Čo znamená § 49 – Vnútropodnikové pravidlá

Jednoduché vysvetlenie z: Zákon o ochrane osobných údajov (zákon č. 18/2018 Z.z.)

Sledovať zmeny
Panel nástrojov

§ 49 – Vnútropodnikové pravidlá

Trvalý odkaz
Jednoducho
(1)
Úrad schváli interné pravidlá skupiny firiem, ak:
a)
platia pre každého člena skupiny vrátane zamestnancov a všetci ich dodržiavajú,
b)
upravujú, ako si uplatňuje práva človek, ktorému patria údaje, a
c)
spĺňajú požiadavky z odseku 2.
(2)
Tieto pravidlá musia obsahovať aspoň:
a)
štruktúru a kontaktné údaje skupiny a každého jej člena,
b)
aké údaje sa prenášajú, aký typ spracovania a na aký účel, koho sa to týka a do ktorej tretej krajiny údaje idú,
c)
záväznosť pravidiel pre toho, kto údaje spracúva, aj pre sprostredkovateľa,
d)
dodržiavanie zásad ochrany údajov: obmedzenie účelu, čo najmenej údajov, kratšie uchovávanie, kvalita údajov, špeciálna aj bežná ochrana, právny základ spracovania, spracovanie citlivých údajov, bezpečnostné opatrenia a pravidlá pre ďalší prenos údajov subjektom mimo tejto skupiny,
e)
práva človeka, ktorému patria údaje, a ako si ich uplatní – vrátane práva, aby o ňom nerozhodoval iba počítač (podľa § 28), práva podať sťažnosť (podľa § 100), práva na inú právnu ochranu a náhrady škody za porušenie týchto pravidiel,
f)
vyhlásenie, že firma so sídlom na Slovensku zodpovedá za porušenie pravidiel aj členmi skupiny mimo EÚ; zbaví sa zodpovednosti len ak dokáže, že škodu nespôsobila,
g)
ako sa informuje človek o týchto pravidlách (najmä o bodoch d až f) okrem spôsobov podľa § 19 a 20,
h)
kto kontroluje dodržiavanie pravidiel, školenia a vybavuje sťažnosti (zodpovedná osoba alebo iný subjekt),
i)
postup pri podávaní sťažností,
j)
systém kontroly dodržiavania pravidiel v rámci skupiny vrátane auditov a nápravných opatrení; výsledky sa oznámia zodpovednej osobe, vedeniu hlavnej firmy a na požiadanie aj úradu,
k)
ako sa zmeny pravidiel zaznamenávajú a oznamujú úradu,
l)
ako sa spolupracuje s úradom, najmä sa mu poskytujú výsledky kontrol z bodu j,
m)
ako sa oznamujú právne predpisy v tretej krajine, ktoré by mohli ohroziť ochranu údajov podľa týchto pravidiel, a
n)
odborné školenie ľudí, ktorí prichádzajú do styku s osobnými údajmi.
Originál
(1)
Úrad schváli vnútropodnikové pravidlá, ak
a)
sa vzťahujú na každého člena skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov a títo členovia ich uplatňujú,
b)
sa nimi upravujú vnútorné postupy pre uplatnenie práv dotknutej osoby, ak ide o spracúvanie osobných údajov, a
c)
spĺňajú požiadavky podľa odseku 2.
(2)
Vo vnútropodnikových pravidlách sa uvedie aspoň
a)
štruktúra a kontaktné údaje skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a každého z ich členov,
b)
prenos osobných údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb a identifikácia predmetnej tretej krajiny alebo krajín,
c)
ich záväznosť pre prevádzkovateľa a sprostredkovateľa,
d)
uplatňovanie všeobecných zásad ochrany osobných údajov, najmä obmedzenie účelu, minimalizácia osobných údajov, obmedzenie lehoty uchovávania, kvalita osobných údajov, špecificky navrhnutá a štandardná ochrana osobných údajov, právny základ pre spracúvanie osobných údajov, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti osobných údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané vnútropodnikovými pravidlami,
e)
právo dotknutej osoby v súvislosti so spracúvaním osobných údajov a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní vrátane profilovania podľa § 28 , práva na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu práva podľa osobitného predpisu 19 ) a práva na náhradu škody za porušenie vnútropodnikových pravidiel,
f)
vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky prijíma zodpovednosť za porušenia vnútropodnikových pravidiel ktorýmkoľvek z dotknutých členov, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte; prevádzkovateľ alebo sprostredkovateľ je úplne oslobodený alebo čiastočne oslobodený od tejto zodpovednosti, len ak preukáže, že spôsobenú škodu nezavinil,
g)
spôsob, akým sa okrem spôsobov podľa § 19 a 20 poskytujú dotknutej osobe informácie o vnútropodnikových pravidlách, najmä ak ide o ustanovenia podľa písmen d) až f),
h)
úloha zodpovednej osoby alebo inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania vnútropodnikových pravidiel, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností,
i)
postup týkajúci sa podávania sťažností,
j)
mechanizmus, ktorý má v rámci skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti zabezpečiť overovanie dodržiavania vnútropodnikových pravidiel a ktorý zahŕňa audity ochrany osobných údajov a metódy na zabezpečenie opatrení na nápravu s cieľom chrániť práva dotknutej osoby; výsledky overovania oznamujú zodpovednej osobe alebo subjektu uvedenému v písmene h) a štatutárnemu orgánu riadiaceho podniku skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie poskytujú úradu,
k)
mechanizmus ohlasovania a zaznamenávania zmien pravidiel a ohlasovania týchto zmien úradu,
l)
mechanizmus spolupráce s úradom na zabezpečenie dodržiavania pravidiel, najmä poskytovania výsledkov overovania podľa písmena j) úradu,
m)
mechanizmus ohlasovania právnych požiadaviek, ktorým prevádzkovateľ alebo sprostredkovateľ podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé následky na záruky poskytované vnútropodnikovými pravidlami úradu, a
n)
primeraná odborná príprava fyzických osôb, ktoré majú stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany osobných údajov.