Spôsoby získavania osobných údajov

Ochrana osobných údajov patrí do oblasti základných ľudských práv a slobôd a v prostredí Slovenskej republiky musí spĺňať požiadavky zabezpečenia ochrany na štandardnej európskej úrovni. 

Prevádzkovateľ v zmysle platnej právnej úpravy v oblasti ochrany osobných údajov získava osobné údaje jednak priamo od dotknutých osôb alebo nepriamo od iných subjektov.

Priame získavanie osobných údajov od dotknutých osôb:

V prípade priameho získavania osobných údajov má prevádzkovateľ povinnosť informovať dotknutú osobu o spracúvaní jej osobných údajov najneskôr pri samotnom získavaní (preukázateľne, primeraným spôsobom, jednoducho, zrozumiteľne) a bez vyzvania jej vopred oznámiť:

• názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak za prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine koná na území Slovenskej republiky zástupca prevádzkovateľa, aj jeho názov a sídlo alebo trvalý pobyt,
• názov a sídlo alebo trvalý pobyt sprostredkovateľa, ak v mene prevádzkovateľa alebo zástupcu prevádzkovateľa získava osobné údaje sprostredkovateľ; v takomto prípade je povinný včas oznámiť dotknutej osobe informácie podľa tohto odseku sprostredkovateľ,
• účel spracúvania osobných údajov 
• ďalšie doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov
• preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
• poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak sa dotknutá osoba sama rozhoduje o poskytnutí svojich osobných údajov, prevádzkovateľ oznámi dotknutej osobe, na základe akého právneho podkladu mieni spracúvať jej osobné údaje; ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z osobitného zákona, prevádzkovateľ oznámi dotknutej osobe zákon, ktorý jej túto povinnosť ukladá a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
• tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
• okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
• formu zverejnenia, ak majú byť osobné údaje zverejnené,
• tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
• poučenie o existencii práv dotknutej osoby.

Získavať osobné údaje nevyhnutné na dosiahnutie účelu 

Spracúvať kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby. Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.

Priestor prístupný verejnosti

možno monitorovať pomocou videozáznamu alebo audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu, a to len vtedy, ak priestor je zreteľne označený ako monitorovaný. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po ukončení spracovania. Povinnosť mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov činných v trestnom konaní.
Dotknutá osoba - každá fyzická osoba, o ktorej sa spracúvajú osobné údaje, má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať

•     vo všeobecne zrozumiteľnej forme informácie o stave spracúvania svojich osobných údajov v informačnom systéme;
•     vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
•     vo všeobecne zrozumiteľnej forme odpis jej osobných údajov, ktoré sú predmetom spracúvania,
•     opravu jej nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,
•     likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
•     likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona. 
•     Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať o tom oznámenie Úradu na ochranu osobných údajov.

Získavanie osobných údajov dotknutých osôb od tretích strán:

V druhom prípade ich získava od tretích strán (napr. od zamestnávateľa, u ktorého prevádzkovateľ vykonáva kontrolu, alebo od subjektov poskytujúcich súčinnosť a pod.) a postupuje podľa čl. 14 GDPR, resp. § 20 zákona č. 18/2018 Z. z.

Na spracúvanie osobných údajov dotknutých osôb, ktoré prevádzkovateľ získal pri plnení svojich úloh a povinností od tretích strán, sa pre plnenie povinnosti transparentne informovať dotknuté osoby vzťahujú výnimky podľa čl. 14 ods. 5 GDPR, resp. § 20 ods. 5 zákona č. 18/2018 Z. z. Ide najmä o spracúvanie osobných údajov dotknutých osôb pri vykonávaní kontrolnej činnosti prevádzkovateľa, tiež o spracúvanie v rámci plnenia povinností prevádzkovateľa ako zamestnávateľa, ak ide o dotknuté osoby, ktoré sú rodinnými príslušníkmi zamestnanca prevádzkovateľa alebo jemu blízkou osobou.

Kedy môžem získavať a požívať osobné údaje?

Pokiaľ k tomu máte jasný právny dôvod. Takým dôvodom sú napr. kúpne alebo pracovné zmluvy a všetky situácie, kedy to nariaďuje zákon – vedenie evidencií štátnymi orgánmi, mzdová a účtovná evidencia ap. V niektorých prípadoch to môže byť ochrana našich práv, napr. kamerový systém, alebo verejný záujem o informácie o určitých, najmä verejne činných, osobách. Použitie získaných osobných informácii ale nesmie neprimerane zasahovať do súkromného života daných ľudí. Ideálne je si vykonať audit plnenia požiadaviek nariadenia GDPR.

Ak organizácia nemá právny dôvod a chce zbierať osobné údaje:

Pokiaľ nemáte žiadny právny dôvod, a napriek tomu chcete získavať osobné údaje, napr. chcete vedieť, akým produktom a službám dávajú Vaši zákazníci prednosť, musíte ich požiadať o súhlas so spracovaním ich osobných údajov. Pozor – súhlas je dobrovoľný a nemôžete ním podmieňovať napr. uzatvorenie zmluvy. Pokiaľ zákazník svoj súhlas odvolá, má právo na vymazanie svojich osobných údajov z Vašej evidencie.

Zaujímavé odkazy:

Aké sú povinnosti prevádzkovateľov eshopov z pohľadu GDPR?
Ako sa pohybovať bezpečne v online svete – na pracovnom počítači
Výkon auditov v oblasti ochrany osobných údajov podľa nariadenia GDPR