Osobné údaje v informačných systémoch

Osobné údaje, ktoré sú spracúvané v informačných systémoch, predstavujú pre prevádzkovateľa nenahraditeľnú pomoc. Akékoľvek informačné systémy sa ale prevádzkovateľ rozhodne používať, musí si byť vedomý toho, ako má údaje v informačnom systéme spracúvať správne.

Dátum publikácie:2. 6. 2021
Autor:JUDr. Jakub Pavčík
Oblasti práva: Správne právo / Informácie, informačný systém / Ochrana údajov / GDPR
Právny stav od:1. 9. 2019

Osobné údaje v informačných systémoch spracúva dnes každý prevádzkovateľ. Čo je to vlastne informačný systém a akú môže mať podobu? Všeobecné nariadenie o ochrane údajov definuje informačný systém ako akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, a to bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.

Vo svojej podstate ide o systém, ktorý je určený na zber, udržiavanie, spracovanie a poskytovanie informácií. Informačný systém nemusí mať nevyhnutne elektronickú formu, ale môže existovať aj čisto v papierovej podobe alebo ako kombinácia elektronickej a papierovej formy. Príkladom informačných systémov v elektronickej (automatizovanej) podobe sú napríklad CRM systémy, SAP alebo akýkoľvek účtovný program. Informačný systém vo výlučne papierovej forme môže byť kniha dochádzky, ktorá slúži na evidenciu príchodov a odchodov zamestnancov. Naopak, kombinovanú podobu môže mať evidencia kontaktov (napríklad telefónnych čísel), ktorú môže prevádzkovateľ viesť v papierovej a zároveň aj v elektronickej podobe.

Či už je ale informačný systém v elektronickej, papierovej alebo kombinovanej podobe, dôležité je, aké údaje sa v ňom spracúvajú.

Spracúvanie údajov predstavuje operáciu alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie, vyhľadávanie, prehliadanie, využívanie, poskytovanie, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidáciu, a to bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Pred tým, ako si prevádzkovateľ vytvorí informačné systémy, musí mať zadefinované niektoré podstatné náležitosti.

1. Účel informačného systému

Ako prvé si prevádzkovateľ musí nutne zadefinovať účel informačného systému, respektíve účel spracúvania osobných údajov, ktoré budú v informačnom systéme obsiahnuté. Účelom spracúvania osobných údajov je vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť. Účel spracúvania osobných údajov musí byť dostatočne jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. V zmysle jednej zo základných zásad spracúvania osobných údajov (čl. 5 všeobecného nariadenia o ochrane údajov) musia byť osobné údaje získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.

Účel spracúvania osobných údajov vymedzuje sám prevádzkovateľ. Od vymedzeného účelu môže prevádzkovateľ následne zadefinovať ďalšie podstatné (a naozaj potrebné) náležitosti. Príkladmi účelov spracúvania sú napríklad: spracúvanie e-mailových adries za účelom zasielania newsletterov, spracúvanie životopisov uchádzačov o zamestnanie za účelom výberu vhodného zamestnanca alebo spracúvanie audiovizuálneho záznamu z kamier za účelom ochrany majetku.

2. Rozsah spracúvaných osobných údajov

Po tom, ako si prevádzkovateľ zadefinuje účel spracúvania údajov, musí si zadefinovať rozsah spracúvaných údajov. V informačnom systéme môže prevádzkovateľ spracúvať rôzne druhy údajov, napríklad bankové údaje, verejne dostupné údaje, interné údaje alebo aj osobné údaje. Pri osobných údajoch si musí prevádzkovateľ bližšie špecifikovať, aké konkrétne osobné údaje bude s daným účelom spracúvať. Môže ísť napríklad o meno, priezvisko, e-mailovú adresu, fotografie, údaje uvedené v životopise a podobne.

Pri definovaní rozsahu spracúvaných osobných údajov musí prevádzkovateľ myslieť na zásadu minimalizácie osobných údajov. V zmysle uvedenej zásady musia byť osobné údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.

Ak teda prevádzkovateľ spracúva osobné údaje zákazníkov e-shopu za účelom predaja a doručenia produktu, nemusí o zákazníkoch spracúvať aj rodné číslo alebo fotografiu. Pri definovaní rozsahu spracúvaných osobných údajov musí prevádzkovateľ rovnako zadefinovať okruh dotknutých osôb, ktorých údaje bude v danom informačnom systéme spracúvať, teda napríklad okruh zamestnancov, klientov alebo uchádzačov o zamestnanie.

3. Stanovenie právneho základu

Po tom, ako má prevádzkovateľ zadefinovaný účel spracúvania, rozsah spracúvaných osobných údajov a okruh dotknutých osôb, musí si prevádzkovateľ stanoviť právny základ na spracúvanie údajov.

V zmysle článku 6 všeobecného nariadenia o ochrane údajov je spracúvanie údajov zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

  1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
  2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
  3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
  4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
  5. spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
  6. spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Bez právneho základu nemôže prevádzkovateľ spracúvať osobné údaje dotknutých osôb. Na jeden účel môže mať prevádzkovateľ aj viacero právnych základov súčasne.

4. Definovanie lehôt na uchovávanie osobných údajov

Akékoľvek osobné údaje, ktoré prevádzkovateľ spracúva, musia byť spracúvané iba po určitý čas. Niektoré lehoty na spracúvanie údajov uvádzajú priamo právne predpisy, napr. zákon o účtovníctve. Ak lehota na uchovávanie údajov nie je zadefinovaná v právnom predpise, musí si túto lehotu určiť prevádzkovateľ sám. Nevyhnutnosťou ale ostáva, aby sa prevádzkovateľ pri určovaní lehôt riadil zásadou minimalizácie údajov. Podľa uvedenej zásady musia byť osobné údaje uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb.

Prevádzkovateľom pri určení lehôt na uchovávanie údajov môže pomôcť vypracovanie registratúrneho plánu a registratúrneho poriadku. Po uplynutí lehoty na uchovanie údajov je nevyhnutné, aby boli osobné údaje z informačného systému vymazané.

5. Definovanie prístupov

Pre každý informačný systém musí prevádzkovateľ zadefinovať, kto bude oprávnenou osobou, ktorá bude mať do daného informačného systému prístup.

Prevádzkovateľ je povinný poveriť každú fyzickú osobu, ktorá ako oprávnená osoba vykonáva pre prevádzkovateľa spracovateľské činnosti. Tieto osoby musí prevádzkovateľ poveriť, aby dodržiavali a vykonávali spracovateľské operácie len na základe pokynov prevádzkovateľa alebo na základe osobitného predpisu. Poverenie oprávnenej osoby je dôležité z hľadiska rozsahu oprávnení v súvislosti so spracovaním osobných údajov. Na základe uvedeného tak personalista spoločnosti bude mať rozdielne oprávnenia ako zamestnanec spracúvajúci účtovné doklady.

S definovaním prístupov musí prevádzkovateľ definovať aj spôsoby, akým oprávnené osoby vstupujú a spracúvajú osobné údaje v konkrétnom informačnom systéme. Nie každá oprávnená osoba musí mať automaticky rovnaké práva v tom istom informačnom systéme. Niekto môže byť oprávnený na pridávanie a upravovanie údajov, niekto iný zas na likvidáciu.

6. Určenie vlastníkov operácií a informačných systémov

Pre každý informačný systém by mal prevádzkovateľ zadefinovať jeho vlastníka, respektíve zodpovedného garanta. Vlastník alebo garant informačného systému je následne zodpovedný za procesy, ktoré sa v predmetnom informačnom systéme uskutočňujú. Rovnako je zodpovedný za aktuálnosť údajov, ktoré sa v informačnom systéme nachádzajú.

V zmysle zásady správnosti musia byť osobné údaje správne a podľa potreby aktualizované. Musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia.

Prevádzkovateľ a garant informačného systému musí rovnako zabezpečiť integritu a dôvernosť údajov. Osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

7. Likvidácia údajov

Po uplynutí doby na uchovanie údajov je nevyhnutné, aby boli osobné údaje z informačného systému odstránené. Proces likvidácie osobných údajov musí byť jasne zadefinovaný. Osobné údaje, ktoré sú spracúvané v papierovej podobe, musia byť likvidované skartovacím zariadením. Osobné údaje spracúvané v informačnom systéme v elektronickej podobe musia byť likvidované bezpečným výmazom, prepisom alebo prípadne pseudonymizáciou údajov.

Pseudonymizácia predstavuje spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe.

Pri likvidácii osobných údajov je dôležité sledovať lehoty uvedené v právnych predpisoch, ako aj vypracovaný registratúrny plán a registratúrny poriadok.

S procesom likvidácie osobných údajov je rovnako potrebné zadefinovať, ktorý pracovník je za likvidáciu údajov zodpovedný. Niektoré spoločnosti využívajú na likvidáciu údajov služby externých spoločností. Ak sa ale prevádzkovateľ rozhodne využiť externú pomoc, je potrebné, aby mal s poskytovateľom služieb uzatvorenú aj zmluvu o spracúvaní osobných údajov.

Je nevyhnutné si uvedomiť, že každý informačný systém je individuálny a často nastavený priamo pre potreby prevádzkovateľa. Avšak akékoľvek informačné systémy prevádzkovateľ využíva, musí myslieť na to, že nie vhodné, aby uchovával zbytočne a dlhodobo nadmerný rozsah osobných údajov. V každom prípade osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Ak prevádzkovateľ pochybí pri spracúvaní údajov v informačnom systéme, vystavuje sa riziku vysokej pokuty zo strany Úradu na ochranu osobných údajov Slovenskej republiky. Prevádzkovateľ je zodpovedný za súlad so spracúvaním osobných údajov a musí vedieť tento súlad preukázať.

 

Poznámka redakcie:

§ 71 zákona č. 18/2018 Z. z.

Príloha k vyhláške č. 158/2018 Z. z.


Autor: JUDr. Jakub Pavčík

Súvisiace predpisy EÚ

Súvisiace vzory zmlúv a právnych podaní

Súvisiace dokumenty

Súvisiace príklady z praxe

Súvisiace interné firemné predpisy

Súvisiace odborné články

Súvisiace právne predpisy ZZ SR

  • 18/2018 Z. z. Zákon o ochrane osobných údajov
  • 158/2018 Z. z. Vyhláška o postupe pri posudzovaní vplyvu na ochranu osobných údajov