16.4.2013
ID: 118upozornenie pre užívateľov

Nový zákon o ochrane osobných údajov

Novým zákonom o ochrane osobných údajov sa zavádzajú zmeny relevantné pre každý podnikateľský subjekt. Obzvlášť relevantné sú nové podmienky na použitie sprostredkovateľov a subdodávateľov, sprísnenie požiadaviek na zodpovedné osoby, zmiernenie požiadaviek pre cezhraničný prenos údajov či rozšírenie okruhu subjektov povinných registrovať svoje informačné systémy.

 
 Čechová & Partners
 
Nový zákon o ochrane osobných údajov („Nový zákon“), ktorý vychádza z dielne Úradu na ochranu osobných údajov Slovenskej republiky („Úrad“) bol prijatý Národnou radou Slovenskej republiky 19. marca 2013. V čase písania tohto článku Prezident SR rozhodol o jeho vrátení Národnej rade, avšak vzhľadom na legislatívno-technický charakter jeho pripomienok sa neočakáva podstatná zmena v konečnom schválenom znení. V čase písania tohto článku ešte nebola ustálená účinnosť nového predpisu, keďže pôvodne schválená účinnosť od 1.6.2013 navrhuje prezident posunúť na 1.7.2013. Nižšie sumarizujeme vybrané zmeny vyplývajúce z predfinálneho znenia novej právnej úpravy.

Nový zákon zrušuje a úplne nahrádza súčasne platný zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov („Predchádzajúci zákon“). Komplikáciou pre prevádzkovateľov a sprostredkovateľov môže byť skutočnosť, že aj táto nová právna úprava, ktorej sa budú musieť prispôsobiť bude už v pomerne krátkom čase (prijatie približne o rok a účinnosť o tri roky) nahradená novou celoeurópskou úpravou, keďže sa pripravuje jednotné nariadenie EÚ o ochrane osobných údajov.

Prijatie Nového zákona je zdôvodnené potrebou úplnej a dôslednej transpozície smernice 95/46/EC, potrebou zohľadniť praktické skúsenosti Úradu ako aj prehľadnejším a logickejším usporiadaním jeho jednotlivých častí. Nad tento rámec je zásadným najmä sprísnenie požiadaviek na zodpovedné osoby, na druhej strane sa zmierňujú požiadavky pre cezhraničný prenos údajov.

Pôsobnosť zákona zostáva nezmenená. Za účelom odstránenia nejasností, upravuje, že zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje ich účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie. Zákonom sa zároveň mierne odlišne upravujú aj iné pojmy ako napr. prevádzkovateľ či dotknutá osoba.

Zmeny vo vzťahu prevádzkovateľ sprostredkovateľ

Sprostredkovateľ, ktorý je oprávnený spracúvať osobné údaje iba v mene prevádzkovateľa, musí mať v zmysle novej právnej úpravy rozsah a podmienky dojednané s prevádzkovateľom v písomnej zmluve, ktorá spĺňa náležitosti Nového zákona. Táto by mala obsahovať, okrem iného, identifikáciu zmluvných strán, presne určený účel, rozsah a podmienky spracúvania osobných údajov, dátum začatia spracúvania osobných údajov sprostredkovateľom, zoznam osobných údajov, trvanie zmluvy a dátum uzatvorenia zmluvy. Možnosť jednostranného písomného poverenia, ktorá existovala podľa Pôvodného zákona, bola v novej právnej úprave vypustená.

Sprostredkovateľ je povinný vykonávať spracúvanie osobných údajov vlastnými kapacitami. Pokiaľ hodlá použiť inú osobu (vynímajúc vlastných zamestnancov), označenú v Novom zákone ako subdodávateľ, musí byť o tomto prevádzkovateľ informovaný a takáto možnosť v zmluve s prevádzkovateľom dojednaná. Subdodávateľ vždy spracúva osobné údaje na zodpovednosť sprostredkovateľa, ktorý zostava priamo zodpovedný za takéto spracúvanie a ochranu osobných údajov voči prevádzkovateľovi, čiže Nový zákon opakuje štandardné zmluvné princípy.

Prevádzkovateľ bude povinný svoje zmluvné vzťahy so sprostredkovateľom dať do súladu s Novým zákonom do jedného roka odo dňa jeho účinnosti.

Spracúvanie osobných údajov

Nový zákon obsahuje novú súhrnnú časť označenú ako „Právny základ spracúvania osobných údajov“, ktorý obsahuje zmenené ustanovenia upravujúce oprávnenie na spracúvanie osobných údajov, rozšírenú úpravu spracúvania osobných údajov bez súhlasu dotknutej osoby, osobitné ustanovenia upravujúce súhlas dotknutej osoby a osobitné kategórie osobných údajov a ich spracúvanie a vykonávanie iných operácií s osobnými údajmi.

Prevádzkovateľ je oprávnený spracúvať osobné údaje iba na základe (i) priamo vykonateľného záväzného právneho aktu Európskej únie, (ii) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, (iii) ustanovení Nového zákona alebo osobitného zákona, alebo (iv) súhlasu dotknutej osoby. Sprostredkovateľ je oprávnený spracúvať osobné údaje na rovnakom právnom základe, len v rozsahu a za podmienok dohodnutých v písomnej zmluve s prevádzkovateľom.

Právny základ spracúvania osobných údajov musí byť jasne vymedzený a nemôže byť zamieňaný s iným právnym základom. Ak nie je možné spracúvanie osobných údajov na inom právnom základe, alebo bez súhlasu dotknutej osoby, vyžaduje sa súhlas so spracúvaním osobných údajov.

Zaujímavosťou je, že Nový zákon výslovne oprávňuje zamestnávateľa - prevádzkovateľa sprístupniť alebo zverejniť osobné údaje zamestnanca v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných či funkčných povinností zamestnanca.

Nový zákon obsahuje podrobnejší opis podmienok spracúvania biometrických údajov, ako jedných z najcitlivejších údajov. Za biometrické údaje sa považujú osobné údaje fyzickej osoby označujúce jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná. Štandardným príkladom je odtlačok prstu alebo DNA. Spracúvanie takýchto údajov je umožnené len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie a zároveň je splnená jedna zo zákonných podmienok spracúvania osobných údajov (zákonná povinnosť, plnenie zmluvy s dotknutou osobou, ochrana práv prevádzkovateľa prevažujúcich nad základnými právami dotknutej osoby). Biometrické údaje môžu by spracúvané iba v prípade, ak prevádzkovateľ požiadal Úrad o osobitnú registráciu, v rámci ktorej Úrad posúdi primeranosť a nevyhnutnosť spracúvania biometrických údajov na určený účel a zároveň aj oprávnenosť takéhoto spracúvania.

Bezpečnosť osobných údajov

Prevádzkovateľ je zodpovedný za bezpečnosť osobných údajov. Prevádzkovateľ musí zabezpečiť ochranu osobných údajov prijatím bezpečnostných opatrení, vrátane technických, organizačných a personálnych opatrení, ktoré sú novo rozčlenené. Podobne ako v predchádzajúcej právnej úprave, prevádzkovateľ musí zabezpečiť ochranu osobných údajov prijatím bezpečnostných opatrení a zdokumentovať ich v bezpečnostnej dokumentácii. Táto má mať štandardne formu bezpečnostnej smernice v prípade ak (i) je jeho informačný systém prepojený s verejnou prístupnou počítačovou sieťou (napr. internetom), alebo (ii) hoci nie je prepojený s verejne dostupnou počítačovou sieťou, spracúva osobitné kategórie osobných údajov. V prípade ak prevádzkovateľ spracúva osobitné kategórie osobných údajov a súčasne je jeho informačný systém prepojený s verejne prístupnou sieťou, vyžaduje sa forma bezpečnostného projektu. Ak nie je splnená žiadna z vyššie uvedených podmienok, prevádzkovateľ len priebežne dokumentuje dodržiavanie bezpečnosti a prípadné bezpečnostné incidenty. Podrobná úprava rozsahu a dokumentácie bezpečnostných opatrení bude upravená vo vyhláške Úradu. Prevádzkovateľ bude povinný zosúladiť vypracované bezpečnostné opatrenia s Novým zákonom do deviatich mesiacov od účinnosti Nového zákona.

Nová právna úprava tiež dopĺňa definíciu oprávnenej osoby, ktorou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným Novým zákonom. Prevádzkovateľ je povinný vyhotoviť záznam o poučení oprávnenej osoby, ktorý obsahuje, okrem iného, identifikáciu oprávnenej osoby a prevádzkovateľa, informácie o právach a povinnostiach podľa Nového zákona a dátum poučenia. Jednoznačné určenie, ktorá osoba je oprávnenou osobou, a koľko takýchto osôb u prevádzkovateľa pôsobí, bude kľúčové pri určení, či vzniká povinnosť vymenovania a hlavne povinného preskúšania zodpovednej osoby ako je opísané nižšie. Prevádzkovateľ a sprostredkovateľ budú povinní vykonať poučenie oprávnenej osoby podľa Nového zákona do šiestich mesiacov od jeho účinnosti.

V prípade ak prevádzkovateľ poskytol tretej strane nesprávne, neúplné alebo neaktuálne osobné údaje, alebo ich poskytol bez právneho základu, zavádza sa jeho povinnosť bez zbytočného odkladu písomne to oznámiť každému, komu ich poskytol. V takomto oznámení bude potrebné uviesť, aké opatrenia na nápravu prevádzkovateľ vykonal, najmä či osobné údaje blokoval, doplnil, opravil, aktualizoval alebo zlikvidoval, a aké opatrenia žiada prijať od tretej strany.
 
Dohľad nad ochranou osobných údajov

Nový zákon ustanovuje, že prevádzkovateľ je povinný výkonom dohľadu nad ochranou osobných údajov písomne poveriť jednu alebo viac zodpovedných osôb najneskôr v lehote 60 dní, ak spracúva osobné údaje prostredníctvom dvadsať (20) a viac oprávnených osôb. V porovnaní s predchádzajúcou právnou úpravou sa zvýšil limit, kedy je potrebné poveriť zodpovednú osobu, zároveň sa toto kritérium už neviaže na počet zamestnancov, ale počet oprávnených osôb prostredníctvom ktorých sa osobné údaje spracúvajú. Na druhej strane sa neumožňuje doteraz uplatňované vyhnutie sa povinnosti registrácie dobrovoľným vymenovaním zodpovednej osoby, nakoľko sa striktne stanovuje, že v prípade ak prevádzkovateľ spracúva osobné údaje prostredníctvom menej ako dvadsať (20) osôb, je povinný svoj informačný systém registrovať a zároveň sa vyňala možnosť dobrovoľného vymenovania zodpovednej osoby. Okrem uvedeného, za registráciu informačného systému je prevádzkovateľ povinný zaplatiť správny poplatok. Týmto vzniká u značnej časti podnikateľských subjektov, u ktorých doteraz postačovala interná evidencia, povinnosť registrácie. Zároveň tak vzniká dodatočný administratívny úkon a náklad pri vzniku podnikateľského subjektu, čo je v rozpore s deklarovanými snahami Vlády SR znížiť takúto záťaž. Nie je umožnené riešiť splnenie takejto povinnosti napr. v rámci jednotných kontaktných miest.

Zodpovednou osobou môže byť len fyzická osoba, ktorá okrem iného vykonala skúšku zodpovednej osoby. Skúšku vykonáva Úrad a je bezplatná. Rozsah skúšky a jej priebeh bude upravený vo vyhláške Úradu. Ak zodpovedná osoba nevykonáva túto funkciu dlhšej ako dva roky, je povinná opakovane vykonať skúšku. Táto nová povinnosť môže u týchto subjektov značne zvýšiť administratívne zaťaženie.

Poverenia zodpovednej osoby podľa Predchádzajúceho zákona sa zrušujú. Prevádzkovateľ a sprostredkovateľ sú povinní novo poveriť zodpovednú osobu (vrátane absolvovania skúšky) do jedného roka od účinnosti Nového zákona. Týmto vzniká právne vákuum v medziobdobí, ktoré je jednou z pripomienok prezidenta v dôsledku ktorých bol zákon vrátený Národnej rade.
 
Cezhraničný prenos osobných údajov

Zásadne sa menia požiadavky na cezhraničná prenos, keďže sa vo väčšine prípadov upúšťa od potreby schválenia Úradom. Cezhraničný prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, ak prevádzkovateľ prijme primerané záruky v podobe (i) štandardných zmluvných doložiek schválených Európskou komisiou, alebo (ii) záväzných vnútropodnikových pravidiel prevádzkovateľa schválených orgánom dozoru členského štátu EÚ. Rovnaké opatrenia je prevádzkovateľ povinný prijať aj ak ide o cezhraničný prenos osobných údajov o osobách v pracovnom pomere, štátnozamestnaneckom pomere, služobnom pomere alebo v obdobnom pomere.

Právny inštitút vnútropodnikových pravidiel prevádzkovateľa a proces ich schvaľovania má zabezpečiť zníženie administratívneho zaťaženia pri prenose osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov. Zákon však upravuje iba vnútropodnikové pravidlá prevádzkovateľa a neupravuje možnosť aplikácie vnútropodnikových pravidiel sprostredkovateľov.

Nový zákon obsahuje tiež konkrétnu úpravu náležitostí zmluvy s prevádzkovateľom alebo sprostredkovateľom so sídlom v Spojených štátoch amerických, ktorý pristúpil k zásadám tzv, bezpečného prístavu (Safe Harbor).

V nadväznosti na uvedené, súhlas Úradu s prenosom osobných údajov do tretích krajín nezaručujúcich primeranú úroveň ochrany je potrebný iba ak prevádzkovateľ v zmluve použije zmluvné doložky, ktoré sú odlišné od štandardných zmluvných položiek, alebo vykazujú zjavný nesúlad so štandardnými zmluvnými doložkami. Upúšťa sa teda od doterajšej striktnej praxe zakazujúcej odchýlky od štandardných zmluvných doložiek, ak boli vyžadované.
 
Vo vzťahu k prenosom v rámci EÚ je prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom sprostredkovateľa, ktorý má sídlo v jednom alebo viacerých členských štátoch EÚ, je povinný zabezpečiť, aby sprostredkovateľ dodržiaval jeho inštrukcie a ustanovenia Nového zákona.

Registrácia a evidencia informačných systémov

Pri registrácii sa podrobnejšie špecifikujú jej náležitosti, pričom sa dopĺňa požiadavka uviesť počet oprávnených osôb a pripojiť pri registrácii aj konkrétny popis podmienok spracúvania osobných údajov. Taktiež sa jednoznačne konštatuje, že prevádzkovateľ je oprávnený spracúvať osobné údaje už odo dňa podania žiadosti o registráciu.

Osobitná registrácia sa ako doteraz vzťahuje na informačné systémy v ktorých sú spracúvané (i) osobné údaje bez súhlasu dotknutej osoby a ich spracúvanie je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretích osôb, alebo (ii) biometrické údaje, alebo (iii) osobitné kategórie osobných údajov a zároveň sa predpokladá ich prenos do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov. K žiadosti o osobitnú registráciu je zároveň potrebné priložiť podklady na posúdenie, či spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb.

Nová právna úprava zavádza správne poplatky vo výške 20 eur za obyčajnú registráciu a vo výške 50 eur za osobitnú registráciu.

Registrácie informačných systémov udelené podľa Predchádzajúceho zákona sa Novým zákonom zrušujú a prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu do šiestich (6) mesiacov od účinnosti Nového zákona. V tomto prípade taktiež vzniká nejasnosť ohľadom právneho režimu v medziobdobí, čo bude pravdepodobne predmetom úprav v Národnej rade po vrátení Nového zákona prezidentom.

Ochrana práv dotknutých osôb a konanie

V súvislosti s novou úpravou správneho konania o ochrane osobných údajov, môže dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, podať Úradu návrh na začatie konania o ochrane osobných údajov.

Konanie sa začína na návrh dotknutej osoby alebo fyzickej osoby, ktorá tvrdí, že jej práva vyplývajúce z Nového zákona boli dotknuté, alebo bez návrhu, najčastejšie na základe výsledkov kontroly vykonanej Úradom. Ak Úrad rozhodne, že práva dotknutej osoby boli postupom prevádzkovateľa alebo sprostredkovateľa porušené, môže uložiť opatrenia na nápravu alebo sankcie za porušenie zákona. Úrad takto môže zakázať neoprávnené spracúvanie osobných údajov, uložiť povinnosť prijať technické, organizačné alebo personálne opatrenia, nariadiť likvidáciu osobných údajov, alebo aj uložiť prevádzkovateľovi povinnosť ukončiť písomnú zmluvu so sprostredkovateľom. Úrad rozhodne o návrhu do 60 dní od začatia konania. Proti rozhodnutiu Úradu je možné podať rozklad do 15 dní od doručenia rozhodnutia. Na konanie o ochrane osobných údajov sa subsidiárne vzťahuje Správny poriadok.

Vzhľadom na značné procesné práva priznané dotknutej osobe, môže vzniknúť u prevádzkovateľov prichádzajúcich do styku s väčším počtom dotknutých osôb riziko značného množstva konaní. Hoci Úrad je oprávnený v niektorých prípadoch návrh odmietnuť, napr. pri jeho zjavnej neopodstatnenosti, navrhovateľ, ktorým môže byť aj „notorický sťažovateľ“, nenesie žiadne náklady či riziko v prípade ak sa preukáže neopodstatnenosť jeho návrhu či nepravdivosť jeho tvrdené.

Ako vyplýva z tohto súhrnu, nová právna úprava bude vyžadovať dôsledné oboznámenie sa s ňou zo strany všetkých prevádzkovateľov a sprostredkovateľov a zabezpečenie zosúladenia vnútorných procesov a dokumentácie s upravenými zákonnými požiadavka. Toto bude obzvlášť dôležité u subjektov, u ktorých vznikne povinnosť ustanoviť riadne preskúšanú zodpovednú osobu, ako aj subjektov, ktoré doteraz svoje informačné systémy nemali registrované.

Prečítajte si aj aktualizujúci príspevok o novelizácii tohto predpisu TU.


Tomáš Rybár

Tomáš Rybár,
partner

Jana Fabiánová

Jana Šulíková,
associate


Advokátska kancelária ČECHOVÁ & PARTNERS

Sturova 4
811 02 Bratislava

Tel.: +421 2 544 144 41
Fax:  +421 2 544 345 98
e-mail: office@cechova.sk


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk