Dôvodová správa

DÔVODOVÁ SPRÁVA

Všeobecná časť

Návrh zákona sa predkladá na základe vlastnej iniciatívy. Návrh zákona si vyžiadala potreba aplikačnej praxe.

Hlavným cieľom zákona o ochrane osobných údajov je poskytovať ochranu právam fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov. Jeho obsahom sa tak zabezpečila ochrana a uplatňovanie Ústavou Slovenskej republiky garantovaných ľudských práv v intenciách transpozície Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES“) v kontexte konkrétnych pripomienok hodnotiacej misie Európskej komisie vyplývajúcich zo „Štruktúrovaného dialógu o ochrane osobných údajov“, plnenia úloh obsiahnutých v Schengenskom akčnom pláne Slovenskej republiky, ktoré predpokladali prijatie legislatívnej úpravy a doplnenia výsledkov posúdenia dovtedy platného zákona z pohľadu aplikačnej praxe.

Účelom predkladaného materiálu je najmä minimalizovať nejasnosti a zjednodušiť a uľahčiť niektoré požiadavky pri plnení povinností v rámci procesu spracúvania osobných údajov fyzických osôb zo strany prevádzkovateľov a sprostredkovateľov.

Predkladaný návrh zákona predovšetkým zohľadňuje vzťah medzi prevádzkovateľom a oprávnenou osobou, ktorá u prevádzkovateľa prichádza do styku s osobnými údajmi. Návrh zákona v definícii oprávnenej osoby v tejto súvislosti predpokladá zmenu „pracovného pomeru“ na „pracovnoprávny vzťah“, nakoľko vznik funkcie oprávnenej osoby nie je viazaný výlučne len na pracovný pomer, ale oprávnenou osobou môže byť napríklad aj fyzická osoba, ktorá vykonáva činnosť na základe dohody o vykonaní práce alebo dohody o pracovnej činnosti, fyzická osoba vykonávajúca absolventskú prax, či iná fyzická osoba. Pri oprávnenej osobe, predkladateľ má zároveň snahu znížiť aj administratívnu záťaž, pokiaľ ide o obsah poučenia oprávnenej osoby, a preto zúžil jeho rozsah a ponechal ho v nevyhnutnej miere pri zachovaní požiadaviek smernice 95/46/ES.

Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, v rozsahu, za podmienok a na účel dohodnutý v zmluve s prevádzkovateľom a spôsobom podľa tohto zákona. Návrh zákona v tejto súvislosti predpokladá zníženie záťaže a zodpovednosti z hľadiska informačnej povinnosti voči prevádzkovateľovi v prípade porušenia zákona o ochrane osobných údajov a následne voči úradu, ak nedôjde k náprave. Obdobne predkladateľ postupoval aj v prípade úpravy informačnej povinnosti zodpovednej osoby voči úradu, ak nedôjde k náprave na strane prevádzkovateľa.

Návrh zákona však mení najmä celkovú obligatórnosť ukladania pokút a poriadkových pokút. Ukladanie pokút a poriadkových pokút za porušenie povinností ustanovených zákonom o ochrane osobných údajov predkladateľ navrhuje rozčleniť na fakultatívne a obligatórne, a to najmä v závislosti od jednotlivých typov povinností, ich podstaty a závažnosti ich porušení. Skutočnosť, či úrad v prípade fakultatívnosti pokutu uloží a samotná výška pokuty sa budú následne odvíjať od závažnosti, rozsahu a času trvania, následkoch protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života jednotlivcov a počtu dotknutých osôb. Týmto diferencovaním medzi fakultatívne a obligatórne pokuty sa v súlade so smernicou 95/46/ES a medzinárodnou praxou vytvárajú dostatočné záruky a tak na zákonné správanie sa zainteresovaných osôb. Zmiernenie dopadov z hľadiska správneho trestania sa zároveň odzrkadľuje aj na znížení hornej hranice jednotlivých pokút a vypustení priameho sankcionovania oprávnenej osoby a zodpovednej osoby zo strany úradu.

Návrh zákona precizuje úpravu aj čo sa týka úradu a jeho činnosti, najmä pokiaľ ide o jednu z nosných činností úradu v rámci výkonu dozoru nad ochranou osobných údajov, ktorou je kontrola. Táto si vyžaduje svoje pravidlá v postupe, práva a povinnosti, či už kontrolného orgánu alebo kontrolovanej osoby, a preto návrh zákona dopĺňa aj postup pri doručovaní písomností v rámci kontroly. Obdobne je to aj v prípade konania o ochrane osobných údajov, na ktoré sa subsidiárne vzťahuje zákon č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov.

Návrh zákona tak pri zachovaní požiadaviek smernice 95/46/ES a doterajšej praxe zohľadňuje potreby, a to zo strany prevádzkovateľov, sprostredkovateľov, ako aj úradu.

Predložený návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi a ostatnými všeobecne záväznými právnymi predpismi Slovenskej republiky, s medzinárodnými zmluvami, ktorými je Slovenská republika viazaná ako aj s právom Európskej únie.

Doložka zlučiteľnosti

právneho predpisu s právom Európskej únie

1. Predkladateľ právneho predpisu:

vláda Slovenskej republiky

2.Názov návrhu právneho predpisu:

Návrh zákona, ktorým sa mení a dopĺňa zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

3.Problematika návrhu právneho predpisu:

a)je upravená v práve Európskej únie

−primárnom

čl. 6 a čl. 39 Zmluvy o Európskej únii

čl. 16 Zmluvy o fungovaní Európskej únie

čl. 8 Charty základných práv Európskej únie

−sekundárnom (prijatom po nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskej únii a Zmluva o založení Európskeho spoločenstva– po 30. novembri 2009)

1.legislatívne akty

2.nelegislatívne akty

Rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39, 12. 2. 2010)

Rozhodnutie Komisie z 5. marca 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovanej faerským zákonom o spracovaní osobných údajov (2010/146/EÚ) (Ú. v. EÚ L 58, 9.3.2010)

Rozhodnutie Komisie z 19. októbra 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Andorre (2010/625/EÚ) (Ú. v. EÚ L 277, 21.10.2010)

Rozhodnutie Komisie z 31. januára 2011 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov Izraelským štátom, pokiaľ ide o automatizované spracovanie osobných údajov (2011/61/EÚ) (Ú. v. EÚ L 27, 1.2.2011)

−sekundárnom (prijatom pred nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskej únii a Zmluva o založení Európskeho spoločenstva – do 30. novembra 2009)

Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv.15) v platnom znení

Rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)

Rozhodnutie Komisie z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/ zv. 1)

Rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 26) v platnom znení

Rozhodnutie Komisie z 20. decembra 2001 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov poskytovaných kanadským Zákonom o ochrane osobných informácií a elektronických dokumentoch (2002/2/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 27)

Rozhodnutie Komisie z 30. júna 2003 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov v Argentíne (2003/490/3S) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 31)

Rozhodnutie Komisie z 21. novembra 2003 o primeranej ochrane osobných údajov na Guernsey (2003/821/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)

Rozhodnutie Komisie z 28. apríla 2004 o primeranej ochrane osobných údajov na ostrove Man (2004/411/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 34)

Rozhodnutie Komisie z 8. mája 2008 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Jersey (2008/393/ES) (Ú. v. EÚ L 138, 28.5.2008)

b)je obsiahnutá v judikatúre Súdneho dvora Európskej únie

Rozhodnutie Súdneho dvora vo veci C-101/01 proti Bodil Lindqvist (2003)

Rozhodnutie Súdneho dvora vo veci C-524/06 Heinz Huber proti Spolkovej republike Nemecko (2008)

Rozhodnutie Súdneho dvora vo veci C 553/07 College van burgemeester en wethouders van Rotterdam proti E. E. Rijkeboer (2009)

Rozhodnutie súdneho dvora v spojenej veci C-92/09 a C-93/09 Volker und Markus Schecke GbR (C 92/09) a Hartmut Eifert (C 93/09) proti Spolkovej krajine Hesensko (2010)

Rozhodnutie Súdneho dvora vo veci C-518/07 Komisia Európskych spoločenstiev proti Spolkovej republike Nemecko (2010)

4.Záväzky Slovenskej republiky vo vzťahu k Európskej únii:

a)lehota na prebratie smernice alebo lehota na implementáciu nariadenia alebo rozhodnutia

Transpozičná lehota Smernice 95/46/ES bola 1. mája 2004. Smernica 95/46/ES bola transponovaná do zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.

b)informácia o konaní začatom proti Slovenskej republike o porušení Zmluvy o fungovaní Európskej únie podľa čl. 258 až 260 tejto zmluvy

Proti Slovenskej republike nebolo začaté konanie o porušení Zmluvy o fungovaní Európskej únie podľa čl. 258 až 260 Zmluvy o fungovaní Európskej únie.

c)informácia o právnych predpisoch, v ktorých sú preberané smernice už prebraté spolu s uvedením rozsahu tohto prebratia

Podľa súčasne platného právneho poriadku Slovenskej republiky, Smernica 95/46/ES je prebratá do súčasne platného zákona – úplná zhoda.

5.Stupeň zlučiteľnosti návrhu právneho predpisu s právom Európskej únie:

Stupeň zlučiteľnosti - úplný

6.Gestor a spolupracujúce rezorty:

Úrad na ochranu osobných údajov Slovenskej republiky

Doložka vybraných vplyvov

A.1. Názov materiálu:

Návrh zákona, ktorým sa mení a dopĺňa zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Termín začatia a ukončenia PPK:

A.2. Vplyvy:

Pozitívne*

Žiadne*

Negatívne*

1. Vplyvy na rozpočet verejnej správy

2. Vplyvy na podnikateľské prostredie – dochádza k zvýšeniu regulačného zaťaženia?

3. Sociálne vplyvy

– vplyvy na hospodárenie obyvateľstva

– sociálnu exklúziu

– rovnosť príležitostí a rodovú rovnosť

a vplyvy na zamestnanosť

4. Vplyvy na životné prostredie

5. Vplyvy na informatizáciu spoločnosti

* Predkladateľ označí znakom x zodpovedajúci vplyv (pozitívny, negatívny, žiadny), ktorý návrh prináša v každej oblasti posudzovania vplyvov. Návrh môže mať v jednej oblasti zároveň pozitívny aj negatívny vplyv, v tom prípade predkladateľ označí obe možnosti. Bližšie vysvetlenie označených vplyvov bude obsahovať analýza vplyvov. Isté vysvetlenie, či bilanciu vplyvov (sumárne zhodnotenie, ktorý vplyv v danej oblasti prevažuje) môže predkladateľ uviesť v poznámke.

A.3. Poznámky

A.4. Alternatívne riešenia

Alternatívne riešenia sa nenavrhujú.

A.5. Stanovisko gestorov

Vplyvy na podnikateľské prostredie

3.1. Ktoré podnikateľské subjekty budú predkladaným návrhom ovplyvnené a aký je ich počet?

Návrh zákona sa vzťahuje na každého, kto spracúva osobné údaje fyzických osôb - jednotlivcov (prevádzkovateľ a sprostredkovateľ).

3.2. Aký je predpokladaný charakter a rozsah nákladov a prínosov?

Prevádzkovatelia a sprostredkovatelia, ktorí spracúvajú osobné údaje, sú povinní dodržiavať povinnosti ustanovené zákonom, aby nedochádzalo k porušovaniu základných ľudských práv a slobôd fyzických osôb.

Návrhom zákona sa najmä zmierňujú dopady z hľadiska sankcionovania v prípade porušovania povinností pri spracúvaní osobných údajov. Pokuty sa navrhujú rozčleniť na fakultatívne a obligatórne, a to v závislosti od jednotlivých typov povinností, ich podstaty a závažnosti ich porušovania. Súčasne sa navrhuje zníženie horných hraníc jednotlivých pokút a vypustenie priameho sankcionovania oprávnenej a zodpovednej osoby.

Návrhom zákona sa zníži aj záťaž, pokiaľ ide o rozsah poučenia oprávnených osôb, či informačnú povinnosť sprostredkovateľa voči prevádzkovateľovi a úradu.

3.3. Aká je predpokladaná výška administratívnych nákladov, ktoré podniky vynaložia v súvislosti s implementáciou návrhu?

Žiadne.

3.4. Aké sú dôsledky pripravovaného návrhu pre fungovanie podnikateľských subjektov na slovenskom trhu (ako sa zmenia operácie na trhu?)

Vyššia právna istota prevádzkovateľov a sprostredkovateľov pri plnení povinností v oblasti ochrany osobných údajov, zefektívnenie plnenia povinností za zachovania ochrany osobných údajov a súkromia jednotlivcov a zníženie najmä administratívnej záťaže.

3.5. Aké sú predpokladané spoločensko – ekonomické dôsledky pripravovaných regulácií?

Žiadne.

B. Osobitná časť

Čl. I

K bodu 1

Úprava vzťahu medzi prevádzkovateľom a oprávnenou osobou. Oprávnenou osobou môže byť len fyzická osoba, ktorá u prevádzkovateľa prichádza do styku s osobnými údajmi, pričom oprávnenou osobou môže byť nielen zamestnanec, ale napríklad aj fyzická osoba, ktorá vykonáva činnosť na základe dohody o vykonaní práce alebo dohody o pracovnej činnosti, fyzická osoba vykonávajúca absolventskú prax, či iná fyzická osoba na základe poverenia. Navrhovanou úpravou sa predíde poverovaniu za účelom vzniku funkcie oprávnenej osoby, ktorá je v pracovnoprávnom vzťahu (nielen v pracovnom pomere) k prevádzkovateľovi.

K bodu 2

Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, v rozsahu, za podmienok a na účel dohodnutý v zmluve s prevádzkovateľom a spôsobom podľa tohto zákona. Navrhovaná úprava zákona predpokladá zníženie nielen administratívnej záťaže, ale aj súvisiacej zodpovednosti z hľadiska informačnej povinnosti voči prevádzkovateľovi v prípade porušenia zákona o ochrane osobných údajov a následne voči úradu, ak nedôjde k náprave zo strany prevádzkovateľa.

K bodom 3, 21 a 27

Legislatívno-technické úpravy vnútorných odkazov súvisiace s novelizačným bodom 2 (vypustenie odsekov 8 a 9 v § 8).

K bodu 4

Navrhovaná úprava umožňuje prevádzkovateľovi, ktorý je zamestnávateľom, aby okrem sprístupnenia alebo zverejnenia, mohol poskytnúť osobné údaje svojho zamestnanca v zákonom stanovenom rozsahu, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností zamestnanca. Uvedeným sa vytvorí predpoklad na poskytovanie a spracúvanie zamestnaneckých kontraktných údajov, ktoré sú súčasťou existujúcich informačných systémov osobných údajov bez vytvárania ďalšej administratívy, či záťaže. Takéto poskytnutie však nemôže narušiť vážnosť, dôstojnosť a bezpečnosť zamestnanca.

K bodu 5

Cieľom návrhu je doplniť výnimku z informačnej povinnosti prevádzkovateľa voči dotknutej osobe, pokiaľ prevádzkovateľ spracúva jej osobné údaje na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo osobitného zákona podľa § 10 ods. 1 a 2 zákona o ochrane osobných údajov.

K bodu 6

Navrhovaná úprava zúži rozsah poučenia oprávnenej osoby a ponechá ho v nevyhnutnej miere pri zachovaní požiadaviek smernice 95/46/ES.

K bodom 7 až 10, 12, 13, 19, 22, 25, 28

Legislatívno-technické úpravy vnútorných odkazov súvisiace s novelizačným bodom 31 (vypustenie písmen d) a f) v § 68 ods. 7).

K bodu 11

Navrhovaná úprava zákona predpokladá zníženie záťaže a súvisiacej zodpovednosti z hľadiska informačnej povinnosti zodpovednej osoby voči úradu, ak nedôjde k náprave na strane prevádzkovateľa.

K bodu 14

Legislatívna úprava a zosúladenie zodpovednosti s úlohami, ktoré plní vrchný inšpektor úradu podľa zákona o ochrane osobných údajov.

K bodu 15

Navrhovaná úprava dopĺňa postup kontrolného orgánu úradu pri doručovaní písomností v kontrole, ktorý sa ako jediný v rámci kontroly navrhuje upraviť v intenciách zákona č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov.

K bodom 16 a 17

Navrhovanou úpravou sa odstráni duplicita so zákonom č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov, ktorý sa subsidiárne aplikuje na konanie o ochrane osobných údajov.

K bodom 18, 20, 23, 24, 26, 29 až 32

Ukladanie pokút a poriadkových pokút za porušenie povinností ustanovených zákonom o ochrane osobných údajov sa navrhuje rozčleniť na fakultatívne a obligatórne, a to v závislosti od jednotlivých typov povinností, ich podstaty a závažnosti ich porušenia. Skutočnosť, či úrad v prípade fakultatívnosti pokutu uloží a výška pokuty sa budú následne odvíjať od závažnosti, rozsahu a času trvania, následkoch protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života a počtu dotknutých osôb.

Týmto diferencovaním medzi fakultatívne a obligatórne pokuty sa v súlade so smernicou 95/46/ES a medzinárodnou praxou vytvárajú dostatočné záruky a tak na zákonné správanie sa zainteresovaných osôb.

Zmiernenie dopadov z hľadiska správneho trestania sa zároveň odzrkadľuje aj na znížení hornej hranice jednotlivých pokút a vypustení priameho sankcionovania oprávnenej osoby a zodpovednej osoby zo strany úradu.