Národná rada Slovenskej republiky schválila 30. apríla 2013 nový zákon na ochranu osobných údajov (ďalej len „zákon“), ktorý nadobúda účinnosť 1. júla 2013.  Novým zákonom (

)  sa ruší v súčasnosti platný zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon č. 428/2002 Z.z.“).

Návrh zákona si vyžiadala potreba dôslednej transpozície Smernice Európskeho parlamentu a Rady 95/46/ES, záverov a odporúčaní hodnotenia správneho uplatňovania schengenského acquis v Slovenskej republike pre oblasť ochrany osobných údajov a výsledky analýzy súčasne platného zákona z pohľadu aplikačnej v praxe.

Navrhovaná právna úprava nemení pôvodný zámer zákona č. 428/2002 Z.z., ktorý spočíva v poskytovaní ochrany prác fyzických osôb pri spracúvaní ich osobných údajov garantovaných Ústavou Slovenskej republiky.

Nový zákon okrem prepracovania viacerých ustanovení súčasne platného zákona najmä:

  • spresňuje niektoré definície pojmov,
  • odstraňuje nejasnosti niektorých základných ustanovení, ktoré v aplikačnej praxi spôsobovali potrebu častého objasňovania,
  • zavádza prehľadnejšiu úpravu vzťahu prevádzkovateľa a sprostredkovateľa,
  • nanovo upravuje podmienky spracúvania biometrických údajov,
  • dopĺňa inštitút oprávnenej osoby,
  • zavádza novú úpravu podmienok na poverenie zodpovednej osoby, v rámci ktorých vyžaduje aj vykonanie skúšky zodpovednej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
  • poskytuje novú právnu úpravu podmienok prenosu osobných údajov do tretích krajín s primeranou/bez primeranej úrovne ochrany osobných údajov,
  • upravuje podmienky osobitnej registrácie, registrácie a evidencie informačných systémov,
  • zavádza sa obligatórne uloženie sankcie za porušenie zákona (t.j. ak dôjde k porušeniu zákona Úrad na ochranu osobných údajov SR (ďalej len: „Úrad“)  uloží pokutu; text „môže uložiť pokutu“ sa nahrádza textom: „uloží pokutu“ .

Každý prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, od 1. júla 2013, je oprávnený sprístupniť (napr. na intranete)  alebo zverejniť (napr. na internete) jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo fukčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné  v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby.  Sprístupnenie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby (§ 12 ods. 3).

Novinkou sú dva vykonávacie predpisy k novému zákonu, ktoré súčasný platný zákon nemá a ktoré sú ešte v legislatívnom procese. Ide o všeobecne záväzné právne predpisy, ktoré ustanovujú

  • rozsah a dokumentáciu bezpečnostných opatrení (§ 20 ods. 3),
  • podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby (§ 24 ods. 7).

Pre všetkých, ktorí sú povinní dodržiavať  pri spracúvaní osobných údajov zákon na ochranu osobných údajov, sú dôležité lehoty upravené v prechodných ustanoveniach (§ 75 a násl.),  v rámci ktorých je potrebné zosúladiť spracúvanie osobných údajov v informačných systémoch s podmienkami upravenými v novom zákone.

I. Do 6 mesiacov odo dňa účinnosti nového zákona (t.j. do 31. 12. 2013)

1. prevádzkovateľ je povinný uviesť do súladu s novým zákonom všetky informačné systémy, v ktorých spracúva osobné údaje najmä

  • skontrolovať a zosúladiť rozsah informácií, ktoré je prevádzkovateľ povinný oznámiť dotknutej osobe  pred ich získaním (§15),
  • upraviť súhlas so spracúvaním osobných údajov, aby bol preukázateľný v rozsahu stanovenom v novom zákone (§ 10 ods. 4); (v novom zákone sa nevyžaduje  pri súhlase podmienky jeho odvolania ale POZOR, tieto údaje je povinný prevádzkovateľ poskytnúť dotknutej osobe pri získavaní osobných údajov).,
  • upraviť rozsah údajov, ktoré môže prevádzkovateľ získavať pri jednorazovom vstupe (§15 ods. 4),
  • zosúladiť monitorovanie priestoru prístupného verejnosti s ustanoveniami nového zákona (§ 15 ods. 7 + § 17 ods. 7) (predĺžila sa doba na archivovanie záznamov na 15 dní),
  • skontrolovať a zosúladiť spracovanie biometrických údajov (§ 13 ods. 5).

2. prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených osôb

  • tak ako sme už uviedli, je nová  definícia  oprávnenej osoby

Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení [§ 4 ods. 2 písm. e)].

Napr. upratovačka nie je oprávnenou osobou lebo nespracúva osobné údaje, nevykonáva operácie, ale na účely zvýšenia bezpečnosti spracúvania osobných údajov ju prevádzkovateľ môže poučiť (keďže nie sú naplnené ďalšie zákonné podmienky nebude oprávnenou osobou ale poučená bude). Fyzická osoba, ktorá spĺňa podmienky oprávnenej osoby zadefinované v zákone, sa stáva oprávnenou osobou až dňom jej písomného poučenia (§ 21 ods. 1)

  • rozsah písomného záznamu o poučení oprávnenej osoby je upravený v § 21 ods. 3.

3. prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu alebo osobitnú registráciu v súlade s novým zákonom

  • registrácie a osobitné registrácie udelené podľa doterajšieho zákona sa považujú za registrácie resp. osobitné registrácie podľa nového zákona,
  • ak informačné systémy podľa nového zákona nepodliehajú registrácii/osobitnej registrácii a vy ich máte na Úrade prihlásené,  nie je potrebné ich odhlasovať,
  • registráciu a osobitnú registráciu vykonáva Úrad,
  • za registráciu, osobitnú registráciu  a zmenu registrovaných údajov sa vyberá správny poplatok,
  • vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu, osobitnú registráciu a vzor žiadosti o oznámenie zmien zverejní Úrad na svojom webovom sídle (www.pdp.gov.sk),
  • podmienky registrácie a postup pri registrácii upravuje § 34 a násl.,
  • podmienky osobitnej registrácie a postup pri osobitnej registrácii upravuje § 37 a násl. Z dôvodu zmeny  aj podmienok evidencie informačných systémov (evidenciu IS vykonáva prevádzkovateľ) je potrebné  prekontrolovať a zosúladiť aj evidenciu informačných systémov.

II. Do 9 mesiacov odo dňa účinnosti nového zákona (t.j. do 31. 3. 2014)

prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s novým zákonom

  • bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa účinnosťou nového zákona považujú za bezpečnostné opatrenia vypracované podľa nového zákona,
  • zodpovednosť prevádzkovateľa za bezpečnosť osobných údajov vyplýva z § 19 ods. 1,
  • zodpovednosť sprostredkovateľa za bezpečnosť osobných údajov vyplýva  z § 8 ods. 10,Zmenili sa podmienky kedy je potrebné prijať bezpečnostné opatrenia vo forme bezpečnostnej smernice (§ 19 ods. 2) a kedy vo forme bezpečnostného projektu (§ 19 ods.3).
  • rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis

zavádzajú sa povinnosti:

  • bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení,
  • oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu potrebnom na plnenie ich úloh.

III. Do jedného roka  odo dňa účinnosti nového zákona (t.j. do 30. 6. 2014)

1. prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať do súladu s novým zákonom

  • sprostredkovateľ je oprávnený spracúvať osobné údaje len na základe písomnej zmluvy uzatvorenej s prevádzkovateľom (môže ísť o samostatnú zmluvu alebo náležitosti uvedené v zákone budú súčasťou napr. mandátnej zmluvy),Zákon upravuje náležitosti písomnej zmluvy nasledovne:
    • v § 8 ods. 3  je upravený fakultatívny výpočet náležitosti,
    • v § 8 ods. 11  sú vymenované povinnosti prevádzkovateľa ktoré za neho môže vykonať sprostredkovateľ, ale len vtedy, ak sú výslovne dohodnuté v uzatvorenej zmluve,
    • v § 8 ods. 10 sú upravené povinnosti, ktoré je  sprostredkovateľ povinný dodržiavať bez ohľadu na to, či sú upravené v zmluve.

2. prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu   a jej poverenie oznámiť Úradu

  • poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa považujú za poverenia podľa nového zákona,
  • ak nepotrebujete zodpovednú osobu a máte ju nahlásenú, neodhlasujete ju,
  • keďže sa menili podmienky, kto môže byť zodpovednou osobou resp. kto nemôže byť zodpovednou osobou (§ 23), je potrebné skontrolovať či vôbec súčasne poverená zodpovedná osoba bude môcť byť po splnení ďalších podmienok, zodpovednou osobou.Základnou zmenou je, že prevádzkovateľ je povinný mať zodpovednú osobu, ak spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb! Vypúšťa sa možnosť poveriť zodpovednú osobu aj vtedy, ak prevádzkovateľ spracúva osobné údaje s menej ako 20 oprávnenými osobami (vtedy je povinnosť registrovať informačné systémy).

ak máte vhodnú osobu, je potrebné ju prihlásiť na Úrad na skúšku na účely výkonu funkcie zodpovednej osoby.

  • vzor žiadosti o absolvovanie skúšky zverejní Úrad na svojom webovom sídle,
  • podrobnosti o skúške zodpovednej osoby ustanoví všeobecne záväzný právny predpis, ktorý vydá Úrad,
  • po úspešnom absolvovaní  skúšky je potrebné, aby si budúca zodpovedná osoba zabezpečila výpis z registra trestov,
  • následne prevádzkovateľ písomne poverí zodpovednú osobu
    • náležitosti poverenia upravuje § 23 ods. 10,
    • prílohou poverenia, ktorá tvorí jeho neoddeliteľnú súčasť, je záznam o poučení podľa § 21 ods.3,
  • posledným krokom je písomné nahlásenie zodpovednej osoby na Úrad  doporučenou zásielkou
    • vzor oznámenia zverejní Úrad na svojom webovom sídle. Ak prevádzkovateľ výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb, je povinný oznámiť Úradu  poverenie všetkých zodpovedných osôb!

Koľko dokladov budete musieť preukázať k povereniu 1 zodpovednej osoby?

  • písomné poverenie,
  • poučenie,
  • platné potvrdenie Úradu o absolvovaní skúšky,
  • výpis z registra trestov,
  • doručenka o nahlásení zodpovednej osoby.

Novinky:

  • prevádzkovateľ bude povinný:
    • ohlasovať zmenu údajov pri nahlásených zodpovedných osobách,
    • oznamovať Úradu odvolanie poverenia alebo zánik poverenia zodpovednej osoby (pri splnení zákonom stanovených podmienok)
  • prevádzkovateľ bude oprávnený kedykoľvek bez udania dôvodu poverenie zodpovednej osoby písomne odvolať.

Aj keď nový zákon poskytuje dostatočný časový priestor na zosúladenie spracúvania osobných údajov v informačných systémoch, odporúčam nečakať na posledné dni, ale začať systémovo pracovať na jeho aplikácii.

Nový zákon vyšiel v Zbierke zákonov 28.5.2013:  

o ochrane osobných údajov a o zmene a doplnení niektorých zákonovVykonávacie vyhlášky vyšli v Zbierke zákonov 26.6.2013: