Dňa 01.júla 2013 nadobudol účinnosť nový zákon o ochrane osobných údajov č. 122/2013 Z.z. (ďalej ako „zákon“), ktorý ruší a v plnom rozsahu nahrádza zákon č. 428/2002 Z.z. o ochrane osobných údajov. Zákon prináša viaceré zmeny, nové povinnosti, ako aj povinnosť zosúladiť existujúce povinnosti s novým zákonom. Zároveň odstraňuje nejasnosti niektorých základných pojmov. Pre lepšiu orientáciu v zmenách zákona uvádzame definíciu niektorých pojmov:
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
Dotknutou osobou je každá fyzická osoba, ktorej sa osobné údaje týkajú.
Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky.
Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve.
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení.
Pod spracúvaním osobných údajov sa rozumie vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.
Informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií.
Najdôležitejšie zmeny v oblasti ochrany osobných údajov, ktoré prináša nový zákon:
1. Povinné náležitosti písomnej zmluvy o spracovaní osobných údajov
Podľa novej právnej úpravy môže prevádzkovateľ poveriť spracúvaním osobných údajov sprostredkovateľa aj bez súhlasu dotknutej osoby, avšak musí dbať na odbornú, technickú, organizačnú a personálnu spôsobilosť sprostredkovateľa, ako aj na jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov. Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
V zmysle nového zákona môže prevádzkovateľ poveriť sprostredkovateľa spracovaním osobných údajov v jeho mene len na základe písomnej zmluvy, ktorá musí obsahovať zákonom stanovené náležitosti:
– identifikačné údaje zmluvných strán
– deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa
– účel spracúvania osobných údajov
– názov informačného systému,
– zoznam osobných údajov, ktoré sa budú spracúvať
– okruh dotknutých osôb,
– podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi
– dobu, na ktorú sa zmluva uzatvára, a iné.
2. Spracovanie osobných údajov
Sprostredkovateľ môže spracúvať osobné údaje aj prostredníctvom inej osoby – subdodávateľa, ale len v prípade, ak si to sprostredkovateľ písomne dohodne v zmluve s prevádzkovateľom. Sprostredkovateľ je zodpovedný za spracúvanie osobných údajov subdodávateľom.
Nový zákon ukladá sprostredkovateľovi novú povinnosť, a to písomne upozorniť prevádzkovateľa, v prípade ak sa tento dopustí zjavného porušenia zákona. Ak prevádzkovateľ nápravu nevykoná, sprostredkovateľ je povinný o tom informovať Úrad na ochranu osobných údajov Slovenskej republiky (ďalej ako „Úrad“). Ak si uvedenú povinnosť sprostredkovateľ nesplní, zodpovedá za porušenie povinnosti a za škodu tým spôsobenú spoločne a nerozdielne spolu s prevádzkovateľom.
3. Náležitosti písomného záznamu o poučení oprávnenej osoby a opätovné poučenie
Prevádzkovateľovi aj podľa nového zákona ostáva povinnosť poučiť oprávnenú osobu o právach a povinnostiach ustanovených zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Zákon upravuje náležitosti písomného záznamu o poučení oprávnenej osoby, a to najmä:
– identifikačné údaje prevádzkovateľa
– titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby
– titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie, a iné.
Prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.
4. Zmeny v podmienkach poverenia zodpovednej osoby výkonom dohľadu
Zákon mení podmienky na poverenie zodpovednej osoby. Podľa nového zákona je prevádzkovateľ povinný písomne poveriť výkonom dohľadu (dohľad nad plnením základných povinností prevádzkovateľa, nad výberom sprostredkovateľa a ostatné povinnosti v zmysle zákona) zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov len, ak bude spracúvať osobné údaje prostredníctvom 20 a viacerých oprávnených osôb. Prevádzkovatelia, ktorým uvedená povinnosť nevznikne, sú povinní prihlásiť na registráciu informačné systémy, ktoré podľa zákona podliehajú registrácii. Dobrovoľné poverenie zodpovednej osoby namiesto registrácie informačného systému, ktoré umožňoval starý zákon, už nie je možné.
Zodpovednou osobou môže byť fyzická osoba poverená výkonom dohľadu nad ochranou osobných údajov po úspešnom absolvovaní skúšky na výkon funkcie zodpovednej osoby. Uvedené skúšky zabezpečuje Úrad a podrobnosti o skúškach stanovuje Vyhláška č. 165/2013 Z.z. z 13.06.2013. Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa s právom prístupu do informačných systémov prevádzkovateľa.
5. Zmeny týkajúce sa bezpečnostného projektu a bezpečnostnej smernice
Prevádzkovateľ je podľa nového zákona povinný vypracovať bezpečnostný projekt informačného systému, ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov, alebo spracúva osobné údaje v informačnom systéme slúžiacom na zabezpečenie verejného záujmu. Bezpečnostnú smernicu je prevádzkovateľ povinný vypracovať v prípade, ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov, alebo ak informačný systém nie je prepojený s verejne prístupnou počítačovou sieťou.
Osobitnou kategóriou osobný údajov sú najmä tie, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života.
Náležitosti bezpečnostného projektu a bezpečnostnej smernice ustanovuje Vyhláška č. 164/2013 Z.z. z 13.06.2013, ktorá obsahuje aj zoznam základných bezpečnostných opatrení na ochranu informačných systémov, ktoré je potrebné aplikovať za účelom zabezpečenia informačných systémov.
6. Zavedenie poplatku za registráciu informačných systémov
Po novom sa za registráciu informačných systémov bude vyberať správny poplatok, a to vo výške 20,- EUR pri obyčajnej registrácii a vo výške 50,- EUR pri osobitnej registrácii.
7. Sprístupnenie osobných údajov zamestnancov
Do novej právnej úpravy bolo začlenené ustanovenie, v zmysle ktorého prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
8. Zjednodušenie prenosu osobných údajov do tretích krajín
Zákon mení podmienky prenosu osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany. Prenos možno po novom uskutočniť na základe záväzných vnútropodnikových pravidiel alebo štandardných zmluvných doložiek schválených Európskou komisiou, z ktorých vyplýva, že prevádzkovateľ prijme primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných práv. Súhlas Úradu na prenos osobných údajov sa vyžaduje iba v prípade, ak sa použijú zmluvné doložky odlišné od štandardných.
9. Oprávnenie spracúvať biometrické údaje
Prevádzkovateľ je oprávnený spracúvať biometrické údaje len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie, a za podmienok stanovených zákonom.
10. Zákon mení lehotu na likvidáciu osobných údajov
Zákon mení lehotu na zlikvidovanie záznamu z monitorovania priestorov prístupných verejnosti, ak tento nie je využitý na účely trestného konania alebo konania o priestupkoch. Ten kto ho vyhotovil, je povinný ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený. Podľa predchádzajúcej právnej úpravy bola táto lehota len 7 dní.
11. Zavedenie povinnosti oznamovať zmeny tretím stranám
Ak prevádzkovateľ zistí, že poskytol tretej strane nesprávne, neúplné alebo neaktuálne osobné údaje alebo ich poskytol bez právneho základu, je v zmysle nového zákona povinný uvedenú skutočnosť bez zbytočného odkladu písomne oznámiť každému, komu ich poskytol. V oznámení uvedie aké opatrenia na nápravu vykonal a aké opatrenia žiada prijať od tretej strany.
12. Prechodné ustanovenia
V zmysle prechodných ustanovení je prevádzkovateľ povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s novým zákonom do 6 mesiacov odo dňa jeho účinnosti. Prevádzkovateľ je povinný dať zmluvný vzťah so sprostredkovateľom do súladu do 1 roka od účinnosti nového zákona. Do 6 mesiacov od účinnosti zákona je potrebné poučiť oprávnené osoby v súlade s požiadavkami zákona. Do 1 roka od účinnosti zákona je prevádzkovateľ povinný nanovo písomne poveriť zodpovednú osobu a jej poverenie oznámiť Úradu. Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s novým zákonom do 9 mesiacov odo dňa jeho účinnosti. Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona sa účinnosťou tohto zákona považuje za súhlas so spracúvaním osobných údajov udelený podľa tohto zákona.
13. Zmeny sankcií za porušenie zákona
Podľa nového zákona má Úrad povinnosť, nie len možnosť ako v zmysle predchádzajúcej právnej úpravy, uložiť pokutu v prípade zistenia porušenia povinností vyplývajúcich zo zákona. Prevádzkovateľ alebo sprostredkovateľ môžu byť sankcionovaní pokutou vo výške od 300,- EUR do 5.000,- EUR, za najzávažnejšie porušenia od 1.000,- EUR do 300.000,- EUR.