@ VTerezka:
Ak sa rozhodnete pre samostatný postup, odporúčam Vám riešiť problémy postupne, v tomto poradí:
1/ vymedzenie účelov spracovania (mzdy a personalistika, uchádzači o zamestnanie, klienti, vymáhanie pohľadávok, priamy marketing, kamerové systémy, GPS monitoring...), založenie evidencie IS
2/ vyhodnotenie podmienok pre poverenie zodpovednej osoby (20 a viac oprávnených osôb?),
3/ zistenie osobných údajov osobitnej kategórie, preverenie, či je ich spracovanie pre jednotlivé účely nutné, ak nie, vylúčiť zo spracovania,
4/ zistenie, či sa na spracovaní podieľajú sprostredkovatelia a subdodávatelia, ak áno, preverenie a zmluvné "vnútenie" podmienok spracovania,
5/ zistenie, či sa vykonáva cezhraničný prenos, hlavne mimo EÚ,
6/ posúdenie povinnosti registrácie a osobitnej registrácie - týka sa iba prevádzkovateľov, nie sprostredkovateľov, neregistrujú sa systémy, v ktorých sa osobné údaje spracúvajú na základe "nejakého" zákona (viď vysvetlenie p. JUDr. Mosejovej)
7/ posúdenie, či je spoľahlivo zabezpečené získavanie preukázateľného súhlasu u tých účelov, kde je súhlas právnym základom,
8/ napísanie smernice, v ktorej sa hlavne rozlíšia kompetencie oprávnených osôb tak, aby sa rovno dali použiť pre poučenia a poverenia, plus povinné náležitosti bezpečnostnej smernice,
9/ zaškolenie oprávených osôb, poučenia a poverenia,
10/ bezpečnostný projekt = hlavne preverenie, či sú osobné údaje zabezpečené podľa prílohy vyhlášky 164/2013.

@mondes:
Áno, máte povinnosť evidencie, na stránke Úrade nájdete vzor tlačiva, ktoré si vyplníte. Alebo si cez Google nájdete rovno evidenčný list PaM Úradu, z ktorého si treba povymazávať veci ako "štátna služba" a podobne.

@anazu:
Ust. § 34 písm. d/ je nepresné, takže je jedine Úrad Vám povie, čo znamená presne Pozrite si skoršie vysvetlenie od p. JUDr. Mosejovej.
Príklad z praxe: spracovanie personálnej a mzdovej agendy je kryté osobitnými zákonmi (zákonník práce, zákon o sociálnom zabezpečení, z. o zdravotnom zabezpečení, z. o dani z príjmu, z. o dôchodkom sporení atď atď), teda IS pre personalistiku a mzdy nemusíte registrovať. Ale ho musíte evidovať.
Čiže vždy musíte preveriť, či ide o spracovanie na základe osobitného zákona (=musíte evidovať) alebo na základe súhlasu dotknutej osoby (=musíte registrovať, ak nemáte zodpovednú osoobu za dohľad).

Všetkým sa ospravedlňujem za nevyhnutné zjednodušenia.

Ing. Ľ. Janoška

@ Mariana B.
Dobrý deň,
dovoľujem si pridať pohľad IT bezpečnosti:
- Prevádzkovateľ je povinný podľa § 8 ods. 2 preveriť Vašu schopnosť zaručiť bezpečnosť spracúvaných osobných údajov, do toho systémovo patrí aj Váš SW na spracovanie miezd, presnejšie povedané, jeho bezpečnostné parametre (a Vaše súvisiace opatrenia). Toto posúdenie má mať z praktických dôvodov písomnú formu so zodpovedajúcou argumentáciou, aj keď zákon to výslovne neuvádza, pretože prevádzkovateľ musí vedieť doložiť splnenie tejto povinnosti.
- Prakticky sa to premietne aj do bezpečnostných projektov - Váš by mal vyčerpávajúcim spôsobom popísať zabezpečenie osobných údajov u Vás ako sprostredkovateľa, vrátane hrozieb, ktoré sa týkajú Vášho SW; bezpečnostný projekt prevádzkovateľa sa môže odvolať na ten Váš alebo lepšie, citovať ho (inak povedané, analýza rizík u prevádzkovateľa musí riešiť aj riziká spracovania u sprostredkovateľa).
S pozdravom
Ing. Ľ. Janoška

PS - osobne považujem za praktické, aby si prevádzkovateľ zaviedol do evidenčného listu aj položku "sprostredkovateľ", aj keď nie je povinná; potom má pokope všetky podstatné informácie, naviazané na každý účel spracovania.

Odpoveď od p. JUDr. Mosejovej:

Dobry den,

pri odpovedi na Vasu otazku, vychadzam zo stanoviska Uradu na ochranu osobnych udajov SR, ktore zaslal k advokatskym kancelariam:

"Advokátska kancelária môže mať postavenie sprostredkovateľa, ak spracúva osobné údaje v mene prevádzkovateľa na základe písomnej zmluvy uzatvorenej podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Môže ísť o viacero prípadov (napr. prípady tzv. due diligence agendy, administrácia a kontinuálna príprava zmluvnej agendy, v ktorej figurujú ako zmluvné strany prevádzkovateľ a fyzické osoby jednotlivci apod.). Nie za každých okolností však na základe poskytnutia osobných údajov advokátskej kancelárii a potrebe ich ďalšieho spracúvania napr. na účel právneho zastupovania v mene toho, kto ich poskytol bude mať advokátska kancelária postavenie sprostredkovateľa (napr. fyzická osoba chce ukončiť svoje manželstvo a poskytne osobné údaje svojho manžela advokátskej kancelárii na účel právneho zastupovania v rozvodovom konaní. Advokátska kancelária nebude mať postavenie sprostredkovateľa lebo fyzická osoba nemá v tomto prípade postavenie prevádzkovateľa. V tomto konkrétnom prípade bude mať advokátska kancelária postavenie prevádzkovateľa).

V prípade ak bude mať advokátska kancelária postavenie sprostredkovateľa nebude sa na ňu vzťahovať povinnosť evidencie informačného systému, ale bude musieť zabezpečiť bezpečnosť spracúvania osobných údajov prijatím primeraným bezpečnostných opatrení.".

Z uvedeneho vyplyva, tak ako ste uviedli, ze vy, ako sprostredkovatel nemate IS evidovat.

Povinnost registrovat IS pre prevadzkovateľa vyplyva z § 44 zakona na ochranu osobnych udajov.

Kedze z § 34 ods. 2 pism. d) vypadla podmienka, ze neregistruju sa IS, v ktorom sa spracuvaju osobne udaje na zaklade "osobitneho zakona", ktorym je napr. Zakonnik prace, tak automaticky som mala za to, ze IS musi prevadzkovatel registrovat.

ALE!
Na moju otazku Urad odpovedal, ze je potrebne vychadzat zo sirsieho vykladu § 34 ods. 2 pism. d) a registracii nepodliehaju, lebo zakon sa da vysvetlit aj ako osobitny zakon, ale podliehaju evidencii.

Povinnost Evidovat IS personalnej a mzdovej agendy vyplyva prevadzkovatelovi z § 43 ods. 1 zakona na ochranu osobnych udajov.

Je mi luto, ale inu logicku odpoved Vam neviem poskytnut.

JUDr. Monika Mosejová


Doplním ešte stanovisko Úradu na ochranu osobných údajov (UOOU):
Otázka:

Dobry den,

prosim o upresnenie povinnosti vyplyvajucich zo Zakona na ochranu osobnych udajov prevadzkovatelovi a sprostredkovatelovi v nasledovnej situacii:

Prevadzkovatel ma zamestnancov, mzdy mu vykonava externa firma
(sprostredkovatel) vo vlastnom mzdovom systeme.

1. Je prevadzkovatel povinny IS svojho sprostredkovatela evidovat?

2. Je sprostredkovatel povinny svoj informacny system registrovat alebo "len" evidovat na zaklade § 34 ods. 2 pism. d) tj. ze udaje sa spracuvaju na zaklade osobitnych zakonov?

Dakujem.

Odpoveď UOOU:
Dňa 07.10.2013 bola Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) doručená Vaša žiadosť ohľadom spresnenie povinností vyplývajúcich zo zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 122/2013 Z. z.“).

Na základe Vašej žiadosti úrad uvádza nasledovné:

Povinnosť registrácie informačného systému sa vždy vzťahuje na prevádzkovateľa, nie na sprostredkovateľa.

Prevádzkovateľ, ktorý spracúva mzdy, nie je povinný registrovať informačný systém, v ktorých sa spracúvajú osobné údaje jeho zamestnancov, nakoľko pri personálnej a mzdovej agende sa uplatňuje výnimka podľa § 34 ods. 2 písm. d) zákona č. 122/2013 Z. z. Keďže sa na dané informačné systémy nevzťahuje povinnosť registrácie, bude potrebné daný informačný systém evidovať podľa § 43 zákona č. 122/2013 Z. z. Túto evidenciu je povinný viesť prevádzkovateľ.

Na prevádzkovateľa informačného systému ako aj na sprostredkovateľa sa vzťahuje aj povinnosť prijať určité opatrenia z hľadiska bezpečnosti spracúvania osobných údajov, ktoré sú upravené v § 19 zákona č. 122/2013 Z. z. (zdokumentovanie bezpečnostných opatrení v bezpečnostnej smernici alebo bezpečnostnom projekte).

Vyššie uvedená informácia nie je právne záväzná, zohľadňuje iba poskytnuté fakty vyplývajúce z uvedených okolností skutkového a právneho stavu. Závery tejto poskytnutej informácie majú iba odporúčací charakter a nemôžu byť preto zovšeobecňované pre iné, zdanlivo podobné prípady.

nevidim dovod preco by si mal tvoj klient evidovat tvoj mzdovy softver

klient si riesi svoju registraciu/evidenciu IS
ty aj ked si sprostredkovatel voci klientovi, si prevadzkovatel vlastneho IS, a teda posudzujes registraciu/evidenciu IS zo svojho pohladu

IS OOU nie je len softver, je to system od vstupu udajov, cez spracovanie, archivaciu a az po ich likvidaciu ... ide o ochranu pocas celeho "zivotneho cyklu" osobnych udajov