2.7.2014
ID: 2174upozornenie pre užívateľov

Aktuálny vývoj ochrany osobných údajov v Slovenskej republike

Spôsob zabezpečenia ochrany osobných údajov je v Slovenskej republike dlhodobo predmetom diskusií medzi príslušnými štátnymi orgánmi, politikmi a verejnosťou, ktoré vyúsťujú do častých zmien legislatívy a jej výkladu zo strany dozorného orgánu. Obeťou uvedeného procesu sú subjekty spracúvajúce osobné údaje, ktoré sú nútené venovať nemalé zdroje (osobné, časové ako aj finančné) na zabezpečenie súladu v aktuálnom čase alebo riskovať uloženie vysokej pokuty za porušenie zákona.

 
 Peterka & Partners
 
Predmetom tohto článku je zhodnotiť vývoj úpravy ochrany osobných údajov v Slovenskej republike a jeho tendenciu so zameraním najmä na popis základných zmien ostatnej novely účinnej od 15. mája 2014.

Stručný vývoj legislatívy

Základom ochrany osobných údajov v Slovenskej republike je čl. 19 Ústavy Slovenskej republiky, podľa ktorého má každá fyzická osoba právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe. Problematickým pri realizácii tohto práva sa javí určenie rozumnej miery medzi oprávneným a neoprávneným spracúvaním osobných údajov.

Slovenská republika transponovala smernicu Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov prijatím zákona č. 428/2002 Z. z. o ochrane osobných údajov, ktorým stanovila subjektom spracúvajúcim osobné údaje široký okruh povinností, a zriadila úrad na ochranu osobných údajov („úrad“) ako orgán dozoru nad ochranou osobných údajov.

Zákon č. 428/2002 Z. z. bol viackrát novelizovaný, až bol nahradený úplne novým zákonom na ochranu osobných údajov č. 122/2013 Z. z. účinným od 1. júla 2013. Nový zákon si vyžiadala potreba dôslednej transpozície smernice 95/46/ES v kontexte konkrétnych pripomienok hodnotiacej misie Európskej komisie vyplývajúcich zo „Štruktúrovaného dialógu o ochrane osobných údajov“, záverov a odporúčaní hodnotenia správneho uplatňovania schengenského acquis v Slovenskej republike pre oblasť ochrany osobných údajov, ktoré sa uskutočnilo vo februári 2012 (tzv. schengenské hodnotenie),  úloh obsiahnutých v Schengenskom akčnom pláne Slovenskej republiky a výsledkov analýzy súčasne platného zákona z pohľadu aplikačnej praxe.

Nový zákon priniesol dlho očakávané zjednodušenie právnej úpravy ohľadom prenosu osobných údajov do zahraničia. V súlade so smernicou sa odstránila najmä povinnosť žiadať úrad o súhlas pri cezhraničnom prenose osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany údajov v prípade, ak prevádzkovateľ (data controller) prijal tzv. štandardné zmluvné doložky, boli schválené záväzné vnútropodnikové pravidlá prevádzkovateľa, alebo sa jedná o prípad prenosu na základe zásad Safe Harbour, či ide o ďalšie zákonné výnimky (ako napr. informovaný súhlas dotknutej osoby, nevyhnutnosť prenosu na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom). Prekvapivo, nový zákon sprísnil podmienky pre cezhraničný prenos osobných údajov v rámci členských štátov EÚ alebo EHP, nakoľko zaviazal prevádzkovateľa so sídlom v SR zabezpečiť, že sprostredkovateľ (data procesor) z iného členského štátu, ktorého poveril spracúvaním osobných údajov, bude dodržiavať zákon č. 122/2013 Z. z. (s výnimkou technických, organizačných a personálnych bezpečnostných opatrení).
 
Okrem uvedeného zjednodušenia úpravy, nová úprava zaviedla množstvo nových povinností, na zosúladenie s ktorými stanovila viacero prechodných období, z ktorých posledné skončí 1. júla 2015 (lehota na uzavretie písomnej zmluvy medzi prevádzkovateľom a sprostredkovateľom osobných údajov). Za porušenie zákona mal úrad povinnosť uložiť pokutu do výšky až €300.000.

Nižšie zhŕňame heslovite základný rozsah povinností v zmysle zákona, ktorých splnenie je v prípade kontroly úradu nutné preukázať.

  • povinnosť spracúvať osobné údaje len na základe súhlasu dotknutej osoby (data subject), t.j. osoby, ktorej osobné údaje sa spracúvajú (okrem zákonných výnimiek);
  • preukázateľne informovať dotknutú osobu o podmienkach a okolnostiach spracúvania jej osobných údajov v zákonnom rozsahu ešte pred získaním osobných údajov (bez ohľadu na základ spracúvania osobných údajov);
  • v prípade poverenia sprostredkovateľa, mať s ním uzavretú písomnú zmluvu obsahujúcu zákonné náležitosti;
  • poveriť dohľadom nad ochranou osobných údajov tzv. zodpovednú osobu, ktorá musí úspešne absolvovať skúšku zodpovednej osoby na úrade;
  • preukázateľne poučiť každú osobu spracúvajúcu osobné údaje (tzv. oprávnenú osobu) a z poučenia vyhotoviť písomný záznam;
  • registrovať resp. evidovať všetky informačné systémy, v ktorých spracúva osobné údaje;
  • prijať bezpečnostné opatrenia za účelom ochrany osobných údajov vo forme základnej dokumentácie, bezpečnostnej smernice alebo bezpečnostného projektu s predpísanými náležitosťami.

Posledná novelizácia právnej úpravy

Prijatie nového zákona zdvihlo vlnu kritiky najmä zo strany podnikateľskej verejnosti. Nasledoval návrh na zmenu zákona zo strany predstaviteľov opozičných politických strán, ktorý mal podstatne zjednodušiť a znížiť administratívnu záťaž predmetných povinností. Parlamentné rokovanie o predmetnom návrhu prekvapivo predbehol vládny návrh novely zákona, ktorý bol prijatý v skrátenom legislatívnom konaní s účinnosťou od 15. apríla 2014 bez akýchkoľvek prechodných období. Jeho cieľom bolo minimalizovať nejasnosti a zjednodušiť a uľahčiť niektoré požiadavky kladené na prevádzkovateľov a sprostredkovateľov, avšak v omnoho menšej miere ako návrh skupiny opozičných poslancov. Zároveň sa predĺžilo prechodné obdobie, v ktorom je prevádzkovateľ povinný dať zmluvný vzťah so sprostredkovateľom do súladu so zákonom č. 122/2013 Z. z., z jedného na dva roky (t.j. do 1. júla 2015).

Novela znížila maximálnu výšku pokuty za porušenie zákona z €300.000 na €200.000 a okrem výnimočných prípadov, keď sa jedná o najzávažnejšie porušenia zákona, sa povinnosť zmenila na možnosť úradu uložiť pokutu. Bola tiež zrušená povinnosť sprostredkovateľa a zodpovednej osoby nahlásiť úradu porušenie zákona zo strany prevádzkovateľa pod hrozbou uloženia pokuty.

V zmysle novej právnej úpravy už nie je pre vymenovanie zodpovednej osoby relevantný ani počet zamestnancov resp. tzv. oprávnených osôb (t.j. osôb, prostredníctvom ktorých prevádzkovateľ spracúva osobné údaje). Je teda čisto na vôli prevádzkovateľa, či vymenuje zodpovednú osobu. Ak tak urobí, v zásade sa vyhne povinnosti oznamovať (podľa predchádzajúcej úpravy registrovať) svoje informačné systémy úradu, v ktorých spracúva osobné údaje. Od 15. mája 2014 musia však všetci prevádzkovatelia, ktorí spracúvajú osobné údaje v rámci ochrany svojho majetku, finančných alebo iných záujmov alebo na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov, oznámiť takéto informačné systémy úradu (aj keď sa na ich spracúvanie nevyžaduje súhlas dotknutej osoby), a to aj keď majú vymenovanú zodpovednú osobu. Úrad môže v jednotlivom prípade rozhodnúť, že takýto informačný systém podlieha osobitnej registrácii, ktorá je spoplatnená.

Podstatnú úľavu predstavuje zrušenie povinnosti prevádzkovateľa oznámiť dotknutej osobe zákonom stanovené informácie (napr. identifikačné údaje prevádzkovateľa a sprostredkovateľa, účel spracúvania, zoznam osobných údajov a pod.) pred každým získavaním osobných údajov, ktoré sú spracúvané na základe priamo vykonateľného právne záväzného aktu EÚ, medzinárodnej zmluvy, ktorou je SR viazaná, zákona o ochrane osobných údajov alebo osobitného zákona, ak priamo ustanovujú účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov alebo ich rozsah. Naďalej je prevádzkovateľ povinný oznámiť tieto údaje, ak získava osobné údaje napr. na základe súhlasu dotknutej osoby alebo v rámci plnenia rôznych zmluvných vzťahov ako sú napr. informačné systémy „Zákazníci“, „Klienti“ a pod. Novela tiež reagovala na potreby praxe a umožnila zamestnávateľom kopírovať, skenovať alebo inak zaznamenávať úradné doklady svojich zamestnancov a uchovávať ich aj bez ich výslovného súhlasu.

Nová úprava zrušila povinnosť prevádzkovateľa a sprostredkovateľa vypracovať tzv. bezpečnostnú smernicu na ochranu osobných údajov. Naďalej je ale každý subjekt spracúvajúci osobné údaje povinný prijať bezpečnostné opatrenia na ochranu osobných údajov, ktoré by mali zodpovedať podmienkam stanoveným vo vykonávacej vyhláške úradu.  Bezpečnostné opatrenia musia byť prijaté vo forme tzv. základnej dokumentácie alebo vo forme bezpečnostného projektu (ak sa spracúva osobitná kategória osobných údajov na počítači pripojenom k internetu, alebo informačný systém slúži na zabezpečenie verejného záujmu). Je potrebné si dať pozor na to, že nová úprava tiež rozšírila príkladný zoznam základnej dokumentácie o tzv. popis bezpečnostných opatrení.      

Očakávaný vývoj

Slovenská právna úprava v oblasti ochrany osobných údajov je stále nejasná a veľmi nestála. Napriek určitej liberalizácii, ktorú zaviedla posledná novela, pretrváva kritika právnej úpravy a snaha o jej modifikáciu.

Ďalšie zmeny je možné očakávať v nadväznosti na vývoj ochrany osobných údajov na úrovni Európskej únie. Návrh Nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) z r. 2012 je aktuálne predmetom legislatívneho procesu.

Harmonizácia európskeho práva ochrany osobných údajov prostredníctvom nariadenia sľubuje zvýšenie miery právnej istoty. Otázkou ostáva následná interpretácia európskeho nariadenia a miera, do akej bude slovenská legislatíva európske nariadenie dopĺňať.


Andrea Farinič Štefančíková,
Advokátka


PETERKA & PARTNERS v.o.s. advokátska kancelária organizačná zložka 

Kapitulská 18/A
811 01 Bratislava

Tel.: +421 2 544 18 700
Fax.: +421 2 544 18 701
e-mail: office@peterkapartners.sk


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk