Osobné údaje – disponovanie s nimi a upozornenia

PhDr. Jozef Sýkora MBA

Vydané: 12 minút čítania

Príspevok sa venuje vybraným zaujímavým zásadám a pravidlám disponovania s osobnými údajmi v podmienkach územnej samosprávy, bližšie odpovedá aj na časté otázky k tejto téme. Osobné údaje musia byť spracúvané spravodlivo, transparentne a zákonne. Je potrebné uviesť, že by mali byť získavané len na konkrétny a zákonný účel.

Osobnými údajmi disponujú iba fyzické osoby – nepodnikatelia. Všetky údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah, ide o tzv. zásadu minimalizácie. Príspevok sa tiež venuje zásadám prevádzkovania kamerového systému, či osobným spisom detí, upozorneniam z hľadiska autora a tiež oblasti zverejňovania, resp. nezverejňovania údajov podľa osobitných predpisov.

Otázka č. 1: Aké sú bežné a citlivé osobné údaje, ktoré sa často spracúvajú v samospráve a v správnom konaní?

Bežné osobné údaje predstavujú:

  1. fotografia,
  2. meno, priezvisko, adresa,
  3. e-mailový kontakt,
  4. telefónne číslo,
  5. dátum narodenia,
  6. rodné číslo fyzickej osoby.

Citlivé osobné údaje,  tzv. osobitná kategória osobných údajov:

  1. rasový alebo etnický pôvod,
  2. politické názory,
  3. náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách,
  4. genetické údaje,
  5. biometrické údaje na individuálnu identifikáciu fyzickej osoby,
  6. údaje týkajúce sa zdravia, ako aj údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie.

Z praxe Úradu na ochranu osobných údajov

Úrad na ochranu osobných údajov v jeho metodických usmerneniach spravidla uvádza, že nie je potrebné sa obávať spracúvať osobné údaje na základe zákona. Zákonná povinnosť má prednosť pred postojom a názorom dotknutej osoby. V prípade zákonného spracúvania nie je súhlas so spracúvaním osobných údajov potrebný ani vhodný. Je potrebné rozlišovať spracúvanie nad rámec zákona (pozn.: tým je myslený zákon č. 18/2018 Z. z. o osobných údajoch a o zmene a doplnených niektorých zákonov v znení neskorších predpisov), teda keď zákon priamo nepamätá na konkrétnu situáciu.

Tiež je potrebné, aby dotknutá osoba mohla svoj súhlas odvolať a bola o tomto práve jasne a zreteľne informovaná a tiež, aby súhlas mohla odvolať tak jednoducho, ako ho poskytla. Treba dodať, že prevádzkovateľ v územnej samospráve by mal zabezpečiť, že ak súhlas dotknutá osoba poskytne elektronicky, tak ho aj elektronicky, prípadne aj inak ako elektronicky môže odvolať.

Zásady bezpečnostných opatrení do praxe

  1. Každý zamestnanec pri nakladaní s osobnými údajmi rešpektuje ich povahu, a tomu prispôsobí úkony s tým spojené. Zamestnanec najmä osobné údaje nezverejňuje bez overenia, že takýto postup je možný, nesprístupňuje údaje osobám, ktoré nepreukážu právo ich získať. Zamestnanec sa vždy pokúsi o poskytnutie základných informácií dotknutej osoby; inak odkáže dotknutú osobu na zodpovednú osobu alebo na štatutára (starostu, či v školách riaditeľa).
  2. Obec pri spracúvaní osobných údajov aktívne spolupracuje so zodpovednou osobou, pričom ihneď rieši každý bezpečnostný incident týkajúci sa ochrany osobných údajov, a to v súčinnosti  so zodpovednou osobou a spíše sa o ňom záznam.
  3. Osobné údaje vedené v elektronickej podobe sa uchovávajú len v zabezpečenom systéme. Heslá musia byť chránené a nesmú sa s nikým zdieľať. Pri práci s elektronickou evidenciou nesmie oprávnená osoba opustiť počítač bez odhlásenia.
  4. Osobné spisy zamestnancov sú tiež uchovávané bezpečne v uzamykateľných skrinkách, prístup k nim má len štatutár, prípadne jeho zástupca a personálne a mzdové oddelenie/úsek a predmetný zamestnanec, ktorého sa údaje týkajú.
  5. Ak zamestnanec, zistí porušenie ochrany osobných údajov, bezodkladne zabráni ďalšiemu neoprávnenému nakladaniu s osobnými údajmi a ohlási túto skutočnosť štatutárovi alebo zodpovednej osobe.
  6. Obec zabezpečí, aby boli riadne poučení o právach a povinnostiach pri spracúvaní osobných údajov a podľa možností zabezpečia vzdelávanie a preškoľovanie v oblasti ochrany osobných údajov.
  7. Povinnosti a odporúčania pri spracúvaní osobných údajov možno zapracovať napríklad do vnútorného poriadku, pracovného poriadku, respektíve internej smernice na ochranu osobných údajov.

Otázka č. 2: Je možné súhlas získať aj inak ako písomne alebo elektronicky?

Súhlas dotknutej osoby predstavuje akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka. Zo samotnej definície súhlasu vyplýva, že súhlasom je akýkoľvek prejav vôle dotknutej osoby, ak spĺňa v definícii uvedené náležitosti, teda súhlas je možné získať aj napríklad nahraním cez telefón, alebo nahraním na kameru, za splnenia poskytnutia informácií najneskôr v čase získania súhlasu.

Prevádzkovateľ nesmie zabúdať na zásadu, že je povinný získanie súhlasu preukázať, teda napríklad uchovávať si papierové súhlasy, alebo uchovávať si nahrávky súhlasov, alebo elektronicky poskytnuté súhlasy mať uložené napríklad v optickom archíve.

Otázka č. 3: Aké sú príklady technických bezpečnostných opatrení, ktoré sa v kontexte spracúvania osobných údajov môžu uplatniť na základe konkrétnych podmienok prevádzkovateľa alebo sprostredkovateľa jeho prostredí?

Technické bezpečnostné opatrenia predstavujú najmä:

  1. zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia),
  2. zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovacích jednotiek),
  3. šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových sietí,
  4. identifikácia, autentizácia a autorizácia osôb v informačnom systéme,
  5. vytváranie záloh s vopred zvolenou periodicitou,
  6. bezpečné vymazanie osobných údajov z dátových nosičov,
  7. detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete alebo z dátových nosičov,
  8. pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam – internetovým stránkam obce, školy alebo organizácie).

Zásady spracúvania osobných údajov – na čo nezabudnúť v prípade  kamerového systému?

  1. Zobrazovacie a záznamové zariadenia musia byť umiestnené v zabezpečených priestoroch tak, aby nemala k nim prístup neoprávnená osoba. Za zabezpečený priestor sa chápe napríklad osobitná miestnosť zabezpečená pred neoprávneným vniknutím cez okná alebo dvere, s kontrolovaným pohybom osôb v miestnosti.
  2. Pohyb osôb, ktoré nie sú určené pre prácu na kamerovom systéme a spracúvanie záznamu z kamerového systému je dovolený v zabezpečených priestoroch, len v sprievode operátora a takýto pohyb musí byť zaznamenaný do knihy prístupov k záznamom z kamerového systému.
  3. Umiestnenie kamier kamerového systému v priestore prístupnom verejnosti musí byť verejnosti známe a priestor, ktorý tieto kamery monitorujú musí byť označený tak, aby bolo osobám zrejmé, že vchádzajú do priestoru monitorovaného kamerovým systémom.
  4. Všetky zariadenia, ktoré sú súčasťou kamerového systému a prenosného kamerového pracoviska musia byť zabezpečené tak, aby nemohlo prísť k neoprávnenej manipulácii, resp. k neoprávnenému vyhotoveniu záznamu z týchto zariadení. Za zabezpečenie týchto zariadení proti zneužitiu zodpovedá zodpovedná osoba a prevádzkovateľ.
  5. Operátor poskytuje náhľad alebo záznam z kamerového systému na základe ústneho alebo písomného nariadenia osôb určených prevádzkovateľom. Tieto osoby majú napísané na úvodných stránkach knihy prístupov k záznamom z kamerového systému. Operátor je povinný preveriť legitímnosť požiadavky alebo nariadenia na poskytnutie záznamu z kamerového systému, jej oprávnenosť a identitu osoby, ktorá požiadavku uplatňuje.
  6. Vo veciach podozrení alebo konaní o priestupkoch a trestných činoch sa záznamy z kamier poskytujú príslušníkovi policajného zboru v čase výkonu služby vykonávajúcich objasňovanie, vyšetrovanie, preverovanie, alebo operatívne šetrenie vo veci, ktorej sa kamerovým systémom získaný osobný údaj týka v súlade s ustanoveniami zákona 301/2005 Z. z. Trestného poriadku  v znení neskorších predpisov.
  7. Prevádzkovateľ spracúva osobné údaje v kamerovom systéme  spravidla na:
  • ochranu svojho majetku, prevenciu kriminality pri vykonaní dôkazov v správnom konaní v prípadoch, ked sú osobné údaje získané kamerovým systémom používané ako dôkazy v prebiehajúcom správnom konaní,
  • monitorovanie pracovnej činnosti a kontroly zamestnancov na pracovisku podľa ustanovenia § 13 ods. 4  zákona č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov a tiež
  • identifikáciu zamestnanca alebo fyzickej osoby, ktorá vykonáva prácu mimo pracovného pomeru v rámci dochádzky,

Osobný spis dieťaťa v materskej škole vo vzťahu k osobným údajom

Osobný spis má obsahovať vždy a povinne poradové číslo spisu, školský rok, meno a priezvisko dieťaťa, dátum narodenia a miesto narodenia a tiež národnosť  a štátne občianstvo, rodné číslo a trvalý pobyt (pozn.: vždy podľa podkladov od zákonného zástupcu dieťaťa), informácie o zákonných zástupcoch dieťaťa/rodičoch (pozn.: teda meno a priezvisko a kontakt na zákonného zástupcu/rodiča).

Upozornenia k vedeniu a vyplňovaniu osobného spisu dieťaťa:

  1. Uvedené údaje v osobnom spise obsahujú osobné údaje a je potrebné s nimi nakladať výlučne v intenciách aktuálneho zákona č. 18/2018 Z. z. o osobných údajoch a o zmene a doplnených niektorých zákonov v znení neskorších predpisov.
  2. Osobný spis sa nezverejní na webovom sídle materskej školy.
  3. Osobný spis sa neoveruje základnou finančnou kontrolou podľa zákona č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
  4. Osobný spis dieťaťa sa na základe žiadosti o sprístupnenie informácie rovnako nezverejní a to ani spôsobom nahliadnutia do spisu inou fyzickou alebo právnickou osobou.
  5. Do osobného spisu dieťaťa nemá prístup ani poslanec obecného zastupiteľstva, kreovaná komisia zastupiteľstvom obce alebo mesta a podobne.
  6. Údaje, potrebné definovať do osobného spisu dieťaťa, si materská škola nevyhľadáva sama, resp. nežiada o ne cez zriaďovateľa/štátny orgán. Výlučne sa získavajú podľa podkladov od zákonného zástupcu/rodiča/zástupcu zariadenia.
  7. Povinné predprimárne vzdelávanie v materskej škole trvá jeden školský rok. Ak dieťa po dovŕšení šiesteho roka veku nedosiahne školskú spôsobilosť, riaditeľ materskej školy rozhodne o pokračovaní plnenia povinného predprimárneho vzdelávania v materskej škole na základe písomného súhlasu príslušného zariadenia výchovného poradenstva a prevencie, písomného súhlasu všeobecného lekára pre deti a dorast a s informovaným súhlasom rodiča.
  8. O náboženskom vyznaní žiaka by sa nemal prijať žiadny zbytočný záver v prípade, že údaje sú potrebné iba na administratívne účely (napr. absolvovanie hodín náboženstva, uprednostnenie niektorých jedál).
  9. Informácie o majetku a príjmoch rodiny dieťaťa môžu byť tiež zdrojom diskriminácie, spracúvané sú však v záujme dieťaťa, napríklad ak rodič žiada o príspevok, alebo zníženie poplatkovej povinnosti.

Na čo je potrebné dať pozor pri zverejňovaní v Centrálnom registri zmlúv v roku 2023 (GDPR, prílohy, autorské práva)

Pri zverejňovaní dokumentov treba dodržiavať najmä zákon o ochrane osobných údajov, t. j. je potrebné dbať na to, aby neboli zverejnené, napr. rodné čísla a podobne. Názov súboru, resp. odkaz na neho, by teda mal v stručnosti identifikovať jeho obsah, čo napríklad v prípade zmlúv znamená jej predmet a prípadne číselnú identifikáciu. Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon o slobode informácií“) v tejto súvislosti explicitne určuje aj niekoľko údajov, ktoré nepatria do osobných údajov, týmito sú titul, meno, priezvisko, adresa trvalého pobytu a označenie nehnuteľnosti v špecifickom prípade.

Osobným údajom je aj rodné číslo a číslo bankového účtu (iba fyzickej osoby). Naopak, predmetom ochrany osobných údajov nie sú pečiatky fyzických osôb – podnikateľov a právnických osôb, ako aj identifikačné čísla právnickej osoby (napr. IČO, IČ DPH a podobne).

Podľa zákona o slobode informácií sa napríklad nemusia zverejniť:

  • technické predlohy,
  • návody, výkresy,
  • projektové dokumentácie,
  • modely, spôsob výpočtu jednotkových cien (pozn.: kalkulácie cien, pričom povinne sa zverejnia sadzobníky alebo výkaz – výmer) a vzory,
  • ustanovenia všeobecných obchodných podmienok a
  • poistné podmienky k zmluve o poistení majetku alebo stavby (pozn.: postačí uviesť odkaz na už zverejnené podmienky alebo na link poisťovne, kde sú k dispozícii poistné či obchodné podmienky).