tel:+421 2 443 735 90 info@arisan.sk
SlovenčinaEnglishDeutsch

Zákon o ochrane osobných údajov

Dňa 1. júla 2013 nadobudol účinnosť nový zákon č. 122/2013 Z. z. o ochrane osobných údajov (ďalej len „zákon o ochrane osobných údajov). Nadobudnutím účinnosti tohto zákona vznikajú zamestnávateľovi nové povinnosti vo vzťahu k ochrane osobných údajov zamestnancov.

Úlohou tohto zákona je ochrana práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracovaní ich osobných údajov. Tento zákon sa nevzťahuje na spracovanie údajov o právnických osobách a fyzických osobách – živnostníkoch.

V zákone sú uvedené presné definície niektorých pojmov, s ktorými je potrebné aby sa zamestnávatelia oboznámili ešte pred začatím spracovania osobných údajov. V zákone sa uvádza nový spoločný názov právny základ spracúvania osobných údajov. Právny základ predstavuje oprávnenie zamestnávateľa k spracúvaniu osobných údajov (resp. jeho dôvod spracovávať osobné údaje) jednotlivých fyzických osôb (dotknutých osôb). Právnym základom môže byť napr. osobitný zákon alebo súhlas zamestnanca. Môže ním byť teda aj Zákonník práce, zákon o dani z príjmov, zákon o sociálnom poistení a pod.

Zákon definuje osobné údaje ako údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora (rodné číslo) alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Osobné údaje môže prevádzkovateľ (zamestnávateľ) od zamestnanca získavať a spracovávať len na vymedzený alebo ustanovený účel. Týmto môže byť aj povinnosť prihlásiť zamestnanca do registra poistencov, ktorý vyplýva zo zákona o sociálnom a zdravotnom poistení.

Ak zamestnávateľovi spracováva mzdy a personalistiku externá spoločnosť (sprostredkovateľ), zákon o ochrane osobných údajov nevyžaduje súhlas zamestnanca so zverením osobných údajov externému podniku. S takouto externou spoločnosťou musí mať zamestnávateľ uzatvorenú písomnú zmluvu najneskôr v deň začatia spracúvania osobných údajov a musí oznámiť zamestnancovi, že jeho osobné údaje sú spracované sprostredkovateľom, ak poveril sprostredkovateľa spracovaním osobných údajov až po získaní osobných údajov zamestnanca.

Externá spoločnosť spracujúca mzdy a personalistiku zamestnávateľa je povinná vždy pri prvom kontakte oznámiť zamestnancovi, že spracúva jeho osobné údaje. Ak už externá firma oznámila zamestnancovi, že spracúva jeho osobné údaje nemusí tak urobiť zamestnávateľ.

Za ochranu osobných údajov je zodpovedný vždy priamo prevádzkovateľ (zamestnávateľ). Je povinný chrániť tieto údaje pred poškodením, stratou, neoprávneným prístupom alebo sprístupnením. Na tento účel je povinný prijať primerané bezpečnostné opatrenia. Ak zamestnávateľ spracúva osobitné kategórie osobných údajov (rodné číslo) zamestnancov automatizovane, napr. prostredníctvom počítača pripojiteľného na internet, je povinný vypracovať bezpečnostný projekt. V ňom je povinný zdokumentovať prijaté bezpečnostné opatrenia. 

Je dôležité pripomenúť, že tak u zamestnávateľa ako aj u externého sprostredkovateľa prichádza do styku s osobnými údajmi oprávnená osoba. Táto musí byť ešte pred uskutočnením prvej operácie s osobnými údajmi písomne poučená, najmä o rozsahu oprávnení, povolených činnostiach a podmienkach spracovania osobných údajov.

V prípade, že zamestnávateľ resp. sprostredkovateľ (každý samostatne), spracúva osobné údaje prostredníctvom viac ako 20 oprávnených osôb, je povinný písomne poveriť zodpovednú osobu, ktorá bude dohliadať na dodržiavanie zákonom stanovených ustanovení pri spracovaní osobných údajov.

Prevádkovateľ je povinný viesť evidenciu informačných systémov, v ktorých spracúva osobné údaje, v prípade, že tieto informačné systémy nepodliehajú registrácii na Úrade pre ochranu osobných údajov. Ide najmä o mzdové a účtovné programy, v ktorých sú osobné údaje spracované na základe zákona. V opačnom prípade je prevádzkovateľ povinný zaregistrovať si svoje informačné systémy ešte pred začatím spracovania osobných údajov.

Zákon o ochrane osobných údajov zavádza lehoty, v rámci ktorých sú prevádzkovateľ a sprostredkovateľ povinní zapracovať všetky zmeny v súlade s ochranou osobných údajov, ktorými sú:

  1. do 31. 12. 2013 uviesť do súladu so zákonom všetky IS, v ktorých sú osobné údaje spracované a vykonať poučenie oprávnených osôb
  2. do 31. 03. 2014 zosúladiť prijaté bezpečnostné opatrenia
  3. do 30. 06. 2014 zosúladiť zmluvné vzťahy medzi prevádzkovateľom a sprostredkovateľom

V prípade nesplnenia si povinností, prináša so sebou tento zákon aj množstvo sankcií a pokút v rozmedzí od 300 do 300 000 eur.

V prípade záujmu o podrobnosti nájdete v prílohe náš komentár k vybraným častiam spomínaného zákona:

Komentár k vybraným častiam zákona o ochrane osobných údajov