Téma ochrany osobných údajov je v poslednom čase medzi podnikateľmi veľmi aktuálna. Pretože väčšinu osobných údajov firmy spracovávajú prostredníctvom softvéru a často sú ním a niektoré zo systémov Money, pozreli sme sa na túto tému s Mgr. Jurajom Veverkom, advokátom z kancelárie Heringeš & Partner, s. r. o.
Aké povinnosti má spoločnosť, ktorá interne spracúva osobné údaje za účelom vyhotovenia miezd pre svojich zamestnancov?
Každý zamestnávateľ je povinný spracúvať osobné údaje o svojich zamestnancoch za účelom vedenia personálnej a mzdovej agendy. Zamestnávatelia sú v právnom postavení prevádzkovateľa informačného systému mzdy a personalistika, z toho dôvodu sú povinní mať vypracovaný evidenčný list k informačnému systému, poučené oprávnené osoby a prijaté bezpečnostné opatrenia. Za predpokladu, že informačný systém je prepojený s internetom, prevádzkovateľ musí mať vypracovaný bezpečnostný projekt, keďže v informačnom systéme mzdy a personalistika je spracúvané aj rodné číslo zamestnancov (tzv. osobitná kategória osobných údajov).
Čo sa zmení v prípade spracovania miezd externou firmou?
V tomto prípade sa postavenie zamestnávateľa nemení, je naďalej prevádzkovateľom informačného systému mzdy a personalistika, musí mať vypracovaný evidenčný list, prijaté bezpečnostné opatrenia a poučené svoje oprávnené osoby. Pribúda mu však povinnosť uzatvoriť s externou firmou zmluvu o sprostredkovaní, v ktorej vymedzí najmä v akom rozsahu a na aký účel je externá firma oprávnená spracúvať osobné údaje v informačnom systéme mzdy a personalistika v jeho mene. Externá firma je povinná takisto poučiť svoje oprávnené osoby a prijať bezpečnostné opatrenia.
Spoločnosti zamestnávajúce viac ako 20 zamestnancov musia podávať mzdové výkazy prostredníctvom internetu. Ako majú zabezpečiť ochranu týchto osobných údajov?
Každá spoločnosť, ktorá spracúva osobné údaje je povinná zabezpečiť ich ochranu, a za tým účelom prijať primerané technické, organizačné a personálne opatrenia (tzv. bezpečnostné opatrenia). Existujú dve kategórie bezpečnostných opatrení – základná bezpečnostná dokumentácia a bezpečnostný projekt. Ak informačný systém, v ktorom sú spracúvané osobné údaje je prepojený s internetom či už priamo (počítač – internet) alebo nepriamo (počítač – lokálna počítačová sieť – internet) je prevádzkovateľ povinný mať vypracovaný bezpečnostný projekt, nakoľko možno predpokladať, že v informačnom systéme sú spracúvané osobitné kategórie osobných údajov (napr. rodné čísla).
Aké povinnosti musia splniť externé účtovnícke firmy?
Nakoľko externé účtovnícke firmy sú sprostredkovateľmi, musia mať uzatvorené s prevádzkovateľmi zmluvy o sprostredkovaní, prijaté bezpečnostné opatrenia a poučené svoje oprávnené osoby o právach a povinnostiach pri spracúvaní osobných údajov. Zároveň sú povinné zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú, a to aj po ukončení spracúvania.
Aké je postavenie IT firiem poskytujúcich technickú podporu a servisné služby spoločnostiam?
Z pohľadu zákona majú postavenie príjemcov, nakoľko IT firmy zväčša osobné údaje nespracúvajú, môžu im byť však sprístupnené, napr. pri oprave softwaru. Zamestnanci IT firmy nie sú oprávnené osoby, nevykonávajú spracovateľské operácie s osobnými údajmi, sú len povinní zachovávať mlčanlivosť o osobných údajoch s ktorými prídu do styku, a to aj po zániku ich pracovného pomeru.
Vymedzenie základných pojmov
Dotknutá osoba
Dotknutou osobou je každá fyzická osoba, ktorej sa osobné údaje týkajú. Dotknutou osobou môže byť každý z nás, stačí ak sa prejete po námestí, ktoré je monitorované kamerovým systémom, alebo ste si nakúpili tovar prostredníctvom e-shopu, alebo sa zapojili do súťaže prostredníctvom vyplneného formuláru.
Prevádzkovateľ
Prevádzkovateľom je každý (jednotlivec, firma, živnostník), kto spracúva osobné údaje vo vlastnom mene, na účel a za podmienok, ktoré si vopred určil. Každý zamestnávateľ spracúva osobné údaje o svojich zamestnancoch za účelom vedenia personálnej a mzdovej agendy, je teda prevádzkovateľom informačného systému mzdy a personalistika. Ak zamestnávateľ monitoruje svojich zamestnancov prostredníctvom kamerového systému, je prevádzkovateľom informačného systému kamerový systém. Ak si spoločnosť zapisuje do knihy došlej a odoslanej pošty osobné údaje odosielateľov a príjemcov korešpondencie je prevádzkovateľov informačného systému došlej a odoslanej pošty. Ak podnikateľ vystavuje faktúry fyzickým osobám, je prevádzkovateľom informačného systému účtovníctvo. Ak spoločnosť vedie knihu návštev, do ktorej zapisuje osobné údaje návštev, je prevádzkovateľom informačného systému kniha návštev. Ak spoločnosť monitoruje priestory prístupné verejnosti (napr. chodník pred ich budovou) je prevádzkovateľom ďalšieho informačné systému kamerový systém.
Sprostredkovateľ
Sprostredkovateľ je ten, kto spracúva osobné údaje v mene prevádzkovateľa, a to tak, ako mu určí prevádzkovateľ v zmluve o sprostredkovaní. Ako príklad možno uviesť externé účtovnícke firmy, ktoré spoločnostiam vedú účtovníctvo a spracúvajú v informačnom systéme osobné údaje fyzických osôb alebo SBS, ktorá stráži priestory spoločnosti a zapisuje osobné údaje do knihy návštev alebo ktorá má na starosti kamerové systémy spoločnosti. Do 01.07.2015 prevádzkovatelia a sprostredkovatelia musia uzatvoriť zmluvu o sprostredkovaní s náležitosťami určenými v zákone, či už vo forme novej zmluvy alebo dodatku k už existujúcej zmluve.
Oprávnená osoba
Typickým príkladom oprávnenej osoby je administratívny zamestnanec. Tí zamestnanci, ktorí v rámci svojej pracovnej činnosti spracúvajú osobné údaje musia byť zo strany svojho zamestnávateľa (prevádzkovateľa resp. sprostredkovateľa) poučení o svojich právach a povinnostiach pri spracúvaní osobných údajov. Zamestnanec sa stane dňom poučenia oprávnenou osobou a následne môže spracúvať osobné údaje, avšak len spôsobom a v rozsahu ako je uvedené v poučení.
Osobný údaj
Osobným údajom je akýkoľvek údaj týkajúci sa fyzickej osoby, na základe ktorého je daná fyzická osoba indentifikovaná alebo indentifikovateľná. O osobných údajoch možno hovoriť len v súvislosti s fyzickými osobami – jednotlivcami. Za osobné údaje nemožno považovať len meno, priezvisko, rodné číslo, adresu, fotografiu, ale v niektorých prípadoch aj akúkoľvek informáciu o fyzickej osobe, na základe ktorej ju sme schopní identifikovať, napr. farba vlasov, informácia o hodinkách na ruke, informácia o vzdelaní.
Bezpečnostný projekt
Bezpečnostný projekt je jedna z dvoch kategórii bezpečnostných opatrení, ktorý musí mať vypracovaný každý prevádzkovateľ a sprostredkovateľ, ktorý spracúva tzv. osobitnú kategóriu osobných údajov (napr. rodné číslo, údaje týkajúce sa zdravia) a ktorého informačný systém je prepojený s internetom. Pritom nie je rozhodujúce, či informačný systém je prepojený priamo (počítač – internet) alebo nepriamo (počítač – lokálna počítačová sieť – internet), alebo či sa prepája len príležitostne.
Boli informácie v článku užitočné?
Hodnotenie iba pre užívateľov nášho blogu.
Aktualizujte si svoje Money S3
Stiahnite si poslednú verziu Money S3 cez klientský portál.