Čo prinesie nový zákon o ochrane osobných údajov?
Nový zákon o ochrane osobných údajov ( ďalej len zákon“) účinný od 1.7. 2013 spresňuje niektoré definície pojmov, a odstraňuje nejasnosti niektorých základných ustanovení tohto zákona. Pre prevádzkovateľov osobných údajov pribudnú ďalšie nové povinnosti, a tiež povinnosť zosúladenia už existujúcich povinností s novým zákonom. Na druhej strane sa zjednoduší prenos osobných údajov do krajín nezaručujúcich primeranú úroveň ochrany osobných údajov.
Podľa nového zákona je prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene. Odstránil sa taxatívny výpočet týchto osôb, a rozšírilo sa konanie prevádzkovateľa aj na spracúvanie. V doteraz platnom zákone boli ako prevádzkovatelia uvedení len tí, ktorí určovali účel a podmienky spracúvania, čo v praxi spôsobovalo problém. Často sa stávalo, že účel určila prvotne v rámci konglomerátu materská spoločnosť, ale získavala, určovala podmienky spracúvania a spracúvala údaje vo svojom mene už jej dcérska, lokálna spoločnosť. Z toho dôvodu sa ani jedna z nich nepovažovala za prevádzkovateľa osobných údajov.
Nové podmienky ustanovenia sprostredkovateľa a jeho nové povinnosti.
Poveriť sprostredkovateľa spracúvaním osobných údajov bude môcť prevádzkovateľ už len na základe písomnej zmluvy a nebude postačujúce písomné poverenie ako tomu bolo doteraz. Náležitosti takejto zmluvy budú už presne vymedzené. Zákon tiež výslovne uvádza, že na poverenie sprostredkovateľa sa nevyžaduje súhlas dotknutej osoby. Zavádza sa aj nový pojem subdodávateľ a teda je už zrejmé, aký postup bude musieť prevádzkovateľ a sprostredkovateľ zachovať, ak sprostredkovateľ nebude osobné údaje spracúvať sám, ale si na ich spracúvanie zakontrahuje tretiu stranu.
Sprostredkovateľom pribudne nová povinnosť a to písomne upozorňovať prevádzkovateľa na porušenia zákona. Ak prevádzkovateľ nápravu nevykoná, sprostredkovateľ je povinný o tom informovať Úrad. Ak si túto povinnosť sprostredkovateľ nesplní, zodpovedá za porušenie povinnosti a za škodu tým spôsobenú spoločne a nerozdielne spolu s prevádzkovateľom.
Zástupca prevádzkovateľa.
Zástupca prevádzkovateľa nie je v navrhovanej úprave novým inštitútom. Zavedením jeho samostatnej rozsiahlejšej úpravy, sa poskytuje väčšia prehľadnosť a právna istota pri využívaní tohto inštitútu. Určuje sa, ktorý prevádzkovateľ musí mať v Slovenskej republike zástupcu a tiež akým dokladom svojho vymenovania musí zástupca prevádzkovateľa disponovať.
Sprístupňovanie osobných údajov zamestnancov.
Novo začleneným ustanovením sa povoľuje prevádzkovateľovi, ktorý je zamestnávateľom dotknutej osoby, aby sprístupnil alebo zverejnil jej osobné údaje aj bez jej súhlasu a to v v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Takéto sprístupnenie alebo zverejnenie však nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
Súhlas dotknutej osoby pri spracúvaní citlivých osobných údajov.
Na spracúvanie citlivých osobných údajov sa už nebude nevyhnutne vyžadovať písomný súhlas, ale bude postačujúci aj iný hodnoverne preukázateľný súhlas.
Nové povinnosti prevádzkovateľov.
Prevádzkovateľom sa zavádzajú nové povinnosti ako napríklad oznamovať tretej strane, že jej boli poskytnuté nesprávne neúplné alebo neaktuálne osobné údaje, alebo že jej boli poskytnuté bez právneho základu, oboznamovať zamestnancov s bezpečnostnými smernicami, viesť záznam o poučení oprávnených osôb o právach a povinnostiach pri spracúvaní osobných údajov s presne stanovenými náležitosťami.
Technické, personálne a organizačné opatrenia (tzv. bezpečnostné opatrenia), je prevádzkovateľ povinný zdokumentovať aj v bezpečnostnej smernici, ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov, alebo neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov. Rozsah bezpečnostných opatrení ustanoví vyhláška Úradu o rozsahu a dokumentácii bezpečnostných opatrení.
Zodpovedná osoba.
Povinnosť poveriť výkonom dohľadu nad ochranou osobných údajov zodpovednou osobou bude mať prevádzkovateľ až v prípade, ak spracúva osobné údaje prostredníctvom viac ako 20 oprávnených osôb, teda tých, prostredníctvom ktorých osobné údaje spracúva, Doteraz musel zodpovednú osobu ustanoviť prevádzkovateľ, ktorý zamestnával viac ako päť osôb bez ohľadu na to, či prostredníctvom nich spracúval osobné údaje alebo nie. Ustanovilo sa, že zodpovednou osobou nemôže byť štatutárny orgán prevádzkovateľa, ani osoba oprávnená konať v jeho mene, čim sa zaručuje jej nezávislosť. Zákon vyslovene uvádza náležitosti poverenia zodpovednej osoby, ako aj to, že takáto osoba bude musieť zložiť skúšku pred Úradom. Ak svoju funkciu nebude vykonávať dlhšie ako 2 roky, musí skúšku opakovať. Podrobnosti o skúške ustanoví vyhláška Úradu.
Cezhraničný prenos osobných údajov do tretích krajín.
Menia sa podmienky prenosu osobných údajov do tretej krajiny nezaručujúce primeranú úroveň ochrany. Možno ho uskutočniť na základe záväzných vnútropodnikových pravidiel alebo štandardných zmluvných doložiek, ktoré určujú rozhodnutia Európskej Komisie. Iba v prípade, ak sa použijú zmluvné doložky odlišné od štandardných, vyžaduje sa na prenos súhlas Úradu na ochranu osobných údajov.
Zákon rozšíril svoju úpravu o náležitosti zmluvy o prenose osobných údajov, ak sa tieto prenášajú prevádzkovateľovi alebo sprostredkovateľovi so sídlom v Spojených štátoch amerických a ten pristúpil k zásadám „Safe Harbor“ resp. „bezpečného prístavu“.
Registrácia informačných systémov.
Za registráciu informačných systémov sa po novom bude vyberať správny poplatok.
Sankcie
Úrad už nebude mať možnosť rozhodnúť sa, či pokutu za porušenie zákona uloží, alebo nie. Podľa nového zákona ukladanie pokút bude obligatórne.
Povinnosť zosúladenia s novým zákonom
Registrácie, a osobitné registrácie udelené podľa doterajšieho zákona sa účinnosťou nového zákona automaticky rušia. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s novým zákonom do šiestich mesiacov odo dňa jeho účinnosti
Zmluvný vzťah so sprostredkovateľom je prevádzkovateľ povinný dať do súladu do jedného roka od účinnosti nového zákona.
Poučenie oprávnených osôb je potrebné zosúladiť do šiestich mesiacov od účinnosti nového zákona.
Povinnosť nanovo písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu je prevádzkovateľ povinný vykonať do jedného roka od účinnosti nového zákona.
Zosúladiť prijaté bezpečnostné opatrenia s novým zákonom sa vyťažuje do deviatich mesiacov od účinnosti nového zákona.
Mgr. Hana Supeková,
Associate
Ružička Csekes s.r.o. in association with members of CMS
Vysoká 2/B
811 06 Bratislava 1
Tel.: +421 2 32 33 34 44
Fax: +421 2 32 33 34 43
e-mail: office-ba@rc-cms.sk
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk