Prevádzkovatelia

Z OOU

Obsah 1 Čo hovorí zákon o ochrane osobných údajov? 2 Čo ale znamená zákonná definícia? 3 Čo to vlastne ten prevádzkovateľ prevádzkuje? 4 Existuje niekto kto spracúva osobné údaje, ale nie je prevádzkovateľom a nevzťahuje sa na neho zákon o ochrane osobných údajov? 5 Stačí ak si poviem na aký účel chcem spracúvať osobné údaje a k tomu akými prostriedkami a môžem ich začať „ťahať“ od dotknutých osôb? 6 Čo je právny základ spracúvania osobných údajov? 7 Možno prevádzkovateľov rozdeliť do nejakých skupín?

[upraviť] Čo hovorí zákon o ochrane osobných údajov?

Zákon v paragrafe 4 odsek 2 hovorí, že prevádzkovateľ je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá sama alebo spoločne s inými určuje účel a prostriedky spracúvania osobných údajov. Ak účel, prípadne aj prostriedky spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho na plnenie účelu spracúvania ustanoví zákon alebo kto splní zákonom ustanovené podmienky. To platí aj vtedy, ak tak ustanovuje právny akt Európskych spoločenstiev a Európskej únie.

[upraviť] Čo ale znamená zákonná definícia?

Znamená toľko, že ide o osobu tak široko definovanú aby sa ustanovenia zákona o ochrane osobných údajov vzťahovali na čo najširší okruh právnych subjektov, ktorý spracúvajú osobné údaje dotknutých osôb. Takýto subjekt patriaci do širokého spektra od štátnych orgánov alebo obšírnejšie orgánov verejnej moci až po bežného človeka – fyzickú osobu.

Prevádzkovateľ je teda ten, kto určuje účel spracúvania osobných údajov a prostriedky spracúvania osobných údajov. Či už to určuje sám alebo spoločne s inými, spracúva len sám. Pekným príkladom je bankový register, ktorý neprevádzkujú banky ale tretia osoba vytvorená na tento účel.

V prípade, že sú tieto parametre, teda účel a prostriedky spracúvania definované nejakým zákonom, prevádzkovateľom je ten o kom to zákon „povie“. Zákon však nemusí výslovne ustanoviť za prevádzkovateľa konkrétnu osobu, môže aj určiť podmienky po splnení, ktorých možno osobu za prevádzkovateľa považovať. To isté platí aj pre prípady, keď to určuje legislatíva ES a EÚ.

[upraviť] Čo to vlastne ten prevádzkovateľ prevádzkuje?

To čo prevádzkuje nazýva zákon o ochrane osobných údajov pojmom informačný systém. Informačným systémom akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napríklad kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy.

Znie to zložito, ale v konečnom dôsledku je informačný systém veľmi široký pojem a môže ním byť čokoľvek čo obsahuje informácie. Pre potreby ochrany osobných údajov je však zúžený parametrom, podľa ktorého musí obsahovať jeden alebo viac osobných údajov. Ďalej tieto údaje musia byť systematicky spracúvané a to nie bezúčelne, ale pre potreby dosiahnutia vyššie uvedeného účelu s požitím už spomínaných prostriedkov.

[upraviť] Existuje niekto kto spracúva osobné údaje, ale nie je prevádzkovateľom a nevzťahuje sa na neho zákon o ochrane osobných údajov?

Odpoveď je áno. Paragraf 2 odsek 2 zákona o ochrane osobných údajov hovorí, že zákon sa nevzťahuje na ochranu osobných údajov, ktoré spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, ako je vedenie osobného adresára alebo korešpondencia a tiež na ochranu osobných údajov, ktoré boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.

Tzn, že keď si vediem adresár s osobnými údajmi mojich známych ako svoju výlučne domácu činnosť, teda nechystám na nich nejaký direct marketing, tak ešte nie som prevádzkovateľ v zmysle zákona o ochrane osobných údajov.

[upraviť] Stačí ak si poviem na aký účel chcem spracúvať osobné údaje a k tomu akými prostriedkami a môžem ich začať „ťahať“ od dotknutých osôb?

Takto by to mohlo fungovať iba keby bola dotknutá osoba veľmi naivná. Prevádzkovatelia môžu získavať osobné údaje iba ak na to majú právny základ.

[upraviť] Čo je právny základ spracúvania osobných údajov?

Právny základ spracúvania osobných údajov v kontexte paragrafu 7 zákona o ochrane osobných údajov je tak rozsiahla téma, že sa jej venuje samostatný článok Právny základ. Na tomto mieste si spomeňme iba súhlas dotknutej osoby či osobitný zákon, ktoré sú veľmi frekventovaným právnym základom spracúvania osobných údajov.

[upraviť] Možno prevádzkovateľov rozdeliť do nejakých skupín?

Pravdaže, akákoľvek heterogénna skupina môže byť rozdelená na podskupiny podľa rôznych kritérií. Hoci rozdelenie prevádzkovateľov do rôznych skupín má skôr akademický význam, môže byť základom pre určenie, ktoré povinnosti vyplývajúce zo zákona o ochrane osobných údajov sa vzťahujú na ktorého prevádzkovateľa. Klasifikácii prevádzkovateľov sa venuje článok Rozdelenie prevádzkovateľov.