Neprístupný dokument, nutné prihlásenie
Input:

Smernica na ochranu osobných údajov od 25.5.2018

24.5.2018, , Zdroj: Verlag Dashöfer

28.10 Smernica na ochranu osobných údajov od 25.5.2018

PhDr. Anna Miklošová


Stiahnuť dokument

Časť prvá

1. Úvod

Politika ochrany osobných údajov určuje základné pravidlá spracúvania osobných údajov prevádzkovateľom ......................., ktorý je zapísaný v ...............................(ďalej len “Prevádzkovateľ“). Tieto pravidlá vychádzajú z ustanovení Nariadenia Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane osobných údajov) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Politika ochrany osobných údajov vyžaduje aby štatutárne orgány prevádzkovateľa deklarovali dodržiavanie všetkých platných právnych noriem na území Slovenskej republiky a Európskej únie (ďalej len ”EÚ“) týkajúce sa ochrany osobných údajov vrátane Všeobecného nariadenia o ochrane osobných údajov, ako aj platných právnych predpisov o ochrane súkromia, v ktorejkoľvek inej jurisdikcii, v ktorej Prevádzkovateľ realizuje svoje aktivity.

Preto povinnosť riadiť sa týmto dokumentom majú všetky fyzické osoby, ktoré majú prístup k osobným údajom spracúvaným Prevádzkovateľom, a teda týmto dokumentom sa musia riadiť .

- Stáli zamestnanci

- Dočasní zamestnanci

- Pracovníci dodávateľov pracujúcich pre Prevádzkovateľa (sprostredkovatelia)

- Zamestnanci pracujúci v rámci iných pracovno-právnych vzťahov s Prevádzkovateľom

- Stážisti, resp. fyzické osoby vykonávajúce u prevádzkovateľa prax a pod.

Požiadavky tohto dokumentu by mali byť zakotvené vo všetkých zmluvách s dodávateľmi (zmluvy na outsourcing), aby aj tieto subjekty, najmä ak majú prístup k osobným údajom spracúvaným Prevádzkovateľom dodržiavali zásady a pravidlá ustanovené týmto dokumentom.

Dokument Ochrana osobných údajov nadobúda účinnosť dňom schválenia vedením Prevádzkovateľa. Dátum schválenia je uvedený na titulnej strane dokumentu.

1.1. Vymedzenie základných pojmov

Na účely tohto dokumentu sú zadefinované tieto vybrané pojmy z GDPR:

Nariadenie /GDPR

Nariadenie Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane osobných údajov)

Zákon

zákon č. 18/2018 Z. z. o ochrane osobných údajov a zmene a doplnení niektorých zákonov

Osobné údaje

sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba”); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

Spracúvanie

je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

Obmedzenie spracúvania

je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

Profilovanie

je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

Pseudonymizácia

je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

Informačný systém

je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

Prevádzkovateľ

je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

Sprostredkovateľ

je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

Príjemca

je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

Tretia strana

je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

Súhlas dotknutej osoby

je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

Porušenie ochrany osobných údajov

je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

Biometrické údaje

sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje

Údaje týkajúce sa zdravia

sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

Hlavná prevádzkareň

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za

hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

Dozorný orgán

je nezávislý orgán verejnej moci zriadený členským štátom;

Dotknutý dozorný orgán

je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

- prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

- dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

- sťažnosť sa podala na tento dozorný orgán;

Cezhraničné spracúvanie

- je spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

- je spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

Služba informačnej spoločnosti

je podľa článku 1 bode 1 písm. b)smernice EP a Rady (EÚ) 2015/1535, služba, ktorá sa poskytuje na diaľku a bez toho, aby pri tom boli obe strany súčasne prítomné;

Medzinárodná organizácia

je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

1.2. Použité skratky

Nariadenie Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane osobných údajov)

GDPR

zákon č. 18/2018 Z. z. o ochrane osobných údajov a zmene a doplnení niektorých zákonov

Zákon o ochrane osobných údajov

.............................................

Prevádzkovateľ /.................

Osoba konajúca na základe poverenia prevádzkovateľa, ktorá má prístup k osobným údajom a môže ich spracúvať len na základe pokynov prevádzkovateľa

Oprávnená osoba

Fyzická osoba, ktorej sa týkajú akékoľvek informácie a je na ich základe identifikovateľná priamo alebo nepriamo

Dotknutá osoba

Článok (GDPR)

Čl.

Časť druhá

2. Zásady spracúvania osobných údajov a právny základ ich spracúvania

GDPR ustanovuje zásady spracúvania osobných údajov, ktoré je povinný dodržiavať každý prevádzkovateľ.

Povinnosť oprávnenej osoby

Na zabezpečenie tejto úlohy v podmienkach ................ je potrebné, aby každá oprávnená osoba, ktorá má prístup k osobným údajom, na svojom pracovisku uplatňovala tieto zásady:

a) Zásadu zákonnosti, spravodlivosti a transparentnosti: každá spracovateľská činnosť sa v vzhľadom k dotknutej osobe môže realizovať len na jasne stanovenom právnom základe, o ktorom bude dotknutá osoba informovaná;

b) Zásadu obmedzenia účelu: osobné údaje sa musia získavať len na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. Výnimkou je ďalšie spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely, ktoré sa v súlade s GDPR považuje za zlučiteľné s pôvodným účelom spracúvania osobných údajov;

c) Zásadu minimalizácie osobných údajov: v prípade ak prevádzkovateľ sám určuje rozsah osobných údajov vzhľadom k stanovenému účelu, musí určiť taký rozsah osobných údajov, ktorý je nevyhnutné na jeho dosiahnutie. Rozsah osobných údajov určuje prevádzkovateľ spravidla v prípade ak

- sa osobné údaje spracúvajú za účelom plnenia zmluvy, kde zmluvnou stranou je dotknutá osoba,

- sa osobné údaje získavajú na základe súhlasu, alebo

- sa osobné údaje získavajú z titulu oprávneného záujmu prevádzkovateľa.

Oprávnená osoba je povinná túto zásadu dodržiavať a nevyžadovať od dotknutej osoby neprimeraný rozsah osobných údajov vzhľadom k ustanovenému účelu.

d) Zásadu správnosti: osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia.

Každá oprávnená osoba je preto povinná priebežne preverovať správnosť a aktuálnosť osobných údajov, ktoré spracúva tak, aby na svojom pracovisku zabezpečila dodržiavanie tejto zásady.

e) Zásadu minimalizácie uchovávania: osobné údaje môžu byť uchovávané len počas trvania účelu a po jeho skončení je prevádzkovateľ povinný ich zlikvidovať. Za zlučiteľné s touto zásadou sa považuje uchovávanie dokumentov s osobnými údajmi po skončení účelu v lehotách ustanovených osobitnými predpismi platnými v SR (napr. zákon č. 431/2002 Z. z. o účtovníctve ap.), alebo ďalšie spracúvanie osobných údajov na štatistické účely za podmienky, že agregované štatistické údaje nebudú obsahovať žiadnu väzbu na dotknuté osoby, na základe ktorej sú tieto osoby identifikovateľné.

f) Zásadu integrity a dôvernosti: ktorá zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (viď kap.)

2.1. Zákonnosť spracúvania osobných údajov

GDPR ustanovuje prevádzkovateľom povinnosť zabezpečiť zákonnosť spracúvania osobných údajov vymedzením právnych základov. Každý prevádzkovateľ je povinný určiť účel spracúvania osobných údajov a každú spracovateľskú činnosť zameranú na dosiahnutie účelu oprieť o právny základ ustanovený GDPR.

Takže každá spracovateľská činnosť sa musí realizovať na právnom základe, a teda akékoľvek spracúvanie osobných údajov, musí byť odôvodnené a legálne.

Podľa GDPR sa osobné údaje sa môžu spracúvať na právnom základe, ktorým je:

1. Súhlas dotknutej osoby,

2. Plnenie zmluvy, v ktorej je dotknutá osoba zmluvnou stranou,

3. Zákon ustanovujúci zákonnú povinnosť,

4. Zabezpečenie životne dôležitých záujmov dotknutej osoby,

5. Zabezpečenie verejného záujmu alebo výkonu moci zverenej prevádzkovateľovi

6. Oprávnený záujem, ktorý sleduje prevádzkovateľ alebo tretia strana.

Osobné údaje patriace do osobitnej kategórie osobných údajov podľa čl. 9 GDPR je možné spracúvať na základe právnych základov uvedených v predchádzajúcom ods. pod písm. a), c)až e), teda osobné údaje patriace do osobitnej kategórie osobných údajov nie je možné spracúvať z titulu plnenia zmluvných a predzmluvných vzťahov a z titulu oprávneného záujmu, ktorý sleduje prevádzkovateľ alebo tretia strana.

2.1.1. Súhlas dotknutej osoby

Spracúvanie osobných údajov na základe súhlasu dotknutej osoby, je možné vtedy, keď dotknutá osoba vyjadrí súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré účely. Tento súhlas musí byť

a) preukázateľný a slobodný, čo znamená, že:

musí byť jasným a jednoznačným prejavom vôle. Je ho možné vyjadriť písomným vyhlásením, vyhlásením elektronickými prostriedkami alebo ústnym vyhlásením. Za prejav súhlasu sa považuje aj označenie políčka pri návšteve internetového webového sídla či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov súhlasí.

Súhlas nie je možné preukázať v prípade ak dotknutá osoba nereaguje a nevysloví ani súhlas ani nesúhlas (napr. pri e-mailovej komunikáciu typu „ak si prajete zasielanie takýchto informácií vyjadrite súhlas zaškrtnutím tohto políčka/ ak nemáte o tieto informácie záujem zaškrtnite toto políčko” nezaškrtne žiadnu z uvedených možností). Jej mlčanie nie je možné preukázať ako súhlas.

Súhlas so spracúvaním osobných údajov je možné získavať cez webové sídlo prevádzkovateľa pri registrácii za účelom prístupu k službe poskytovanej cez Internet. Podmienkou je, že súhlas musí byť dobrovoľný a slobodný, nie získaný prostredníctvom vopred označeného check boxu.

Podľa GDPR je neprípustné aby prevádzkovateľ zabezpečil súhlas so zasielaním marketingových správ vopred označeným políčkom;

b) jasný, zrozumiteľný a odlíšiteľný od iných skutočností:

Rovnako je neprípustné, aby bol súhlas súčasťou všeobecných obchodných podmienok. Súhlas nie je možné považovať za slobodný ak je súčasťou všeobecných zmluvných podmienok, pretože dotknutá osoba nemá možnosť súhlas slobodne vyjadriť, ale akceptovaním zmluvných podmienok cez webové rozhranie označením príslušného check boxu alebo podpisom na zmluve dochádza k jeho vynúteniu. Zároveň dochádza k zavádzaniu dotknutej osoby, pretože súhlas musí byť odlíšený od iných skutočností, čo v danom prípade nie je. Pri spracúvaní osobných údajov na účel uzatvorenia zmluvy sa súhlas so spracúvaním osobných údajov nevyžaduje.

Ak je súhlas súčasťou zmluvných podmienok, oprávnená osoba je povinná upozorniť na to Prevádzkovateľa, aby zabezpečil zmenu zmluvných podmienok a tak zaistil slobodu a spravodlivosť pri získavaní súhlasu so spracúvaním osobných údajov;

  1. kedykoľvek odvolateľný: povinnosťou prevádzkovateľa je umožniť dotknutej osobe kedykoľvek poskytnutý súhlas odvolať. Odvolanie súhlasu sa môže realizovať písomne poštou na adresu prevádzkovateľa alebo elektronicky označením príslušného check boxu v emailovej správe. Súčasťou každej e-mailovej komunikácie založenej na súhlase (marketing) musí byť správa umožňujúca odvolať poskytnutý súhlas. Podľa GDPR odvolanie súhlasu nemá vplyv na využívanie osobných údajov pred týmto aktom (odvolanie súhlasu);

Treba pripraviť a vložiť do e-mailovej komunikácie informáciu o možnosti súhlas odvolať.

d) informovaný: dotknutá osoba má právo na informácie o všetkých skutočnostiach súvisiacich so spracúvaním jej osobných údajov pred ich získaním: pri získavaní súhlasu by mali byť dotknutej osobe poskytnuté informácie o prevádzkovateľovi, účele spracúvania osobných údajov, právnom základe (súhlas), o možnostiach odvolania súhlasu, o dôsledkoch neposkytnutia súhlasu a o lehote uchovávania osobných údajov po skončení účelu ich spracúvania. Súčasťou informácie je aj uvedenie práv dotknutých osôb v súlade s čl. 15 až čl. 22 GDPR

Na základe súhlasu dotknutej osoby je možné spracúvať:

a) všeobecne použiteľný identifikátor (pokiaľ spracúvanie tohto osobného údaja neurčuje osobitný právny predpis napr. zákon č. 461/2003 Z. z o sociálnom poistení).

Podľa zákona č. 18/2018 Z. z. (§ 78 ods. 4) pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor, len vtedy, ak je jeho využitie nevyhnutné na dosiahnutie daného účelu spracúvania. Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný, ak ide o jeho spracúvanie na právnom základe súhlasu dotknutej osoby.

Podľa zákona č. 18/2018 Z. z. (§ 78 ods. 4) zverejňovať všeobecne použiteľný identifikátor sa zakazuje. To neplatí, ak všeobecne použiteľný identifikátor zverejní sama dotknutá osoba;

b) osobné údaje na účely priameho marketingu (pokiaľ sa na tento účel nespracúvajú osobné údaje z titulu oprávneného záujmu prevádzkovateľa u dotknutých osôb, ktoré sú už s prevádzkovateľom v právnom vzťahu);

c) osobné údaje na kópiách úradných dokladov napr. na účel preukázania oprávnení dotknutej osoby alebo preukázania kvalifikácie dotknutej osoby (pokiaľ osobitný zákon neustanovuje povinnosť alebo právomoc osobné údaje získavať na kópiách úradných dokladov, alebo ak nie sú osobné údaje získavané z titulu oprávneného záujmu prevádzkovateľa).

Čl. 9 ods. 1 GDPR, ktorý vymedzuje osobné údaje pariace do osobitnej kategórie osobných údajov, zakazuje spracúvanie osobných údajov patriacich do tejto kategórie osobných údajov. Tento zákaz neplatí, ak sa osobné údaje z osobitnej kategórie osobných údajov pracúvajú

  1. na základe súhlasu, ktorý musí byť dobrovoľný, jasný a preukázateľný.

Podľa § 110 ods.11 zákona č. 18/2018 Z. z. súhlas so spracúvaním osobných údajov udelený podľa zákona č. 122/2013 Z. z., ktorý obsahuje náležitosti v súlade s podmienkami súhlasu podľa zákona č. 18/2018 Z. z. alebo GDPR sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od 25. mája 2018.

1.1.2. Zmluvné a predzmluvné vzťahy

Osobné údaje sa spracúvajú bez súhlasu dotknutej osoby ak sa spracúvanie realizuje na základe zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia na základe žiadosti dotknutej osoby pred uzatvorením zmluvy.

Zmluva ako právny základ spracúvania osobných údajov môže byť pracovná zmluva, ktorej predchádza výberové konanie ako predzmluvný vzťah, kúpna zmluva, ktorej predchádza objednávka, zmluva o budúcej zmluve, autorská zmluva o dielo a i.

Zmluvné podmienky, ktoré sú súčasťou zmluvy, musia byť ustanovené tak, aby zodpovedali účelu spracúvania osobných údajov ustanoveného zmluvou. To znamená, že zmluvné podmienky nesmú obsahovať ustanovenia o využívaní osobných údajov získaných na základe zmluvy na iný účel nezlučiteľný s účelom zmluvy.

Súčasťou zmluvy musia byť vždy informácie o prevádzkovateľovi a o právach dotknutej osoby, ktoré si táto ako účastník zmluvného vzťahu môže uplatniť. Príklad všeobecných zmluvných (obchodných) podmienok, výhradne týkajúcich sa osobných údajov, je v samostatnej prílohe k tomuto dokumentu.

Podľa čl. 9 ods. 1 GDPR na základe zmluvy ako právneho základu nie je možné spracúvať osobné údaje patriace do osobitnej kategórie osobných údajov (napr. osobné údaje týkajúce sa zdravia, osobné údaje odhaľujúce rasový a etnický pôvod, biometrické osobné údaje).

Výnimkou z uvedeného sú osobné údaje získané na fotografii. Podľa GDPR (recitál ods. 51) sa fotografia prioritne nepovažuje za nosič informácií patriacich do osobitnej kategórie osobných údajov, a teda poskytnutie fotografie na zamestnanecký preukaz nemusí byť ošetrené súhlasom dotknutej osoby, ale môže byť aj zmluvnou podmienkou pre nástup do zamestnania.

Fotografia sa stáva nositeľom osobitnej kategórie osobných údajov vtedy, ak je napr. spracúvaná technológiou umožňujúcou zaznamenať biometrické osobné údaje tváre (ako na občianskom preukaze alebo cestovnom pase) a prevádzkovateľ disponuje zariadením na porovnanie biometrických osobných údajov s fotografiou. V takom prípade na spracúvanie osobných údajov patriacich do osobitnej kategórie osobných údajov musí prevádzkovateľ disponovať súhlasom, alebo spracúvanie musí určiť osobitný predpis.

2.1.3. Plnenie zákonnej povinnosti

Osobné údaje sa spracúvajú bez súhlasu dotknutej osoby ak sa spracúvanie realizuje z titulu plnenia zákonnej povinnosti prevádzkovateľa, pričom zákonná povinnosť musí byť ustanovená v práve EU alebo v práve Slovenskej republiky. Zákon musí ustanovovať povinnosť vykonávať činnosť súvisiacu so spracúvaním osobných údajov tak ako to ustanovuje napr. zákon č. 576/2004 Z. z. o zdravotnej starostlivosti (vedenie zdravotnej dokumentácie) a p. Právnym základom pre spracúvanie všeobecne použiteľného identifikátora môže byť tiež osobitný predpis. V prípade ak osobitný predpis spracúvanie všeobecne použiteľného identifikátora neustanovuje, jeho spracúvanie je možné len v prípade ak je to nevyhnutné na dosiahnutie účelu a na základe súhlasu dotknutej osoby.

Podľa čl. 10 GDPR osobné údaje týkajúce sa uznania viny za trestné činy a priestupky sa vykonáva len pod kontrolou orgánu verejnej moci, alebo ak je spracúvanie povolené právom Únie alebo právom členského štátu poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb. Každý komplexný register uznania viny za trestné činy sa vedie iba pod kontrolou orgánu verejnej moci.

Takže spracúvať osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. (napr. zákon č. 55/2017 Z. z. o štátnej službe).

Osobitný zákon je aj ďalším právnym základom na spracúvanie osobných údajov patriacich do osobitnej kategórie osobných údajov. Spracúvanie osobných údajov na základe osobitného zákona je výnimkou zo zákazu ich spracúvania ustanoveného v čl. 9 ods. 1 GDPR. Na základe osobitného zákona sa spracúvajú osobné údaje patriace do osobitnej kategórie osobných údajov (napr. osobné údaje týkajúce a zdravia a to tak fyzického ako psychického) v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia (napr. zákon č. 124/2006 Z. z. zákon o bezpečnosti a ochrane zdravia pri práci, zákon č. 5/2004 Z. z. o službách zamestnanosti, zákon č. 580/2004 Z. z. o zdravotnom poistení). Ak sa osobné údaje z osobitnej kategórie osobných údajov spracúvajú na základe zákona, súhlas dotknutej osoby sa nevyžaduje.

2.1.4. Ochrana životne dôležitých záujmov

Osobné údaje sa spracúvajú bez súhlasu dotknutej osoby ak dôvodom ich spracúvania je ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

Tento právny základ sa podľa čl. 9 ods. 1 GDPR vzťahuje aj na spracúvanie osobných údajov patriacich do osobitej kategórie osobných údajov. Ak spracúvanie osobných údajov vrátane osobných údajov patriacich do osobitnej kategórie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby tieto osobné údaje možno spracúvať bez súhlasu dotknutej osoby.

2.1.5. Verejný záujem

Osobné údaje sa spracúvajú bez súhlasu dotknutej osoby z dôvodu splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Tento právny základ musí byť ustanovený zákonom platným v Slovenskej republike.

Z dôvodu verejného záujmu je možné spracúvať aj osobné údaje patriace do osobitnej kategórie osobných údajov. Verejný záujem sa uplatňuje aj pri spracúvaní osobných údajov na účely archivácie, alebo na účely vedeckého alebo historického výskumu či na štatistické účely. Tento právny základ musí byť ustanovený právom Európskej únie, medzinárodnou zmluvou alebo právom členského štátu.

2.1.6. Oprávnený záujem Prevádzkovateľa

Osobné údaje sa spracúvajú bez súhlasu dotknutej osoby aj v prípade ak je ich spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana.

V zmysle GDPR oprávneným záujmom prevádzkovateľa môže byť spracúvanie osobných údajov:

  1. pomocou kamerového systému, kedy prevádzkovateľ získava a spracúva osobné údaje za účelom ochrany a bezpečnosti nielen svojich priestorov a zariadení ale aj osôb, ktoré sa v monitorovanom priestore nachádzajú, teda dotknutých osôb.

Vzhľadom na to, že kamerové systémy sa spravidla využívajú za účelom ochrany a bezpečnosti osôb a majetku v monitorovanom priestore, je možné tento účel subsumovať pod oprávnený záujem prevádzkovateľa. Ale v súlade s GDPR dôkazné bremeno obhájiť opodstatnenosť monitorovania priestorov prevádzkovateľa kamerovým systémom, ktoré sú alebo nie sú prístupné verejnosti, ostáva na prevádzkovateľovi.

Oprávnené osoby sú povinné oboznámiť sa s touto smernicou a jej ustanovenia dodržiavať.

  1. na priamy marketing, ktorý sa týka fyzických osôb, ktoré sú už s prevádzkovateľom v  právom vzťahu, teda sú jeho klientmi, pretože si už od neho kúpili nejaký tovar alebo službu. V takom prípade takýto klient môže primerane očakávať, že prevádzkovateľ mu bude zasielať informácie o novinkách o tovaroch alebo o službách, ktoré poskytuje príp. o bonusoch pri odbere týchto tovarov a služieb. Podmienkou je, že marketingové informácie sa týkajú účelu, na ktorý klient poskytol prevádzkovateľovi osobné údaje (napr.................).

Oprávnené osoby preveria, ktoré dotknuté osoby z marketingovo oslovovaných (adresát) mali už pred zasielaním marketingových informácií k Prevádzkovateľovi právny vzťah (boli jeho klienti). Takéto osoby ostávajú adresátmi pre marketing. U ostatných osôb je potrebné vyriešiť súhlas so spracúvaním osobných údajov na uvedený účel.

  1. jednorazový vstup do budovy, kedy prevádzkovateľ získava a spracúva osobné údaje za účelom ochrany a bezpečnosti svojho majetku ale aj osôb, ktoré sa v danom objekte nachádzajú, pretože predchádza nekontrolovanému pohybu cudzích osôb, v objekte.
  2. Kopírovanie alebo skenovanie úradných dokladov je získavanie osobných údajov napr. na účel pracovno-právneho vzťahu. Jedná sa o kopírovanie napr. diplomov, vysvedčení alebo osvedčení a p., a tým preukazovanie dosiahnutého vzdelania, odborných znalostí a zručností alebo iných predpokladov na prácu. Podľa GDPR právnym základom na spracúvanie osobných údajov na kópiách úradných dokladov môže byť
  3. súhlas dotknutej osoby,
  4. zmluvná podmienka (s výnimkou kopírovania úradného dokladu obsahujúceho osobné údaje patriace do osobitnej kategórie osobných údajov, akými sú napr. osobné údaje týkajúce sa zdravia),
  5. zákon,
  6. oprávnený záujem prevádzkovateľa.

Ak sa osobné údaje kopírujú na základe súhlasu dotknutej osoby vždy je potrebné zvážiť nevyhnutnosť takejto spracovateľskej operácie a povinnosť prevádzkovateľa získaný súhlas preukázať (napríklad podpisom na znení súhlasu s kopírovaním úradného dokladu, ktorý bude k danému dokladu priložený). Súhlas nesmie byť v žiadnom prípade vynútený, a teda dotknutá osoba musí byť vždy informovaná o účele takéhoto spracúvania osobných údajov, o svojich právach súhlas odvolať, ako aj o dôsledkoch ak súhlas so spracúvaním osobných údajov neposkytne.

Ak je priloženie kópie úradného dokladu zmluvnou podmienkou, zo znenia zmluvy musí byť jasné, že kópia úradného dokladu je k uzatvoreniu zmluvy nevyhnutná, a že bez doloženia kópie úradného dokladu zmluvu nie je možné uzavrieť. Ak na uzatvorenie zmluvy postačuje preukázanie sa úradným dokladom a nie je potrebné dokladať jeho kópiu, tak zmluvná podmienka poskytnúť kópiu úradného dokladu môže byť chápaná ako neprimeraná vzhľadom k účelu spracúvania osobných údajov, a teda v rozpore s právami dotknutej osoby, ako aj s GDPR. Ak kopírovanie úradných dokladov je deklarované ako zmluvná podmienka, táto podmienka nemôže byť v zmluve ustanovená ako súhlas, pretože súhlas je iný právny základ.

Ak prevádzkovateľ získava osobné údaje na kópiách úradných dokladov z dôvodu oprávneného záujmu, a teda bez súhlasu dotknutej osoby, je povinný zdôvodniť takéto získavanie osobných údajov. Pri zdôvodňovaní je nevyhnutné vždy zvážiť potrebu takejto spracovateľskej operácie a vyhodnotiť, prečo oprávnené dôvody prevádzkovateľa prevyšujú práva dotknutej osoby na ochranu jej súkromia. Dôvodom môže napr. byť skutočnosť, že doložením kópie úradného dokladu o dosiahnutom vzdelaní, dotknutá osoba trvalo preukazuje prevádzkovateľovi svoju spôsobilosť na danú prácu a kópia úradného dokladu slúži aj na ochranu jej práv, teda na správne zaradenie na pracovnú pozíciu a na uzatvorenie pracovnej zmluvy zodpovedajúcej jej kvalifikácii.

Z pohľadu GDPR je potrebné na kopírovanie úradných dokladov zvoliť relevantný právny základ zodpovedajúci účelu, na ktorý sa spracovateľská operácia vykonáva. Najjednoduchšie z hľadiska preukázateľnosti je získavať úradné doklady na ustanovené účely na základe súhlasu.

Osobné údaje patriace do osobitnej kategórie osobných údajov (napr. osobné údaje týkajúce sa zdravia) nie je možné spracúvať na základe zmluvy, pretože podľa článku 9 GDPR medzi výnimky zo zákazu spracúvania osobných údajov patriacich do osobitnej kategórie osobných nepatrí zmluvný vzťah, teda zmluva v zmysle čl. 6 ods. 1 písm. b) GDPR.

Pri získavaní osobných údajov na akomkoľvek právnom základe je prevádzkovateľ vždy povinný informovať dotknutú osobu o jej právach podľa článku 12 až 22 GDPR.

Časť tretia

3. Práva dotknutej osoby

Práva dotknutej osoby sú neoddeliteľnou súčasťou spracúvania osobných údajov.

Povinnosť oprávnenej osoby

Každá oprávnená osoba, ktorá komunikuje s dotknutou osobou a získava jej osobné údaje je povinná plniť informačnú povinnosť v rozsahu, ktorý je relevantný k účelu získavania osobných údajov. Postupuje pri tom podľa poučenia oprávnenej osoby.

3.1. Informačná povinnosť

Každá oprávnená osoba Prevádzkovateľa komunikujúca z titulu svojej pracovnej náplne s dotknutou osobou je povinná ju informovať o jej právach pri získavaní osobných údajov na akýkoľvek ustanovený účel na základe ktoréhokoľvek právneho základu, teda nielen na základe súhlasu.

Informácie o právach dotknutej osoby sa poskytujú v relevantnom rozsahu k účelu spracúvania osobných údajov. Nasledovná tabuľka určuje všetky alternatívy informovania dotknutej osoby. Oprávnená osoba pri poskytovaní informácií postupuje v zmysle poučenia, podpísala. Informácie o právach dotknutej osoby sa poskytujú vždy v celom rozsahu tak, ako to vyplýva z nižšie uvedenej tabuľky. O práve podať návrh na Úrad na ochranu osobných údajov SR je povinný prevádzkovateľ vždy informovať dotknutú osobu.

Pri získavaní osobných údajov oprávnená osoba poskytne informácie o prevádzkovateľovi a spracúvaní osobných údajov, ktoré ilustruje ľavý stĺpec tabuľky.

Oprávnená osoba, ktorá komunikuje z dotknutou osobou, ktorej osobné údaje Prevádzkovateľ nezískal priamo od dotknutej osoby je povinná dotknutej osobe poskytnúť pri prvej komunikácii informácie podľa ľavého stĺpca tabuľky. Oprávnené osoby poskytujú vždy relevantné informácie. Pri plnení informačnej povinnosti oprávnené osoby postupujú v rozsahu svojho poučenia.

 Priame získavanie osobných údajov Prvá komunikácia ak osobné údaje neboli získané priamo 
a)    
b)  kontaktné údaje kontaktnej osoby, pretože Prevádzkovateľ nemá povinnosť ustanoviť zodpovednú osobu:e-mail:  kontaktné údaje kontaktnej osoby, pretože Prevádzkovateľ nemá povinnosť ustanoviť zodpovednú osobu:e-mail:  
c)  účel spracúvania osobných údajov, na ktorý sú osobné údaje určené  účel spracúvania osobných údajov, na ktorý sú osobné údaje určené  
d)  právny základ spracúvania osobných údajovak je právnym základom spracúvania osobných údajov oprávnený záujem, prevádzkovateľ je povinný dotknutej osobe tento právny základ objasniť  právny základ spracúvania osobných údajovak je právnym základom spracúvania osobných údajov oprávnený záujem, prevádzkovateľ je povinný dotknutej osobe tento právny základ objasniť  
e)  informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov  informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov  
f)  Príjemcovia/ Kategórie príjemcov vrátane sprostredkovateľov a tretích strán)  Príjemcovia/ Kategórie príjemcov vrátane sprostredkovateľov a tretích strán)  
g)  Prenos do tretej krajiny prevádzkovateľ neuskutočňuje  Prenos do tretej krajiny prevádzkovateľ neuskutočňuje  
h)  Doba uchovávania osobných údajov po skončení účelu (archívne lehoty), alebo kritériá na ich určenie.  Doba uchovávania osobných údajov po skončení účelu (archívne lehoty), alebo kritériá na ich určenie.  
i)  Právo na prístup k osobný údajom  Právo na prístup k osobný údajom  
j)  Právo na opravu jej osobných údajov;  Právo na opravu jej osobných údajov;  
k)  Právo na výmaz osobných údajov  Právo na výmaz osobných údajov  
l)  Právo na obmedzenie spracúvania osobných údajov;  Právo na obmedzenie spracúvania osobných údajov;  
m)  Právo namietať spracúvanie osobných údajov (najmä priamy marketing)  Právo namietať spracúvanie osobných údajov (najmä priamy marketing)  
n)  Právo na prenosnosť osobných údajov  Právo na prenosnosť osobných údajov  
o)  Právo kedykoľvek odvolať súhlas  Právo kedykoľvek odvolať súhlas  
p)  Právo podať návrh na začatie konania na Úrade na ochranu osobných údajov  Právo podať návrh na začatie konania na Úrade na ochranu osobných údajov  
q)  Informácie o existencii automatizovaného individuálneho rozhodovania vrátane profilovania - tento postup pri spracúvaní osobných údajov sa nevyužíva  Informácie o existencii automatizovaného individuálneho rozhodovania vrátane profilovania - tento postup pri spracúvaní osobných údajov sa nevyužíva  
r)   Z akého zdroja prevádzkovateľ získal osobné údaje  
s)   Kategórie osobných údajov, ktoré získal a spracúva  

Povinnosť oprávnenej osoby

Oprávnené osoby budú pri získavaní osobných údajov vždy postupovať podľa kapitoly Informačná povinnosť.

Ak osobné údaje neboli získané priamo od dotknutej osoby oprávnená osoba poskytne dotknutej osobe relevantné informácie najneskôr

a) do jedného mesiaca od získania osobných údajov

b) v čase prvej komunikácie s dotknutou osobou

c) pri poskytnutí osobných údajov tretej strane ak sa pri ich získavaní táto skutočnosť predpokladala.

3.2. Práva dotknutej osoby

Dotknutá osoba má právo získať od prevádzkovateľa:

Právo na prístup k osobný údajom

b) Právo na opravu jej osobných údajov;

c) Právo na výmaz osobných údajov

d) Právo na obmedzenie spracúvania osobných údajov

e) Právo namietať spracúvanie osobných údajov (najmä priamy marketing)

f) Právo na prenosnosť osobných údajov

g) Právo kedykoľvek odvolať súhlas

Právo podať návrh na začatie konania na Úrade na ochranu osobných údajov

i) Informácie o existencii automatizovaného individuálneho rozhodovania vrátane profilovania; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania osobných údajov pre dotknutú osobu3.2.1. Právo dotknutej osoby na prístup k údajom

Právo prístupu k osobným údajom oprávnená osoba prevádzkovateľa, ktorej pracovnou náplňou je komunikácia s klientom, poskytuje dotknutej osobe potvrdenie o tom, že Prevádzkovateľ spracúva alebo nespracúva jej osobné údaje.

Povinnosť oprávnenej osoby

Oprávnené osoby budú poskytovať potvrdenie v rozsahu informácií uvedených v hornej tabuľke pod písmenom a), c), s), f), h), j) až l), p), q) a r). V samostatnej prílohe je uvedená forma a rozsah takéhoto potvrdenia.

Oprávnená osoba je povinná poskytnúť dotknutej osobe požadované informácie ako kópiu osobných údajov, ktoré o dotknutej osobe spracúva. Kópia osobných údajov sa vždy poskytuje zadarmo.

Pozor pri poskytovaní kópie spracúvaných osobných údajov táto kópia nesmie obsahovať osobné údaje iných osôb

Spôsob poskytnutia osobných údajov je:

a) Poštou na adresu dotknutej osoby

b) E-mailom na e-mailovú adresu dotknutej osoby, cez ktorú oprávnená osoba s dotknutou osobou komunikuje.

Pozor v prípade kedy dotknutá osoba uplatní požiadavku z inej ako bežnej komunikačnej adresy, oprávnená osoba ju požiada, aby s ňou komunikovala z bežnej adresy alebo uviedla obsah poslednej komunikácie.

Tento postup je potrebný na overenie totožnosti fyzickej osoby - žiadateľa, aby sa predišlo tomu, že kópia osobných údajov bude poskytnutá inej osobe. V prípade pochybností oprávnená osoba sa obráti na svojho nadriadeného alebo na ustanovenú kontaktnú osobu.

Pri uplatňovaní práv dotknutej osoby týkajúcich sa prístupu k osobným údajom na kamerovom zázname oprávnená osoba je potrebné dbať na ustanovenia internej smernice ku Kamerovým záznamom.

3.2.2. Právo dotknutej osoby na opravu a výmaz

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú.

Povinnosť oprávnenej osoby

Oprávnené osoby vykonajú túto operáciu len na základe doplnkového vyhlásenia dotknutej osoby, v ktorom táto doplní osobné údaje alebo uvedie správne osobné údaje.

Dotknutá osoba má právo na výmaz osobných údajov, to znamená na ich úplnú likvidáciu tak, aby jej osobné údaje už nebolo možné obnoviť ani zo záloh. V praxi to znamená, že po výmaze osobných údajov dotknutej osoby bude potrebné zálohovať osobné údaje z posledného stavu tak, aby pri potrebe obnoviť údaje zo záloh sa opätovne vymazané údaje neobnovili.

Právo na výmaz si dotknutá osoba môže uplatniť ak:

a) osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo spracúvali,

b) dotknutá osoba odvolá súhlas na základe ktorého sa spracúvanie osobných údajov vykonáva,

c) dotknutá osoba namieta spracúvanie osobných údajov na základe oprávnených dôvodov prevádzkovateľa a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov (napr. osobné údaje spracúvanie na priamy marketing, kedy je prevádzkovateľ povinný okamžite ukončiť ich spracúvanie a ich aj vymazať),

d) sa osobné údaje spracúvajú nezákonne (dotknutá osoba musí disponovať rozhodnutím úradu alebo súdu),

e) dôvodom pre výmaz je splnenie zákonných povinnosti podľa práva Únie, členského štátu alebo medzinárodnej zmluvy (uplynutie zákonných lehôt),

f) sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti (služby cez internet – napr. new letter).

Výmaz osobných údajov sa týka aj zverejnených osobných údajov, u ktorých nastala jedna z hore uvedených situácii. Oprávnená osoba v spolupráci s oprávnenou osobou na úseku IT s použitím dostupných technológií zabezpečí aj likvidáciu ich replík.

Ak boli osobné údaje dotknutej osoby poskytnuté tretej strane, tak

Povinnosť oprávnenej osoby

Oprávnené osoby vedú evidenciu tretích strán, ktorým sa osobné údaje poskytujú.

Ak dotknutá osoba uplatnila právo na výmaz, je oprávnená osoba povinná informovať tretie strany v zmysle vedenej evidencie o požiadavke dotknutej osoby na výmaz osobných údajov vrátane ich replík.

Právo na výmaz nie je absolútne právo. Oprávnená osoba toto právo môže obmedziť z dôvodu:

- uplatnenia práva na slobodu prejavu a informácií (osobné údaje sú súčasťou napr. povinne zverejňovanej zmluvy),

- splnenia zákonnej povinnosti podľa práva EÚ alebo SR a osobné údaje sa spracúvajú z titulu úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi (napr. výkon dozoru),

- verejného záujmu v oblasti verejného zdravia

- archivácie podľa zákona, na vedecký alebo historický výskum, na štatistické účely,

- preukazovania, uplatňovania, obhajovanie právnych nárokov.

Povinnosť oprávnenej osoby

Oprávnené osoby sa vždy obrátia na kontaktnú osobu, ktorá ich v takomto prípade usmerní.

3.2.3. Právo na obmedzenie spracúvania

Obmedzenie spracúvania neznamená vymazanie osobných údajov ale prevádzkovateľ ich prestane využívať na účel, na ktorý boli získané a iba ich uchováva. Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak

a) namieta ich správnosť, a to na obdobie potrebné na overenie ich správnosti,

b) ich spracúvanie je nezákonné a dotknutá osoba namiesto ich vymazania žiada obmedzenie ich použitia,

c) prevádzkovateľ už nepotrebuje osobné údaje na účel ich spracúvania, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku,

d) dotknutá osoba namieta ich spracúvanie až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Povinnosť oprávnenej osoby

Oprávnené osoby, ktoré na základe žiadosti dotknutej osoby zabezpečili obmedzenie spracúvania osobných údajov, informujú dotknutú osobu o zrušení obmedzenia spracúvania osobných údajov, keď dôvod obmedzenia pominie – osobné údaje boli opravené, alebo dotknutá osoba akceptovala návrh prevádzkovateľa na ďalšie využívanie osobných údajov.

3.2.4. Právo na prenosnosť

Dotknutá osoba má právo na prenosnosť osobných údajov od jedného prevádzkovateľa k inému vtedy, ak ich dotknutá osoba prevádzkovateľovi poskytla v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a osobné údaje spracúvajú automatizovane

a) na základe súhlasu

b) na základe zmluvy

ak je to technicky možné. Cieľom tohto práva je uľahčiť dotknutým osobám premiestňovanie, kopírovanie či preskupovanie vlastných osobných údajov z jedného informačného prostredia do druhého (či už do vlastných systémov, systémov dôveryhodných tretích strán alebo systémov nových prevádzkovateľov).

Právo na prenosnosť nezahŕňa osobné údaje vytvorené prevádzkovateľom, aj keď tieto údaje boli vytvorené zo vstupných vedome poskytnutých osobných údajov (napr. hodnotenie platby schopnosti klienta na základe pravidelnosti /nepravidelnosti jeho splátok).

Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uplatnenie tohto práva nesmie spôsobiť zásah do práv iných dotknutých osôb.

Povinnosť oprávnenej osoby

Právo na prenosnosť nie je možné zabezpečiť, pretože právo na prenosnosť k inému prevádzkovateľovi napr. na účely marketingu (súhlas) spôsobí, že dotknutá osoba bude dostávať marketingové informácie iného typu.

V prípade zmluvného vzťahu (objednávka pravidelného prístupu k ....................) bude mať za následok, že konto dotknutej osoby bude neprístupné a dotknutá osoba nebude môcť túto službu využívať. Takže takýto postup je možné nahradiť obmedzením spracúvania alebo zrušením súhlasu, či likvidáciou alebo výmazom osobných údajov.

Preto oprávnená osoba informuje dotknutú osobu o práve zrušiť napr. súhlas so spracúvaním osobných údajov na marketing, alebo o práve obmedziť spracúvanie osobných údajov, ktoré sa budú len archivovať pri zmluvnom vzťahu a uplatnení lehôt archivácie podľa osobitných predpisov.

3.2.5 Právo namietať spracúvanie osobných údajov

Dotknutá osoba má právo kedykoľvek namietať voči spracúvaniu svojich osobných údajov na účel:

- plnenia úlohy realizovanej vo verejnom záujme,

- právom chráneného záujmu prevádzkovateľa vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach.

Povinnosť oprávnenej osoby

Oprávnený záujem realizuje v prípade marketingu. Ak dotknutá osoba namieta spracúvanie osobných údajov na účely priameho marketingu, oprávnená osoba zabezpečí, aby sa osobné údaje na uvedený účel už ďalej nespracúvali.

3.3. Uplatnenie práv dotknutou osobou

Dotknutá osoba môže právo na prístup k osobným údajom, ich opravu a výmaz, ako aj obmedzenie spracúvania osobných údajov uplatniť poštou aj elektronicky. Elektronické uplatnenie práv sa vzťahuje najmä na situáciu, ak boli osobné údaje poskytnuté elektronicky a komunikácia s dotknutou osobou bola najmä v elektronickej forme.

Povinnosť oprávnenej osoby

Pri uplatnení práv elektronicky oprávnená osoba preverí, či požiadavka prišla od dotknutej osoby. Preverenie sa týka prípadu, kedy:

- dotknutá osoba nekomunikuje s Prevádzkovateľom bežným spôsob,

- požaduje úplnú likvidáciu osobných údajov, teda ich výmaz bez ohľadu na to, na aký účel Prevádzkovateľ osobné údaje spracúva.

Preverenie bude obsahovať požiadavku:

- komunikácie z bežnej doteraz používanej elektronickej adresy dotknutej osoby,

- opisu poslednej komunikácie medzi dotknutou osobou a Prevádzkovateľom.

V prípade pretrvávajúcich pochybností o tom, či oprávnená osoba komunikuje s dotknutou osobou poskytne jej informáciu o možnosti uplatniť svoje práva poštou.

Takéto preverovanie sa neaplikuje v prípade, ak dotknutá osoba požaduje výmaz osobných údajov používaných na priamy marketing.

Oprávnená osoba zabezpečí, aby žiadosť dotknutej osoby bola vybavená do 30 dní od doručenia žiadosti prevádzkovateľovi. Lehotu je možné v odôvodnených prípadoch predĺžiť o ďalšie dva mesiace.

Pri predlžovaní lehoty je oprávnená osoba dbá na to, aby informáciu o predĺžení lehoty, ako aj jej zdôvodnenie, bolo doručené dotknutej osobe do jedného mesiaca od doručenia žiadosti. Zdôvodnenie musí obsahovať informáciu o predĺžení lehoty a dôvody predĺženia. Odôvodnený prípad na predĺženie lehoty je situácia, keď je žiadosť komplexná alebo ide o viaceré žiadosti v krátkom časovom období, príp. na splnenie žiadosti dotknutej osoby je potrebné od dotknutej osoby získať doplňujúce informácie (napr. preverovanie dotknutej osoby).

Odpovede, ako aj dokumenty, ktoré sú odpoveďou prevádzkovateľa na uplatnenie práv dotknutej osoby sa poskytujú bezplatne.

3.4. Obmedzenie práv dotknutej osoby

Práva dotknutej osoby, ako aj povinnosti prevádzkovateľa môžu byť obmedzené na základe práva SR pokiaľ bude rešpektovaná podstata základných ľudských práv a slobôd s cieľom zaistiť:

a) bezpečnosť Slovenskej republiky,

b) obranu Slovenskej republiky,

c) verejný poriadok,

d) plnenie úloh na účely trestného konania,

e) iné dôležité ciele všeobecného verejného záujmu EU alebo SR, najmä ich hospodársky záujem alebo finančný záujem vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia alebo sociálneho zabezpečenia,

f) ochranu nezávislosti súdnictva a súdnych konaní

g) predchádzanie porušeniu etiky v regulovaných povolaniach alebo regulovaných odborných činnostiach,

h) monitorovaciu funkciu, kontrolnú funkciu alebo regulačnú funkciu spojenú s výkonom verejnej moci

i) ochranu práv dotknutej osoby alebo iných osôb, 

j) uplatnenie právneho nároku,

k) hospodársku mobilizáciu.

Časť štvrtá

4. Technické a organizačné opatrenia

4.1. Technické opatrenia

Ochrana pred neoprávneným prístupom

1. Informačná technika (počítače, notebooky apod.) musí byť umiestnená v  uzamykateľných priestoroch.

2. Miestnosť, v ktorej sa nachádza informačná technika, musí byť pri každom odchode zamestnanca uzamknutá.

3. Dátové nosiče a listinné dokumenty obsahujúce osobné údaje je zamestnanec povinný pred odchodom z pracoviska alebo pred plánovanou neprítomnosťou na pracovisku uložiť do uzamykateľnej skrine alebo trezoru.

4. Zobrazovacie jednotky pracovných staníc musia byť umiestnené tak, aby sa zabránilo náhodnému odpozorovaniu údajov neoprávnenými osobami.

5. Zamestnanci sú povinný dodržiava metódu čistej obrazovky a čistého stola:

a) Na obrazovkách počítačov musí byť aktivované šetrenie obrazovky chránený heslom, a jeho činnosť sa aktivuje po maximálne 10 min.

b) Zamestnanec je povinný pred opustením pracovnej stanice aktivovať šetrič obrazovky.

c) Pred odchodom z pracoviska, je zamestnanec povinný odstrániť všetky písomnosti zo svojho stola a tie uložiť do uzamykateľnej skrine.

d) Pri prítomnosti neoprávnených osôb mať písomnosti vždy bezpečne uložené alebo pod dohľadom.

1. Pred prenosom informácií prostredníctvom faxu musí zamestnanec vykonávajúci prenos skontrolovať číslo, informovať prijímateľa o prenášaní informácií a overiť príjem informácií.

2. Pri posielaní citlivých údajov pomocou elektronickej pošty je zamestnanec povinný zašifrovať prenášanú informáciu. (napríklad uložiť informáciu do zašifrovaného ZIP archívu, zašifrovať súbor MS Office) a heslo k rozšifrovaniu postúpiť adresátovi inými kanálmi (napr. SMS, telefonicky)

3. Zamestnanci, ktorí využívajú v rámci svojej pracovnej náplne skenovacie zariadenia musia zaistiť, že obsah naskenovaných materiálov je určený len na pracovné účely. Zamestnanci používajúci skenovacie zariadenia musia dodržiavať autorské práva na zdrojové materiály.

4. Zamestnanec je povinný priebežne vymazávať nepotrebné súbory.

5. Nepotrebné dokumenty, média, chybné výtlačky alebo dokumenty, ktoré obsahujú osobné údaje a ktorým uplynul zákonný dôvod ich držania, je zamestnanec povinný bez zbytočného odkladu skartovať

6. Každý používateľ, ktorému bol pridelený prenosný počítač (notebook), je zodpovedný za jeho ochranu pred poškodením, zničením, krádežou, zneužitím a prístupom neoprávnených osôb.

7. Používateľ nesmie ponechať prenosný počítač, dokumenty alebo média bez dozoru na verejne dostupných miestach, v opustených dopravných prostriedkoch, neuzamknutých miestnostiach alebo na iných miestach, na ktorých môže prísť k ich zneužitiu, krádeži, poškodeniu, zničeniu.

8. Prístup k zdrojom prenosného počítača musí byť chránený vstupným heslom užívateľa (uložené v systéme BIOS zariadenia); užívateľské dáta na internom disku prenosného počítača musia byť šifrované alebo aspoň pracovné dokumenty musia byť uložené v šifrovanom priečinku alebo šifrovanom virtuálnom disku

9. Prístup do prenosných počítačov musí byť chránený pomocou prístupového hesla (pri štarte systému, šetrič obrazovky chránený heslom a pod.).

10. Každý zamestnanec, z ktorého pracovnej činnosti vyplýva potreba uchovávania údajov na prenosnom médiu (netýka sa centralizovaného zálohovania) zodpovedá za aplikovanie požiadavky smernice.

11. V prípade uchovávania niektorých interných a chránených informácií, mala by byť ich ochrana zabezpečená šifrovaním, ak to technické a programové prostriedky umožňujú.

12. Prístup návštev do budovy je umožnený len cez vrátnicu, kde pracovník recepcie zapíše do návštevnej knihy meno a priezvisko návštevy, ČOP, čas príchodu a odchodu návštevy a meno navštívenej osoby.

13. Návštevy a tretie strany sa smú po priestoroch Prevádzkovateľa pohybovať iba v sprievode zamestnanca Prevádzkovateľa.

14. Za sprievod návštevy alebo tretích strán v priestoroch Prevádzkovateľa v prevažnej miere zodpovedá zamestnanec, ktorý je uvedený v knihe návštev ako navštívená osoba.

Pravidlá prístupu tretích strán k osobným údajom

1. V prípade, že na plnenie predmetu zmluvy s treťou stranou (dodávatelia, externí spolupracovníci, orgány verejnej správy, fyzické osoby vykonávajúce pre Prevádzkovateľa činnosť na základe zmluvných záväzkov) je potrebný prístup k aktívam Prevádzkovateľa, pri uzatváraní zmluvného vzťahu medzi treťou stranou a Prevádzkovateľom, musí byť:

a) menovaný zástupca tretej strany a zástupca Prevádzkovateľa zodpovedný za informačnú bezpečnosť,

b) tretia strana informovaná o zásadách ochrany osobných údajov,

c) tretia strana informovaná o právach a povinnostiach, vyplývajúcich z bezpečnostných smerníc, a to predtým, ako získa prístup k informačným systémom v prípade, že si prístup vyžaduje plnenie predmetu zmluvy,

d) osobami poverenými vedením zabezpečené prijatie takých technických, organizačných a personálnych podmienok pre činnosť tretej strany v informačných systémoch Prevádzkovateľa, nebola narušená bezpečnosť informačných systémov. Zástupca Prevádzkovateľa je povinný zabezpečiť, aby boli v zmluve s treťou stranou o poskytovaní služieb súvisiacich s informačnými systémami uvedené bezpečnostné požiadavky na služby a zabezpečiť kontrolu bezpečnostných požiadaviek podľa bezpečnostných smerníc.

e) Tretie strany sú povinné dodržiavať zásady ochrany osobných údajov, s ktorými boli oboznámené z dôvodu plnenia predmetu zmluvy, predovšetkým povinnosti oprávnených osôb zdržať sa akéhokoľvek konania, ktoré by poškodzovalo záujmy a dobré meno Prevádzkovateľa.

Riadenie prístupu oprávnených osôb

1. Oprávnenia, ich rozsah, popis povolených činností, spôsob ich identifikácie a autentizácie pri prístupe k informačným systémom jednotlivých oprávnených osôb prevádzkovateľa zabezpečuje oddelenie informačných technológií, ktoré o tejto činnosti vedie dokumentáciu.

2. Prístup do objektu je možný iba cez jeden vchod s riadeným prístupom cez vrátnicu

3. Vstup do priestorov Prevádzkovateľa je možný len cez vrátnicu so stálou službou, cez recepciu monitorovanú kamerou a je chránený kľúčmi pre vstup na poschodie, ako aj pre vstup do jednotlivých kancelárií.

4. Zamestnanci majú zakázané zdieľať alebo požičiavať pridelené čipové karty určené pre evidenciu dochádzky tretím osobám alebo navzájom.

5. Prístup do kancelárií je zabezpečený zámkami.

6. Každý zamestnanec ma pridelený kľúč od svojej kancelárie.

7. Prevádzkovateľ má vypracovaný kľúčový poriadok

8. Všetky kľúče od kancelárií, bezpečnostných schránok (trezor, bezpečnostná plechová skriňa) a od vchodových dverí do priestorov Prevádzkovateľa je v správe vedenia Prevádzkovateľa.

9. Každému pracovníkovi pri nástupe do zamestnania je pridelený jeden kľúč od dverí do kancelárie, v ktorej bude vykonávať pracovnú činnosť, jeden kľúč od vchodových dverí na poschodí, kde sa nachádza jeho kancelária a čipová karta na evidenciu dochádzky. Zamestnancovi je možné prideliť aj kľúče od iných dverí, ale len v prípade, že si to vyžaduje jeho pracovná náplň alebo zabezpečenie úloh Prevádzkovateľa. Pridelenie povoľuje vedenie Prevádzkovateľa.

10. Kľúče od dverí do miestností Prevádzkovateľa môžu byť pridelené aj iným osobám ako zamestnancom, ak to vyžaduje plnenie zmlúv s tretími stranami.

11. Kľúče sa preberajú a odovzdávajú na základe podpisu. O prevzatí a odovzdaní kľúča zamestnancovi alebo inej osobe sa vyhotoví písomný záznam.

12. V mimoriadnych a odôvodnených prípadoch s povolením je možné zamestnancovi Prevádzkovateľa jednorazovo zapožičať nepridelené kópie kľúčov od kancelárií alebo sprístupniť kanceláriu:

a) zamestnancovi je možné krátkodobo zapožičať kópiu kľúča, ktorý už má pridelený;

b) vedúcemu zamestnancovi je možné zapožičať kľúč od kancelárie jeho podriadeného zamestnanca;

13. Zamestnancovi je možné sprístupniť uzamknutú kanceláriu iného neprítomného zamestnanca so súhlasom dotknutého zamestnanca alebo jeho nadriadeného. Počas sprístupnenia musí byť v kancelárii prítomný aj pracovník zodpovedný za správu kľúčov alebo nadriadený zamestnanca, ktorý o vstup do miestnosti žiadal.

14. O zapožičaní kľúča alebo sprístupnení kancelárie je pracovník zodpovedný za správu kľúčov alebo nadriadený zamestnanca, ktorý o vstup do miestnosti žiadal, povinný vyhotoviť písomný záznam s uvedením mena a priezviska vypožičiavateľa / žiadateľa o prístup, v prípade sprístupnenia kancelárie, dátumu a času vypožičania kľúča, / sprístupnenia kancelárie, dôvodu zapožičania kľúča /sprístupnenia kancelárie a dátumu a času vrátenia kľúča.

15. Za kľúče zodpovedá zamestnanec Prevádzkovateľa, ktorému boli pridelené. Tieto kľúče je zamestnanec v prípade ukončenia pracovného alebo iného obdobného pomeru povinný odovzdať pracovníkovi zodpovedného za správu kľúčov.

16. Každú stratu kľúča, ktorý bol zamestnancovi pridelený Prevádzkovateľom je zamestnanec povinný bezodkladne nahlásiť svojmu nadriadenému.

Zriaďovanie prístupového práva

1. Prideľovanie prístupových práv prebieha v dvoch krokoch:

a) Vytvorenie používateľského účtu zamestnanca

b) Pridelenie prístupových práv oprávnenej osobe

2. Oprávnenia a ďalšie činnosti navrhuje a vypracuje pracovník útvaru IT v spolupráci s príslušným vedúcim oprávnenej osoby (zamestnanca).

3. Rozsah oprávnení a zodpovedností sa realizuje na základe návrhu vedúceho zamestnanca oprávnenej osoby. Realizuje ju vedúci zamestnanec formou elektronickej alebo písomnej žiadosti, ktorá sa uchováva.

4. Žiadosť sa odovzdá na ďalšie vybavenie oddeleniu informatiky, ktorý v zmysle svojich oprávnení pridelí oprávneným osobám prevádzkovateľa užívateľské práva do ..................

5. Oddelenie informatiky o pridelení práv podľa tejto Smernice bezodkladne informuje príslušného vedúceho zamestnanca oprávnenej osoby.

6. Oddelenie informatiky v spolupráci s priamym nadriadeným oprávnenej osoby zaškolia a poučia oprávnenú osobu o práci v .............. a o manipulácii s dokumentmi obsahujúcimi osobné údaje a o zakázaných činnostiach pri manipulácii s osobnými údajmi.

7. Po zaškolení a poučení oprávnená osoba podpisom na poučení potvrdí, že bola zaškolená a poučená.

8. Zamestnanec nesmie požívať pridelené prístupové práva na inú činnosť, ako je stanovená jeho pracovnou zmluvou, inou zmluvou, funkčným zaradením a náplňou práce.

9. Zamestnanec nesmie poskytnúť svoje prístupové práva a identifikátor prístupu inej osobe.

10. Prístupové práva tretích strán, ak to spracúvanie osobných údajov vyžaduje, prideľuje zodpovedná osoba v spolupráci s príslušným vlastníkom aktíva a za odbornej asistencie oddelenia informatiky. Prístupové práva sa prideľujú na dobu nevyhnutnú pre prístup tretích strán k príslušnému aktívu, teda do informačného systému.

Rušenie oprávnení

1. V prípade rušenia oprávnení v dôsledku odchodu oprávnenej osoby Prevádzkovateľa zo zamestnania resp. preloženia na iné funkčné miesto sa postupuje primerane podľa článku “Zriadenie prístupového práva“ bodov 3, 4, 5 tejto Smernice.

2. O zrušenie prístupového práva, alebo všetkých prístupových práv, pre konkrétneho užívateľa sa žiada písomne v prípade ak

a) užívateľ, ak už nepotrebuje prístupové právo pre konkrétny výkon práce,

b) ak už uplynuli dôvody, pre ktoré bolo prístupové právo priradené (zastupovanie)

c) užívateľ rozviazal pracovný pomer s Prevádzkovateľom.

3. Pracovník informatiky je oprávnený operatívne zrušiť prístupové právo užívateľa v prípade:

a) prešetrovania bezpečnostných incidentov,

b) pri porušení bezpečnostnej politiky.

4. Pracovník informatiky je povinný vykonať záznam do prevádzkového denníka o vykonaných zrušeniach prístupových práv tejto smernice.

5. Prístupové práva tretích strán, ak to spracúvanie osobných údajov vyžaduje, sa rušia po ukončení úlohy. Prístupové meno a prístupové heslo nesmie byť pridelené inej tretej strane.

Dokumentácia prístupových práv

1. Prístupové práva do .............. eviduje oddelenie informatiky.

2. Žiadosť o prístupové právo do ................... podáva žiadajúci zamestnanec elektronicky.

3. Žiadosti o prístupové práva, ktoré boli riadne schválené a realizované, eviduje a spravuje oddelenie informatiky.

4. Všetky schválené žiadosti podľa tejto smernice musia byť evidované po dobu ............rokov.

5. Prístupové heslá, ktoré boli v oprávnených prípadoch (predvádzanie funkcií systému, servisné zásahy a podobne) dočasne oznámené externým subjektom, je potrebné po ukončení dôvodu ich používania externými subjektmi bezodkladne zmeniť tak, aby externé subjekty nemali prístup do............ Prevádzkovateľa.

4.2. Ochrana proti škodlivému kódu

1. Vírus alebo iný škodlivý softvér môže spôsobiť Prevádzkovateľovi vážne škody od zničenia alebo poškodenia spracúvaných osobných údajov až po prezradenie údajov.

2. Na antivírusovú ochranu pracovných staníc je primárne určený softvérový systém, ktorý je automaticky pravidelne aktualizovaný. Používatelia majú zakázané odinštalovanie, zablokovanie alebo zmenu konfigurácie antivírusovej ochrany.

3. Za inštaláciu, aktualizáciu, zmeny konfigurácie a previerky antivírusových systémov, ako aj za bezodkladné riešenie problémov spojených s existenciou vírusov, zodpovedá oddelenie informatiky.

4. Pokiaľ má zamestnanec podozrenie, že jeho antivírusový systém nepracuje alebo nepracuje správne, musí informovať Helpdesk. Kontaktné informácie pre Helpdesk Prevádzkovateľa sú uvedené na Intranete. Na vyzvanie pracovníka oddelenia informatiky má používateľ povinnosť overiť verziu antivírusového programu a v prípade nezrovnalosti bezodkladne ho o tom informovať. Zamestnanci majú zakázané používať pracovné stanice, na ktorých antivírusový systém nepracuje, alebo nepracuje správne.

5. Prenosné médium musí byť pred použitím skontrolované na prítomnosť vírusov rezidentnou antivírusovou ochranou, nachádzajúcou sa na každej pracovnej stanici.

Antivírusová ochrana pri používaní elektronickej pošty a Internetu

1. Zamestnanci môžu používať prehliadače Internetu a softvér pre používanie elektronickej pošty len na takých pracovných staniciach, na ktorých je nainštalovaný antivírusový softvér.

2. Každá prijatá správa elektronickej pošty vrátane príloh je kontrolovaná na prítomnosť vírusov, prípadne iného škodlivého softvéru. Zamestnanci majú zakázané otvárať poštu, ktorá je podozrivá z nákazy vírusom.

3. Zamestnanci majú zakázané:

a) otvárať elektronickú poštu s podozrivým predmetom správy alebo s podozrivým pôvodom. Pred otvorením príloh musí príjemca správy aspoň rámcovo poznať ich obsah (napr. z podpisu uvedeného v tele správy).

b) otvárať a používať súbor alebo prílohu elektronickej pošty s podozrivým pôvodom. Majú povolené otvárať a používať len tie prílohy elektronickej pošty, ktoré boli prijaté z dôveryhodných a overených zdrojov.

Postupy pri podozrení z nakazenia vírusom

1. Ak zamestnanec zistí, že jeho pracovná stanica alebo iný prostriedok bol nakazený vírusom alebo podozrenie z nákazy, je povinný to hlásiť ako bezpečnostný incident na helpdesk oddelenia informatiky Prevádzkovateľa na e-mail /telefón uvedený na Intranete.

2. Do príchodu pracovníka oddelenia informatiky k nakazenému prostriedku IS majú používatelia zakázané jeho používanie.

3. Používatelia sa nesmú pokúšať vymazať alebo inak odstrániť podozrivý súbor.

4. V prípade zistenia vírusovej nákazy alebo pri podozrení z nej, zodpovedný zamestnanec oddelenia informatiky pošle správu elektronickej pošty alebo jej prílohu a informáciu o víruse odosielateľovi a môže ho požiadať o vysvetlenie jej pôvodu a významu.

5. Opätovné používanie pracovnej stanice, alebo iného prostriedku je možné až na pokyn pracovníka oddelenia informatiky.

4.3. Sieťová bezpečnosť

1. Cieľom ochrany sietí je implementovať opatrenia na zaistenie bezpečnosti dát a na ochranu pripojených služieb pred neautorizovaným prístupom.

2. Za bezpečnosť sietí zodpovedá oddelenie informatiky.

3. Interná sieť Prevádzkovateľa je od verejných sietí oddelená a je primerane chránená firewallom a proxy servermi.

4. Pripojenie sieťových zariadení do internej siete je riadené a umožnené len sieťovým zariadeniam (počítače, notebooky, sieťové tlačiarne, servery), ktoré sú majetkom Prevádzkovateľa, a ktoré používajú zamestnanci Prevádzkovateľa na plnenie pracovných úloh.

5. Je zakázané pripájať do internej počítačovej siete zariadenia, ktoré nie sú majetkom Prevádzkovateľa. Takéto zariadenia môže v odôvodnených prípadoch pripájať do internej počítačovej siete len pracovník oddelenia IT.

Využívanie internetu

1. Využívanie služieb internetu zamestnancami je určené pre plnenie pracovných úloh.

2. Používanie internetu musí brať do úvahy dôvernosť prenášaných informácií.

3. Je zakázané využívať internet na prenos softvéru alebo informácií, ktoré môžu spôsobiť porušenie autorských práv.

4. Povolené je využívanie iba verejných služieb WWW (world wide web) a FTP (file transfer protocol).

5. Na ochranu informačného systému spoločnosti pred škodlivými programami oddelenie IT zavádza opatrenia obmedzujúce niektoré typy internetovej komunikácie a sťahovanie niektorých typov súborov z internetu.

6. V prípade, ak užívateľ nemôže využívať niektorú službu internetu alebo nemôže si stiahnuť do počítača nejaký súbor potrebný pre výkon svojej práce, tak pracovník oddelenia IT mu môže umožniť využívanie danej služby alebo stiahnutie súboru na základe písomnej žiadosti podpísanej vedúcim organizačnej zložky používateľa, ktorý danú službu alebo súbor požaduje.

7. Zamestnanci majú povolené:

a) sťahovanie súborov z internetu iba v prípade keď je to potrebné pre vykonávanie ich pracovnej činnosti,

b) publikovať na internet iba informácie, ktoré nie sú informáciami internými alebo utajovanými skutočnosťami,

c) používať na prístup do internetu iba technológie (webový prehliadač, prepojenie sietí), ktoré sú na tento účel určené.

8. Zamestnanec pri prístupe do siete Internet je povinný dodržiavať nasledujúce zásady:

a) prístup do siete Internet využívať predovšetkým v súlade so svojou pracovnou náplňou a činnosťou príslušného organizačného útvaru,

b) rešpektovať etické zásady platné v Internete a zdržať sa činností, ktoré by viedli k poškodeniu dobrého mena spoločnosti alebo k iným škodám,

c) komunikácia v Internete (napríklad elektronická pošta) spravidla nie je chránená pred „odpočúvaním”. V prípade potreby prenosu osobných a citlivých údajov sieťou Internet je nevyhnutné tieto riadne zabezpečiť ich zašifrovaním,

d) riadiť sa hláseniami antivírusového programu,

e) nepripájať sa na neznáme internetové stránky s neprevereným obsahom, ak to nie je potrebné na výkon pracovných úloh,

f) nepoužívať heslá, ktoré sa používajú pre prístup k vnútorným informačným systémom, na prístup k verejným internetovým službám.

Využívanie elektronickej pošty

1. Elektronická pošta sa používa pre účely internej a externej komunikácie.

2. Použitie iných systémov elektronickej pošty (napr. verejné poštové servery) pre výmenu informácií je zakázané.

3. Každý zamestnanec je zodpovedný za obsah správ, ktorý musí byť v súlade s etikou písomného styku.

4. Zamestnanci Prevádzkovateľa majú prísne zakázané používanie elektronickej pošty na prenos softvéru alebo informácií, ktorými môže byť spôsobené porušenie autorských práv alebo zákonov.

5. Pre zaistenie bezpečnosti informačného systému Prevádzkovateľa pred škodlivými programami sú v sieti Prevádzkovateľa implementované opatrenia obmedzujúce odosielanie a prijímanie správ s určitými typmi Príloh.

6. Z dôvodov zaistenia bezpečnosti IS ako aj v z dôvodu zaistenia plnenia pracovných činností si Prevádzkovateľ vyhradzuje právo v odôvodnených prípadoch vykonávať

 
 Váš názor
Čo by ste zmenili na tomto portáli?
 Úspešne odoslané
Input: