DÔVODOVÁ SPRÁVA
A. Všeobecná časť
Vláda Slovenskej republiky predkladá na rokovanie Národnej rady Slovenskej republiky vládny návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Predkladaný materiál bol vypracovaný na základe Plánu legislatívnych úloh vlády Slovenskej republiky na II. polrok 2012.
Návrh zákona si vyžiadala potreba dôslednej transpozície Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES“) v kontexte konkrétnych pripomienok hodnotiacej misie Európskej komisie vyplývajúcich zo „Štruktúrovaného dialógu o ochrane osobných údajov“, záverov a odporúčaní hodnotenia správneho uplatňovania schengenského acquis v Slovenskej republike pre oblasť ochrany osobných údajov, ktoré sa uskutočnilo vo februári 2012 (tzv. schengenské hodnotenie), úloh obsiahnutých v Schengenskom akčnom pláne Slovenskej republiky a výsledkov analýzy súčasne platného zákona z pohľadu aplikačnej praxe.
Cieľom predkladaného materiálu je zaviesť prehľadnú úpravu práv a povinností osôb začlenených do procesu spracúvania osobných údajov, upevniť nezávislé postavenie Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) pri výkone dozoru nad ochranou osobných údajov a poskytnúť odchýlky potrebné v konaní podľa tohto zákona z dôvodu špecifického charakteru hmotnoprávnej úpravy v oblasti ochrany osobných údajov ako neoddeliteľnej súčasti základných práv a slobôd v právnom poriadku Slovenskej republiky. Návrh zákona prispeje k dosiahnutiu väčšej právnej istoty pre všetky zainteresované subjekty.
Navrhovaná právna úprava nemení pôvodný zámer zákona č. 428/2002 Z. z., ktorý spočíva v poskytovaní ochrany práv fyzických osôb pri spracúvaní ich osobných údajov garantovaných Ústavou Slovenskej republiky a stanovení práv, povinností a zodpovednosti prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov a tiež v zadefinovaní časti osobitného procesu rozhodovania vo veciach kontroly spracúvania osobných údajov. Účelom predkladaných zmien je najmä sprehľadnenie právnej úpravy, zadefinovanie a precizovanie jednotlivých procesov.
Predkladaný návrh zákona okrem prepracovania viacerých ustanovení súčasne platného zákona, spresňuje niektoré definície pojmov, s ktorými zákon pracuje a s ktorými je potrebné sa oboznámiť ešte pred samotným začatím spracúvania osobných údajov. Návrh zákona odstraňuje nejasnosti niektorých základných ustanovení tohto zákona, ktoré v aplikačnej praxi spôsobovali potrebu ich častého objasňovania. Na viacerých miestach zákona sa preto napríklad vypúšťa
slovné spojenie „orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj ostatné právnické osoby a fyzické osoby“ a nahrádza sa slovom „každý“, ktoré ho plnohodnotne nahrádza, čím sa zjednodušuje právna úprava. Zároveň sa zavádza nový pojem priestor prístupný verejnosti“, ktorý doposiaľ v tejto právnej úprave absentoval.
Návrh zákona ďalej zavádza prehľadnejšiu úpravu prevádzkovateľa a sprostredkovateľa a ich vzájomného vzťahu, ktorá reflektuje aktuálny spoločenský vývoj a požiadavky Európskej komisie, ktoré ukázali naliehavú potrebu konsolidovať úpravu ustanovení týkajúcich sa prevádzkovateľa a sprostredkovateľa dôsledným prebratím článku 17 odsek 2 4 smernice 95/46/ES. Najmä je potrebné jednoznačne ustanoviť, že spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ. Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, v rozsahu, za podmienok a na účel dohodnutý v zmluve s prevádzkovateľom a spôsobom podľa tohto zákona. Návrh zákona zároveň upravuje osobitné ustanovenie pre zástupcu prevádzkovateľa. Inštitút zástupcu prevádzkovateľa je potrebné aplikovať v prípade, že spracúvanie osobných údajov pripravuje prevádzkovateľ, ktorý nemá sídlo alebo trvalý pobyt na území členského štátu, ak na účely spracúvania osobných údajov využíva úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie využívané výlučne len na prenos osobných údajov cez územie členských štátov.
Jedným z najdôležitejších inštitútov pri spracúvaní osobných údajov je právny základ spracúvania osobných údajov. Návrh zákon v tejto súvislosti za účelom jednoznačnejšieho výkladu zákona zavádza nový spoločný názov právny základ spracúvania osobných údajov“, ktorý predstavuje jednu zo základných zásad spracúvania osobných údajov. Právnym základom je vo všeobecnej rovine potrebné rozumieť oprávnenie prevádzkovateľa k spracúvaniu osobných údajov jednotlivých fyzických osôb (dotknutých osôb). Inými slovami, jedná sa o dôvod, ktorý umožňuje prevádzkovateľovi vykonávať akékoľvek operácie s osobnými údajmi dotknutých osôb v súlade s platnou legislatívou. Návrh zákona rozširuje spracúvanie osobných údajov bez súhlasu dotknutej osoby, a to v prípade, ak takéto spracúvanie je upravené v priamo vykonateľnom právne záväznom akte Európskej únie a medzinárodnej zmluve, ktorou je Slovenská republika viazaná.
Návrh zákona zohľadňuje aj technologický vývoj, ktorý výrazným spôsobom ovplyvnil spracúvanie osobných údajov, a to najmä pokiaľ ide o spracúvanie biometrických údajov. Návrh zákona nanovo upravuje podmienky spracúvania biometrických údajov, pričom tieto vychádzajú zo stanoviska č. 3 Pracovnej skupiny pre ochranu osobných údajov zriadenej podľa článku 29 smernice 95/46/ES, ktoré táto pracovná skupina prijala v roku 2012 k spracúvaniu biometrických údajov s ohľadom na vývoj biometrických technológií. Pracovná skupina je nezávislým európskym poradným orgánom pre ochranu osobných údajov a súkromia, ktorej úlohy definované v článku 30 smernice 95/46/ES a článku 15 smernice 2002/58/ES týkajúcej sa spracúvania osobných údajov a ochrany súkromia v sektore elektronických komunikácií
(smernica o súkromí a elektronických komunikáciách). Hlavnou úlohou pracovnej skupiny a ňou vydaných stanovísk je zjednocovať postupy národných dozorných autorít pri uplatňovaní princípov ochrany osobných údajov zakotvených v smernici 95/46/ES. Slovenská republika je povinná rešpektovať vydané stanoviská a úrad je povinný ich aplikovať aj vzhľadom na ustanovenie § 33 odsek 5 súčasne platného zákona č. 428/2002 Z. z., ktoré je rovnakým spôsobom upravené aj v predkladanom návrhu zákona.
Dopĺňa sa aj inštitút oprávnenej osoby o určenie, kedy sa fyzická osoba stáva oprávnenou osobou a o pravidlá, ktoré určujú povinnosti a postupy, ktoré musia prevádzkovateľ a sprostredkovateľ dodržať pri ich výbere a poučení.
Inštitút zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov v súlade s článkom 18 odsek 2 smernice 95/46/ES si z hľadiska aplikačnej praxe vyžaduje zvýšenie odbornosti v oblasti ochrany osobných údajov, pokiaľ sa zaručiť jeho význam a plnohodnotné uplatňovanie. Návrh zákona zavádza novú úpravu podmienok na poverenie zodpovednej osoby, v rámci ktorých vyžaduje aj vykonanie skúšky zodpovednej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov. Táto požiadavka sa s ohľadom na doterajšiu prax javí ako nevyhnutná. Výkon skúšok zabezpečí úrad. Možno sa domnievať, že aj takýmto postupom úrad prispeje k zvýšeniu povedomia v oblasti ochrany osobných údajov, čím sa zabezpečí obozretnejší a dôslednejší prístup pri plnení povinností podľa tohto zákona a v konečnom dôsledku aj Ústavou Slovenskej republiky garantované právo na ochranu súkromia a osobných údajov. Tiež sa precizuje postavenie oprávnenej osoby a jej oprávnenia ako aj podmienky a spôsob zrušenia jej poverenia a zániku poverenia zodpovednej osoby.
Návrh zákona poskytuje novú právnu úpravu podmienok prenosu osobných údajov do tretích krajín s primeranou/bez primeranej úrovne ochrany osobných údajov. Stanovuje sa, že primeranosť úrovne ochrany osobných údajov v tretej krajine hodnotí Európska komisia, ktorá o tom vydá rozhodnutie. Hodnotenie Európskej komisie sa opiera o predchádzajúce stanovisko dozorných orgánov ochrany osobných údajov jednotlivých členských štátov združených v Pracovnej skupine zriadenej podľa článku 29 smernice 95/46/ES, a tiež o stanovisko Výboru 31 (článok 31 smernice 95/46/ES). Návrh zákona zohľadňuje aj tzv. štandardné zmluvné doložky a záväzné vnútropodnikové pravidlá, ktoré vytvárajú v rámci obchodnej spoločnosti spoločnú primeranú úroveň ochrany osobných údajov pre spoločnosti, ktoré v rámci danej korporácie sídlia mimo územia Európskej únie, pričom pre spoločnosti so sídlom v Európskej únii zostáva v platnosti Európska legislatíva. Taktiež sa navrhuje zmena podmienok súhlasu úradu s cezhraničným prenosom, ktorými sa zabezpečí nižšia administratívna záťaž.
Registrácia, osobitná registrácia a evidencia informačných systémov upravená v samostatnej hlave druhej časti návrhu zákona prešla menšími zmenami čo sa týka postupu a podmienok registrácie (či obyčajnej alebo osobitnej), a to najmä pokiaľ ide o prihlasovanie
informačného systému na registráciu na úrade a následné konanie o registrácii a osobitnej registrácii informačného systému.
Návrh zákona ďalej zavádza zmeny aj čo sa týka úradu a jeho činnosti. Návrh jednoznačne ustanovuje nezávislé postavenie úradu ako dozorného orgánu pri plnení jemu zverených úloh v oblasti ochrany osobných údajov. Táto požiadavka, ktorá vyplýva z medzinárodných dokumentov, bola premietnutá aj do Schengenského akčného plánu Slovenskej republiky za účelom prijatia primeranej právnej úpravy a jej zosúladenia s medzinárodnými dokumentmi a legislatívou Európskej únie. Jednou z nosných činností úradu v rámci dozoru nad ochranou osobných údajov je kontrola spracúvania osobných údajov. Táto si preto vyžaduje svoje pravidlá v postupe pri výkone kontroly, práva a povinnosti či kontrolného orgánu alebo kontrolovanej osoby. V tomto smere nie je výnimkou ani stanovenie určitých potrebných špecifikácií v konaní podľa tohto návrhu zákona na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá vo svojich právach ustanovených týmto zákonom alebo z vlastnej iniciatívy úradu. Pokiaľ nie je v návrhu zákone ustanovené inak, subsidiárne sa aplikujú pravidlá vyplývajúce zo zákona č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov.
Navrhované zákonné opatrenia predstavujú základné a nevyhnutné kroky pre konsolidáciu slovenského právneho poriadku v oblasti ochrany osobných údajov. Navrhovanú úpravu je potrebné predložiť do legislatívneho procesu ako celok, keďže ide o komplex ustanovení, ktoré na seba navzájom nadväzujú a dopĺňajú sa.
Predložený návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi a ostatnými všeobecne záväznými právnymi predpismi Slovenskej republiky, s medzinárodnými zmluvami, ktorými je Slovenská republika viazaná ako aj s právom Európskej únie.
Návrh zákona bol predmetom riadneho pripomienkového konania a bol schválený vládou Slovenskej republiky dňa 9. januára 2013.
DOLOŽKA ZLUČITEĽNOSTI
právneho predpisu s právom Európskej únie
1.Predkladateľ právneho predpisu:
vláda Slovenskej republiky
2.Názov návrhu právneho predpisu:
Návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
3.Problematika návrhu právneho predpisu:
a)je upravená v práve Európskej únie
primárnom
čl. 6 a čl. 39 Zmluvy o Európskej únii
čl. 16 Zmluvy o fungovaní Európskej únie
čl. 8 Charty základných práv Európskej únie
sekundárnom (prijatom po nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskej únii a Zmluva o založení Európskeho spoločenstva– po 30. novembri 2009)
1.legislatívne akty
2.nelegislatívne akty
Rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39, 12. 2. 2010)
Rozhodnutie Komisie z 5. marca 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovanej faerským zákonom o spracovaní osobných údajov (2010/146/EÚ) (Ú. v. EÚ L 58, 9.3.2010)
Rozhodnutie Komisie z 19. októbra 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Andorre (2010/625/EÚ) (Ú. v. EÚ L 277, 21.10.2010)
Rozhodnutie Komisie z 31. januára 2011 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov Izraelským štátom, pokiaľ ide o automatizované spracovanie osobných údajov (2011/61/EÚ) (Ú. v. L 27, 1.2.2011)
sekundárnom (prijatom pred nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskej únii a Zmluva o založení Európskeho spoločenstva – do 30. novembra 2009)
Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv.15) v platnom znení
Rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)
Rozhodnutie Komisie z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/ zv. 1)
Rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 26) v platnom znení
Rozhodnutie Komisie z 20. decembra 2001 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov poskytovaných kanadským Zákonom o ochrane osobných informácií a elektronických dokumentoch (2002/2/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 27)
Rozhodnutie Komisie z 30. júna 2003 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov v Argentíne (2003/490/3S) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 31)
Rozhodnutie Komisie z 21. novembra 2003 o primeranej ochrane osobných údajov na Guernsey (2003/821/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)
Rozhodnutie Komisie z 28. apríla 2004 o primeranej ochrane osobných údajov
na ostrove Man (2004/411/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 34)
Rozhodnutie Komisie z 8. mája 2008 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Jersey (2008/393/ES) (Ú. v. L 138, 28.5.2008)
b)je obsiahnutá v judikatúre Súdneho dvora Európskej únie
Rozhodnutie Súdneho dvora vo veci C-101/01 proti Bodil Lindqvist (2003)
Rozhodnutie Súdneho dvora vo veci C-524/06 Heinz Huber proti Spolkovej republike Nemecko (2008)
Rozhodnutie Súdneho dvora vo veci C 553/07 College van burgemeester en wethouders van Rotterdam proti E. E. Rijkeboer (2009)
Rozhodnutie súdneho dvora v spojenej veci C-92/09 a C-93/09 Volker und Markus Schecke GbR (C 92/09) a Hartmut Eifert (C 93/09) proti Spolkovej krajine Hesensko (2010)
Rozhodnutie Súdneho dvora vo veci C-518/07 Komisia Európskych spoločenstiev proti Spolkovej republike Nemecko (2010)
4.Záväzky Slovenskej republiky vo vzťahu k Európskej únii:
a)lehota na prebratie smernice alebo lehota na implementáciu nariadenia alebo rozhodnutia
Transpozičná lehota Smernice 95/46/ES bola 1. mája 2004. Smernica 95/46/ES bola transponovaná do zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
b)informácia o konaní začatom proti Slovenskej republike o porušení Zmluvy o fungovaní Európskej únie podľa čl. 258 až 260 tejto zmluvy
Proti Slovenskej republike nebolo začaté konanie o porušení Zmluvy o fungovaní Európskej únie podľa čl. 258 až 260 Zmluvy o fungovaní Európskej únie.
c)informácia o právnych predpisoch, v ktorých preberané smernice prebraté spolu s uvedením rozsahu tohto prebratia
Podľa súčasne platného právneho poriadku Slovenskej republiky, Smernica 95/46/ES je prebratá do súčasne platného zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov – úplná zhoda.
5.Stupeň zlučiteľnosti návrhu právneho predpisu s právom Európskej únie:
Stupeň zlučiteľnosti - úplný
6.Gestor a spolupracujúce rezorty:
Úrad na ochranu osobných údajov Slovenskej republiky
Doložka vybraných vplyvov
A.1. Názov materiálu:
Návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Termín začatia a ukončenia PPK: 11.9.2012 – 1.10.2012
A.2. Vplyvy:
Pozitívne*
Žiadne*
Negatívne*
1. Vplyvy na rozpočet verejnej správy
x
x
2. Vplyvy na podnikateľské prostredie – dochádza k zvýšeniu regulačného zaťaženia?
x
x
3. Sociálne vplyvy
– vplyvy na hospodárenie obyvateľstva
– sociálnu exklúziu
– rovnosť príležitostí a rodovú rovnosť
a vplyvy na zamestnanosť
x
4. Vplyvy na životné prostredie
x
5. Vplyvy na informatizáciu spoločnosti
x
* Predkladateľ označí znakom x zodpovedajúci vplyv (pozitívny, negatívny, žiadny), ktorý návrh prináša v každej oblasti posudzovania vplyvov. Návrh môže mať v jednej oblasti zároveň pozitívny aj negatívny vplyv, v tom prípade predkladateľ označí obe možnosti. Bližšie vysvetlenie označených vplyvov bude obsahovať analýza vplyvov. Isté vysvetlenie, či bilanciu vplyvov (sumárne zhodnotenie, ktorý vplyv v danej oblasti prevažuje) môže predkladateľ uviesť v poznámke.
A.3. Poznámky
Podrobnosti o vplyvoch uvedené v prílohách. Doložka vybraných vplyvov bola upravená podľa uplatnených pripomienok.
A.4. Alternatívne riešenia
Alternatívne riešenia sa nenavrhujú.
A.5. Stanovisko gestorov
1.Ministerstvo financií Slovenskej republiky, sekcia rozpočtovej politika, uplatnilo zásadnú pripomienku, v ktorej žiada, aby dôsledky na rozpočet verejnej správy vyplývajúce z navrhovaného materiálu boli zabezpečené v rámci navrhovaných
limitov výdavkov Úradu na ochranu osobných údajov Slovenskej republiky na roky 2013 2015 bez dodatočných požiadaviek na štátny rozpočet. Rovnaká pripomienka bola uplatnená aj v rámci medzirezortného pripomienkového konania.
2.Ministerstvo financií Slovenskej republiky nemá pripomienky k doložke vybraných vplyvov z hľadiska na informatizáciu spoločnosti.
3.Ministerstvo práce, sociálnych vecí a rodiny Slovenskej republiky uplatní pripomienky k doložke vybraných vplyvov, časti sociálne vplyvy, v rámci medzirezortného pripomienkového konania.
4.Ministerstvo hospodárstva Slovenskej republiky súhlasí s doložkou vplyvov na podnikateľské prostredie.
5.Ministerstvo životného prostredia Slovenskej republiky súhlasí s doložkou vybraných vplyvov bez pripomienok.
Vplyvy na rozpočet verejnej správy,
na zamestnanosť vo verejnej správe a financovanie návrhu
2.1. Zhrnutie vplyvov na rozpočet verejnej správy v návrhu
Tabuľka č. 1
Vplyv na rozpočet verejnej správy (v eurách)
Vplyvy na rozpočet verejnej správy
r 2013
2014
2015
2016
Príjmy verejnej správy celkom
14 000
4 750
4 750
4 750
Úrad na ochranu osobných údajov Slovenskej republiky
0
0
0
0
z toho:
- vplyv na ŠR
14 000
4 750
4 750
4 750
- vplyv na územnú samosprávu
0
0
0
0
Výdavky verejnej správy celkom
54 648
52 407
52 634
52 861
Úrad na ochranu osobných údajov Slovenskej republiky / program 0A0 Ochrana osobných údajov
54 648
52 407
52 634
52 861
z toho:
- vplyv na ŠR
54 648
52 407
52 634
52 861
- vplyv na územnú samosprávu
0
0
0
0
Celková zamestnanosť
2
2
2
2
- z toho vplyv na ŠR
2
2
2
2
Financovanie zabezpečené v rozpočte
0
0
0
0
v tom: za každý subjekt verejnej správy / program zvlášť
0
0
0
0
2.2. Financovanie návrhu
Tabuľka č. 2
Vplyv na rozpočet verejnej správy (v eurách)
Financovanie
r 2013
2014
2015
2016
Celkový vplyv na rozpočet verejnej správy ( - príjmy, + výdavky)
40 648
47 657
47 884
48 111
z toho vplyv na ŠR
40 648
47 657
47 884
48 111
financovanie zabezpečené v rozpočte
0
0
0
0
ostatné zdroje financovania
0
0
0
0
Rozpočtovo nekrytý vplyv / úspora
40 648
47 657
47 884
48 111
Návrh na riešenie úbytku príjmov alebo zvýšených výdavkov podľa § 33 ods. 1 zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy:
Finančné prostriedky súvisiace so zmenami premietnutými do návrhu zákona zároveň premietnuté do rozpočtu Úradu na ochranu osobných údajov Slovenskej republiky na roky 2013 – 2015. Výdavky predstavujú dopad na výdavkovú časť štátneho rozpočtu.
2.3. Popis a charakteristika návrhu
2.3.1. Popis návrhu:
Návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“) implementuje Smernicu Európskeho parlamentu a Rady č. 95/46/ES o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES“) v kontexte konkrétnych pripomienok hodnotiacej misie Európskej komisie do právneho poriadku Slovenskej republiky. Návrh zákona upravuje ochranu práv fyzických osôb pri spracúvaní osobných údajov, zásady ich spracúvania, bezpečnosť osobných údajov, cezhraničný tok osobných údajov a registráciu informačných systémov. V súlade so smernicou 95/46/ES upravuje aj kompetencie a podmienky, za akých úrad vykonáva dozornú činnosť s pôsobnosťou na celom území Slovenskej republiky. Návrhom zákona sa posilňuje postavenie úradu ako národnej dozornej autority nad ochranou osobných údajov v intenciách
Schengenského akčného plánu Slovenskej republiky, ktoré úrad plniť v oblasti ochrany základných práv a slobôd, ktorých neoddeliteľnou súčasťou je aj právo na ochranu súkromia a ochranu osobných údajov.
2.3.2. Charakteristika návrhu podľa bodu 2.3.2. Metodiky :
zmena sadzby
zmena v nároku
nová služba alebo nariadenie (alebo ich zrušenie)
x kombinovaný návrh
iné
2.3.3. Predpoklady vývoja objemu aktivít:
Tabuľka č. 3
Odhadované objemy
Objem aktivít
r 2013
2014
2015
2016
Indikátor – počet žiadostí o registráciu vrátane zmien
450
150
150
150
Indikátor - počet žiadostí o osobitnú registráciu vrátane zmien
100
35
35
35
Indikátor – počet poskytnutých konzultácií
850
850
850
850
2.3.4. Výpočty vplyvov na verejné financie
Pozitívny vplyv na príjmovú časť verejných financií bude mať novo zavedený poplatok za žiadosť o registráciu informačného systému vo výške 20,- eur a žiadosť o osobitnú registráciu informačného systému vo výške 50,- eur a žiadosť o ich zmenu v rovnakej výške. Povinnosť registrácie nebude mať negatívny vplyv na výdavkovú časť verejných financií, a to v dôsledku výnimky z tejto povinnosti v prípade subjektov verejnej správy, ktoré pri spracúvaní osobných údajov postupujú podľa osobitných zákonov.
Ostatné vplyvy na výdavkovú časť verejných financií predstavujú nároky na personálne kapacity a s tým súvisiace osobné výdavky a ostatné bežné výdavky, ktoré vyplývajú z navrhovaných úloh úradu.
Úrad predpokladá v súvislosti s poskytovaním konzultácií pre prevádzkovateľov informačných systémov nárast počtu zamestnancov o dve osoby s predpokladanými osobnými výdavkami na zamestnanca vo výške 1 350,- eur, ktorý zahŕňa priemerný plat na zamestnanca vo výške 1 000,- eur, náklady na povinné zdravotné a sociálne poistenie platené zamestnávateľom vo výške 350,- eur.
Zavedenie novej povinnosti vykonať skúšku zodpovednej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov nebude mať vplyv na rozpočty subjektov verejnej správy. Skúšku bude úrad vykonávať bezplatne a prihlášku na jej vykonanie bude možné zaslať aj elektronicky podpísanú zaručeným elektronickým podpisom.
Návrh zákona ďalej z hľadiska právnej istoty a predchádzania jeho porušovania precizuje ostatné povinnosti pri spracúvaní osobných údajov, pri ktorých sa nepredpokladajú vplyvy na rozpočty subjektov verejnej správy z dôvodu existenie týchto povinností v súčasne platnom zákone č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
5
Tabuľka č. 4
Vplyv na rozpočet verejnej správy
Príjmy (v eurách)
r 2013
2014
2015
2016
poznámka
Daňové príjmy (100)1
Nedaňové príjmy (221004)1
14 000
4 750
4 750
4 750
Granty a transfery (300)1
Príjmy z transakcií s finančnými aktívami a finančnými pasívami (400)
Prijaté úvery, pôžičky a návratné finančné výpomoci (500)
Dopad na príjmy verejnej správy celkom
14 000
4 750
4 750
4 750
1 – príjmy rozpísať až do položiek platnej ekonomickej klasifikácie
Tabuľka č. 5
Vplyv na rozpočet verejnej správy
Výdavky (v eurách)
r 2013
2014
2015
2016
poznámka
Bežné výdavky (600)
54 648
52 407
52 634
52 861
Mzdy, platy, služobné príjmy a ostatné osobné vyrovnania (610)
40 760
40 952
41 120
41 288
Poistné a príspevok do poisťovní (620)
8 388
8 455
8 514
8 573
Tovary a služby (630)2
5 500
3 000
3 000
3 000
Bežné transfery (640)2
Splácanie úrokov a ostatné platby súvisiace s úvermi, pôžičkami a NFV (650)2
Kapitálové výdavky (700)
Obstarávanie kapitálových aktív (710)2
Kapitálové transfery (720)2
Výdavky z transakcií s finančnými aktívami a finančnými pasívami (800)
Dopad na výdavky verejnej správy celkom
z toho výdavky na ŠR
54 648
52 407
52 634
52 861
Bežné výdavky (600)
54 648
52 407
52 634
52 861
Mzdy, platy, služobné príjmy a ostatné osobné vyrovnania (610)
40 760
40 952
41 120
41 288
Kapitálové výdavky (700)
Výdavky z transakcií s finančnými aktívami a finančnými pasívami (800)
2 – výdavky rozpísať až do položiek platnej ekonomickej klasifikácie
Tabuľka č. 6
* počet zamestnancov, mzdy a poistné rozpísať podľa spôsobu odmeňovania (napr. policajti, colníci ...)
Vplyv na rozpočet verejnej správy
Zamestnanosť
r 2013
2014
2015
2016
poznámka
Počet zamestnancov celkom*
2
2
2
2
z toho vplyv na ŠR
2
2
2
2
Priemerný mzdový výdavok (v eurách)*
1 000
1 008
1 015
1 022
z toho vplyv na ŠR
Osobné výdavky celkom (v eurách)
Mzdy, platy, služobné príjmy a ostatné osobné vyrovnania (610)*
40 760
40 952
41 120
41 288
z toho vplyv na ŠR
40 760
40 952
41 120
41 288
Poistné a príspevok do poisťovní (620)*
8 388
8 455
8 514
8 573
z toho vplyv na ŠR
8 388
8 455
8 514
8 573
Poznámky:
Priemerný mzdový výdavok je tvorený podielom mzdových výdavkov na jedného zamestnanca na jeden kalendárny mesiac bežného roka
Poistné tvorí podiel mzdových výdavkov, pričom za organizácie v pôsobnosti kapitol štátneho rozpočtu, s výnimkou prenesených kompetencií výkonu štátnej správy, pre zamestnancov štátnej služby a zamestnancov pri výkone práce vo verejnom záujme predstavuje 34,95 %, pre policajtov, profesionálnych vojakov, colníkov, hasičov vrátane horskej záchrannej služby predstavuje 33,2 %. Pre ostatné subjekty verejnej správy vrátane prenesených kompetencií výkonu štátnej správy poistné tvorí podiel zodpovedajúci 35,2 %.
Kategórie 610 a 620 sú z tejto prílohy automaticky prenášané do príslušných kategórií prílohy „výdavky“
5
Vplyvy na podnikateľské prostredie
Vplyvy na podnikateľské prostredie
3.1. Ktoré podnikateľské subjekty budú predkladaným návrhom ovplyvnené a aký je ich počet?
Návrh zákona spresňuje viaceré základné povinnosti pri spracúvaní osobných údajov. Vplyvy návrhu zákona na súkromný ako aj verejný sektor závisia od viacerých faktorov ako napr. predmet činnosti prevádzkovateľa, počet jeho oprávnených osôb, právny základ spracúvania osobných údajov, rozsah spracúvania osobných údajov, jednotlivé operácie s osobnými údajmi, charakter informačného systému, podmienky spracúvania osobných údajov a pod. Návrhom zákona sa zníži počet prevádzkovateľov, ktorí budú povinní poveriť a na Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad”) nahlásiť zodpovednú osobu. Ostatní prevádzkovatelia budú povinní požiadať o registráciu svojich informačných systémov, ak sa na ne nebude vzťahovať výnimka z tejto povinnosti.
Zavedenie novej povinnosti vykonať skúšku zodpovednej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov nebude mať vplyv na výdavky podnikateľských subjektov, ktoré budú mať povinnosť poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov. Skúšku bude úrad vykonávať bezplatne a prihlášku na vykonanie skúšky bude možné zaslať aj elektronicky podpísanú zaručeným elektronickým podpisom.
3.2. Aký je predpokladaný charakter a rozsah nákladov a prínosov?
Prevádzkovatelia, ktorí spracúvajú osobné údaje, povinní dodržiavať povinnosti ustanovené zákonom, aby nedochádzalo k porušovaniu
základných práv a slobôd fyzických osôb. Jednou z povinností je povinnosť registrácie informačných systémov, pokiaľ sa naň nevzťahuje výnimka z tejto povinnosti. Prevádzkovateľom, ktorí budú, v závislosti od uvedených faktorov, spĺňať zákonom stanovené podmienky, sa zvýšia administratívne náklady vo forme poplatku za podanie žiadosti o registráciu, osobitnú registráciu a ich zmeny.
Prevádzkovatelia, ktorí budú spracúvať osobné údaje prostredníctvom 20 a viac oprávnených osôb budú povinní výkonom dohľadu nad ochranou osobných údajov písomne poveriť zodpovednú osobu a túto oznámiť úradu. Zodpovedná osoba bude musieť spĺňať aj odborné predpoklady na riadny výkon takéhoto dohľadu. Znalosti zodpovednej osoby v oblasti ochrany osobných údajov budú podliehať vykonaniu skúšky, ktorú úrad vykoná bezplatne.
Návrhom zákona sa dosiahne právna istota, ako pre dotknuté osoby, kde hlavným účelom zákona je poskytnúť právo na ochranu ich súkromia a ochrany ich osobných údajov, tak aj pre prevádzkovateľov, kde zákon určuje presné a prehľadné povinnosti, čo zabezpečí zefektívnenie pracovných činností a plnenie si povinností podľa tohto zákona a v konečnom dôsledku aj vyhnutie sa sankcii za porušenie zákona.
Návrhom zákona sa zníži aj administratívna záťaž, pokiaľ ide o podávanie žiadostí o súhlas úrad s cezhraničným tokom osobných údajov do tretích krajín.
3.3. Aká je predpokladaná výška administratívnych nákladov, ktoré
Administratívne náklady predstavujú správne poplatky za podanie žiadosti o registráciu
podniky vynaložia v súvislosti s implementáciou návrhu?
informačného systému vo výške 20,- eur a žiadosti o osobitnú registráciu informačného systému vo výške 50,- eur, ako aj za podanie žiadostí o zmenu registrácie informačného systému vo výške 20,- eur a za podanie žiadostí o zmenu osobitnej registrácie informačného systému vo výške 50,- eur.
3.4. Aké dôsledky pripravovaného návrhu pre fungovanie podnikateľských subjektov na slovenskom trhu (ako sa zmenia operácie na trhu?)
Vyššia právna istota prevádzkovateľov pri plnení povinností v oblasti ochrany osobných údajov spresnením podmienok pri ich spracúvaní, zefektívnenie pracovných činností u prevádzkovateľov. Zabezpečenie voľnejšieho pohybu osobných údajov pri zachovaní rovnakej úrovne ochrany osobných údajov.
3.5. Aké predpokladané spoločensko ekonomické dôsledky pripravovaných regulácií?
Žiadne.
Vplyvy na informatizáciu spoločnosti
Budovanie základných pilierov informatizácie
Obsah
6.1. Rozširujú alebo inovujú sa existujúce alebo vytvárajú sa či zavádzajú sa nové elektronické služby?
(Popíšte ich funkciu a úroveň poskytovania.)
Áno, zavádza sa možnosť zasielania žiadostí podávaných podľa návrhu tohto zákona v elektronickej podobe podpísaných zaručeným elektronickým podpisom.
6.2. Vytvárajú sa podmienky pre sémantickú interoperabilitu?
(Popíšte spôsob jej zabezpečenia.)
nie
Ľudia
6.3. Zabezpečuje sa vzdelávanie v oblasti počítačovej gramotnosti a rozširovanie vedomostí o IKT?
(Uveďte spôsob, napr. projekty, školenia.)
nie
6.4. Zabezpečuje sa rozvoj elektronického vzdelávania?
(Uveďte typ a spôsob zabezpečenia vzdelávacích aktivít.)
nie
6.5. Zabezpečuje sa podporná a propagačná aktivita zameraná na zvyšovanie povedomia o informatizácii a IKT?
(Uveďte typ a spôsob zabezpečenia propagačných aktivít.)
nie
6.6. Zabezpečuje/zohľadňuje/zlepšuje sa prístup znevýhodnených osôb k službám informačnej spoločnosti?
nie
(Uveďte spôsob sprístupnenia digitálneho prostredia.)
Infraštruktúra
6.7. Rozširuje, inovuje, vytvára alebo zavádza sa nový informačný systém?
(Uveďte jeho funkciu.)
nie
6.8. Rozširuje sa prístupnosť k internetu?
(Uveďte spôsob rozširovania prístupnosti.)
nie
6.9. Rozširuje sa prístupnosť k elektronickým službám?
(Uveďte spôsob rozširovania prístupnosti.)
nie
6.10. Zabezpečuje sa technická interoperabilita?
(Uveďte spôsob jej zabezpečenia.)
nie
6.11. Zvyšuje sa bezpečnosť IT?
(Uveďte spôsob zvýšenia bezpečnosti a ochrany IT.)
nie
6.12. Rozširuje sa technická infraštruktúra?
(Uveďte stručný popis zavádzanej infraštruktúry.)
nie
Riadenie procesu informatizácie
6.13. Predpokladajú sa zmeny v riadení procesu informatizácie?
(Uveďte popis zmien.)
nie
Financovanie procesu informatizácie
6.14. Vyžaduje si proces informatizácie
nie
finančné investície?
(Popíšte príslušnú úroveň financovania.)
Legislatívne prostredie procesu informatizácie
6.15. Predpokladá nelegislatívny materiál potrebu úpravy legislatívneho prostredia procesu informatizácie?
(Stručne popíšte navrhované legislatívne zmeny.)
nie
B. Osobitná časť
Čl. I
K § 1
Návrh zákona upravuje ochranu osobných údajov fyzických osôb v súlade s článkom 19 odsek 3 a článkom 22 odsek 1 Ústavy Slovenskej republiky. Predmetom zákona je chrániť práva fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov. Návrh zákona ďalej upravuje práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov ako aj postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).
K § 2 a 3
Navrhovaná úprava vyjadruje pozitívnu a negatívnu pôsobnosť navrhovaného zákona.
§ 2
Ustanovenie § 2 ustanovuje pozitívne vymedzenie pôsobnosti zákona. Zákon sa vzťahuje na každého, kto spracúva osobné údaje alebo určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie. Praktické uplatňovanie doterajšej právnej úpravy v oblasti ochrany osobných údajov bolo spojené s problémami práve vo vymedzení, na koho a v ktorých prípadoch sa zákon vzťahuje, keď viaceré právnické osoby a fyzické osoby sa necítili byť účinkami zákona o ochrane osobných údajov dotknuté. Preto sa touto úpravou odstraňuje nepružnosť základných ustanovení zákona, ktoré svojim zdĺhavým vymedzením zapríčiňovali v aplikačnej praxi neprehľadnosť a potrebu ich neustáleho vysvetľovania. Preto sa pristúpilo k vypusteniu slovného spojenia „orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj ostatné právnické osoby a fyzické osoby“ a nahradilo sa slovom „každý“, ktoré ho plnohodnotne nahrádza, čím sa zjednodušuje a sprehľadňuje právna úprava.
Smernica Európskeho parlamentu a Rady 95/46/ES o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES“) a národný zákon o ochrane osobných údajov sa vzťahujú aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území Slovenskej republiky, ale umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne z titulu medzinárodného práva verejného. Ide o presné prevzatie článku 4 odsek 1 písmeno b) smernice 95/46/ES. Smernica 95/46/ES a zákon sa vzťahujú aj na subjekty, ktoré zriadené mimo územia členských štátov, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné prostriedky spracúvania umiestnené na území Slovenskej republiky,
pričom tieto prostriedky spracúvania nie využívané výlučne len na tranzit osobných údajov cez územie členských štátov.
Ustanovenie odseku 3 preberá obsah článku 3 odsek 1 v nadväznosti na článok 2 písmeno c) smernice 95/46/ES.
§ 3
Navrhované ustanovenie odseku 1 preberá čl. 13 smernice 95/46/ES. Podľa znenia tohto článku, členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv upravených v presne vymedzených článkoch tejto smernice, pričom rovnako definuje oblasti, v ktorých takéto obmedzenie možno vykonať. Na základe tejto transpozície je obmedzená účinnosť konkrétnych ustanovení zákona týkajúceho sa takého spracúvania osobných údajov, ktoré je nevyhnutné na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie napr. bezpečnosti, obrany Slovenskej republiky, bezpečnosti a verejného poriadku atď.
Odsek 2 upravuje, na aké osobné údaje sa zákon nevzťahuje; jedná sa pritom o osobné údaje v rámci výlučne osobných alebo domácich činností, pri ktorých fyzická osoba vedie a spracúva osobné údaje výhradne pre svoje osobné potreby alebo potreby vedenia domácnosti, napríklad adresár svojich príbuzných a známych alebo adresár osôb poskytujúcich služby pre zabezpečenie chodu domácnosti, alebo ak boli osobné údaje náhodne získané bez splnenia požiadaviek kladených zákonom (určenie účelu a podmienok na systematické spracúvanie). V tomto prípade je však potrebné zdôrazniť, že aj v prípade, pokiaľ niekto náhodne získa alebo nájde osobné údaje, nie je oprávnený len tak s nimi svojvoľne nakladať a neoprávnene zasahovať do práva na ochranu súkromia iných, nakoľko sa na neho vzťahujú ustanovenia iných právnych predpisov.
Podľa odseku 3, navrhovaným zákonom nie je dotknuté právo na ochranu osobnosti podľa Občianskeho zákonníka.
K § 4
Predmetné ustanovenie v nasledujúcich odsekoch vymedzuje základné pojmy, s ktorými zákon pracuje a definuje ich význam na účely tohto zákona. Pojmy vymedzené na účely tohto zákona v súlade s potrebami ochrany osobných údajov tak, ako ju zabezpečiť zákon a v súlade aj s vymedzením týchto pojmov v právnych predpisoch iných európskych krajín a dokumentoch Rady Európy.
Odsek 1
Zákon neupravuje konkrétny zoznam údajov, ktoré považované za osobné údaje. Poskytuje tzv. demonštratívny výpočet charakteristík určujúcich fyzickú osobu. Uvedená
definícia osobných údajov nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba určiteľná. Z vecnej stránky sa pojem osobných údajov vzťahuje na také údaje, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, t.j. určenej alebo určiteľnej, či priamo alebo nepriamo. Z pohľadu ochrany osobných údajov sa „určiteľnosťou“ rozumie taký stav, keď na základe jedného alebo viacerých údajov možno osobu identifikovať. Identifikácia sa teda realizuje prostredníctvom konkrétnych charakteristických znakov, t.j. „identifikátorov“, ktoré možno priradiť ku konkrétnej fyzickej osobe. Miera, do akej určité identifikátory dostačujúce pre dosiahnutie identifikácie konkrétnej fyzickej osoby závisí od komplexného posúdenia dostupných údajov v ich vzájomnej súvislosti a zároveň aj situácie ako celku. Preto v závislosti od viacerých faktorov, ktorými najmä kvalita, kvantita a druh údajov sa v určitom momente, ktorý nemožno presne stanoviť, konvertuje určiteľnosť do určenia osoby. Fyzickú osobu považujeme za určenú, keď na základe dostupných údajov je jednoznačne identifikovaná a odlíšená od ostaných osôb v danom informačnom systéme.
Osobnými údajmi napríklad titul, meno, priezvisko, adresa a ďalšie kontaktné údaje, dátum narodenia, rodné číslo a iný obdobný všeobecne použiteľný identifikátor, ako aj údaje o správaní alebo konaní, biometrické údaje, informácie o osobných vlastnostiach, pomeroch alebo o iných špecifických znakoch, ktoré charakterizujú alebo odhaľujú fyzickú, fyziologickú, psychickú, ekonomickú, kultúrnu alebo sociálnu identitu konkrétnej fyzickej osoby.
Odsek 2
Navrhovaný odsek poskytuje vymedzenie osôb na účely tohto zákona, ktorými sú:
písmeno a)
Navrhovaná úprava spresňuje pojem „dotknutá osoba“. Dotknutou osobou je osoba nielen vtedy, keď sa o nej osobné údaje spracúvajú, ale vždy, keď sa jej týkajú bez ohľadu na to, či sa o nej osobné údaje spracúvajú v informačnom systéme. Definícia pojmu dotknutá osoba korešponduje s článkom 8 Charty základných práv EÚ, podľa ktorého Každý právo na ochranu osobných údajov, ktoré sa ho týkajú.“ a článkom 16 Zmluvy o fungovaní EÚ, podľa ktorého Každý právo na ochranu osobných údajov, ktoré sa ho týkajú.“. Princípy zakotvené v právne záväzných aktoch neobmedzujú právo dotknutej osoby len na ochranu osobných údajov, ak sú o nej spracúvané.
písmeno b)
Návrh zákona oproti doteraz platnému zákonu upravuje aj definíciu pojmu prevádzkovateľ. Vypúšťa sa slovné spojenie „orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj ostatné právnické osoby a fyzické osoby“ a nahrádza sa slovom „každý“, ktoré ho plnohodnotne nahrádza, čím sa zjednodušuje
a sprehľadňuje právna úprava.
Prevádzkovateľom je každý, kto sám alebo spoločne s inými pred začatím spracúvania osobných údajov vymedzí účel a prostriedky spracúvania. Účel spracúvania, prípadne aj podmienky spracúvania môže ustanoviť osobitný zákon, potom prevádzkovateľom je ten, koho na plnenie účelu spracúvania ustanovuje zákon alebo kto splní zákonom ustanovené podmienky. Návrh nového zákona, pokiaľ ide o zákonné vymedzenie účelu a podmienok spracúvania, rozširuje túto definíciu aj o priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodnú zmluvu, ktorou je Slovenská republika viazaná.
písmeno c)
Zástupcom prevádzkovateľa je každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine.
písmeno d)
V predkladanom návrhu sa prehľadnejšie upravuje inštitút sprostredkovateľa. Návrh zákona ustanovuje, že sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, v rozsahu písomnej zmluvy uzatvorenej s prevádzkovateľom a v súlade so zákonom. Doteraz platná právna úprava nie celkom zreteľne totiž rozlišovala rozdielne postavenie prevádzkovateľa a sprostredkovateľa. Rozdielne postavenie bolo síce formálne garantované ustanovením § 5 odsek 2 doteraz platného zákona, ktoré dávalo sprostredkovateľovi priestor spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v zmluve alebo v poverení, ale § 5 odsek 1 súčasne platného zákona zároveň tento prístup do istej miery popieral, čo v aplikačnej praxi spôsobovalo kolízie.
písmeno e)
Navrhovaná úprava spresňuje aj vymedzenie pojmu „oprávnená osoba“. Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo iného obdobného vzťahu, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21.
písmeno f)
Treťou stranou je každý kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou. Navrhovaná právna úprava na rozdiel od súčasne platnej právnej úpravy precizuje tento pojem. Pracovná skupina pre ochranu osobných údajov zriadená podľa článku 29 smernice 95/46/ES v roku 2010 prijala stanovisko, v ktorom k pojmu „tretia strana“, okrem iného, uviedla: K tretím stranám nepatria dotknuté osoby, prevádzkovateľ ani žiadna osoba oprávnená spracúvať údaje pod priamym dohľadom prevádzkovateľa alebo v jeho mene ako v prípade sprostredkovateľa. To znamená, že osoby pracujúce pre inú organizáciu, aj keď patrí do rovnakej skupiny alebo
holdingovej spoločnosti, vo všeobecnosti tretie osoby, zatiaľ čo na druhej strane pobočky banky, ktoré spracúvajú účty zákazníkov pod priamym dohľadom svojho ústredia, nie tretie strany. V smernici sa pojem „tretia strana“ používa spôsobom, ktorý sa neodlišuje od spôsobu bežného použitia tohto pojmu v občianskom práve, v ktorom je treťou stranou obyčajne subjekt, ktorý nie je súčasťou iného subjektu alebo dohody. V kontexte ochrany osobných údajov by sa tento pojem mal vykladať ako pojem označujúci akýkoľvek subjekt, ktorý nemá osobitné oprávnenie na spracúvanie osobných údajov, ktoré by mohlo vyplývať napríklad z jeho úlohy prevádzkovateľa, sprostredkovateľa alebo zamestnanca. Na základe týchto súvislostí môžeme vysloviť záver, že tretia strana prijímajúca osobné údaje (pozn. jej poskytnuté) či zákonne alebo nezákonne je v zásade novým prevádzkovateľom za predpokladu, že ostatné podmienky kvalifikácie tejto osoby ako prevádzkovateľa a uplatňovanie právnych predpisov o ochrane údajov sú dodržané.“.
písmeno g)
Pojem „príjemca“ je na základe požiadavky Európskej komisie spresnený. Precizovanie článku 2 písmeno g) smernice 95/46/ES súvisí najmä s nutnosťou vztiahnuť pojem „príjemca“ na kohokoľvek, bez ohľadu na to, či je treťou stranou alebo nie. Preto podľa navrhovanej úpravy, príjemcom na účely tohto zákona bude každý, komu osobné údaje poskytnuté alebo sprístupnené, či sa jedná o tretiu stranu alebo nie, pričom úrad a orgány výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci pri plnení zákonom vymedzených úloh sa nepovažujú za príjemcu.
Odsek 3
Navrhovaný odsek poskytuje vymedzenie ďalších pojmov na účely tohto zákona, ktorými sú:
písmeno a)
Pod spracúvaním osobných údajov je potrebné rozumieť vykonávanie akýchkoľvek operácií s osobnými údajmi, pričom definícia tohto pojmu ich vymenúva príkladmo. Niektorými operáciami s osobnými údajmi sa na účely tohto zákona rozumie
poskytovaním osobných údajov sa rozumie odovzdávanie osobných údajov na ďalšie spracúvanie inému prevádzkovateľovi, jeho zástupcovi, sprostredkovateľovi alebo ich oprávneným osobám,
sprístupňovaním osobných údajov je oznámenie osobných údajov alebo umožnenie prístupu k nim osobe, ktorá ich nebude ďalej spracúvať,
zverejňovanie v oblasti osobných údajov je najcitlivejšou operáciou, ktorá v prípade neoprávneného použitia môže mať pre dotknutú osobu nepríjemné následky.
tendencie zamieňať resp. stotožňovať pojmy sprístupnenie a zverejnenie. Navrhované vymedzenie pojmu zverejňovanie tento nedostatok eliminuje a úpravu inštitútu zverejnenia sprehľadňuje,
cezhraničným prenosom sa na účely tohto zákona rozumie akýkoľvek prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky; nejedná sa pritom o zabezpečenie technického riešenia prenosu osobných údajov prostredníctvom elektronických komunikácií,
likvidácia osobných údajov je samostatnou kategóriou spracúvania osobných údajov. Samotný proces likvidácie môže mať charakter úkonu, ktorý prevádzkovateľ vykoná v rámci informačného systému, napríklad ak ide o likvidáciu osobných údajov spracúvaných automatizovane, prostredníctvom výpočtovej techniky alebo ide o úkon vykonávaný mimo informačného systému, najmä ak ide o fyzické zničenie hmotných nosičov, na ktorých sa nachádzajú osobné údaje, napríklad likvidáciou dokumentov v skartovacom stroji alebo v spaľovni. Likvidácia je jeden zo spôsobov, ktorým sa končí proces spracovania osobných údajov,
blokovaním osobných údajov je potrebné na účely tohto zákona rozumieť uvedenie osobných údajov do takého stavu, v akom neprístupné a je zabránené akejkoľvek manipulácii s nimi.
písmeno b)
Podľa článku 2 písmeno c) smernice 95/46/EC sa informačným systémom rozumie ľubovoľná sústava s osobnými údajmi spracúvaná podľa osobitných organizačných podmienok a prístupná na základe osobitných kritérií. Informačným systémom osobných údajov sa na účely tohto zákona rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje, ktoré systematicky spracúvané na potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.
písmeno c)
Osobitné postavenie v rámci zákona má inštitút účel spracúvania osobných údajov. Jeho obsah je potrebné vzťahovať k informačnému systému a samotnú kvalitu ponímať v dvoch rovinách. Účel spracúvania môže byť ustanovený priamo zákonom, alebo ak tomu tak nie je, potom za jeho vymedzenie zodpovedá prevádzkovateľ. Vymedzenie alebo ustanovenie účelu spracúvania deklaruje zámer spracúvania osobných údajov a odhaľuje činnosť, ku ktorej sa ich spracúvanie viaže.
písmeno d)
Jedným zo základných princípov navrhovanej úpravy je súhlas dotknutej osoby. Súhlas je platný, len ak je výslovný a slobodne daný. Súhlas podľa tohto zákona musí byť hodnoverne preukázateľný, pokiaľ sa výslovne nevyžaduje písomný súhlas, pričom je neprípustné si súhlas od dotknutej osoby vynucovať.
písmeno e)
Podmienky spracúvania osobných údajov zákon definuje ako prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania, či už pred začatím spracúvania osobných údajov alebo v priebehu ich spracúvania.
písmeno f)
Biometrické údaje majú svoje osobitné postavenie a je potrebné im venovať náležitú pozornosť. Tieto údaje možno definovať ako biologickú alebo fyziologickú vlastnosť alebo charakteristiku, v prípade ktorých tieto vlastnosti a/alebo činnosti špecifické pre uvedeného jednotlivca a zároveň merateľné, aj keď spôsoby používané v praxi na ich technické meranie zahŕňajú určitý stupeň pravdepodobnosti. Biometrické údaje v predmetnej definícii vymenované príkladmo. Typickým príkladom takýchto biometrických údajov odtlačky prstov, sietnica, tvar tváre, hlas, ale aj geometria ruky, štruktúry žíl alebo dokonca určitá hlboko zakorenená schopnosť alebo iná vlastnosť týkajúca sa správania (napríklad, vlastnoručný podpis, údery na klávesnici, osobitný spôsob chôdze alebo reči atď.).
písmeno g)
Všeobecne použiteľným identifikátorom je v súčasnej dobe v Slovenskej republike rodné číslo. Toto definičné slovné spojenie umožňuje do budúcna reagovať na prípadný prechod od rodného čísla k inému identifikátoru bez potreby legislatívnej úpravy tohto ustanovenia.
písmeno h)
Adresa dotknutej osoby nemusí vždy obsahovať všetky v tejto definícii vymedzené osobné údaje. Definícia len vymedzuje okruh údajov, ktoré je potrebné súhrnne považovať za adresu.
písmeno i)
Anonymizovaným údajom je taký osobný údaj, ktorý pred jeho anonymizáciou vyjadroval niektorú z charakteristík konkrétnej dotknutej osoby. Súbor osobných údajov sa stáva anonymizovaným súborom údajov, keď z neho odstránené také osobné údaje, bez ktorých nie je dotknutá osoba určiteľná ani nepriamo.
písmeno j)
Zákon zavádza nový pojem, a to priestor prístupný verejnosti. V praxi často dochádza ku kolíziám, keď je potrebné kvalifikovane odlíšiť, ktorý priestor je potrebné považovať za verejne prístupný, a na ktorý sa budú najmä vo vzťahu ku kamerovému systému vzťahovať ustanovenia tohto zákona.
písmeno k)
Členským štátom sa na účely tohto zákona rozumie štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore (ďalej len „EHP“).
písmeno l)
Treťou krajinou sa rozumie krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o EHP. Definíciou tretej krajiny sa zjednocuje terminológia pre subjekty so sídlom alebo adresou v štátoch, ktoré súčasťou Európskej únie a v štátoch ktoré nie súčasťou Európskej únie, ale spolu s Európskou úniou vytvárajú EHP (Island, Nórsko, Lichtenštajnsko). Pre EHP platí voľný pohyb osobných údajov, adekvátny voľnému pohybu osobných údajov v Európskej únii. Krajiny EHP, ktoré nie v Európskej únii, sa považujú za krajiny s rovnakou úrovňou ochrany osobných údajov, ako majú členské štáty Európskej únie (viď rozhodnutie Spoločného Výboru EHP 83/1999).
písmeno m)
Verejný záujem je taktiež pomerne citlivý pojem a na účely tohto zákona, vychádzajúc z obsahu smernice 95/46/ES, je ním potrebné rozumieť dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.
K § 5
Navrhované znenie § 5 upravuje základné právo fyzických osôb, a to právo na ochranu súkromia a ochranu osobných údajov patriacich medzi základné práva a slobody garantované Ústavou Slovenskej republiky. Za účelom zachovania a rešpektovania tohto práva sa ukladá povinnosť, ktorá ustanovuje, že osobné údaje možno spracúvať len spôsobom ustanoveným týmto zákonom a v jeho medziach takým spôsobom, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb a k neoprávneným zásahom do ich práva na ochranu súkromia a osobných údajov.
Toto ustanovenie ďalej špecifikuje osoby oprávnené spracúvať osobné údaje. Týmito osobami výlučne prevádzkovateľ a sprostredkovateľ. Bližšie podmienky spracúvania osobných údajov prevádzkovateľom a sprostredkovateľom určujú nasledovné ustanovenia,
pričom ich navrhované znenie korešponduje so stanoviskom pracovnej skupiny pre ochranu osobných údajov zriadenej podľa článku 29 smernice 95/46/ES k pojmom prevádzkovateľ a sprostredkovateľ z roku 2010.
Odsek 3 spresňuje prebratie obsahu článok 8 odsek 5 smernice 95/46/ES a presne v súlade s jeho dikciou ustanovuje, že vedenie registra trestov môže vykonávať len štátny orgán.
K § 6
Kľúčovou postavou v procese spracúvania osobných údajov je prevádzkovateľ. Zákon vymedzuje jeho práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov. Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ a to za splnenia zákonom stanovených podmienok. Prevádzkovateľ môže spracúvať osobné údaje len za existencie určitého právneho základu, ktorým podľa tohto zákona môže byť len priamo vykonateľný právne záväzný právny akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, tento zákon, osobitný zákon alebo súhlas dotknutej osoby. Pokiaľ bude prevádzkovateľ spracúvať osobné údaje bez uvedeného právneho základu, jeho konanie nebude možné hodnotiť ako spracúvanie v súlade so zákonom. Spôsob spracúvania osobných údajov sa pritom nemôže priečiť dobrým mravom a spracúvanie musí byť vykonávané len na vymedzený alebo ustanovený účel.
Základné povinnosti prevádzkovateľa vymedzujú nasledovné odseky predmetného ustanovenia, do ktorých je premietnutý obsah článku 6 smernice 95/46/ES, ktorý patrí k jej najdôležitejším ustanoveniam, ktoré majú dosah na princípy zakotvené v celom dokumente. Predkladaný návrh zosúlaďuje zákon so smernicou 95/46/ES po formálnej stránke, ale jednotlivé princípy spresnené, doplnené a formulované v úplnom súlade s obsahom ustanovení, ktoré sa uvádzajú v tejto smernici. Zvolený prístup zabezpečuje prehľadnosť a ľahkú orientáciu, nakoľko práve dodržiavanie základných povinností prevádzkovateľa je jednou zo základných podmienok zákonného spracúvania osobných údajov. Navrhované znenie odseku 4 upravuje, že zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania. Nové znenie odseku 5 upresňuje podmienky ďalšieho spracúvania zhromaždených osobných údajov na historické, vedecké a štatistické účely, pričom spracúvanie na tieto účely sa nebude považovať za nezlučiteľné s pôvodným účelom spracúvania. Dôvodom navrhovanej úpravy je požiadavka Európskej komisie na presné prebratie článku 6 odsek 1 písmeno b) smernice 95/46/ES v súlade so znením bodu 28 preambuly.
K § 7
Zástupca prevádzkovateľa nie je v navrhovanej úprave novým inštitútom, doteraz však jeho úprava bola rozdelená do viacerých ustanovení. Zavedením samostatného ustanovenia, ktoré upravuje podmienky vymenovania zástupcu prevádzkovateľa, sa poskytuje väčšia prehľadnosť a právna istota pri využívaní tohto inštitútu v praxi.
K § 8
Okrem prevádzkovateľa je oprávnený spracúvať osobné údaje aj sprostredkovateľ. Sprostredkovateľ je však oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa. Sprostredkovateľ vykonáva všetky úkony smerujúce na dosiahnutie účelu spracúvania v mene prevádzkovateľa. V prípade, že sprostredkovateľ osobné údaje z informačného systému poskytovať inému prevádzkovateľovi, je oprávnený tak učiniť, len ak mu to vyplýva z písomnej zmluvy. To platí aj na sprístupňovanie, zverejňovanie, likvidáciu, prípadne iné spracovateľské operácie s osobnými údajmi. Na zabezpečenie týchto úloh musí zmluva obsahovať konkrétne vymedzenie rozsahu a podmienok, za ktorých sa spracúvanie osobných údajov vykonáva.
Prevádzkovateľ je povinný dbať pri výbere sprostredkovateľa najmä na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť zabezpečiť spracúvanie osobných údajov v súlade s týmto zákonom. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
Aplikačná prax priniesla požiadavku na zadefinovanie náležitostí takejto zmluvy medzi prevádzkovateľom a sprostredkovateľom, ktorá poskytne väčšiu právnu istotu ako doterajšia právna úprava. Návrh zákona pritom neustanovuje povinnosť vypracovať samostatnú zmluvu, ktorej obsahom by bol tieto práva a povinnosti sprostredkovateľa pri spracúvaní osobných údajov; je ponechané na rozhodnutí zmluvných strán, či obsahové náležitosti začlenia do iného zmluvného typu alebo pristúpia k uzatvoreniu osobitnej zmluvy.
Navrhovaná úprava v nasledujúcich odsekoch upravuje ďalšie základné povinnosti sprostredkovateľa pri spracúvaní osobných údajov v mene prevádzkovateľa.
Sprostredkovateľ je povinný vykonávať spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov vykoná prostredníctvom inej osoby. Touto právnou úpravou sa zavádza nový pojem, tzv. „subdodávateľ“. V tejto súvislosti Európska komisia poukázala na znenie § 5 ods. 2 súčasne platného zákona š. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov, odmietla pyramídové poverovanie sprostredkovateľa sprostredkovateľom a požiadala o vypustenie tejto vety. V stanovisku Pracovnej skupiny pre ochranu osobných údajov zriadenej podľa článku 29 smernice 95/46/ES, ktoré prijala v roku 2010 k pojmom prevádzkovateľ a sprostredkovateľ sa v tejto súvislosti, okrem iného, uvádza: S cieľom zabezpečiť, aby „outsourcing“ a „poverenie“ neviedli k zníženiu štandardu ochrany údajov, smernica obsahuje dve ustanovenia, ktoré sa konkrétne venujú sprostredkovateľovi a veľmi podrobne vymedzujú jeho povinnosti v súvislosti s dôvernosťou a bezpečnosťou.
V článku 16 Smernice 95/46/ES sa stanovuje, že samotný sprostredkovateľ, ako aj akákoľvek osoba konajúca v jeho právomoci, ktorá prístup k osobným údajom, nesmie tieto údaje spracovať s výnimkou toho, keď koná na základe pokynov prevádzkovateľa.
V článku 17 Smernice 95/46/ES sa vo vzťahu k bezpečnosti spracovania stanovuje potreba zmluvy alebo záväzného právneho aktu, ktorým sa upravia vzťahy medzi prevádzkovateľom údajov a sprostredkovateľom údajov. Táto zmluva musí mať písomnú formu na účely dokazovania a musí mať minimálny obsah, v ktorom sa stanoví najmä podmienka, že sprostredkovateľ údajov koná výlučne na základe pokynov prevádzkovateľa a vykonáva technické a organizačné opatrenia na primeranú ochranu osobných údajov. Táto zmluva by mala obsahovať dostatočne podrobný opis mandátu sprostredkovateľa.
Čoraz častejšie sa stáva, že na spracovanie osobných údajov prevádzkovateľ využíva viacerých sprostredkovateľov prostredníctvom outsourcingu. Títo sprostredkovatelia môžu mať priamy vzťah s prevádzkovateľom údajov, alebo môžu byť subdodávatelia, ktorých sprostredkovatelia poverili časťou činností spracovania, ktoré im boli zverené. Tieto zložité (viacúrovňové alebo rozptýlené) štruktúry spracovania osobných údajov sa príchodom nových technológií rozmáhajú a niektoré vnútroštátne právne predpisy na ne priamo odkazujú. Žiadne ustanovenie smernice nebráni tomu, aby sa so zreteľom na organizačné požiadavky viaceré subjekty mohli označovať za sprostredkovateľov údajov alebo (sub-)sprostredkovateľov, a to aj na základe ďalšieho rozdelenia príslušných úloh. Všetci z nich však musia dodržiavať pokyny, ktoré im dáva prevádzkovateľ údajov v súvislosti s vykonávaním spracovania.
Strategickou úlohou v tomto prípade je zabezpečiť, aby povinnosti a zodpovednosť vyplývajúca z právnych predpisov o ochrane údajov bola jasne pridelená, a nie rozptýlená v reťazci outsourcingu/subdodávateľstva. Inými slovami, je potrebné zabrániť vytvoreniu reťazca (sub-)sprostredkovateľov, ktorý by obmedzil účinnú kontrolu, alebo jej dokonca bránil, rovnako ako jasnej zodpovednosti za činnosti spracovania, ak zodpovednosti rôznych strán v reťazci nie jasne stanovené. Z tohto hľadiska ...stále je potrebné, aby prevádzkovateľ bol aspoň informovaný o hlavných prvkoch štruktúry spracovania (napríklad o zapojených subjektoch, bezpečnostných opatreniach, zárukách pri spracovaní v tretích krajinách atď.), aby si udržal pozíciu, v ktorej má kontrolu nad údajmi spracúvanými v jeho mene.“.
Návrh zákona reaguje na obsah uvedeného stanoviska pracovnej skupiny a v jeho medziach a určeným spôsobom upravuje možnosť spracúvať osobné údaje sprostredkovateľovi prostredníctvom subdodávateľa. Činnosť subdodávateľa bolo potrebné upraviť vzhľadom na ostatné povinnosti, ktoré vyplývajú prevádzkovateľovi a sprostredkovateľovi zo zákona, resp. zo smernice 95/46/ES tak, aby ich dopĺňala a nenarúšala. Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť.
Odsek 6 pamätá na prípady, keď prevádzkovateľ poveril sprostredkovateľa spracúvaním po získaní osobných údajov. V takom prípade je prevádzkovateľ povinný o tom upovedomiť
dotknuté osoby pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo dňa poverenia sprostredkovateľa. To platí aj v prípade, ak spracúvanie osobných údajov prejde na iného prevádzkovateľa, napríklad odpredajom spoločnosti. Odsek 7 odzrkadľuje aplikačnú prax a početné oznámenia (resp. návrhy na začatie konania podľa navrhovanej úpravy) dotknutých osôb adresované úradu na prekontrolovanie osoby spracúvajúcej osobné údaje, ktorej dotknutá osoba svoje osobné údaje neposkytla. Odseky 8 a 9 vyplývajú z hlavného účelu a predmetu úpravy zákona, ktorým je ochrana práv dotknutých osôb pri spracúvaní ich osobných údajov. Navrhovaný odsek preto zavádza povinnosť, aby sprostredkovateľ, ktorý zistí, že prevádzkovateľ zjavne porušil povinnosť ustanovenú zákonom, o tom informoval prevádzkovateľa a až do nápravy vykonal len také operácie s osobnými údajmi, ktoré neznesú odklad. Prevádzkovateľ je povinný vykonať nápravu v zákonom stanovenej lehote; pokiaľ tak neučiní, sprostredkovateľ je povinný o tom upovedomiť úrad. V opačnom prípade bude rovnakým spôsobom niesť zodpovednosť za porušenie zákona.
Navrhované ustanovenie taktiež vymedzuje, ktoré povinnosti prevádzkovateľa sa vzťahujú na sprostredkovateľa, a ktoré povinnosti je prevádzkovateľ oprávnený zmluvou preniesť na sprostredkovateľa.
K § 9
Navrhované ustanovenie § 9 zavádza spoločný nadpis, ktorý znie „právny základ“ spracúvania osobných údajov. Jedná sa o ďalšiu kľúčovú podmienku na zákonné spracúvanie osobných údajov. Právnym základom je potrebné rozumieť oprávnenie k spracúvaniu osobných údajov jednotlivých dotknutých osôb. Inými slovami, ide o dôvod, ktorý umožňuje vykonávať akékoľvek operácie s osobnými údajmi dotknutých osôb v súlade s platnou legislatívou, avšak za podmienok uvedených v nasledujúcich ustanoveniach. Navrhované ustanovenie taxatívne vymenúva právne základy, ktorými sú:
priamo vykonateľný právne záväzný právny akt Európskej únie,
medzinárodná zmluva, ktorou je Slovenská republika viazaná,
tento zákon,
osobitný zákon,
súhlas dotknutej osoby.
Ustanovenie § 9 jednoznačne odlišuje právne základy spracúvania osobných údajov a z tohto členenia, ktoré je bližšie špecifikované v § 10 a 11 vyplýva, že na dané spracúvanie (účel) možno použiť len jeden z uvedených právnych základov. Ak je napríklad právnym základom spracúvania osobných údajov osobitný zákon, potom nemožno na to isté spracúvania aplikovať napríklad súhlas dotknutej osoby. Tento princíp primárne vyplýva z článku 7 smernice 95/46/ES.
K § 10
Navrhovaná úprava sa týka dôslednejšej transpozície článku 7 smernice 95/46/ES, pričom bola zrealizovaná komplexne aj so zapracovaním právnych základov, ktorými priamo vykonateľné právne záväzné akty Európskej únie a medzinárodné zmluvy, ktorými je Slovenská republika viazaná.
Spracúvanie osobných údajov dotknutých osôb je v zmysle navrhovanej úpravy zákona možné na základe súhlasu jednotlivých dotknutých osôb 11) alebo bez ich súhlasu, ak tak ustanoví priamo vykonateľný právne záväzný akt Európskej únie a medzinárodná zmluva, ktorou je Slovenská republika viazaná, tento zákon (§ 10 odsek 1), osobitný zákon (§ 10 odsek 2), prípadne ak je splnená podmienka v ustanovení § 10 odsek 3.
Odsek 1
Je žiaduce, aby ustanovenie reagovalo aj na pramene európskeho práva, ktorými priamo vykonateľné právne záväzné akty Európskej únie, a taktiež aby reagovalo na medzinárodné zmluvy, ktorými je Slovenská republika viazaná. Právnym základom spracúvania osobných údajov pre prevádzkovateľa môžu byť napríklad nariadenia, ktoré považované aj za európske zákony alebo za nástroje právnej unifikácie, pretože na ich uplatňovanie nie je potrebná národná právna úprava, nadradené vnútroštátnemu právu, všeobecne záväzné a záväzné vo všetkých svojich častiach a bezprostredne uplatniteľné v rámci právneho poriadku každého členského štátu Európskej únie, alebo Rozhodnutia, ktoré záväzné vo všetkých svojich častiach úplne a uplatňujú sa individuálne, záväzné ako celok pre adresáta a majú priamy účinok. Právnym základom pre prevádzkovateľa sa ďalej môžu stať medzinárodné zmluvy, na ktorých vykonanie nie je potrebný zákon, alebo medzinárodné zmluvy, ktoré priamo zakladajú práva alebo povinnosti fyzických osôb alebo právnických osôb, ktorými je Slovenská republika viazaná.
Odsek 2
Zákon o ochrane osobných údajov je pre oblasť ochrany osobných údajov zákonom generálnym. Platí zásada lex specialis derogat legi generali. K tomu dochádza tam, kde právne normy obsiahnuté v normatívnych aktoch rovnakého stupňa právnej sily, upravujú rovnakú matériu, ale v rôznom rozsahu.
Osobitné zákony sa môžu od generálnej úpravy odchyľovať. Podmienka ustanovená v navrhovanom odseku 2 návrhu nezakazuje odchylne (podrobnejšie, precíznejšie, presnejšie) v špeciálnom zákone upraviť matériu pre konkrétny účel spracúvania osobných údajov. Platí však, že osobitný zákon nesmie byť v rozpore so základnými princípmi ochrany osobných údajov ustanovenými generálnym zákonom. Inak povedané, musí rešpektovať podstatu práv a slobôd v rozsahu a spôsobom, ako bola prebratá z právne záväzných aktov Európskej únie do národného
zákona o ochrane osobných údajov a nesmie byť s nimi v rozpore.
Predmetný odsek, rovnako ako odsek 1, z pohľadu ochrany osobných údajov upravuje minimálne požiadavky na obsahové náležitosti osobitného zákona, ktorými sú: zoznam osobných údajov, účel ich spracúvania, okruh dotknutých osôb ako aj prípadná možnosť, za splnenia podmienok uvedených v predmetnom ustanovení spracúvané osobné údaje z informačného systému poskytnúť, sprístupniť alebo zverejniť.
Odsek 3
Odsek 3 ustanovuje sedem ďalších prípadov, kedy, okrem prípadov uvedených v odsekoch 1 a 2, prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby. Znenie predmetného odseku ostalo v porovnaní so súčasne platným zákonom bez výrazných zmien.
Odsek 4
Navrhovaný odsek 4 upravuje prípady, keď vzhľadom na špecifický účel spracúvania osobných údajov, nemožno vopred presne určiť zoznam osobných údajov, ktoré majú byť predmetom spracúvania alebo vymenovať jednotlivé subjekty, ktorým majú byť osobné údaje poskytované. V takýchto prípadoch pri splnení zákonom ustanovených podmienok bude postačovať určenie rozsahu osobných údajov a okruhu tretích strán. Pre prevádzkovateľov potom platí povinnosť dôsledne aplikovať § 6 odsek 2 písmeno d) s výnimkou tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním.
K § 11
Ďalším významným inštitútom je súhlas dotknutej osoby, ktorý si zaslúži zvýšenú pozornosť a uvedenie bližšieho vysvetlenia, najlepšie na praktických príkladoch. Súhlas dotknutej osoby ako právny základ spracúvania osobných údajov možno použiť len na také spracúvania (situácie), pri ktorých o spracúvaní (či nespracúvaní) svojich osobných údajov rozhoduje výlučne dotknutá osoba a prevádzkovateľ nemá možnosť (nesmie) na dotknutú osobu vyvíjať žiadny nátlak ani jej rozhodovanie ovplyvňovať. Nátlakom sa rozumie aj hrozba prevádzkovateľa, že neudelenie súhlasu dotknutou osobou bude mať za následok odmietnutie zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi zákonom. V prípade, že sa dotknutá osoba rozhodne súhlas na konkrétne spracúvanie osobných údajov neudeliť, prevádzkovateľ musí toto jej slobodné rozhodnutie bez výhrady rešpektovať. Súhlas je platný, len ak je výslovný a slobodne daný. Súhlas podľa tohto zákona musí byť hodnoverne preukázateľný, pokiaľ sa výslovne nevyžaduje písomný súhlas, pričom je neprípustné si súhlas od dotknutej osoby vynucovať. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom.
Spracúvaní osobných údajov na základe súhlasu dotknutej osoby nie je veľa.
V aplikačnej praxi ide spravidla o situácie, keď firma svoj hlavný podnikateľský zámer potrebuje podporiť inou aktivitou, ktorá za cieľ zlepšiť (zvýšiť) predajnosť jej produktov. Príkladom môže byť spracúvanie osobných údajov zákazníkov firmy na účel podpory marketingu. Práve tento účel spracúvania osobných údajov využívajú firmy najčastejšie súbežne s iným „hlavným“ účelom spracúvania osobných údajov, napríklad keď si klient poistil svoj majetok a poisťovňa záujem v priebehu plynutia poistnej zmluvy informovať ho (ponúkať mu) ďalšie svoje služby a produkty. Je výlučne na slobodnom rozhodnutí dotknutej osoby, či záujem byť informovaná o ďalších službách a produktoch a za týmto účelom poskytne svoje osobné údaje, alebo nie; neposkytnutie svojich osobných údajov však nemôže mať za následok odmietnutie zmluvného vzťahu.
K spracúvaniu osobných údajov na základe súhlasu dotknutej osoby preto môže dôjsť (dochádza) výlučne v prípadoch (na také účely), pri ktorých dotknutá osoba výsostné postavenie s exkluzívnym „právom veta“. Preto musí mať aj právo kedykoľvek udelený súhlas odvolať. Napríklad, ak dotknutá osoba udelí súhlas na spracúvanie (zverejnenie) svojich osobných údajov v telefónnom zozname pri uzatváraní zmluvy o pripojení, právo kedykoľvek daný súhlas odvolať (článok 12 Smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách). Ak by tomu tak nebolo, musela by strpieť zverejnenie svojich osobných údajov v telefónnom zozname počas trvania zmluvy o pripojení. Dotknutá osoba však disponuje právom kedykoľvek žiadať ďalšie nezverejňovanie svojich osobných údajov v telefónnom zozname.
Navrhovaná úprava požaduje aj čas platnosti súhlasu (obmedzenie dĺžky spracúvania osobných údajov na základe súhlasu dotknutej osoby). Prevádzkovateľ je povinný zvážiť a odhadnúť podľa okolností a charakteru spracúvania dĺžku (potrebu) reálneho spracúvania osobných údajov. Ak by bolo možné spracúvať osobné údaje na základe súhlasu dotknutej osoby bez časového obmedzenia, potom by aj dávno zosnulá dotknutá osoba bola neraz oslovovaná firmou, pretože firma by sa nemala ako dozvedieť, že osoba nežije (napokon, to náklady pre firmu na zbytočné poštové zásielky). Ak prevádzkovateľ záujem ďalej spracúvať osobné údaje dotknutej osoby, je povinný si vyžiadať pred uplynutím času platnosti súhlasu udelenie nového súhlasu dotknutej osoby. Ak mu dotknutá osoba nový súhlas udelí, pokračuje v spracúvaní osobných údajov, a ak nie (napr. z dôvodu, že nežije), je povinný vykonať opatrenia, ktoré vedú k likvidácii osobných údajov.
Tento právny základ spracúvania osobných údajov taktiež nemožno aplikovať na spracúvanie, ktorého účelom je vykonanie opatrení pred uzatvorením zmluvy (predzmluvné vzťahy) uskutočnené na žiadosť dotknutej osoby ani na spracúvanie, ktorého účelom je spracúvanie osobných údajov nevyhnutných pre plnenie zmluvy, v ktorej je dotknutá osoba jednou zo zmluvných strán. Inak povedané, tieto právne základy nemožno medzi sebou zamieňať. Smernica 95/46/ES, a teda ani zákon nevstupujú do záväzkových vzťahov a nenarúšajú ich. Sem patria akékoľvek spracúvania osobných údajov, ktoré prevádzkovateľ vykonáva pred uzatvorením zmluvy (predzmluvné vzťahy), napríklad získava osobné údaje pri
výberových konaniach pred uzatvorením pracovnej zmluvy. V konečnom dôsledku môže a nemusí dôjsť k uzavretiu pracovnej zmluvy. Na účel získania osobných údajov v rámci výberového konania sa nevyžaduje súhlas dotknutej osoby. Ako ďalší príklad možno uviesť spotrebiteľské zmluvy, ktoré o určitom rovnakom predmete plnenia štandardne a opakovane uzatvárajú dodávatelia s veľkým počtom zákazníkov (spotrebiteľov) s tým, že dodávateľ ako navrhovateľ zmluvy vopred v návrhu stanovuje obsah týchto zmlúv a stanovuje aj podmienky ich realizácie. Návrh zmluvy býva spravidla pripravený na predtlačených tlačivách. Spotrebiteľ nemá možnosť žiadnym spôsobom individuálne ovplyvniť ani zmeniť obsah týchto zmluvných podmienok, nemôže vyjednávať, jedinou jeho alternatívou je prijatie, respektíve odmietnutie návrhu. Za typický príklad spotrebiteľskej zmluvy možno považovať zmluvu o dodávke elektriny. Vzťahovanie súhlasu dotknutej osoby na takéto spracúvanie by v praxi spôsobovalo neustále vážne kolízie pri aplikácii základných princípov ochrany osobných údajov.
K § 12
Navrhovaná úprava ustanovenia § 12 je v súčasne platnom zákone upravená v jednotlivých odsekoch ustanovenia § 7, pričom úprava týchto odsekov ostáva bez zásadných zmien. Z dôvodu väčšej právnej istoty a poskytnutia prehľadnejšej právnej úpravy celého zákona o ochrane osobných údajov, navrhované odseky 1 7 začlenené do samostatného ustanovenia. Výnimku predstavuje novo začlenený odsek 3, ktorý umožňuje prevádzkovateľovi, ktorý je zamestnávateľom dotknutej osoby, aby sprístupnil alebo zverejnil jej osobné údaje v zákonom stanovenom rozsahu, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Takéto sprístupnenie alebo zverejnenie však nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby
K § 13 a 14
Navrhovaná právna úprava v zákone o ochrane osobných údajov rozlišuje dve kvality osobných údajov, spomedzi ktorých v ustanovení § 13 taxatívne vymedzuje osobné údaje, ktoré označované ako osobitné kategórie osobných údajov, tzv. citlivé údaje. Na spracúvanie týchto osobných údajov zákon kladie prísnejšie kritériá. Ustanovenie špecifikuje a upresňuje podmienky spracúvania osobitných kategórií osobných údajov. Je však dôležité zdôrazniť, že prevádzkovateľ, ktorý spracúva osobné údaje v informačnom systéme a spracúva v ňom aspoň jeden osobný údaj, ktorý možno považovať za citlivý osobný údaj, je povinný pristupovať k celému súboru spracúvaných osobných údajov ako k informačnému systému obsahujúcemu citlivé osobné údaje.
§ 13 odsek 1 a § 14
Spracúvať osobné údaje, ktoré v odseku 1 vymenované, sa generálne zakazuje. Ak by
však nemohli niektorí prevádzkovatelia spracúvať aj citlivé osobné údaje, nemohli by plniť svoje povinnosti alebo uplatňovať svoje práva. Výnimky zo zákazu sa pripúšťajú v prípadoch, ktoré upravuje ustanovenie § 14 odsek 1 tohto zákona.
§ 13 odsek 2
Smernica 95/46/ES zaraďuje medzi osobitné kategórie osobných údajov aj všeobecne použiteľný identifikátor, za ktorý v podmienkach právneho poriadku Slovenskej republiky považujeme rodné číslo. Toto definičné slovné spojenie umožňuje do budúcna reagovať na prípadný prechod od rodného čísla k inému identifikátoru bez potreby legislatívnej úpravy tohto ustanovenia. Odsek 2 upravuje podmienky spracúvania rodného čísla. Slovné spojenie „ak je to nevyhnutné na dosiahnutie účelu spracúvania“ je potrebné vysvetľovať spôsobom, že rodné číslo možno spracúvať len vtedy, ak bez jeho použitia by mohlo prísť k porušeniu práv a slobôd dotknutých osôb alebo k vážnym chybám pri spracúvaní alebo by bolo znemožnené samotné spracúvanie. Rodné číslo sa generálne zakazuje zverejňovať; nie je prípustná žiadna výnimka z tohto zákazu.
§ 13 odsek 3
Odsek 3 sa týka osobitnej kategórie osobných údajov, ktorá vymedzuje spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej pracovnej spôsobilosti. Za osobné údaje charakterizujúce psychickú pracovnú spôsobilosť sa považujú všetky zistenia a charakteristiky odhaľujúce rozumové schopnosti a zručnosti, profil osobnosti a profil tvorivosti, správanie, návyky, zvyky a zlozvyky fyzickej osoby a to najmä prostredníctvom osobnostných testov. Psychická pracovná spôsobilosť nepatrí medzi zdravotné údaje.
§ 13 odsek 4
Odsek 4 sa týka osobitnej kategórie, ktorá vymedzuje spracúvanie osobných údajov o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť, môže vykonávať len ten, komu to umožňuje osobitný zákon.
§ 13 odsek 5 a 6
Biometrické údaje rovnako patria medzi osobitné kategórie osobných údajov, na základe čoho majú v predkladanom návrhu zákona svoje osobitné postavenie a podmienky spracúvania. Jedná sa o jedny z najcitlivejších osobných údajov, nakoľko práve na základe týchto údajov je fyzická osoba jednoznačne a nezameniteľne určená.
Návrh zákona poskytuje novú právnu úpravu a podmienky spracúvania biometrických údajov, pričom táto úprava sa opiera o stanovisko č. 3 pracovnej skupiny pre ochranu osobných
údajov zriadenú podľa článku 29 smernice 95/46/ES z roku 2012 dotýkajúceho sa spracúvania biometrických údajov a vývoja biometrických technológií. Na základe navrhovanej úpravy spracúvanie biometrických údajov bude zákonné len v prípade, že bude primerané účelu spracúvania, nevyhnutné na jeho dosiahnutie a zároveň bude kumulatívne splnená aj jedna z požiadaviek právneho základu uvedeného v písmene a) d). Takéto spracúvanie však bude možné vykonávať len vtedy, ak prevádzkovateľ požiada o osobitnú registráciu (s výnimkou, ak sa budú biometrické údaje spracúvať na základe osobitného zákona), v rámci ktorej bude úrad posudzovať primeranosť, nevyhnutnosť spracúvania biometrických údajov na prevádzkovateľom vymedzený účel a právny základ ich spracúvania. Každú žiadosť bude potrebné posudzovať individuálne, a to s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov. po schválení osobitnej registrácie bude prevádzkovateľ oprávnený spracúvať biometrické údaje.
Prísnejšie pravidlá pre spracúvanie biometrických údajov si vyžiadal predovšetkým technologický vývoj a zvýšená možnosť zneužitia biometrických údajov ako aj aplikačná prax. V tejto súvislosti je potrebné opätovne zdôrazniť, že primárnym účelom zákona o ochrane osobných údajov je chrániť práva fyzických osôb jednotlivcov pri spracúvaní ich osobných údajov, čo predpokladá určité povinnosti a zavedenie podmienok pre takéto spracúvanie. Neodôvodnené a neprimerané požiadavky prevádzkovateľa by nemali prevyšovať právo fyzickej osoby na ochranu jej súkromia a osobných údajov.
K § 15
Cieľom ustanovenia je špecifikovať pravidlá získavania osobných údajov do informačného systému. Dotknutým osobám alebo iným osobám, od ktorých sa získavajú osobné údaje dotknutej osoby, sa musia poskytnúť potrebné informácie, aby bola zaručená možnosť ich kvalifikovaného rozhodnutia o poskytnutí údajov tomu, kto ich požaduje. Povinnosť poskytnúť osobné údaje vzniká iba na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná a zákona, inak platí zásada dobrovoľnosti.
Navrhovaná úprava striktne, v súlade s obsahom článkov 10 a 11 smernice 95/46/ES, rozlišuje situácie, keď boli osobné údaje získané priamo od dotknutej osoby a situácie, keď boli získané od inej ako dotknutej osoby, prípadne boli získané bez jej súhlasu, napr. na základe osobitného zákona. Ustanovenie § 15 odsek 1 sa týka situácií, keď prevádzkovateľ, resp. zástupca prevádzkovateľa alebo sprostredkovateľ, ktorý koná v ich mene, získava osobné údaje priamo od dotknutej osoby. V ustanovení § 15 odsek 1 písmeno a) d) uvedené informácie, ktoré je prevádzkovateľ povinný dotknutej osobe oznámiť. V písmene e) ďalšie informácie, ktoré je potrebné dotknutej osobe oznámiť vtedy, ak s ohľadom na všetky okolnosti spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov. Napríklad, ak prevádzkovateľ mieni vykonávať prenos osobných údajov do tretích krajín na základe súhlasu dotknutej osoby, je nevyhnutné, aby informáciu o tom, o ktoré tretie krajiny sa
jedná, dotknutej osobe pri získavaní predmetných osobných údajov oznámil. Informácie netreba dotknutej osobe oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že v čase získavania osobných údajov boli všetky potrebné informácie dotknutej osobe už známe.
Navrhované ustanovenie § 15 odsek 2 sa týka situácií, keď prevádzkovateľ získal osobné údaje o dotknutej osobe od inej fyzickej osoby. V takomto prípade je povinný dotknutej osobe dodatočne oznámiť potrebné informácie o ich získaní a možnom ďalšom spracúvaní. Prevádzkovateľ je povinný tieto základné informácie rozšíriť o doplňujúce informácie, a to s ohľadom na špecifické okolnosti, za ktorých budú osobné údaje získavané na zabezpečenie zákonného spracúvania. Otázka špecifikácie okolností, za ktorých bude potrebné poskytnúť doplňujúce informácie pri získavaní osobných údajov bude záležať od konkrétneho prípadu spracúvania a požiadaviek, ktoré sa na dané spracúvanie budú klásť. Aj v tomto prípade však logicky platí, že informácie netreba dotknutej osobe oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že všetky potrebné informácie boli v čase rozhodujúcej udalosti dotknutej osobe už známe.
Navrhované ustanovenie § 15 odsek 3 ustanovuje výnimky z povinnosti ustanovenej v § 15 odsek 1 a 2.
Navrhovaná úprava ustanovení odseku 4 7 zákona je precizovaním doteraz platného textu na základe požiadaviek aplikačnej praxe. Úprava ostatných odsekov ostáva bez zásadných zmien.
K § 16
Navrhované ustanovenie odseku 1 vymedzuje zodpovednosť za poskytnutie nepravdivých osobných údajov. Zodpovedný je vždy ten, kto osobné údaje poskytuje, napríklad dotknutá osoba, jej zákonný zástupca alebo ten, komu bola dotknutou osobou táto kompetencia zverená. Prevádzkovateľ zodpovedá iba za správnosť a aktuálnosť osobných údajov, pretože ich pravdivosť nemá možnosť overovať.
Navrhované ustanovenie odseku 2 ukladá prevádzkovateľovi povinnosť zabezpečiť správnosť a aktuálnosť osobných údajov. V zákone sa rozlišujú dve úrovne kvality údajov, a to pravdivosť a správnosť. Ustanovenie chráni prevádzkovateľa, ktorému môžu byť z rôznych dôvodov poskytnuté nepravdivé údaje, napríklad úmyselne.
Odsek 3 ukladá prevádzkovateľovi povinnosť priebežne zabezpečovať aktualizáciu a opravu tých osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi alebo sa preukáže, že sú nesprávne.
K § 17
Týmto ustanovením sa má zabrániť dlhšiemu uchovávaniu osobných údajov ako je potrebné, vzhľadom na účel ich spracúvania, pre ktorý boli získané.
Odsek 2 ustanovuje prípady, kedy sa nevyžaduje bezodkladná likvidácia osobných údajov, ak osobné údaje sú súčasťou registratúrneho záznamu. V takom prípade je prevádzkovateľ povinný zabezpečiť likvidáciu registratúrneho záznamu podľa osobitného zákona.
Odseky 3, 4, 5 a 6 vylučujú možnosť ďalšieho spracúvania osobných údajov na účely priameho marketingu, ak dotknutá osoba uplatnila námietku. Ďalej je prevádzkovateľ oprávnený uchovávať len osobné údaje v rozsahu titul, meno a priezvisko na účely evidencie, že táto dotknutá osoba si neželá byť prevádzkovateľom oslovovaná v poštovom styku. Po splnení účelu spracúvania, ak napríklad prevádzkovateľ zmenil predmet svojho podnikania, je povinný aj osobné údaje dotknutej osoby uchovávané na účely evidencie, zlikvidovať.
Odsek 7 ustanovuje povinnosť likvidácie vyhotoveného záznamu v lehote pätnásť dní, ak záznam nebol využitý na účely trestného konania alebo konania o priestupkoch. To neplatí len v prípade, ak osobitný zákon ustanovuje dlhšiu lehotu.
K § 18
Navrhovaným znením dochádza k presnejšej transpozícii článku 12 písmeno c) smernice 95/46/ES. Európska komisia odporučila upraviť text § 14 súčasne platného zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov tak, aby neriešil len oznámenie tretím stranám o vykonaní opravy alebo likvidácii osobných údajov, ale aby sa týkal oznámenia o vykonaní akýchkoľvek opráv, vrátane aktualizácií a blokovania osobných údajov. Plne legitímnou požiadavkou novej právnej úpravy je potom ustanovenie povinnosti tretej strane bez zbytočného odkladu vykonať požadované opatrenia.
V odsekoch 3 a 4 sa ďalej navrhujú v súlade so smernicou nevyhnutné podmienky a záruky, že prevádzkovateľ od povinnosti ustanovenej v odseku 1 upustí len vtedy, ak oznámenie informácií tretej osobe je preukázateľne objektívne nemožné alebo by si vyžiadalo neprimerané úsilie.
K § 19 a 20
§ 19
Podľa tohto ustanovenia je prevádzkovateľ povinný vytvoriť také podmienky fungovania nimi prevádzkovaného informačného systému, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Prevádzkovateľ je povinný splniť súčasne všetky uvedené bezpečnostné opatrenia, a nielen niektoré z nich. Bezpečnostné opatrenia treba prijať nielen v rozsahu technických a organizačných, ale aj personálnych opatrení na zabezpečenie ochrany spracúvaných osobných
údajov.
V snahe priblížiť sa čo najviac právu Európskej únie, je v súlade s článkom 17 odsek 1 smernice 95/46/ES spresnené a doplnené znenie § 19 odsek 1, ktorý vytvára základný rámec podmienok týkajúcich sa bezpečnosti spracúvania osobných údajov. Zákon zároveň bližšie konkretizuje, čo najmä treba brať do úvahy pri určovaní primeranosti technických, organizačných a personálnych opatrení. Prevádzkovateľ podľa § 19 ods. 2 povinnosť zdokumentovať v bezpečnostnej smernici bezpečnostné opatrenia podľa § 19 ods. 1, ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov podľa § 13 alebo ak v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13.
Platné ustanovenie § 19 odsek 3 písmeno a) ukladá prevádzkovateľovi povinnosť vypracovať bezpečnostný projekt v prípade, ak spracúva osobitnú kategóriu osobných údajov v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou. Zámerom tohto ustanovenia je sprísniť podmienky spracúvania najmä tých osobných údajov, ktoré patria medzi osobitné kategórie osobných údajov 13) a sú vystavené možným hrozbám pri spracúvaní v prostredí, ktoré je prepojené na internet.
Ustanovenie § 19 odsek 3 písmeno b) sa týka informačných systémov, ktoré slúžia na zabezpečenie verejného záujmu podľa § 3 odsek 1 návrhu zákona. Ustanovenie § 20 sa pritom pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona.
Nový odsek 4 zavádza povinnosť bezodkladnej aktualizácie opatrení prijatých podľa odsekov 1 až 3 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to do ukončenia spracúvania osobných údajov v informačnom systéme.
Odsek 5 ukladá povinnosť prevádzkovateľovi oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu, ktorý je potrebný na plnenie ich úloh a podmienky takéhoto oboznamovania.
§ 20
Navrhované ustanovenie § 20 upravuje bezpečnostný projekt. Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Ten musí byť spracovaný v súlade s bezpečnostnými štandardami, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
K § 21
Navrhovaná právna úprava poučenia oprávnených osôb nie je novou úpravou; je súčasťou aj teraz platného zákona o ochrane osobných údajov. Z dôvodu zvýšenia právnej istoty a odstránenia kolízií v praxi dochádza k spresneniu a dôslednému precizovaniu tohto ustanovenia.
Prevádzkovateľ môže spracúvať osobné údaje len prostredníctvom osôb, ktoré majú postavenie oprávnených osôb. Výber svojich oprávnených osôb je v plnej kompetencii prevádzkovateľa. Bolo potrebné precizovať, odkedy fyzická osoba postavenie oprávnenej osoby, kto a kedy je povinný poučenie vykonať a akých práv a povinností oprávnených osôb sa týkať. Zákon výslovne vymenúva aj okolnosti, za ktorých je prevádzkovateľ povinný opätovne poučiť svoju oprávnenú osobu.
K § 22
Základné práva a slobody garantované Ústavou Slovenskej republiky zaručujú každému právo na ochranu pred neoprávneným zasahovaním do súkromného a rodinného života a pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe. Do tohto ustanovenia, za účelom ochrany osobných údajov, bola zakotvená povinnosť zachovávať mlčanlivosť o osobných údajoch pre všetkých, ktorí s nimi prichádzajú do styku. Odsek 1 ustanovuje podmienky zachovávania mlčanlivosti prevádzkovateľom a odseky 2 a 4 oprávneným osobám.
Podľa odseku 3 povinní zachovávať mlčanlivosť o osobných údajoch aj iné fyzické osoby, ktoré prišli do styku s osobnými údajmi, napríklad v rámci výkonu svojho zamestnania pri zavádzaní nových informačných technológií alebo údržby technického zariadenia u prevádzkovateľa alebo sprostredkovateľa.
Podľa odseku 5 povinnosť mlčanlivosti podľa odsekov 1 4 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona.
Odsek 6 je významný najmä z hľadiska plnenia úloh úradu. Vo vzťahu k úradu sa nepoužijú predchádzajúce odseky, ak sa úrad účinne podieľať na ochrane základných práv a slobôd fyzických osôb v súvislosti s ochranou ich osobných údajov. Úrad tak musí mať prístup ku všetkým materiálom obsahujúcim osobné údaje a k informáciám súvisiacim s prešetrovanou vecou.
K § 23 až 27
Inštitút zodpovednej osoby, ktorá vykonáva dohľad nad ochranou osobných údajov, je súčasťou nášho právneho poriadku od 1. marca 1998 s účinnosťou zákona č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch, ktorý bol zrušený a nahradený od 1. septembra 2002 súčasne platným zákonom o ochrane osobných údajov.
Za účelom zvýšenia právnej istoty a prehľadnosti zákona bola navrhovaná úprava zodpovednej osoby rozčlenená do piatich samostatných ustanovení, pričom tieto tvoria
samostatnú hlavu druhej časti zákona. V záujme zabezpečenia práva na ochranu súkromia a osobných údajov dotknutých osôb, týmto dochádza aj k poukázaniu na dôležitosť a význam tohto inštitútu a potrebu jeho dôkladného uplatňovania v praxi, a to v intenciách článku 18 odsek 2 smernice 95/46/ES, podľa ktorého sa požaduje, aby prevádzkovateľ zaručil zodpovednej osobe nezávislé uplatňovanie vnútroštátnych právnych noriem prijatých v nadväznosti na smernicu a tým zabezpečil, že práva a slobody dotknutých osôb budú pri spracúvaní ich osobných údajov rešpektované v rozsahu zákona.
§ 23
Za výkon dohľadu nad ochranou osobných údajov spracúvaných v informačnom systéme vo všeobecnosti zodpovedá prevádzkovateľ. Navrhované ustanovenie upravuje podmienky poverenia zodpovednej osoby a požiadavky, ktoré musí fyzická osoba spĺňať na to, aby mohla vykonávať funkciu zodpovednej osoby ako aj náležitosti poverenia, čo v súčasne platnej právnej úprave absentuje. V dôsledku chýbajúcich obsahových náležitostí poverenia mnohokrát vznikali prevádzkovateľom aplikačné problémy a v niektorých prípadoch dochádzalo aj kumulatívne k uloženiu sankcie za nesplnenie si povinnosti podľa tohto zákona. Navrhovaná právna úprava tak poskytne väčšiu právnu istotu, čím možno predpokladať zníženie porušení zákona v tomto smere.
Dôležitou zmenou podľa navrhovanej úpravy je zmena kategórie zamestnávaných „osôb“, a to zo všetkých zamestnaných osôb u prevádzkovateľa na osoby oprávnené. Podľa doterajšej právnej úpravy bol prevádzkovateľ povinný poveriť zodpovednú osobu vždy vtedy, keď zamestnával viac ako päť osôb. Častou otázkou bolo, koho a kedy treba považovať za zamestnanca na účely tohto zákona a ako postupovať, keď dochádza k častej oscilácii zamestnancov okolo počtu päť zamestnancov. Táto nejednoznačnosť si vyžiadala úpravu podmienok súvisiacich s povinnosťou ustanoviť zodpovednú osobu výkonom dohľadu u prevádzkovateľa.
§ 24
Navrhované ustanovenie upravuje skúšku fyzickej osoby na výkon funkcie zodpovednej osoby. Z hľadiska aplikačnej praxe sa vyžaduje zvýšenie odbornosti zodpovednej osoby v oblasti ochrany osobných údajov, pokiaľ sa zaručiť jej význam a plnohodnotné uplatňovanie. Návrh zákona tak v rámci podmienok na poverenie zodpovednej osoby zavádza aj vyžadovanie vykonania skúšky zodpovednej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov. Táto požiadavka sa s ohľadom na doterajšiu prax javí ako nevyhnutná. Možno sa domnievať, že aj takýmto postupom úrad prispeje k zvýšeniu povedomia v oblasti ochrany osobných údajov, čím sa zabezpečí obozretnejší a dôslednejší prístup pri plnení povinností podľa tohto zákona a v konečnom dôsledku aj Ústavou Slovenskej republiky garantované právo na ochranu súkromia a osobných údajov.
Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov po úspešnom absolvovaní skúšky, ktorú zabezpečí úrad. Podrobnosti o skúške fyzickej osoby na výkon zodpovednej osoby ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 25
Povinnosti prevádzkovateľa pri poverení zodpovednej osoby, medzi ktoré patrí potreba nahlásenia poverenia zodpovednej osoby úradu v zákonom stanovenej lehote a spôsobom v ňom uvedeným a najmä povinnosť prevádzkovateľa umožniť zodpovednej osobe nezávislý výkon dohľadu nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov. Plnohodnotný dohľad však možno vykonávať len vtedy, ak zodpovedná osoba komplexný prehľad o podmienkach spracúvania osobných údajov v informačnom systéme.
§ 26
Ukončenie poverenia zodpovednej osoby je predmetom úpravy § 26. Navrhované ustanovenie upravuje podmienky odvolania poverenia zodpovednej osoby ako aj zániku poverenia zodpovednej osoby a povinnosti s tým súvisiace.
§ 27
Nezávislý výkon činnosti zodpovednej osoby predpokladá aj určité zákonom stanovené povinnosti, ktoré je zodpovedná osoba povinná pri plnení svojich úloh vykonávať. Táto úprava je navrhnutá do § 27. Jej úlohou je dohliadať na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov v informačnom systéme a upozorňovať prevádzkovateľa na nedostatky, ktoré zistí v súvislosti so spracúvaním osobných údajov a dbať na to, aby sa spracúvanie osobných údajov uskutočňovalo v súlade so zákonom. Plnenie si úloh podľa zákona sa nemôže stať podnetom ani dôvodom na konanie prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
K § 28 až 30
§ 28
Práva dotknutých osôb predstavujú ďalšiu významnú časť navrhovanej právnej úpravy. Právam dotknutých osôb patrí samostatná štvrtá hlava druhej časti zákona. Zámerom zákona je predovšetkým poskytnúť dotknutým osobám potrebnú ochranu a zaručiť im práva pri spracúvaní ich osobných údajov.
Podľa ustanovenia § 28 odsek 1 písmeno a) až d) dotknutá osoba nárok na potvrdenie o spracúvaní osobných údajov v informačnom systéme, informácie a odpis osobných údajov
v podobe zoznamu osobných údajov uvedených vo všeobecne zrozumiteľnej forme a informácie o zdroji s možnosťou oboznámiť sa aj s postupom spracúvania a vyhodnocovania operácií pri vydávaní rozhodnutia podľa § 28 odsek 5. Uvedené zmeny presne preberajú článok 12 smernice 95/46/ES.
Obsah § 28 odsek 4 presne preberá článok 14 písmeno a) smernice 95/46/ES a súvisí s uplatňovaním práv dotknutej osoby v rozsahu, ktorý požaduje smernica.
Ustanovenie § 28 odsek 5 je ustanovením, do ktorého boli zapracované pripomienky expertov v súlade s dikciou článku 15 smernice 95/46/ES. Zámerom tohto ustanovenia je dať dotknutej osobe právo žiadať prevádzkovateľa o preskúmanie rozhodnutia, ktoré bolo vydané výlučne na základe automatizovanej formy spracúvania metódou odlišnou od takejto formy spracúvania. Prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia zohrá ľudský faktor.
Podľa odseku 6 ak dotknutá osoba uplatní svoje právo písomne spôsobom, pri ktorom sa neodvoláva na konkrétne ustanovenie zákona, ale z obsahu žiadosti vyplýva, že si uplatňuje svoje právo, žiadosť sa považuje za žiadosť podanú podľa tohto zákona a prevádzkovateľ je povinný takúto žiadosť dotknutej osoby vybaviť v súlade s týmto zákonom. Podľa zákona možno žiadosť na uplatnenie práva dotknutou osobou podať aj osobne. Ak dotknutá osoba žiadosť podáva ústne, prevádzkovateľ alebo sprostredkovateľ žiadosť dotknutej osoby zaznamená do zápisnice a kópiu zápisnice je povinný odovzdať dotknutej osobe. Ak dotknutá osoba uplatní právo písomne alebo osobne u sprostredkovateľa, ktorý spracúva osobné údaje v mene prevádzkovateľa, sprostredkovateľ je povinný písomnú žiadosť dotknutej osoby alebo zápisnicu bez zbytočného odkladu odovzdať prevádzkovateľovi. Žiadosť podaná dotknutou osobou u sprostredkovateľa sa považuje za žiadosť prijatú prevádzkovateľom.
V prípade zistenia dotknutou osobou, že sa jej osobné údaje neoprávnene spracúvajú, ustanovuje sa v odseku 7 jej právo podať úradu návrh na začatie konanie podľa § 61 zákona.
Odseky 8 a 9 ustanovujú možnosť uplatniť právo dotknutej osoby zákonným zástupcom, ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu alebo blízkou osobou, ak dotknutá osoba nežije.
§ 29
Prevádzkovateľ nesie zodpovednosť za splnenie opatrení, ktorými sa zabezpečujú práva dotknutej osoby podľa § 28. V tomto ustanovení špecifikované základné podmienky, ktoré prevádzkovateľ musí dodržiavať pri vybavovaní požiadaviek dotknutej osoby.
Splnenie požiadaviek dotknutej osoby podľa odseku 1 nesmie prevádzkovateľ spoplatniť. Odsek 2 naproti tomu ustanovuje prípady, pri ktorých prevádzkovateľ môže žiadať uhradenie nákladov, pričom nemôže prekročiť výšku účelne vynaložených vecných nákladov spojených so zhotovením kópií, zadovážením technických nosičov a s odoslaním požadovanej informácie dotknutej osoby. To neplatí pre situácie, keď osobitný zákon ustanovuje iný režim pre poskytovanie informácií z informačného systému (napríklad výpis z katastra nehnuteľností,
nahliadnutie do matriky a pod.). Úhrady za poskytnutie informácií dotknutej osobe príjmami prevádzkovateľa.
Spätnú väzbu medzi prevádzkovateľom a dotknutou osobou o tom, že vyhovel jej požiadavkám, upravuje odsek 3, ktorý prevádzkovateľovi ukladá tak vykonať písomne v lehote 30 dní odo dňa ich doručenia.
§ 30
Obmedzenie práv dotknutej osoby znamená odmietnutie požiadavky dotknutej osoby o opravu alebo likvidáciu jej osobných údajov. Obmedzenie práv podľa § 28 ods. 1 písmeno d) a e) je prevádzkovateľ povinný bezodkladne oznámiť dotknutej osobe a úradu.
K § 31 a 32
§ 31
Navrhovaným ustanovením sa upravujú podmienky prenosu osobných údajov do tretích krajín s primeranou/bez primeranej úrovne ochrany osobných údajov, pričom primeranosť úrovne ochrany osobných údajov v treťom štáte hodnotí Európska komisia, ktorá o tom vydá rozhodnutie. Hodnotenie Európskej komisie sa opiera o predchádzajúce stanovisko dozorných orgánov ochrany osobných údajov jednotlivých členských štátov združených v Pracovnej skupine zriadenej podľa článku 29 smernice 95/46/ES, a tiež o stanovisko Výboru 31 (článok 31 smernice 95/46/ES). Prevádzkovatelia výkladom platného znenia zákona prichádzali k nesprávnym záverom, že primeranosť úrovne ochrany osobných údajov v tretej krajine samostatne hodnotí štát, alebo prevádzkovateľ. Štát prostredníctvom dozorného orgánu ochrany osobných údajov osobitne hodnotí systematické prenosy osobných údajov, ktoré zamýšľa vykonávať konkrétny prevádzkovateľ so sídlom v Slovenskej republike, a to len ak mu to zákon uloží.
Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany možno uskutočniť, ak prevádzkovateľ uvedie primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov. Za takéto záruky sa považujú záväzné vnútropodnikové pravidlá a štandardné zmluvné doložky. Záväzné vnútropodnikové pravidlá vytvárajú v rámci spoločnosti spoločnú primeranú úroveň ochrany osobných údajov pre spoločnosti, ktoré v rámci danej korporácie sídlia mimo územia Európskej únie, pričom pre spoločnosti so sídlom v Európskej únii zostáva v platnosti európska legislatíva. Štandardné zmluvné doložky určené predovšetkým na hromadné a opakujúce sa prenosy osobných údajov medzi dvoma subjektmi, je ich však možné použiť aj pre viac subjektov, ale na zmluvné vzťahy sa bude uplatňovať právo osoby v postavení vývozcu údajov, t.j. európske právo.
Ustanovenie odseku 3 písmeno a) f) zákona prichádza do úvahy v ostatných prípadoch, t.j. tých, v ktorých sa nebude postupovať podľa odseku 2. Je však nutné ho vykladať
reštriktívnym spôsobom a použiť len výnimočne a v obmedzenom množstve, nakoľko predstavujú pre dotknuté osoby zvýšené riziko, predovšetkým z dôvodu objektívnej nemožnosti odmietnuť prenos ich osobných údajov do tretej krajiny bez primeranej legislatívy na ochranu osobných údajov.
V prípade prenosu osobitných kategórií osobných údajov je potrebné, aby si prevádzkovateľ zaobstaral písomné súhlasy dotknutých osôb, a to k samotnému prenosu ako osobitnému typu spracúvania, ak tieto neboli poskytnuté, resp. zahrnuté v generálnom písomnom súhlase, ktorý dotknuté osoby udelili pred začatím spracúvania osobných údajov. Takýto generálny súhlas musí zahŕňať všetky účely a procesy, pre ktoré boli osobné údaje získané, a s ktorými boli tieto osoby dôkladne oboznámené.
Odsek 5 upravuje náležitosti zmluvy o prenose osobných údajov, ak prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania alebo trvalým pobytom v Spojených štátoch amerických pristúpil k zásadám „Safe Harbor“ resp. „bezpečného prístavu“. Dôvodom tejto úpravy skutočnosti uvedené v Rozhodnutí Európskej komisie z 26. júna 2000 v súlade so smernicou 95/46/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA, konkrétne FAQ 10 –Zmluvy podľa článku 17, citujeme posledný odsek odpovede: Keďže účastníci bezpečného prístavu poskytujú primeranú ochranu osobných informácií, zmluvy s účastníkmi bezpečného prístavu týkajúce sa výlučne spracúvania údajov si nevyžadujú predchádzajúci súhlas (alebo takýto súhlas poskytnú členské štáty automaticky), ktorý by sa vyžadoval v prípade zmlúv s príjemcami údajov, ktorí sa nezúčastňujú na systéme bezpečného prístavu alebo iným spôsobom neposkytujú primeranú ochranu osobných informácií.“.
Podľa navrhovanej úpravy úrad bude schvaľovať žiadosti o súhlas s cezhraničným tokom len v prípadoch, ak prevádzkovateľ prenášajúci osobné údaje použije v zmluve o prenose osobných údajov do tretej krajiny bez primeranej úrovne ochrany osobných údajov zmluvné doložky, ktoré odlišné od štandardných zmluvných doložiek alebo s nimi vykazujú zjavný nesúlad. Ostatné prenosy nebudú podliehať schvaľovaciemu procesu na úrade. Uvedený postup je v súlade so snahou o postupné odbúravanie administratívnej záťaže prevádzkovateľov, o ktorý sa usiluje v poslednom období Európska komisia revíziou legislatívy upravujúcej ochranu osobných údajov. Postup pri rozhodovaní o súhlase s cezhraničným tokom bude podliehať konaniu podľa Správneho poriadku.
§ 32
Navrhované znenie § 32 ustanovuje záväzok Slovenskej republiky zaručiť voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi v súlade s článkom 1 odsek 2 smernice 95/46/ES.
Sprostredkovateľ, ktorý aj napriek tomu, že sídlo, miesto podnikania alebo trvalý pobyt v inom členskom štáte, je povinný sa riadiť pokynmi prevádzkovateľa, ktorý sídli, miesto podnikania alebo trvalý pobyt na území Slovenskej republiky. Sprostredkovateľ je tiež
povinný uplatňovať zákon na ochranu osobných údajov, ktorým sa riadi prevádzkovateľ na území Slovenskej republiky. Sprostredkovateľ sa riadi právnym poriadkom štátu, v ktorom sídli alebo podniká, pokiaľ ide o uplatňovanie predpisov o informačnej bezpečnosti (bezpečnosti a integrite osobných údajov).
Pokiaľ ide o prenos osobných údajov v rámci vzťahu prevádzkovateľ prevádzkovateľ, prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom na území Slovenskej republiky je pri prenose osobných údajov prevádzkovateľovi v inom členskom štáte povinný prijať primerané záruky zachovania práv a právom chránených záujmov dotknutých osôb. Práva a nároky dotknutých osôb musia byť vymáhateľné aj v členskom štáte, do ktorého smerujú poskytnuté osobné údaje. Spracúvanie osobných údajov prevádzkovateľom, ktorý je dovozcom údajov sa riadi legislatívou toho štátu, v ktorom má ako dovozca osobných údajov svoje sídlo.
K § 33
Ochrana osobných údajov podľa tohto zákona sa vzťahuje na všetky informačné systémy. Na to, aby došlo k zákonnému spracúvaniu osobných údajov, prevádzkovateľ je povinný požiadať o registráciu informačných systémov, osobitnú registráciu informačných systémov alebo viesť o nich evidenciu, pokiaľ sa na také informačné systémy vzťahuje výnimka z povinnosti registrácie. Povinnosť registrácie a vedenie evidencie je preto potrebné považovať ako jeden kompaktný celok.
K § 34 až 36
Ustanovenia § 33 35 upravujú „obyčajnú“ registráciu informačných systémov. Oproti súčasne platnej právnej úprave sa navrhuje presnejšie vymedziť podmienky a postup pri registrácii.
§ 34
Ustanovenie § 34 upravuje podmienky registrácie, za ktorých je prevádzkovateľ povinný podať žiadosť na úrad, ktorou prihlási informačný systém na registráciu. Oproti súčasne platnej právnej úprave, došlo v odseku 2 k vypusteniu písmena c) a doplneniu písmena d) a e).
§ 35
Ustanovenie § 35 upravuje náležitosti podania žiadosti pri prihlasovaní informačného systému na registráciu. Súčasťou žiadosti je príloha, ktorej obsahom je popis podmienok spracúvania osobných údajov. Bez ich doloženia je však v praxi mnohokrát problematické určiť, či daný informačný systém podlieha registrácií alebo nie. Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu a potvrdenie o registrácii zverejní úrad na svojom
webovom sídle.
§ 36
Ustanovenie § 36 upravuje postup pri registrácii informačného systému. Na konanie o registrácii informačného systému sa subsidiárne vzťahuje Správny poriadok
K § 37 až 39
Ustanovenia § 37 39 upravujú osobitnú registráciu informačných systémov. Oproti súčasne platnej právnej úprave sa upravujú podmienky osobitnej registrácie a špecifiká osobitnej registrácie, pričom postup pri rozhodovaní o osobitnej registrácii bude podliehať Správnemu poriadku.
§ 37
Ustanovenie § 37 upravuje podmienky osobitnej registrácie, za ktorých je prevádzkovateľ povinný podať žiadosť na úrad, ktorou prihlási informačný systém na osobitnú registráciu. Oproti súčasne platnej právnej úprave tieto podmienky prešli zmenami, a to pokiaľ ide o písmeno a), ktoré odkazuje na ustanovenie, ktoré bolo návrhom zákona pozmenené, písmeno b) tohto ustanovenia, za ktorých je prevádzkovateľ oprávnený spracúvať biometrické údaje a písmeno c), ktoré reflektuje na zmenu v úprave cezhraničného prenosu osobných údajov.
§ 38
Ustanovenie § 38 upravuje náležitosti podania žiadosti pri prihlasovaní informačného systému na osobitnú registráciu. Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu a potvrdenia o osobitnej registrácii zverejní úrad na svojom webovom sídle.
§ 39
Ustanovenie § 39 upravuje špecifiká v postupe pri osobitnej registrácii informačného systému, pričom subsidiárne sa aplikujú ustanovenia Správneho poriadku.
K § 40
Cieľom tohto ustanovenia je upraviť postup pri oznamovaní zmien, ktoré nastanú v priebehu spracúvania osobných údajov v informačnom systéme a postup prevádzkovateľa pri odhlásení informačného systému z registrácie alebo osobitnej registrácie.
K § 41
Registrácia informačných systémov odborne priamo súvisí s výkonom dozoru nad ochranou osobných údajov. Doterajšia prax ukázala, že je potrebné, aby proces registrácie efektívne plnil plnohodnotnú funkciu pre dozor nad ochranou osobných údajov, len ako jeho integrálna súčasť. V záujme zvýšenia úrovne ochrany osobných údajov v Slovenskej republike a potreby dôsledného dodržiavania a rešpektovania práv dotknutých osôb na ochranu ich súkromia a osobných údajov sa zavádza spoplatnenie registrácie, osobitnej registrácie a ich zmien. Ochrana osobných údajov si vyžaduje určitý stupeň vážnosti, a to s poukazom na jej začlenenie medzi základné práva a slobody fyzických osôb. Neoprávnené zásahy do týchto práv môžu dotknutej osobe privodiť ujmu. Je preto potrebné sa dôslednejšie zaoberať každým procesom spracúvania osobných údajov a dbať, aby osobné údaje boli v informačnom systéme spracúvané v súlade s týmto zákonom. Zavedením poplatkov prevádzkovatelia budú nútení dôslednejšie sa zaoberať spracúvaním osobných údajov vo svojich informačných systémoch.
Zavedenie poplatkov zároveň zohľadňuje vecnú a časovú náročnosť vykonávaných úkonov a konaní, ktorá, vzhľadom na zložitosť problematiky, vzrástla. Návrhom zákona sa súčasne zvyšuje zodpovednosť úradu pri riešení žiadostí o registráciu, osobitnú registráciu a ich zmenu v intenciách zákona.
K § 42
V záujme zvýšenia transparentnosti spracúvania osobných údajov a kontroly spracúvania osobných údajov zo strany verejnosti sa navrhuje výstupy z registrácie a osobitnej registrácie sprístupniť komukoľvek, kto o to požiada. Zároveň sa navrhuje, aby úrad prostredníctvom svojho webového sídla zverejňoval stav registrácie a osobitnej registrácie informačných systémov.
K § 43
Evidenciu je povinný viesť každý prevádzkovateľ o každom informačnom systéme v zákonom stanovenom rozsahu, ktorý nepodlieha povinnosti registrácie. Evidenciu vedie prevádzkovateľ u seba; úradu sa nezasiela.
V prípade akýchkoľvek zmien je prevádzkovateľ povinný aktualizovať evidenčné listy, a to až do dňa ukončenia spracúvania osobných údajov v informačnom systéme.
K § 44
V záujme zvýšenia transparentnosti spracúvania osobných údajov a kontroly spracúvania osobných údajov zo strany verejnosti sa navrhuje, aby prevádzkovateľ sprístupnil výstupy
z evidencie komukoľvek, kto o to požiada.
K § 45
Navrhované ustanovenie § 45 upravuje postavenie úradu. V súlade so smernicou 95/46/ES ako aj ďalšími medzinárodnými dokumentmi, úrad ako dozorný orgán v oblasti ochrany osobných údajov disponovať potrebnou nezávislosťou pri plnení mu zverených úloh. Nezávislosť dozorného orgánu tak, ako je stanovená v článku 28 uvedenej smernice, je rozpracovaná v schengenskom katalógu odporúčaní a najlepších postupov pre oblasť ochrany osobných údajov a zahŕňa:
inštitucionálnu nezávislosť, t.j. nezávislosť dozorného orgánu od iných štátnych orgánov,
funkčnú nezávislosť, t.j. dozorný orgán nepodlieha pokynom pokiaľ ide o obsah a rozsah jeho pôsobnosti,
hmotnú nezávislosť, t.j. dozorný orgán vlastný rozpočet, s ktorým môže nezávisle hospodáriť.
Podľa navrhovanej úpravy sa vymedzuje postavenie úradu ako orgánu štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Úrad je rozpočtovou organizáciou a návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa. Schválený rozpočet úradu bude môcť zmeniť v priebehu kalendárneho roka iba Národná rada Slovenskej republiky.
Pokiaľ ide o nezávislosť úradu, na prvom mieste je nevyhnutné stanoviť v zákone, že úrad je povinný vykonávať svoje činnosti nestranne a predovšetkým nezávisle. Pod nezávislosťou je potrebné rozumieť nielen nezávislosť na podnikateľskom sektore, ale rovnako nezávislosť od iných štátnych orgánov či politických strán.
Za účelom prebratia smernice 95/46/ES do vnútroštátneho poriadku Slovenskej republiky sa navrhuje upraviť postavenie úradu spôsobom upraveným v § 45.
K § 46
Cieľom odseku 1 3 tohto ustanovenia je špecifikácia úloh, ktoré úrad pri výkone dozoru plní. Uvedené požiadavky vyplývajú priamo zo smernice 95/46/ES.
Podľa odseku 4 predmetom dozoru nad ochranou osobných údajov nie spory zo zmluvných alebo predzmluvných vzťahov prevádzkovateľov alebo sprostredkovateľov a dotknutých osôb alebo iných fyzických osôb alebo právnických osôb, na ktorých prejednávanie a rozhodovanie príslušné súdy alebo iné orgány podľa osobitných predpisov. V takýchto prípadoch úrad odporučí prevádzkovateľovi, sprostredkovateľovi alebo fyzickej osobe, ktorá je účastníkom sporu, aby sa obrátila s prejednaním veci na súd alebo príslušný orgán.
Ak osobné údaje spracúvajú spravodajské služby a Národný bezpečnostný úrad, dozor
nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa zákona č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky.
K § 47 až 51
Ustanovenia § 47 50 upravujú organizáciu úradu, pričom podrobnosti upraví Organizačný poriadok úradu.
§ 47
V tomto ustanovení zákon bližšie špecifikuje kritériá kladené na vymenúvanie a odvolávanie predsedu úradu. Predsedu úradu volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky. V odseku 2 sa zároveň ustanovuje, aby končiace funkčné obdobie predsedu úradu prechádzalo plynule do funkčného obdobia nového predsedu.
Odsek 3 ustanovuje obligatórne predpoklady pre výkon funkcie predsedu úradu. Predseda úradu je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel počas výkonu svojej funkcie a to počas funkčného obdobia i po jeho skončení. Zachovávanie mlčanlivosti nemožno chápať len ako povinnosť, ale zároveň aj ako právo nevypovedať o skutočnostiach týkajúcich sa obsahu osobných údajov, dovtedy pokiaľ ho mlčanlivosti nezbaví Národná rada Slovenskej republiky. Toto právo len posilňuje nezávislosť výkonu jeho funkcie a dáva väčšie záruky ochrane osobných údajov.
Predseda úradu zodpovedá za svoju činnosť Národnej rade Slovenskej republiky. V tejto súvislosti je povinný najmenej raz za dva roky podať správu Národnej rade Slovenskej republiky o stave ochrany osobných údajov v Slovenskej republike.
Navrhované ustanovenie zároveň ustanovuje dôvody zániku funkcie a taxatívne vymedzené dôvody odvolania predsedu úradu z funkcie. Rozsah a obsah dôvodov, za ktorých možno predsedu úradu z funkcie odvolať je v súlade s požiadavkami medzinárodných dokumentov EÚ.
§ 48
Ustanovenie sa týka kreovania funkcie podpredsedu úradu, ktorého na návrh predsedu úradu vymenúva a odvoláva vláda Slovenskej republiky. Predsedu úradu zastupuje podpredseda úradu, na ktorého sa primerané vzťahujú v zákone špecifikované ustanovenia týkajúce sa predsedu úradu.
§ 49
Ustanovenie § 49 upravuje podmienky kreovania vrchného inšpektora úradu, ktorý je na čele inšpektorov. Predmetné ustanovenie osobitne upravuje podmienky na vymenovanie
vrchného inšpektora úradu do funkcie a zároveň aj ustanovuje dôvody zániku funkcie a taxatívne vymedzené dôvody odvolania z funkcie.
§ 50
Ustanovenie § 50 upravuje podmienky vymenovania a odvolania inšpektorov úradu, ktorí vykonávajú kontrolu spracúvania osobných údajov podľa tohto zákona. Inšpektora úradu vymenúva a odvoláva predseda úradu. Navrhované ustanovenie osobitne upravuje podmienky odvolania inšpektora z funkcie.
§ 51
Ustanovenie § 51 upravuje povinnosť a podmienky zachovávania mlčanlivosti podpredsedu úradu, vrchného inšpektora úradu, inšpektorov úradu a ostatných zamestnancov úradu.
K § 52 až 60
Druhá hlava tretej časti zákona obsahuje nový návrh úpravy kontrolnej činnosti úradu. Navrhovaná úprava poskytuje prehľadnú štruktúru a postup pri kontrole, počnúc začiatkom kontroly, právami a povinnosťami kontrolného orgánu a kontrolovanej osoby, možnosť prizvať ku kontrole inú fyzickú osobu a ukončenie kontroly.
Navrhovaná úprava sa zároveň predkladá súčasne s návrhom nového postupu v konaní o ochrane osobných údajov podľa tretej hlavy tretej časti zákona (§ 62 až 66).
§ 52
Kontrolu spracúvania osobných údajov podľa tohto zákona vykonáva vrchný inšpektor, inšpektori úradu a zamestnanci úradu, ktorí členmi kontrolného orgánu (ďalej len „kontrolný orgán“), a to na základe písomného poverenia. Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle. Kontrolný orgán vykonáva kontrolu na základe ročného plánu kontrol alebo ako mimoriadnu kontrolu na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených zákonom alebo v rámci konania začatého podľa tohto zákona v prípade, že dokazovaním vznikne potreba vykonania kontroly spracúvania osobných údajov kontrolným orgánom. Kontroly môžu mať formu prevencie alebo zisťovania a preverovania skutkového stavu pri spracúvaní osobných údajov v prípade podozrenia z porušovania zákona.
Kontrola je začatá dňom doručenia oznámenia o kontrole kontrolovanej osobe, ktorou je prevádzkovateľ alebo sprostredkovateľ. V prípade, že by oznámenie pred začatím kontroly
mohlo viesť k zmareniu účelu kontroly alebo k podstatnému sťaženiu výkonu kontroly, oznámenie o kontrole môže kontrolný orgán podľa § 55 písm. a) vykonať pri začatí kontroly.
§ 53
Kontrolovaná osoba právo na primeraný a ľudský prístup kontrolného orgánu pri výkone kontroly. V záujme vyváženia práv a povinností medzi kontrolným orgánom a kontrolovanou osobou je potrebné, aby kontrolný orgán postupoval tak, aby pri výkone kontroly rešpektoval práva a právom chránené záujmy kontrolovanej osoby.
§ 54
Navrhované ustanovenie upravuje zaujatosť v kontrole a postup v prípade, ak kontrolný orgán alebo kontrolovaná osoba sa dozvedeli o skutočnostiach zakladajúcich pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe. Na rozhodovanie o zaujatosti, ktoré je zverené do právomoci predsedu úradu, sa nevzťahuje Správny poriadok.
§ 55
Kontrolný orgán je pri výkone kontroly povinný postupovať v súlade so zákonom. Za týmto účelom, aby nedochádzalo k svojvoľnému konaniu kontrolného orgánu, zákon upravuje jeho povinnosti, na ktoré nadväzujú jeho oprávnenia v nasledujúcom § 56.
§ 56
Kontrolný orgán by mal pri výkone kontroly mať možnosť, okrem plnenia si povinností, požadovať od kontrolovanej osoby také konanie, ktoré zabezpečí riadny výkon kontroly.
§ 57
Cieľom tohto ustanovenia je vymedziť povinnosti kontrolovanej osoby. je najmä povinná poskytovať kontrolnému orgánu pri výkone kontroly potrebnú súčinnosť v súlade s jeho oprávneniami a zdržať sa akéhokoľvek konania, ktoré by mohlo výkon kontroly mariť.
§ 58
Navrhované ustanovenie, v záujme vyváženého rozloženia vzájomných práv a povinnosti, upravuje práva kontrolovanej osoby.
§ 59
Informačné systémy, ktoré je úrad oprávnený kontrolovať, veľmi rôznorodé. Líšia sa nielen formou, ako prichádza k samotnému spracúvaniu, ale aj použitými prostriedkami spracúvania, ktoré môžu mať osobitý charakter. Zákon preto pamätá aj na prípady, keď bude potrebné ku kontrole informačného systému prizvať, napríklad odborníka z danej oblasti, ktorý poskytne úradu odborné stanovisko. Účasť takejto osoby na kontrole informačného systému sa považuje za iný úkon vo všeobecnom záujme, za ktorý jej patrí náhrada mzdy, prípadne platu vo výške priemerného zárobku podľa osobitného predpisu. Podmienky účasti tejto osoby na kontrole informačného systému dohodne úrad s prizvanou osobou podľa ustanovení osobitných predpisov.
Kontrolovaná osoba je oprávnená vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. O námietkach rozhodne predseda úradu, pričom na rozhodovanie sa nevzťahuje Správny poriadok.
§ 60
Ustanovenie § 60 upravuje spôsob ukončenia kontroly, ktorej výsledkom je protokol, ak sa kontrolou zistí porušenie zákona alebo záznam o kontrole, ak sa kontrolou nezistí porušenie zákona. Odsek 2 vymenúva náležitosti protokolu o vykonaní kontroly. Ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, nemá to vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu pre kontrolovanú osobu.
Kontrolovaná osoba je oprávnená oboznámiť sa s kontrolnými zisteniami uvádzanými v protokole a vyjadriť sa k nim v zákonom stanovenej lehote; písomné vyjadrenie kontrolovanej osoby je námietkou, ktorú kontrolný orgán je povinný posúdiť z hľadiska jej opodstatnenosti a vypracovať k nej dodatok k protokolu, ktorý tvorí neoddeliteľnú súčasť protokolu. O spôsobe vysporiadania sa s námietkou je kontrolný orgán povinný informovať kontrolovanú osobu.
Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu alebo dňom podpísania záznamu o kontrole. Ak kontrolovaná osoba odmietne podpísať zápisnicu o prerokovaní protokolu, kontrola sa považuje za ukončenú dňom odmietnutia jej podpísania. Moment ukončenia kontroly je dôležitým faktorom, a to najmä v kontexte konania o ochrane osobných údajov, ktoré je upravené v tretej hlave tretej časti zákona.
§ 61
Protokol o kontrole a informácie, ktoré obsahuje dokumentácia súvisiaca s výkonom kontroly, sa navrhujú vyňať z okruhu sprístupňovaných informácií podľa zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov. V Protokole sa uvádzajú všetky kontrolné
zistenia, ktoré však obsahujú aj dôverné a osobitne chránené údaje, a to nielen z pohľadu ochrany súkromia jednotlivcov ale aj bezpečnosti ich spracúvania. A práve bezpečnosť spracúvaných osobných údajov v informačnom systéme je jednou z kľúčových podmienok garantovania ústavného práva pred neoprávneným zhromažďovaním, zverejňovaním alebo iným neoprávneným nakladaním údajov o fyzickej osobe - jednotlivcovi. Prevádzkovateľ je preto pri spracúvaní osobných údajov v informačnom systéme povinný vytvoriť také podmienky jeho fungovania, ktoré zaručia ochranu osobných údajov pred ich náhodným ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Za týmto účelom je prevádzkovateľ povinný prijať primerané technické, organizačné a personálne opatrenia, často krát vo forme bezpečnostného projektu, ktorý obsahuje dôverné informácie, sprístupnením ktorých by došlo k narušeniu bezpečnosti informačného systému (resp. systémov) a teda aj ochrany osobných údajov garantovanej samotnou Ústavou Slovenskej republiky. Ani súčasne platný zákon o ochrane osobných údajov z uvedeného dôvodu neoprávňuje prevádzkovateľa sprístupňovať, poskytovať alebo zverejňovať prijaté bezpečnostné opatrenia na zabezpečenie primeranej ochrany spracúvaných osobných údajov v informačnom systéme.
Úrad je oprávnený vykonávať kontrolu informačných systémov nielen u právnických osôb a fyzických osôb, ktoré boli zriadené štátom, ale aj u tých, ktoré prevádzkujú informačné systémy v rámci privátneho sektoru. Oprávnenia a povinnosti kontrolných orgánov a kontrolovaných osôb bolo potrebné prispôsobiť konkrétnym podmienkam a požiadavkám, ktoré sa na kontrolnú činnosť kladú v oblasti ochrany osobných údajov. Takéto riešenie prispieva k prehľadnosti a transparentnosti práv a povinností ako kontrolného orgánu, tak aj kontrolovaných osôb pri výkone kontroly.
K § 62 až 66
Úprava ustanovení § 62 66 je obsiahnutá v tretej hlave tretej časti zákona. Táto úprava poskytuje odchýlky potrebné v konaní o ochrane osobných údajov podľa tohto zákona z dôvodu špecifického charakteru hmotnoprávnej úpravy v oblasti ochrany osobných údajov ako neoddeliteľnej súčasti základných práv a slobôd.
Pokiaľ nie je v návrhu zákona ustanovené inak, na konanie sa subsidiárne aplikujú pravidlá vyplývajúce zo Správneho poriadku.
§ 62
Ustanovenie § 62 vo všeobecnosti upravuje účel konania o ochrane osobných údajov, ktoré je z hľadiska citlivosti tejto problematiky neverejné. Účelom konania je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia nedostatkov, uložiť im opatrenia na nápravu, prípadne sankciu za porušenie tohto zákona.
§ 63
Konanie možno začať na návrh alebo bez návrhu. Návrh na začatie konanie môže podať každá fyzická alebo právnická osoba, pričom zákon diferencuje medzi osobami podávajúcimi takýto návrh. Navrhovateľom a teda aj účastníkom konania podľa tohto zákona je len fyzická osoba, ktorá je zároveň dotknutou osobou alebo osobou, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom. Iná fyzická osoba alebo právnická osoba, ktorá podá návrh na začatie konania, nie je účastníkom konania. Takýto návrh inej fyzickej osoby alebo právnickej osoby úrad posúdi ako podnet.
Odsek 2 upravuje náležitosti, ktoré je navrhovateľ povinný uviesť v návrhu na začatie konania, ktoré zohľadňujú hmotnoprávnu úpravu v oblasti ochrany osobných údajov. V odôvodnených prípadoch sa navrhuje, aby úrad mohol utajiť totožnosť navrhovateľa. V záujme ochrany práv a právom chránených záujmov dotknutej osoby sa aj podľa súčasne platného zákona uplatňoval inštitút utajenia totožnosti. Jedná sa napríklad o situácie, kedy napríklad zamestnanec „bonzuje“ na svojho zamestnávateľa. Podanie návrhu na začatie konania sa nemôže stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by dotknutej osoby spôsobilo ujmu.
Odsek 3 a 6 vymenúvajú situácie, kedy úrad môže návrh na začatie konania alebo podnet, okrem dôvodov uvedených v Správnom poriadku, odložiť.
Úrad začne konanie z vlastnej iniciatívy na základe podnetu alebo výsledkov kontroly, ktorou boli zistené nedostatky.
§ 64
Lehota na vybavenie veci je rovnaká ako v doteraz platnej právnej úprave. Úrad rozhodne v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne informuje účastníkov konania.
Ak je počas konania potrebné vykonať kontrolu, lehota na vybavenie veci podľa odseku 1 neplynie odo dňa začatia kontroly až do dňa skončenia kontroly.
§ 65
Ustanovenie § 65 upravuje rozhodnutie vo veci, ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom zo strany prevádzkovateľa alebo sprostredkovateľa. V takom prípade úrad rozhodnutím uloží, aby prevádzkovateľ alebo sprostredkovateľ v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku. Prevádzkovateľ alebo sprostredkovateľ je následne povinný informovať úrad o splnení uložených opatrení v úradom určenej lehote.
§ 66
Proti rozhodnutiu úradu je účastník konania oprávnený podať rozklad v zákonom stanovenej lehote. Navrhované ustanovenie zároveň určuje aj lehotu pre podanie rozkladu voči predbežnému opatreniu. O podanom rozklade bude rozhodovať predseda úradu.
K § 67 až 71
Štvrtá hlava tretej časti návrhu zákona upravuje sankcie za porušenie zákona a zverejnenie porušenia zákona.
§ 67
Sankciami za porušenie zákona pokuta a poriadková pokuta. Podľa bodu 55 Memoranda k smernici 95/46/ES: „sankcie musia byť uvalené na každého, kto nedodržuje vnútroštátne predpisy prijaté na základe tejto smernice, bez ohľadu na to, či sa osoba riadi súkromným alebo verejným právom“.
Slovenská republika sa vo výške sankcií a v ich tvrdosti za porušenie tohto zákona radí v rámci 27 členských štátov na cca 20. – 21. miesto.
§ 68
Za porušenie povinností ustanovených týmto zákon možno diferencovane, podľa závažnosti, rozsahu a času trvania, následkoch protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života a počtu dotknutých osôb, prevádzkovateľovi alebo sprostredkovateľovi uložiť pokutu. Týmto sa v súlade s medzinárodnou praxou vytvárajú dostatočné záruky a tlak na zákonné správanie sa zainteresovaných osôb.
Podľa navrhovaného ustanovenia možno uložiť pokutu aj inej osobe ako je prevádzkovateľ alebo sprostredkovateľ, a to v zákonom ustanovených prípadoch.
§ 69
Navrhované ustanovenie § 69 upravuje podmienky, za ktorých je úrad oprávnený uložiť poriadkovú pokutu. Ak prevádzkovateľ alebo sprostredkovateľ nezabezpečí kontrolnému orgánu primerané podmienky na výkon kontroly, možno mu uložiť poriadkovú pokutu do výšky 1 500 eur. Ak prevádzkovateľ alebo sprostredkovateľ marí výkon kontroly, možno mu uložiť pokutu až do výšky 15 000 eur. Len na porovnanie uvádzame, že v Českej republike je táto pokuta až jeden milión českých korún. Ide o poriadkové opatrenie donucovacieho charakteru s cieľom zabrániť
zbytočným prieťahom a rušivým vplyvom zo strany prevádzkovateľa, sprostredkovateľa a oprávnených osôb, ktoré by mohli ohroziť výkon alebo výsledok kontroly. Za marenie výkonu kontroly možno považovať najmä neumožnenie vstupu do priestorov a na pozemok prevádzkovateľa alebo sprostredkovateľa, nezabezpečenie povereného zamestnanca, ak pri výkone kontroly nie je prítomný samotný štatutárny orgán kontrolovanej osoby, nedôvodné prekladanie termínu kontroly, ak bola vopred oznámená alebo nedostavenie sa na určené miesto kontroly, ak bola vopred dohodnutá, nepredloženie požadovaných dokladov, písomností alebo elektronicky spracúvaných údajov v priebehu kontroly a pod. Navrhovaná úprava tiež rieši sankciu formou poriadkovej pokuty za nesplnenie povinnosti zverejnenia porušenia zákona uloženého prevádzkovateľovi alebo sprostredkovateľovi.
§ 70
Ustanovenie § 70 je spoločným ustanovením k úprave týkajúcej sa ukladania pokút a poriadkových pokút. Navrhované ustanovenie upravuje postup a lehoty pri ich ukladaní. Ponecháva sa právo predsedu úradu rozhodnúť o rozklade v lehote 60 dní tak, ako je tomu i podľa súčasne platnej právnej úpravy. Zároveň sa navrhuje, aby v odôvodených prípadoch úrad mohol rozhodnutím povoliť odklad platenia pokuty alebo poriadkovej pokuty, alebo povoliť platenie pokuty alebo poriadkovej pokuty v splátkach. Táto požiadavka sa javí byť na základe aplikačnej praxe dôvodná.
§ 71
Ustanovenia § 71 upravuje oprávnenie a postup úradu pri zverejnení nezákonného konania prevádzkovateľa alebo sprostredkovateľa, ak svojim konaním spôsobil ujmu dotknutým osobám na ich právach pri spracúvaní ich osobných údajov alebo inak porušil povinnosti uložené týmto zákonom, medzi ktoré možno rátať aj nesplnenie úradom uložených opatrení na nápravu. Takýto inštitút existuje v Slovenskej republike od 1. marca 1998, kedy nadobudol účinnosť zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch. Táto možnosť zverejnenia je zakotvená v obdobných zákonoch členských štátov Európskej únie a je veľmi účinnou formou prevencie.
K § 72
Ustanovenie § 72 ustanovuje, kedy sa na konanie podľa tohto zákona vzťahuje Správny poriadok.
K § 73
Úrad je dozorným orgánom v oblasti ochrany osobných údajov s celoslovenskou
pôsobnosťou. Pri výkone dozoru plní zákonom ustanovené úlohy. Na to, aby úrad mohol plnohodnotne vykonávať svoju činnosť sa ustanovuje, že každý je povinný umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona a rozhodnutí vydaných na jeho základe.
K § 74
Ustanovenie § 74 upravuje súčinnosť, ktorej účelom je zabezpečiť úradu nevyhnutné podmienky pre výkon jeho úloh.
V odseku 1 sa ukladá každému, bez ohľadu na to, či ide o orgán štátnej správy, orgán územnej samosprávy, iný orgánom verejnej moci, prevádzkovateľa, sprostredkovateľa, inú právnickú osobu alebo fyzickú osobu, poskytovať úradu potrebnú pomoc, a to nielen v prípadoch, keď sú sami účastníkmi konania.
Odsek 2 zaväzuje prevádzkovateľov a sprostredkovateľov strpieť všetky úkony úradu smerujúce k zisteniu všetkých okolností potrebných na objektívne posúdenie veci.
Navrhované ustanovenie je adekvátne poslaniu úradu a je formulované tak, aby prispievalo k účinnému objasňovaniu a odhaľovaniu nezákonného spracúvania osobných údajov.
K § 75 až 77
Navrhované § 75 a 76 prechodnými ustanoveniami, v rámci ktorých je potrebné sa vysporiadať s úradom a jeho funkcionármi 75) a s ustanoveniami súvisiacimi s úpravami a zmenami vykonanými oproti súčasne platnej právnej úpravy (§ 76).
Ochrana osobných údajov je neoddeliteľnou súčasťou práva na rešpektovanie súkromia patriaceho medzi základné práva a slobody fyzických osôb garantované samotnou Ústavou Slovenskej republiky, podľa ktorej Každý právo na ochranu pred neoprávneným zasahovaním do súkromného a rodinného života. a Každý právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe.“. Uvedené ústavné práva boli v podmienkach Slovenskej republiky zakotvené do zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov, ktorého účelom je chrániť práva každého, o kom sa osobné údaje spracúvajú. Novým návrhom zákona dochádza k zmene a úprave a precizovaniu viacerých ustanovení, vrátane ustanovení upravujúcich vzťah medzi prevádzkovateľom a sprostredkovateľom, bezpečnostných opatrení, poučenia oprávnených osôb, inštitútu zodpovednej osoby, registrácie, osobitnej registrácie a evidencie informačných systémov. Vzhľadom na uvedené bolo potrebné prehodnotiť viaceré ustanovenia tak, aby korešpondovali s ostatnými zavádzanými úpravami. Nová právna úprava vyžaduje, aby prevádzkovatelia zosúladili spracúvanie osobných údajov vo svojich informačných systémoch s navrhovanou úpravou v lehotách, ktoré sú uvedené v prechodných ustanoveniach.
Zároveň sa navrhuje 77), aby konania začaté do účinnosti tohto zákona, sa dokončili podľa doterajších predpisov.
K § 78
Týmto zákonom sa preberá smernica 95/46/ES.
K § 79
Ustanovením § 79 sa zrušuje doteraz platný zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
Čl. II
Navrhovaná právna úprava priamo súvisí s ustanovením § 41 zákona. Registrácia informačných systémov odborne priamo súvisí s výkonom dozoru nad ochranou osobných údajov. Doterajšia prax ukázala, že je potrebné, aby proces registrácie efektívne plnil plnohodnotnú funkciu pre dozor nad ochranou osobných údajov, len ako jeho integrálna súčasť. V záujme zvýšenia úrovne ochrany osobných údajov v Slovenskej republike a potreby dôsledného dodržiavania a rešpektovania práv dotknutých osôb na ochranu ich súkromia a osobných údajov sa zavádza spoplatnenie registrácie, osobitnej registrácie a ich zmien. Ochrana osobných údajov si vyžaduje určitý stupeň vážnosti, a to s poukazom na jej začlenenie medzi základné práva a slobody fyzických osôb. Neoprávnené zásahy do týchto práv môžu dotknutej osobe privodiť ujmu. Je preto potrebné sa dôslednejšie zaoberať každým procesom spracúvania osobných údajov a dbať, aby osobné údaje boli v informačnom systéme spracúvané v súlade s týmto zákonom. Zavedením poplatkov prevádzkovatelia budú nútení dôslednejšie sa zaoberať spracúvaním osobných údajov vo svojich informačných systémoch.
Navrhovanou úpravou sa zároveň zohľadňuje vecná a časová náročnosť vykonávaných úkonov a konaní, ktorá, vzhľadom na zložitosť problematiky, vzrástla. Návrhom zákona sa súčasne zvyšuje zodpovednosť úradu pri riešení žiadostí o registráciu, osobitnú registráciu a ich zmenu v intenciách zákona.
Zavedenie poplatkov za registráciu, osobitnú registráciu a ich zmien predpokladá úpravu zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov, kde sa navrhuje doplniť nová časť s názvom „Ochrana osobných údajov“ a novou položkou s presným vymedzením spoplatnených úkonov.
Čl. III
Návrhom zákona sa novelizuje zákon č. 215/2004 Z. z. o ochrane utajovaných
skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov v dôsledku potreby osobitnej úpravy monitorovania objektov a chránených priestorov podľa uvedeného zákona.
Čl. IV
Navrhovaná právna úprava priamo súvisí s ustanovením § 50 návrhu zákona, ktoré zavádza zmenu v menovaní inšpektorov. Podľa doteraz platnej právnej úpravy, inšpektorov vymenúvala a odvolávala vláda Slovenskej republiky na návrh predsedu úradu, pričom podľa nanovo navrhovanej úpravy inšpektorov bude vymenúvať a odvolávať predseda úradu. Navrhovaná zmena bude upravovať postavenie inšpektora ako štátneho zamestnanca úradu tak, aby to bolo v súlade so zákonom č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Čl. V
Článok VI upravuje navrhovaný dátum účinnosti zákona.
V Bratislave, 9. januára 2013
Robert Fico
predseda vlády Slovenskej republiky
Tomáš Borec
minister spravodlivosti Slovenskej republiky