Ochrana osobných údajov
Ochrana osobných údajov je pre Úrad na ochranu oznamovateľov protispoločenskej činnosti (ďalej len ,,ÚOO“) veľmi dôležitá a ÚOO považuje za potrebné informovať verejnosť o tom, ako spracúva získané osobné údaje, prečo ich zhromažďuje a čo to pre dotknuté osoby znamená. Z tohto dôvodu a v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR“) a zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“) ÚOO poskytuje nasledovné informácie o spracúvaní osobných údajov:
Identifikačné a kontaktné údaje
Prevádzkovateľ:
Úrad na ochranu oznamovateľov
Námestie slobody 29
811 06 Bratislava
E-mail: [email protected], tel.: 0948 935 166
Kontakt na zodpovednú osobu: [email protected]
Zásady spracúvania osobných údajov
UOO sa riadi v súlade s čl. 5 GDPR a § 6 až 12 zákona o ochrane osobných údajov pri spracúvaní osobných údajov týmito zásadami:
- zákonnosť, spravodlivosť a transparentnosť: osobné údaje spracúva len zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe,
- obmedzenie účelu: osobnú údaje sú získavané na konkrétne určené, výslovne uvedené a legitímne účely, ďalšie spracúvanie sa môže uskutočniť len na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu, či štatistické účely v súlade s článkom 89 ods. 1 GDPR a § 78 ods. 8 zákona o ochrane osobných údajov,
- minimalizácia údajov: osobné údaje sa získavajú len primerane, relevantne a obmedzene na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú,
- správnosť: prevádzkovateľ spracúva len správne a podľa potreby aktualizované osobné údaje a zároveň prijal opatrenia, aby zabezpečil, že z pohľadu účelu nesprávne spracúvané údaje sa bezodkladne vymažú alebo opravia (aktualizujú),
- minimalizácia uchovávania: prevádzkovateľ uchováva osobné údaje vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú,
- integrita a dôvernosť: prevádzkovateľ spracúva osobné údaje spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení,
- zodpovednosť: prevádzkovateľ je zodpovedný za dodržiavanie zásad spracúvania osobných údajov a je povinný tento súlad so zásadami na požiadanie preukázať Úradu na ochranu osobných údajov Slovenskej republiky.
Zákonnosť spracúvania
UOO spracúva osobné údaju v súlade s čl. 6 GDPR a § 13 zákona o ochrane osobných údajov na základe aspoň jedného z týchto právnych základov:
- súhlas dotknutej osoby,
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba alebo v rámci predzmluvných vzťahov na základe žiadosti dotknutej osoby,
- spracúvanie je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
- spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
- spracúvanie je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa; prevádzkovateľ neuplatňuje oprávnené záujmy pri výkone verejnej moci.
Účel spracúvania osobných údajov
ÚOO spracúva osobné údaje, a to najmä s cieľom plniť povinnosti a úlohy, ktoré jej vyplývajú z osobitných právnych predpisov, a to len v takom rozsahu, ktorý je nevyhnutný vzhľadom na účely, na ktoré boli získané.
Účelom spracúvania osobných údajov je predovšetkým
- plnenie úloh ÚOO podľa osobitného právneho predpisu, napr. zákon č. 54/2019 Z. z. o ochrane oznamovateľov protispoločenskej činnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
- výberové konania na voľné pracovné miesto v ÚOO, absolvovanie stáží,
- zabezpečenie verejného obstarávania,
- príprava, uzatváranie a vykonávanie zmlúv, uplatňovanie práv a plnenie povinností ÚOO z uzatvorených zmlúv,
- vedenie účtovníctva,
- vybavovanie sťažností a žiadostí,
- správa majetku,
- archivácia dokumentácie, spisov a záznamov, ktoré pochádzajú z činnosti ÚOO.
Ďalšie účely spracúvania osobných údajov môžu byť uvedené v jednotlivých zmluvách uzavretých medzi ÚOO a dotknutou osobou, napríklad v zmluvách s autormi, v licenčných zmluvách, v kúpnych zmluvách.
ÚOO môže spracúvať osobné údaje aj na základe súhlasu; v tomto prípade je účel spracúvania osobných údajov uvedený priamo v tomto súhlase. Ak sa osobné údaje poskytujú na základe súhlasu, dotknutá osoba má právo kedykoľvek svoj súhlas odvolať. Odvolanie súhlasu nemá vplyv na zákonnosť poskytnutia osobných údajov založeného na súhlase udelenom pred jeho odvolaním.
Osobné údaje nie sú spracúvané za iným účelom, ako za účelom, na ktorý boli pôvodne získané, ak tak neustanoví osobitný predpis, podľa ktorého prevádzkovateľ postupuje, alebo ak dotknutá osoba na to neudelí dobrovoľný súhlas.
Doba spracovania osobných údajov
ÚOO rešpektuje zásadu minimalizácie doby uchovávania osobných údajov. Zároveň sa na činnosť ÚOO vzťahujú osobitné predpisy, ktoré stanovujú dobu úschovy niektorých dokumentov (napríklad v prípade účtovných dokladov je to 10 rokov).
ÚOO je podľa osobitného zákona pôvodcom registratúry, ktorého povinnosťou je vypracovať registratúrny plán a predložiť ho na schválenie štátnemu ústrednému archívu. Doby úschovy niektorých dokumentov v ÚOO sa preto riadia schváleným registratúrnym plánom.
Zdieľanie osobných údajov
ÚOO môže byť na základe osobitných predpisov povinný poskytnúť osobné údaje iným orgánom verejnej správy a iným orgánom verejnej moci, napríklad polícii, prokuratúre, Úradu pre verejné obstarávanie, Inšpektorátu práce, Najvyššiemu kontrolnému úradu.
Odosielanie zásielok sa v ÚOO vykonáva prostredníctvom Slovenskej pošty alebo kuriérskej služby.
Cezhraničný prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám sa neuskutočňuje nakoľko prevádzkovateľovi nevyplýva z osobitných predpisov.
Práva dotknutých osôb
V súlade s čl. 15 až 22 GDPR a § 19 až 29 zákona o ochrane osobných údajov má dotknutá osoba vo všeobecnosti nasledovné práva:
- právo na potvrdenie o spracúvaní osobných údajov,
- právo na prístup k osobným údajom,
- právo na opravu osobných údajov,
- právo na výmaz osobných údajov,
- právo na obmedzenie spracúvania osobných údajov,
- právo na prenosnosť osobných údajov,
- právo namietať spracovanie osobných údajov,
- právo na neuplatňovanie rozhodovania založeného na automatizovanom individuálnom rozhodovaní vrátane profilovania.
Právo na potvrdenie a prístup k osobným údajom
Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a nasledujúce informácie:
- účely spracúvania,
- kategórie spracúvaných osobných údajov na daný účel,
- identifikáciu príjemcov alebo kategórií príjemcov, ktorým boli alebo majú byť osobné údaje poskytnuté,
- dobu uchovávania osobných údajov alebo ak to nie je možné, informáciu o kritériách jej určenia,
- zdroj osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
- informácia o existencii práva požadovať opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo opráve namietať spracúvanie osobných údajov,
- informáciu o práve podať sťažnosť, resp. návrh na začatie konania na Úrad na ochranu osobných údajov,
- informáciu, či sa v podmienkach prevádzkovateľa vykonáva automatizované individuálne rozhodovanie alebo profilovanie.
Právo na opravu osobných údajov
Dotknutá osoba má právo na to, aby jej osobné údaje boli bez zbytočného odkladu opravené. Dotknutá osoba má taktiež právo žiadať o doplnenie jej neúplných osobných údajov.
Ak má dotknutá osoba záujem byť informovaná o oznámení plnenia tejto povinnosti voči príjemcom jej osobných údajov, je potrebné o to požiadať.
Právo na výmaz osobných údajov
Dotknutá osoba má právo na to, aby jej osobné údaje boli bez zbytočného odkladu vymazané, ak:
- už nie sú potrebné na účel, na ktorý sa získali a/alebo spracúvali,
- dotknutá osoba odvolá súhlas so spracúvaním osobných údajov a neexistuje iný právny základ pre spracúvanie,
- dotknutá osoba namieta spracúvanie osobných údajov na účely plnenia úloh vo verejnom záujme a oprávnené záujmy a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov,
- osobné údaje sa spracúvajú nezákonne na základe rozhodnutia Úradu na ochranu osobných údajov alebo iného orgánu príslušného na rozhodnutie o nezákonnom spracúvaní,
- dôvodom pre výmaz je splnenie povinnosti podľa zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná
- osobné údaje sa získali v súvislosti s ponukou služieb informačnej spoločnosti.
Povinnosť vymazať osobné údaje sa však neuplatňuje, ak je daná výnimka podľa čl. 17 ods. 3 GDPR alebo § 23 ods. 4 zákona o ochrane osobných údajov.
Ak má dotknutá osoba záujem byť informovaná o oznámení plnenia tejto povinnosti voči príjemcom jej osobných údajov, je potrebné o to požiadať.
Právo na obmedzenie spracúvania osobných údajov
Dotknutá osoba má právo na obmedzenie spracúvania ak:
- napadne správnosť osobných údajov,
- spracúvanie je nezákonné na základe rozhodnutia Úradu na ochranu osobných údajov alebo iného orgánu príslušného na rozhodnutie o nezákonnom spracúvaní a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia,
- prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov alebo
- namietala voči spracúvaniu podľa čl. 21 ods. 1 GDPR alebo § 27 ods. 1 zákona o ochrane osobných údajov, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
Dotknutej osobe bude vopred oznámené zrušenie obmedzenia jej osobných údajov.
Ak má dotknutá osoba záujem byť informovaná o oznámení plnenia tejto povinnosti voči príjemcom jej osobných údajov, je potrebné o to požiadať.
Právo na prenosnosť osobných údajov
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla UOO, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné. Možnosť prenositeľnosti sa individuálne posúdi v každom prípade.
Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
Uplatnenie práva na prenosnosť osobných údajov zo strany dotknutej osoby rovnako nesmie mať nepriaznivé dôsledky na práva iných osôb.
Právo namietať proti spracúvaniu osobných údajov
Dotknutá osoba má právo kedykoľvek z dôvodov týkajúcich sa jej konkrétnej situácie namietať spracúvanie, ak sú osobné údaje spracovávané na základe čl. 6 ods. 1 písm. e) alebo f) GDPR alebo § 13 ods. 1 písm. e) alebo f) zákona o ochrane osobných údajov. Dotknutá osoba nemá právo namietať spracúvanie osobných údajov z dôvodov verejného záujmu, ak sa osobné údaje spracúvajú na vedecký účel, na účel historického výskumu alebo na štatistický účel.
Právo na neuplatňovanie rozhodovania založeného na automatizovanom individuálnom rozhodovaní vrátane profilovania
Právo na neuplatňovanie rozhodovania založeného na automatizovanom individuálnom rozhodovaní vrátane profilovania sa v podmienkach ÚOO neuplatňuje; ÚOO nevykonáva spracúvanie založené na automatizovanom individuálnom rozhodovaní a nevykonáva profilovanie ani neposkytuje služby informačnej spoločnosti podľa čl. 8 ods. 1 GDPR a § 15 ods. 1 zákona o ochrane osobných údajov.
Uplatňovanie práv dotknutých osôb a dozor
Svoje práva si dotknutá osoba môže uplatniť najmä prostredníctvom kontaktných údajov prevádzkovateľa, a to bezodplatne.
Ak si dotknutá osoba uplatní opakované žiadosti o prístup k osobným údajom, za poskytnutie ďalších kópií osobných údajov je ÚOO v súlade s GDPR a zákonom o ochrane osobných údajov oprávnený účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Žiadosť dotknutej osoby je zjavne neopodstatnená alebo neprimeraná najmä pre jej opakujúcu sa povahu, ÚOO je oprávnený od dotknutej osoby požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo odmietnuť konať na základe žiadosti.
Ak vzniknú oprávnené pochybnosti o totožnosti dotknutej osoby, ktorá si uplatnila svoje práva, ÚOOje oprávnený vykonať overenie jej totožnosti, napríklad vyžiadaním si dodatočných informácií, jej predvolaním, ak je to účelné a overením dokladu jej totožnosti alebo iným vhodným spôsobom.
Ak sa dotknutá osoba domnieva, že pri spracúvaní osobných údajov boli porušené jej práva chránené GDPR a zákonom o ochrane osobných údajov, má právo podať sťažnosť, resp. návrh na začatie konania na:
Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12
820 07 Bratislava 27
tel.: +421 /2/ 3231 3214
E-mail: [email protected]