Otázky a odpovede

Máme informačný systém  s údajmi o našich zákazníkoch. Jedná sa o fyzické osoby. Údaje sú – meno, priezvisko, adresa, telefón, mobil.  Je potrebná na tento informačný systém jeho evidencia?

Podľa § 4 ods. 1 písm. g) zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon č. 428/2002 Z. z.“) informačným systémom (ďalej len „IS“) sa rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napríklad kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy. Meno, priezvisko, adresa a telefónne číslo a e-mail sú osobnými údajmi v zmysle § 3 zákona č. 428/2002 Z. z.

Povinnosť registrácie alebo evidencie IS vyplýva z ustanovenia § 24 zákona č. 428/2002 Z. z. za podmienok určených v § 25 a § 26 tohto zákona. Podľa § 25 ods. 2 písm. b) zákona č. 428/2002 Z. z. povinnosť registrácie informačných systémov sa nevzťahuje na tie, ktoré podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 19.

Podľa § 29 odsek 1 zákona č. 428/2002 Z. z. o IS, ktoré nepodliehajú registrácii, prevádzkovateľ vedie evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch, ktorá obsahuje údaje uvedené v § 26 odsek 3.

 

Máme kamerový systém ktorý sníma parkovisko pred našou firmou. Vzťahujú sa na tento kamerový systém ustanovenia zákona 428/2002 o ochrane osobných údajov?

Je potrebné rozlišovať priestor prístupný verejnosti a neverejný priestor. Vo všeobecnosti platí, že monitorovanie priestoru prístupného verejnosti spadajú pod ochranu osobných údajov podľa zákona  č. 428/2002 Z. z. Podľa § 10 ods. 7 zákona č. 428/2002 Z. z. priestor prístupný verejnosti možno monitorovať pomocou videozáznamu alebo audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný. Vyhotovený záznam možno použiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.

 

Môže firma zverejniť na svojej webovej stránke zoznam neplatičov? Ak áno, v akom rozsahu osobných údajov?

Údaje v rozsahu meno, priezvisko, výška dlhu spolu s údajom o tom, že ide o dlžníka (neplatiča),osobnými údajmi podľa § 3 zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon č. 428/2002 Z. z.“), lebo sa dotýkajú jeho ekonomickej resp. sociálnej identity a preto sa môžu zverejniť buď so súhlasom dotknutej osoby alebo na základe osobitného zákona.

Vo všeobecnosti možno uviesť, že prevádzkovateľ môže zverejňovať osobné údaje neplatičov výlučne len so súhlasom dotknutej osoby (§ 7 ods. 1 a 2) alebo na základe osobitného zákona (§ 7 ods. 3). Zverejňovanie osobných údajov bez právneho základu (či už súhlas alebo osobitný zákon) by bolo v rozpore so zákonom č. 428/2002 Z. z.

Z vyššie uvedeného vyplýva, že pokiaľ by obchodná spoločnosť (firma)  na svojej webovej stránke zverejnila zoznam neplatičov bez existencie súhlasu alebo osobitného zákona, konala by v rozpore so zákonom  č. 428/2002 Z. z.

 

Vedenie našej firmy sa rozhodlo používať evidenčný systém na báze odtlačkov prstov, ktorý je určený pre podniky kancelárskeho typu, z dôvodu nespokojnosti s doterajším spôsobom evidencie. Zaujímalo by ma, ako postupovať pri zavedení tohto systému vzhľadom na ochranu osobných údajov.

Na dochádzkové systémy založené na identifikácii osôb a časti ich tela je nevyhnutné nazerať ako na informačné systémy, ktoré obsahujú biometrické údaje. Toto nie je ovplyvnené ani skutočnosťou, že údaj, akým je odtlačok prsta alebo dlane je uchovávaný v podobe číselného alebo iného kódu.

Vylúčiť pôsobnosť zákona o ochrane osobných údajov nemožno odôvodnením či argumentom úspešnosti zariadenia, ktoré vyhodnotil dodávateľ ako takmer stopercentné. Určenie osoby sa totiž nevykonáva iba samotným biometrickým údajom, ale je nevyhnutné spojiť ho s ďalším údajom ako je meno, priezvisko, či osobné číslo a tak sledovať dochádzku.

Použitie biometrie na dochádzkové systémy nie je možné legalizovať ani súhlasom dotknutej osoby. Podlieha povoľovaciemu procesu osobitnej registrácie podľa § 27 odsek 2 písmeno c) zákona o ochrane osobných údajov. Následne – po schválení osobitnej registrácie, ktorá môže byť povolená iba na účely evidencie alebo identifikácie pri vstupe do citlivých, osobitne chránených objektov, vyhradených priestorov alebo prístupu do technických zariadení či prístrojov s vysokou mierou rizika – a ak ide výlučne o vnútornú potrebu prevádzkovateľa – je možné biometrický dochádzkový systém používať v súlade so zákonom o ochrane osobných údajov.