Nový zákon o ochrane osobných údajov

Už sa zdalo, že ochrana osobných údajov je v našom právnom poriadku pevne zakotvená zákonom č. 428/2002 Z. z. o ochrane osobných údajov, ktorý historicky ako tretí v poradí (po zákone č. 256/1992 Zb. a zákone č. 52/1998 Z. z.) viac ako 10 rokov od 1. septembra 2002 upravoval problematiku ochrany osobných údajov v rámci nášho právneho systému. Zdalo sa, že práve zákon č. 428/2002 Z. z. bude tým, ktorý v Slovenskej republike uzatvorí éru tzv. národných zákonov o ochrane osobných údajov, prostredníctvom ktorých boli členské štáty Európskej únie povinné prebrať do svojho právneho poriadku základné princípy Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov. Takéto vyústenie sa logicky očakávalo najmä preto, že 25. januára 2012 Európska komisia predstavila nový právny rámec ochrany osobných údajov prezentovaný návrhom Nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov), ktorým v celoúniovom kontexte odštartovala reformu ochrany osobných údajov založenú na jednotných princípoch platných pre všetky členské štáty prostredníctvom tzv. európskeho zákona, za ktorý je nariadenie považované. Inak povedané, cieľom nových pravidiel o ochrane osobných údajov daných nariadením je vytvorenie silného, harmonizovaného a konzistentného právneho rámca záväzného, priamo vykonateľného a jednotne uplatňovaného pre oblasť ochrany osobných údajov vo všetkých členských štátoch Európskej únie. Táto vízia sa podľa predstáv Európskej komisie má naplniť v priebehu roka 2014, najneskôr však v roku 2015, čo takmer s istotou znamená, že prevádzkovatelia informačných systémov obsahujúcich osobné údaje budú nútení prispôsobovať svoje informačné systémy v priebehu dvoch rokov dvakrát novým pravidlám. Lehota jedného z prechodných ustanovení nového zákona (§ 76 ods. 7) sa končí 1. apríla 2014, čo vlastne už zasahuje do obdobia avizovaného nadobudnutia účinnosti nového nariadenia. Len pre úplnosť treba poznamenať, že predmetná smernica vydaním nariadenia zaniká a v plnom rozsahu smernicu, ako aj nový zákon o ochrane osobných údajov nahradí nariadenie.

Namieste je teda otázka, prečo teraz, keď už takmer dva roky vieme, čo na prevádzkovateľov chystá v dohľadnom čase Európska komisia, prichádza Slovensko s novým národným zákonom o ochrane osobných údajov? Relatívne uspokojivú odpoveď na položenú otázku pred samotným nazretím do textu nového zákona nájdeme vo všeobecnej časti dôvodovej správy k novému zákonu: „Návrh zákona si vyžiadala potreba dôslednej transpozície Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov v kontexte konkrétnych pripomienok hodnotiacej misie Európskej komisie vyplývajúcich zo „Štruktúrovaného dialógu o ochrane osobných údajov“.... Účelom predkladaných zmien je najmä sprehľadnenie právnej úpravy, zadefinovanie a precizovanie jednotlivých procesov. Predkladaný návrh zákona okrem prepracovania viacerých ustanovení súčasne platného zákona spresňuje niektoré definície pojmov, s ktorými zákon pracuje a s ktorými je potrebné sa oboznámiť ešte pred samotným začatím spracúvania osobných údajov. Návrh zákona odstraňuje nejasnosti niektorých základných ustanovení tohto zákona, ktoré v aplikačnej praxi spôsobovali potrebu ich častého objasňovania.“

Národná rada Slovenskej republiky dňa 19. marca 2013 schválila zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ktorý prezident Slovenskej republiky z dôvodu viacerých legislatívnych nedostatkov vrátil na opätovné prerokovanie do parlamentu. Národná rada v plnom rozsahu akceptovala pripomienky prezidenta a dňa 30. apríla 2013 opätovne schválila nový zákon o ochrane osobných údajov, ktorý bol dňa 28. mája 2013 vydaný v Zbierke zákonov Slovenskej republiky pod č. 122/2013 Z. z. s účinnosťou od 1. júla 2013.

Nový zákon a najdôležitejšie zmeny a doplnenia

Ak nazrieme podrobnejšie do textu zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, v porovnaní s doteraz platným zákonom o ochrane osobných údajov v ňom nájdeme najmä tieto najdôležitejšie zmeny a doplnenia:

• vymedzenia základných pojmov sú inak usporiadané, sú čiastočne modifikované a doplnené o definície členského štátu a priestoru prístupného verejnosti (§ 4); vypustená bola definícia auditu bezpečnosti informačného systému,
• ustanovenia týkajúce sa práv a povinností prevádzkovateľa, zástupcu prevádzkovateľa a sprostredkovateľa sú doplnené a rozdelené do troch samostatných paragrafov (§ 6 až § 8),
• zákon zdôrazňuje, že spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ (§ 6 ods. 1),
• zákon vymenúva obsahové náležitosti zmluvy, ktorú je prevádzkovateľ povinný uzatvoriť v prípade, ak spracúvaním osobných údajov poverí sprostredkovateľa (§ 8 ods. 4),
• ustanovuje sa, že sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom v zmluve nedohodne, že spracúvanie vykoná prostredníctvom inej osoby – subdodávateľa (§ 8 ods. 5),
• subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa a úrad naňho nahliada ako na sprostredkovateľa (§ 8 ods. 5),
• novou povinnosťou sprostredkovateľa je oznámiť dotknutej osobe pri prvom kontakte s ňou, že spracúva jej osobné údaje v mene prevádzkovateľa (§ 8 ods. 7),
• dve nové povinnosti sprostredkovateľovi ukladá nepopulárny „bonzácky“ paragraf, podľa ktorého ak sprostredkovateľ zistí, že prevádzkovateľ porušuje zákon, je povinný ho na to písomne upozorniť a ak prevádzkovateľ nevykoná nápravu, je povinný o tom informovať Úrad na ochranu osobných údajov SR (§ 8 ods. 8); ak si sprostredkovateľ túto povinnosť nesplní, zodpovedá za porušenie povinnosti a za škodu spôsobenú porušením tejto povinnosti (§ 8 ods. 9) a hrozí mu pokuta vo výške až 80 000 eur, pričom aj v tomto prípade je správnemu orgánu (úradu) ustanovená obligatórna povinnosť vždy pristúpiť k uloženiu pokuty [§ 68 ods. 5 písm. b)],
• zavádza sa inštitút právneho základu spracúvania osobných údajov,
• ustanovenie týkajúce sa možnosti spracúvať už zverejnené osobné údaje bez súhlasu dotknutej osoby sa už nevzťahuje na akékoľvek zverejnené osobné údaje, ale len na tie, ktoré boli zverejnené v súlade so zákonom [§ 10 ods. 3 písm. e)],
• zákon oprávňuje zamestnávateľa sprístupniť alebo zverejniť osobné údaje zamestnanca bez jeho súhlasu, ak je to potrebné v súvislosti s plnením jeho povinností (§ 12 ods. 3),
• menia sa podmienky spracúvania a použitia biometrických údajov (§ 13 ods. 5),
• zákon zjednodušuje filozofiu ...