andyd17
25.02.15,11:52
Dobrý deň,
už mesiace čítam rôzne informácie o ochrane osobných údajov. Zákon som prešla viackrát, tiež stránku dataprotection.gov.sk. Okrem toho som čítala rôzne blogy a články o tejto téme. Aj tak som nedostala jednoznačnú odpoveď na moje otázky. Od marca plánujem otvoriť svoj e-shop (e-shop, marketing, vernostný program = IS), tiež účtujem v programe POHODA, kde mám len jedného dohodára. PC mám prepojený na internet, výkazy do SP posielam cez internet.
Moje otázky sú:
- stačí zaregistrovať 3 IS (e-shop, marketing a vernostný program) alebo treba aj IS mzdy a personalistika?
- ak netreba IS MaP, tak mám ešte nejaké iné povinnosti (evidencia - ako to vyzerá, čo to znamená)?
- mám povinnosť vypracovať si bezpečnostný projekt (som malá firma, doma mám PC,cez webhosting EXOHOSING mám šiforvané heslá...)? Ák áno, kde nájdem presné informácie, ako má vyzerať tento projekt? (keďže v účtovníctve mám údaje ako rodné číslo o dohodárovi, preto predpokladám, že treba. Avšak na druhej strane, asi to netreba zaregistrovať ako IS).
- exohosting.sk - s webhostingovými firmami treba mať uzavretú nejakú zmluvu? I keď mám všetky heslá šifrované. Programovanie robím ja. Oni mi poskytli len priestor a názov (web).
Ďakujem vopred za odpoveď.
S pozdravom
už mesiace čítam rôzne informácie o ochrane osobných údajov. Zákon som prešla viackrát, tiež stránku dataprotection.gov.sk. Okrem toho som čítala rôzne blogy a články o tejto téme. Aj tak som nedostala jednoznačnú odpoveď na moje otázky. Od marca plánujem otvoriť svoj e-shop (e-shop, marketing, vernostný program = IS), tiež účtujem v programe POHODA, kde mám len jedného dohodára. PC mám prepojený na internet, výkazy do SP posielam cez internet.
Moje otázky sú:
- stačí zaregistrovať 3 IS (e-shop, marketing a vernostný program) alebo treba aj IS mzdy a personalistika?
- ak netreba IS MaP, tak mám ešte nejaké iné povinnosti (evidencia - ako to vyzerá, čo to znamená)?
- mám povinnosť vypracovať si bezpečnostný projekt (som malá firma, doma mám PC,cez webhosting EXOHOSING mám šiforvané heslá...)? Ák áno, kde nájdem presné informácie, ako má vyzerať tento projekt? (keďže v účtovníctve mám údaje ako rodné číslo o dohodárovi, preto predpokladám, že treba. Avšak na druhej strane, asi to netreba zaregistrovať ako IS).
- exohosting.sk - s webhostingovými firmami treba mať uzavretú nejakú zmluvu? I keď mám všetky heslá šifrované. Programovanie robím ja. Oni mi poskytli len priestor a názov (web).
Ďakujem vopred za odpoveď.
S pozdravom
Ing. Ľubomír Janoška
26.02.15,06:10
Dobrý deň,
IS pre PaM treba interne evidovať, vzor evidenčného listu nájdete na stárnke Úradu
https://dataprotection.gov.sk/uoou/sites/default/files/evidencny_list_personalistika_a_mzdy.pdf
a pre ostatné IS, ktoré ste uviedli, platí oznamovacia povinnosť (nahradila bývalú registráciu, obsahovo je zhodná a je zadarmo).
Máte povinnosť vypracovať bezpečnostný projekt, keďže v IS pre PaM spracúvate rodné čísla, o ktorých komunikujete so SP a ZP cez internet. BP by Vám mal vypracovať niekto, kto v tom má prax.
Okrem BP, evidencie a oznamovania IS ešte potrebujete zmluvy so sprostredkovateľmi (napríklad web-hosting, možno externé účtovníctvo, advokátska kancelária, povinná zdravotná služba...) s potrebnými (formálnymi) náležitosťami a poučenia oprávnených osôb (na mieru podľa skutočných kompetencií). Mali by ste mať v dokumentácii aj vzory informácie pre dotknutú osobu a súhlasu dotknutej osoby pre tie IS, ktorých sa to týka.
IS pre PaM treba interne evidovať, vzor evidenčného listu nájdete na stárnke Úradu
https://dataprotection.gov.sk/uoou/sites/default/files/evidencny_list_personalistika_a_mzdy.pdf
a pre ostatné IS, ktoré ste uviedli, platí oznamovacia povinnosť (nahradila bývalú registráciu, obsahovo je zhodná a je zadarmo).
Máte povinnosť vypracovať bezpečnostný projekt, keďže v IS pre PaM spracúvate rodné čísla, o ktorých komunikujete so SP a ZP cez internet. BP by Vám mal vypracovať niekto, kto v tom má prax.
Okrem BP, evidencie a oznamovania IS ešte potrebujete zmluvy so sprostredkovateľmi (napríklad web-hosting, možno externé účtovníctvo, advokátska kancelária, povinná zdravotná služba...) s potrebnými (formálnymi) náležitosťami a poučenia oprávnených osôb (na mieru podľa skutočných kompetencií). Mali by ste mať v dokumentácii aj vzory informácie pre dotknutú osobu a súhlasu dotknutej osoby pre tie IS, ktorých sa to týka.
Ing. Ľubomír Janoška
26.02.15,06:11
Prosím Vás, upresnite "v účtovníctve mám údaje ako rodné číslo" - ide o mzdové účtovníctvo alebo o finančné účtovníctvo?
JUDr. Lucia Semančínová
09.03.15,15:06
Len pre upresnenie, podľa úradu na ochranu osobných údajov je poskytovateľ webhostingu len príjemca, ktorému sa údaje sprístupňujú a advokátska kancelária je 3. stranou, takže nejde o sprostredkovateľov.
Ing. Ľubomír Janoška
09.03.15,15:36
Žiaľ, bolo publikované stanovisko Úradu k poskytovateľovi webhostingu ako sprostredkovateľovi
http://www.porada.sk/t221195-eshop-ochrana-osobnych-udajov.html
Aj pri osobnej návšteve na dni otvorených dverí mi potvrdili, že poskytovateľov webhostingu považujú za sprostredkovateľov.
Čo sa týka advokáta, bolo publikované stanovisko Úradu (teraz ho žiaľ neviem narýchlo nájsť), ktoré uvádzalo, že advokát nie je sprostredkovateľ vtedy, keď jeho klient nie je prevádzkovateľ.
:(
http://www.porada.sk/t221195-eshop-ochrana-osobnych-udajov.html
Aj pri osobnej návšteve na dni otvorených dverí mi potvrdili, že poskytovateľov webhostingu považujú za sprostredkovateľov.
Čo sa týka advokáta, bolo publikované stanovisko Úradu (teraz ho žiaľ neviem narýchlo nájsť), ktoré uvádzalo, že advokát nie je sprostredkovateľ vtedy, keď jeho klient nie je prevádzkovateľ.
:(
JUDr. Lucia Semančínová
09.03.15,22:09
ad webhosting: https://dataprotection.gov.sk/uoou/sites/default/files/ozn_pokyny-oznam.pdf
v pokynoch na vyplnenie tlačiva oznámenie IS je uvedené, že prevádzkovateľovi webhostingu sa osobné údaje len sprístupňujú. Ale je možné, že čo úradník, to iný názor :)
ad advokát:
priamo zákon o advokácii určuje rozsah a účel spracúvania osobných údajov advokátom, takže súhlasím, že advokát nie je sprostredkovateľ.
v pokynoch na vyplnenie tlačiva oznámenie IS je uvedené, že prevádzkovateľovi webhostingu sa osobné údaje len sprístupňujú. Ale je možné, že čo úradník, to iný názor :)
ad advokát:
priamo zákon o advokácii určuje rozsah a účel spracúvania osobných údajov advokátom, takže súhlasím, že advokát nie je sprostredkovateľ.
Ing. Ľubomír Janoška
10.03.15,05:33
Osobne mám k tomu taký prístup, že čím je zákon menej jednoznačný v konkrétnostiach, tým viac sa snažím presne popísať vecný stav. V prípade webhostingu to napríklad znamená, že dodávateľ poskytuje zákazníkovi diskový priestor a veľmi často aj databázy; pritom je relevantné, že dodávateľ tieto priestory aj spravuje, takže predmetom webhostingu je vždy správa dát.
Iný pohľad na to isté je taký, že ten, kto vecne potrebuje webhostingové služby nad dátami, je zákazník a nie poskytovateľ webhostingu, teda de facto ide o spracúvanie v mene zákazníka. Určite nie je pravdou, že poskytovateľ webhostingu údaje ďalej nespracúva (§4 ods. 3 písm. a bod 2).
Keď mi ale príde Úrad na kontrolu k zákazníkovi, ktorý nebude mať s providerom webhostingu zmluvu podľa § 8, nebudem váhať použiť argumenty, ktoré ste citovali :D
Iný pohľad na to isté je taký, že ten, kto vecne potrebuje webhostingové služby nad dátami, je zákazník a nie poskytovateľ webhostingu, teda de facto ide o spracúvanie v mene zákazníka. Určite nie je pravdou, že poskytovateľ webhostingu údaje ďalej nespracúva (§4 ods. 3 písm. a bod 2).
Keď mi ale príde Úrad na kontrolu k zákazníkovi, ktorý nebude mať s providerom webhostingu zmluvu podľa § 8, nebudem váhať použiť argumenty, ktoré ste citovali :D
Ing. Ľubomír Janoška
10.03.15,06:17
Ešte k advokátom, samozrejme mimo obhajoby v trestnom konaní - ak napríklad zastupuje zamestnávateľa v spore so zamestnancom, tak platí, že zamestnávateľ je prevádzkovateľ a advokát je sprostredkovateľ.
andyd17
29.04.15,08:16
Ide o mzdové účtovníctvo. Ďakujem veľmi pekne za odpoveď.