15.4.2014
ID: 1786upozornenie pre užívateľov

Novela zákona o ochrane osobných údajov

Aktuálna rýchla novela zákona o ochrane osobných údajov (č. 84/2014 Z. z.) prináša viacero zmien, ktorých cieľom je odstrániť alebo zmierniť niektoré požiadavky uložené relatívne nedávno zákonom o ochrane osobných údajov. Medzi najdôležitejšie zmeny prijaté novelou možno zaradiť najmä zrušenie povinnosti poveriť zodpovednú osobu, nahradenie registračnej povinnosti oznamovacou povinnosťou, zrušenie povinnosti vypracovať bezpečnostnú smernicu, rozdelenie pokút na obligatórne a fakultatívne a zníženie hornej hranice niektorých pokút. Novela nadobúda účinnosť 15. apríla 2014.

 
 Čechová & Partners
 
Na základe novely odpadá povinnosť prevádzkovateľa poveriť zodpovednú osobu, a to bez ohľadu na to, koľko oprávnených osôb u prevádzkovateľa pôsobí. Prevádzkovateľovi zostala možnosť dobrovoľne rozhodnúť, či zodpovednú osobu poverí alebo nie, a to taktiež bez ohľadu na to, koľko oprávnených osôb u prevádzkovateľa pôsobí. Okolnosti jej poverenie sa nemenia, a teda pokiaľ sa prevádzkovateľ rozhodne zodpovednú osobu poveriť, táto aj naďalej musí absolvovať skúšku zabezpečovanú Úradom na ochranu osobných údajov SR. Ak však prevádzkovateľ zodpovednú osobu nepoverí, sám má povinnosť oznámiť úradu informačné systémy, na ktoré sa oznamovacia povinnosť v zmysle zákona vzťahuje. Podľa novej právnej úpravy za zodpovednú osobou už môže byť vymenovaný aj štatutárny orgán prevádzkovateľa alebo fyzická osoba oprávnená konať v mene tohto štatutárneho orgánu, a teda už nie je podmienkou, aby zodpovednou osobou bolo osoba, ktorá je oddelená od obchodného vedenia prevádzkovateľa. Zodpovedná osoba už voči úradu tiež nemá notifikačnú povinnosť o zistených porušeniach neodstránených prevádzkovateľom.

Oznamovacia povinnosť je nová povinnosť prevádzkovateľa oznámiť úradu informačné systémy nahrádzajúca pôvodnú registračnú povinnosť. Prevádzkovateľ je povinný oznámiť úradu informačné systémy, obsahujúce osobné údaje, s výnimkou tých, ktoré zákon z tejto povinnosti vyňal (napr. systémy pod dohľadom riadne vymenovanej zodpovednej osoby). Oznamovaciu povinnosť bude od 1. septembra 2014 možné splniť aj prostredníctvom on-line formulára. Oznámenie informačného systému bude bezplatné, a teda zaniká správny poplatok, ktorý bolo doteraz potrebné platiť pri registrácii. Na základe oznámenia sa nebude vydávať osobitné rozhodnutie a prevádzkovateľ, ktorý splnil aj všetky ostatné právne požiadavky na spracovávanie osobných údajov, bude môcť so spracovávaním začať momentom oznámenia. Je však potrebné zdôrazniť, že povinnosť osobitnej registrácie informačných systémov (pokiaľ sú splnené špecifické požiadavky pri ktorých táto povinnosť vzniká) zostáva zachovaná, a to aj v rozsahu jej spoplatnenia.

Zjednodušujú sa požiadavky na poučenie oprávnenej osoby, kedy na základe novely záznam o poučení už nemusí spĺňať striktne predpísané náležitosti a taktiež sú poskytnuté širšie možnosti ako preukázať vykonanie poučenia a záznam o ňom, ako bol doteraz vyžadovaný písomný záznam. Prevádzkovateľ teda môže sám určiť v akom rozsahu a forme záznam vyhotoví. Tento záznam a jeho obsah je však povinný na požiadanie úradu hodnoverne preukázať.

Osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa, osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov, bude možné spracúvať bez súhlasu dotknutých osôb. Tieto ustanovenia popri už existujúcej úprave v Zákonníku práce dopĺňa právny rámec monitorovania, ako aj rámec tzv. „whistleblowing“ programov. Informačné systémy, v ktorých sa spracúvajú uvedené osobné údaje však vždy podliehajú oznamovacej povinnosti. Úrad môže rozhodnúť, že tieto informačné systémy podliehajú osobitnej registrácii. Legislatívne nedotiahnutou zostala v takomto prípade otázka, aký má takéto rozhodnutie dopad na už začaté spracovávanie osobných údajov.

Za účelom zníženia záťaže a zodpovednosti sprostredkovateľa za porušenie zákona prevádzkovateľom, sprostredkovateľ v zmysle novely už nie je povinný informovať prevádzkovateľa o zjavnom porušení zákona prevádzkovateľom, ktoré sprostredkovateľ zistí a následne, v prípade pretrvania porušenia, nie je ani povinný informovať o tejto skutočnosti úrad. V tejto súvislosti tak sprostredkovateľovi nevzniká spoločná zodpovednosť za porušenie zákona prevádzkovateľom, ako tomu bolo doteraz.

Na základe novely dochádza k zániku povinnosti prevádzkovateľa vypracovať bezpečnostnú smernicu, ako bezpečnostné opatrenie, ktoré bol prevádzkovateľ povinný vypracovať pokiaľ i) spracovával osobné údaje, ktoré síce neboli osobitnou kategóriou osobných údajov, ale jeho informačný systém bol napojený na internet alebo ii) pokiaľ jeho informačný systém napojený na internet nebol, ale spracovával osobitnú kategóriu osobných údajov. Táto povinnosť nebola nahradená inou povinnosťou, avšak za podmienok nezmenených je prevádzkovateľ stále povinný, v ustanovených prípadoch, vypracovať bezpečnostný projekt. Takúto povinnosť má napríklad naďalej prevádzkovateľ, spracúvajúci citlivé osobné údaje, pri súčasnom prepojení zariadení, na ktorých sa spracúvajú, s internetom.

Novela ďalej prináša zmeny v oblasti ukladania pokút a poriadkových pokút úradom. Doteraz mal úrad v prípade zistenia porušenia povinností ustanovených zákonom povinnosť uložiť subjektu pokutu alebo poriadkovú pokutu, a to v zákonne určenom rozpätí. Táto povinnosť úradu je v niektorých prípadoch nahradená možnosťou úradu uplatniť svoju správnu úvahu v širšom rozsahu ako tomu bolo doteraz a rozhodnúť či vôbec uloží pokutu. Môže tak reflektovať okolnosti konkrétneho prípadu a uložiť pokutu, ako uvádza dôvodová správa, v závislosti od „závažnosti, rozsahu a času trvania, následkoch protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života jednotlivcov a počtu dotknutých osôb“. Dochádza tak k odstráneniu zbytočnej tvrdosti predošlej právnej úpravy, kedy bez ohľadu na okolnosti bol úrad povinný sankciu uložiť. V prípade niektorých porušení zákona sa novelou znižuje finančné rozpätie pre ukladanie sankcií. Novela ďalej vypustila priamu sankcionovateľnosť zodpovednej osoby a oprávnenej osoby za porušenie svojich povinností.

V závere je potrebné pripomenúť, že mnohé povinnosti prevádzkovateľa a ďalších subjektov zostávajú bezo zmeny, a je potrebné na ne v súvislosti s ochranou osobných údajov myslieť. Medzi také patrí napríklad i) povinnosť získať súhlas so spracovaním osobných údajov, okrem prípadov, kedy súhlas nie je potrebný, ii) povinnosť v ustanovených prípadoch vypracovať bezpečnostný projekt, či iii) povinnosť písomnej zmluvy medzi prevádzkovateľom a sprostredkovateľom v prípade poverenia sprostredkovateľa so spracovaním osobných údajov. Vo vzťahu k zmluve so sprostredkovateľom je odteraz prevádzkovateľ povinný zmluvy uzatvorené pred 1.7.2013 zosúladiť so zákonom nie do jedného, ale do dvoch rokov od účinnosti zákona, teda do 1. júla 2015. Viac o ďalších povinnostiach podľa zákona nájdete v našom skoršom príspevku.


Tomáš Rybár

Tomáš Rybár,
partner

Kristína Aujeská

Kristína Aujeská,
associate


ČECHOVÁ & PARTNERS s.r.o.

Sturova 4
811 02 Bratislava

Tel.: +421 2 544 144 41
Fax:  +421 2 544 345 98
e-mail: office@cechova.sk


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk