Smernica o ochrane osobných údajov v subjekte územnej samosprávy

Smernica č. …/202x o ochrane osobných údajov v subjekte územnej samosprávy  …………………

Táto vzorová smernica je spracovaná v zmysle Nariadenia Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej v texte smernice ako GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej v texte smernice ako Zákon) v rámci subjektu územnej samosprávy ......................... .

Za dodržiavanie pravidiel a zásad v tejto smernici zodpovedá prevádzkovateľ, ktorý je povinný preukázať ich dodržiavanie a súlad pri spracúvaní osobných údajov. Prevádzkovateľ stanovil, že dodržiavanie týchto zásad sleduje zodpovedná osoba, ktorá v prípade zistenia nesúladu spracúvania osobných údajov s týmito zásadami bezodkladne informuje štatutárneho zástupcu Prevádzkovateľa.  Prevádzkovateľ prijíma organizačné a technické opatrenia na zabezpečenie povinnosti spracúvať osobné údaje po dobu, ktorá je nevyhnutná, účely, pre ktoré sa spracúvajú, pričom následne sú uchovávané v registratúrnom stredisku po dobu, ktorá je určená registratúrnym poriadkom a registratúrnym plánom. Po uplynutí uvedeného času sa zabezpečuje likvidácia osobných údajov (skartácia, pokiaľ sú osobné údaje spracúvané v listinnej forme, alebo výmaz, ak sú osobné údaje spracúvané v elektronickej forme). 

Pozn. autora: Poverené oprávnené osoby Prevádzkovateľa pri spracúvaní osobných údajov postupujú podľa osobitných zákonov, zavedených interných predpisov a určených procedúr (napr.: Registratúrny poriadok a registratúrny plán, Zásady obehu účtovných a iných dokladov a podobne). Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb. 

Čl. 1

Úvodné ustanovenia, podmienky a účel spracúvania osobných údajov

1. Prevádzkovateľ má v zmysle tejto smernice povinnosť prijať organizačné opatrenie spracúvať len správne a aktualizované osobné údaje, pričom boli prijaté organizačné, ako aj technické opatrenia, ktoré umožnia aktualizáciu a prípadne aj výmaz nesprávnych osobných údajov, ktoré sú spracúvané v manuálnej forme, prípadne elektronickou formou.
2. Všetky osoby prichádzajúce do styku s osobnými údajmi musia byť na to určené v rámci svojich pracovných povinností a musia byť náležite poučené, čo potvrdia vlastnoručným podpisom.
3. Účelom poskytovaných služieb je zabezpečenie bezpečnej a spoľahlivej prevádzky softvéru, dátového skladu a serverov, ich údržby a rozvoja, zálohovania údajov Prevádzkovateľa, ich obnovy a poskytnutia Prevádzkovateľovi.
4. Prevádzkovateľom, ktorý disponuje s osobnými údajmi, v zmysle tejto smernice  je ………………. (upraví sa interne) so sídlom na adrese ……………………. (ďalej len „Prevádzkovateľ“).
5. Osobné údaje dotknutých osôb pôsobiacich alebo spolupracujúcich v týchto pracoviskách sú v nich spracovávané a archivované výhradne v neautomatizovanej forme za účelom vedenia vlastnej agendy. Kópie osobných údajov dotknutých osôb sú zasielané v písomnej forme, a to zamestnancovi/úseku ..............  (upraví sa interne). 
6. Sprostredkovateľ je oprávnený poveriť údržbou a správou ďalších sprostredkovateľov v súlade s Nariadením GDPR a Zákonom.
7. Do kontaktu s osobnými údajmi prichádzajú  tiež organizačné zložky alebo strediská ........................  (upraví sa interne, ak je to relevantné).

Pozn. autora k tejto časti smernice: Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa údajov. 

Čl. 2

Dohľad nad ochranou osobných údajov

1. Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá Prevádzkovateľ.
2. Prevádzkovateľ prijme s ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s nariadením GDPR a zákonom o ochrane osobných údajov. Tieto opatrenia podľa potreby preskúmava a aktualizuje.
3. Prevádzkovateľ prijme primerané technické a organizačné opatrenia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky nariadenia GDPR a chrániť práva dotknutých osôb, pričom prihliadne na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb.
4. Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť.
5. Zodpovedná osoba poverená výkonom dohľadu nad ochranou osobných údajov sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy.

Pozn. autora k tejto časti:  Prevádzkovateľ, ktorý je orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci, alebo ak hlavnými činnosťami Prevádzkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, je povinný určiť zodpovednú osobu a jej určenie nahlásiť na Úrad na ochranu osobných údajov Slovenskej republiky.

Čl. 3

Zásady spracúvania osobných údajov a zákonnosť ich  spracúvania

1. Prevádzkovateľ zabezpečí, aby osobné údaje fyzických osôb  boli riadne spracúvané v súlade s nasledujúcimi zásadami:

a)     zákonnosť, spravodlivosť a transparentnosť, ktorá zahŕňa povinnosť spracúvať osobné údaje na základe zákonného základu, spravodlivo a transparentne vo vzťahu k dotknutej osobe.  Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.

Pozn.: Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní.

b)    obmedzenie účelu, ktoré spočíva v povinnosti, aby osobné údaje boli získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi (výnimka: archivácia, vedecký alebo historický výskum či štatistický účel). Každé spracúvanie osobných údajov je potrebné na konkrétne účely, na ktoré sa osobné údaje spracúvajú. Tieto by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov.

c)     minimalizácia údajov, ktorá spočíva v povinnosti spracúvať osobné údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah. Rovnako je potrebné rešpektovať potrebu spracúvať osobné údaje len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. 

d)    správnosť, ktorá spočíva v povinnosti spracúvať správne a podľa potreby aktualizované osobné údaje, pričom je nevyhnutné zabezpečiť, aby sa prijali všetky potrebné opatrenia, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia. Uvedená zásada predpokladá prijatie všetkých primeraných opatrení, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov.

e)     minimalizácia uchovávania, ktorá spočíva, že osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných nariadením GDPR na ochranu práv a slobôd dotknutých osôb. 

Pozn. autora: S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Odporúčam, aby uvedené bolo súčasťou smernice.

f) integrita a dôvernosť, ktorá spočíva v povinnosti spracúvať osobné údaje spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

Pozn. autora: Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

2.         Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na právnom základe, ktorý je vyjadrený v GDRP. Podmienka zákonnosti spracúvania je splnená, ak je naplnená aspoň jedna z nižšie uvedených podmienok: 

a)     dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely. Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov, pričom dotknutá osoba si musí byť vedomá, že dáva súhlas a v akom rozsahu ho udeľuje. Súhlas, ktorý vopred naformuloval Prevádzkovateľ, musí byť v zrozumiteľnej a ľahko dostupnej forme a formulované jasne a jednoducho a nemal by obsahovať nekalé podmienky.

Pozn.: Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba by si mala byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov. Súhlas by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov. 

b)     súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom, aj keď to na takéto plnenie nie je takýto súhlas nevyhnutný. Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov, pričom dotknutá osoba má právo kedykoľvek odvolať svoj súhlas.

Pozn.: Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Ak spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy. Spracúvanie by sa malo považovať za zákonné, ak je potrebné v súvislosti so zmluvou alebo s úmyslom uzatvoriť zmluvu.

c)     spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa.

d)     Ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ pre spracúvanie by mal existovať v práve EÚ alebo v práve SR.

f)      spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby.

g)     Spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitom záujme inej fyzickej osoby by sa malo uskutočniť v zásade len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj na životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.

h)     spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

i)      Právny základ na spracúvanie osobných údajov musí byť ustanovený v právnych predpisoch, ktoré stanovujú účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. 

j)      spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

k)      

Pozn. autora: Existencia oprávneného záujmu by si v každom prípade vyžadovala dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel môže uskutočniť. Záujmy a základné práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa údajov najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie spracúvanie.  Tento právny základ by sa nemal vzťahovať na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh. 

Čl. 4

Získavanie osobných údajov a ich spracúvanie

1. Získavanie osobných údajov je vykonávanie akýchkoľvek operácií, ktoré vedú k nadobudnutiu osobných údajov o dotknutej osobe na ich systematické spracúvanie v informačnom systéme ........... (určí sa interne), ktoré sa vykonávajú v zmysle vopred stanoveného účelu ich spracúvania.
2. Dotknutá osoba musí byť pred poskytnutím svojich osobných údajov vopred oboznámená s podmienkami ich spracúvania v informačnom systéme ........... a to v rozsahu stanovenom nariadením GDPR. Takéto oboznámenie nie je potrebné v rozsahu, v akom dotknutá osoba už má dané informácie.
3. Pri získavaní osobných údajov priamo od dotknutej osoby, ktorej sa osobné údaje týkajú, je potrebné poskytnúť nasledujúce informácie:

a)     totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)    kontaktné údaje prípadnej zodpovednej osoby;

c)     účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)    ak sa spracúvanie zakladá na dôvode nevyhnutnosti na účely oprávneného záujmu, ktorý sleduje prevádzkovateľ alebo tretia strana, oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana, a tiež

e)     príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú.

1. Pri získavaní osobných údajov musí byť vždy zachovaná ich diskrétnosť.
2. Spracúvať osobné údaje možno len ak Prevádzkovateľ disponuje relevantným právnym základom pre spracúvanie osobných údajov (podmienka zákonnosti spracúvania osobných údajov). Takýmto právnym základom je:

a)     súhlas dotknutej osoby so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

b)    spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)     spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)    spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;

e)     spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi a

f)      spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa. 

Pozn.: uvedené sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh. Zákon špecifikuje osobitné situácie zákonného spracúvania osobných údajov, ktoré predpokladá spracúvanie osobných údajov bez potreby získavania súhlasu dotknutej osoby, avšak pri rešpektovaní práva na ochranu osobnosti a ochranu súkromia

Spracúvanie osobných údajov je považované za zákonné, ak sú splnené nasledujúce podmienky:

a)     spracúvanie osobných údajov je nevyhnutné na akademický účel, umelecký účel alebo literárny účel; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,

b)     spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,

c)     prevádzkovateľ je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

1. Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor podľa osobitného predpisu (takýmto je rodné číslo) len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný a nesmie ho vylučovať osobitný predpis, ak ide o jeho spracúvanie na právnom základe súhlasu dotknutej osoby.

1. Pri spracúvaní osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel je prevádzkovateľ a sprostredkovateľ povinný prijať primerané záruky pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä na zabezpečenie dodržiavania zásady minimalizácie údajov.

1. Ak sa osobné údaje spracúvajú na vedecký účel, účel historického výskumu alebo na štatistický účel, môžu byť práva dotknutej osoby obmedzené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ak sú prijaté primerané podmienky, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.

1. Ak sa osobné údaje spracúvajú na účel archivácie, môžu byť práva dotknutej osoby obmedzené osobitným predpisom, ak sú prijaté primerané podmienky a záruky, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.

Pozn. k oblasti disponovania s účtovnými dokladmi: V rámci neautomatizovaného spracúvania údajov v účtovnej agende sú povereným oprávneným osobám za účelom automatizovaného zaúčtovania (vedenia účtovníctva) poskytované v písomnej forme požadované podklady, vrátane osobných údajov dotknutých osôb v rozsahu potrebnom na zaúčtovanie dohôd, zmlúv s fyzickými osobami a podobne. Ochrana osobných údajov využívaných ako podklady účtovnej agendy sa prioritne zabezpečujú riadeným prístupom do priestorov ich spracúvania, požadovanou evidenciou a ukladaním písomností obsahujúcich osobné údaje dotknutých osôb. 

Čl. 5

Prístup k osobným údajom

1.         Uložené pracovné povinnosti musia byť vždy v súlade s účelom spracúvania osobných údajov vymedzenom Bezpečnostným projektom na ochranu osobných údajov a v súlade s legislatívnymi normami vzťahujúcimi sa na daný účel spracúvania osobných údajov, najmä so Zákonom.

2.         Pre každý účel spracúvania osobných údajov musí byť určené a zrejmé, ktorá organizačná zložka Prevádzkovateľa takéto spracúvanie zabezpečuje.

3.         Prístup k osobným údajom majú iba určení zamestnanci organizačných zložiek Prevádzkovateľa, ktoré spracúvanie osobných údajov za daným účelom zabezpečujú.

4.         Podmienkou určenia poverenej osoby s prístupom k osobným údajom dotknutých osôb je jej poučenie o právach a zodpovednosti za ochranu osobných údajov, ktorého súčasťou je poučenie o rozsahu povolených spracovateľských operácií a zásadách prístupu k IS, v ktorom sa spracúvanie osobných údajov vykonáva.

5.         Sprístupnenie osobných údajov ďalším zamestnancom Prevádzkovateľa schvaľuje štatutárny zástupca Prevádzkovateľa na základe žiadosti vedúceho organizačnej zložky, ktorý prístup k osobným údajom pre podriadeného zamestnanca požaduje. Súčasťou žiadosti o vytvorenie prístupu k osobným údajom je stanovisko vedúceho organizačnej zložky, v pôsobnosti ktorej sa spracúvanie osobných údajov vykonáva a vyjadrenie poverenej zodpovednej osoby za výkon dohľadu nad dodržiavaním Zákona u Prevádzkovateľa.

6.         Prevádzkovateľ umožní sprístupnenie, poskytnutie alebo zverejnenie osobných údajov iba za podmienok a v rozsahu stanovenom právnymi predpismi, ktoré stanovujú účel, podmienky, prostriedky a subjekty spracúvania osobných údajov.

7.         Zákonnosť sprístupnenia, poskytnutia alebo zverejnenia osobných údajov musí byť preskúmaná ešte v čase pred ich vykonaním.

8          Ten, kto sprístupnenie alebo poskytnutie osobných údajov od Prevádzkovateľa požaduje, je povinný vopred doložiť odkazom na konkrétne ustanovenia právnych predpisov, účel, rozsah a prípadné ďalšie podmienky spracúvania údajov, ktoré mu majú byť sprístupnené alebo poskytnuté. O každom takomto sprístupnení alebo poskytnutí osobných údajov musí byť informovaná zodpovedná osoba poverená dohľadom nad ochranou osobných údajov za Prevádzkovateľa. 

Pozn. k tejto časti smernice: Z dôvodu, že porušenie ochrany osobných údajov môže spôsobiť fyzickým osobám ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby, má prevádzkovateľ povinnosť ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, oznámiť Úradu na ochranu osobných údajov Slovenskej republiky.

Čl. 6

Povinnosti pri spracúvaní osobných údajov v oblasti bezpečnosti

1.         Prevádzkovateľ zodpovedá za bezpečnosť spracúvaných osobných údajov tým, že ich chráni pred poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. 

2.         Prevádzkovateľ zabezpečuje rovnakú úroveň bezpečnosti osobných údajov spracúvaných v listinnej forme, ako aj osobných údajov spracúvaných s využitím automatizovaných prostriedkov ich spracúvania (informačno-komunikačných technológií).

3.         Základné zásady bezpečnosti pri práci s písomnosťami obsahujúcimi osobné údaje sú nasledovné:

a)     písomnosti obsahujúce osobné údaje môžu byť uložené iba v priestoroch, ktoré sú primerane chránené pred prístupom alebo násilným vniknutím neoprávnenej osoby, pred ich zničením alebo poškodením ako následku vzniku mimoriadnej situácie.

b)     vynášanie písomností obsahujúcich osobné údaje mimo priestorov Prevádzkovateľa podlieha schváleniu vedúceho príslušného organizačnej zložky Prevádzkovateľa, prípadne stanovisku poverenej zodpovednej osoby za Prevádzkovateľa, 

c)     pri prenose písomností v rámci priestorov Prevádzkovateľa, ako aj pri schválenom prenose písomností mimo priestorov Prevádzkovateľa, je potrebné dbať na primeranú ochranu dôvernosti prenášaných písomností (uzavreté a nepriehľadné transportné obaly), 

d)     prístup k písomnostiam obsahujúcim osobné údaje majú iba na to určení zamestnanci v postavení poverenej osoby, 

e)     v prítomnosti neoprávnených osôb sa práca s písomnosťami obsahujúcimi osobné údaje zakazuje,

f)      vyhotovené písomnosti obsahujúce osobné údaje sú po ich vyradení z evidencií likvidované skartáciou, znemožňujúcou spätnú rekonštrukciu písomností,

g)     dátové nosiče sú po skončení životnosti fyzicky likvidované,

h)     nepretržitá prítomnosť poverenej osoby v chránenom priestore (v miestnostiach, v ktorých sú osobné údaje spracúvané), ak sa v ňom nachádzajú aj iné ako poverené osoby, ak oprávnená osoba odchádza, je povinná písomnosti obsahujúce osobné údaje uzamknúť, alebo uložiť do chráneného priestoru,

i)      spracúvanie citlivých údajov mimo priestory a infraštruktúru Prevádzkovateľa je zakázané,

j)      dodržiavanie politiky čistého stola, t. j. uloženie dokumentov s obsahom osobných údajov do určených uzamykateľných úschovných objektov (skríň) a tiež

k)     vytváranie, evidencia, ukladanie, obeh, prenos, archivácia, likvidácia prípadne ďalšie činnosti s písomnosťami prebiehajú podľa platného Registratúrneho poriadku č. ........... a príslušného registratúrneho Plánu Prevádzkovateľa.

4.         Základné zásady bezpečnosti pri spracúvaní osobných údajov v elektronickej forme sú nasledovné:

1. každý počítač musí byť vybavený aplikáciou na antivírusovú kontrolu, táto aplikácia musí byť pravidelne aktualizovaná,
2. pri prístupe k počítaču je vždy vyžadovaná identifikácia a autentifikácia používateľa,
3. fyzický prístup k počítaču a jeho vstupno-výstupným zariadeniam má iba určený zamestnanec, výpočtové zariadenia musia byť umiestnené v zamykaných priestoroch,
4. používateľské a prístupové heslá musia byť zvolené tak, aby boli ťažko uhádnuteľné, musia byť pravidelne obmieňané a držané v tajnosti,
5. prenosné médiá, ktoré obsahujú osobné údaje musia byť chránené pred stratou, poškodením a neoprávneným prístupom,
6. v aplikáciách je používané riadenie prístupu, rozsah povoleného prístupu k osobným údajom je iba v miere nevyhnutnej na výkon pracovných činností používateľa,
7. spracúvané osobné údaje musia byť pravidelne zálohované, zálohovanie je zabezpečované centrálnou správou alebo lokálnym zálohovaním, podľa podmienok, obsahu a rozsahu spracúvaných osobných údajov, 
8. používateľ dodržiava stanovené pravidlá práce s počítačom, aplikáciou a počítačovou sieťou, 
9. voľné vystavenie osobných údajov na webových stránkach Prevádzkovateľa je považované za zverejnenie osobných údajov,
10. monitor pracovnej stanice a tlačiareň umiestniť vždy tak, aby bolo zamedzené prístupu k osobným údajom náhodným okoloidúcim.

5.         Každý zamestnanec Prevádzkovateľa pri podozrení z narušenia bezpečnosti osobných údajov spracúvaných v elektronickej forme, alebo pri podozrení z narušenia bezpečnosti zvereného počítača, upovedomí o tejto skutočnosti bezodkladne najbližšieho nadriadeného a poverenú zodpovednú osobu za Prevádzkovateľa.

6.         Kontrolu zamestnancov pri dodržiavaní týchto pravidiel vykonáva ich priamy nadriadený, osoba poverená výkonom dohľadu nad ochranou osobných údajov v danej organizačnej zložke a zodpovedná osoba poverená za Prevádzkovateľa.

Pozn.: Oprávnené záujmy prevádzkovateľa vrátane prevádzkovateľa, ktorému môžu byť tieto osobné údaje poskytnuté, alebo tretej strany, môžu poskytnúť právny základ pre spracúvanie, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi. Takýto oprávnený záujem by mohol existovať napríklad vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napríklad keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách.

Čl. 7

Technické a organizačné opatrenia v rámci ochrany osobných údajov 

1.         Na zníženie rizík vyplývajúcich z používania elektronickej pošty sú implementované technické aj organizačné opatrenia. Technické opatrenia zabezpečuje správca počítačovej siete organizácie a zahŕňajú:

a)     testovanie prichádzajúcich aj odchádzajúcich správ elektronickej pošty na prítomnosť škodlivého kódu (napr. vírus) a automatické rozpoznávanie a separovanie nevyžiadaných správ,

b)    blokovanie správ prichádzajúcich z prostredia mimo organizácie, ak je ako adresa odosielateľa uvedená interná adresa z organizácie,

c)     monitorovanie parametrov správ s cieľom overiť dodržiavanie zásad komunikácie používateľmi,

d)    priebežná aktualizácia programového vybavenia na doručovanie a čítanie správ elektronickej pošty (u používateľa, ako aj na serveroch),

e)     údržba systémov na doručovanie pošty a pravidelná kontrola ich funkčnosti. Pri používaní elektronickej pošty sa aplikujú nasledovné zásady:

f)      používateľ je zodpovedný za obsah a údržbu svojej poštovej schránky, je preto povinný pravidelne kontrolovať jej obsah a mazať nepotrebné správy. Preplnenie poštovej schránky používateľa na poštovom serveri môže spôsobiť zablokovanie príjmu pošty,

g)    elektronická pošta prijatá a odoslaná zo systému elektronickej pošty organizácie je považovaná za pracovnú komunikáciu (nie je považovaná za súkromnú komunikáciu), ktorá môže byť organizáciou archivovaná, kontrolovaná a ostáva jej majetkom,

h)    neodosielať nevyžiadanú elektronickú poštu alebo reťazovú poštu (správy typu „...pošli ďalej“), ak to priamo nesúvisí s pracovnou činnosťou zamestnanca,

i)      prijaté správy obsahujúce výzvy a varovania zasielať ďalej iba ak súvisia s pracovnou náplňou zamestnanca alebo po konzultácii so správcom IT,

j)      neotvárať nevyžiadané správy (spam), alebo emaily s pochybným obsahom, najmä od neznámych odosielateľov,

k)    neotvárať prílohy z nevyžiadanej elektronickej pošty alebo prílohy nesúvisiace s pracovnou náplňou zamestnanca,

l)      v prípade opakovaného doručenia nevyžiadanej elektronickej pošty od iného zamestnanca túto skutočnosť oznámiť správcovi IT,

m)   za žiadnych okolností neposielať formou elektronickej pošty svoje prihlasovacie údaje (predchádzanie fishingu – vymámenia prístupových údajov od používateľov),

n)    neodosielať adresy elektronickej pošty iných zamestnancov mimo organizáciu bez ich vedomia a súhlasu, pri odosielaní hromadnej pošty využívať funkciu skrytej kópie (Bcc), do kolónky adresáta zapísať vlastnú adresu a ostatných adresátov uviesť do skrytej kópie,

• o)    neposielať elektronickou poštou dokumenty s citlivými informáciami bez dodatočného zabezpečenia dôvernosti (napr. šifrovanie),

p)    používateľ je povinný pri odosielaní elektronickej pošty súvisiacej s pracovnou náplňou používať pridelenú pracovnú adresu,

q)    elektronickú poštu je možné používať iba na účely súvisiace s pracovnou náplňou zamestnanca,

r)      obsah odosielaných správ musí byť v súlade s legislatívou a dobrými mravmi,

s)     pri registrácii do externých systémov vyžadujúcich overenie prostredníctvom elektronickej pošty používať pracovnú adresu iba pri dôveryhodných systémoch a iba na účely súvisiace s pracovnou činnosťou (zníži sa tým objem nevyžiadaných správ zasielaných na túto adresu),

t)      posielanie elektronickej pošty s falošnou identitou (uvedením inej ako pridelenej adresy odosielateľa) a anonymný prístup k elektronickej pošte je zakázaný,

u)    zabezpečiť informovanie odosielateľa správy  elektronickej pošty, ktorá bola očividne zaslaná omylom, o prijatí správy. V prípade, ak takáto elektronická pošta bola zaslaná viacerým adresátom, treba informovať iba odosielateľa, nie všetkých adresátov uvedených v zozname.

2.         Pri používaní počítačovej siete sú používatelia povinní dodržiavať nasledovné pravidlá:

a)     počítačovú sieť a jej služby využívať iba na plnenie pracovných povinností,

b)    pri práci v sieti dodržiavať zákony, bezpečnostnú politiku, metodické pokyny, riadiace akty organizácie verejnej správy/samosprávy, či príkazy štatutára/zriaďovateľa ...........

c)     používať všetky inštalované bezpečnostné mechanizmy a nemeniť ich nastavenie,

d)    v prípade identifikácie problémov, kompromitácie bezpečnosti alebo zneužitia zariadení siete alebo poskytovaných služieb tieto skutočnosti ihneď oznámiť bezpečnostnému správcovi IS alebo poverenej osobe správy IT,

e)     zdroje dostupné v sieti sú zdieľané všetkými používateľmi, preto je potrebné využívať ich hospodárne.

3.         Používatelia majú zakázané nasledovné činnosti:

a)     meniť informácie slúžiace na určenie totožnosti používateľa alebo na určenie prístupových práv, 

b)     akýmkoľvek spôsobom pristupovať k údajom iných používateľov alebo používať inú než skutočnú identitu, meniť identitu iných používateľov vrátane takýchto pokusov, 

c)     používať akékoľvek  spôsoby na zisťovanie komunikácie (odpočúvanie) v počítačovej sieti,

d)     používať akékoľvek spôsoby na zisťovanie a vstupovanie do hardvérovej a softvérovej konfigurácie sieťového pripojenia zariadení alebo meniť tieto parametre,

e)     umožňovať prístup k službám počítačovej siete ďalším zamestnancom alebo osobám, iným ako schváleným spôsobom alebo ak to priamo nevyplýva z ich pracovných povinností,

f)      pripájať do siete ďalšie zariadenia okrem určených situácií (napr. pripájanie notebookov) a vytvárať nové prepojenia medzi sieťami,

g)     vytvárať v sieti nové služby (napr. zdieľanie údajov, zasielanie krátkych správ) bez súhlasu zamestnávateľa alebo .......... (určí sa interne),

h)     manipulovať s aktívnymi alebo pasívnymi prvkami počítačovej siete,

i)      narúšať činnosť siete alebo zariadení v nej pripojených a tiež

j)      snažiť sa získať alebo využívať prístup k službám, na ktoré nemá oprávnenie.

4.         Aktivity používateľa v počítačovej sieti môžu byť monitorované. O zásadách používania počítačovej siete musia byť používatelia poučení pred prvým umožnením prístupu k sieti. Na zníženie rizík vyplývajúcich z používania internetu musia byť u Prevádzkovateľa implementované technické aj organizačné opatrenia.

5.         Technické opatrenia zabezpečuje správca informačných technológií (ďalej len IT) Prevádzkovateľa a zahŕňajú:

a)     filtrovanie komunikácie do siete internet blokovaním určených stránok, alebo naopak povolením prístupu iba k určitým stránkam,

b)    monitorovanie stránok, ku ktorým používatelia pristupujú a objemu prenesenej komunikácie s cieľom overiť dodržiavanie stanovených pravidiel používateľmi,

c)     pri prístupe k zabezpečeným webovým stránkam (protokolom HTTPS) automatické overenie identity zdroja, ak je toto overenie neúspešné, blokovanie prístupu,

d)    priebežná aktualizácia programového vybavenia na prístup k sieti internet (u používateľa prehliadač www, na serveroch najmä proxy server).

6.         Za nevhodné a neprijateľné využívanie prístupu k sieti internet sa považuje najmä:

a)     využívanie iného ako oficiálneho pripojenia do siete (pozn.: napríklad neznáme wi-fi siete, prostredníctvom súkromného mobilného zariadenia),

b)     používanie služieb internetu na osobné účely a na činnosti zamerané na dosiahnutie osobného prospechu,

c)     aktivity a vystupovanie v rozpore so zákonmi, riadiacimi aktmi organizácie a dobrými mravmi,

d)     prístup k autorským dielam (hudba, obrázky, film, softvér) v rozpore s licenčnými podmienkami autora,

e)     vystupovať na internete oficiálne a prezentovať svoje názory ako názory Prevádzkovateľa (pokiaľ to nie je obsiahnuté v pracovnej náplni zamestnanca),

f)      publikovať interné materiály a informácie (pokiaľ to nie je obsiahnuté v pracovnej náplni zamestnanca),

g)     využívať služby na internete, ktoré by viedli k neúmernej záťaži alebo narušeniu činnosti prostriedkov Prevádzkovateľa, k nemožnosti použitia prostriedkov inými používateľmi alebo k obmedzeniu používateľských práv iných používateľov,

h)     umožňovať prácu v internete ostatným zamestnancom alebo iným osobám, ktoré to nemajú povolené,

i)      hrať hry na internete, spúšťať programy a otvárať súbory pornografického a rasistického charakteru ako aj pristupovať k týmto údajom cez internet,

j)      používať pracovnom čase verejné sociálne siete a iné prostriedky nechránenej komunikácie na súkromné účely,

k)     akákoľvek aktivita, ktorá by mohla poškodiť dobré meno Prevádzkovateľa,

l)      používať na prístup k službám siete internet programy a nástroje, ktoré neboli schválené a povolené správcom informačných technológií. 

Čl. 8

Všeobecné opatrenia pre všetkých zamestnancov v rámci informačnej bezpečnosti

Všetci užívatelia sú povinní dodržiavať pravidlá informačnej bezpečnosti, a to hlavne: 

a)     každý užívateľ prevezme výpočtovú techniku na základe preberacieho protokolu, resp. dodatku k preberaciemu protokolu, 

b)     dodržiavanie pravidiel pri výbere, používaní a ochrane hesla a zariadení na vykonanie autentizácie,

c)     meniť svoje heslá často a pravidelne. Týmto sa zvyšuje istota voči neoprávnenému použitiu účtu užívateľa. Zvyčajne je zmena hesla preddefinovaná správcom systému, ale je povinnosťou užívateľa meniť heslo aj vtedy, keď ho k tomu automaticky systém nenúti,

d)     zmeniť heslo okamžite po podozrení z neoprávneného použitia účtu. Odporúča sa o tejto skutočnosti informovať správcu systému, nakoľko z histórie prístupu k účtu užívateľa je možno posúdiť, kto neoprávnene účet používa, resp. vykonal neautorizované pokusy o prihlásenie sa k účtu,

e)     zmeniť heslo okamžite po zistení, že heslo je známe inej osobe, alebo osobám,

f)      nenechávať osobné počítače prihlásené do systému, alebo siete bez dozoru oprávneného užívateľa,

g)     neumožniť prácu iným zamestnancom pod svojim užívateľským menom, 

h)     udržiavať pracovné miesto upratané, nenechávať dokumenty alebo médiá obsahujúce osobné údaje voľne na pracovnom stole počas neprítomnosti,

i)      zakazuje sa kopírovanie dát obsahujúcich osobné údaje do iných IS, alebo ich ukladanie na médiá, vyhotovovanie tlačených dokumentov, pokiaľ to nevyžadujú zavedené a schválené pracovné postupy,

j)      zakazuje sa vykonávať zásahy do technickej infraštruktúry, pripájať neautorizované zariadenia ako modemy, prenosné počítače, osobné organizéry, telefónne záznamníky a iné,

k)     každý užívateľ je povinný dodržiavať základné zásady antivírovej ochrany, zásady bezpečného používania Internetu a elektronickej pošty,

l)      práca na pracovnom počítači (ďalej len PC), ktorá by mohla viesť k narušeniu ochrany osobných údajov pri ich spracúvaní je zakázaná v prítomnosti neoprávnenej osoby,

m)   po ukončení práce na PC zabezpečí užívateľ svoje pracovisko v súlade so zavedeným prevádzkovým poriadkom,

n)     v prípade vyzradenia, zneužitia, poškodenia, zničenia, straty alebo pri odcudzení osobných údajov, alebo podozrenia z pokusu o vyššie uvedené, je užívateľ povinný oboznámiť s touto skutočnosťou zodpovednú osobu poverenú výkonom dohľadu nad ochranou osobných údajov, 

• o)     rešpektovať príkazy a pokyny IT Administrátora,

p)     manipulovať so zariadeniami tak, aby nedošlo k ich poškodeniu, v súlade s používateľskými príručkami,

q)     narábať s nosičmi informácií podľa platných smerníc,

r)      viesť záznamy podľa prevádzkovej dokumentácie,

s)      nedovoliť manipuláciu s PC a tlačiarňou nepovolaným osobám,

t)      informovať o poruchách na zariadení IT Administrátora,

u)     nepoužívať iný softvér ako je špecifikované v dokumentácii k PC, je zakázané používať neautorizovaný softvér,

v)     nepoužívať iný hardvér ako je špecifikovaný v dokumentácii k PC,

w)   neodpájať tlačiareň, ani inak s ňou manipulovať nepovoleným postupom,

x)     všetky neštandardné situácie, ktoré by mohli viesť k bezpečnostnému incidentu, alebo naznačujú, že k nemu došlo, okamžite hlásiť  zamestnancovi .................. (pozn.: zariadenie nevypínať, ale počkať na príkaz príslušného nadriadeného a spracovať Záznam o bezpečnostnom incidente).

y)     práca na PC, ktorá by mohla viesť k narušeniu ochrany osobných údajov je zakázaná v prítomnosti neoprávnenej osoby. 

Čl. 9

Spoločné a záverečné ustanovenia, účinnosť

1.         Prevádzkovateľ je po splnení účelu spracúvania povinný bez zbytočného odkladu zabezpečiť likvidáciu osobných údajov. Po splnení účelu spracúvania sú osobné údaje uchovávané a neskôr vyraďované podľa platných predpisov Prevádzkovateľa a Registratúrneho poriadku č. ...... zo dňa .......... v znení .......... (upraví sa interne).

3.         Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanoviť len na dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených Zákonom.

4.         Prevádzkovateľ zabezpečuje likvidáciu registratúrneho záznamu podľa osobitného predpisu a Registratúrneho poriadku č. ...... zo dňa .......... v znení .......... (upraví sa interne). Prevádzkovateľ zabezpečí bez zbytočného odkladu likvidáciu osobných údajov, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú.

5.         Táto smernica je záväzná pre všetkých zamestnancov a tiež osoby vykonávajúce prácu mimo pracovného pomeru. Súčasťou tejto smernice je prílohová časť, ktorá je záväzná a obsahuje ............... (upraví sa interne).

6.         Táto smernica je účinná od ............... .

 

 

                                                                                                              .............................

                                                                                                                    štatutárny orgán

Nezabudnúť uviesť do smernice:

Dotknutú osobu je potrebné informovať o práve podať sťažnosť a spôsobe, akým sú osobné údaje spracúvané, vrátane uplatnenia vyššie uvedených práv, ako aj možnosti obrátiť sa na zodpovednú osobu.

Rovnako je potrebné dotknutú osobu informovať o možnosti podať sťažnosť na dozorný orgán, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky, https://dataprotection.gov.sk, Hraničná 12, 820 07 Bratislava 27; Pevná linka: 02/323 13 214,e-mail: statny.dozor@pdp.gov.sk