Vyhľadávanie vo vzoroch
Vzory
Smernica o ochrane osobných údajov v subjekte územnej samosprávy
Kategória: Vzory Autor/i: PhDr. Jozef Sýkora, MBA
Smernica č. …/202x o ochrane osobných údajov v subjekte územnej samosprávy …………………
Táto vzorová smernica je spracovaná v zmysle Nariadenia Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej v texte smernice ako GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej v texte smernice ako Zákon) v rámci subjektu územnej samosprávy ......................... .
Za dodržiavanie pravidiel a zásad v tejto smernici zodpovedá prevádzkovateľ, ktorý je povinný preukázať ich dodržiavanie a súlad pri spracúvaní osobných údajov. Prevádzkovateľ stanovil, že dodržiavanie týchto zásad sleduje zodpovedná osoba, ktorá v prípade zistenia nesúladu spracúvania osobných údajov s týmito zásadami bezodkladne informuje štatutárneho zástupcu Prevádzkovateľa. Prevádzkovateľ prijíma organizačné a technické opatrenia na zabezpečenie povinnosti spracúvať osobné údaje po dobu, ktorá je nevyhnutná, účely, pre ktoré sa spracúvajú, pričom následne sú uchovávané v registratúrnom stredisku po dobu, ktorá je určená registratúrnym poriadkom a registratúrnym plánom. Po uplynutí uvedeného času sa zabezpečuje likvidácia osobných údajov (skartácia, pokiaľ sú osobné údaje spracúvané v listinnej forme, alebo výmaz, ak sú osobné údaje spracúvané v elektronickej forme).
Pozn. autora: Poverené oprávnené osoby Prevádzkovateľa pri spracúvaní osobných údajov postupujú podľa osobitných zákonov, zavedených interných predpisov a určených procedúr (napr.: Registratúrny poriadok a registratúrny plán, Zásady obehu účtovných a iných dokladov a podobne). Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
Čl. 1
Úvodné ustanovenia, podmienky a účel spracúvania osobných údajov
- Prevádzkovateľ má v zmysle tejto smernice povinnosť prijať organizačné opatrenie spracúvať len správne a aktualizované osobné údaje, pričom boli prijaté organizačné, ako aj technické opatrenia, ktoré umožnia aktualizáciu a prípadne aj výmaz nesprávnych osobných údajov, ktoré sú spracúvané v manuálnej forme, prípadne elektronickou formou.
- Všetky osoby prichádzajúce do styku s osobnými údajmi musia byť na to určené v rámci svojich pracovných povinností a musia byť náležite poučené, čo potvrdia vlastnoručným podpisom.
- Účelom poskytovaných služieb je zabezpečenie bezpečnej a spoľahlivej prevádzky softvéru, dátového skladu a serverov, ich údržby a rozvoja, zálohovania údajov Prevádzkovateľa, ich obnovy a poskytnutia Prevádzkovateľovi.
- Prevádzkovateľom, ktorý disponuje s osobnými údajmi, v zmysle tejto smernice je ………………. (upraví sa interne) so sídlom na adrese ……………………. (ďalej len „Prevádzkovateľ“).
- Osobné údaje dotknutých osôb pôsobiacich alebo spolupracujúcich v týchto pracoviskách sú v nich spracovávané a archivované výhradne v neautomatizovanej forme za účelom vedenia vlastnej agendy. Kópie osobných údajov dotknutých osôb sú zasielané v písomnej forme, a to zamestnancovi/úseku .............. (upraví sa interne).
- Sprostredkovateľ je oprávnený poveriť údržbou a správou ďalších sprostredkovateľov v súlade s Nariadením GDPR a Zákonom.
- Do kontaktu s osobnými údajmi prichádzajú tiež organizačné zložky alebo strediská ........................ (upraví sa interne, ak je to relevantné).
Pozn. autora k tejto časti smernice: Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa údajov.
Čl. 2
Dohľad nad ochranou osobných údajov
- Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá Prevádzkovateľ.
- Prevádzkovateľ prijme s ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s nariadením GDPR a zákonom o ochrane osobných údajov. Tieto opatrenia podľa potreby preskúmava a aktualizuje.
- Prevádzkovateľ prijme primerané technické a organizačné opatrenia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky nariadenia GDPR a chrániť práva dotknutých osôb, pričom prihliadne na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb.
- Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť.
- Zodpovedná osoba poverená výkonom dohľadu nad ochranou osobných údajov sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy.
Pozn. autora k tejto časti: Prevádzkovateľ, ktorý je orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci, alebo ak hlavnými činnosťami Prevádzkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, je povinný určiť zodpovednú osobu a jej určenie nahlásiť na Úrad na ochranu osobných údajov Slovenskej republiky.
Čl. 3
Zásady spracúvania osobných údajov a zákonnosť ich spracúvania
- Prevádzkovateľ zabezpečí, aby osobné údaje fyzických osôb boli riadne spracúvané v súlade s nasledujúcimi zásadami:
a) zákonnosť, spravodlivosť a transparentnosť, ktorá zahŕňa povinnosť spracúvať osobné údaje na základe zákonného základu, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.
Pozn.: Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní.
b) obmedzenie účelu, ktoré spočíva v povinnosti, aby osobné údaje boli získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi (výnimka: archivácia, vedecký alebo historický výskum či štatistický účel). Každé spracúvanie osobných údajov je potrebné na konkrétne účely, na ktoré sa osobné údaje spracúvajú. Tieto by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov.
c) minimalizácia údajov, ktorá spočíva v povinnosti spracúvať osobné údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah. Rovnako je potrebné rešpektovať potrebu spracúvať osobné údaje len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.
d) správnosť, ktorá spočíva v povinnosti spracúvať správne a podľa potreby aktualizované osobné údaje, pričom je nevyhnutné zabezpečiť, aby sa prijali všetky potrebné opatrenia, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia. Uvedená zásada predpokladá prijatie všetkých primeraných opatrení, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov.
e) minimalizácia uchovávania, ktorá spočíva, že osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných nariadením GDPR na ochranu práv a slobôd dotknutých osôb.
Pozn. autora: S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Odporúčam, aby uvedené bolo súčasťou smernice.
f) integrita a dôvernosť, ktorá spočíva v povinnosti spracúvať osobné údaje spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.
Pozn. autora: Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.
2. Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na právnom základe, ktorý je vyjadrený v GDRP. Podmienka zákonnosti spracúvania je splnená, ak je naplnená aspoň jedna z nižšie uvedených podmienok:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely. Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov, pričom dotknutá osoba si musí byť vedomá, že dáva súhlas a v akom rozsahu ho udeľuje. Súhlas, ktorý vopred naformuloval Prevádzkovateľ, musí byť v zrozumiteľnej a ľahko dostupnej forme a formulované jasne a jednoducho a nemal by obsahovať nekalé podmienky.
Pozn.: Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba by si mala byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov. Súhlas by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov.
b) súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom, aj keď to na takéto plnenie nie je takýto súhlas nevyhnutný. Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhla
Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.
Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).
Bezplatný odpovedný servis pre predplatiteľov
Vaše otázky môžete zadať na www.otazkyodpovede.sk.