Ochrana osobných údajov

Základné ľudské práva a slobody

Ústava Slovenskej republiky podľa čl. 19 zaručuje každému právo na zachovanie ľudskej dôstojnosti, osobnej cti, dobrej povesti a na ochranu mena, právo na ochranu pred neoprávneným zasahovaním do súkromného a rodinného života a tiež právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe.

Osobné údaje

Ochranu osobných údajov v Slovenskej republike upravuje Nariadenie GDPR a zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 18/2018 Z. z.“).. Nezávislou národnou dozornou autoritou vykonávajúcou dohľad nad ochranou osobných údajov je Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „Úrad na ochranu osobných údajov“).

Kontaktné údaje Úradu:

Úrad na ochranu osobných údajov Slovenskej republiky,
Hraničná 12
820 07 Bratislava 27
tel. číslo: +421-2-32313214,
e-mailová adresa: statny.dozor@pdp.gov.sk

Osobné údaje v zmysle článku 4 ods. 1 Nariadenia GDPR sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Osobné údaje v zmysle ustanovenia § 2 zákona č. 18/2018 Z. z. sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.

Spracúvanie osobných údajov v systéme ITMS21+

Prevádzkovateľ

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky (ďalej aj ako „MIRRI“), Štefánikova 15,811 05 Bratislava,IČO: 50349287

Prevádzkovateľ v zmysle čl. 4 ods. 7 Nariadenia GDPR a § 5 písm. o) zákona č. 18/2018 (ďalej len „Prevádzkovateľ“) je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov.

Prevádzkovateľom ITMS21+ v zmysle § 49 ods. 2 a 3 zákona 292/2014 Z. z. sú MIRRI, riadiaci orgán, certifikačný orgán, orgán auditu, platobná jednotka, spolupracujúci orgán, Úrad vládneho auditu a tiež žiadatelia a prijímatelia. Tieto orgány evidujú a aktualizujú v ITMS21+ osobné údaje a zodpovedajú za aktuálnosť, pravdivosť, úplnosť a správnosť nimi vložených údajov.
(*1) Pod termínom „prevádzkovateľ“ sa pre účely tohto dokumentu chápe prevádzkovateľ definovaný článkom 4 ods. 7 Nariadenia GDPR.

Zodpovedná osoba

Nariadenie GDPR v článku 37 definuje zodpovednú osobu, ktorá musí spĺňať pomerne náročné kritériá odbornej kvalifikácie, zručností, schopností, ktoré zahŕňajú znalosti práva v oblasti ochrany osobných údajov na úrovni únie, znalosti z oblasti bezpečnosti informačných systémov, riadenia rizík, podmienok spracúvania osobných údajov s ohľadom na špecifickú činnosť prevádzkovateľa, pričom povinnosti zodpovednej osoby, ktoré musí realizovať, ju stavajú do osobitnej pozície.

V zmysle uvedeného, Prevádzkovateľ poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu:

tel. č.: +421 2 2092 8211
e-mail: zodpovedna.osoba@vicepremier.gov.sk

Sprostredkovateľ

Spracovateľom v zmysle článku 4 ods. 8 Nariadenia GDPR a § 5 písm. p) zákona č. 18/2018 (ďalej len „Sprostredkovateľ“) je subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.
Na základe Zmluvy o spracúvaní osobných údajov č. 108/2018 uzatvorenej v súlade zo zákonom č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov.

Datacentrum
Cintorínska 5, 811 08 Bratislava
IČO: 00151564

Na základe Zmluvy o spracúvaní osobných údajov č. 126/2018 uzavretá podľa § 34 ods. 3 zákona č. 18/2018 Z. z. o ochrane osobných údajov.

Atos IT Solutions and Services s.r.o.
Pribinova 19, 811 09 Bratislava
IČO: 45 650 276

AXON PRO, s.r.o.
Černyševského 26, 851 01 Bratislava
IČO: 31 387 811

JUMP soft a.s.
Fazuľová 7, 811 07 Bratislava
IČO: 46 117 491

Pod termínom „sprostredkovateľ“ sa pre účely tohto dokumentu chápe spracovateľ definovaný článkom 4 ods. 8 Nariadenia GDPR.

Zákonnosť spracúvania osobných údajov

Prevádzkovateľ spracúva osobné údaje dotknutých osôb na základe právneho základu uvedeného v ustanovení článku 6 ods. 1 písm. c) a e) Nariadenia GDPR a v ustanovení § 13 ods. 1 písm. c) a e) zákona č. 18/2018 Z. z., ktoré ustanovujú, že spracúvanie osobných údajov je zákonné ak je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo ak je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej Prevádzkovateľovi.

Prevádzkovateľ na základe osobitného zákonného ustanovenia, ktorým je
§ 6 ods. 2 písm. d) zákon č. 292/2014 Z. z. má za úlohu tvoriť informačný monitorovací systém (ITMS21+) a plní úlohy súvisiace s prevádzkou ITMS21+.

Cieľom ITMS21+ je ochrane finančných záujmov Európskej únie súhrn pravidiel, postupov a činností zameraných na ochranu finančných záujmov, najmä na zabezpečenie efektívnosti, transparentnosti, hospodárnosti, účinnosti a účelnosti nakladania s prostriedkami Európskej únie, ITMS21+ tiež plnení ďalších úloh ustanovených osobitnými predpismi.

Prehľad účelov spracúvania osobných údajov v ITMS2014+:

1. Spracovanie osobných údajov v súvislosti s tvorbou a prevádzkou informačného monitorovacieho systému v zmysle § 6 ods. 2 d) zákona 292/2014.
2. Spracovanie osobných údajov za účelom plnenia povinností prevádzkovateľa ITMS21+.
3. Spracovanie osobných údajov za účelom plnenia zákonných povinností prevádzkovateľa v súvislosti s evidenciou objednávok, faktúr, zmlúv a iných dokumentov ktoré obsahujú osobné údaje fyzických osôb a sú evidované v systéme ITMS21+.
4. Spracovanie osobných údajov za účelom plnenia zákonných povinnosti spojených s poskytovaním informácií.
5. Spracovanie osobných údajov za účelom plnenia zákonných povinnosti spojených s vybavovaním sťažností a dotazov.
6. Monitorovanie a hodnotenie výsledkov implementácie európskych štrukturálnych a investičných fondov.
7. Spracovanie osobných údaj pri kontrole a audite podľa zákona 357/2015 Z. z.

Prevádzkovateľ je oprávnený získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; zároveň musí zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie.

Právny základ

Prevádzkovateľ zaručuje, že získané osobné údaje sú spracúvané v súlade s dobrými mravmi a spôsobom, ktorý je v súlade s ustanoveniami Nariadenia GDPR a s ustanoveniami zákona č. 18/2018 Z. z., všeobecne záväznými právnymi predpismi vydanými na jeho základe a osobitnými zákonmi.

Právne predpisy, v zmysle ktorých sú v ITMS21+ osobné údaje spracúvané:

• zákon 292/2014 Z. z. o príspevku poskytovanom z európskych štrukturálnych a investičných fondov a o zmene a doplnení niektorých zákonov,
• zákon č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov.
• Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1303/2013 zo 17. decembra 2013, ktorým sa stanovujú spoločné ustanovenia o Európskom fonde regionálneho rozvoja, Európskom sociálnom fonde, Kohéznom fonde, Európskom poľnohospodárskom fonde pre rozvoj vidieka a Európskom námornom a rybárskom fonde a ktorým sa stanovujú všeobecné ustanovenia o Európskom fonde regionálneho rozvoja, Európskom sociálnom fonde, Kohéznom fonde a Európskom námornom a rybárskom fonde, a ktorým sa zrušuje nariadenie Rady (ES) č. 1083/2006.

Prevádzkovateľ v ITMS21+ spracúva osobné údaje dotknutých osôb nižšie uvedených kategórií:

• zamestnancov štátnej a verejnej správy s prístupom do neverejnej časti ITMS21+ za účelom plnenia služobných povinností,
• fyzické osoby žiadateľa, prijímateľa, partnera, užívateľa, cieľovej skupiny, dodávateľov a iných osôb, ak je to nevyhnutné na plnenie úloh podľa zákona č. 292/2014 Z. z..
• fyzické osoby, ktoré si voči ITMS21+ uplatňujú svoje práva a/alebo im vyplývajú povinnosti na základe osobitných právnych predpisov.

Kvalita osobných údajov

V ITMS21+ sa spracúvajú len správne, úplné a aktuálne osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je Prevádzkovateľ povinný bez zbytočného odkladu opraviť alebo doplniť. Za správnosť osobných údajov zodpovedá nie len Prevádzkovateľ ale aj ostatní prevádzkovatelia podľa zákona 292/2014 Z. z..

Bezpečnosť spracúvania osobných údajov

Prevádzkovateľ v súlade s Nariadením GDPR a so zákonom č. 18/2018 Z. z. zodpovedá za bezpečnosť osobných údajov. Na tento účel je so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb povinná prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku.

Poskytovanie informácií a osobných údajov iným štátnym orgánom alebo osobám

Pri poskytovaní informácií a osobných údajov získaných pri plnení úloh Prevádzkovateľ postupuje vždy v zmysle ustanovení osobitných predpisov upravujúcich poskytovanie osobných údajov, ako aj právnych predpisov EÚ a medzinárodných zmlúv, ktorými je Slovenská republika viazaná (napr. podľa zákona 292/2014 Z. z. a zákon 357/2015 Z. z.)

Prevádzkovateľ podľa § 49 ods. 4. Zákona č. 292/2014 Z. z. je oprávnený prostredníctvom ITMS21+elektronicky vymieňať údaje s údajmi v informačných systémoch Európskej komisie určených pre správu európskych štrukturálnych a investičných fondov a s inými vnútroštátnymi informačnými systémami.

Ak dôjde k poskytnutiu nesprávnych, neúplných alebo neaktuálnych osobných údajov alebo k nezákonnému poskytnutiu alebo sprístupneniu osobných údajov, Prevádzkovateľ je povinný bez zbytočného odkladu informovať príjemcov osobných údajov, ktorým sa takéto osobné údaje poskytli alebo sprístupnili.

Práva dotknutých osôb a ich uplatňovanie

Dotknutou osobou je fyzická osoba, ktorej sa osobné údaje, spracúvané v ITMS21+, týkajú.

Prevádzkovateľ je oprávnený vyžadovať osobné údaje podľa zákona 292/2014 Z. z. z informačných systémov iných právnických osôb, a to na účely a v rozsahu nevyhnutnom na plnenie úloh ITMS21+.

Dotknutá osoba je oprávnená uplatňovať svoje práva (pri splnení špecifických podmienok) týkajúce sa jej osobných údajov, a to nasledovne:

1. právo požadovať od prevádzkovateľa prístup k svojim osobným údajom(článok 15 Nariadenia GDPR , resp. ustanovenie § 21 zákona č. 18/2018 Z. z.
2. právo na opravu nesprávnych osobných údajov (článok 16 Nariadenia GDPR, resp. ustanovenie § 22 zákona č. 18/2018 Z. z.
3. právo na obmedzenie spracúvania osobných údajov (článok 18 Nariadenia GDPR , resp. ustanovenie § 24 zákona č. 18/2018 Z. z.
4. právo namietať proti spracúvaniu osobných údajov( článok 21 Nariadenia GDPR , resp. ustanovenie § 27 zákona č. 18/2018 Z. z.
5. právo na prenosnosť osobných údajov (článok 20 Nariadenia GDPR, resp. ustanovenie § 26 zákona č. 18/2018 Z. z.
6. právo podať sťažnosť dozornému orgánu, ktorým je Úrad na ochranu osobných údajov (článok 77 Nariadenia GDPR , resp. ustanovenie § 100 zákona č. 18/2018 Z. z.) - v prípade, ak dotknutá osoba má podozrenie, že jej osobné údaje prevádzkovateľ spracúva neoprávnene, môže v zmysle ustanovenia článku 77 Nariadenia GDPR , resp. ustanovenia § 100 zákona č. 18/2018 Z. z. podať Úradu na ochranu osobných údajov návrh na začatie konania o ochrane osobných údajov.