Dotknutej osoby, alebo dôvody v súvislosti s uplatňovaním alebo obhajovaním právnych nárokov. V tejto súvislosti treba spomenúť právo Dotknutej osoby namietať proti spracúvaniu jej osobných údajov na účely priameho marketingu, vrátane profilovania, kedy Prevádzkovateľ musí takejto požiadavke vyhovieť a osobné údaje ďalej na takéto účely spracúvať nesmie.

Práva v súvislosti s automatizovaným rozhodovaním / profilovaním

Podľa čl. 22 Nariadenia má Dotknutá osoba právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky pre Dotknutú osobu. Aj v tomto prípade je uplatnenie práva viazané k určitým okolnostiam. V každom prípade je tu ustanovenie, podľa ktorého prevádzkovateľ musí vykonať opatrenia na ochranu práv, slobôd a oprávnených záujmov Dotknutej osoby, a to minimálne práva na ľudský zásah zo strany Prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

Právo odvolať súhlas     

Podľa čl. 7 Nariadenia má Dotknutá osoba právo kedykoľvek odvolať svoj súhlas so spracúvaním jej osobných údajov.

Právo podať sťažnosť dozornému orgánu  

Podľa čl. 77 Nariadenia má Dotknutá osoba právo podať sťažnosť dozornému orgánu, ak sa domnieva, že spracúvanie jej osobných údajov je v rozpore s Nariadením.

Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu

Podľa čl. 78 Nariadenia má Dotknutá osoba právo na účinný súdny prostriedok nápravy, ak dozorný orgán jej sťažnosť nevybavil alebo neinformoval Dotknutú osobu do troch mesiacov o výsledku sťažnosti podanej podľa čl. 77 Nariadenia.

Právo na účinný súdny prostriedok nápravy voči Prevádzkovateľovi / Sprostredkovateľovi

Podľa čl. 79 Nariadenia má Dotknutá osoba právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s Nariadením došlo k porušeniu jej práv.

Právo na náhradu škody

Podľa čl. 82 Nariadenia má Dotknutá osoba právo na náhradu škody od Prevádzkovateľa / Sprostredkovateľa, ak utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia ustanovení Nariadenia.

Právo na zastupovanie   

Podľa čl. 80 Nariadenia má Dotknutá osoba právo poveriť neziskový subjekt, ktorý pôsobí v oblasti ochrany práv a slobôd Dotknutých osôb, aby podal sťažnosť v jej mene, aby uplatnil práva podľa čl. 77, 78 a 79 Nariadenia a aby v jej mene uplatnil právo na náhradu škody, ak to umožňuje právo členského štátu.

Právo byť informovaný v prípade porušenia ochrany osobných údajov

Podľa čl. 34 Nariadenia v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody Dotknutej osoby, Prevádzkovateľ  musí bez zbytočného odkladu takéto porušenie ochrany osobných údajov Dotknutej osobe oznámiť.