Mariana B.
04.10.13,14:51
Spracovavam mzdovu agendu pre ine firmy. Ja som sprostredkovatel, oni su prevadzkovatelia, musim mat bezpecnostny projekt, pretoze mam pocitac pripojeny na internet. System nemusim registrovat, len ho treba evidovat. A tu nejako neviem pochopit logiku tej evidencie, pozrela som si aj formular na strankach Uradu a tiez mi z toho nebolo vsetko jasne.
Softver na spracovanie miezd je moj, spracujem mzdy a vsetky vystupy pre pripadne kontroly, vratane mzdovych pasok, prehladov atd. vytlacim a v stanovenych periodach ich odovzdam klientovi. Ak s nim ukoncim spolupracu, tak databazu udajov o jeho zamestnancoch vymazem, pretoze vsetky dokumenty ma vytlacene.
Moja otazka teda znie, ci skutocne si ma klient, ako Prevadzkovatel, evidovat moj mzdovy softver.
Otazka od účastníka školenia Ochrana osobných údajov od 1.7.2013 adresovaná lektorke JUDr. Monikou Mosejovou
Softver na spracovanie miezd je moj, spracujem mzdy a vsetky vystupy pre pripadne kontroly, vratane mzdovych pasok, prehladov atd. vytlacim a v stanovenych periodach ich odovzdam klientovi. Ak s nim ukoncim spolupracu, tak databazu udajov o jeho zamestnancoch vymazem, pretoze vsetky dokumenty ma vytlacene.
Moja otazka teda znie, ci skutocne si ma klient, ako Prevadzkovatel, evidovat moj mzdovy softver.
Otazka od účastníka školenia Ochrana osobných údajov od 1.7.2013 adresovaná lektorke JUDr. Monikou Mosejovou
MarianaB.
04.10.13,12:59
Odpoveď od p. JUDr. Mosejovej:
Dobry den,
pri odpovedi na Vasu otazku, vychadzam zo stanoviska Uradu na ochranu osobnych udajov SR, ktore zaslal k advokatskym kancelariam:
"Advokátska kancelária môže mať postavenie sprostredkovateľa, ak spracúva osobné údaje v mene prevádzkovateľa na základe písomnej zmluvy uzatvorenej podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Môže ísť o viacero prípadov (napr. prípady tzv. due diligence agendy, administrácia a kontinuálna príprava zmluvnej agendy, v ktorej figurujú ako zmluvné strany prevádzkovateľ a fyzické osoby jednotlivci apod.). Nie za každých okolností však na základe poskytnutia osobných údajov advokátskej kancelárii a potrebe ich ďalšieho spracúvania napr. na účel právneho zastupovania v mene toho, kto ich poskytol bude mať advokátska kancelária postavenie sprostredkovateľa (napr. fyzická osoba chce ukončiť svoje manželstvo a poskytne osobné údaje svojho manžela advokátskej kancelárii na účel právneho zastupovania v rozvodovom konaní. Advokátska kancelária nebude mať postavenie sprostredkovateľa lebo fyzická osoba nemá v tomto prípade postavenie prevádzkovateľa. V tomto konkrétnom prípade bude mať advokátska kancelária postavenie prevádzkovateľa).
V prípade ak bude mať advokátska kancelária postavenie sprostredkovateľa nebude sa na ňu vzťahovať povinnosť evidencie informačného systému, ale bude musieť zabezpečiť bezpečnosť spracúvania osobných údajov prijatím primeraným bezpečnostných opatrení.".
Z uvedeneho vyplyva, tak ako ste uviedli, ze vy, ako sprostredkovatel nemate IS evidovat.
Povinnost registrovat IS pre prevadzkovateľa vyplyva z § 44 zakona na ochranu osobnych udajov.
Kedze z § 34 ods. 2 pism. d) vypadla podmienka, ze neregistruju sa IS, v ktorom sa spracuvaju osobne udaje na zaklade "osobitneho zakona", ktorym je napr. Zakonnik prace, tak automaticky som mala za to, ze IS musi prevadzkovatel registrovat.
ALE!
Na moju otazku Urad odpovedal, ze je potrebne vychadzat zo sirsieho vykladu § 34 ods. 2 pism. d) a registracii nepodliehaju, lebo zakon sa da vysvetlit aj ako osobitny zakon, ale podliehaju evidencii.
Povinnost Evidovat IS personalnej a mzdovej agendy vyplyva prevadzkovatelovi z § 43 ods. 1 zakona na ochranu osobnych udajov.
Je mi luto, ale inu logicku odpoved Vam neviem poskytnut.
JUDr. Monika Mosejová
Doplním ešte stanovisko Úradu na ochranu osobných údajov (UOOU):
Otázka:
Dobry den,
prosim o upresnenie povinnosti vyplyvajucich zo Zakona na ochranu osobnych udajov prevadzkovatelovi a sprostredkovatelovi v nasledovnej situacii:
Prevadzkovatel ma zamestnancov, mzdy mu vykonava externa firma
(sprostredkovatel) vo vlastnom mzdovom systeme.
1. Je prevadzkovatel povinny IS svojho sprostredkovatela evidovat?
2. Je sprostredkovatel povinny svoj informacny system registrovat alebo "len" evidovat na zaklade § 34 ods. 2 pism. d) tj. ze udaje sa spracuvaju na zaklade osobitnych zakonov?
Dakujem.
Odpoveď UOOU:
Dňa 07.10.2013 bola Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) doručená Vaša žiadosť ohľadom spresnenie povinností vyplývajúcich zo zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 122/2013 Z. z.“).
Na základe Vašej žiadosti úrad uvádza nasledovné:
Povinnosť registrácie informačného systému sa vždy vzťahuje na prevádzkovateľa, nie na sprostredkovateľa.
Prevádzkovateľ, ktorý spracúva mzdy, nie je povinný registrovať informačný systém, v ktorých sa spracúvajú osobné údaje jeho zamestnancov, nakoľko pri personálnej a mzdovej agende sa uplatňuje výnimka podľa § 34 ods. 2 písm. d) zákona č. 122/2013 Z. z. Keďže sa na dané informačné systémy nevzťahuje povinnosť registrácie, bude potrebné daný informačný systém evidovať podľa § 43 zákona č. 122/2013 Z. z. Túto evidenciu je povinný viesť prevádzkovateľ.
Na prevádzkovateľa informačného systému ako aj na sprostredkovateľa sa vzťahuje aj povinnosť prijať určité opatrenia z hľadiska bezpečnosti spracúvania osobných údajov, ktoré sú upravené v § 19 zákona č. 122/2013 Z. z. (zdokumentovanie bezpečnostných opatrení v bezpečnostnej smernici alebo bezpečnostnom projekte).
Vyššie uvedená informácia nie je právne záväzná, zohľadňuje iba poskytnuté fakty vyplývajúce z uvedených okolností skutkového a právneho stavu. Závery tejto poskytnutej informácie majú iba odporúčací charakter a nemôžu byť preto zovšeobecňované pre iné, zdanlivo podobné prípady.
Dobry den,
pri odpovedi na Vasu otazku, vychadzam zo stanoviska Uradu na ochranu osobnych udajov SR, ktore zaslal k advokatskym kancelariam:
"Advokátska kancelária môže mať postavenie sprostredkovateľa, ak spracúva osobné údaje v mene prevádzkovateľa na základe písomnej zmluvy uzatvorenej podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Môže ísť o viacero prípadov (napr. prípady tzv. due diligence agendy, administrácia a kontinuálna príprava zmluvnej agendy, v ktorej figurujú ako zmluvné strany prevádzkovateľ a fyzické osoby jednotlivci apod.). Nie za každých okolností však na základe poskytnutia osobných údajov advokátskej kancelárii a potrebe ich ďalšieho spracúvania napr. na účel právneho zastupovania v mene toho, kto ich poskytol bude mať advokátska kancelária postavenie sprostredkovateľa (napr. fyzická osoba chce ukončiť svoje manželstvo a poskytne osobné údaje svojho manžela advokátskej kancelárii na účel právneho zastupovania v rozvodovom konaní. Advokátska kancelária nebude mať postavenie sprostredkovateľa lebo fyzická osoba nemá v tomto prípade postavenie prevádzkovateľa. V tomto konkrétnom prípade bude mať advokátska kancelária postavenie prevádzkovateľa).
V prípade ak bude mať advokátska kancelária postavenie sprostredkovateľa nebude sa na ňu vzťahovať povinnosť evidencie informačného systému, ale bude musieť zabezpečiť bezpečnosť spracúvania osobných údajov prijatím primeraným bezpečnostných opatrení.".
Z uvedeneho vyplyva, tak ako ste uviedli, ze vy, ako sprostredkovatel nemate IS evidovat.
Povinnost registrovat IS pre prevadzkovateľa vyplyva z § 44 zakona na ochranu osobnych udajov.
Kedze z § 34 ods. 2 pism. d) vypadla podmienka, ze neregistruju sa IS, v ktorom sa spracuvaju osobne udaje na zaklade "osobitneho zakona", ktorym je napr. Zakonnik prace, tak automaticky som mala za to, ze IS musi prevadzkovatel registrovat.
ALE!
Na moju otazku Urad odpovedal, ze je potrebne vychadzat zo sirsieho vykladu § 34 ods. 2 pism. d) a registracii nepodliehaju, lebo zakon sa da vysvetlit aj ako osobitny zakon, ale podliehaju evidencii.
Povinnost Evidovat IS personalnej a mzdovej agendy vyplyva prevadzkovatelovi z § 43 ods. 1 zakona na ochranu osobnych udajov.
Je mi luto, ale inu logicku odpoved Vam neviem poskytnut.
JUDr. Monika Mosejová
Doplním ešte stanovisko Úradu na ochranu osobných údajov (UOOU):
Otázka:
Dobry den,
prosim o upresnenie povinnosti vyplyvajucich zo Zakona na ochranu osobnych udajov prevadzkovatelovi a sprostredkovatelovi v nasledovnej situacii:
Prevadzkovatel ma zamestnancov, mzdy mu vykonava externa firma
(sprostredkovatel) vo vlastnom mzdovom systeme.
1. Je prevadzkovatel povinny IS svojho sprostredkovatela evidovat?
2. Je sprostredkovatel povinny svoj informacny system registrovat alebo "len" evidovat na zaklade § 34 ods. 2 pism. d) tj. ze udaje sa spracuvaju na zaklade osobitnych zakonov?
Dakujem.
Odpoveď UOOU:
Dňa 07.10.2013 bola Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) doručená Vaša žiadosť ohľadom spresnenie povinností vyplývajúcich zo zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 122/2013 Z. z.“).
Na základe Vašej žiadosti úrad uvádza nasledovné:
Povinnosť registrácie informačného systému sa vždy vzťahuje na prevádzkovateľa, nie na sprostredkovateľa.
Prevádzkovateľ, ktorý spracúva mzdy, nie je povinný registrovať informačný systém, v ktorých sa spracúvajú osobné údaje jeho zamestnancov, nakoľko pri personálnej a mzdovej agende sa uplatňuje výnimka podľa § 34 ods. 2 písm. d) zákona č. 122/2013 Z. z. Keďže sa na dané informačné systémy nevzťahuje povinnosť registrácie, bude potrebné daný informačný systém evidovať podľa § 43 zákona č. 122/2013 Z. z. Túto evidenciu je povinný viesť prevádzkovateľ.
Na prevádzkovateľa informačného systému ako aj na sprostredkovateľa sa vzťahuje aj povinnosť prijať určité opatrenia z hľadiska bezpečnosti spracúvania osobných údajov, ktoré sú upravené v § 19 zákona č. 122/2013 Z. z. (zdokumentovanie bezpečnostných opatrení v bezpečnostnej smernici alebo bezpečnostnom projekte).
Vyššie uvedená informácia nie je právne záväzná, zohľadňuje iba poskytnuté fakty vyplývajúce z uvedených okolností skutkového a právneho stavu. Závery tejto poskytnutej informácie majú iba odporúčací charakter a nemôžu byť preto zovšeobecňované pre iné, zdanlivo podobné prípady.
avalik
04.10.13,13:44
nevidim dovod preco by si mal tvoj klient evidovat tvoj mzdovy softver
klient si riesi svoju registraciu/evidenciu IS
ty aj ked si sprostredkovatel voci klientovi, si prevadzkovatel vlastneho IS, a teda posudzujes registraciu/evidenciu IS zo svojho pohladu
IS OOU nie je len softver, je to system od vstupu udajov, cez spracovanie, archivaciu a az po ich likvidaciu ... ide o ochranu pocas celeho "zivotneho cyklu" osobnych udajov
klient si riesi svoju registraciu/evidenciu IS
ty aj ked si sprostredkovatel voci klientovi, si prevadzkovatel vlastneho IS, a teda posudzujes registraciu/evidenciu IS zo svojho pohladu
IS OOU nie je len softver, je to system od vstupu udajov, cez spracovanie, archivaciu a az po ich likvidaciu ... ide o ochranu pocas celeho "zivotneho cyklu" osobnych udajov
Ing. Ľubomír Janoška
12.10.13,11:37
@ Mariana B.
Dobrý deň,
dovoľujem si pridať pohľad IT bezpečnosti:
- Prevádzkovateľ je povinný podľa § 8 ods. 2 preveriť Vašu schopnosť zaručiť bezpečnosť spracúvaných osobných údajov, do toho systémovo patrí aj Váš SW na spracovanie miezd, presnejšie povedané, jeho bezpečnostné parametre (a Vaše súvisiace opatrenia). Toto posúdenie má mať z praktických dôvodov písomnú formu so zodpovedajúcou argumentáciou, aj keď zákon to výslovne neuvádza, pretože prevádzkovateľ musí vedieť doložiť splnenie tejto povinnosti.
- Prakticky sa to premietne aj do bezpečnostných projektov - Váš by mal vyčerpávajúcim spôsobom popísať zabezpečenie osobných údajov u Vás ako sprostredkovateľa, vrátane hrozieb, ktoré sa týkajú Vášho SW; bezpečnostný projekt prevádzkovateľa sa môže odvolať na ten Váš alebo lepšie, citovať ho (inak povedané, analýza rizík u prevádzkovateľa musí riešiť aj riziká spracovania u sprostredkovateľa).
S pozdravom
Ing. Ľ. Janoška
PS - osobne považujem za praktické, aby si prevádzkovateľ zaviedol do evidenčného listu aj položku "sprostredkovateľ", aj keď nie je povinná; potom má pokope všetky podstatné informácie, naviazané na každý účel spracovania.
Dobrý deň,
dovoľujem si pridať pohľad IT bezpečnosti:
- Prevádzkovateľ je povinný podľa § 8 ods. 2 preveriť Vašu schopnosť zaručiť bezpečnosť spracúvaných osobných údajov, do toho systémovo patrí aj Váš SW na spracovanie miezd, presnejšie povedané, jeho bezpečnostné parametre (a Vaše súvisiace opatrenia). Toto posúdenie má mať z praktických dôvodov písomnú formu so zodpovedajúcou argumentáciou, aj keď zákon to výslovne neuvádza, pretože prevádzkovateľ musí vedieť doložiť splnenie tejto povinnosti.
- Prakticky sa to premietne aj do bezpečnostných projektov - Váš by mal vyčerpávajúcim spôsobom popísať zabezpečenie osobných údajov u Vás ako sprostredkovateľa, vrátane hrozieb, ktoré sa týkajú Vášho SW; bezpečnostný projekt prevádzkovateľa sa môže odvolať na ten Váš alebo lepšie, citovať ho (inak povedané, analýza rizík u prevádzkovateľa musí riešiť aj riziká spracovania u sprostredkovateľa).
S pozdravom
Ing. Ľ. Janoška
PS - osobne považujem za praktické, aby si prevádzkovateľ zaviedol do evidenčného listu aj položku "sprostredkovateľ", aj keď nie je povinná; potom má pokope všetky podstatné informácie, naviazané na každý účel spracovania.
VTerezka
15.10.13,05:49
Dobrý deň, študujem a študujem tú tému "Ochrana osobných údajov"... a úprimne sa priznám, trošku sa v tom strácam.Mám aj zakúpené videoškolenie od PP, kde ma dosť nemilo prekvapilo,že najskôr vyhodili videokošlenie OOU - základné pojmy a potom ešte jedno - detailnejšie. V podstate zaplatíte 2x. Ale to je na inú debatu. Sme malinká firma a dať vypracovať celú túto tému externej spoločnosti je dosť drahé - dali sme si vypracovať cenovú ponuku. Ja viem, budete mnohí namietať, že pokuty sú ešte drahšie... skrátka idem sa pokúsiť materiály, ktoré už mám - nejako napasovať a prepracovať na nové znenie zákona. Zavesila som tu to, čo zatiaľ mám. Ak je niekto ochotný sa na tom so mnou podieľať, budem len rada... UPOZORŇUJEM dopredu, že sú to neprepracované vzory podľa pôvodného zákona o ochrane osobných údajov, t.j. treba zmeniť čísla zákonov a doplniť podľa nového znenia. Idem sa o to pokúsiť a dúfam,že sa mi podarí sem zavesiť to, čo prepracujem. Tiež by som ocenila akýkoľvek návrh alebo usmernenie... v zmysle hesla "viac hláv - viac rozumu"... Zároveň dopredu upozorňujem, že neplánujem nikomu liezť do kapusty (tým myslím externé firmy, ktoré sa takýmito projektami zaoberajú/, len ponúkam možnosť malinkatým firmám spoločnými silami sa o niečo pokúsiť... Krásny deň :o)
mondes
15.10.13,06:05
Prosím Vás, ak ja spracúvam vo svojom softe mzdy svojho klienta, som sprostredkovateľom, teda mám povinnosť evidencie IS. Správne? A ako mám postupovať pri evidencii? Môžte mi to nejako popísať? Ďakujem veľmi pekne.
avalik
15.10.13,06:57
otazky sa nezadavaju do komentarov
anazu
21.10.13,13:51
Dobry den, akurat si citam zakon a co presne znamena § 34 ods. 2 písm. d)? dakujem
Ing. Ľubomír Janoška
27.10.13,09:40
@ VTerezka:
Ak sa rozhodnete pre samostatný postup, odporúčam Vám riešiť problémy postupne, v tomto poradí:
1/ vymedzenie účelov spracovania (mzdy a personalistika, uchádzači o zamestnanie, klienti, vymáhanie pohľadávok, priamy marketing, kamerové systémy, GPS monitoring...), založenie evidencie IS
2/ vyhodnotenie podmienok pre poverenie zodpovednej osoby (20 a viac oprávnených osôb?),
3/ zistenie osobných údajov osobitnej kategórie, preverenie, či je ich spracovanie pre jednotlivé účely nutné, ak nie, vylúčiť zo spracovania,
4/ zistenie, či sa na spracovaní podieľajú sprostredkovatelia a subdodávatelia, ak áno, preverenie a zmluvné "vnútenie" podmienok spracovania,
5/ zistenie, či sa vykonáva cezhraničný prenos, hlavne mimo EÚ,
6/ posúdenie povinnosti registrácie a osobitnej registrácie - týka sa iba prevádzkovateľov, nie sprostredkovateľov, neregistrujú sa systémy, v ktorých sa osobné údaje spracúvajú na základe "nejakého" zákona (viď vysvetlenie p. JUDr. Mosejovej)
7/ posúdenie, či je spoľahlivo zabezpečené získavanie preukázateľného súhlasu u tých účelov, kde je súhlas právnym základom,
8/ napísanie smernice, v ktorej sa hlavne rozlíšia kompetencie oprávnených osôb tak, aby sa rovno dali použiť pre poučenia a poverenia, plus povinné náležitosti bezpečnostnej smernice,
9/ zaškolenie oprávených osôb, poučenia a poverenia,
10/ bezpečnostný projekt = hlavne preverenie, či sú osobné údaje zabezpečené podľa prílohy vyhlášky 164/2013.
@mondes:
Áno, máte povinnosť evidencie, na stránke Úrade nájdete vzor tlačiva, ktoré si vyplníte. Alebo si cez Google nájdete rovno evidenčný list PaM Úradu, z ktorého si treba povymazávať veci ako "štátna služba" a podobne.
@anazu:
Ust. § 34 písm. d/ je nepresné, takže je jedine Úrad Vám povie, čo znamená presne :) Pozrite si skoršie vysvetlenie od p. JUDr. Mosejovej.
Príklad z praxe: spracovanie personálnej a mzdovej agendy je kryté osobitnými zákonmi (zákonník práce, zákon o sociálnom zabezpečení, z. o zdravotnom zabezpečení, z. o dani z príjmu, z. o dôchodkom sporení atď atď), teda IS pre personalistiku a mzdy nemusíte registrovať. Ale ho musíte evidovať.
Čiže vždy musíte preveriť, či ide o spracovanie na základe osobitného zákona (=musíte evidovať) alebo na základe súhlasu dotknutej osoby (=musíte registrovať, ak nemáte zodpovednú osoobu za dohľad).
Všetkým sa ospravedlňujem za nevyhnutné zjednodušenia.
Ing. Ľ. Janoška
Ak sa rozhodnete pre samostatný postup, odporúčam Vám riešiť problémy postupne, v tomto poradí:
1/ vymedzenie účelov spracovania (mzdy a personalistika, uchádzači o zamestnanie, klienti, vymáhanie pohľadávok, priamy marketing, kamerové systémy, GPS monitoring...), založenie evidencie IS
2/ vyhodnotenie podmienok pre poverenie zodpovednej osoby (20 a viac oprávnených osôb?),
3/ zistenie osobných údajov osobitnej kategórie, preverenie, či je ich spracovanie pre jednotlivé účely nutné, ak nie, vylúčiť zo spracovania,
4/ zistenie, či sa na spracovaní podieľajú sprostredkovatelia a subdodávatelia, ak áno, preverenie a zmluvné "vnútenie" podmienok spracovania,
5/ zistenie, či sa vykonáva cezhraničný prenos, hlavne mimo EÚ,
6/ posúdenie povinnosti registrácie a osobitnej registrácie - týka sa iba prevádzkovateľov, nie sprostredkovateľov, neregistrujú sa systémy, v ktorých sa osobné údaje spracúvajú na základe "nejakého" zákona (viď vysvetlenie p. JUDr. Mosejovej)
7/ posúdenie, či je spoľahlivo zabezpečené získavanie preukázateľného súhlasu u tých účelov, kde je súhlas právnym základom,
8/ napísanie smernice, v ktorej sa hlavne rozlíšia kompetencie oprávnených osôb tak, aby sa rovno dali použiť pre poučenia a poverenia, plus povinné náležitosti bezpečnostnej smernice,
9/ zaškolenie oprávených osôb, poučenia a poverenia,
10/ bezpečnostný projekt = hlavne preverenie, či sú osobné údaje zabezpečené podľa prílohy vyhlášky 164/2013.
@mondes:
Áno, máte povinnosť evidencie, na stránke Úrade nájdete vzor tlačiva, ktoré si vyplníte. Alebo si cez Google nájdete rovno evidenčný list PaM Úradu, z ktorého si treba povymazávať veci ako "štátna služba" a podobne.
@anazu:
Ust. § 34 písm. d/ je nepresné, takže je jedine Úrad Vám povie, čo znamená presne :) Pozrite si skoršie vysvetlenie od p. JUDr. Mosejovej.
Príklad z praxe: spracovanie personálnej a mzdovej agendy je kryté osobitnými zákonmi (zákonník práce, zákon o sociálnom zabezpečení, z. o zdravotnom zabezpečení, z. o dani z príjmu, z. o dôchodkom sporení atď atď), teda IS pre personalistiku a mzdy nemusíte registrovať. Ale ho musíte evidovať.
Čiže vždy musíte preveriť, či ide o spracovanie na základe osobitného zákona (=musíte evidovať) alebo na základe súhlasu dotknutej osoby (=musíte registrovať, ak nemáte zodpovednú osoobu za dohľad).
Všetkým sa ospravedlňujem za nevyhnutné zjednodušenia.
Ing. Ľ. Janoška
Richard
28.10.13,12:38
otazky nepatria do komentarov k odpovedi
VTerezka
12.11.13,05:59
Veľmi pekne ďakujem...dosť sa mi rozjasnilo...také rýchle - hutné - viem sa zorientovať a urobiť si poriadok...naozaj moc ďakujem.