Čerstvé zmeny zákona o ochrane osobných údajov

Minulý týždeň sa poslancom Národnej rady podarilo expresne schváliť novelu zákona o ochrane osobných údajov, ktorý platí od polovice minulého roka. Najmä zo strany podnikateľov a zamestnávateľov sa smerom k novému zákona šírila vlna kritiky argumentujúc vysokou administratívnou záťažou a neprimeranými nákladmi na splnenie povinností prijatej legislatívy. Pod rúškom prezidentských volieb bola prijatá novela zákona, ktorá vychádzala z pôvodného materiálu pripraveného Úradom na ochranu osobných údajov SR a schváleného Vládou SR.
Pôvodný materiál:

Vlastný materiál
Dôvodová správa – všeobecná časť
Dôvodová správa – osobitná časť
Kompletný materiál (zip)

V parlamente bola táto krátka novela upravená Ústavnoprávnym výborom, ktorý vyhovel tlaku podnikateľov a zamestnávateľov a pridal k pôvodnému materiálu 32 nových bodov.
Zmeny pôvodného návrhu z dieľne Ústavnoprávneho výboru: Uznesenie spolu s pozmeňujúcimi a doplňujúcimi návrhmi
Takto vzniknutá novela nám teda prináša:

  • Zmenou pracovného pomeru na pracovnoprávny vzťah v definícii oprávnenej osoby (§ 4 ods. 2 písm. e), budú priamo zo zákona za oprávnené osoby považovaní aj tzv. dohodári, ktorí zo zákona pri poslednej zmene vypadli. Aj bez tejto úpravy mohli byť oprávnenými osobami cez poverenie zo strany zamestnávateľa, ale takto odpadne jednej zbytočný dokument.
  • Odstránením bonzáckych odsekov z § 8 bude zrušená povinnosť sprostredkovateľa donášať na prevádzkovateľa. Sprostredkovateľ tak nebude povinne nahlasovať Úradu na ochranu osobných údajov SR prešľapy svojho zákazníka (prevádzkovateľa) a nebude solidárne spoluzodpovený za jeho porušenia zákona.
  • Existujúci právny základ spracúvania osobných údajov upravený v § 10 ods. 3 písmeno g) sa doplní o ukážkový výpočet použiteľných alternatív spracúvania osobných údajov. Bez súhlasu dotknutej osoby tak bude možné spracúvať najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov, osobné údaje spracúvané pre potreby monitorovania dotknutých osôb, oznamovania nekalých praktík na pracovisku a hodnotenia pracovného výkonu alebo efektivity dotknutých osôb, ak nie sú vykonávané na základe osobitného zákona (preškrtnutý text bol odstránený pripomienkou prezidenta – približne to isté požadovali aj odborári). Ani do prijatia aktuálnej novely nebolo žiadne uvedených spracúvaní vylúčené, takže ide v zásade o kozmetickú zmenu. Práve táto zmena priniesla nevôľu zástupcov zamestnancov. Konfederácia odborových zväzov tvrdí, že vznikne rozpor so Zákonníkom práce a naruší sa tým sociálny zmier.
  • Do § 12 odsek 3 upravujúceho nakladanie zamestnávateľa s osobnými údajmi zamestnanca bude doplnené poskytovanie osobných údajov. Prax ukázala, že zverejňovanie a sprístupňovanie v mnohých prípadoch nestačili, keďže zamestnávateľ potreboval poskytnúť vybrané údaje zamestnancov svojim obchodným partnerom na ďalšie využívanie (spracúvanie).
  • Informačná povinnosť prevádzkovateľa pred získaním osobných údajov nebude platiť (§ 15 ods. 3) pre prípady spracúvania osobných údajov bez súhlasu dotknutej osoby na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo zákona o ochrane osobných údajov (napr. aj knihy návštev) ani pre prípady spracúvania osobných údajov na základe osobitného zákona (napr. zákon o bankách).
  • Získavať osobné údaje kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií bude povolené aj bez súhlasu dotknutej osoby (§ 15 ods. 6), ak ide o získavanie osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu.
  • Pre prevádzkovateľov, ktorí mali povinnosť vypracovať iba bezpečnostnú smernicu (§ 19 ods. 2) sa táto povinnosť zruší. Keďže sa však táto povinnosť týkala iba systémov bez citlivých údajov prepojených na internet a systémov s citlivými údajmi bez prepojenia na internet (čo sa nijak nezmení), vplyv tejto zmeny bude zanedbateľný. Všetci, ktorí mali doteraz povinnosť vypracovať bezpečnostný projekt (smernica je jeho súčasťou), budú mať túto povinnosť aj naďalej v plnom rozsahu (napr. PaM na počítačoch s pripojením na internet).
  • V súvislosti so zrušením povinnosti vypracovania bezpečnostnej smernice bude zrušená aj povinnosť oboznámiť s jej znením všetky oprávnené osoby v potrebnom rozsahu (§ 19 odsek 5). Je otázne akým spôsobom sa s týmto zrušením oboznamovania vyrovná Úrad na ochranu osobných údajov SR v aplikačnej praxi. Bezpečnostná smernica je totiž aj súčasťou bezpečnostného projektu a oboznámenie oprávnených osôb s jej obsahom je kľúčovým opatrením v oblasti personálnej bezpečnosti.
  • Z právnej úpravy záznamu o poučení oprávnenej osoby vypadne povinná písomná forma a vypustené budú všetky obsahové náležitosti (§ 21 ods. 3). V praxi by to mohlo znamenať aj návrat k stručným záznamom, na ktorých by dotknutá osoba potvrdila jednou vetou, že bola poučená o právach a povinnostiach pri spracúvaní osobných údajov a o rozsahu jej oprávnení, povolených činností a podmienkach spracúvania osobných údajov. Vzory poučení zverejní na svojich internetových stránkach Úrad na ochranu osobných údajov SR čím sa mu opäť ponecháva priestor na tvorbu rozsiahlejších dokumentov. Záznam o poučení však regulovaný nie je.
  • Zodpovedná osoba prestane byť povinnosťou pre prevádzkovateľov s viac ako 20 oprávnenými osobami (§ 21 ods. 2). Každý prevádzkovateľ s oprávnenými osoba si tak bude môcť vybrať či zodpovednú osobu poverí alebo nie. Skúšky zodpovedných osôb však zrušené neboli a tak každá poverená zodpovedná osoba musí byť najskôr preskúšaná na Úrade na ochranu osobných údajov SR. Ten, kto nepoverí zodpovednú osobu je povinný oznámiť Úradu na ochranu osobných údajov SR svoje informačné systémy (náhrada registrácie informačných systémov).
  • Rušiť sa bude aj zákaz štatutárov v pozícii zodpovednej osoby a nemožnosť vykonávať funkciu zodpovednej osoby osobou, ktorá bola viackrát uložená pokuta v súvislosti s neplnením povinností zodpovednej osoby (§ 23 ods. 6 a 7).
  • Prílohou poverenia zodpovednej osoby už nebude musieť byť poučenie zodpovednej osoby ako oprávnenej osoby (§ 23 ods. 11) a zruší sa aj povinnosť zodpovednej osoby donášať na prevádzkovateľa v prípade, že poruší zákon (§ 27 ods. 1).
  • Povinnosť registrácie informačných systémov sa zmení na oznamovaciu povinnosť (§ 33-34). Okrem zmeny názvu sa prakticky nič nezmení. Pribudne len možnosť oznámiť informačný systém prostredníctvom elektronického formulára bez zaručeného elektronického podpisu (čo platí aj pre nahlasovanie zmien) a v prípade informačných systémov prevádzkovaných na základe § 10 ods. 3 písm. g) sa pomerne neštandardne prepojila oznamovacia povinnosť s osobitnou registráciou. Problémy nastanú vtedy, keď prevádzkovateľ oznámi takýto informačný systém a hneď aj začne spracúvať osobné údaje (čo aj legálne môže urobiť). Podľa novely môže Úrad na ochranu osobných údajov SR rozhodnúť o tom, že takýto informačný systém podlieha osobitnej registrácii. Ďalší postup však nie je jasný. Počas posudzovania osobitnej registrácie sa totiž osobné údaje nespracúvajú a prevádzkovateľ čaká na jej povolenie. Novela však neobsahuje výslovnú výnimku z tohto pravidla a tak možno len dúfať, že výklad Úradu na ochranu osobných údajov SR bude aspoň trochu umiernený a keď sa rozhodne preklasifikovať oznamovaciu povinnosť na osobitnú registráciu, tak spracúvanie u prevádzkovateľa nepozastaví. Nepovolenie osobitnej registrácie by však jednoznačne malo za následok zastavenie spracúvania.
  • K oznámeniu informačného systému (doteraz označovanému ako registrácia) už nebude potrebné pripájať v prílohe popis podmienok spracúvania osobných údajov (§ 35 ods. 3).
  • Spoplatnená zostáva iba osobitná registrácia a jej zmeny v pôvodnej výške 50 eur (§ 41).
  • Horné hranice pokút budú znížené cca o tretinu z povinných sa vo väčšine prípadov stanú pre Úrad na ochranu osobných údajov SR voliteľnými. Povinnými zostanú len najvyššie pokuty pre prevádzkovateľa a sprostredkovateľa, ktorých horná hranica je 200 tisíc eur (§ 68). Rovnako voliteľnými sa stanú aj poriadkové pokuty, ktorých výška sa nezmení (§ 69).
  • Ruší sa aj ukladanie pokút oprávneným osobám a zodpovedným osobám. Sankcie bude možné uložiť len prevádzkovateľovi alebo sprostredkovateľovi.
  • Z jedného roka na dva sa predĺži lehota na zosúladenie zmluvného vzťahu medzi prevádzkovateľom a sprostredkovateľom so zákonom č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (§ 76 ods. 2).
  • Existujúce registrácie informačných systémov sa budú považovať za oznámenia informačných systémov (nový § 77a ods. 1).

Schválené znenie novely: http://www.nrsr.sk/web/Default.aspx?sid=zakony/zakon&MasterID=4895

Pokiaľ prijatú novelu podpíše prezident tak v Zbierke zákonov bude vyhlásené úplné znenie zákona o ochrane osobných údajov s účinnosťou od 15. apríla 2014. V čase písania tohto článku sa tak zatiaľ ešte nestalo.

AKTUALIZÁCIA: Prezident vrátil schválený zákon do parlamentu a ten ho opätovne schválil s akceptovaním jeho pripomienky, ktorá sa týkala § 10 ods.3 písmeno g) zákona o ochrane osobných údajov (vyznačená v texte). Novela nadobudne účinnosť v plánovanom termíne.

Hlasovanie poslancov o vrátenom zákone

Pridaj komentár