Prevádzkovateľ v zmysle platnej právnej úpravy v oblasti ochrany osobných údajov (čl. 13 a 14 GDPR/ § 19 a 20 zákona č. 18/2018 Z. z.
o ochrane osobných údajov) spracúva osobné údaje fyzických osôb jednotlivcov („dotknutých osôb“),
ktoré získava jednak priamo od nich alebo nepriamo od iných subjektov
Informačná povinnosť
- Ak
sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je
prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní
- identifikačné údaje a kontaktné údaje
prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
- kontaktné údaje zodpovednej osoby, ak je
určená,
- účel spracúvania osobných údajov, na
ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
- oprávnené záujmy prevádzkovateľa alebo
tretej strany, ak sa osobné údaje spracúvajú podľa §
13 ods. 1 písm. f),
- identifikáciu príjemcu alebo kategóriu
príjemcu, ak existuje,
- informáciu o tom, že prevádzkovateľ
zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej
organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie,
informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej
len „Komisia“) o primeranosti alebo odkaz na primerané záruky alebo vhodné
záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli
sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa §
48 ods. 2, §
49 alebo §
51 ods. 1 a 2.
Práva dotknutej osoby
- V
zmysle § 21 zákona NR SR č. 18/2018 Z. z. dotknutá osoba má právo získať od
prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej
týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo
získať prístup k týmto osobným údajom a informácie o
- účele spracúvania osobných údajov,
- kategórii spracúvaných osobných údajov,
- identifikácii príjemcu alebo o kategórii
príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o
príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
- dobe uchovávania osobných údajov; ak to
nie je možné, informáciu o kritériách jej určenia,
- práve požadovať od prevádzkovateľa
opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo
obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
- práve podať návrh na začatie konania
podľa § 100,
- zdroji osobných údajov, ak sa osobné
údaje nezískali od dotknutej osoby,
- existencii automatizovaného
individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch
poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom
postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania
osobných údajov pre dotknutú osobu.
- Dotknutá
osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu
podľa § 48 ods. 2 až 4, ak sa
osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.
- Prevádzkovateľ
je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za
opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže
prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym
nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe
spôsobom podľa jej požiadavky.
-
Právo získať osobné údaje podľa odseku 3 nesmie mať nepriaznivé dôsledky
na práva iných fyzických osôb.
Dotknuté osoby v súvislosti so spracúvaním ich osobných údajov majú práva, ktoré si uplatňujú
u prevádzkovateľa:
- Právo
na prístup – dotknutá
osoba má právo na poskytnutie kópie osobných údajov, ktoré má prevádzkovateľ o
dotknutej osobe k dispozícii, ako aj na informácie o tom, ako osobné údaje
prevádzkovateľ používa. Vo väčšine prípadov budú osobné údaje dotknutým osobám
poskytnuté v písomnej listinnej forme, pokiaľ nepožadujú iný spôsob ich
poskytnutia. Ak o poskytnutie týchto informácií požiadajú elektronickými
prostriedkami, budú poskytnuté elektronicky, ak to bude technicky možné.
- Právo
na opravu –
prevádzkovateľ je povinný zabezpečovať presnosť, úplnosť a aktuálnosť
spracúvaných osobných údajov, ktoré má o dotknutých osobách k dispozícii. Ak si
dotknutá osoba myslí, že údaje, ktorými disponuje prevádzkovateľ sú nepresné,
neúplné alebo neaktuálne, má požiadať prevádzkovateľa, aby tieto upravil,
aktualizoval alebo doplnil.
- Právo
na výmaz (tzv. právo
„na zabudnutie“)– dotknutá osoba má právo požiadať o vymazanie osobných
údajov, napr. v prípade, ak osobné údaje viac nie sú potrebné na naplnenie
pôvodného účelu spracúvania. Právo však prevádzkovateľ posúdi z pohľadu
všetkých relevantných okolností. Napr. prevádzkovateľ môže mať určité právne
povinnosti, čo znamená, že nebude môcť žiadosti vyhovieť.
- Právo
na obmedzenie spracúvania
– za určitých okolností dotknutá osoba je oprávnená prevádzkovateľa požiadať,
aby prestal používať jej osobné údaje. Napr. prípady, keď si dotknutá osoba
myslí, že jej osobné údaje, môžu byť nepresné alebo keď si myslí, že jej osobné
údaje prevádzkovateľ už nepotrebuje využívať.
- Právo Dotknutej
osoby na splnenie oznamovacej povinnosti voči príjemcom - Prevádzkovateľa je povinný oznámiť
každému príjemcovi, ktorému osobné údaje Dotknutej osoby poskytol, každú opravu
a vymazanie osobných údajov alebo obmedzenie ich spracúvania. Túto povinnosť
Prevádzkovateľ nemá len v prípade, ak je takéto oznámenie
z objektívnych dôvodov nemožné alebo si vyžaduje neprimerané úsilie.
- Právo
na prenosnosť údajov –
za určitých okolností má dotknutá osoba právo požiadať prevádzkovateľa o prenos
osobných údajov na inú tretiu stranu podľa jej výberu. Právo na prenosnosť sa
týka len osobných údajov, ktoré prevádzkovateľ získal na základe súhlasu alebo
na základe zmluvy, ktorej je dotknutá osoba zmluvnou stranou.
- Právo
namietať – dotknutá
osoba má právo namietať voči spracúvaniu jej osobných údajov, ktoré je založené
na legitímnych oprávnených záujmoch prevádzkovateľa. V prípade, ak
prevádzkovateľ nemá presvedčivý legitímny oprávnený dôvod na spracúvanie a
dotknutá osoba podá námietku, prevádzkovateľ nebude osobné údaje ďalej
spracúvať.
- Právo
odvolať súhlas – v
prípadoch, kedy osobné údaje prevádzkovateľ spracúva na základe súhlasu, má
dotknutá osoba právo tento súhlas kedykoľvek odvolať. Súhlas môže odvolať
písomne alebo osobne. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania
osobných údajov, ktoré prevádzkovateľ na jeho základe o dotknutých osobách
spracúval.
- Právo
podať návrh na začatie konania o ochrane osobných údajov – ak sa dotknutá osoba domnieva, že jej
osobné údaje prevádzkovateľ spracúva nespravodlivo alebo nezákonne, môže podať
sťažnosť na dozorný orgán, ktorým je Úrad na ochranu osobných údajov Slovenskej
republiky.
Predmetný návrh musí v zmysle ustanovenia § 100 ods. 3 zákona o ochrane
osobných údajov obsahovať:
- meno, priezvisko, adresu trvalého pobytu
a podpis navrhovateľa;
- označenie toho, proti komu návrh
smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne
právnu formu a identifikačné číslo;
- predmet návrhu s označením, ktoré práva
sa podľa tvrdenia navrhovateľa pri spracúvaní osobných údajov porušili;
- dôkazy na podporu tvrdení uvedených v
návrhu;
-
kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa druhej časti druhej hlavy tohto zákona alebo osobitného predpisu, ak si takéto právo dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného zreteľa o neuplatnení predmetného práva, ak návrh podala dotknutá osoba;
Úrad následne rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa
začatia konania. V odôvodnených prípadoch môže Úrad túto lehotu primerane
predĺžiť, najviac však o 6 mesiacov. O predĺžení lehoty Úrad písomne informuje
účastníkov konania.
Vzor návrhu na začatie konania o ochrane osobných údajov môžete nájsť na
webovom sídle Úradu