dnes je 28.3.2024

Input:

158/2018 Z.z., Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o postupe pri posudzovaní vplyvu na ochranu osobných údajov

158/2018 Z. z.
VYHLÁŠKA
Úradu na ochranu osobných údajov Slovenskej republiky
z 29. mája 2018
o postupe pri posudzovaní vplyvu na ochranu osobných údajov
Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad”) podľa § 108 ods. 2 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon”) ustanovuje:
§ 1
Táto vyhláška upravuje postup prevádzkovateľa pri posudzovaní vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov (ďalej len „posúdenie vplyvu”) podľa § 42 ods. 1 a 3 zákona.
§ 2
Dokumentácia pri posúdení vplyvu obsahuje
a) opis plánovaného spracúvania,
b) posúdenie nevyhnutnosti a primeranosti v spojení s opatreniami na preukázanie súladu so zákonom,
c) posúdenie rizika pre práva fyzickej osoby v spojení s opatreniami na riešenie rizík,
d) dokumentáciu podľa § 6,
e) monitorovanie a preskúmanie.
§ 3
(1) Opis plánovaného spracúvania je systematickým opisom spracovateľských operácií zameraných na povahu, rozsah, kontext a účely spracúvania osobných údajov, ktorý obsahuje najmä
a) účely spracúvania osobných údajov,
b) ak sú osobné údaje spracúvané na základe § 13 ods. 1 písm. f) zákona, opis spracovateľských operácií obsahuje aj konkrétnu charakteristiku oprávneného záujmu prevádzkovateľa alebo tretej strany vrátane
1. opisu posúdenia oprávnenosti záujmu prevádzkovateľa alebo tretej strany,
2. opisu vzťahu prevádzkovateľa a dotknutých osôb,
3. podmienok, na ktorých základe dotknutá osoba môže primerane očakávať spracovateľské operácie s osobnými údajmi, ktoré sa jej týkajú,
4. posúdenia primeranosti spracovateľských operácií a odôvodnenia prevahy záujmu prevádzkovateľa alebo tretej strany nad právami fyzickej osoby,
c) zoznam alebo rozsah osobných údajov, ktoré sú predmetom spracúvania,
d) zoznam alebo okruh príjemcov, ktorým sú osobné údaje poskytnuté,
e) vymedzenie obdobia uchovávania osobných údajov.
(2) Ak sa na spracúvanie osobných údajov vzťahuje schválený kódex správania podľa § 85 zákona, súčasťou opisu spracovateľských operácií sú odkazy na tie časti kódexu správania, ktoré prevádzkovateľ pri posudzovaní vplyvu na ochranu osobných údajov zohľadnil.
(3) Ak sa na spracúvanie osobných údajov vzťahuje platný certifikát vydaný podľa § 86 zákona, súčasťou opisu spracovateľských operácií sú odkazy na tie časti žiadosti o vydanie certifikátu a jej príloh, ktoré preukazujú súlad spracúvania osobných údajov so zákonom a existenciu primeraných záruk ochrany osobných údajov.
§ 4
(1) Na zabezpečenie súladu so zákonom musí byť spracovateľská operácia vo vzťahu k účelu spracúvania osobných údajov nevyhnutná a primeraná. Nevyhnutnosť spracovateľskej operácie sa preukazuje jej posúdením vo vzťahu k požadovanému účelu spracúvania osobných údajov. Primeranosť spracovateľskej operácie sa preukazuje posúdením jej povahy, rozsahu a kontextu, ktorý musí zodpovedať účelu spracúvania osobných údajov.
(2) Pri posúdení nevyhnutnosti a primeranosti spracovateľskej operácie sa zohľadní a odôvodní každé opatrenie prijaté na dosiahnutie súladu so zákonom, najmä
a) uplatnenie zásady zákonnosti