Nový zákon o ochrane osobných údajov

NEPREHLIADNITE

Návrh nového zákona bol pripravený vzhľadom na potrebu dôslednej transpozície Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES“) v kontexte konkrétnych pripomienok Európskej komisie vyplývajúcich zo „Štruktúrovaného dialógu o ochrane osobných údajov“, úloh obsiahnutých v Schengenskom akčnom pláne Slovenskej Republiky a výsledkov analýzy súčasne platného zákona z pohľadu aplikačnej praxe.

Cieľom predkladaného materiálu je zaviesť prehľadnú úpravu práv a povinností osôb začlenených do procesu spracúvania osobných údajov, upevniť nezávislé postavenie Úradu pri výkone dozoru nad ochranou osobných údajov a poskytnúť odchýlky potrebné v konaní podľa tohto zákona z dôvodu špecifického charakteru hmotnoprávnej úpravy v oblasti ochrany osobných údajov ako neoddeliteľnej súčasti základných práv a slobôd v právnom poriadku SR. Návrh zákona prispeje k dosiahnutiu väčšej právnej istoty pre všetky zainteresované subjekty.

Navrhovaná právna úprava nemení pôvodný zámer zákona č. 428/2002 Z. z., ktorý spočíva v poskytovaní ochrany práv fyzických osôb pri spracúvaní ich osobných údajov garantovaných Ústavou Slovenskej republiky a stanovení práv, povinností a zodpovednosti prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov a tiež v zadefinovaní časti osobitného procesu rozhodovania vo veciach kontroly spracúvania osobných údajov. Účelom predkladaných zmien je najmä sprehľadnenie právnej úpravy, zadefinovanie a precizovanie jednotlivých procesov.

1. Pojmy

Predkladaný návrh zákona okrem iného uvádza niekoľko nových pojmov, ako je priestor prístupný verejnosti: „priestorom prístupným verejnosti je priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon“, ale aj zmenu pojmov, ktoré boli stanovené zákonom č. 428/2002 Z. z.

Návrh zákona oproti doteraz platnému zákonu upravuje aj definíciu pojmu sprostredkovateľ a prevádzkovateľ. Vypúšťa sa slovné spojenie „orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj ostatné právnické osoby a fyzické osoby“ a nahrádza sa slovom „každý“, ktoré ho plnohodnotne nahrádza, čím sa zjednodušuje a sprehľadňuje právna úprava.

POZNÁMKA

Zmena postihla aj definíciu pojmu informačný systém: „Informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“). Informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.“

2. Vzťah prevádzkovateľa a sprostredkovateľa

Návrh zákona ďalej zavádza prehľadnejšiu úpravu prevádzkovateľa a sprostredkovateľa a ich vzájomného vzťahu. Podľa novej právnej úpravy vzťah medzi prevádzkovateľom a sprostredkovateľom musí byť upravený iba písomnou zmluvou. Zo zákona vypadlo písomné poverenie. Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dohodnutých v zmluve s prevádzkovateľom.

V § 8 ods. 3 je uvedené: „Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona.“

Zmluva podľa § 8 odseku 3 musí obsahovať:

a) údaje o zmluvných stranách (ďalej len „identifikačné údaje“);

1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa,

b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,

c) účel spracúvania osobných údajov,

d) názov informačného systému,

e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov,

f) okruh dotknutých osôb,

g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,

h) vyhlásenie prevádzkovateľa, že sprostredkovateľ spĺňa podmienky podľa § 8 odseku 2 prvej vety,

i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby,

j) dobu, na ktorú sa zmluva uzatvára,

k) dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Sprostredkovateľovi ďalej pribudla povinnosť, a to vždy pri prvom kontakte oznámiť dotknutej osobe, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený účel.

3. Právny základ spracúvania osobných údajov

Ďalším z dôležitejších inštitútov pri spracúvaní osobných údajov je právny základ spracúvania osobných údajov. Návrh v tejto súvislosti za účelom jednoznačnejšieho výkladu zákona zavádza nový spoločný názov „právny základ spracúvania osobných údajov“, ktorý predstavuje jednu zo základných zásad spracúvania osobných údajov.

Právnym základom je vo všeobecnej rovine potrebné rozumieť oprávnenie prevádzkovateľa k spracúvaniu osobných údajov jednotlivých fyzických osôb (dotknutých osôb). Inými slovami, ide o dôvod, ktorý umožňuje prevádzkovateľovi vykonávať akékoľvek operácie s osobnými údajmi dotknutých osôb v súlade s platnou legislatívou.

Návrh zákona rozširuje spracúvanie osobných údajov bez súhlasu dotknutej osoby, a to v prípade, ak takéto spracúvanie je upravené v priamo vykonateľnom právne záväznom akte Európskej únie a medzinárodnej zmluve, ktorou je SR viazaná.

POZNÁMKA

V praxi sa veľmi často stávalo, že zamestnávatelia mali problém zverejniť na svojej webovej stránke osobné údaje o svojich zamestnancoch. Návrh nového zákona o ochrane osobných údajov v § 12 ods. 3 umožňuje prevádzkovateľovi, ktorý je zamestnávateľom dotknutej osoby, sprístupniť alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

4. Biometrické osobné údaje

Zmena sa týka aj spracúvania biometrických údajov. Návrh zákona upravuje nové podmienky spracúvania biometrických údajov. Zmena je aj v definícii pojmu, ktorý by po novom mal znieť: „biometrickým údajom je osobný údaj fyzickej osoby označujúci jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná; biometrickým údajom je na účely tohto zákona napríklad odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny“.

V § 13 ods. 5 je uvedené: „Prevádzkovateľ je oprávnený spracúvať biometrické údaje len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie a ak:

a) to prevádzkovateľovi vyplýva výslovne zo zákona,

b) dotknutá osoba dala na spracúvanie písomný alebo inak hodnoverne preukázateľný súhlas,

c) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy podľa § 10 ods. 3 písm. b), alebo

d) spracúvanie osobných údajov je nevyhnutné na účely podľa § 10 ods. 3 písm. g).“

POZNÁMKA

V návrhu zákona je uvedené, že primeranosť, nevyhnutnosť a právny základ spracúvania biometrických údajov podľa § 13 ods. 5 písm. b) až d) posudzuje Úrad individuálne v konaní podľa § 37 až § 39. Teda stále pre tieto prípady zostáva povinnosť osobitnej registrácie.

5. Bezpečnosť osobných údajov

Zmena je aj pri bezpečnosti spracúvania osobných údajov. Časť podmienok bude upravená v zákone a časť vo vyhláške, návrh ktorej už Úrad zverejnil pri predkladaní materiálov na rokovanie Hospodárskej a sociálnej rady.

Podľa návrhu zákona je prevádzkovateľ povinný vytvoriť také podmienky fungovania nimi prevádzkovaného informačného systému, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.

POZNÁMKA

Na tento účel prijme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.

Návrh zákona upravuje na rozdiel od platného zákona vypracovanie bezpečnostnej smernice alebo bezpečnostného projektu v dvoch samostatných ustanoveniach.

Bezpečnostné opatrenia prevádzkovateľ zdokumentuje v bezpečnostnej smernici, ak v informačnom systéme:

a) prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov podľa § 13 alebo

b) neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13.

Bezpečnostné opatrenia prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len „bezpečnostný projekt“), ak:

a) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13 alebo

b) informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona.

NEPREHLIADNITE

V návrhu vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení sú bezpečnostné opatrenia rozdelené do troch častí.

Prvá časť – „Základná dokumentácia“, ktorá sa vypracuje, ak prevádzkovateľ spracúva osobné údaje v informačnom systéme, ktorý nie je prepojený s verejne prístupnou počítačovou sieťou, pričom nejde o spracúvanie osobitných kategórií osobných údajov podľa § 13 zákona; okrem povinností vyplývajúcich zo zákona priebežne dokumentuje aj kontrolné činnosti zamerané na dodržiavanie bezpečnosti informačného systému a bezpečnostné incidenty. Povinnosti prevádzkovateľa ustanovené v § 19 ods. 1 a 5 zákona tým nie sú dotknuté.

Dokumentácia obsahuje najmä:

a) písomnú zmluvu podľa § 8 zákona, ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa,

b) písomné záznamy o poučení oprávnených osôb podľa § 21 zákona,

c) písomné poverenie zodpovednej osoby podľa § 23 zákona, ak prevádzkovateľovi taká povinnosť vznikla,

d) písomné záznamy o kontrolnej činnosti prevádzkovateľa zameranej na dodržiavanie bezpečnosti informačného systému podľa § 5 ods. 2 písm. d),

e) písomné záznamy o zistených bezpečnostných incidentoch a písomné záznamy o postupoch, ktorými prevádzkovateľ zabezpečil obnovenie bezpečnosti systému.

Druhá časť – „Bezpečnostná smernica“. Povinnosť zdokumentovať bezpečnostné opatrenia v bezpečnostnej smernici sa vzťahuje na prevádzkovateľa, ktorý spracúva osobné údaje v informačnom systéme podľa § 19 ods. 2 zákona. Obsah bezpečnostnej smernice sa nezmenil, je skoro taký istý ako terajšie ustanovenie § 16 ods. 6 zákona č. 428/2002 Z. z.

Tretia časť – „Bezpečnostný projekt“. Povinnosť vypracovať bezpečnostný projekt sa vzťahuje na prevádzkovateľa, ktorý spracúva osobné údaje v informačnom systéme podľa § 19 ods. 3 zákona.

Bezpečnostný projekt obsahuje najmä:

a) názov informačného systému, na ktorý sa vzťahuje,

b) bezpečnostný zámer,

c) analýzu bezpečnosti informačného systému,

d) bezpečnostnú smernicu.

Vyhláška jednoznačne umožňuje prevádzkovateľovi vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, ak spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu. Je však povinný zreteľne označiť časti týkajúce sa jednotlivých informačných systémov.

Prevádzkovateľ je ďalej podľa nového návrhu zákona povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných údajov v informačnom systéme.

6. Poučenie oprávnenej osoby

V prípade poučenia oprávnenej osoby môžeme povedať, že dochádza k radikálnej zmene, a to z dôvodu, že návrh nového zákona presne popisuje, ako má poučenie vyzerať. Dôvodová správa ako argumenty k spresneniu a dôslednému precizovaniu tohto ustanovenia uvádza zvýšenie právnej istoty a odstránenie kolízií v praxi.

Prevádzkovateľ je podľa § 21 ods. 2 návrhu zákona povinný poučiť oprávnenú osobu o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov.

Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť písomný záznam. Záznam o poučení obsahuje:

a) identifikačné údaje prevádzkovateľa,

b) titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby,

c) titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,

d) informácie podľa § 21 ods. 2,

e) deň poučenia a

f) deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.

Ďalej v novom zákone pribudne povinnosť pre prevádzkovateľa opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností alebo sa podstatne zmenili podmienky spracúvania osobných údajov, alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.

7. Zodpovedná osoba

Najväčšia zmena, ktorú prinesie nový zákon o ochrane osobných údajov, je poverovanie zodpovednej osoby, ktorá má na starosti dohľad nad ochranou osobných údajov. V dôvodovej správe k návrhu zákona je uvedené, že inštitút zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov v súlade s článkom 18 odsek 2 smernice 95/46/ES si z hľadiska aplikačnej praxe vyžaduje zvýšenie odbornosti v oblasti ochrany osobných údajov, pokiaľ sa má zaručiť jeho význam a plnohodnotné uplatňovanie. Návrh zákona zavádza novú úpravu podmienok na poverenie zodpovednej osoby, v rámci ktorých vyžaduje aj vykonanie skúšky zodpovednej osoby zo znalosti zákona.

Nový zákon bude mať dve vyhlášky. Jedna sa týka bezpečnosti spracúvania osobných údajov pod názvom „Vyhláška o rozsahu a dokumentácii bezpečnostných opatrení“ a druhá sa týka zodpovednej osoby a má názov „Vyhláška o skúške fyzickej osoby na výkon funkcie zodpovednej osoby“.

Podľa návrhu zákona prevádzkovateľ bude povinný poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ak bude spracúvať osobné údaje prostredníctvom 20 a viac oprávnených osôb. Ak prevádzkovateľ bude spracúvať osobné údaje prostredníctvom menej ako 20 oprávnených osôb, bude povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii. Tu je jednoznačná zmena, doterajší zákon č. 428/2002 Z. z. nielenže vyžadoval poverenie zodpovednej osoby u tých prevádzkovateľov, ktorí mali viac ako 5 zamestnancov, ale aj umožňoval poveriť zodpovednú osobu u tých, ktorí mali menej ako 6 zamestnancov. Nový zákon túto možnosť, ako je hore uvedené, neumožňuje, a teda zodpovednú osobu budú môcť mať iba tí prevádzkovatelia, ktorí budú zamestnávať 20 a viac oprávnených osôb.

UPOZORNENIE

Zodpovednou osobou bude môcť byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie Úradu o absolvovaní skúšky.

Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby bude vykonávať Úrad. Vzor žiadosti o absolvovanie skúšky zverejní Úrad na svojom webovom sídle.

Podľa Vyhlášky o skúške fyzickej osoby na výkon funkcie zodpovednej osoby skúšku vykoná Úrad bezplatne a vyhotoví potvrdenie o absolvovaní skúšky alebo oznámenie o neúspešnom absolvovaní skúšky. Žiadosť o vykonanie skúšky sa podáva na predpísanom tlačive, ktoré Úrad zverejní na webovom sídle Úradu. Úrad bude oznamovať termíny skúšok vykonávaných v mieste sídla Úradu na webovom sídle Úradu. Úrad si vyhradzuje právo zrušiť termín vykonania skúšky. Úrad bude môcť vykonať skúšku aj mimo sídla Úradu, spravidla v krajských mestách. Skúška sa bude vykonávať zo znalostí všeobecne záväzných právnych predpisov upravujúcich oblasť ochrany osobných údajov formou písomného testu, ktorý obsahuje 30 otázok. Celkový počet bodov, ktoré bude fyzická osoba môcť získať, bude 60. Pre úspešné absolvovanie skúšky bude potrebné získať najmenej 45 bodov. Výsledok skúšky sa bude hodnotiť kvalifikačným stupňom „prospel“ alebo „neprospel“. Potvrdenie o úspešnom absolvovaní skúšky a oznámenie o neúspešnom absolvovaní skúšky, ktoré sa vydajú fyzickej osobe, ktorá skúšku vykonala, sa doručia doporučenou zásielkou na adresu trvalého pobytu alebo na adresu na doručovanie písomností. Potvrdenie o úspešnom absolvovaní skúšky a oznámenie o neúspešnom absolvovaní skúšky si bude môcť fyzická osoba prevziať aj osobne v sídle Úradu, ak to uvedie pri podávaní žiadosti. Ak žiadosť o vykonanie skúšky za fyzickú osobu zašle prevádzkovateľ alebo sprostredkovateľ, bude sa mu zasielať na vedomie oznámenie o absolvovaní skúšky s uvedením hodnotenia skúšky kvalifikačným stupňom. Ak fyzická osoba, ktorá skúšku vykonala, neprospeje, žiadateľ bude môcť požiadať o vykonanie opravnej skúšky. Opravná skúška sa bude dať vykonať len raz za dva roky.

UPOZORNENIE

Fyzická osoba, ktorá úspešne absolvovala skúšku a nevykonáva funkciu zodpovednej osoby počas doby dlhšej ako dva roky, bude povinná vykonať skúšku opakovane.

8. Evidencia a registrácia informačných systémov

Registrácia, osobitná registrácia a evidencia informačných systémov upravená v samostatnej hlave druhej časti návrhu zákona prešla menšími zmenami, čo sa týka postupu a podmienok registrácie (či už obyčajnej, alebo osobitnej), a to najmä pokiaľ ide o prihlasovanie informačného systému na registráciu na Úrade a následné konanie o registrácii a osobitnej registrácii informačného systému.

POZNÁMKA

Zaujímavosťou je vypadnutie výnimky z obyčajnej registrácie podľa § 25 ods. 2 písm. c) zákona č. 428/2002 Z. z., kde je uvedené, že prevádzkovateľ nemusí registrovať informačné systémy obsahujúce osobné údaje fyzických osôb spracúvaných na účely plnenia predzmluvných vzťahov alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z existujúceho alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého pomeru alebo členského pomeru s týmito fyzickými osobami, vrátane osobných údajov ich blízkych osôb.

Pri registrácii treba upozorniť na to, že po novom bude registrácia spoplatnená:

• registrácia informačného systému alebo jej zmena – 20 €
• osobitná registrácia informačného systému alebo jej zmena – 50 €.

9. Cezhraničný tok osobných údajov

V prípade prenosu osobných údajov do tretích krajín s primeranou/bez primeranej úrovne ochrany osobných údajov zákon prináša určité zmeny. Stanovuje sa, že primeranosť úrovne ochrany osobných údajov v tretej krajine hodnotí Európska komisia, ktorá o tom vydá rozhodnutie. Hodnotenie Európskej komisie sa opiera o predchádzajúce stanovisko dozorných orgánov ochrany osobných údajov jednotlivých členských štátov združených v Pracovnej skupine zriadenej podľa článku 29 smernice 95/46/ES a tiež o stanovisko Výboru 31 (článok 31 smernice 95/46/ES).

POZNÁMKA

Návrh zákona zohľadňuje aj tzv. štandardné zmluvné doložky a záväzné vnútropodnikové pravidlá, ktoré vytvárajú v rámci obchodnej spoločnosti spoločnú primeranú úroveň ochrany osobných údajov pre spoločnosti, ktoré v rámci danej korporácie sídlia mimo územia Európskej únie, pričom pre spoločnosti so sídlom v Európskej únii zostáva v platnosti Európska legislatíva.

Taktiež sa navrhuje zmena podmienok súhlasu Úradu s cezhraničným tokom. Úrad bude vydávať súhlas s cezhraničným tokom, iba ak prevádzkovateľ použije v zmluve o prenose osobných údajov do tretej krajiny bez primeranej úrovne ochrany osobných údajov zmluvné doložky, ktoré sú odlišné od štandardných zmluvných doložiek podľa navrhovaného § 31 ods. 2 určených na prenos prevádzkovateľom alebo sprostredkovateľom alebo s nimi vykazujú zjavný nesúlad.

10. Úrad na ochranu osobných údajov

Návrh zákona ďalej zavádza zmeny, aj čo sa týka Úradu a jeho činnosti. Návrh chce ustanoviť nezávislé postavenie Úradu ako dozorného orgánu pri plnení jemu zverených úloh v oblasti ochrany osobných údajov. Úrad ide na prerokovávanie Hospodárskej a sociálnej rady s jednou neakceptovanou zásadnou pripomienkou zo strany Ministerstva financií SR, ktorá sa týka požiadavky úradu o samostatnú rozpočtovú kapitolu.

11. Záver

Na záver nás ešte zaujímajú prechodné a záverečné ustanovenia v zákone, ktoré hovoria, že:

• prevádzkovateľ uvedie do súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti všetky informačné systémy, v ktorých spracúva osobné údaje;
• prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať do súladu s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona;
• prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených osôb v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona;
• poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa účinnosťou tohto zákona zrušujú. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona;
• registrácie udelené podľa doterajšieho zákona sa účinnosťou tohto zákona zrušujú. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s týmto zákonom do troch mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje;
• osobitné registrácie udelené podľa doterajšieho zákona sa účinnosťou tohto zákona zrušujú. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na osobitnú registráciu v súlade s týmto zákonom do troch mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje;
• bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa účinnosťou tohto zákona považujú za bezpečnostné opatrenia vypracované podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s týmto zákonom do deviatich mesiacov odo dňa účinnosti tohto zákona;
• súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona sa účinnosťou tohto zákona považuje za súhlas so spracúvaním osobných údajov udelený podľa tohto zákona.

POZNÁMKA

Predpokladaná účinnosť zákona je od 1. apríla 2013. Uvidíme, ako sa to nakoniec podarí, veď zákon bude potrebné ešte prerokovať v Legislatívnej rade vlády, vo vláde Slovenskej republiky a nakoniec bude musieť prejsť aj schvaľovacím procesom v NR SR. Dúfajme, že všetko pôjde plynulo a k 1. aprílu 2013 bude účinný nielen zákon, ale aj obidve vyhlášky.

Autor: JUDr. Marcela Macová, PhD.