Informačný systém Účtovné doklady – ochrana osobných údajov

Prevádzkovateľ je povinný ochraňovať osobné údaje každej fyzickej osoby, o ktorej spracúva osobné údaje. Je povinnosťou prevádzkovateľa, aby dodržiaval zákon o ochrane osobných údajov pri spracúvaní osobných údajov fyzických osôb pri vedení účtovníctva. Uvedený informačný systém – pomenujme ho „informačný systém Účtovné doklady“ – je novinkou podľa nového zákona o ochrane osobných údajov.Tento článok je venovaný podrobnému rozboru toho, ako má prevádzkovateľ postupovať a čo má robiť, aby spracúval osobné údaje dotknutých osôb v súlade s novým zákonom o ochrane osobných údajov.

Dátum publikácie:29. 7. 2014
Autor:JUDr. Marcela Macová, PhD.
Oblasti práva: Občianske právo / Občianske právo / Ochrana práv občana
Právny stav od:15. 4. 2014
Právny stav do:31. 12. 2016

Prevádzkovateľ je povinný ochraňovať osobné údaje každej fyzickej osoby, o ktorej spracúva osobné údaje. Je povinnosťou prevádzkovateľa, aby dodržiaval zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (ďalej len „zákon o ochrane osobných údajov“) pri spracúvaní osobných údajov fyzických osôb pri vedení účtovníctva. Uvedený informačný systém – pomenujme ho „informačný systém Účtovné doklady“ – je novinkou podľa nového zákona o ochrane osobných údajov.

Tento článok je venovaný podrobnému rozboru toho, ako má prevádzkovateľ postupovať a čo má robiť, aby spracúval osobné údaje dotknutých osôb v súlade s novým zákonom o ochrane osobných údajov.

Podľa zákona o ochrane osobných údajov je prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky. Podľa uvedenej definície je prevádzkovateľom okrem iného každý, kto v účtovníctve má osobné údaje svojich zamestnancov, klientov – fyzických osôb, dodávateľov a odberateľov, osobné údaje fyzických osôb, ktorým uložil pokutu alebo ktoré sú povinné platiť správny poplatok a podobne.

Prevádzkovateľ, ktorý takto spracúva osobné údaje, má informačný systém, v ktorom spracúva osobné údaje dotknutých osôb, svojich zamestnancov, klientov, zamestnancov dodávateľov a odberateľov a podobne.

Zákon o ochrane osobných údajov ustanovuje prevádzkovateľom ku každému informačnému systému vypracovať potrebné dokumenty:

1. Evidenčný list

O tých informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu.

Informačný systém osobných údajov Účtovné doklady nepodlieha oznamovacej povinnosti na základe § 34 ods. 2 písm. d) zákona o ochrane osobných údajov; je potrebné o ňom viesť iba evidenciu (evidenčný list). Evidenčný list prevádzkovateľ na Úrad na ochranu osobných údajov Slovenskej republiky nezasiela, necháva si ho u seba.

Vzor evidenčného listu:

EVIDENCIA INFORMAČNÉHO SYSTÉMU OSOBNÝCH ÚDAJOV

podľa § 43 ods. 1 zákona č. 122/2013 Z. z. o ochrane osobných údajov
a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z.

I. NÁZOV INFORMAČNÉHO SYSTÉMU OSOBNÝCH ÚDAJOV

IS Účtovné doklady1)

 

II. ÚDAJE O PREVÁDZKOVATEĽOVI

Názov prevádzkovateľa

Úrad na ochranu osobných údajov Slovenskej republiky2)

Identifikačné číslo organizácie (IČO)

360 642 20

Obec a PSČ

Bratislava, 820 07

Ulica a číslo

Hraničná 12

Štát

Slovenská republika

Právna forma

rozpočtová organizácia

Štatutárny orgán prevádzkovateľa
(alebo osoba oprávnená konať v jeho mene)

JUDr. Eleonóra Kročianová3)

Zástupca prevádzkovateľa

nie je vymenovaný4)

Počet oprávnených osôb

365)

 

III. ÚDAJE O INFORMAČNOM SYSTÉME OSOBNÝCH ÚDAJOV

Účel spracúvania osobných údajov

spracovanie účtovných dokladov6)

Právny základ spracúvania osobných údajov 7)
  • zákon č. 431/2002 Z. z. o účtovníctve v znení neskorších predpisov
  • zákon č. 222/2004 Z. z. o dani z pridanej hodnoty v znení neskorších predpisov
  • zákon č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov
  • zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov
  • zákon č. 595/2003 Z. z. o dani z príjmov v znení neskorších predpisov
  • zákon č. 582/2004 Z. z. o miestnych daniach a miestnom poplatku za komunálne odpady a drobné stavebné odpady v znení neskorších predpisov,
  • zákon č. 283/2002 Z. z. o cestovných náhradách v znení neskorších predpisov
  • zákon č. 8/2008 Z. z. o poisťovníctve a o zmene a doplnení niektorých záznamov

Okruh dotknutých osôb8)
  • zamestnanci prevádzkovateľa
  • zamestnanci dodávateľov tovaru a služieb
  • klienti

Zoznam osobných údajov (alebo rozsah)9)

  • meno, priezvisko, rodné priezvisko a titul
  • adresa trvalého pobytu, adresa prechodného pobytu
  • telefónne číslo, e-mailová adresa
  • dátum narodenia
  • druh a číslo dokladu totožnosti
  • podpis
  • číslo bankového účtu fyzickej osoby

Označenie bezpečnostných opatrení10)

bezpečnostný projekt informačného systému osobných údajov

 

IV. SPRACOVATEĽSKÉ OPERÁCIE S OSOBNÝMI ÚDAJMI

Poskytovanie osobných údajov11)

Tretie strany (prípadne okruh tr. strán)

Právny základ

Sociálna poisťovňa

zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov

zákon č. 43/2004 Z. z. o starobnom dôchodkovom sporení a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

zdravotné poisťovne

zákon č. 580/2004 Z. z. o zdravotnom poistení o zmene a doplnení zákona č. 95/2002 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

daňový úrad

zákon č. 595/2003 Z. z. o dani z príjmov v znení neskorších
predpisov

poisťovňa

zákon č. 8/2008 Z. z. o poisťovníctve a o zmene a doplnení niektorých záznamov

iný oprávnený subjekt

všeobecne záväzný právny predpis v zmysle § 10 ods. 2 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Sprístupňovanie osobných údajov12)

Okruh príjemcov

Právny základ

IT Servis

zmluva

Zverejňovanie osobných údajov13)

Spôsob zverejnenia

Právny základ

Centrálny register zmlúv

zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov

webové sídlo XY (faktúry, objednávky)

zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov

Cezhraničný prenos osobných údajov14)

Tretia krajina

Právny základ

prenos osobných údajov sa neuskutočňuje

 

 

V. ZAČIATOK SPRACÚVANIA OSOBNÝCH ÚDAJOV

1. 9. 200215)

 

JUDr. Eleonóra Kročianová v. r.16)
predsedníčka úradu

Poznámky k vzoru evidenčného listu:

1. Názov informačného systému nie je zákonom stanovený. Je na prevádzkovateľovi, ako si ho pomenuje, napr. IS Účtovníctvo, IS Ikros. Pozor však: názov, ktorý si prevádzkovateľ dá do evidenčného listu, musí potom používať vo všetkých dokumentoch, ako je napríklad poučenie oprávnenej osoby, zmluva so sprostredkovateľom.

2. Prevádzkovateľ zapísaný v obchodnom registri uvedie ako názov prevádzkovateľa obchodné meno, pod ktorým je zapísaný v obchodnom registri (súčasťou obchodného mena právnickej osoby je aj dodatok označujúci jej právnu formu, napr. Lita, a. s.).
Prevádzkovateľ zapísaný v živnostenskom registri uvedie ako názov prevádzkovateľa obchodné meno, pod ktorým je zapísaný v živnostenskom registri. Prevádzkovateľ zapísaný v inom registri uvedie ako názov prevádzkovateľa názov, pod ktorým je zapísaný v tomto registri. Prevádzkovateľ – fyzická osoba, jednotlivec – uvedie ako názov prevádzkovateľa titul, meno a priezvisko.

3. Ak v mene spoločnosti konajú dvaja konatelia spoločne alebo prokurista koná za spoločnosť vždy spoločne s konateľom, prevádzkovateľ uvedie obe osoby oprávnené konať v mene spoločnosti spoločne.
Ak v mene spoločnosti koná iná osoba na základe plnej moci, uvedie sa táto osoba a uchováva sa jej plná moc.

4. Zástupcom prevádzkovateľa je každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine. Ak prevádzkovateľ vymenoval svojho zástupcu, uvedie aj meno a priezvisko štatutárneho orgánu zástupcu prevádzkovateľa alebo inej osoby oprávnenej konať v mene zástupcu prevádzkovateľa – vyplní len prevádzkovateľ so sídlom v tretej krajine, ktorý vymenoval svojho zástupcu (§ 7 zákona).

5. Počet všetkých oprávnených osôb, ktoré prichádzajú do styku s osobnými údajmi vo všetkých informačných systémoch u prevádzkovateľa (iba oprávnené osoby prevádzkovateľa, nie sprostredkovateľa; neuvádza sa počet oprávnených osôb, ktoré prichádzajú do styku s konkrétnym prihlasovaným IS, ale celkový počet oprávnených osôb prevádzkovateľa).

6. Účel je jednoznačne vymedzený alebo zákonom ustanovený zámer (dôvod) spracúvania osobných údajov, ktorý sa viaže na určitú činnosť. Platí, že jeden informačný systém = jeden účel spracúvania osobných údajov.

7. Právny základ je niečo, čo prevádzkovateľa oprávňuje spracúvať osobné údaje. V prípade účtovníctva ide o osobitné zákony podľa § 10 ods. 2 zákona o ochrane osobných údajov. Každý prevádzkovateľ sám za seba uvedie svoje osobitné zákony.

8. Dotknutými osobami sú fyzické osoby, ktorých osobné údaje sú spracúvané v informačnom systéme osobných údajov; dotknutou osobou nie sú právnické osoby (napr. družstvá, obce, obchodné spoločnosti – s. r. o., a. s., k. s., v. o. s.) a ani fyzické osoby – podnikatelia (živnostníci). Ďalej dotknutými osobami môžu byť aj napr. fyzické osoby, ktorým vznikla povinnosť uhradiť správny poplatok, alebo fyzické osoby, ktorým boli uložené sankcie.

9. Zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety: všetky osobné údaje dotknutých osôb, ktoré sú v informačnom systéme osobných údajov spracúvané (napr. titul, meno, priezvisko, e-mail, telefónne číslo, trvalý pobyt, prechodný pobyt, pracovné zaradenie, dátum narodenia). Osobnými údajmi nie sú identifikačné údaje o právnických osobách ani fyzických osobách – podnikateľoch (napr. IČO, DIČ, IČ DPH, obchodné meno, názov, sídlo atď.).

10. Ak sa v informačnom systéme Účtovné doklady spracúva osobitná kategória osobných údajov podľa § 13 citovaného zákona a informačný systém je prepojený s verejne prístupnou počítačovou sieťou, je potrebné mať vypracovaný bezpečnostný projekt. Ak nemáte osobitnú kategóriu osobných údajov a informačný systém nie je prepojený s verejne prístupnou počítačovou sieťou, stačí mať vypracovanú základnú dokumentáciu. V prípade, ak osobné údaje spracúva sprostredkovateľ, nezabudnite mať s ním uzatvorenú zmluvu podľa § 8 ods. 4 zákona o ochrane osobných údajov. Sprostredkovatelia sa do evidenčného listu neuvádzajú.

11. Treťou stranou je každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou. V tomto bode sa uvádza iný prevádzkovateľ (t. j. ten, kto spracúva osobné údaje vo vlastnom mene), ktorému osobné údaje poskytujete z informačného systému na ďalšie spracovanie. Napríklad si predstavte, kto k vám môže prísť vykonať kontrolu, dozor, dohľad (daňový úrad, Národný kontrolný úrad), alebo ste dcérska spoločnosť a poskytujete osobné údaje matke, ktorá ich spracúva vo vlastnom mene.

12. Uvádza sa iný prevádzkovateľ, ktorému sa osobné údaje z informačného systému sprístupňujú (napr. dajú k nahliadnutiu), ten ich však už ďalej nespracúva vo svojom informačnom systéme. Úrad a prevádzkovateľ podľa § 3 ods. 1 písm. g) zákona sa nepovažujú za príjemcov. Napríklad poskytovateľ IT servisu na základe zmluvy alebo poskytovateľ hostingovej služby na základe zmluvy.

13. V prípade informačného systému Účtovné doklady majú zverejňovanie tí prevádzkovatelia, ktorí sú povinnými osobami podľa zákona č. 211/2000 Z. z., a teda sú povinní zverejňovať faktúry, zmluvy a podobne. Klasický prevádzkovateľ osobné údaje nezverejňuje a potom iba uvedie: „osobné údaje sa nezverejňujú“.

14. Treťou krajinou je krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore. Napríklad Spojené štáty americké – zmluva o poskytovaní osobných údajov.

15. Prevádzkovateľ uvedie dátum, odkedy spracúva osobné údaje v účtovníctve.

16. Pri mene štatutára alebo štatutárov sa uvedie dátum. Prevádzkovateľ bol povinný zaktualizovať všetky evidenčné listy do šiestich mesiacov odo dňa účinnosti zákona, t. j. do 31. 12. 2013. Po tomto dátume je však povinný viesť a aktualizovať evidenciu podľa odseku 1 až do dňa ukončenia spracúvania osobných údajov v informačnom systéme; povinnosť aktualizácie sa nevzťahuje na počet oprávnených osôb.

Upozornenie:

Prevádzkovateľ evidenčný list nezasiela na úrad, ale si ho uchováva u seba a predloží ho v prípade požiadania úradu pri kontrole alebo komukoľvek bezplatne, kto ho požiadal podľa § 44 zákona o ochrane osobných údajov.

 

2. Poučenie oprávnených osôb

Prevádzkovateľ môže spracúvať osobné údaje len prostredníctvom osôb, ktoré majú postavenie oprávnených osôb. Výber svojich oprávnených osôb je v kompetencii prevádzkovateľa – štatutára.

Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21 citovaného zákona. Napríklad v informačnom systéme Účtovné doklady: personalistka, mzdárka, štatutár, asistentka, vedúci oddelení, účtovníčka, fakturantka a ďalšie. Oprávnenou osobou nemusí byť iba osoba, ktorá má prístup do automatizovanej časti informačného systému, ale aj taká, čo má prístup iba k listinnej podobe, napríklad práve vedúci zamestnanci, ktorí pripravujú podklady pre účtovníctvo a podobne.

Je dôležité vedieť, čo sa rozumie pod pojmom spracúvanie, pretože podľa toho si prevádzkovateľ vie povedať, kto je jeho oprávnená osoba. Spracúvaním osobných údajov sa rozumie vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.

Fyzická osoba, ktorá spĺňa podmienky oprávnenej osoby zadefinované v zákone, sa stáva oprávnenou osobou až dňom jej písomného poučenia.

Poučenie oprávnených osôb od účinnosti nového zákona o ochrane osobných údajov, t. j. od 1. júla 2013 do 15. apríla 2014, má tieto zákonom stanovené náležitosti uvedené v § 21 ods. 3 citovaného zákona:

a) identifikačné údaje prevádzkovateľa,

b) titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby,

c) titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,

d) prevádzkovateľ je povinný oprávnenú osobu poučiť o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov,

e) deň poučenia a

f) deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.

Od 15. apríla 2014 nie je v zákone presne uvedené, aké má mať poučenie náležitosti. Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať. Úrad na ochranu osobných údajov SR (ďalej len „úrad“) má od 15. apríla 2014 na svojej webovej stránke nové vzory poučení (pozri: http://www.dataprotection. gov.sk/uoou/sk/content/vzory-pouceni-oprav- nenej-osoby-0).

Zákon výslovne vymenúva aj okolnosti, za ktorých je prevádzkovateľ povinný opätovne poučiť svoju oprávnenú osobu, a to vtedy, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.

Súčasťou poučenia oprávnených osôb môže byť aj poučenie o mlčanlivosti. Nový zákon o ochrane osobných údajov stanovuje, že oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť. Podľa § 22 ods. 3 sú povinné zachovávať mlčanlivosť o osobných údajoch aj iné fyzické osoby, ktoré prišli do styku s osobnými údajmi, napríklad v rámci výkonu svojho zamestnania pri zavádzaní nových informačných technológií alebo pri údržbe technického zariadenia u prevádzkovateľa alebo sprostredkovateľa (napríklad v zmluve so spoločnosťou, ktorá nám poskytla program na vedenie účtovníctva, prevádzkovateľ uvedie, že táto spoločnosť bude dodržiavať bezpečnosť a mlčanlivosť pri spracúvaní osobných údajov a svoje oprávnené osoby poučí o právach, povinnostiach, zodpovednosti a mlčanlivosti).

Oprávnené osoby sú povinné získavať iba tie osobné údaje, ktoré im osobitné zákony umožňujú a tie nesmú zverejňovať a ani poskytovať žiadnym neoprávnených osobám.

3. Informácia podľa § 15 ods. 1 zákona o ochrane osobných údajov

Prevádzkovateľ je povinný dotknutej osobe/zamestnancovi poskytnúť pri získavaní jej osobných údajov nasledovné informácie:

a) identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol vymenovaný,

b) identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní osobných údajov nepostupuje podľa § 8,

c) účel spracúvania osobných údajov,

d) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety a

e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, v rozsahu najmä:

  1. preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
  2. poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti súhlasu a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej túto povinnosť ukladá a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
  3. tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
  4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
  5. formu zverejnenia, ak majú byť osobné údaje zverejnené,
  6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
  7. poučenie o právach dotknutej osoby.

Upozornenie:

Novela zákona o ochrane osobných údajov účinná od 15. apríla 2014 uvádza, že informácie podľa § 15 ods. 1 citovaného zákona netreba dotknutým osobám poskytovať, ak prevádzkovateľ spracúva osobné údaje podľa § 10 ods. 2 zákona o ochrane osobných údajov, čo je aj prípad informačného systému Účtovné doklady.

4. Zmluva so sprostredkovateľom

Prevádzkovatelia za účelom spracovania účtovných dokladov poverujú externé firmy, ktoré spracúvajú osobné údaje v ich mene. Táto spolupráca sa uskutočňuje na základe zmluvy.

Z pohľadu zákona o ochrane osobných údajov dochádza k zmluvnému vzťahu medzi prevádzkovateľom a sprostredkovateľom (napr. na účely zabezpečenia spracovania účtovných dokladov).

Vždy je potrebné pri identifikácii, či ide o sprostredkovateľa alebo prevádzkovateľa (a teda tretiu stranu), položiť si otázku: V mene koho spracúva uvedený subjekt osobné údaje? V mene prevádzkovateľa? Vo svojom mene?

Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.

Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene.

Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve.

Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa.

Sprostredkovateľ vykonáva všetky úkony na dosiahnutie účelu spracúvania v mene prevádzkovateľa. V prípade, že sprostredkovateľ má osobné údaje z informačného systému poskytovať inému prevádzkovateľovi, je oprávnený tak učiniť, len ak mu to vyplýva z písomnej zmluvy.

To platí aj na sprístupňovanie, zverejňovanie, likvidáciu, prípadne iné spracovateľské operácie s osobnými údajmi.

Na zabezpečenie týchto úloh musí zmluva obsahovať konkrétne vymedzenie rozsahu a podmienok, za ktorých sa spracúvanie osobných údajov vykonáva.

Prevádzkovateľ je povinný dbať pri výbere sprostredkovateľa najmä na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť zabezpečiť spracúvanie osobných údajov v súlade s týmto zákonom.

Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

To znamená, že sprostredkovateľ musí mať vypracované bezpečnostné opatrenia (bezpečnostný projekt, bezpečnostnú zmluvu, základnú dokumentáciu) a tiež poučené oprávnené osoby o právach, povinnostiach, zodpovednosti a o mlčanlivosti.

Náležitosti zmluvy

Nový zákon o ochrane osobných údajov prináša novinku, a to sú zákonom stanovené náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom.

Zmluva musí mať tieto zákonom stanovené náležitosti:

a) údaje o zmluvných stranách:

  1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
  2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
  3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa,

b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa (napr. odo dňa podpisu zmluvy alebo odo dňa podpísania zmluvy o vedení účtovníctva),

c) účel spracúvania osobných údajov,

d) názov informačného systému (Pozor: tu sa uvedie názov informačného systému, ktorý má prevádzkovateľ uvedený na evidenčnom liste, napr. IS Účtovné doklady),

e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4,

f) okruh dotknutých osôb,

g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi (napr. spôsob odovzdávania osobných údajov emailom, poštou, osobne alebo čo sa bude diať s dokumentáciou po skončení zmluvného vzťahu),

h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa § 8 ods. 2 prvej vety,

i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa § 8 ods. 5,

j) dobu, na ktorú sa zmluva uzatvára,

k) dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Ak sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, je povinný podľa § 8 ods. 8 citovaného zákona dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4, § 19 až § 26, ak zákon o ochrane osobných údajov neustanovuje inak.

Upozornenie:

Podľa § 8 ods. 9 citovaného zákona povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 až § 18§ 28 až § 32 zákona o ochrane osobných údajov môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom.

Sprostredkovateľ zodpovedá za plnenie povinností podľa § 8 ods. 9 v rozsahu zmluvy uzatvorenej s prevádzkovateľom.

5. Bezpečnostné opatrenia

Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a rovnako aj sprostredkovateľ.

Prevádzkovateľ (pokiaľ si v zmluve so sprostredkovateľom nedohodne inak) je povinný vytvoriť také podmienky fungovania prevádzkovaného informačného systému, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.

Prevádzkovateľ je povinný splniť súčasne všetky uvedené bezpečnostné opatrenia a nielen niektoré z nich.

Bezpečnostné opatrenia treba prijať nielen v rozsahu technických a organizačných, ale aj personálnych opatrení na zabezpečenie ochrany spracúvaných osobných údajov.

Nový § 19 ods. 3 zavádza povinnosť bezodkladnej aktualizácie opatrení prijatých podľa odsekov 1 až 2 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných údajov v informačnom systéme.

V závislosti od rizikovosti spracúvania osobných údajov je nevyhnutné, aby prevádzkovateľ a sprostredkovateľ zdokumentovali prijaté bezpečnostné opatrenia v tzv. bezpečnostnej dokumentácii informačného systému ochrany osobných údajov.

Bezpečnostná dokumentácia prijatých bezpečnostných opatrení má dve formy:

  • dokumentácia v základnom rozsahu a
  • bezpečnostný projekt.

Povinnosť zdokumentovať prijaté bezpečnostné opatrenia vo forme základnej dokumentácie vzniká:

  • pri spracúvaní osobných údajov (tzv. „bežných“) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (tzv. online režim),
  • pri spracúvaní osobitnej kategórie osobných údajov (citlivé údaje ako rodné číslo, zdravotný údaj a pod.) v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou (tzv. offline režim),
  • pri spracúvaní osobných údajov (tzv. „bežných“) v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou (tzv. offline režim).

Povinnosť zdokumentovať prijaté bezpečnostné opatrenia vo forme bezpečnostného projektu vzniká:

  • pri spracúvaní osobitnej kategórie osobných údajov (citlivé údaje ako rodné číslo, zdravotný údaj a pod.) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (tzv. online režim) alebo
  • pri spracúvaní osobných údajov v informačnom systéme, ktorý slúži na zabezpečenie verejného záujmu.

To, akú formu bezpečnostnej dokumentácie prevádzkovateľ vypracuje, záleží od toho, či si osobné údaje v informačnom systéme

Účtovné doklady spracúva sám alebo prostredníctvom sprostredkovateľa – pozri bod 4 tohto článku.

Ako pomôcka môže slúžiť uvedená tabuľka, podľa ktorej prevádzkovateľ zistí, aké bezpečnostné opatrenia má prijať, ak spracúva osobné údaje prostredníctvom sprostredkovateľa.

Pozor: prevádzkovateľ je vždy povinný mať vypracovanú minimálne základnú dokumentáciu!

Tabuľka:

Forma bezpečnostných opatrení

Osobitná kategória osobných údajov

Prepojenie s verejne prístupnou počítačovou sieťou

1. Bezpečnostný projekt

A

A

2. Základná dokumentácia

A

N

    Základná dokumentácia

N

A

    Základná dokumentácia

N

N

Záver

Novelou zákona o ochrane osobných údajov účinnou od 15. apríla 2014 sa do ustanovenia § 12 ods. 3 zákona o ochrane osobných údajov pridáva slovo „poskytovať“.

Uvedená operácia s osobnými údajmi pomôže, pretože prevádzkovatelia si nebudú musieť prácne vytvárať informačné systémy za účelom vedenia databázy zamestnancov, dodávateľov a odberateľov, ale budú môcť uvedené osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa poskytovať tretím stranám bez súhlasu zamestnancov, napr. na faktúrach, objednávkach a podobne.

Poznámka:

Tento článok popisuje najhlavnejšie povinnosti pri spracúvaní osobných údajov v informačnom systéme Účtovné doklady. Každý prevádzkovateľ je však špecifický, a teda musí dané informácie prispôsobiť podľa svojich špecifík.

Poznámka redakcie:

§ 43 ods. 1 zákona č. 122/2013 Z. z.

§ 10 ods. 2 zákona č. 122/2013 Z. z.

 


Autor: JUDr. Marcela Macová, PhD.

Súvisiace dokumenty

Súvisiace právne predpisy ZZ SR

Funkcie

 

 

Partner

logo-aion
S-EPI, s.r.o. © 2010-2025, všetky práva vyhradené
úvodná strana | o danovecentrum.sk | kontakt

cookies24x24  Súhlas s použitím cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou, prosíme, o potvrdenie súhlasu alebo nastavenie Vašich preferencií.

Pamätajte, že súbory cookies sú užitočné pre rôzne užívateľské nastavenia a ich odmietnutím sa môže znížiť Váš užívateľský komfort.

Viac informácií o cookies.