Samospráva a nová legislatíva v oblasti ochrany osobných údajov

V prostredí SR toho času úpravu ochrany osobných údajov upravuje zákon o ochrane osobných údajov a dve vyhlášky úradu; vyhláška Úradu na ochranu osobných údajov SR o rozsahu a dokumentácii bezpečnostných opatrení a vyhláška Úradu na ochranu osobných údajov SR, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby. Vyššie uvedený zákon a vyhlášky sú výsledkom procesu transpozície smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.

Autori: Úrad na ochranu osobných údajov Slovenskej republiky
Právny stav od: 25. 5. 2018
Dátum publikácie: 4. 5. 2018
Prameň: EPI Odborné články / epi - 2018
Oblasti práva: Správne právo / Informácie, informačný systém / Ochrana údajov; Správne právo / Samospráva


V súlade s čl. 22 ods. 1 Ústavy SR „Listové tajomstvo, tajomstvo dopravovaných správ a iných písomností a ochrana osobných údajov sa zaručujú.“. V prostredí Slovenskej republiky toho času úpravu ochrany osobných údajov upravuje zákon č. 122/2013 Z. z. o ochrane osobných údajov (ďalej len „zákon č. 122/2013 Z. z.“) a dve vyhlášky úradu; vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení a vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 165/2013 Z. z. ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby. Vyššie uvedený zákon a vyhlášky sú výsledkom procesu transpozície smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.

Je logické, že smernica z roku 1995 nemôže byť aktuálna vo vzťahu ku všetkým spôsobom, akým sa spracúvanie osobných údajov vykonáva v roku 2018. Bolo len otázkou času, kedy bude prijatá nová legislatíva, ktorá spracúvanie a ochranu osobných údajov posunie do tretieho tisícročia a zároveň spracúvanie osobných údajov zjednotí na pôde Európskej únie. Výsledkom tohto úsilia je NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“), ktoré prináša ucelený rámec úpravy ochrany osobných údajov, ktorý je v jednotlivých členských štátoch dopĺňaný čiastkovými úpravami cez národné zákony o ochrane osobných údajov. V prostredí Slovenského právneho poriadku bude od 25. 5. 2018 takýmto zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 18/2018 Z. z.“).

Tak nariadenie, ako aj zákon č. 18/2018 Z. z. nadobudnú účinnosť 25. 5. 2018 a terajší zákon č. 122/2013 Z. z. a jeho dve vyhlášky sa stanú neúčinnými. V súlade s vyššie uvedeným článkom ústavy Slovenskej republiky má každá fyzická osoba, právo na ochranu osobných údajov zaručené, a to samozrejme platí aj v prípade, ak spracúvanie osobných údajov vykonáva samospráva pri výkone jej činností, či už ide o prenesený výkon štátnej správy, alebo o výkon jej originálnych právomocí.

Čo táto legislatívna zmena prinesie samosprávam? Ako je na ňu potrebné reagovať?

V prvom rade je potrebné sa s oboma textami, tak nariadenia, ako aj zákona č. 18/2018 Z. z. oboznámiť. Nakoľko nariadenie sa nevzťahuje na spracúvanie osobných údajov v rámci činností, ktoré nepatria do pôsobnosti práva Únie bolo potrebné prijať právnu úpravu aj pre činnosti, ktoré do pôsobnosti práva únie nespadajúNapríklad riešenie sťažností podľa zákona č. 9/2010 Z. z. o sťažnostiach alebo úprava hospodárskej mobilizácie. , prípadne upraviť niektoré oblasti spracúvania, na ktoré nás nariadenie, ako členský štát, splnomocnilo, čo bolo splnené prijatím zákona č. 18/2018 Z. z. Nariadenie reflektuje aj technologický pokrok, tak nebolo vhodné, aby bol zákon č. 122/2013 Z. z. iba novelizovaný, vhodnejšie je súčasné riešenie, kedy tak vnútroštátna právna úprava spracúvania osobných údajov, ako aj tá európska, je vo svojej podstate totožná a pre prevádzkovateľa tak nevzniká disharmónia pri plnení povinností.

Čo je potrebné urobiť?

Základnou jednotkou územnej samosprávy je obec. Obec v postavení prevádzkovateľa spracúva osobné údaje najmä na základe osobitných zákonov, dodržiavaním ktorých plní svoje úlohy a súčasťou toho je aj spracúvanie osobných údajov jej zamestnancov a tiež obyvateľov, či iných fyzických osôb.

Právnym základom, na ktorom k spracúvaniu osobných údajov dochádza, sú v prostredí obcí najmä osobitné zákony, kedy na takéto spracúvanie osobných údajov nie je potrebný súhlas dotknutej osoby (zamestnanca, či obyvateľa obce). Osobitný zákon, ako právny základ spracúvania osobných údajov zostáva zachovaný aj s príchodom nariadenia alebo zákona č. 18/2018 Z. z. Taktiež na spracúvaní osobných údajov na zmluvnom základe, teda bez súhlasu dotknutej osoby, ak jednou zo zmluvných strán je dotknutá osoba (napríklad zamestnanec) sa nič nezmenilo.

V kontexte prechodu na novú legislatívu je potrebné, aby jedným z prvých krokov, ktoré by mal prevádzkovateľ – obec/mesto vykonať, je položenie si otázky, aké osobné údaje ako obec/mesto spracúvam, na akom právnom základe (osobitný zákon, zmluva, súhlas dotknutej osoby...) je toto spracúvanie „založené“, a či spracúvané osobné údaje na základe zákona, alebo súhlasu korešpondujú s tými, ktoré na daný účel spracúvam. Tiež je potrebné, ak je spracúvanie založené na súhlase dotknutej osoby skontrolovať, či sú súhlasy platné, či spĺňajú náležitosti podľa zákona č. 122/2013 Z. z. a v prípade že nie, tieto, ak je to potrebné, získať nanovo. Je tiež potrebné konfrontovať súhlasy podľa zákona č. 122/2013 Z. z. a náležitosti súhlasov podľa zákona č. 18/2018 Z. z. a nariadenia, aby tie získané teraz boli v súlade s terajším zákonom a boli uplatniteľné, použiteľné aj pre novú právnu úpravuPozri § 110 ods. 11 zákona č. 18/2018 Z. z. . V prípade, ak obec mieni získavať súhlasy až od 25. 5. 2018 je potrebné ich „nastaviť“ už podľa novej úpravy. Výsledkom tejto činnosti by malo byť sprehľadnenie toku osobných údajov u prevádzkovateľa, obce/mesta, a likvidácia tých osobných údajov, na ktorých spracúvanie nemá obec právny základ. Výsledkom tejto aktivity bude prehľadná štruktúra toho, aké osobné údaje obec/mesto ako prevádzkovateľ spracúva a na akom právnom základe je spracúvanie založené.

Ďalším dôležitým aspektom je dohľad na tým, ako sa osobné údaje v prostredí obce/mesta, ako prevádzkovateľa spracúvajú, teda riadenie a vedomosť o tom, ako osobné údaje obec získava, kto s nimi vnútri obce (v prostredí obecného alebo mestského úradu) prichádza do kontaktu, ako ich spracúva (napríklad či sa dodržiava litera zákona, ak tento stanovuje aj spôsob spracúvania).

Je potrebné vedieť o tom, kto má aké prístupové práva, ako sú osobné údaje oddelené vzhľadom na ich účel a v kontexte pracovného zaradenia alebo pracovného opisu a pokynov zamestnancov. Nie je správne, ak zamestnanci obce alebo mesta majú prístup k osobným údajom, ku ktorým im to na základe pracovnej náplne nevyplýva. Mali by vykonávať iba tie spracovateľské operácie s osobnými údajmi o ktorých boli poučení. V prípade, ak to tak nie je, je potrebné túto štruktúru oprávnení a riadenia prístupu nastaviť správne, čím sa eliminuje možnosť narušenia bezpečnosti a neoprávneného prístupu k osobným údajom. V kontexte zákona č. 122/2013 Z. z. spracúvanie osobných údajov u prevádzkovateľa, obce, či mesta, vykonávali poučené oprávnené osoby. V kontexte nariadenia tomu bude obdobne po obsahovej stránke, po formálnej stránke poučenia nahradia poverenia prevádzkovateľa s pokynmi, popisujúce, ako má osoba majúca prístup a oprávnenie k osobným údajom dané osobné údaje spracúvať.Porovnaj § 21 zákona č. 122/2013 Z. z. a čl. 32 ods. 4 nariadenia

Každý má právo na to, aby vedel, kto a prečo jeho osobné údaje spracúva a má právo na informácie o tom, kto je prevádzkovateľ, prečo má povinnosť alebo môže jeho osobné údaje spracúvať, odkiaľ ich má, ak mu ich neposkytla sama dotknutá osoba. V doterajšej právnej úprave túto informačnú povinnosť upravoval § 15 ods. 1 až 3 zákona č. 122/2013 Z. z. pričom platila základná a známa výnimka, že ak prevádzkovateľ, obec/mesto, ktokoľvek spracúval osobné údaje na základe zákona, túto informačnú povinnosť si voči dotknutej osobe plniť nemusel (§ 15 ods. 3 zákona č. 122/2013 Z. z.). Nariadenie aj zákon č. 18/2018 Z. z. v záujme transparentnosti a informovanosti dotknutej osoby túto výnimku z informačnej povinnosti rušia, teda aj v prípade ak bude akýkoľvek prevádzkovateľ, aj obec/mesto, spracúvať osobné údaje na základe zákona (o zamestnancovi, o platiteľovi miestnej dane...či o inej osobe) bude povinný dotknutú osobu informovať. Je potrebné sa na túto zmenu pripraviť a zaviesť a spracovať „politiky ochrany osobných údajov“ na účel toho, aby si obec/mesto v postavení prevádzkovateľa tieto svoje povinnosti plnila a vedela ich plnenie preukázať.Porovnaj § 15 ods. 1 až 3 zákona č. 122/2013 Z. z. a čl. 13 a 14 nariadenia.

Inou novinkou, ktorá ale v prostredí obcí nebude tak „dramatická“ je povinnosť obce mať určenú zodpovednú osobuPozri usmernenie WP29/ pracovnej skupiny podľa čl. 29 k zodpovednej osobe: https://dataprotection.gov.sk/uoou/sites/default/files/usmernenia_tykajuce_sa_zodpovednych_osob.pdf . , znamená to, že aj obce, ktoré teraz zodpovednú osobu nemajú poverenú, si ju musia určiť a oznámiť jej kontaktné údaje úradu. Je možné, ak to obce uznajú za vhodné riešenie, ktoré bude z hľadiska povinností zodpovednej osoby vykonateľné, aby si niekoľko obcí spoločne určilo jednu zodpovednú osobu. Nezmenenou zostala možnosť, že zodpovednou osobou môže byť tak zamestnanec prevádzkovateľa (zamestnanec obce), ako aj externá osoba.Porovnaj § 23 až § 27 zákona č. 122/2013 Z. z. a čl. 37 až 39 nariadenia. 

Pokiaľ ide o otázku deklarovania bezpečnosti a ochrany osobných údajov v prostredí konkrétneho prevádzkovateľa (obce/mesta), zákon č. 122/2013 Z. z. požadoval deklarovanie bezpečnosti zdokumentovaním formou bezpečnostného projektu iba v prípade, ak prevádzkovateľ splnil zákonom č. 122/2013 Z. z. uvedené kritériá. Nariadenie aj zákon č. 18/2018 Z. z. pristupujú k bezpečnosti z hľadiska jej zaistenia rovnako, len po formálnej stránke sa upúšťa od striktného formalizovaného prístupu, aký vyplýval pre prevádzkovateľa v prípade, ak musel vypracovať bezpečnostný projekt, ktorého náležitosti boli podrobne upravené vo vyhláške. Nariadenie ani zákon č. 18/2018 Z. z. už nie sú tak striktné k dokumentom popisujúcim prijaté bezpečnostné opatrenia po formálnej stránke, a je na prevádzkovateľovi, ako sa vysporiada s formálnym popisom ním prijatých bezpečnostných opatrení, ktoré je ale vždy na požiadanie úradu povinný doložiť, nakoľko mu takúto povinnosť stanovuje nariadenie aj zákon č. 18/2018 Z. z.Porovnaj § 19 zákona č. 122/2013 Z. z. a čl. 32 nariadenia. 

Nariadenie aj zákon č. 18/2018 Z. z. ponímajú spracúvanie osobných údajov viac v rovine popisu všeobecných noriem pre spracúvanie osobných údajov a už neupravujú tak konkrétne, ako je spracúvanie osobných údajov vykonávané, preto napríklad v oboch textoch nie je samostatne precizovaná úprava spracúvania osobných údajov kamerovými systémami, ako tomu bolo v zákone č. 122/2013 Z. z. Bude preto potrebné, aby prevádzkovatelia tieto spracovateľské operácie prehodnotili a právny základ pre monitorovanie nachádzali najčastejšie v oprávnenom záujme alebo vo verejnom záujme, prípadne monitorovanie vykonávali, ak im to ustanovuje osobitný zákon práve na základe tohto osobitného zákona. Vyššie uvedené sú len základné črty toho, ako sa niektoré „zvyklosti“ pokiaľ ide o spracúvanie osobných údajov od 25. 5. 2018 zmenia, je potrebné ich vnímať ako príležitosť na začatie spracúvania osobných údajov „nanovo“ a využiť túto možnosť na „veľké upratovanie“ osobných údajov. Samozrejme, že táto zmena si vyžaduje podrobnú prácu a prípravu, ktorú sa bude úrad do veľkej miery snažiť uľahčiť svojimi usmerneniami a zverejňovaním informácií na svojom webovom sídleWebové sídlo úradu, informácie k nariadeniu: https://dataprotection.gov.sk/uoou/sk/main-content/nariadenie-gdpr. .

Autor: Úrad na ochranu osobných údajov Slovenskej republiky

Súvisiace odborné články

Súvisiace príklady z praxe

Súvisiace právne predpisy ZZ SR


S-EPI, s.r.o. © 2010-2019, všetky práva vyhradené