GDPR - najčastejšie otázky a odpovede

Vážení priatelia, dnes ponúkame niekoľko otázok a odpovedí, ktoré by vám mohli pomôcť.

Na parkovisku obchodného centra bol na mojom aute neznámou osobou poškodený blatník, prevádzkovateľ kamier sa bráni „z dôvodu GDPR“ poskytnúť záznam z kamerového systému. Záznam potrebujem pre riešenie poistnej udalosti. Ako môžem postupovať?

Bez zbytočného odkladu informujte o danom incidente prevádzkovateľa kamerového systému (obvykle prevádzkovateľ obchodného centra, supermarketu apod.) a požiadajte ho o vyhľadanie a uchovanie predmetného záznamu dokumentujúceho priebeh krádeže, vykradnutie či poškodenie automobilu, aby nedošlo k automatickému vymazaniu starších záznamov.

Riešenie škodovej udalosti a ochrana vlastného majetku je oprávneným záujmom majiteľa vozidla, ktorému bola spôsobená škoda. Za porušenie povinností prevádzkovateľa kamerového systému (napr. obchodného centra ako prevádzkovateľa parkoviska) z hľadiska GDPR teda nie je možné považovať poskytnutie kópie záznamu alebo relevantnej časti kamerového záznamu poškodenému. Prevádzkovateľ by nemal poskytnutie záznamu ani paušálne odmietnuť z dôvodu výskytu ďalších osôb na zázname, ktoré nemali zjavne žiadny vzťah ku škodovej udalosti, nakoľko je technicky možné znečitateľnenie alebo odstránenie časti záznamov.

Samozrejme platí, že záznam musí byť príslušnými osobami, vrátane poškodeného, využívaný účelne a primerane. To znamená typicky ako dôkazný prostriedok, napr. predložením záznamu poisťovni pre riešenie poistnej udalosti alebo predložením mestskej či štátnej polícii.

Kto zodpovedá za údaje zákazníka? Prevádzkovateľ e-shopu alebo jeho prenajímateľ, u ktorého budú všetky údaje uložené v databáze a webhostingu?

Za spracovanie osobných údajov zodpovedá primárne prevádzkovateľ osobných údajov, ktorým je prevádzkovateľ e-shopu, uzatvárajúci zmluvy so svojimi zákazníkmi. Pokiaľ budú údaje uložené v databáze a webhostingu prenajímateľa, bude prenajímateľ v postavení sprostredkovateľa, s ktorým je potrebné uzatvoriť zmluvu podľa článku 28 ods. 3 GDPR. Sprostredkovateľ je taktiež zodpovedný za prijatie opatrení pre zabezpečenie osobných údajov podľa článku 32 GDPR.

Môže združenie alebo spolok zverejňovať fotografie zo spoločných akcií, predstavení, verejných vystúpení, na ktorých sú spoločne s usporiadateľmi, vystupujúcimi, hercami a ďalšími účastníkmi zachytení aj návštevníci akcií a širšia verejnosť?

Áno, môže. Pri zaznamenávaní a zverejňovaní reportážnych a propagačných fotografií sa nejedná primárne o problematiku ochrany osobných údajov, ale o postup, kde je potrebné sa pri ich vytváraní chovať slušne – Občiansky zákonník § 12 ods. 3 (Podobizne, obrazové snímky a obrazové a zvukové záznamy sa môžu bez privolenia fyzickej osoby vyhotoviť alebo použiť primeraným spôsobom tiež na vedecké a umelecké účely a pre tlačové, filmové, rozhlasové a televízne spravodajstvo. Ani také použitie však nesmie byť v rozpore s oprávnenými záujmami fyzickej osoby.) 

Môže sestrička v ambulancii pacienta volať podľa priezviska? Môže v nemocnici, kde sú spoločné postele, hovoriť lekár diagnózu?

Prax volania pacientov podľa priezviska v čakárni nie je v rozpore s GDPR. Existujú však oddelenia, ako je venerologická ambulancia alebo infekčné oddelenie, kde existuje riziko diskreditácie. V týchto prípadoch je nutné zaviesť postupy vedúce ku zvýšenej ochrane osobných údajov pacienta. 

Má pacient právo na výmaz osobných údajov zo zdravotníckej dokumentácie?

Právo na výmaz osobných údajov nie je absolútne a podľa GDPR sa neuplatní v prípade, že spracovanie osobných údajov je nevyhnutné pre poskytovanie zdravotnej starostlivosti alebo liečby. Poskytovateľ zdravotných služieb je povinný riadiť sa príslušnou legislatívou.

Spadá rodné číslo do osobitnej kategórie osobných údajov podľa GDPR?

Výpočet osobných údajov, ktoré sú podľa článku 9 ods. 1 GDPR považované za osobitné kategórie osobných údajov, je taxatívny, t. j. ide o uzavretú skupinu údajov (predchádzajúca právna úprava, zákon o ochrane osobných údajov, pracoval s termínom „citlivé osobné údaje“). Rodné číslo nie je v tejto skupine uvedené.
Do osobitných kategórií osobných údajov patria osobné údaje vypovedajúce o:

• rasovom alebo etnickom pôvode,
• politických názoroch,
• náboženskom vyznaní či filozofickom presvedčení,
• členstve v odboroch,
• spracovaní genetických údajov,
• biometrických údajoch pre účely individuálnej identifikácie fyzickej osoby,
• údajoch o zdravotnom stave,
• sexuálnom živote alebo sexuálnej orientácii fyzickej osoby. 

Týmto údajom je priznaný zvýšený dôraz na ich ochranu pri ich spracovaní podľa GDPR.

Zdroj:
[https://www.uoou.cz/]

Viac informácií:
Kontrola spracúvania osobných údajov
Spôsoby získavania osobných údajov
Audit plnenia požiadaviek nariadenia gdpr