Osobitná registrácia – ochrana práv prevádzkovateľa a biometrické dochádzkové systémy

Podľa zákona č. 122/2013 Z. z. v znení zákona č. 84/2014 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov prevádzkovateľ musí mať od 15. apríla 2014 ku každému informačnému systému buď evidenčný list, oznamovaciu povinnosť, alebo osobitnú registráciu. Registrácia sa zmenila na oznamovaciu povinnosť a je bezplatná.

Na úvod ešte jedno dôležité upozornenie: Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu pred začatím spracúvania osobných údajov a je oprávnený začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu až po doručení potvrdenia o osobitnej registrácii, teda až po súhlase Úradu na ochranu osobných údajov so spracúvaním osobných údajov v prihlasovanom informačnom systéme.

Dňa 15. 4. 2014 nadobudol účinnosť zákon č. 84/2014 Z. z., ktorým sa mení a dopĺňa zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Touto novelou boli upravené povinnosti prevádzkovateľov, ktorí spracúvajú osobné údaje bez súhlasu dotknutej osoby podľa § 10 ods. 3 písm. g) zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (ďalej len „zákon o ochrane osobných údajov“), t. j. spracúvajú osobné údaje na ochranu svojich práv a právom chránených záujmov alebo na ochranu práv tretích strán.

Na koho sa zákon o ochrane osobných údajov vzťahuje?

Zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie.

Zákon o ochrane osobných údajov sa vzťahuje na osobné údaje, ktoré prevádzkovateľ spracúva systematicky:

• úplne automatizovanými prostriedkami spracúvania (spracúva napr. iba na počítači – kamerový systém) alebo
• čiastočne automatizovanými prostriedkami spracúvania (spracúva napr. aj na počítači, aj v listinnej podobne – personálna a mzdová agenda), alebo
• inými ako automatizovanými prostriedkami spracúvania (spracúva osobné údaje iba v listinnej podobe, napr. kniha návštev, teda jednorazový vstup do priestorov prevádzkovateľa), ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.

Podmienky osobitnej registrácie

Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva:

Pokiaľ prevádzkovateľ spracúva osobné údaje v informačnom systéme, ktorý je možné definovať podľa vyššie uvedených podmienok, má povinnosť prihlásiť ho na osobitnú registráciu nezávisle od toho, či má poverenú a oznámenú zodpovednú osobu podľa § 23 zákona o ochrane osobných údajov alebo nie.

 V tomto článku sa venujeme prvým dvom skupinám informačných systémov.

Aké informačné systémy podliehajú osobitnej registrácii podľa § 37 písm. a)?

Po novele zákona o ochrane osobných údajov došlo pri osobitnej registrácii k určitým zmenám. Podľa novely, teda podľa súčasného znenia zákona o ochrane osobných údajov všetky informačné systémy, v ktorých sa spracúvajú osobné údaje dotknutých osôb podľa § 10 ods. 3 písm. g) zákona o ochrane osobných údajov, teda na ochranu práv a právom chránených záujmov, podliehajú oznamovacej povinnosti podľa § 34 ods. 2 písm. b) zákona o ochrane osobných údajov a úrad môže rozhodnúť, že takýto informačný systém podlieha osobitnej registrácii.

Pokiaľ prevádzkovateľ oznámi informačný systém podľa § 34 ods. 2 písm. b) zákona o ochrane osobných údajov, mohol by začať spracúvať osobné údaje odo dňa oznámenia, ako je to uvedené v ustanovení § 36 ods. 3 citovaného zákona, avšak pokiaľ tento informačný systém podlieha osobitnej registrácii, prevádzkovateľ môže začať so spracúvaním osobných údajov až po doručení potvrdenia o osobitnej registrácii (uvedené v § 39 ods. 5 citovaného zákona). Odporúčam preto prihlásiť informačný systém priamo na osobitnú registráciu a uhradiť správny poplatok. Ak úrad rozhodne, že informačný systém nepodlieha osobitnej registrácii, je povinný o tom prevádzkovateľa informovať, konanie o osobitnej registrácii zastaví a zaplatený správny poplatok vráti.

Uveďme si teda, najmä aké informačné systémy možno považovať za tie, v ktorých ide o spracovanie osobných údajov na ochranu práv a právom chránených záujmov.

Hot linka (telefonická alebo e-mailová) – zákazníci aj zamestnanci majú možnosť nahlásiť, oznámiť (aj anonymne), ak sú s niečím nespokojní, ak zistili protiprávne konanie a pod. Je to určitá súčasná forma knihy prianí a sťažností.

Whistleblowing – o whistleblowingu hovoríme vtedy, keď existujúci alebo bývalí zamestnanci organizácie (prevádzkovateľa), obchodní partneri spoločnosti a podobne upozorňujú na nekalé praktiky na pracovisku, korupčné správanie a obracajú sa na inštitúcie alebo orgány, ktoré môžu oznamovanú skutočnosť, spravidla ohrozujúcu verejnosť a idúcu proti verejnému záujmu, preveriť a prípadne zakročiť (väčšinou je to „čierna schránka“ – black box, buď v rámci spoločnosti, alebo spoločnosť vedením takejto schránky poverí inú spoločnosť, ktorá potom vedie vyšetrovanie a preskúmavanie podnetov. Až v prípade, že sa naozaj zistí, že došlo k spáchaniu trestného činu, postupujú vec orgánom činným v trestnom konaní podaním trestného oznámenia.).

Due diligence – pojem due diligence pochádza z amerického práva a tamojšej praxe pri uzatváraní zmlúv, v preklade znamená obvyklú opatrnosť a starostlivosť vynakladanú v obchodnom styku podnikateľov, v európskych krajinách sa pod termínom due diligence rozumie najmä hĺbková previerka podniku v súvislosti s potenciálnou obchodnou transakciou, akou môže byť napríklad kúpa akcií podniku, kúpa a následný prevod obchodného podielu alebo poskytnutie úveru zo strany banky. Ak je potrebné pri hĺbkovej previerke preverovanej spoločnosti spracúvať osobné údaje aj zamestnancov a ďalších osôb, je potrebné takýto informačný systém prihlásiť na osobitnú registráciu. 

Kamerové systémy – prostredníctvom ktorých sa monitorujú priestory, ktoré nie sú prístupné verejnosti alebo nejde o priestor, ktorý monitoruje zamestnancov podľa Zákonníka práce. Ide napríklad o kamery umiestnené na vozidlách, ktoré monitorujú priestor pred alebo v okolí vozidla (vozidlá technických služieb, sanitky alebo aj rušeň). Ďalej ide o kamerové systémy, ktoré sa používajú na ochranu objektov ako sklady, výrobné haly, oplotené areály a kamerové systémy sa používajú na ochranu pred vniknutím cudzích a neoprávnených osôb a na ochranu majetku.

Aké informačné systémy podliehajú osobitnej registrácii podľa § 37 písm. b)?

Povinnosť prihlásiť informačný systém na osobitnú registráciu podľa tohto ustanovenia sa vzťahuje na všetky informačné systémy, v ktorých chce prevádzkovateľ spracúvať biometrické údaje dotknutých osôb a takéto spracúvanie neupravuje osobitný zákon.

Biometrickým údajom je osobný údaj fyzickej osoby, na základe ktorého je osoba jednoznačne a nezameniteľne určiteľná. Ide o biologické vlastnosti, fyziologické znaky, črty alebo opakované činnosti, v prípade ktorých sú tieto vlastnosti a/alebo činnosti špecifické pre konkrétneho človeka a zároveň merateľné. Biometrickými údajmi sú napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny a pod.

Biometrické údaje v zmysle zákona o ochrane osobných údajov je možné spracúvať pri kumulatívnom splnení zákonom stanovených podmienok:

• vopred jednoznačne vymedzený účel (zámer) spracúvania biometrických údajov,
• primeranosť a nevyhnutnosť spracúvania biometrických údajov a
• oprávnenie spracúvať biometrické údaje vyplývajúce z právneho základu.

Ako je uvedené v definícii, jednou z možností spracúvania biometrických údajov je súhlas dotknutej osoby. Súhlas však musí byť poskytnutý slobodne, prevádzkovateľ nesmie poskytnutie služby alebo uzavretie zmluvy podmieňovať poskytnutím súhlasu.

Jednou z možností, kedy sa využíva inštitút súhlasu, je uzatváranie zmluvy, kde prevádzkovateľ poskytne dotknutej osobe možnosť podpísania zmluvy aj prostredníctvom zariadenia, ktoré spracúva biometrický podpis.

Pri evidencii dochádzky je možné spracúvať biometrické údaje na základe súhlasu, ak prevádzkovateľ poskytne svojim zamestnancom alternatívny spôsob evidencie dochádzky. Z uvedeného vyplýva, že ak skupina zamestnancov nesúhlasí s biometrickou evidenciou, prevádzkovateľ je povinný týmto zamestnancom poskytnúť iný spôsob evidencie, napr. magnetické karty, kniha dochádzky a pod. Samozrejme, je nevyhnutné, aby prevádzkovateľ pri takomto spracúvaní biometrických údajov splnil všetky podmienky osobitnej registrácie, t. j. prihlásil informačný systém na osobitnú registráciu, odôvodnil, prečo poskytuje možnosť spracúvania biometrických údajov (napr. je nežiaduce, aby sa na pracovisku zdržiavali cudzie osoby z dôvodu nebezpečenstva úrazu, havárie, znehodnotenia zariadení, je rizikové nosiť pri sebe magnetické karty – riziko krádeže a pod.).

Ďalšou z možností, kedy prevádzkovateľ môže spracúvať biometrické údaje, je uzavretie zmluvy s dotknutou osobou. Ide predovšetkým o zmluvy, na základe ktorých laboratórium ako prevádzkovateľ určuje napr. otcovstvo alebo vyhodnocuje DNA profil.

Biometrické údaje je možné ďalej spracúvať, keď je to nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa. V tomto prípade ide o kontrolovaný vstup do citlivých priestorov, prevádzky, zariadenia, napr. vstup do trezorov, skladov nebezpečného materiálu, archívov, kde vstup môžu mať všetci zamestnanci alebo aj iné dotknuté osoby, alebo len vybraní zamestnanci.

Podrobné vysvetlenie k spracúvaniu biometrických údajov popísal Úrad na ochranu osobných údajov Slovenskej republiky v Metodickom usmernení úradu č. 6/2013 „Spracúvanie biometrických údajov“, ktoré je možné nájsť na webovej stránke úradu.

Ako postupovať pri nahlasovaní informačného systému na osobitnú registráciu?

Prevádzkovateľ je povinný pred začatím spracúvania osobných údajov prihlásiť informačný systém na osobitnú registráciu. Žiadosť o osobitnú registráciu a pokyny k jej vyplneniu sa nachádzajú na www.dataprotection.gov.sk.

Osobitná registrácia je spoplatnená, so žiadosťou o osobitnú registráciu je potrebné uhradiť 50 €. Správny poplatok je možné uhradiť kolkovými známkami (až do 30. 9. 2014) – nelepiť, len priložiť, v hotovosti do pokladnice úradu, poštovým poukazom na účet úradu alebo prevodom z účtu v banke. Bližšie informácie a číslo účtu nájdete na www.dataprotection.gov.sk. V žiadosti o osobitnú registráciu môžete uviesť aj číslo účtu, na ktorý by sa vám v prípade zamietnutia osobitnej registrácie vrátil správny poplatok, pokiaľ ste poplatok uhradili v hotovosti alebo poštovou poukážkou, alebo ho žiadate vrátiť na iný účet ako ten, z ktorého ste správny poplatok uhradili.

K žiadosti o osobitnú registráciu podľa § 37 písm. a) citovaného zákona je potrebné priložiť dokument, na základe ktorého sa bude spracúvanie osobných údajov uskutočňovať, napr. interný predpis, etický kódex, upozornenie dotknutej osoby, informácia o hot linke a pod. Druh dokumentu je potrebné vyznačiť alebo uviesť na konci žiadosti o osobitnú registráciu.

Ako právny základ pri osobitnej registrácii podľa § 37 písm. a) citovaného zákona sa vždy uvádza „ochrana práv a právom chránených záujmov“ alebo „§ 10 ods. 3 písm. g) zákona o ochrane osobných údajov“.

K žiadosti o osobitnú registráciu podľa § 37 písm. b) (spracúvanie biometrických údajov) je potrebné priložiť:

1. popis prostredia, citlivého zariadenia alebo prevádzky; v tomto bode je potrebné podrobne odôvodniť, prečo chce prevádzkovateľ spracúvať biometrické údaje (odôvodniť primeranosť a nevyhnutnosť spracúvania biometrických údajov), napr. je nežiaduce, aby sa na pracovisku zdržiavali cudzie osoby z dôvodu nebezpečenstva úrazu, havárie, znehodnotenia zariadení, je rizikové nosiť pri sebe magnetické karty – riziko krádeže a následného zneužitia a pod.);
2. okruh osôb, ktorých biometrické údaje budú spracúvané v informačnom systéme;
3. pôdorys priestoru, v ktorom bude umiestnené zariadenie snímajúce biometrické údaje; vyznačenie vstupov, umiestnenie zariadenia snímajúceho biometrické údaje, umiestnenie priestorov prístupných verejnosti a pod.;
4. technický popis zariadenia, ktoré sníma a spracúva biometrické údaje; spôsob, akým zariadenie sníma a ďalej spracúva biometrické údaje, spôsob identifikácie biometrického údaja (jeho priradenie ku konkrétnej osobe z množiny iných údajov) a pod.;
5. fotodokumentáciu priestoru, ak jej vyhotovenie nevylučuje osobitný zákon.

   Pri osobitnej registrácii biometrických informačných systémov sa ako právny základ uvádza jeden z bodov uvedených v ustanovení § 13 ods. 5, teda súhlas – § 13 ods. 5 písm. b), alebo zmluva – § 13 ods. 5 písm. c), alebo ochrana práv a právom chránených záujmov – § 13 ods. 5 písm. d) zákona o ochrane osobných údajov. Kumulatívny zoznam právnych základov je možné použiť len vo výnimočných a prevádzkovateľom odôvodnených prípadoch.

Ak žiadosť nespĺňa náležitosti podľa § 38 ods. 1 a 3 citovaného zákona (úplne a správne vyplnená žiadosť o osobitnú registráciu podpísaná štatutárom alebo štatutármi a príloha, na základe ktorej úrad posudzuje, či spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb) alebo ak pri posudzovaní žiadosti vzniknú akékoľvek pochybnosti, úrad vyzve prevádzkovateľa na odstránenie nedostatkov alebo doplnenie podkladov v lehote, ktorú určí a ktorá nemôže byť kratšia ako desať dní; počas tejto doby lehota v konaní o osobitnej registrácii neplynie.

Pokiaľ sa prevádzkovateľ v konaní o osobitnej registrácii nechá zastupovať, je potrebné k žiadosti doručiť aj originál alebo notársky overenú kópiu splnomocnenia.

Pri osobitnej registrácii si úrad vyhradil právo rozhodnúť, či prevádzkovateľ môže spracúvať osobné údaje dotknutých osôb takým spôsobom, ako to prevádzkovateľ požaduje vo svojej žiadosti o osobitnú registráciu. Z toho dôvodu je možné začať spracúvať osobné údaje v prihlasovanom informačnom systéme až po doručení potvrdenia o osobitnej registrácii vydaného úradom.

Osobitnej registrácii podliehajú informačné systémy spracúvajúce osobné údaje dotknutých osôb, pri ktorých môže častejšie dochádzať k porušeniu práv a slobôd dotknutých osôb. Z toho dôvodu kladie Úrad na ochranu osobných údajov Slovenskej republiky väčší dôraz na dohľad nad nimi, z čoho vyplynula povinnosť požiadať o osobitnú registráciu, aby Úrad na ochranu osobných údajov Slovenskej republiky eliminoval možné porušenie práv už pri úmysle prevádzkovateľa spracúvať v uvedených informačných systémoch osobné údaje dotknutých osôb.

Vzor žiadosti o osobitnú registráciu pre informačný systém biometrická evidencia dochádzky, kde dotknuté osoby poskytli na spracúvanie písomný súhlas:

ŽIADOSŤ O OSOBITNÚ REGISTRÁCIU

tlačivo na vyplnenie nájdete TU

 Použitá literatúra:

• Zákon č. 122/2013 Z. z. o ochrane osobných údajov s komentárom – Marcela Macová, Marián Vrabko – vydavateľstvo Eurokódex, s. r. o., Žilina
• Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z.
• Metodické usmernenie úradu č. 6/2013 „Spracúvanie biometrických údajov“ – zverejnené na www.dataprotection.gov.sk
• Pokyny pre vypĺňanie tlačiva Žiadosť o osobitnú registráciu informačného systému osobných údajov – zverejnené na www.dataprotection.gov.sk
• Žiadosť o osobitnú registráciu informačného systému osobných údajov – vzor zverejnený na www.dataprotection.gov.sk
• Whistleblowing – podozrenie z nekalého konania – JUDr. Marcela Macová – zverejnené na www.epi.sk

Autor: Sylvia Kozáková