Povinnosť registrácie informačného systému osobných údajov sa týka aj Spoločenstva vlastníkov bytov!
a

Povinnosť registrácie informačného systému osobných údajov sa týka aj Spoločenstva vlastníkov bytov!

Povinnosť registrovať informačné systémy  na Úrade na ochranu osobných údajov sa týka veľkého množstva subjektov, medzi ktoré patria aj: Spoločenstvo vlastníkov bytov, e – shopy, s.r.o.- čky, živnostníci, obce, mestá, úrady a podobne.

Registrácia informačných systémov je upravená v zákone č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, v § 33 až 44. Tento zákon nadobudol účinnosť 1. júla 2013.

Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania (teda len v počítači alebo aj v počítači, aj v papierovej podobe).

Zákon o ochrane osobných údajov definuje osobné údaje ako „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu“. 

To znamená, že za osobné údaje sú považované akékoľvek údaje, ktoré nám umožňujú konkrétne určiť fyzickú osobu priamo (v rozsahu meno, priezvisko, adresa, dátum narodenia, rodné číslo) alebo aj nepriamo. V podmienkach spoločenstiev vlastníkov bytov sa za osobné údaje považuje aj výška nedoplatku vlastníka bytu alebo nebytového priestoru v spojitosti s jeho ďalšími osobnými údajmi. Osobným údajom je aj obrazový záznam z kamerového systému, ktorý umožňuje fyzickú osobu identifikovať prostredníctvom viacerých znakov (beloch, černoch, muž, žena, zdravotný hendikep a podobne). 

 

Povinnosť registrácie podľa sa nevzťahuje na informačné systémy, ktoré:

a) podliehajú osobitnej registrácii podľa § 37,

b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona,

c) obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo

d) obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. (napr. personálny a mzdový informačný systém, kamerový informačný systém, informačný systém o žiakoch, ktorý vedie škola, informačný systém o pacientoch, ktorý vedie zdravotnícke zariadenie, atď.). Povinnosť registrácie sa nevzťahuje ani na advokátovna účely výkonu ich povolania.

Do konca roka 2013 mali spoločenstvá vlastníkov bytov podobne ako iné organizácie povinnosť zaregistrovať na Úrade na ochranu osobných údajov svoje informačné systémy osobných údajov. Spoločenstvo vlastníkov bytov totiž spracúva osobné údaje vlastníkov bytov a nebytových priestorov v zmysle zákona o vlastníctve bytov a nebytových priestorov a na základe Zmluvy o výkone správy.

Ak spoločenstvo (alebo iný povinný subjekt) neregistrovalo svoj informačný systém osobných údajov je možné uložiť pokutu v rozmedzí od 300 do 5000 eur. V prípade porušenia niektorej zákonnej povinnosti sú však pokuty aj oveľa vyššie. Úrad, ako dozorný orgán, už nemôže uložiť preventívne opatrenie bez pokuty. Zákon stanovuje obligatórne ukladanie pokút, ktoré sa však bude posudzovať najmä s ohľadom na spôsobenú škodu, prípadne na mieru narušenie súkromia fyzických osôb a jeho trvanie, akou sa prevádzkovateľ, či iná osoba porušenia zákona dopustila. Sankcie za porušenie zákona prevádzkovateľom sa môžu vyšplhať až do výšky 300 000 eur.


Na spracúvanie osobných údajov na účely vernostných programov slúžiacich na odmeňovanie vernosti zákazníkov je potrebný súhlas dotknutej osoby, konkrétneho zákazníka. V tejto súvislosti dávame do pozornosti potrebu registrácie informačného systému osobných údajov, ktorý je prevádzkovaný v súvislosti s vernostným programom podnikateľa v prípade, ak tento nepodlieha dohľadu zodpovednej osoby.

Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov. Ak ide o informačný systém, ktorý podlieha registrácii a spĺňa náležitosti podľa § 35 ods. 1 a 3, úrad zaregistruje a pridelí mu registračné číslo. O registrácii vydá úrad potvrdenie. Ak žiadosť nespĺňa náležitosti, úrad vyzve prevádzkovateľa na odstránenie nedostatkov v lehote, ktorú určí a ktorá nemôže byť kratšia ako sedem dní; počas tejto doby lehota v konaní o registrácii neplynie. Ak informačný systém podlieha registrácii a prevádzkovateľ podal úradu žiadosť, ktorá obsahuje náležitosti podľa § 35, je oprávnený začať so spracúvaním osobných údajov odo dňa podania žiadosti o registráciu. Prevádzkovateľ nie je za splnenia podmienok uvedených v prvej vete povinný počkať na potvrdenie o registrácii.

Ktoré systémy podliehajú osobitnej registrácii?

Osobitnej registrácii podliehajú informačné systémy, v ktorých sa spracúvajú:

a) osobné údaje nevyhnutné na ochranu práv a právom chránených záujmov,
v rozsahu § 10 ods. 3 písm. g) zákona o ochrane osobných údajov,

b) osobné údaje podľa § 13 ods. 5 písm. b), c) alebo d) zákona o ochrane osobných údajov (biometrické údaje),

c) aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov

Prevádzkovateľ je oprávnený začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu až po doručení potvrdenia o osobitnej registrácii. Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú registráciu posúdi ako rizikové, rozhodne o neudelení osobitnej registrácie prevádzkovateľovi na spracúvanie osobných údajov na daný účel. Prevádzkovateľ je povinný bez zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.

Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny údajov prihlásených na registráciu alebo na osobitnú registráciu, ktoré nastanú v priebehu spracúvania. Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne odhlásiť informačný systém z registrácie alebo osobitnej registrácie.

Za registráciu, osobitnú registráciu a zmenu registrovaných údajov sa vyberá správny poplatok vo výške 20 EUR.

O informačných systémoch, ktoré nepodliehajú registrácii alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1. Prevádzkovateľ je povinný viesť a aktualizovať evidenciu až do dňa ukončenia spracúvania osobných údajov v informačnom systéme.

Opatrenia a dokumentácia, ktorú zákon vyžaduje, a na ktorú by ste nemali zabudnúť.

  1. Vypracovanie bezpečnostného projektu alebo bezpečnostnej smernice, ktorá by mala obsahovať názov informačného systému, bezpečnostný zámer a analýzu bezpečnosti informačného systému (tu sa aplikuje aj vyhláška Úradu na ochranu osobných údajov č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení).
  2. Vypracovanie poučenia o povinnosti mlčanlivosti pre fyzické osoby, ktoré prichádzajú do styku s osobnými údajmi, no nespracúvajú ich.
  3. Vypracovanie poučení oprávnených osôb, ktoré „vstupujú“ do jednotlivých informačných systémov a spracúvajú v nich osobné údaje. Oprávnené osoby musia dbať na to, aby osobné údaje z jednotlivých informačných systémov spracúvali len spôsobom, ktorý najčastejšie vyplýva z ich pracovného zaradenia; cieľom je ochrana spracúvaných osobných údajov (v opačnom prípade môžu hroziť nielen oprávnenej osobe sankcie).
  4. Vypracovanie zmlúv so sprostredkovateľom, ak ich spoločenstvo vlastníkov bytov, ako prevádzkovateľ, má. Sprostredkovateľom je akýkoľvek iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa (napríklad mzdová a personálna agentúra, bytové družstvo a podobne).
  5. Vypracovanie evidenčných listov informačných systémov nepodliehajúcich registračnej povinnosti v zmysle § 43 a nasl. zákona o ochrane osobných údajov.

Bezpečnostný projekt a Bezpečnostnú smernicu je potrebné zosúladiť do deviatich mesiacov od účinnosti nového zákona, teda do konca marca 2014, poučenia oprávnených osôb a registráciu alebo evidenciu už existujúcich informačných systémov osobných údajov bolo potrebné mať do konca minulého roka a zmluvy so sprostredkovateľom musia prevádzkovatelia zosúladiť s novým zákonom najneskôr do jedného roka od účinnosti zákona, teda do 30. júna 2014.