Nový zákon o ochrane osobných údajov

Už sa zdalo, že ochrana osobných údajov je v našom právnom poriadku pevne zakotvená zákonom č. 428/2002 Z. z. o ochrane osobných údajov, ktorý historicky ako tretí v poradí (po zákone č. 256/1992 Zb. a zákone č. 52/1998 Z. z.) viac ako 10 rokov od 1. septembra 2002 upravoval problematiku ochrany osobných údajov v rámci nášho právneho systému. Zdalo sa, že práve zákon č. 428/2002 Z. z. bude tým, ktorý v Slovenskej republike uzatvorí éru tzv. národných zákonov o ochrane osobných údajov, prostredníctvom ktorých boli členské štáty Európskej únie povinné prebrať do svojho právneho poriadku základné princípy Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov. Takéto vyústenie sa logicky očakávalo najmä preto, že 25. januára 2012 Európska komisia predstavila nový právny rámec ochrany osobných údajov prezentovaný návrhom Nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov), ktorým v celoúniovom kontexte odštartovala reformu ochrany osobných údajov založenú na jednotných princípoch platných pre všetky členské štáty prostredníctvom tzv. európskeho zákona, za ktorý je nariadenie považované. Inak povedané, cieľom nových pravidiel o ochrane osobných údajov daných nariadením je vytvorenie silného, harmonizovaného a konzistentného právneho rámca záväzného, priamo vykonateľného a jednotne uplatňovaného pre oblasť ochrany osobných údajov vo všetkých členských štátoch Európskej únie. Táto vízia sa podľa predstáv Európskej komisie má naplniť v priebehu roka 2014, najneskôr však v roku 2015, čo takmer s istotou znamená, že prevádzkovatelia informačných systémov obsahujúcich osobné údaje budú nútení prispôsobovať svoje informačné systémy v priebehu dvoch rokov dvakrát novým pravidlám. Lehota jedného z prechodných ustanovení nového zákona (§ 76 ods. 7) sa končí 1. apríla 2014, čo vlastne už zasahuje do obdobia avizovaného nadobudnutia účinnosti nového nariadenia. Len pre úplnosť treba poznamenať, že predmetná smernica vydaním nariadenia zaniká a v plnom rozsahu smernicu, ako aj nový zákon o ochrane osobných údajov nahradí nariadenie.

Namieste je teda otázka, prečo teraz, keď už takmer dva roky vieme, čo na prevádzkovateľov chystá v dohľadnom čase Európska komisia, prichádza Slovensko s novým národným zákonom o ochrane osobných údajov? Relatívne uspokojivú odpoveď na položenú otázku pred samotným nazretím do textu nového zákona nájdeme vo všeobecnej časti dôvodovej správy k novému zákonu: „Návrh zákona si vyžiadala potreba dôslednej transpozície Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov v kontexte konkrétnych pripomienok hodnotiacej misie Európskej komisie vyplývajúcich zo „Štruktúrovaného dialógu o ochrane osobných údajov“.... Účelom predkladaných zmien je najmä sprehľadnenie právnej úpravy, zadefinovanie a precizovanie jednotlivých procesov. Predkladaný návrh zákona okrem prepracovania viacerých ustanovení súčasne platného zákona spresňuje niektoré definície pojmov, s ktorými zákon pracuje a s ktorými je potrebné sa oboznámiť ešte pred samotným začatím spracúvania osobných údajov. Návrh zákona odstraňuje nejasnosti niektorých základných ustanovení tohto zákona, ktoré v aplikačnej praxi spôsobovali potrebu ich častého objasňovania.“

Národná rada Slovenskej republiky dňa 19. marca 2013 schválila zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ktorý prezident Slovenskej republiky z dôvodu viacerých legislatívnych nedostatkov vrátil na opätovné prerokovanie do parlamentu. Národná rada v plnom rozsahu akceptovala pripomienky prezidenta a dňa 30. apríla 2013 opätovne schválila nový zákon o ochrane osobných údajov, ktorý bol dňa 28. mája 2013 vydaný v Zbierke zákonov Slovenskej republiky pod č. 122/2013 Z. z. s účinnosťou od 1. júla 2013.

Nový zákon a najdôležitejšie zmeny a doplnenia

Ak nazrieme podrobnejšie do textu zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, v porovnaní s doteraz platným zákonom o ochrane osobných údajov v ňom nájdeme najmä tieto najdôležitejšie zmeny a doplnenia:

• vymedzenia základných pojmov sú inak usporiadané, sú čiastočne modifikované a doplnené o definície členského štátu a priestoru prístupného verejnosti (§ 4); vypustená bola definícia auditu bezpečnosti informačného systému,
• ustanovenia týkajúce sa práv a povinností prevádzkovateľa, zástupcu prevádzkovateľa a sprostredkovateľa sú doplnené a rozdelené do troch samostatných paragrafov (§ 6 až § 8),
• zákon zdôrazňuje, že spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ (§ 6 ods. 1),
• zákon vymenúva obsahové náležitosti zmluvy, ktorú je prevádzkovateľ povinný uzatvoriť v prípade, ak spracúvaním osobných údajov poverí sprostredkovateľa (§ 8 ods. 4),
• ustanovuje sa, že sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom v zmluve nedohodne, že spracúvanie vykoná prostredníctvom inej osoby – subdodávateľa (§ 8 ods. 5),
• subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa a úrad naňho nahliada ako na sprostredkovateľa (§ 8 ods. 5),
• novou povinnosťou sprostredkovateľa je oznámiť dotknutej osobe pri prvom kontakte s ňou, že spracúva jej osobné údaje v mene prevádzkovateľa (§ 8 ods. 7),
• dve nové povinnosti sprostredkovateľovi ukladá nepopulárny „bonzácky“ paragraf, podľa ktorého ak sprostredkovateľ zistí, že prevádzkovateľ porušuje zákon, je povinný ho na to písomne upozorniť a ak prevádzkovateľ nevykoná nápravu, je povinný o tom informovať Úrad na ochranu osobných údajov SR (§ 8 ods. 8); ak si sprostredkovateľ túto povinnosť nesplní, zodpovedá za porušenie povinnosti a za škodu spôsobenú porušením tejto povinnosti (§ 8 ods. 9) a hrozí mu pokuta vo výške až 80 000 eur, pričom aj v tomto prípade je správnemu orgánu (úradu) ustanovená obligatórna povinnosť vždy pristúpiť k uloženiu pokuty [§ 68 ods. 5 písm. b)],
• zavádza sa inštitút právneho základu spracúvania osobných údajov,
• ustanovenie týkajúce sa možnosti spracúvať už zverejnené osobné údaje bez súhlasu dotknutej osoby sa už nevzťahuje na akékoľvek zverejnené osobné údaje, ale len na tie, ktoré boli zverejnené v súlade so zákonom [§ 10 ods. 3 písm. e)],
• zákon oprávňuje zamestnávateľa sprístupniť alebo zverejniť osobné údaje zamestnanca bez jeho súhlasu, ak je to potrebné v súvislosti s plnením jeho povinností (§ 12 ods. 3),
• menia sa podmienky spracúvania a použitia biometrických údajov (§ 13 ods. 5),
• zákon zjednodušuje filozofiu procesu likvidácie osobných údajov (§ 17),
• predlžuje sa lehota na likvidáciu záznamu zo 7 na 15 dní, ak bol pri monitorovaní vyhotovený a nie je využitý na účely trestného konania alebo konania o priestupkoch (§ 17 ods. 7),
• zákon ukladá prevádzkovateľovi novú povinnosť písomne oznámiť tretím stranám bez zbytočného odkladu, že im poskytol nesprávne, neúplné alebo neaktuálne osobné údaje alebo že im ich poskytol bez právneho základu (§ 18 ods. 1),
• zákon ukladá novú povinnosť aj tretím stranám, ktoré sú povinné na základe písomného oznámenia prevádzkovateľa, ktorý im osobné údaje poskytol, vykonať ním požadované opatrenia a osobné údaje zablokovať a bez zbytočného odkladu ich doplniť, opraviť, aktualizovať alebo zlikvidovať (§ 18 ods. 2),
• nové povinnosti prevádzkovateľovi a sprostredkovateľovi prináša zákon aj cez pozmenené pravidlá týkajúce sa bezpečnosti spracúvania osobných údajov, ustanovuje sa nutnosť aktualizovať bezpečnostnú dokumentáciu v zmysle nových pravidiel a povinne oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice (§ 19 a § 20); ustanovenia sú doplnené podzákonnou normou upravujúcou rozsah a dokumentáciu bezpečnostných opatrení,
• vypustené boli ustanovenia upravujúce audit bezpečnosti informačného systému,
• poučenie oprávnených osôb nie je ničím novým v rámci právnych úprav týkajúcich sa ochrany osobných údajov, avšak rozšírená dikcia tohto inštitútu znamená pre prevádzkovateľa a sprostredkovateľa novú povinnosť opätovne poučiť viac-menej všetky oprávnené osoby (§ 21),
• podstatnú zmenu prekonal inštitút „zodpovednej osoby“, ktorý pre prevádzkovateľa ustanovuje niekoľko nových povinností a nielen preňho, pretože úradom „vyskúšanú“ zodpovednú osobu bude musieť mať pri splnení zákonných podmienok nielen prevádzkovateľ a zástupca prevádzkovateľa, ale aj sprostredkovateľ; podrobnosti o skúške ustanovuje vyhláška úradu (§ 23 až § 27),
• nový zákon mení prístup k povinnosti prevádzkovateľa pri aplikácii kľúčového ustanovenia zákona týkajúceho sa ochrany práv dotknutých osôb, čím dochádza k jej oslabeniu (§ 29 ods. 3),
• doplnené bolo exkluzívne právo dotknutej osoby vyžadovať od prevádzkovateľa blokovanie jej osobných údajov z dôvodu, že odvolala udelený súhlas na spracúvanie osobných údajov pred uplynutím času jeho platnosti [§ 28 ods. 1 písm. h)],
• ustanovuje sa, že žiadosť dotknutej osoby podaná elektronickou poštou alebo faxom, ktorou uplatňuje dotknutá osoba svoje právo, sa považuje za podanie podľa tohto zákona a podanie možno uplatniť aj osobne ústnou formou do zápisnice, ktorej kópiu je prevádzkovateľ povinný odovzdať dotknutej osobe (§ 28 ods. 6),
• modifikované a doplnené boli aj ustanovenia týkajúce sa cezhraničného prenosu osobných údajov (§ 31 a § 32); v zákone sa objavuje nový pojem zásady „bezpečného prístavu“, s ktorým súvisí nová povinnosť prevádzkovateľa a sprostredkovateľa teraz výslovne ustanovená zákonom (§ 31 ods. 5),
• nová právna úprava spoplatňuje proces registrácie informačných systémov, zmenu registrovaných údajov, ako aj proces osobitnej registrácie informačných systémov; prevádzkovateľ je podľa nového zákona povinný uhradiť správny poplatok 20 eur za registráciu každého informačného systému, ako aj za každú zmenu registrovaných údajov a 50 eur za osobitnú registráciu každého informačného systému, ako aj za každú zmenu registrovaných údajov (§ 41),
• nový zákon výslovne priznáva úradu právo písomne vopred neupozorniť prevádzkovateľa na výkon kontroly, ale postačuje, ak tak urobí pri jej výkone [§ 55 písm. a)],
• na konanie o ochrane osobných údajov, ktoré môže začať aj na návrh dotknutej osoby, ktorá tvrdí, že je dotknutá vo svojich právach ustanovených týmto zákonom a ktorého účelom je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv pri spracúvaní jej osobných údajov, sa vzťahuje všeobecný predpis o správnom konaní (správny poriadok) (§ 62 až § 66 a § 72),
• úlohy, ktoré je úrad povinný plniť ex lege, sú v novom zákone výslovne doplnené aj o povinnosť metodicky usmerňovať prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov a taktiež poskytovať konzultácie v oblasti ochrany osobných údajov [§ 46 ods. 1 písm. k) a m)],
• žiadny paragraf druhej časti zákona, ktorý ustanovuje prevádzkovateľovi alebo sprostredkovateľovi, resp. zástupcovi prevádzkovateľa alebo subdodávateľovi povinnosť (§ 5 až § 44) nechýba v § 68 „pokuty“,
• pokutu do výšky 3000 eur úrad uloží oprávnenej osobe, u ktorej zistí, že porušila svoje povinnosti uvedené v poučení, keďže i v tomto prípade je správnemu orgánu (úradu) ustanovená obligatórna povinnosť vždy pristúpiť k uloženiu pokuty [§ 68 ods. 7 písm. d)],
• pokutu do výšky 3 000 eur úrad uloží aj inej osobe, u ktorej zistí, že nepostupovala v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom alebo sprostredkovateľom [§ 68 ods. 7 písm. c)],
• horná hranica pokuty, ktorú môže úrad uložiť prevádzkovateľovi alebo sprostredkovateľovi za porušenie povinnosti, je novým zákonom stanovená na 600 000 eur, čo je oproti doteraz platnej právnej úprave takmer 2-krát viac (§ 70 ods. 5),
• podľa úvodného prechodného ustanovenia prevádzkovateľ je povinný uviesť svoje informačné systémy, v ktorých spracúva osobné údaje, do súladu s novým zákonom do 1. januára 2014; prijaté bezpečnostné opatrenia sú prevádzkovateľ a sprostredkovateľ povinní zosúladiť s novým zákonom do 1. apríla 2014 (§ 76).

Filozofia nového zákona a jeho základné pojmy

Nový zákon žiadnym podstatným spôsobom nemení doteraz platnú a zaužívanú filozofiu ochrany osobných údajov a jeho členenie, štruktúra a nadpisy jednotlivých častí, hláv a väčšiny paragrafov zákona sú takmer totožné s predchádzajúcou právnou úpravou, takže prevádzkovatelia, sprostredkovatelia, ale ani dotknuté osoby nebudú mať problém sa v tomto zákone orientovať.

Nový zákon nemení a doslovne preberá aj základnú definíciu osobného údaja (§ 4 ods. 1) tak, ako ju do nášho právneho poriadku zapracoval zákon č. 428/2002 Z. z. Zmeny a doplnenia sa nedotkli ani niektorých ďalších doteraz platných pojmov, ktoré vymedzujú napr. zverejnenie osobných údajov, ich likvidáciu, účel spracúvania osobných údajov, súhlas dotknutej osoby, podmienky spracúvania osobných údajov, všeobecne použiteľný identifikátor, adresu fyzickej osoby či anonymizovaný údaj (§ 4 ods. 3).

Viaceré pojmy prešli len „kozmetickými“ úpravami, a teda nemajú podstatný vplyv na ich doteraz platný výkladový potenciál. Patria medzi ne napr. definícia prevádzkovateľa, zástupcu prevádzkovateľa, sprostredkovateľa, oprávnenej osoby, či tretej strany (§ 4 ods. 2).

Podstatnými zmenami prešli definície poskytovania osobných údajov [§ 4 ods. 3 písm. a) bod 1], sprístupňovania osobných údajov [§ 4 ods. 3 písm. a) bod 2], dotknutej osoby [§ 4 ods. 2 písm. a)], príjemcu [§ 4 ods. 2 písm. g)], ale aj definícia informačného systému [§ 4 ods. 3 písm. b)], blokovania [§ 4 ods. 3 písm. a) bod 6] či cezhraničného prenosu osobných údajov [§ 4 ods. 3 písm. a) bod 4], ktoré zasiahnu zákon ako celok a pri aplikácii jeho jednotlivých ustanovení a niektorých právnych aspektov budú zrejme vytvárať iné súvislosti a evokovať nové právne názory, ako tomu bolo doteraz.

Naproti tomu, do zákona doplnené vymedzenie pojmu členský štát [§ 4 ods. 3 písm. k)], ktorým sa rozumie členský štát Európskej únie alebo štát, ktorý je zmluvnou stranou Dohody o Európskom hospodárskom priestore (EHP), dáva prevádzkovateľom jednoznačnú odpoveď, že i na štáty ako Nórske kráľovstvo, Lichtenštajnské kniežatstvo a Islandskú republiku, ktoré sú zmluvnými stranami Dohody o EHP, sa nahliada ako na členský štát, aj keď nie sú členskými štátmi EÚ.

Totožný, ale negatívny taxatívny výpočet vyššie uvedených prípadov bol použitý aj pri vymedzení pojmu tretej krajiny [§ 4 ods. 3 písm. l)].

V súvislosti s monitorovaním priestoru prístupného verejnosti nový zákon prevádzkovateľom prináša vymedzenie tohto pojmu [§ 4 ods. 3 písm. j)], ktorým sa rozumie priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon.

Prevádzkovateľ a zástupca prevádzkovateľa, sprostredkovateľ a subdodávateľ

Prevádzkovateľ (§ 6), zástupca prevádzkovateľa (§ 7) a sprostredkovateľ (§ 8) sa v novom zákone ocitli v samostatných paragrafoch s rovnomennými názvami, čo sa v zákonoch deje najmä za účelom sprehľadnenia jednotlivých inštitútov a pre ľahšiu orientáciu pri hľadaní povinností tej-ktorej osoby ich uvedením v „jeho“ príslušnom ustanovení zákona.

Zákon zdôrazňuje, že spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ. Povinnosti prevádzkovateľa ustanovené v doteraz platnej právnej úprave v § 6 ods. 1 prešli len nepatrnými zmenami až na jednu, na základe ktorej bola zo zákona vypustená časť písmena e), podľa ktorej bol prevádzkovateľ expressis verbis povinný „získavať osobné údaje na rozdielne účely osobitne“. Zostala len súvisiaca podmienka (za bodkočiarkou), do ktorej bolo vložené slovo osobitne, a jej znenie má tvar„je neprípustné združovať osobné údaje, ktoré boli získané osobitne na rozdielne účely“.

V doteraz platnej právnej úprave časť vety pred bodkočiarkou výsostne riešila proces prebiehajúci pri získavaní (zhromažďovaní) osobných údajov a výslovne prevádzkovateľovi kládla za povinnosť už v procese získavania (to znamená v čase, keď sa osobné údaje ešte len mali dostať do informačného systému) osobitne získavať, oddeľovať (nezdružovať) zhromažďované osobné údaje, a teda nezaznamenávať ich spoločne napr. na jeden nosič dát. Na tento proces nadväzovala časť vety za bodkočiarkou, ktorá riešila situáciu, keď už osobitne získané (zhromaždené) osobné údaje na rozdielne účely boli súčasťou systému (inak získané byť nesmeli) a zabraňovala ich následnému združovaniu.

Ak však teraz prevádzkovateľ nezíska osobné údaje na rozdielne účely osobitne, potom mu veta za bodkočiarkou v ich združovaní nezabráni, ibaže by ich získal osobitne. To mu zasa ale zákon už výslovne neukladá. Zákonodarca teda pozmenil význam ustanovenia a teraz je neprípustné združovať len také osobné údaje, ktoré boli získané na rozdielne účely osobitne.

Ak bol zámer zákonodarcu naozaj umožniť aj takýto spôsob získavania (spracúvania) osobných údajov, potom to v praxi môže spôsobovať viaceré kolízne situácie, napr. pri likvidácii osobných údajov, ak osobné údaje spracúvané na rozdielne účely budú mať rozdielnu dobu spracúvania alebo budú mať rozdielny právny základ spracúvania alebo zoznam (rozsah) zhromaždených osobných údajov na rozdielne účely bude rozdielny...

Nadpis pod § 6 „Prevádzkovateľ“ avizuje, že všetky práva a povinnosti prevádzkovateľa sú komplexne upravené na jednom mieste zákona v jednom paragrafe. Obdobne máme za to, že to platí aj pre prípad sprostredkovateľa, čiže v § 8 s nadpisom „Sprostredkovateľ“. Lenže nie je tomu tak. Paragraf 8 v odsekoch 1 až 4 a v odseku 6, ktorý sa týka sprostredkovateľa, upravuje práva a povinnosti, ktoré prislúchajú prevádzkovateľovi. Ten je podľa § 8 ods. 1 oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Zákon ďalej vhodne podotýka, že na tento úkon sa súhlas dotknutej osoby nevyžaduje a taktiež, že prevádzkovateľ je povinný uzatvoriť zmluvu so sprostredkovateľom pred začatím spracúvania osobných údajov, najneskôr v deň spracúvania osobných údajov. Obsah zmluvy je teraz vymedzený zákonom (§ 8 ods. 4), čo odstráni polemiky o tom, čo má vlastne takáto zmluva obsahovať. Ustanovenie § 8 ods. 6 obsahuje povinnosti prevádzkovateľa prevzaté z § 5 ods. 4 doteraz platnej právnej úpravy. Platí teda naďalej, okrem iného, že ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa až po získaní osobných údajov, je povinný zabezpečiť oznámenie tejto skutočnosti dotknutým osobám pri prvom kontakte s nimi, najneskôr však do troch mesiacov od poverenia sprostredkovateľa. Novinkou je, že túto povinnosť prevádzkovateľ nemusí splniť, ak sprostredkovateľ splnil svoju povinnosť ustanovenú podľa § 8 ods. 7 a pri prvom kontakte s dotknutou osobou, ktorý sa uskutočnil do troch mesiacov od jeho poverenia, dotknutej osobe oznámil, že spracúva jej osobné údaje v mene prevádzkovateľa.

Podľa § 8 ods. 5 sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie vykoná prostredníctvom inej osoby – subdodávateľa.

Ďalej zákon zdôrazňuje, že:

• subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa,
• ustanovenia zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa,
• na subdodávateľa úrad nahliada ako na sprostredkovateľa,

a v odsekoch 10 až 12 zákon ustanovuje:

• sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4, § 19 až § 26, ak tento zákon neustanovuje inak,
• povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 až § 18 a § 28 až § 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom podľa odseku 1,
• sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 11 v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.

Rozmotať toto klbko previazaných podmienok z pohľadu subdodávateľa a vo vzťahu k nemu jednoznačne určiť jeho práva a povinnosti nepomáha ani nazretie do dôvodovej správy k novému zákonu. V texte k § 8 ods. 5 predkladateľ zákona cituje niekoľko odsekov zo stanoviska Pracovnej skupiny pre ochranu osobných údajov zriadenej podľa článku 29 smernice 95/46/ES, ktoré prijala v roku 2010 k pojmom prevádzkovateľ a sprostredkovateľ, v ktorých len objasňuje, prečo bol zavedený nový inštitút „subdodávateľa“, ale k samotnej veci na vysvetlenie dodáva len toľko, že „Návrh zákona reaguje na obsah uvedeného stanoviska pracovnej skupiny a v jeho medziach a určeným spôsobom upravuje možnosť spracúvať osobné údaje sprostredkovateľovi prostredníctvom subdodávateľa. Činnosť subdodávateľa bolo potrebné upraviť vzhľadom na ostatné povinnosti, ktoré vyplývajú prevádzkovateľovi a sprostredkovateľovi zo zákona, resp. zo smernice 95/46/ES tak, aby ich dopĺňala a nenarúšala. Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť.“ K odsekom 10 až 12 sa potom uvádza: „Navrhované ustanovenie taktiež vymedzuje, ktoré povinnosti prevádzkovateľa sa vzťahujú na sprostredkovateľa a ktoré povinnosti je prevádzkovateľ oprávnený zmluvou preniesť na sprostredkovateľa.“

Ak k tomu pridružíme nepopulárny „bonzácky“ paragraf, o ktorom už bola reč v úvode [§ 8 ods. 8, § 68 ods. 5 písm. b)], potom je na mieste zvýšená obozretnosť zo strany prevádzkovateľov pri praktickej aplikácii ustanovení týkajúcich sa sprostredkovateľa a subdodávateľa.

Prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať do súladu so zákonom najneskôr do 1. júla 2014 (§ 76 ods. 2).

Právny základ spracúvania osobných údajov

Nový zákon výslovne pomenúva jednotlivé možnosti, ktoré pri spracúvaní osobných údajov prichádzajú do úvahy (§ 9), a rozlišuje spracúvanie na základe:

• priamo vykonateľného právne záväzného aktu EÚ,
• medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
• ustanovení tohto zákona (č. 122/2013 Z. z.), osobitného zákona alebo
• súhlasu dotknutej osoby.

Ak teda vie prevádzkovateľ preukázať, že spracúvanie osobných údajov je pokryté niektorým z ustanovených právnych základov, spracúva osobné údaje spôsobom ustanoveným zákonom a v jeho medziach. Jednotlivé prípady, keď k spracúvaniu osobných údajov môže dochádzať bez súhlasu dotknutej osoby, upravené v doteraz platnej právnej úprave v § 7 ods. 4, neboli viac-menej novou právnou úpravou dotknuté.

Ustanovenie týkajúce sa možnosti spracúvať už zverejnené osobné údaje bez súhlasu dotknutej osoby sa podľa nových pravidiel už nevzťahuje na akékoľvek zverejnené osobné údaje, ale len na tie, ktoré boli zverejnené v súlade so zákonom.

Súhlas dotknutej osoby

V súvislosti s aplikovaním inštitútu súhlasu dotknutej osoby (§ 11 a § 12) nový zákon na prvé pozretie neprináša žiadne prevratné zmeny a ľahko možno podľahnúť pocitu, že predkladateľ zákona z predchádzajúcej právnej úpravy ustanovenia o súhlase len mechanicky opísal. To je síce do značnej miery pravda, ale pozmenením a vložením niektorých nových ustanovení o súhlase do zákona aj tiepôvodné a súvisiace nadobudli nový význam.
Písomný súhlas ako samostatný inštitút sa zo zákona „vytráca“ a nahrádza ho nový pojem „písomný alebo inak hodnoverne preukázateľný súhlas“. Zámerom úpravy je zmiernenie dosahu tejto povinnosti na prevádzkovateľa, keď v taxatívne vymedzených prípadoch podľa doteraz platnej právnej úpravy (napr. podľa § 7 ods. 5, § 8 ods. 4, § 9 ods. 1 a v ďalších) musel prevádzkovateľ zabezpečiť zo strany dotknutých osôb výlučne písomný súhlas.

Európska komisia počas svojej hodnotiacej misie tzv. „Štruktúrovaného dialógu o ochrane osobných údajov“ v roku 2006 vzniesla vo vzťahu k aplikácii písomného súhlasu v zákone o ochrane osobných údajov konkrétne pripomienky a požadovala, aby zákon už ďalej prevádzkovateľovi vo vymedzených prípadoch striktne neukladal povinnosť získavať výlučne písomný súhlas, ale aby ho bolo možné nahradiť aj inou alternatívou. Slovenská republika v tejto otázke s Európskou komisiou dosiahla konsenzus a zaviazala sa, že inštitút „písomného súhlasu“ dôsledne nahradí vyššie citovaným slovným spojením.

Zámerne uvádzame, že písomný súhlas sa zo zákona „vytráca“, pretože táto „novota“ sa systematicky neobjavuje na všetkých dotknutých miestach nového zákona, kde sa písomný súhlas (vyžadoval) vyžaduje – výlučne „písomný súhlas“ aj teraz nájdeme napr. v § 12 ods. 1, § 14 ods. 1 písm. c), § 31 ods. 10.

Vo všeobecnosti naďalej platí, že súhlasom dotknutej osoby sa rozumie akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov [§ 4 ods. 3 písm. d)]. Ak bol súhlas fyzickou osobou slobodne daný, potom ho môže fyzická osoba aj slobodne kedykoľvek odvolať. Tento prístup potvrdzuje aj text dôvodovej správy k § 11 zákona, kde sa uvádza: „K spracúvaniu osobných údajov na základe súhlasu dotknutej osoby preto môže dôjsť (dochádza) výlučne v prípadoch (na také účely), pri ktorých má dotknutá osoba výsostné postavenie s exkluzívnym ,právom veta’. Preto musí mať aj právo kedykoľvek udelený súhlas odvolať. Napríklad, ak dotknutá osoba udelí súhlas na spracúvanie (zverejnenie) svojich osobných údajov v telefónnom zozname pri uzatváraní zmluvy o pripojení, má právo kedykoľvek daný súhlas odvolať (článok 12 Smernice EP a Rady 2002/58/ES – smernica o súkromí a elektronických komunikáciách).“

V tejto súvislosti stojí za povšimnutie ustanovenie zákona, ktoré dotknutej osobe priznáva nové exkluzívne právo v § 28 ods. 1 písm. h), podľa ktorého „Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať blokovanie jej osobných údajov z dôvodu odvolania súhlasu pred uplynutím času jeho platnosti, ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby.“ V súvislosti s tým však zároveň treba podotknúť, že ani v § 11, ktorý sa týka súhlasu dotknutej osoby, a ani na inom mieste zákon výslovne neupravuje, ako má prevádzkovateľ postupovať v prípade, keď dotknutá osoba uplatní svoje právo a udelený súhlas pred uplynutím času jeho platnosti odvolá a výslovne sa nezmieňuje ani o tom, že ho dotknutá osoba môže kedykoľvek odvolať.

Ustanovenia týkajúce sa súhlasu dotknutej osoby otvárajú aj ďalšie otázky a prinášajú nové súvislosti, ktoré bude musieť prevádzkovateľ pri ich aplikácii v praxi riešiť. Na ich podrobnú analýzu však na tomto mieste nie je dostatočný priestor.

Bezpochyby pozitívom novej právnej úpravy je, že prináša „opravené“ ustanovenie týkajúce sa získavania osobných údajov dotknutej osoby od inej fyzickej osoby (§ 12 ods. 1). V zákone č. 428/2002 Z. z. bolo predmetné ustanovenie (§ 7 ods. 5) počas jeho novely v roku 2005 modifikované tak, že z jeho textu boli vypustené slová „fyzickej“, čo podstatne zmenilo jeho dosah. Ustanovenie sa má správne vzťahovať výlučne na získavanie osobných údajov o dotknutej osobe od inej fyzickej osoby, nie od akejkoľvek osoby, ako to zmenil v roku 2005 poslanecký pozmeňovací návrh.

Biometrické údaje

V rámci ustanovení týkajúcich sa osobitných kategórií osobných údajov (§ 13 a § 14) by sa prevádzkovatelia mali zamerať najmä na ustanovenie týkajúce sa spracúvania biometrických údajov (§ 13 ods. 5), ak vo svojich informačných systémoch spracúvajú alebo mienia spracúvať práve tieto osobné údaje.

Ustanovenie v prvom rade zdôrazňuje, že biometrické údaje možno spracúvať len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie [táto podmienka je ako povinnosť prevádzkovateľovi vo všeobecnosti daná ustanovením § 6 ods. 2 písm. d), a preto sa na tomto mieste javí ako nadbytočná]. Zákon ďalej taxatívne vymenúva situácie, ktoré prichádzajú do úvahy ako právne základy spracúvania biometrických údajov dotknutých osôb, a to v prípadoch, ak:

• to prevádzkovateľovi vyplýva výslovne zo zákona,
• dotknutá osoba dala na spracúvanie písomný alebo inak hodnoverne preukázateľný súhlas,
• spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy podľa § 10 ods. 3 písm. b) alebo
• spracúvanie osobných údajov je nevyhnutné na účely podľa § 10 ods. 3 písm. g).

Vo všetkých prípadoch, s výnimkou prvého, keď vec rieši zákon, primeranosť, nevyhnutnosť a právny základ spracúvania biometrických údajov posudzuje úrad v konaní podľa § 37 až § 39, čo pre prevádzkovateľa znamená povinnosť pred začatím spracúvania biometrických údajov prihlásiť informačný systém na osobitnú registráciu na úrade a počkať na doručenie potvrdenia úradu o osobitnej registrácii (§ 39 ods. 5). Predtým však prevádzkovateľ nesmie zabudnúť na uhradenie správneho poplatku vo výške 50 eur za každý takýto prihlasovaný informačný systém (§ 41).

Získavanie osobných údajov

Ustanovenie § 15, ktoré v novom zákone upravuje proces získavania osobných údajov (v doteraz platnej právnej úprave bol proces získavania upravený v § 10), prešlo len minimálnymi zmenami, ktoré podstatným spôsobom nemenia prístup k doteraz vyžadovaným povinnostiam. Preto tí prevádzkovatelia, ktorí majú seriózne skúsenosti s aplikáciou zákona č. 428/2002 Z. z., si ich pravdepodobne ani nevšimnú.

Za zmienku snáď stojí úprava ustanovenia § 15 ods. 5 (oproti doteraz platnému zneniu § 10 ods. 5 zákona č. 428/2002 Z. z.), z ktorého bolo vypustené slovné spojenie „zabezpečí diskrétnosť pri ich spracúvaní“ a nahradené bolo slovným spojením „zabezpečí ich primeranú ochranu podľa § 19“. Ustanovenie touto úpravou vlastne stratilo svoj pôvodný význam a stalo sa obsolétnym (nadbytočným). Paragraf 19 totiž platí tak či tak aj bez toho, aby bolo naň duplicitne poukázané v § 15 ods. 5 výslovne pre prípad získavania, poskytovania alebo sprístupňovania osobných údajov v priestoroch prístupných verejnosti. Prevádzkovateľ je povinný podľa § 19 zákona bezpochyby chrániť všetky spracúvané osobné údaje (aj tie, ktoré získava, poskytuje alebo sprístupňuje v priestoroch prístupných verejnosti) a pre každý prípad (spôsob spracúvania) je povinný prijať primerané technické, organizačné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov.

Doteraz platilo, že priestor prístupný verejnosti bolo možné monitorovať pomocou videozáznamu alebo audiozáznamu len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu. Taxatívny výpočet účelov bol doplnený o účel, ktorý sa týka „ochrany majetku alebo zdravia“. Táto úprava vhodným spôsobom spresňuje a pravdepodobne kompletizuje škálu možných účelov použitia kamerových systémov. Ustanovenie však zároveň prešlo aj inou zmenou, ktorou predkladateľ nového zákona pripravil prevádzkovateľom zrejme rébus na riešenie. Z odseku totiž vypustil slovné spojenie „pomocou videozáznamu alebo audiozáznamu“ (čo znamenalo napr. pomocou kamerového systému), ktoré ohraničovalo spôsob monitorovania, na ktorý sa ustanovenie vzťahovalo. Vypustením tohto spresnenia sa teraz ustanovenie vzťahuje bez obmedzenia na akékoľvek monitorovanie priestoru prístupného verejnosti akýmkoľvek spôsobom (ďalej sa v zákone totiž pojem „monitorovanie“ už bližšie nevysvetľuje) a teraz znie: „Priestor prístupný verejnosti možno monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný.“ Iba v súvislosti s označením priestoru zákon ďalej podotýka, že monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií, čím sa spresňuje, ako má prevádzkovateľ postupovať pri označení priestoru v takom prípade, keď ide o monitorovanie, pri ktorom dochádza k snímaniu obrazu alebo zvuku.

Ak teda napr. skupina dobrovoľníkov (brigádnikov) monitoruje (sleduje), koľko ľudí prechádza cez priechod pre chodcov (priestor prístupný verejnosti) v určitom čase z dôvodu optimálneho nastavenia časového intervalu semaforov a do hárkov zaznamenávajú len ich počty, prevádzkovateľ môže pri takýchto a podobných monitoringoch zostať v pochybnostiach, a to hneď z dvoch dôvodov:

• či vôbec spĺňa niektorý z taxatívne vymedzených účelov monitorovania, a teda či uvedené monitorovanie v takomto priestore vôbec môže vykonať a ak áno
• ako má tento priestor počas tohto jednorazového monitorovania označiť.

V súvislosti s týmto ustanovením a v nadväznosti naň zákon v § 17 ods. 7 predlžuje lehotu na likvidáciu záznamu, ak bol pri monitorovaní vyhotovený a nie je využitý na účely trestného konania alebo konania o priestupkoch, zo 7 na 15 dní.

Zodpovednosť za bezpečnosť osobných údajov

Podľa doterajšej právnej úpravy všetky opatrenia na zabezpečenie ochrany osobných údajov ustanovoval výlučne zákon č. 428/2002 Z. z. a nebol doplnený (ani pre túto oblasť) žiadnymi podzákonnými normami. Koncepcia nového zákona prináša predmetné ustanovenia v skrátenom znení (§ 19 a § 20), a to najmä z toho dôvodu, že zároveň ráta s tým, že niektoré bezpečnostné opatrenia ustanoví vyhláška vydaná úradom.

V § 19 s názvom „Zodpovednosť za bezpečnosť osobných údajov“ sa prevádzkovateľovi (sprostredkovateľovi) ukladá všeobecná povinnosť (ako tomu bolo doteraz) chrániť spracúvané osobné údaje a na tento účel prijať primerané technické, organizačné a personálne opatrenia, pričom ich ďalej pomenúva ako „bezpečnostné opatrenia“.

Ak prevádzkovateľ v informačnom systéme nespracúva osobitné kategórie osobných údajov (§ 13), zákon mu ukladá povinnosť bezpečnostné opatrenia len zdokumentovať v bezpečnostnej smernici bez ohľadu na to, či je informačný systém prepojený s verejne prístupnou počítačovou sieťou [§ 19 ods. 2 písm. a)].

Ak prevádzkovateľ v informačnom systéme spracúva osobitné kategórie osobných údajov (§ 13) a informačný systém nie je prepojený s verejne prístupnou počítačovou sieťou, prevádzkovateľ má rovnakú povinnosť zdokumentovať bezpečnostné opatrenia v bezpečnostnej smernici [§ 19 ods. 2 písm. b)].

Ustanovenie § 19 ods. 3 sa týka zdokumentovania bezpečnostných opatrení v bezpečnostnom projekte. Na to je prevádzkovateľ (sprostredkovateľ) povinný pristúpiť vtedy, ak v informačnom systéme spracúva osobitné kategórie osobných údajov (§ 13) a informačný systém je zároveň prepojený na verejne prístupnú počítačovú sieť [§ 19 ods. 3 písm. a)], ako aj v prípade, ak informačný systém slúži na zabezpečenie verejného záujmu [§ 19 ods. 3 písm. b)].

Zákon ďalej v odsekoch 4 a 5 výslovne ukladá prevádzkovateľovi (sprostredkovateľovi) povinnosti, podľa ktorých musí priebežne zabezpečovať aktualizáciu bezpečnostných opatrení a s obsahom bezpečnostnej smernice oboznámiť oprávnené osoby v rozsahu potrebnom na plnenie ich úloh.

Aj v novom zákone je inštitútu „Bezpečnostný projekt“ vyhradené samostatné ustanovenie (§ 20). Podľa § 20 ods. 1 „Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.“ V tom istom paragrafe 20 v odseku 3 je potom obsiahnuté splnomocňovacie ustanovenie na vydanie vyhlášky Úradu na ochranu osobných údajov SR, podľa ktorého „Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.“
Vychádzajúc z členenia zákona a zo zaradenia splnomocňovacieho ustanovenia do § 20 s názvom „Bezpečnostný projekt“ sa logicky očakávalo, že vyhláška bude obsahovať výlučne rozsah a dokumentáciu bezpečnostných opatrení, ktoré prevádzkovateľ zdokumentuje podľa § 19 ods. 3 a § 20 ods. 1 v bezpečnostnom projekte. Nazretím do vyhlášky však zistíme, že sú v nej obsiahnuté aj bezpečnostné opatrenia, ktoré sa netýkajú spracovania bezpečnostného projektu, ale súvisia s bezpečnostnými opatreniami, ktoré je prevádzkovateľ povinný prijať vtedy, keď nemá povinnosť vypracovať bezpečnostný projekt. Na mieste je teda otázka, či bezpečnostné opatrenia zapracované do vyhlášky, ktoré sa netýkajú vypracúvania bezpečnostného projektu (§ 4 a § 5 vyhlášky sa týka § 19 ods. 2 zákona), nejdú nad rámec splnomocňovacieho ustanovenia vykonávaného zákona (čl. 123 Ústavy Slovenskej republiky).

Dobrou správou pre tých prevádzkovateľov, ktorí sú z oblasti verejnej správy a majú seriózne spracovanú bezpečnostnú politiku svojich informačných systémov v súlade s § 28 výnosu Ministerstva financií SR z 9. júna 2010 č. 312/2010 Z. z. o štandardoch pre informačné systémy verejnej správy, je skutočnosť, že bezpečnostné opatrenia prijaté podľa výnosu Ministerstva financií SR sa považujú za opatrenia prijaté podľa zákona č. 122/2013 Z. z. a jeho vykonávacej vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení.

Prijaté bezpečnostné opatrenia je potrebné zosúladiť s novým zákonom najneskôr do 1. apríla 2014 (§ 76 ods. 7).

Poučenie oprávnenej osoby

Ustanovenie § 21 precizuje povinnosti uložené zákonom, týkajúce sa poučenia oprávnených osôb. Zmena ustanovenia je natoľko podstatná, že s veľkou pravdepodobnosťou bude potrebné viac-menej všetky doteraz vykonané poučenia oprávnených osôb urobiť opätovne v súlade s novým zákonom, a to najneskôr do 1. januára 2014 (§ 76 ods. 3).

V odseku 4 prevádzkovateľovi (sprostredkovateľovi) zákon ukladá novú povinnosť – oprávnenú osobu opätovne poučiť – ak dôjde k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmení obsah náplne jej pracovných činností alebo sa podstatne zmenia podmienky alebo rozsah osobných údajov, ktoré oprávnená osoba spracúva.

Zodpovedná osoba

Podľa zákona č. 428/2002 Z. z. bol povinný poveriť zodpovednú osobu výkonom dohľadu každý prevádzkovateľ, ktorý zamestnával viac ako 5 zamestnancov. Inštitút zodpovednej osoby v zákone upravoval 1 paragraf s 12 odsekmi. Podľa Správy o stave ochrany osobných údajov za roky 2011 – 2012, str. 24, Úradu na ochranu osobných údajov SR prevádzkovatelia informačných systémov ku koncu roka 2012 poverili výkonom dohľadu a nahlásenie úradu celkove len 44 566 zodpovedných osôb. Pritom možno konštatovať, že podmienky poverovania zodpovedných osôb nastavené doteraz platnou právnou úpravou k prevádzkovateľom neboli veľmi milosrdné (5 akýchkoľvek zamestnancov, ktorých zamestnávateľ evidoval).

Podľa nového zákona je prevádzkovateľ povinný poveriť výkonom dohľadu zodpovednú osobu len vtedy, ak osobné údaje uňho spracúva najmenej 20 oprávnených osôb. Teda nie akýchkoľvek 20 zamestnancov, ale len takých, ktorí prichádzajú do styku s osobnými údajmi. Bezpochyby to rapídne znižuje počet povinných subjektov, ktoré budú „nútené“ poveriť zodpovednú osobu výkonom dohľadu nad svojimi informačnými systémami. Napriek tomu sa v novom zákone tento inštitút „rozrástol“ do 5 paragrafov s 32 odsekmi, vyhlášku, a to všetko zdôraznené preskúšaním zodpovednej osoby úradom. Evokuje to otázku, či sa tomuto inštitútu vzhľadom na nastavené (okresané) pravidlá, ktoré bezpochyby znamenajú podstatné zníženie poverených zodpovedných osôb, ale aj úrovne ochrany osobných údajov, teraz neprikladá zbytočne veľký význam. Len na okraj, ani pripravované Nariadenie Európskej komisie pri svojom uvedení v januári 2012 nezadefinovalo pravidlá pre povinné ustanovenie zodpovednej osoby takto benevolentne, keď napr. vztiahlo povinnosť, okrem iných, na všetky orgány verejnej správy bez výnimky.

Zníženie počtu poverených zodpovedných osôb v protipóle spôsobuje podstatný nárast povinne registrovaných informačných systémov prevádzkovateľmi, pretože ten, kto mal doteraz poverenú zodpovednú osobu, nemusel a ani teraz nemusí žiadne svoje informačné systémy registrovať, aj keby za iných okolností registrácii podliehali [§ 34 ods. 2 písm. b)].

Najpodstatnejšou zmenou v zákone v súvislosti s poverením zodpovednej osoby je, že výkonom dohľadu môže byť poverená len tá fyzická osoba, ktorá úspešne absolvovala skúšku (§ 24 ods. 1). Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby podľa zákona zabezpečuje úrad (§ 24 ods. 2). Podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby (§ 24 ods. 7) upravuje vyhláška úradu, z ktorej sa dozvedáme, že absolvovanie skúšky je bezplatné a vykonáva sa zo znalosti všeobecne záväzných právnych predpisov upravujúcich oblasť ochrany osobných údajov formou písomného testu, ktorý pozostáva z 20 otázok. O úspešnom absolvovaní skúšky sa vyhotovuje potvrdenie o absolvovaní skúšky podľa § 24 ods. 5 zákona.

Prevádzkovateľ je povinný o poverení zodpovednej osoby informovať úrad najneskôr do 30 dní odo dňa jej poverenia doporučenou zásielkou alebo v podobe elektronického dokumentu podpísaného zaručeným elektronickým podpisom (§ 25 ods. 2). Zmenou oproti doteraz platnej právnej úprave je, že ak prevádzkovateľ výkonom dohľadu súčasne poveril viac zodpovedných osôb, je povinný úradu oznámiť poverenie všetkých zodpovedných osôb (§ 25 ods. 3). Avšak úplnou novinkou zákona je, že ustanovenia o poverení zodpovednej osoby sa vzťahujú aj na sprostredkovateľa (§ 8 ods. 10). Prevádzkovateľ, a teda ani sprostredkovateľ nesmie zabudnúť na zmeny nahlásených údajov [§ 25 ods. 2 písm. a) až h)], ak k ich zmene počas výkonu funkcie zodpovednej osoby došlo (§ 25 ods. 4). Taktiež sú povinní splniť povinnosti uložené zákonom v prípade zániku poverenia zodpovednej osoby, ako aj v prípade jej odvolania z funkcie a zrušenia jej poverenia (§ 26 ods. 3 až 5).

Povinnosti, ktoré mala zodpovedná osoba doteraz, sa jej v podstate nezmenili (§ 27), len sa jej pridala jedna povinnosť navyše ustanovená v § 27 ods. 3, na ktorú nesmie pozabudnúť v prípade, ak prestane spĺňať niektorú z podmienok podľa § 23 ods. 5, 6 alebo 7.

Podľa § 76 ods. 4 prvej vety sa poverenia a oznámenia o poverení zodpovednej osoby podľa zákona č. 428/2002 Z. z. považujú za poverenia a oznámenia o poverení zodpovednej osoby podľa zákona č. 122/2013 Z. z. Prevádzkovateľ je povinný písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade so zákonom najneskôr do 1. júla 2014 (§ 76 ods. 4 druhá veta).

Druhá veta § 76 ods. 4 ukladá rovnakú povinnosť aj sprostredkovateľom. Lenže podľa doteraz platnej právnej úpravy žiadny subjekt v postavení sprostredkovateľa nebol povinný poveriť, a teda ani nepoveril výkonom dohľadu žiadnu zodpovednú osobu, keďže takúto povinnosť zákon č. 428/2002 Z. z. sprostredkovateľom neukladal. Ustanovenie bezpochyby vyvoláva stav právnej neistoty sprostredkovateľov, ako teda postupovať. Na jednej strane totiž zákon v súvislosti s poverením zodpovednej osoby jednoznačne ukladá povinnosť aj sprostredkovateľom a dáva im lehotu na jej splnenie do 1. júla 2014, no na druhej strane by sa logicky nemala táto „výnimka“ na nich vzťahovať, pretože všetky svoje zodpovedné osoby poverujú výlučne podľa novej právnej úpravy. Chybu určite neurobia tí spostredkovatelia, ktorí bezodkladne vykonajú opatrenia k naplneniu tejto povinnosti, vyberú osobu, ktorá sa prihlási na skúšku (§ 24), následne ju poveria výkonom dohľadu (§ 23 ods. 2) a poverenie zodpovednej osoby oznámia úradu (§ 25 ods. 2).

Ochrana práv dotknutých osôb

Doteraz platný zákon č. 428/2002 Z. z. povinnosť prevádzkovateľa vybaviť písomnú žiadosť dotknutej osoby riešil v § 21 ods. 3 výslovne v dvoch krokoch, keď ustanovoval, že „Prevádzkovateľ vyhovie požiadavkám dotknutej osoby podľa § 20 a písomne ju informuje najneskoršie do 30 dní od ich prijatia.“

Podľa nového zákona (§ 29 ods. 3) „Prevádzkovateľ je povinný písomne vybaviť žiadosť dotknutej osoby podľa odsekov 1 a 2 najneskôr do 30 dní odo dňa doručenia žiadosti.“

Na prvý pohľad by sa zdalo, že nejde o žiadnu podstatnú zmenu. Lenže pri pozornejšom čítaní zistíme, že tomu tak nie je. Doteraz bol prevádzkovateľ povinný expressis verbis vyhovieť požiadavkám dotknutej osoby. Teraz je ex lege povinný len vybaviť jej žiadosť.

Ak je napr. podľa zákona predajca povinný písomne vybaviť reklamáciu kupujúceho do 30 dní odo dňa jej podania, to ešte neznamená, že jej musí aj vyhovieť. Pokojne ju môže v 30-dňovej lehote zamietnuť, ak má na to dôvod, a zákon neporuší. Takže dotknutej osobe sa teraz podľa novej právnej úpravy môže veľmi ľahko prihodiť, že od prevádzkovateľa síce písomnú odpoveď do 30 dní dostane, ale len odpoveď...

Ide o jedno z kľúčových ustanovení zákona zaradené do jeho štvrtej hlavy druhej časti s názvom „Ochrana práv dotknutých osôb“, ktoré však po úprave neposilnilo, ale naopak podstatným spôsobom oslabilo práva dotknutých osôb a ich ochranu, čo nie je v súlade s čl. 12 Smernice 95/46/ES. Tento zásah má teda vplyv aj na posúdenie stupňa zlučiteľnosti nového zákona s právom EÚ, ktorý predkladateľ v doložke zlučiteľnosti dôvodovej správy k zákonu označil ako úplný.

Cezhraničný prenos osobných údajov

Ustanovenia o cezhraničnom prenose osobných údajov (§ 31 a § 32) tak, ako tomu bolo doteraz, upravujú prenos osobných údajov do tretích krajín a prenos osobných údajov v rámci členských štátov EÚ.

Ustanovenie § 31 ods. 1 upravuje podmienky, za ktorých možno uskutočniť prenos osobných údajov do tretej krajiny, ktorá zaručuje primeranú úroveň ich ochrany a zároveň podotýka, že pôjde len o tie tretie krajiny, ktorým tento status prináleží na základe rozhodnutia Európskej komisie. Týmto doplnením sa vytrácajú polemiky, v koho kompetencii je rozhodnúť o tom, že tretia krajina zaručuje primeranú úroveň ochrany osobných údajov.

Podmienky prenosu osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ich ochrany, upravujú najmä ustanovenia § 31 ods. 2 a 3.

Úprava zapracovaná do § 31 ods. 5 reaguje na Rozhodnutie Komisie z 26. júna 2000 v súlade so Smernicou EP a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) a ustanovuje náležitosti zmluvy o prenose osobných údajov, ak prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania alebo trvalým pobytom v Spojených štátoch amerických pristúpil k zásadám „bezpečného prístavu“ (Safe Harbor). Spoločnosti, ktoré sa etablovali v „bezpečnom prístave“, sú považované za subjekty (nahliada sa na ne ako na tretie krajiny), ktoré zaručujú primeranú úroveň ochrany osobných údajov v Spojených štátoch amerických. Uvedený postup je v súlade so snahou o postupné odbúravanie administratívnej záťaže prevádzkovateľov, ktoré presadzuje Európska komisia aj v pripravovanej reforme ochrany osobných údajov reprezentovanej už spomínaným návrhom nariadenia.

Ustanovenie § 32 sa týka prenosu osobných údajov v rámci členských štátov. V tejto súvislosti a najmä z dôvodu jednoznačného zadefinovania bolo do zákona vložené vymedzenie pojmu „členský štát“ a v tomto kontexte aj precizovaný pojem „tretia krajina“ [§ 4 ods. 3 písm. k) a l)].

Úprava však osobitne nemenuje Švajčiarsku konfederáciu a nepojala ju týmto ustanovením taktiež medzi „členské štáty“. V máji 1992 síce 12 vtedajších členov EÚ so 7 členmi Európskeho združenia voľného obchodu (EZVO), medzi ktorými, okrem Nórska, Lichtenštajnska a Islandu bolo aj Švajčiarsko, uzatvorili Dohodu o EHP, avšak Švajčiari následne v referende hlasovali proti účasti svojej krajiny v EHP, a tak zmluvnými stranami Dohody o EHP sú iba Nórsko, Lichtenštajnsko a Island. Tieto krajiny nie sú politickými členmi EÚ, avšak sú súčasťou jej jednotného trhu. Nemajú možnosť spolurozhodovať s členskými krajinami o novej spoločnej legislatíve, avšak musia ju – až na dohodnuté výnimky (napr. v prípade Nórska ide o rybolov) – záväzne preberať.

V podobnom postavení je aj Švajčiarsko, ktoré uznáva a rešpektuje mnoho spoločných pravidiel jednotného trhu EÚ a EHP, ale i pravidlá v ďalších oblastiach (výskum, životné prostredie a ochrana spotrebiteľa). Švajčiarsko je členom EZVO a od decembra 2008 aj členom Schengenského priestoru. V roku 2002 vstúpilo do platnosti sedem bilaterálnych sektorových dohôd, ktoré spolu s dohodou s Európskym spoločenstvom z roku 1972 formujú základ bilaterálnych vzťahov medzi Švajčiarskom a EÚ. Znamená to, že sa uplatňuje ten istý model vzťahu ako v prípade dohôd o EHP, ale iba v určitom sektore a jednotný trh EÚ je otvorený pre Švajčiarsko iba v tých sektoroch, ktoré sú kryté dohodami s EÚ. Právny systém Švajčiarska je silne inšpirovaný legislatívou únie, a to aj v oblasti ochrany osobných údajov. Dôležité je napríklad Rozhodnutie Komisie z 26. júla 2000 podľa Smernice EP a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) s významom aj pre EHP a existujú ďalšie súvisiace dokumenty (pozri napr. Rozhodnutie spoločného výboru EHP č. 83/1999, Rozhodnutie spoločného výboru EHP č. 108/2000), čo nás však stále nepresviedča o tom, že by Švajčiarsku bolo možné priradiť prívlastok „zmluvná strana Dohody o EHP“. Na Švajčiarsko sa teda aj podľa novej právnej úpravy nahliada ako na tretiu krajinu zaručujúcu primeranú úroveň ochrany. Na mieste je však otázka, či, vzhľadom na vyššie uvedené skutočnosti, sa predsa len nemalo aj na Švajčiarsko nahliadať obdobne ako na Nórsko, Island a Lichtenštajnsko, a teda ustanovenie vztiahnuť aj naň a výslovne ho v ňom uviesť.

Registrácia, osobitná registrácia a evidencia informačných systémov

Podľa doteraz platného zákona č. 428/2002 Z. z. bola registrácia informačných systémov, zmena registrovaných údajov a osobitná registrácia informačných systémov bezplatná.

Nový zákon ukladá prevádzkovateľom povinnosť uhradiť správny poplatok 20 eur (§ 41) za registráciu každého informačného systému 20 eur a za každú zmenu registrovaných údajov každého informačného systému opäť 20 eur. Nový zákon ukladá prevádzkovateľom povinnosť uhradiť správny poplatok aj za každý informačný systém prihlásený na osobitnú registráciu vo výške 50 eur a za každú zmenu registrovaných údajov každého informačného systému opäť 50 eur (XXIII. časť prílohy k Sadzobníku správnych poplatkov, položka 273 zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov).

Podľa § 34 ods. 1 sa povinnosť registrácie vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania. Výnimky z tejto povinnosti ustanovuje § 34 ods. 2. Aj keď bolo vypustené ustanovenie týkajúce sa výnimky pre registráciu tzv. personálnych informačných systémov [§ 25 ods. 2 písm. c) zákona č. 428/2002 Z. z.], viac-menej nedochádza ani touto úpravou k podstatnej zmene, pretože tieto informačné systémy sú prevádzkované spravidla na základe osobitných zákonov, ktoré v takomto prípade pokrýva výnimka ustanovená v § 34 ods. 2 písm. d), a preto ich prevádzkovateľ nemusí registrovať.

Proces prihlásenia informačného systému na registráciu a osobitnú registráciu a postup pri registrácii a osobitnej registrácii je podobný, ako tomu bolo doteraz s odlišnosťami, ktorých účelom je precizovanie tohto procesu (§ 35 až § 39).

Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva osobné údaje nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany [§ 10 ods. 3 písm. g), § 37 písm. a)], alebo spracúvané biometrické údaje podľa § 13 ods. 5 písm. b), c), alebo d) [§ 37 písm. b)], alebo spracúva osobné údaje uvedené v § 13 ods. 1, ak sa u nich predpokladá prenos do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany, to neplatí v prípadoch podľa § 31 ods. 9 [§ 37 písm. c)].

Ustanoveniu o oznámení zmien, odhlásení z registrácie a odhlásení z osobitnej registrácie (§ 40) treba venovať zvýšenú pozornosť, pretože sú tu aj nové povinnosti týkajúce sa najmä nahlasovania zmien a odhlásenia z osobitnej registrácie, ktoré prevádzkovateľom zákon ukladá.

Na konanie o registrácii a osobitnej registrácii sa vzťahuje zákon č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov (§ 72 zákona č. 122/2013 Z. z.).

Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu alebo na osobitnú registráciu, a to v súlade s novým zákonom najneskôr do 1. januára 2014, ak to zákon vyžaduje (§ 76 ods. 5 a 6).

Prevádzkovateľ je aj naďalej povinný viesť a aktualizovať evidenciu o tých informačných systémoch, ktoré nepodliehajú registrácii alebo osobitnej registrácii (§ 43).

Sankcie za porušenie zákona

Sankciami za porušenie zákona sú pokuta a poriadková pokuta (§ 67).

Podstatnou a zásadnou zmenou oproti doteraz platnej právnej úprave je skutočnosť, že na základe pripomienky v rozhodnutí prezidenta Slovenskej republiky z 5. apríla 2013, ktorým vrátil schválený zákon o ochrane osobných údajov na opätovné prerokovanie do parlamentu, fakultatívna povinnosť ukladania sankcií sa zmenila na obligatórnu povinnosť úradu, čo znamená, že úrad je povinný uložiť pokutu vždy, keď zistí, že zákon bol porušený. Prezident sa odvoláva vo svojom rozhodnutí na bod 55 Memoranda k Smernici 95/46/ES, podľa ktorého „sankcie musia byť uvalené na každého, kto nedodržuje vnútroštátne predpisy prijaté na základe tejto smernice, bez ohľadu na to, či sa osoba riadi súkromným alebo verejným právom“ a požaduje dôsledné prebratie predmetného článku smernice.

Len čas ukáže, či tento prístup (súladný so smernicou) na ukladanie pokút doplnený obligatórnou povinnosťou úradu „vždy pokutu uložiť“, do istej miery privodzujúci „permanentný stres“ prevádzkovateľom a sprostredkovateľom bude mať požadovaný a očakávaný efekt posilnenia ochrany spracúvaných osobných údajov.

V ustanovení § 68 sú pokuty za porušenie povinností pre prevádzkovateľa, resp. sprostredkovateľa odstupňované do 5 000 eur (§ 68 ods. 1 a 4), do 80 000 eur (§ 68 ods. 2 a 5) a do 300 000 eur (§ 68 ods. 3 a 6). Horná hranica pokuty pre prevádzkovateľa a sprostredkovateľa je stanovená na 600 000 eur (§ 70 ods. 5), čo je oproti doteraz platnej právnej úprave takmer 2-krát viac.

Podľa § 68 ods. 1 úrad uloží pokutu v rozmedzí od 300 do 5 000 eur prevádzkovateľovi, ktorý:

1. nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods. 2,
2. neoznámil zistené nedostatky tretím stranám (§ 18 ods. 1) alebo nevie preukázať, že upustenie od oznámenia bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykoval opatrenia podľa § 18 ods. 2,
3. nevyhotovil písomný záznam poučenia oprávnených osôb (§ 21 ods. 3),
4. nevyhotovil poverenie zodpovednej osoby (§ 23 ods. 10 a 11),
5. nesplnil si oznamovaciu povinnosť v súvislosti s poverením zodpovednej osoby podľa § 25 ods. 2 až 4 alebo nesplnil, alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
6. nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30,
7. nesplnil alebo porušil povinnosti, ktoré súvisia s registráciou (§ 35 ods. 1 a 3 a § 36 ods. 7 prvá veta, § 40) alebo evidenciou (§ 43 a § 44) informačných systémov, alebo s nesplnením odhlásenia informačného systému z osobitnej registrácie (§ 40).

Pokuty podľa bodov 1) až 6) úrad ukladá pri porušení povinnosti v rovnakom rozmedzí aj sprostredkovateľovi (§ 68 ods. 4).

Podľa § 68 ods. 2 úrad uloží pokutu v rozmedzí od 1 000 do 80 000 eur prevádzkovateľovi, ktorý nesplnil alebo porušil niektorú povinnosť:

1. zo základných zásad spracúvania osobných údajov (§ 5 až § 7 a § 9 až § 12),
2. pri výbere a poverovaní sprostredkovateľa (§ 8 ods. 2 až 5 a § 8 druhej vety pred bodkočiarkou),
3. pri získavaní osobných údajov (§ 15),
4. pri likvidácii osobných údajov (§ 17),
5. pri bezpečnosti spracúvania osobných údajov (§ 19 ods. 1, 2, 4 a 5 a § 20),
6. upravujúcu poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
7. pri výkone dohľadu podľa § 23 ods. 2 a 5 až 9 a § 25 ods. 1,
8. pri vybavovaní žiadosti dotknutej osoby podľa § 28 a § 29.
   

Autor: Mgr. Ľuboš Stankoviansky