facebook sdantic@sdantic.sk +421 54 / 479 32 21 +421 902 400 401

Sociálny dom roka 2016 - Sociálny dom ANTIC n.o., Bardejov
TUV
Smernica upravuje zásady ochrany osobných údajov pre všetkých zamestnancov neziskovej organizácie Sociálny dom ANTIC n.o., Bardejov (ďalej len organizácia), v oblasti ochrany osobných údajov v zmysle Nariadenia Európskeho Parlamentu a Rady EÚ č. 2016/679 (GDPR) a zákona č. 18/2018   Z. z. o ochrane osobných údajov.

1.Vymedzenie základných pojmov a použité skratky

 

Vymedzenie základných pojmov
Osobné údaje
sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
Zodpovedná osoba
osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona.
Oprávnená osoba
fyzická osoba, ktorá spracováva osobné údaje a je poverená prevádzkovateľom spracúvať tieto údaje v jeho mene.
Dotknutá osoba
dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
Úrad
je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv fyzických osôb pri spracúvaní osobných údajov a ktorý vykonáva dozor nad ochranou osobných údajov vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi pri plnení úloh na účely trestného konania, ak nie je v § 81 ods. 7 a 8 ustanovené inak. Sídlom úradu je Bratislava.
Osobitná kategória osobných údajov
sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
 
Spracúvanie osobných údajov
spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
Prevádzkovateľ
každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov.
Sprostredkovateľ
každý, kto spracúva osobné údaje v mene prevádzkovateľa.
Tretia strana
každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.
Informačný systém
akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe.

 

Použité skratky

Pojem/Skratka
Vysvetlenie
GDPR
General Data Protection Regulation  - Nariadenie Európskeho Parlamentu a Rady EÚ č. 2016/679
ZO
Zodpovedná osoba
IT
Informačné technológie
IS
Informačný systém
Osobný údaj
DO
Dotknutá osoba

 

2.POVINNOSTI PREVÁDZKOVATEĽA

 

Prevádzkovateľ je povinný zabezpečiť:

  1. vypracovanie a pravidelnú aktualizáciu Analýzy DPIA (Posúdenie vplyvu na ochranu osobných údajov) pokiaľ je aktualizácia potrebná,
  2. vypracovanie a aktualizáciu záznamov o spracovateľskej činnosti organizácie, v ktorých sú osobné údaje v elektronickej alebo papierovej forme,
  3. proces získavania osobných údajov, ich poskytovanie, sprístupňovanie, prípadne zverejňovanie,
  4. posúdenie pred začatím spracúvania osobných a citlivých údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb,
  5. zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania  alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne oznámi generálnemu riaditeľovi,
  6. posúdenie, či osobné údaje svojim obsahom a rozsahom zodpovedajú účelu spracúvania, resp. či sú s daným účelom zlučiteľné,
  7. zabezpečovanie aktuálnosti spracúvaných osobných údajov a na ich likvidáciu (ak bol splnený účel spracúvania, alebo sa nedajú opraviť alebo doplniť tak, aby boli správne a aktuálne),
  8. rozhodnutie, či daným spracúvaním môže byť poverený sprostredkovateľ, ak je záujem na tom, aby spracúvanie vykonával,
  9. určenie, ktoré podmienky, ustanovené Nariadením GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov, je potrebné pri spracúvaní osobných údajov aplikovať,
  10. preverenie, či možno vykonávať prenos osobných údajov do tretích krajín, ak sa požaduje,
  11. zabezpečenie a organizáciu pravidelných školení zamestnancov ohľadom ochrany osobných údajov a  informačnej bezpečnosti, poučenie zamestnancov spoločnosti a tretích strán o svojich právach a povinnostiach predtým, ako získajú prístup k osobným údajom.

 

2.1 Posúdenie (analýza) vplyvu na ochranu osobných údajov (DPIA)

 

Dokumentácia DPIA je z hľadiska princípov založených na riziku zapracovaného do GDPR viac adresná a prehľadná. Postup hodnotenia potenciálnych rizík a nebezpečenstiev, ktorý je uvedený v Posúdení vplyvu na ochranu osobných údajov (DPIA) (príloha č. 1) vypracováva poverená osoba.
Riziká prehodnocuje minimálne 1 x ročne resp. vždy pri:
  • zmene činnosti organizácie,
  • zmene technológie (napr. pribudnutie nového pracoviska),
  • zmene IS, hardvéru a softvéru
  • zmene providera
  • pri výskyte chýb vo výsledkoch dátového spracovania
  • pri výskyte informačného incidentu a prieniku

 

DPIA je najnáročnejšou povinnosťou na správnu právnu dokumentáciu, ktorú zavádza Nariadenie GDPR. Posúdenie vzniku tejto povinnosti, či potrebu aktualizácie už existujúcej „DPIA dokumentácie“ je potrebné kontinuálne sledovať a zabezpečovať vo vzťahu ku všetkým novo začatým spracovateľským operáciám, ktoré sa plánujú spustiť aj v budúcnosti, a to ešte vo fáze ich prípravy (napr. vývoj novej smart aplikácie, nové funkcie vo vernostných programoch, rozširovanie a/alebo centralizácia väčších kamerových systémov, spustenie nových služieb apod.).
 

2.2 Záznamy o spracovateľských činnostiach

Podľa článku 30 Nariadenia GDPR a § 37 zákona č. 18/2018 Z. z. o ochrane osobných údajov je prevádzkovateľ povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný, prostredníctvom formulára „Záznam o spracovateľských činnostiach  – vzor“ (príloha č. 2). 
Každý identifikovaný IS resp. skupina podobných IS má vypracovaný samostatný formulár Záznam o spracovateľských činnostiach. Jednotlivé záznamy sú vedené zodpovednou osobou v centrálnej „databáze evidencií spracovateľských činností“ (príloha č. 3).

 

Zoznam záznamov o spracovateľských činnostiach formou automatizovaných informačných systémov
Názov Informačného systému
Stručná charakteristika IS
IS Personálna a mzdová agenda
Vedenie personálnej a mzdovej agendy pre pracovno-právne, mzdové účely a pre účely nemocenského, zdravotného, sociálneho a dôchodkového zabezpečenia, dane z príjmu zo závislej činnosti zamestnancov a osôb pracujúcich pre prevádzkovateľa na základe dohôd o prácach vykonávaných mimo pracovného pomeru prostredníctvom SW OLYMP.
IS Zamestnanci
Vedenie personálnej evidencie zamestnancov prostredníctvom programu SW CYGNUS.
IS Dochádzkový systém
Evidencia, sledovanie dochádzky  zamestnancov prostredníctvom automatizovaného systému SW EDO2.
IS Elektronická pošta
Evidencia a správa e-mailového konta, zoznamu mailov, e-mailové adresy, log mailov.
IS Sociálna agenda
Vedenie administratívy, evidencia prijímateľov sociálnej služby prostredníctvom SW CYGNUS.
Vedenie a správa poradovníka čakateľov na poskytovanie sociálnej služby.
IS Zdravotná agenda
Evidencia zdravotnej dokumentácie prijímateľa sociálnej služby určenej na zabezpečenie zdravotnej starostlivosti a na poskytovanie ošetrovateľskej starostlivosti prostredníctvom SW CYGNUS.
IS Účtovníctvo
Evidencia účtovníctva – archív.
Vedenie účtovnej agendy prostredníctvom SW OMEGA.
IS Kamerový systém
Preventívne zabezpečenie prostredia prevádzkovateľa, tiež ako použiteľný dôkazový materiál v priestupkovom, trestnom,  občianskoprávnom alebo pracovnoprávnom konaní, alebo v dokumentovaní neštandardného správania osoby v zábere kamery (napr. úraz).
IS Marketing
Marketingové a propagačné účely organizácie prostredníctvom web stránky www.sdantic.sk , sociálnych sietí a pod.
 
Zoznam záznamov o spracovateľských činnostiach formou neautomatizovaných informačných systémov
Charakteristické údaje pre neautomatizované informačné systémy: sú tvorené papierovými dokumentmi, kartotékami a tlačovými výstupmi z automatizovaných IS.
Názov Informačného systému
Stručná charakteristika IS
IS Personálna a mzdová agenda (kartotéka)
Evidencia uchádzačov o zamestnanie.
Evidencia BOZP a PO, Evidencia poučení o bezpečnosti práce, lekárske prehliadky, Zápisníky bezpečnosti práce, Záznamy z kontroly, Záznamy zo školení, Záznamy zo vstupného školenia.
Evidencia prideľovania OOPP.
Supervízia.
Vedenie administratívnej agendy (prezenčné listiny, organizačné normy, smernice, príkazy, rozhodnutia, záznamy o oboznámení sa s dokumentom).
IS Dochádzkový systém
Evidencia, sledovanie dochádzky  zamestnancov.
IS Účtovníctvo
Vedenie účtovníctva, evidencia darovacích zmlúv.
IS Správa registratúry a evidencia pošty
Evidencia a spracovanie prichádzajúcej a odchádzajúcej pošty.
Vedenie registratúrneho strediska, správa registratúry.
IS Kniha návštev
Evidencia návštev, fyzických osôb vstupujúcich do priestorov prevádzkovateľa.
Evidencia príchodov a odchodov prijímateľov sociálnej služby.
Evidencia objednávok za účelom poskytovania rehabilitačných služieb.
IS Sociálna agenda
Vedenie administratívy, evidencia prijímateľov sociálnej služby formou osobných spisov.
IS Zdravotná agenda
Evidencia zdravotnej dokumentácie prijímateľa sociálnej služby určenej na zabezpečenie zdravotnej starostlivosti a na poskytovanie ošetrovateľskej starostlivosti.
IS Riaditeľstvo
Evidencia nájomných, obchodných zmlúv a zakladateľských dokumentov.
Vedenie evidencie zodpovedných osôb, oprávnených osôb, vybavovanie podaní dotknutých osôb, kontrolné zistenia, ďalšie v zmysle Nariadenia Európskeho parlamentu a Rady EÚ 2016/679  GDPR (General Data Protection Regulation) a Zákona č. 18/2018 Z.z. o ochrane osobných údajov.
Vedenie  právnej agendy, evidencia sťažností, menovanie zodpovednej osoby – externý subdodávateľ, podnety anonymné, adresné, s obsahom osobných údajov, mailová komunikácia.

 

Bezpečnostná politika (Privacy policy / GDPR Ready)
Oblasť bezpečnostnej politiky má za cieľ poskytnúť usmernenie pre riadenie a podporu informačnej bezpečnosti v súlade s bezpečnostnými požiadavkami a relevantnými legislatívnymi požiadavkami, ktorú tvorí samostatná príloha tejto smernice  Bezpečnostná politky/Privacy policy a Vyhlásenie o ochrane osobných údajov GDPR Ready“ (príloha č. 4 a/b).

 

Bezpečnostná politika je zverejnená na web stránke organizácie www.sdantic.sk a vizualizovaná v priestoroch recepcie. Aktuálnosť zabezpečuje poverená osoba.

 

 
Ciele bezpečnosti ochrany osobných údajov
Organizácia deklaruje na účely vypracovania zásad ochrany osobných údajov strategické ciele bezpečnosti, ktoré sú deklarované v samostatnej prílohe „Ciele bezpečnosti osobných údajov“ (príloha č. 5). Ciele vypracováva poverená osoba a schvaľuje generálny riaditeľ.

 

Sprostredkovateľ / Prevádzkovateľ a sprostredkovateľská zmluva
Prevádzkovateľ je podľa článku 28 Nariadenia GDPR a § 34 zákona č. 18/2018 Z.z. oprávnený poveriť spracúvaním osobných údajov sprostredkovateľa. Pri výbere sprostredkovateľa je prevádzkovateľ povinný dbať na odbornú, technickú, organizačnú a personálnu spôsobilosť sprostredkovateľa. Taktiež jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov. Na účely poverenia sprostredkovateľa spracovaním osobných údajov sa súhlas dotknutej osoby nevyžaduje.
Poverenie sprostredkovateľa sa vykonáva písomnou sprostredkovateľskou zmluvou (príloha č. 6). Zmluvu sú prevádzkovateľ a sprostredkovateľ povinní uzavrieť pred začatím spracúvania osobných údajov. Najneskôr v deň začatia spracúvania osobných údajov sprostredkovateľom.
 
Nariadenie GDPR v súvislosti s ustanovením sprostredkovateľa ustanovilo tieto obsahové náležitosti sprostredkovateľskej zmluvy:
  • predmet a dobu spracúvania,
  • povahu a účel spracúvania,
  • typ osobných údajov,
  • kategórie dotknutých osôb,
  • povinnosti a práva sprostredkovateľa.

 

V sprostredkovateľskej zmluve musí byť tiež zakomponované, že sprostredkovateľ:

  • spracúva osobné údaje len na základe pokynov prevádzkovateľa,
  • zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií,
  • implementoval primerané bezpečnostné opatrenia (napr. pseudonymizáciu, šifrovanie a pod.),
  • pri zapojení ďalšieho sprostredkovateľa zostáva plne zodpovedný voči prevádzkovateľovi,
  • pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa GDPR,
  • vymaže alebo vráti všetky osobné údaje prevádzkovateľa po ukončení      poskytovania služieb.

Ekonóm vedie Evidenciu sprostredkovateľov (príloha č. 7). Evidencia musí byť priebežne aktualizovaná.

 

3.Práva dotknutých osôb

 

Dotknutá osoba má právo:

  1. Získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom (§ 21) a informácie o účele spracúvania osobných údajov; kategórii spracúvaných osobných údajov; identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné; dobe uchovávania osobných údajov,  ak to nie je možné, informáciu o kritériách jej určenia; práve požadovať od prevádzkovateľa opravu osobných údajov (§ 22) týkajúcich sa dotknutej osoby, ich vymazanie (zabudnutie) (§ 23) alebo obmedzenie ich spracúvania (§ 24), alebo o práve na prenos osobných údajov (§ 26) alebo o práve namietať spracúvanie osobných údajov (§ 27); práve podať návrh na začatie konania podľa § 100 zákona č. 18/2018 Z. z.; zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby; existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 zákona č. 18/2018 Z. z.; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
  2. Na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
  3. Na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak
 a) dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
 b) spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
 c) prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
 d) dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 zákona č. 18/2018 Z. z., a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
 

Postup vybavovania žiadosti dotknutej osoby na uplatnenie jej práv

Dotknutá osoba si môže kedykoľvek uplatniť právo dotknutej  osoby prostredníctvom formulára   Žiadosť dotknutej osoby na uplatnenie jej práv  - príloha č.8 a   Žiadosť dotknutej osoby na uplatnenie jej práv  - č.9 , ktoré sú na vyžiadanie sú poskytnuté pracovníkom recepcie.
V Žiadosti musí byť uvedené titul, meno, priezvisko, korešpondenčná adresa, e-mailová adresa a dátum narodenia a status dotknutej osoby. Prevádzkovateľ môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby, ak má oprávnené pochybnosti o totožnosti fyzickej osoby, ktorá túto žiadosť podáva. Ak Prevádzkovateľ preukáže, že dotknutú osobu nie je schopný identifikovať, môže v súlade s čl. 11 ods. 2 GDPR odmietnuť konať na základe tejto žiadosti pri výkone práv dotknutej osoby. Dotknutá osoba uvedie požadovaný spôsob vybavenia žiadosti (v listinnej forme, e-mailom) a vyznačí právo, ktoré si v zmysle GDPR svojou žiadosťou uplatňuje.
Jednotlivé žiadosti eviduje v došlej pošte recepčná a bezodkladne ich odovzdá zodpovednej osobe, ktorá vykoná evidenciu prostredníctvom formulára Evidencia Žiadostí uplatnenia práv dotknutých osôb (príloha č. 10 ), žiadosti sú riešené zodpovednou osobou a konečné rozhodnutie vydáva generálny riaditeľ. Výnimku z evidencie tvoria žiadosti o zmenu bežných osobných údajov v rámci personálneho oddelenia.

 

  1. Informačná povinnosť prevádzkovateľa

 
Aké informácie musí prevádzkovateľ poskyttnúť dotknutej osobe:
  1. získané od dotknutej osoby (čl. 13 GDPR) – osobné údaje poskytne dotknutá osoba vedome alebo sú získané jej monitorovaním kamerami alebo iným spôsobom,
  2. nie sú získané od dotknutej osoby (čl. 14 GDPR) – sú získané od iného prevádzkovateľa, inej dotknutej osoby alebo z verejne dostupných zdrojov.
 Aké sú osobné údaje získané od dotknutej osoby, prevádzkovateľ musí dotknutej osobe poskytnúť tieto informácie (príloha č. 11):
  • totožnosť a kontaktné údaje prevádzkovateľa,
  • kontaktné údaje zodpovednej osoby,
  • účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,
  • ak je spracúvanie nevyhnutné na účely oprávnených záujmov prevádzkovateľa, v informáciách musia byť uvedené, aké oprávnené záujmy sleduje prevádzkovateľ alebo tretia strana,
  • príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
  • v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny,
  • doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
  • existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,
  • ak je spracúvanie založené na súhlase dotknutej osoby, súčasťou informácií musí byť existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
  • právo podať sťažnosť dozornému orgánu,
  • existencia automatizovaného rozhodovania vrátane profilovania, ako aj význam a predpokladané dôsledky takéhoto spracúvania pre dotknutú osobu,
  • informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov.
Ak osobné údaje nie sú získané od dotknutej osoby, prevádzkovateľ musí dotknutej osobe poskytnúť tieto informácie:
  • totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,
  • kontaktné údaje prípadnej zodpovednej osoby,
  • účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,
  • ak je spracúvanie nevyhnutné na účely oprávnených záujmov prevádzkovateľa, v informáciách musia byť uvedené, aké oprávnené záujmy sleduje prevádzkovateľ alebo tretia strana,
  • príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
  • v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácie,
  • doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
  • existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,
  • ak je spracúvanie založené na súhlase dotknutej osoby, súčasťou informácií musí byť existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
  • právo podať sťažnosť dozornému orgánu,
  • existencia automatizovaného rozhodovania vrátane profilovania, ako aj význam a predpokladané dôsledky takéhoto spracúvania pre dotknutú osobu,
  • kategórie dotknutých osobných údajov,
  • z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov.

 

Informačná povinnosť sa neviaže len na okamih získavania osobných údajov. Prevádzkovateľ je povinný oznámiť dotknutým osobám každú zmenu, a zabezpečiť túto povinnosť od získania až po výmaz osobných údajov.
Poskytnutie informácií je realizované u personálnej a mzdovej účtovníčky prostredníctvom Oboznámenia dotknutej osoby (prílohy č. 11). Ako záznam z poskytnutia informácií zamestnancom slúži Potvrdenie o spracúvaní osobných údajov (príloha č. 12), podľa článku 15 Nariadenia Európskeho Parlamentu a Rady EÚ č. 2016/679 (GDPR) a § 19 - 21 zákona č. 18/2018  Z.z. o  ochrane osobných údajov.
Poskytnutie informácií prijímateľom sociálnej služby, zákonným zástupcom, opatrovníkom, iným rodinným príslušníkom, dodávateľom, návštevám je realizované prostredníctvom  Poskytnutia informácií dotknutej osobe - klient, dodávateľ, návšteva  (príloha č. 13a) poskytnutie informácií uchádzačom o zamestnanie je realizované prostredníctvom   Poskytnutia informácií dotknutej osobe - uchádzač o zamestnanie (príloha č. 13b). 
 

4.MANIPULÁCIA S OSOBNÝMI ÚDAJMI

Každý zamestnanec, ktorý príde do styku s osobnými údajmi (tzv. oprávnená osoba)  musí byť poučený podľa  čl. 29 a čl. 32 ods. 4 Nariadenia Európskeho parlamentu a Rady EÚ č. 2016/679 (GDPR)  a § 36 a § 39 ods. 4 zákona č. 18/2018 Z. z. o ochrane osobných údajov. Toto poučenie musí byť v súlade s jeho pracovnou náplňou. Poučenie oprávnenej osoby (príloha č. 14) vykonáva zodpovedná osoba alebo ňou poverená osoba. Za účelom evidencie oprávnených osôb je vedený Zoznam oprávnených osôb (Príloha č. 15), ktorý spravuje a aktualizuje personálny a mzdový referent.
Osobné údaje a personálne údaje môžu byť ukladané a prenášané len zabezpečeným spôsobom.

 

Zabezpečenie osobných údajov sa vykonáva nasledovnými opatreniami:
  1. Dokumenty na papieri a na pamäťových médiách musia byť ukladané v uzamykateľnej skrini, ktorá je umiestnená v uzamykateľnej miestnosti. Vstup do tejto miestnosti je povolený len generálnemu riaditeľovi a ním určeným zamestnancom.
  2. Prenášanie papierových dokumentov s personálnymi údajmi je možné len v uzavretých a nepriehľadných schránkach alebo obaloch.
  3. Miestnosti, v ktorých sa spracúvajú osobné údaje musia byť v neprítomnosti zamestnanca uzamknuté. Miestnosti musia byť vybavené zábranným opatrením (prepážkou), ktorá zamedzí neoprávneným osobám nahliadať do dokumentov a na obrazovky počítačov, alebo odcudziť média a dokumenty. Obrazovky počítačov musia byť umiestnené tak, aby nepovolané osoby z nich nemohli prečítať osobné údaje.
  4. Zakazuje sa zhotovovať (tlačiť) dokumenty s osobnými údajmi na iných zariadeniach než na zariadeniach, ktoré sú umiestnené v zabezpečených priestoroch v správe správcu personálnych údajov.
  5. Zakazuje sa zanechávanie dokumentov s osobnými údajmi v tlačových zariadeniach napr. kopírkach, tlačiarňach alebo faxoch bez dozoru.
  6. Zamestnanci sú povinní dodržiavať pravidlo čistého stola – nenechávať v neprítomnosti, najmä po skončení pracovnej doby, na stole dokumenty s osobnými údajmi.
  7. Poskytovať a sprístupňovať osobné údaje cez telefón je zakázané.

 

Pri získavaní a spracúvaní osobných údajov sú zamestnanci povinní dodržiavať nasledovné záväzné pravidlá:
  1. Pri získavaní osobných údajov do jednotlivých IS osobných údajov v rámci organizácie vyžadovať od fyzických osôb len tie osobné údaje, ktoré sú potrebné pre účel ich spracúvania.
  2. Získavať a spracúvať osobné údaje môže len ten zamestnanec, ktorý v rámci pracovnej zmluvy a náplne práce je poverenou a poučenou oprávnenou osobou.
  3. Pri získavaní a spracúvaní osobných údajov, je zamestnanec povinný zabezpečiť ochranu osobných údajov tak, že získavať a spracúvať osobné údaje môže len v prítomnosti oprávnených osôb. V prípade, ak v mieste získavania alebo spracúvania osobných údajov sa nachádza aj ďalšia neoprávnená osoba, je oprávnená osoba povinná prijať opatrenia k tomu, aby tieto údaje nemohli byť známe tejto neoprávnenej osobe a zabrániť tomu, aby táto neoprávnená osoby mohla do písomností obsahujúcich osobné údaje nahliadnuť a pod.
  4. Oprávnená osoba kontroluje a overuje správnosť a aktuálnosť osobných údajov po ich získaní a zaradení v informačnom systéme osobných údajov.
  5. Zakazuje sa, aby zamestnanci získavali osobné údaje fyzických osôb pod zámienkou iného účelu alebo inej činnosti, než účelu na ktorý sú získavané.
  6. Vykonávať povolené spracovateľské operácie podľa poučenia oprávnenej osoby  len so správnymi, úplnými a podľa potreby aktualizovanými osobnými údajmi vo vzťahu k účelu spracúvania,
  7. Nesprávne a neúplné osobné údaje je bez zbytočného odkladu povinná opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné je povinná blokovať, kým sa rozhodne o ich likvidácií.
  8. Pred získavaním osobných údajov od dotknutej osoby ju oboznámiť s názvom a sídlom organizácie, účelom spracúvania osobných údajov, rozsahom spracúvania osobných údajov, predpokladanom okruhu tretích strán pri poskytovaní osobných údajov alebo príjemcov pri sprístupňovaní osobných údajov, forme zverejnenia, ak sa osobné údaje zverejňujú a tretie krajiny, ak sa predpokladá, alebo je zrejmé, že sa do týchto krajín uskutoční cezhraničný prenos osobných údajov.
  9. Poučiť dotknutú osobu o dobrovoľnosti, alebo povinnosti poskytnutia osobných údajov a o existencii práv dotknutých osôb.
  10. Zabezpečiť preukázateľný súhlas so spracúvaním osobných údajov (príloha č. 16 a-d) v informačnom systéme organizácie, ak sa osobné údaje spracúvajú na základe súhlasu dotknutej osoby podľa čl. 7 Nariadenia GDPR a § 14 zák. č 18/2018 Z.z.
  11. Zabezpečiť preukázateľný súhlas so  spracúvaním osobitnej kategórie osobných údajov v informačnom systéme spoločnosti, ak sa osobné údaje spracúvajú na základe súhlasu dotknutej osoby podľa čl. 9 Nariadenia GDPR a § 16 zák. č 18/2018 Z.z..
  12. Preukázať príslušnosť oprávnenej osoby k spoločnosti hodnoverným dokladom (napr. služobným preukazom).
  13. Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií len vtedy, ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby alebo na základe písomného súhlasu dotknutej osoby, ak je to nevyhnutné na dosiahnutie účelu spracúvania.
  14. Chrániť prijaté dokumenty a súbory pred stratou a poškodením a zneužitím, odcudzením, neoprávneným sprístupnením, poskytnutím alebo inými neprípustnými formami spracúvania.
  15. Vykonať likvidáciu osobných údajov, ktoré sú súčasťou už nepotrebných pracovných dokumentov (napr. rôzne pracovné súbory, pracovné verzie dokumentov v listinnej podobe) rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať; to neplatí vo vzťahu k osobným údajom, ktoré sú súčasťou obsahu registratúrnych záznamov spoločnosti.
 
Podľa § 79 zákona č. 18/2018 Z.z. o ochrane osobných údajov sú všetci zamestnanci  povinní   zachovávať  mlčanlivosť o osobných údajoch,  s ktorými prídu do styku aj náhodne. Tie  nesmú využiť ani pre  osobnú potrebu a  bez súhlasu generálneho riaditeľa  ich nesmú zverejniť,  nikomu poskytnúť a ani sprístupniť. Túto mlčanlivosť sú povinní zachovať aj po skončení spracovávania osobných údajov alebo po skončení pracovného pomeru. Prevádzkovateľ predloží zamestnancovi na podpis  Dohodu o zachovaní mlčanlivosti (príloha č. 17).

 

5.BEZPEČNOSTNÉ INCIDENTY

 

  1. Detekcia incidentov je súbor činností a opatrení vedúcich k včasnému zisteniu bezpečnostného incidentu, resp. k včasnému zisteniu, že hrozba môže spôsobiť narušenie spracovania osobných údajov.
  1. Detekcia sa vykonáva nasledovnými spôsobmi:
  1. automatizovanými technickými prostriedkami – sú to napr. prostriedky hlásiace výskyt požiaru, senzory zisťujúce pohyb a pod.,
  2. automatickými a informatickými (programovými) prostriedkami -  sú to špecializované programy, ktoré vyhodnocujú prevádzkové záznamy, indikujú potenciálny incident,
  3. sústavnou činnosťou zamestnancov – primeraná ostražitosť zamestnancov.
  1. Ak výstupy z automatizovaných prostriedkov umožňujú záznam týchto výstupov, manipuluje sa s nimi ako s prevádzkovými záznamami.
  2. Pri zistení incidentu musí byť o tomto informovaný generálny riaditeľ a zodpovedná osoba.
  3. O každom bezpečnostnom incidente musí byť spracovaný záznam – Evidencia incidentov informačnej bezpečnosti (príloha č. 18). Záznam spracúva zodpovedná osoba v spolupráci s externým IT technikom. Každý zamestnanec je povinný poskytnúť ZO všetky podklady a údaje, ktoré potrebuje pre spracovanie záznamu o bezpečnostnom incidente.
  4. Záznam o bezpečnostnom incidente musí obsahovať:
  1. dátum a čas, kedy bol incident zistený, kedy skončil, a ak je to možné zistiť, aj kedy incident začal,
  2. opis spôsobu ako bol incident zistený – uvedie sa najmä meno zamestnanca, ktorý incident ohlásil,
  3. dátum a čas kedy bol zmenený bezpečnostný režim spoločnosti,
  4. chronologický opis priebehu incidentu, opis hrozieb ktoré sa realizovali a spôsob akým sa realizovali,
  5. zoznam dotknutých aktív, doklad o škodách a predpokladaná doba zotavenia,
  6. porovnanie s analýzou rizík Posúdenie vplyvu na ochranu osobných údajov (DPIA) – doklad, či bolo možné incident očakávať, či boli správne odhadnuté rizikové indexy a pod.,
  7. opis prijatých opatrení – doklad kedy a kým boli prijaté, doklad o ich účinnosti a trvaní,
  8. návrh na prijatie opatrení pre zamedzenie recidívy incidentu, odhad pravdepodobnosti recidívy, záznam o úprave analýzy rizík Posúdenie vplyvu na ochranu osobných údajov (DPIA), ak takúto úpravu bolo potrebné vykonať,
  9. zoznam opatrení a nariadení, ktoré boli porušené a mohli spôsobiť, že incident nastal a zoznam zamestnancov, ktorí tieto nariadenia porušili.
  1. Ak nastal bezpečnostný incident vedomým alebo nevedomým konaním zamestnanca, bude sankcionovaný podľa príslušných ustanovení Zákonníka práce v platnom znení  a iných platných právnych predpisov  v súvislosti s výškou škody a mierou jeho zavinenia.

 

Oznámenie porušenia ochrany osobných údajov

Oznámenie porušenia ochrany osobných údajov úradu v súlade s § 40 zák. č. 18/2018 Z.z.:

1) Prevádzkovateľ je povinný oznámiť úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
2) Ak prevádzkovateľ nesplní oznamovaciu povinnosť podľa odseku 1, musí zmeškanie lehoty zdôvodniť.
3) Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel.
 4) Oznámenie podľa odseku 1 musí obsahovať najmä:
a) opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
b) kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
c) opis pravdepodobných následkov porušenia ochrany osobných údajov,
d) opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.
5) Prevádzkovateľ je povinný poskytnúť informácie podľa odseku 4 v rozsahu, v akom  sú mu známe v čase oznámenia podľa odseku 1; ak v čase oznámenia podľa  odseku 1 nie sú prevádzkovateľovi známe všetky informácie podľa odseku 4, poskytne ich bezodkladne po tom, čo sa o nich dozvie.
6) Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany
1.    osobných údajov podľa odseku 1 vrátane skutočností spojených s porušením
2.    ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
 
Oznámenie porušenia ochrany osobných údajov dotknutej osobe v súlade s § 40 zák. č. 18/2018 Z.z.:
1) Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
2) Oznámenie podľa ods. 1 musí obsahovať jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia podľa § 40 ods. 4 písm. b) až d).
3) Oznámenie podľa odseku 1 sa nevyžaduje, ak:
a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,
b) prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby podľa odseku 1,
c) by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.
4) Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

 

Bezpečnostné režimy

 

  1. Bezpečnostný režim je stav organizácie činnosti organizácie alebo jej časti, ktorý zodpovedá aktuálnemu ohrozeniu aktív organizácie.
  2. Stupeň a rozsah bezpečnostného režimu určuje vedúci zamestnanec alebo externý IT technik na základe poznania aktuálneho stavu bezpečnosti a úrovne ohrozenia aktív organizácie.
  3. Rozoznávajú sa nasledovné režimy:
  1. NORMÁLNY – normálny stav bežného chodu organizácie, kedy nie je bezprostredne ohrozené žiadne aktívum organizácie,
  2. OHROZENIE – činnosť organizácie nie je ničím zmenená, alebo ovplyvnená, ale úroveň ohrozenia niektorých aktív je zvýšená (zvýšená je pravdepodobnosť realizácie niektorej hrozby), čo vyžaduje monitorovanie tohto stavu a prijatie ďalších proaktívnych opatrení. Opatrenia sa prijímajú na základe aktuálneho poznania stavu hrozieb, ktorý je indikovaný najmä analýzou obsahu prevádzkových záznamov alebo výskytom bezpečnostných incidentov, ktoré síce bezprostredne nevyžadovali zmenu bezpečnostného režimu, ale dôsledky incidentu mohli spôsobiť zvýšenie pravdepodobnosti výskytu a realizácie niektorej z hrozieb. Po prijatí opatrení sa odhadne ich účinnosť, znovu sa posúdi úroveň rizika a rozhodne sa o prijatí ďalších opatrení, alebo o prechode do režimu NORMÁLNY. Ak sa zistí, že aj napriek prijatým opatreniam došlo k realizácii hrozby a dochádza k poškodzovaniu alebo ničeniu aktív organizácie, vyhlási sa režim KRÍZA.
  3. KRÍZA – činnosť organizácie je zmenená následkom účinku niektorých hrozieb na aktíva organizácie. Vyžaduje sa prijatie účinných reaktívnych opatrení  na odvrátenie hrozby a minimalizáciu škôd. Tento režim sa vyhlasuje, ak bol zistený výskyt realizujúcej sa niektorej hrozby na aspoň jedno IT aktívum (server alebo informačný systém), na ktorom sa spracovávajú osobné alebo citlivé údaje. Pod pojmom realizujúca sa hrozba sa rozumie taký stav, kedy je aktívum hrozbou poškodzované alebo ničené, čo má za následok znefunkčnenie aktíva alebo ohrozenie záujmov organizácie. Počas tohto režimu je možné odpojiť časť organizácie alebo celú organizáciu od internetu, nariadiť vypnutie počítačov a serverov, alebo ich odpojenie od počítačovej siete. Po odvrátení hrozby sa prechádza do režimu ZOTAVENIE.
  4. ZOTAVENIE – špeciálny režim po KRÍZOVOM režime, kedy dochádza ku konsolidácii činnosti organizácie, rekonštrukcii a náhrade poškodených aktív. Navrhuje sa vedeniu organizácie postup pri odstraňovaní škôd. Postup musí obsahovať stanovenie priorít, časovú postupnosť, technickú špecifikáciu opatrení na odstránenie škôd a odhad ekonomickej náročnosti. Zodpovedná osoba v spolupráci s externým IT technikom sú povinní dôkladne vyšetriť dôvody príčiny, a teda prečo došlo k realizácii hrozieb a škodám. Prechod do režimu NORMÁLNY je možný ak bol schválený postup odstránenia škôd, a ak je možné považovať stav organizácie ako celku z bezpečnostného hľadiska za konsolidovaný.
O zmene Bezpečnostného režimu musia byť ihneď vyrozumení všetci zamestnanci a osoby zodpovedné za výkon ochrany organizácie.

 

  1. Havarijné plánovanie

 

  1. Havarijné plánovanie je súbor činností na zabezpečenie čo najvyššej dostupnosti údajov a ich ochrana pred zničením alebo poškodením.
  2. V prípade výpadku pracovnej stanice je externý IT technik povinný po identifikácií problému  zabezpečiť:
    1. opravu alebo výmenu chybného dielu PC,
    2. náhradný PC,
    3. reinštaluje alebo inštaluje OS a konfiguráciu z inštalačných médií,
    4. inštaluje klientske aplikácie z inštalačných médií,
    5. inštaluje antivírový program,
    6. nastaví prístupové práva,
    7. v prípade neodkladnosti prístup k informačným systémom z inej funkčnej pracovnej stanice.
  3. V prípade výpadku servera je externý IT technik povinný po identifikácií problému zabezpečiť:
    1. opravu servera v servisnej organizácii, alebo náhradný server,
    2. inštaláciu hardware a jeho fyzické pripojenie do počítačovej siete,
    3. nainštaluje príslušný operačný systém servera,
    4. zo záložných kópií obnoví systémové a konfiguračné súbory,
    5. nainštaluje antivírový program a spustí aktualizáciu,
    6. nainštaluje IS  a obnoví dáta z najmladších záložných médií.
  4. V prípade výpadku sieťového prepojenia je externý IT technik  povinný po identifikácií problému zabezpečiť:
    1. opravu alebo výmenu chybného aktívneho alebo pasívneho prvku počítačovej   siete,
    2. obnoviť konfiguračné nastavenia zariadenia,
    3. otestovanie jednotlivých sieťových prepojení. 

 

Súvisiace normy a predpisy

Nariadenie Európskeho Parlamentu a Rady EÚ č. 2016/679 (GDPR)
Zákon č. 18/2018 Z.z. o ochrane osobných údajov

 

 

© 2017 Sociálny dom ANTIC n.o., Bardejov
Snažíme sa poskytovať služby v čo najvyššej kvalite, preto naše stránky využívajú technológiu cookies. Väčšina internetových prehliadačov je automaticky nastavená tak, aby boli súbory cookies prijímané. Zmenu môžete uskutočniť v nastaveniach svojho prehliadača. Pokračovaním v prehliadaní súhlasíte s používaním cookies na našej web stránke.
Ok