Ako správne pracovať s osobnými údajmi 


 

Každý podnikateľ s nimi prichádza do kontaktu, a ani tí najšikovnejší sa im nevyhnú. Nie, nie sú to dane. Reč je o osobných údajoch a ich spracovaní.

Pravidlá ochrany osobných údajov majú svoj význam, pretože pomáhajú nájsť rovnováhu medzi ochranou súkromia jednotlivcov a možnosťou použitia týchto údajov firmami v záujme ich fungovania. 

 

 

 

Už od počiatku existencie firmy, by mali jej predstavitelia myslieť na to, ako s osobnými informáciami naložiť. Samozrejme, popri iných existenčných otázkach sa zdá takáto administratívna činnosť ako druhoradá, napriek tomu má svoje opodstatnenie, minimálne z dôvodu predchádzania prípadným sankciám od Úradu na ochranu osobných údajov (ÚOOÚ), ktorý dohliada na dodržiavanie predpisov v tejto oblasti.

Prvým krokom k správnemu nakladaniu s osobnými údajmi je poznanie, čo to osobný údaj vlastne je, a s akým typom osobných údajov bude firma prichádzať do styku.

Už aj obyčajná emailová adresa obsahujúca prvé písmeno mena a priezvisko a názov firmy (príklad: jmrkvicka@firma.sk), sa dá považovať za osobný údaj. Prípady, za akých okolností a aké informácie sa klasifikujú ako osobné údaje, definuje zákon o ochrane osobných údajov. (http://www.zbierka.sk/sk/predpisy/136-2014-z-z.p-35705.pdf)

Ďalej treba zohľadniť aj to, do akej oblasti, agendy budú konkrétne údaje spadať. Môže to byť korporátna, zamestnanecká, zmluvná agenda či oblasť dodávateľsko-odberateľských vzťahov, a pod. Osobné údaje zhromaždené za spoločným účelom v rámci jednej agendy vytvárajú tzv. informačný systém a pre každý z nich musí firma mať evidenčné listy alebo ich musí oznámiť, resp. osobitne zaregistrovať na ÚOOÚ. 

Usporiadaný súbor osobných údajov spracúvaných na stanovený účel a prístupných podľa určených kritérií, bez ohľadu na to, či je to súbor de/centralizovaný a či je spracúvaný automatizovanými alebo inými prostriedkami spracúvania či kniha návštev

Všeobecne platí, že svoje informačné systémy by mala firma ohlásiť na ÚOOÚ, avšak zákon uvádza z tohto pravidla niekoľko výnimiek, jednou z nich je poverenie zodpovednej osoby, ktorá prejde úradnou skúškou a bude na spracovanie osobných údajov dohliadať. 

V prípade spracúvania osobných údajov vyžadovaných podľa osobitných predpisov, je alternatívou ich interná evidencia. V takomto prípade firma v evidenčnom liste okrem určenia spracúvaných typov osobných údajov uvádza aj to, komu a akým spôsobom budú osobné údaje poskytované ďalej.

Táto evidencia musí byť pravidelne aktualizovaná, ak by nastali zmeny v spracovávaných informáciách. Vzory evidenčných listov pre niektoré druhy agend sú dostupné na stránke ÚOOÚ.

V prípade spracúvania určitej osobitnej kategórie citlivých údajov (zdravotný stav, sociálny status, politická príslušnosť a pod.) je nutné informačný systém osobitne registrovať na ÚOOÚ. 

Ďalšia povinnosť firmy sa týka prijatia primeraných technických, organizačných a iných opatrení na ochranu osobných údajov a ich zachytenie buď v základnej bezpečnostnej dokumentácii alebo bezpečnostnom projekte, ak je informačný systém s citlivými údajmi (ktorým je aj rodné číslo) pripojený na internet.

Ide o dokument, ktorý popisuje to, ako sú osobné údaje chránené pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek neprípustnými formami spracúvania.

Je to viac o technický, než právny dokument. Ak má na to firma odborné kapacity, môže si ho vypracovať vo vlastnej réžii, v opačnom prípade odporúčame osloviť špecializované firmy.

V dnešnej dobe masovej komunikácie je len ťažko možné nájsť človeka, ktorý nikdy nepríde do kontaktu s osobnými údajmi. Preto majú firmy povinnosť každú osobu prichádzajúcu do kontaktu s nimi poučiť o tom, ako musí osobnými údajmi zachádzať.

Oprávnená osoba napr. musí dodržiavať pravidlá mlčanlivosti a nesmie informácie jej dostupné využiť vo svoj prospech. Rozsah poučenia závisí od miery prístupu k osobným údajom, ktorá sa môže líšiť v závislosti od postavenia jednotlivca vo firme.

Poslednou záležitosťou, ktorú musia firmy v rámci narábania s osobnými údajmi ošetriť je súhlas dotknutej osoby s ich spracovaním. V niektorých prípadoch takýto súhlas nie je potrebný, napr. ak firma spracúva len údaje vyžadované právnymi predpismi pre jej fungovanie. Ak však ide o získavanie údajov nad rámec vyžadovaný platnou legislatívou, súhlas dotknutej osoby je potrebné získať.

Ochrana osobných údajov sa môže na prvý pohľad zdať ako banálna záležitosť, no pokuty za nedodržanie zákona už banálne byť nemusia. Minimálna sadzba 150 eur ešte nespôsobí existenčné problémy, no horná hranica v sume 200 000 eur už môže byť likvidačná.