Nový zákon o ochrane osobných údajov. Aké zmeny prináša?
Zákon o ochrane osobných údajov na jednej strane od značnej miery kopíruje súčasne platný zákon o ochrane osobných údajov, na druhej strane však prináša aj nové povinnosti. Nakoľko takmer každý podnikateľ pracuje s obrovským množstvom osobných údajov, ktoré sa týkajú jeho zákazníkov, zamestnancov alebo obchodných partnerov, nižšie uvádzame najvýznamnejšie zmeny týkajúce sa spracovávania osobných údajov, o ktorých by ste mali vedieť.
Nový zákon konečne jednoznačne konštatuje, že písomný súhlas dotknutej osoby so spracovaním osobných údajov môže byť podpísaný aj zaručeným elektronickým podpisom. Doterajšia úprava totiž umožňovala len vlastnoručné podpísanie písomného súhlasu.
Sprostredkovateľ len na základe písomnej zmluvy
Poveriť sprostredkovateľa spracúvaním osobných údajov bude možné len na základe písomnej zmluvy. Urobiť tak jednostranným písomným poverením už možné nebude. Zmluva bude musieť byť podpísaná najneskôr v deň začatia spracovania údajov sprostredkovateľom. Zmluva so sprostredkovateľom bude musieť obsahovať náležitosti stanovené zákonom. Sprostredkovateľ bude môcť spracovávať osobné údaje prostredníctvom subdodávateľa len v prípade, ak to bude výslovne dohodnuté v zmluve. Nový zákon umožňuje, aby sprostredkovateľ za vás (t.j. prevádzkovateľa) získaval a likvidoval osobné údaje, vybavoval námietky dotknutých osôb, poskytoval im informácie a vykonával prenos osobných údajov do členských štátov Európskej únie alebo tretích krajín. Ak chcete preniesť tieto vaše povinnosti na sprostredkovateľa je to potrebné výslovne uviesť v zmluve. Doterajšie zmluvné vzťahy so sprostredkovateľom budete povinný zosúladiť s novým zákonom do konca mája 2014.
Zverejňovanie osobných údajov zamestnancov
Ako zamestnávateľ budete môcť, bez súhlasu zamestnanca, sprístupniť tretím osobám alebo zverejniť osobné údaje zamestnanca, a to v rozsahu: titul, meno, priezvisko, jeho zaradenie a kontaktné údaje (t.j. telefónne a faxové číslo, pracovný email). Podmienkou je, aby takéto sprístupnenie alebo zverejnenie bolo nevyhnutné na plnenie pracovných povinností. Tieto osobné údaje sa budú musieť zverejniť takým spôsobom, aby to nenarušilo vážnosť, dôstojnosť a bezpečnosť zamestnanca. Nie je preto možné zverejniť abecedný zoznam zamestnancov, v ktorom sú uvedení všetci zamestnanci. Je naozaj nevyhnutné zvážiť, či sprístupnenie alebo zverejnenie takýchto údajov je potrebné pre plnenie pracovných úloh zamestnanca.
Monitorovanie priestoru, ktorý je prístupný verejnosti
Ak doteraz existovali pochybnosti o tom, čo to je priestor prístupný verejnosti, od 1.júna tieto pochybnosti zmiznú. Nový zákon definuje priestor prístupný verejnosti ako priestor, do ktorého je voľný vstup a možno sa v ňom voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase (napríklad nákupné centra, prevádzky obchodov, parky, parkoviská, okolie domov a bytov, ktoré je verejne prístupné, atď.). Nový zákon taktiež jednoznačne stanovil, že priestor bude môcť byť monitorovaný aj za účelom ochrany majetku alebo zdravia. Nový zákon prináša predĺženie lehoty na likvidáciu záznamu z monitorovania. Záznam získaný monitorovaním (bez ohľadu na to, či je snímaný obraz alebo zvuk) bude musieť byť zlikvidovaný do 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený. Doteraz bola lehota na likvidáciu 7 dní.
Poučenie oprávnených osôb
Nový zákon jasne stanovuje, že oprávnenou osobou (takou osobou je osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného alebo obdobného pomeru) sa daná osoba stáva až dňom jej poučenia. Zároveň je presne určený obsah písomného záznamu, ktorým sa potvrdzuje vykonanie poučenia a ustanovenie oprávnenej osoby. Záznam musí obsahovať (i) identifikačné údaje prevádzkovateľa a oprávnenej osoby, (ii) ustanovenie o tom, že oprávnená osoba bola poučená o právach a povinnostiach vyplývajúcich jej zo zákona a o jej zodpovednosti, (iii) rozsah oprávnení a (iv) popis povolených činností a podmienok spracúvania osobných údajov. Ak osoba prestane byť oprávnenou osobou, do záznamu o poučení sa uvedenie deň, kedy došlo k tejto skutočnosti. Ako prevádzkovateľ ste povinný vykonať opätovné poučenie, ak sa zmenil rozsah alebo podmienky spracúvania osobných údajov. Po účinnosti nového zákona budete musieť poučiť oprávnené osoby o existencii nového zákona a povinnostiach z neho vyplývajúcich do 6 mesiacov odo dňa jeho účinnosti, t.j. do konca roka 2013.
Rada: Odporúčame vykonať písomný záznam aj o opätovnom poučení.
Zodpovedná osoba
Nový zákon prináša významné zmeny v ustanoveniach týkajúcich sa zodpovednej osoby, t.j. osoby, ktorá dozerá na dodržiavanie zákona pri spracúvaní osobných údajov. Teraz platí, že prevádzkovateľ je povinný určiť zodpovednú osobu, ak zamestnáva viac ako 5 osôb. Od júna bude prevádzkovateľ povinný písomne určiť zodpovednú osobu len v prípade, ak spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb (dobrovoľné určenie zodpovednej osoby samozrejme nie je vylúčené). Určiť budete môcť len takú fyzickú osobu, ktorá je plne spôsobilá na právne úkony, je bezúhonná a má platné potvrdenie o absolvovaní skúšok zodpovednej osoby, ktoré jej vydá Úrad na ochranu osobných údajov („Úrad“) po tom, čo u neho absolvuje školenie a úspešne urobí skúšky. Doteraz stačilo, ak zodpovednú osobu vyškolil prevádzkovateľ alebo ak sa zodpovedná osoba zúčastnila školenia organizovaného tretou stranou.
Úrad je povinný na svojej internetovej stránke zverejniť formulár na prihlásenie zodpovedných osôb na vykonanie skúšky, čas a miesto konania skúšok (Bratislava, prípadne krajské mestá). Povinnosť písomne informovať Úrad o poverení zodpovednej osoby do 30 dní odo dňa poverenia zostáva nezmenená, až na to, že od júna je povinné oznámiť Úradu všetky ustanovené zodpovedné osoby, nielen jednu z viacerých zodpovedných osôb, ako to platí teraz.
Zavedenie poplatkov za registráciu informačných systémov
Máloktorá registrácia na štátnom orgáne bola bez poplatku a od júna nebude zaostávať ani Úrad. Registrácia informačného systému alebo zmena registrácie vás vyjde na 20,- EUR, pri osobitnej registrácií informačného systému alebo jeho zmene si pripravte 50,- EUR. Podotýkame však, že poplatky neobídu ani tých, ktorí už svoje informačné systémy zaregistrovali. Dňom účinnosti nového zákona sa všetky registrácie a osobitné registrácie informačných systémov rušia. Nanovo ich budete musieť zaregistrovať do 6 mesiacov, t.j. do konca roka 2013.
Cezhraničný prenos osobných údajov do tretích krajín
Malé zmeny sa dotkli aj prenosu osobných údajov do tretích krajín (t.j. do krajín mimo EU). Ak prevádzkovateľ prijme záruky vyplývajúce zo štandardných zmluvných doložiek alebo záväzných vnútropodnikových pravidiel, ktoré boli schválené niektorým z úradov na ochranu osobných údajov so sídlom v členskom štáte EÚ, prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú ochranu, sa bude môcť uskutočniť aj bez písomného súhlasu dotknutej osoby. To neplatí pre osobitnú kategóriu osobných údajov (napr. rodné číslo, rasa, atď.). Pri prenose osobitných osobných údajov do tretích krajín sa písomný súhlas dotknutej osoby bude naďalej vyžadovať.
Po novom sa súhlas Úradu na prenos osobných údajov do tretích krajín bude vyžadovať len v prípade, ak prevádzkovateľ v zmluve o prenose osobných údajov použije ustanovenia, ktoré sa budú líšiť od štandardných zmluvných doložiek alebo schválených vnútropodnikových pravidiel. Súčasťou žiadosti o udelenie súhlasu musí byť po novom aj samotná zmluva. Ak bude zmluva vyhotovená v cudzom jazyku, bude potrebné predložiť úradu aj jej úradný preklad do slovenského jazyka.
Na záver vás chceme upozorniť, že všetky informačné systémy, v ktorých sa spracúvajú osobné údaje bude potrebné do 6 mesiacov od jeho účinnosti zosúladiť s novým zákonom. Lehota na zosúladenie prijatých bezpečnostných opatrení, smerníc a projektov je 9 mesiacov od účinnosti nového zákona. Pozitívnou správou je, že súhlasy dotknutých osôb so spracúvaním osobných údajov udelené podľa teraz platného zákona nie je nutné meniť alebo dopĺňať.
JUDr. Lucia Regecová,
vedúca advokátka
Mgr. Danica Valentová,
advokátska koncipientka
Apollo Business Center
Prievozská 4/B
821 09 Bratislava
Tel.: +421 232 113 039
Fax: +421 232 144 148
e-mail: office.sk@glatzova.com
JUDr. Lucia Regecová, vedoucí slovenské pobočky
e-mail: lucia.regecova@glatzova.com
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk