Povinnosti prevádzkovateľa, pokuty, termíny

Aké povinnosti vyplývajú prevádzkovateľovi zo zákona o ochrane osobných údajov?

Každá prevádzka, ktorá spracováva osobné údaje fyzických osôb, pričom niektoré z nich patria do osobitnej kategórie osobných údajov (napr. rodné číslo) musí mať podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. vypracovaný bezpečnostný projekt, resp. mať popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach.

Vzhľadom na elektronické spracovávanie osobných údajov vo väčšine slovenských prevádzok je projekt o to náročnejší, že treba chrániť nielen papierovú, ale predovšetkým elektronickú dokumentáciu, a to nielen dokumentáciu o fyzických osobách, ktorých údaje spracovávajú, ale aj dokumentáciu s osobnými údajmi zamestnancov prevádzky.

Informačný systém (napr. mzdová agenda, kamerový systém, e-shop ale aj tabuľka v programe Excel, kde sa zapisujú údaje pre vernostné kartičky, či obyčajná zložka zamestnanca vedená v papierovej podobe a pod.) bude podliehať buď evidencii, ktorú prevádzkovateľ vedie u seba, alebo bezplatnému oznámeniu na úrade. Informačné systémy, v ktorých dochádza k spracovaniu osobných údajov musí byť evidované alebo oznámené najneskôr v deň začatia spracúvania osobných údajov v jednotlivých informačných systémoch.

Pri nástupe na pracovnú pozíciu dotknutú zákonom sa musí poučiť osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru. Vo väčšine prípadov ide o zamestnanca (predajca, personalista, mzdová účtovníčka atď.), ale netreba zabudnúť ani na IT technika, ktorý sa v prípade poruchy dostane do Vášho počítača. Osoba sa po poučení stáva oprávnenou osobou a môže pracovať s osobnými údajmi. Poučenie po novelizácii zákona už nemusí byť písomné, len musí byť hodnoverne preukázateľné.

Prevádzkovateľ je takisto povinný dať zmluvný vzťah so sprostredkovateľom, ktorý spracúva osobné údaje v mene prevádzkovateľa do súladu s novým zákonom do 31.6.2015.


Podľa novelizácii zákona o ochrane osobných údajov č.122/2013 Z.z. a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. úrad opäť bude môcť zvážiť či pokutu uloží alebo nie. Výšky pokút sú aj po znížení pomerne vysoké. Sankcionované môžu byť všetky subjekty, ktoré sa zapájajú do procesu spracúvania osobných údajov., t.j. prevádzkovatelia, sprostredkovatelia, zodpovedné osoby, oprávnené osoby a dokonca aj samotná dotknutá osoba, ak poskytne nepravdivé osobné údaje. Výška pokuty za jednotlivé správne delikty sa pohybuje v nasledovných výškach v závislosti od druhu a závažnosti porušenia zákona:

Od 300 do 3000 EUR úrad môže uložiť pokutu prevádzkovateľovi alebo sprostredkovateľovi, ak:
- nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb
- nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby
- nesplnil alebo porušil oznamovaciu povinnosť
- nesplnil alebo porušil povinnosť vedenia evidencie informačného systému

Od 1000 EUR do 50 000 EUR úrad môže uložiť pokutu prevádzkovateľovi alebo sprostredkovateľovi, ak:
- nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov
- nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov
- nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov
- nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb

Od 1000 EUR do 200 000 EUR úrad uloží pokutu prevádzkovateľovi alebo sprostredkovateľovi, ak:
- nesplnil alebo porušil povinnosť poveriť spracúvaním osobných údajov sprostredkovateľa na základe písomnej zmluvy
- nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt
- nesplnil alebo porušil povinnosť osobitnej registrácie informačného systému
- pri spracúvaní osobitnej kategórie osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 13 a 14

Od 150 do 2000 EUR tomu, kto poskytne nepravdivé osobné údaje, nepostupoval v súlade s technickými, organizačnými alebo personálnymi opatreniami, poruší povinnosť mlčanlivosti o osobných údajoch alebo neposkytol úradu požadovanú súčinnosť pri výkone dozoru podľa tohto zákona.

Pri určovaní výšky konkrétnej pokuty je dozorný orgán povinný prihliadať najmä na „závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.“ Pokuty môžu byť ukladané opakovane, ak povinný subjekt nesplní svoju povinnosť zaplatiť výšku uloženej pokuty v lehote ustanovenej právoplatným rozhodnutím dozorného orgánu.