NOVELA JE SCHVÁLENÁ

Prezident vrátil schválený zákon do parlamentu a ten ho opätovne schválil s akceptovaním jeho pripomienky, ktorá sa týkala § 10 ods.3 písmeno g) zákona o ochrane osobných údajov. Novela nadobudne účinnosť v plánovanom termíne.

Hlasovanie jednotlivých poslancov o vrátenom zákone možno nájsť na webe parlamentu, rovnako ako znenie prijatého zákona.

Aké zmeny schválili poslanci? Viac sa dozviete v našom článku Čerstvé zmeny zákona o ochrane osobných údajov.

Čerstvé zmeny zákona o ochrane osobných údajov

Minulý týždeň sa poslancom Národnej rady podarilo expresne schváliť novelu zákona o ochrane osobných údajov, ktorý platí od polovice minulého roka. Najmä zo strany podnikateľov a zamestnávateľov sa smerom k novému zákona šírila vlna kritiky argumentujúc vysokou administratívnou záťažou a neprimeranými nákladmi na splnenie povinností prijatej legislatívy. Pod rúškom prezidentských volieb bola prijatá novela zákona, ktorá vychádzala z pôvodného materiálu pripraveného Úradom na ochranu osobných údajov SR a schváleného Vládou SR.
Pôvodný materiál:

Vlastný materiál
Dôvodová správa – všeobecná časť
Dôvodová správa – osobitná časť
Kompletný materiál (zip)

V parlamente bola táto krátka novela upravená Ústavnoprávnym výborom, ktorý vyhovel tlaku podnikateľov a zamestnávateľov a pridal k pôvodnému materiálu 32 nových bodov.
Zmeny pôvodného návrhu z dieľne Ústavnoprávneho výboru: Uznesenie spolu s pozmeňujúcimi a doplňujúcimi návrhmi
Takto vzniknutá novela nám teda prináša:

  • Zmenou pracovného pomeru na pracovnoprávny vzťah v definícii oprávnenej osoby (§ 4 ods. 2 písm. e), budú priamo zo zákona za oprávnené osoby považovaní aj tzv. dohodári, ktorí zo zákona pri poslednej zmene vypadli. Aj bez tejto úpravy mohli byť oprávnenými osobami cez poverenie zo strany zamestnávateľa, ale takto odpadne jednej zbytočný dokument.
  • Odstránením bonzáckych odsekov z § 8 bude zrušená povinnosť sprostredkovateľa donášať na prevádzkovateľa. Sprostredkovateľ tak nebude povinne nahlasovať Úradu na ochranu osobných údajov SR prešľapy svojho zákazníka (prevádzkovateľa) a nebude solidárne spoluzodpovený za jeho porušenia zákona.
  • Existujúci právny základ spracúvania osobných údajov upravený v § 10 ods. 3 písmeno g) sa doplní o ukážkový výpočet použiteľných alternatív spracúvania osobných údajov. Bez súhlasu dotknutej osoby tak bude možné spracúvať najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov, osobné údaje spracúvané pre potreby monitorovania dotknutých osôb, oznamovania nekalých praktík na pracovisku a hodnotenia pracovného výkonu alebo efektivity dotknutých osôb, ak nie sú vykonávané na základe osobitného zákona (preškrtnutý text bol odstránený pripomienkou prezidenta – približne to isté požadovali aj odborári). Ani do prijatia aktuálnej novely nebolo žiadne uvedených spracúvaní vylúčené, takže ide v zásade o kozmetickú zmenu. Práve táto zmena priniesla nevôľu zástupcov zamestnancov. Konfederácia odborových zväzov tvrdí, že vznikne rozpor so Zákonníkom práce a naruší sa tým sociálny zmier.
  • Do § 12 odsek 3 upravujúceho nakladanie zamestnávateľa s osobnými údajmi zamestnanca bude doplnené poskytovanie osobných údajov. Prax ukázala, že zverejňovanie a sprístupňovanie v mnohých prípadoch nestačili, keďže zamestnávateľ potreboval poskytnúť vybrané údaje zamestnancov svojim obchodným partnerom na ďalšie využívanie (spracúvanie).
  • Informačná povinnosť prevádzkovateľa pred získaním osobných údajov nebude platiť (§ 15 ods. 3) pre prípady spracúvania osobných údajov bez súhlasu dotknutej osoby na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo zákona o ochrane osobných údajov (napr. aj knihy návštev) ani pre prípady spracúvania osobných údajov na základe osobitného zákona (napr. zákon o bankách).
  • Získavať osobné údaje kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií bude povolené aj bez súhlasu dotknutej osoby (§ 15 ods. 6), ak ide o získavanie osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu.
  • Pre prevádzkovateľov, ktorí mali povinnosť vypracovať iba bezpečnostnú smernicu (§ 19 ods. 2) sa táto povinnosť zruší. Keďže sa však táto povinnosť týkala iba systémov bez citlivých údajov prepojených na internet a systémov s citlivými údajmi bez prepojenia na internet (čo sa nijak nezmení), vplyv tejto zmeny bude zanedbateľný. Všetci, ktorí mali doteraz povinnosť vypracovať bezpečnostný projekt (smernica je jeho súčasťou), budú mať túto povinnosť aj naďalej v plnom rozsahu (napr. PaM na počítačoch s pripojením na internet).
  • V súvislosti so zrušením povinnosti vypracovania bezpečnostnej smernice bude zrušená aj povinnosť oboznámiť s jej znením všetky oprávnené osoby v potrebnom rozsahu (§ 19 odsek 5). Je otázne akým spôsobom sa s týmto zrušením oboznamovania vyrovná Úrad na ochranu osobných údajov SR v aplikačnej praxi. Bezpečnostná smernica je totiž aj súčasťou bezpečnostného projektu a oboznámenie oprávnených osôb s jej obsahom je kľúčovým opatrením v oblasti personálnej bezpečnosti.
  • Z právnej úpravy záznamu o poučení oprávnenej osoby vypadne povinná písomná forma a vypustené budú všetky obsahové náležitosti (§ 21 ods. 3). V praxi by to mohlo znamenať aj návrat k stručným záznamom, na ktorých by dotknutá osoba potvrdila jednou vetou, že bola poučená o právach a povinnostiach pri spracúvaní osobných údajov a o rozsahu jej oprávnení, povolených činností a podmienkach spracúvania osobných údajov. Vzory poučení zverejní na svojich internetových stránkach Úrad na ochranu osobných údajov SR čím sa mu opäť ponecháva priestor na tvorbu rozsiahlejších dokumentov. Záznam o poučení však regulovaný nie je.
  • Zodpovedná osoba prestane byť povinnosťou pre prevádzkovateľov s viac ako 20 oprávnenými osobami (§ 21 ods. 2). Každý prevádzkovateľ s oprávnenými osoba si tak bude môcť vybrať či zodpovednú osobu poverí alebo nie. Skúšky zodpovedných osôb však zrušené neboli a tak každá poverená zodpovedná osoba musí byť najskôr preskúšaná na Úrade na ochranu osobných údajov SR. Ten, kto nepoverí zodpovednú osobu je povinný oznámiť Úradu na ochranu osobných údajov SR svoje informačné systémy (náhrada registrácie informačných systémov).
  • Rušiť sa bude aj zákaz štatutárov v pozícii zodpovednej osoby a nemožnosť vykonávať funkciu zodpovednej osoby osobou, ktorá bola viackrát uložená pokuta v súvislosti s neplnením povinností zodpovednej osoby (§ 23 ods. 6 a 7).
  • Prílohou poverenia zodpovednej osoby už nebude musieť byť poučenie zodpovednej osoby ako oprávnenej osoby (§ 23 ods. 11) a zruší sa aj povinnosť zodpovednej osoby donášať na prevádzkovateľa v prípade, že poruší zákon (§ 27 ods. 1).
  • Povinnosť registrácie informačných systémov sa zmení na oznamovaciu povinnosť (§ 33-34). Okrem zmeny názvu sa prakticky nič nezmení. Pribudne len možnosť oznámiť informačný systém prostredníctvom elektronického formulára bez zaručeného elektronického podpisu (čo platí aj pre nahlasovanie zmien) a v prípade informačných systémov prevádzkovaných na základe § 10 ods. 3 písm. g) sa pomerne neštandardne prepojila oznamovacia povinnosť s osobitnou registráciou. Problémy nastanú vtedy, keď prevádzkovateľ oznámi takýto informačný systém a hneď aj začne spracúvať osobné údaje (čo aj legálne môže urobiť). Podľa novely môže Úrad na ochranu osobných údajov SR rozhodnúť o tom, že takýto informačný systém podlieha osobitnej registrácii. Ďalší postup však nie je jasný. Počas posudzovania osobitnej registrácie sa totiž osobné údaje nespracúvajú a prevádzkovateľ čaká na jej povolenie. Novela však neobsahuje výslovnú výnimku z tohto pravidla a tak možno len dúfať, že výklad Úradu na ochranu osobných údajov SR bude aspoň trochu umiernený a keď sa rozhodne preklasifikovať oznamovaciu povinnosť na osobitnú registráciu, tak spracúvanie u prevádzkovateľa nepozastaví. Nepovolenie osobitnej registrácie by však jednoznačne malo za následok zastavenie spracúvania.
  • K oznámeniu informačného systému (doteraz označovanému ako registrácia) už nebude potrebné pripájať v prílohe popis podmienok spracúvania osobných údajov (§ 35 ods. 3).
  • Spoplatnená zostáva iba osobitná registrácia a jej zmeny v pôvodnej výške 50 eur (§ 41).
  • Horné hranice pokút budú znížené cca o tretinu z povinných sa vo väčšine prípadov stanú pre Úrad na ochranu osobných údajov SR voliteľnými. Povinnými zostanú len najvyššie pokuty pre prevádzkovateľa a sprostredkovateľa, ktorých horná hranica je 200 tisíc eur (§ 68). Rovnako voliteľnými sa stanú aj poriadkové pokuty, ktorých výška sa nezmení (§ 69).
  • Ruší sa aj ukladanie pokút oprávneným osobám a zodpovedným osobám. Sankcie bude možné uložiť len prevádzkovateľovi alebo sprostredkovateľovi.
  • Z jedného roka na dva sa predĺži lehota na zosúladenie zmluvného vzťahu medzi prevádzkovateľom a sprostredkovateľom so zákonom č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (§ 76 ods. 2).
  • Existujúce registrácie informačných systémov sa budú považovať za oznámenia informačných systémov (nový § 77a ods. 1).

Schválené znenie novely: http://www.nrsr.sk/web/Default.aspx?sid=zakony/zakon&MasterID=4895

Pokiaľ prijatú novelu podpíše prezident tak v Zbierke zákonov bude vyhlásené úplné znenie zákona o ochrane osobných údajov s účinnosťou od 15. apríla 2014. V čase písania tohto článku sa tak zatiaľ ešte nestalo.

AKTUALIZÁCIA: Prezident vrátil schválený zákon do parlamentu a ten ho opätovne schválil s akceptovaním jeho pripomienky, ktorá sa týkala § 10 ods.3 písmeno g) zákona o ochrane osobných údajov (vyznačená v texte). Novela nadobudne účinnosť v plánovanom termíne.

Hlasovanie poslancov o vrátenom zákone

Ďalšia zmena pravidiel ochrany osobných údajov?

Posledný februárový deň tohto roka priniesol do parlamentu novú tlač 936, ktorej obsahom je návrh poslancov Národnej rady Slovenskej republiky Martina POLIAČIKA, Richarda SULÍKA a Lucie NICHOLSONOVEJ na vydanie zákona, ktorým sa mení a dopĺňa zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Predkladatelia v dôvodovej správe uvádzajú, že „zákon pod zámienkou lepšej transpozície európskej legislatívy priniesol enormný nárast finančného aj časového zaťaženia podnikateľských, ale aj štátnych subjektov v dôsledku nových byrokratických povinností, ktoré ale nepomohli reálnemu zvýšeniu ochrany osobných údajov“. Z tohto dôvodu pripravili návrh novely zákona o ochrane osobných údajov, ktorý plánujú zmeniť nasledovným spôsobom:

1. vyňať biometrické systémy, ktoré jednosmerne premieňajú biometrické údaje na kódy spod režimu ochrany biometrických údajov (takýto postup by legalizoval napríklad biometrické dochádzkové systémy, ktoré podliehajú povoleniu v osobitnej registrácii na Úrade na ochranu osobných údajov SR),
2. zrušiť skúšky zodpovedných osôb, ktoré organizuje Úrad na ochranu osobných údajov SR (povinnosťou absolvovať skúšku bola pôvodne nahradená požiadavka na odbornú spôsobilosť zodpovednej osoby, pričom zrušením povinných skúšok by prestala v zákone existovať akákoľvek požiadavka na jej odborné vyškolenie či znalosti),
3.zrušiť osobitnú registráciu informačných systémov (Úrad na ochranu osobných údajov SR by prišiel o oprávnenie zastaviť prevádzkovateľa ešte pred začatím spracúvania a aktívne rozhodnúť o tom či spracúvanie povolí, ktoré má vo vzťahu k špecifickým informačným systémom),
4. zrušiť evidenciu informačných systémov (interné vedenie evidencie o informačných systémoch by prestalo byť povinným),
5.zrušiť povinnosti Úradu na ochranu osobných údajov SR uložiť pokutu za každé porušenie zákona nahradené oprávnením rozhodnúť o jej neuložení (dozorný orgán by mohol pôsobiť aj výchovne, nielen represívne),
6.predĺžiť ročné lehoty prechodných období na úpravu zmluvných vzťahov so sprostredkovateľom a opätovné poverenie oprávnených osôb až na 2 roky odo dňa účinnosti zákona o ochrane osobných údajov.

STIAHNITE SI: Text návrhu novely zákona o ochrane osobných údajov

STIAHNITE SI: Text dôvodovej správy k návrhu novely zákona o ochrane osobných údajov

Poslanci vytýkajú zákonu o ochrane osobných údajov „3 druhy registrácie informačných systémov, povinnosť personalizovaného obsiahleho poučenia oprávnených osôb, povinnosť spracovania bezpečnostného projektu, zodpovednú osobu a sprísnenie udeľovania pokút“. Poučeniu oprávnených osôb a bezpečnostným projektom sa však vo svojom návrhu vyhli a zodpovednú osobu síce zbavili povinnej skúšky, ale nedoplnili povinnosť disponovať znalosťami o ochrane osobných údajov. Na druhej strane si cestu do ich návrhu našli biometrické systémy, ktoré sa chcú dostať spod prísnych pravidiel platných pre spracúvanie biometrických údajov.

Tlačovka SAS z 21.2.2014 (VIDEO)

Či sa aktivita poslancov strany SAS dostane ďalej v legislatívnom procese už bude závisieť aj od ich ostatných kolegov. Vláda SR sa už pred niekoľkými týždňami cez Radu solidarity a rozvoja nechala počuť, že je pripravená novelizovať zákon, ak sa ukáže, že je nad rámec požiadaviek EU.

Koniec pripomienok k novele ochrany osobných údajov

Úder polnoci a ohňostroje v našom časovom pásme neboli len znamením príchodu nového roka. Symbolicky odpískali koniec ďalšieho štádia legislatívneho procesu, na púť ktorým sa vybrala dlho očakávaná novela zákona o ochrane osobných údajov. Po skončení medzirezortného pripomienkového konania zahlásil Portál právnych predpisov stav: 522/128. Viac ako 40 subjektov príslušných zaslať pripomienku k návrhu tohto zákona doručilo prostredníctvom portálu 522 pripomienok pričom 128 z nich bolo zásadných. Či k nim pribudnú aj nejaké zblúdilé typy, ktoré k predkladateľovi priplávali mimo portál sa dozvieme až po vyhodnotení pripomienkovania.

Vzhľadom na počet a rozsah pripomienok nie je možné zhrnúť ich do par riadkov blogu. Záujemcom o ich znenie odporúčame kliknúť na Portál právnych predpisov a prelúskať si tých 110 strán pripomienok od legislatívno-technických až po aplikačno-praktické. Vyhodnotenie pripomienkovania bude zrejme chvíľu trvať, keďže zásadné pripomienky sa v prípade neakceptovanie riešia v rozporovom konaní. Ale čoskoro sa dozvieme ako to bude s novelou ďalej.

(Ne)konečný príbeh jednej novely

A je to tu. Dlho očakávaná novela zákona o ochrane osobných údajov sa nám ku koncu roka 2010 dostala na svetlo božie a počas Vianočných sviatkov si ju možno v pokoji a tiež šťastne a veselo preštudovať. Sľubuje nám vyšší level harmonizácie s európskou legislatívou a v tejto súvislosti prináša v batohu darčekov nielen posilnenie právomocí dozorného orgánu (Úrad na ochranu osobných údajov SR), doplnenie viacerých administratívnych povinností pre prevádzkovateľov informačných systémov, ale aj dodatočné vysvetlenie niektorých pojmov, ktoré sa zrejme tvorcovi zákona zdali nejasné.

Návrh zákona, ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov je teda pre všetkých záujemcov k dispozícii na internetovej stránke Portálu právnych predpisov:https://lt.justice.gov.sk/Material/MaterialHome.aspx?instEID=173&matEID=3434

Na pripomienkovanie je čas do konca tohto roka. Či bude finálna verzia novely, ktorá pôjde na rokovanie Vlády SR, s touto navrhovanou totožná, to sa dozvieme v januári. O jej ďalšom osude potom rozhodne Národná rada SR.