1
DÔVODOVÁ SPRÁVA
A. VŠEOBECNÁ ČASŤ
Účelom návrhu zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“) je dosiahnuť súlad vnútroštátneho právneho poriadku pre oblasť ochrany osobných údajov s Nariadením Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. L 119,4.5.2016) (ďalej len „nariadenie“), ktoré vstúpilo do platnosti dňa 24. mája 2016 s dvojročným prechodným obdobím na zosúladenie sa s vnútroštátnymi právnymi poriadkami členských štátov, teda aj právnym poriadkom Slovenskej republiky. Nariadenie sa začne uplatňovať od 25. mája 2018. Nariadenie ruší smernicu Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995) v znení (Ú. v. ES L 284, 31.10.2003) (ďalej len „smernica 95/46“).
Návrhom zákona sa zároveň transponuje Smernica Európskeho parlamentu a rady (EÚ) č. 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. L 119, 4.5.2016) (ďalej len „smernica“) do právneho poriadku Slovenskej republiky.
Nariadenie a smernica vytvárajú nový modernizovaný právny rámec ochrany osobných údajov, ktorý za cieľ zabezpečiť rešpektovanie základných práv a slobôd, predovšetkým práva na ochranu osobných údajov v prostredí nových a stále častejšie používaných informačných a komunikačných technológií a zároveň podporiť posilňovanie a zbližovanie ekonomík členských štátov Európskej únie v rámci vnútorného trhu Európskej únie. Nový právny rámec ochrany osobných údajov zohľadňuje zmeny v oblasti spracúvania osobných údajov za obdobie viac ako dvadsiatich rokov od prijatia smernice 95/46.
V súčasnosti sa osobné údaje v omnoho väčšej miere spracúvajú tak v rámci verejného, ako aj súkromného sektora a vykonáva sa ich „prenos“ prostredníctvom informačno - komunikačných technológií, tak v rámci krajín Európskej únie, ako aj do tretích krajín, či zaručujúcich alebo nezaručujúcich primeranú ochranu osobných údajov na základe rozhodnutí Európskej Komisie o primeranosti a tiež medzinárodným organizáciám. Nemožno opomenúť ani rozšírenie globálneho podnikania, výskyt materských spoločností a ich dcérskych spoločností so sídlom a prevádzkarňami v rôznych krajinách sveta a s tým spojeného globálneho spracúvania a prenosov osobných údajov.
Zmeny nastali aj v oblasti uchovávania osobných údajov; osobné údaje uchovávané postupne stále viac v elektronickej podobe prostredníctvom tzv. „cloudových služieb“. Úložiská osobných údajov, tzv. „cloudy“, sa často nachádzajú mimo územia Európskej únie alebo Európy. Návrh zákona prináša komplexnú, prepracovanú a precizovanú úpravu práv dotknutých osôb.
Spracúvanie osobných údajov je potrebné a nevyhnutné aj na účely zabezpečenia činnosti orgánov verejnej moci spojených s plnením ich funkcií podľa zákona. Je potrebné zabezpečiť ochranu osobných údajov v súlade s medzinárodnými záväzkami Slovenskej republiky a ústavnými garanciami. Z tohto dôvodu predkladaný návrh zákona je implementačným aktom pre nariadenie a zároveň sa ním transponuje do právneho poriadku smernica. Návrh zákona predstavuje komplexný právny rámec ochrany osobných údajov pre spracovateľské operácie s osobnými údajmi, ktoré sa vykonávajú v rámci činností, ktoré nespadajú do pôsobnosti práva Európskej únie, a ktorý je zosúladený a do najvyššej možnej miery konzistentný s právnou úpravou ochrany osobných údajov v nariadení. Týmto postupom sa predchádza vytvoreniu právneho vákua v oblasti ochrany osobných údajov, keďže návrhom zákona
2
bude zrušený zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. a dve vyhlášky úradu k nemu prislúchajúce.
Ochrana osobných údajov sa dotýka celého právneho poriadku Slovenskej republiky, návrh zákona zabezpečuje prostredníctvom priamych noviel súlad identifikovaných osobitných právnych predpisov upravujúcich spracúvanie osobných údajov s návrhom zákona, nariadením, ako aj smernicou. Takto bude zaistený plynulý výkon činností a úloh dotknutých subjektov, vrátane požiadaviek vyplývajúcich zo smernice pre tzv. „príslušné orgány“.
Na úrovni európskeho práva a medzinárodnej spolupráce si prijatím novej právnej úpravy Slovenská republika splní svoje záväzky vyplývajúce jej z členstva v Európskej únii. Nezosúladenie vnútroštátneho právneho poriadku s nariadením a netransponovanie smernice by mohlo byť Európskou komisiou považované za nesplnenie povinností vyplývajúcich Slovenskej republike z primárneho práva Európskej únie (Zmluva o Európskej únii a Zmluva o fungovaní Európskej únie), následne by Európska komisia na základe článku 258 Zmluvy o fungovaní Európskej únie mohla predložiť túto záležitosť Súdnemu dvoru Európskej únie.
Súčasný legislatívny rámec úpravy všeobecnej ochrany osobných údajov tvoria najmä tieto právne predpisy: ústavný zákon č. 460/1992 Zb. Ústava Slovenskej republiky v znení neskorších predpisov, zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (ďalej len „zákon č. 122/2013 Z. z.“), vyhláška č. 164/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky úradu č. 117/2014 Z. z., vyhláška č. 165/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby, zákon č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov.
Cieľom novej právnej úpravy je zabezpečiť jednotnú právnu reguláciu ochrany osobných údajov v právnom poriadky Slovenskej republiky a zaistiť tak výkon práv dotknutých osôb a kontrolu nad spracúvaním ich osobných údajov a tak podporiť dôveru dotknutých osôb v právny rámec zabezpečujúci ich základné ľudské práva, najmä právo na súkromie a tiež upraviť práva a povinnosti prevádzkovateľov a sprostredkovateľov s dôrazom na materiálne plnenie stanovených povinností a zaistenie reálnej bezpečnosti spracúvania osobných údajov. Návrh zákona upravuje úlohy a právomoci úradu, ako dozorného orgánu nad ochranou osobných údajov vrátane ich rozšírenia pre oblasť vzájomnej spolupráce medzi dozornými orgánmi v jednotlivých členských štátoch Európskej únie. Návrhom zákona dochádza k potrebnej aktualizácii terminológie v rámci právneho poriadku Slovenskej republiky spojenej so spracúvaním osobných údajov a nových spôsobov spracúvania.
Nová právna úprava preto v prvej a druhej časti navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov a sprostredkovateľov, na ktoré sa nevzťahujú pravidlá ochrany fyzických osôb pri pracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov podľa nariadenia.
Tretia časť navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov, ktorými príslušné orgány pri spracúvaní osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií na základe transpozície smernice.
Štvrtá časť navrhovanej právnej úpravy vo svojich ustanoveniach je tzv. implementačnou/vykonávacou časťou zákona, ktorá dopĺňa osobitné pravidlá spracúvania osobných údajov stanovené nariadením. Návrh zákona vo vzťahu k spracúvaniu v rámci tejto časti upravuje spracovateľské operácie, ktoré nariadenie výslovne ukladá alebo umožňuje jednotlivým členským štátom upraviť osobitnou vnútroštátnou úpravu; ide o úpravu členského štátu využijúc tzv. splnomocňujúce ustanovenia nariadenia. Konkrétne ide o osobitné úpravy spracúvania osobných údajov upravujúce pravidlá spracúvania osobných údajov na akademické, umelecké, literárne účely; pravidlá spracúvania osobných údajov v súvislosti so zamestnaním; spracúvanie národného identifikačného čísla a prenos osobitnej
3
kategórie osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov, spracúvanie genetických údajov, biometrických údajov a údajov týkajúcich sa zdravia; ako aj úprava spracúvania osobných údajov na vedecké účely, účely historického výskumu alebo štatistické účely. Zároveň nariadenie určuje členským štátom prijať pravidlá týkajúce sa postavenia a organizácie dozorného orgánu v rámci vnútroštátneho právneho poriadku členského štátu, ako aj procesné pravidlá pre výkon kontroly a konania o ochrane osobných údajov dozorným orgánom.
Piata časť návrhu zákona je venovaná úradu, jeho pôsobnosti, právomociam a jeho personálnemu aparátu. Je venovaná tiež kódexom správania, certifikátom, procesu akreditácie, monitorujúcemu a certifikačnému subjektu. Tretia hlava piatej časti je venovaná kontrole, štvrtá hlava konaniu o ochrane osobných údajov. Piata hlava je venovaná pokutám, správnym deliktom a poriadkovým pokutám, teda sankciám.
Šiesta časť upravuje spoločné, prechodné a záverečné ustanovenia.
Nasledujú novelizačné články priamych noviel, od čl. II po čl. XIII, článok XIV ustanovuje predpokladanú účinnosť návrhu zákona.
Návrh zákona zachováva zásady spracúvania osobných údajov doteraz uplatňované v zákone č. 122/2013 Z. z.
Vo vzťahu k právnym základom spracúvania stanovuje návrh zákona tieto prípady zákonného spracúvania
1.spracúvanie na základe súhlasu dotknutej osoby
2.spracúvanie bez súhlasu dotknutej osoby na účely nevyhnutné na plnenie zmluvy, ak zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzavretím zmluvy,
3.spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
4.spracúvanie nevyhnutné, na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby;
5.spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
6.spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa, pričom tento právny základ sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh;
7.spracúvanie nevyhnutné na účely akademické, umelecké, literárne alebo na účely informovania v masovokomunikačných prostriedkoch;
8.prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
9.prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe uvedenom v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná;
10.právne základy uvedené v súvislosti so spracúvaním osobitnej kategórie osobných údajov (rasový a etnický pôvod, politické názory, náboženské a filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické údaje, biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby).
4
Nová právna úprava výslovne stanovuje, že súhlas dotknutej osoby musí byť jasne oddeliteľný od iných podmienok a dojednaní a tiež, že súhlas dotknutej osoby je možné kedykoľvek odvolať bez uvedenia dôvodu. Zároveň sa stanuje veková hranica pre zákonné spracúvanie osobných údajov detí v súvislosti s ponukou služieb informačnej spoločnosti.
Novým legislatívnym rámcom sa posilňujú práva dotknutých osôb. Vyžaduje sa informačná povinnosť smerom k dotknutej osobe v širšom rozsahu, ktorá umožňuje jednoduchší výkon práv dotknutých osôb. Dotknutým osobám sa explicitne garantujú práva doteraz vyplývajúce iba z judikatúry alebo aplikačnej praxe dozorných orgánov (právo na prístup k údajom vrátane kópií spracúvaných osobných údajov, právo na zabudnutie, právo na obmedzenie spracúvania) a tiež sa upravujú a stanovujú nové práva (právo na prenosnosť údajov).
Návrhom zákona sa zrušujú administratívne povinnosti prevádzkovateľov spojené so spracúvaním osobných údajov plnené ex ante, pred začatím spracúvania, a to oznamovacia povinnosť, povinnosť osobitnej registrácie a evidenčná povinnosť. Nahrádzajú sa novými inštitútmi, ktoré zdôrazňujú materiálne, nie formálne zabezpečenie súladu spracúvania osobných údajov s právnymi predpismi a spočívajú v prijatí resp. realizácii opatrení na zaistenie bezpečnosti osobných údajov primeraných rizikám, ktoré s konkrétnymi spracovateľskými operáciami spojené (záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov). Vo vzťahu k úradu a dotknutým osobám sa stanovuje nová povinnosť, oznamovať zistené a preukázané porušenie ochrany osobných údajov zo strany prevádzkovateľov. Návrhom zákona sa tiež zrušuje povinnosť úspešného absolvovania skúšky pred úradom na výkon funkcie zodpovednej osoby, i keď podmienka odborných kvalít a spôsobilosti osoby na výkon funkcie zodpovednej osoby ostáva zachovaná. Stanovujú sa prípady, kedy je určenie zodpovednej osoby obligatórne.
Návrh zákona reflektuje tiež existenciu nových nástrojov zaistenia bezpečnosti osobných údajov v zariadeniach, v ktorých dnes bežne spracúvané osobné údaje (napríklad mobilné telefóny, tablety, počítačové programy, mobilné aplikácie), ide o tzv. špecificky navrhnutú a štandardnú ochranu údajov, primerané politiky ochrany osobných údajov, certifikáciu a prijatie a dodržiavanie schválených kódexov správania. Návrh zákona splnomocňuje úrad na vydanie vykonávacích podzákonných predpisov, ktorými sa ustanovia podrobnosti týkajúce sa výkonu niektorých činností úradu alebo stanovia spresňujúce informácie; vykonávacími predpismi sa nebudú ukladať nové práva, povinnosti a právomoci nad rámec navrhovaného zákona.
Návrh zákona pozitívny a súčasne negatívny vplyv na rozpočet verejnej správy, pozitívny a aj negatívny vplyv na podnikateľské prostredie, pozitívne sociálne vplyvy a má pozitívny vplyv na informatizáciu spoločnosti. Je bez vplyvu na životné prostredie. Podrobnosti o dopadoch návrhu zákona je možné vidieť v priložených analýzach vplyvov a celkové zhodnotenie v Doložke vybraných vplyvov k návrhu zákona.
Návrh zákona nie je predmetom vnútrokomunitárneho pripomienkového konania.
Návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, nálezmi Ústavného súdu Slovenskej republiky, medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, zákonmi Slovenskej republiky a zároveň je v súlade s právom Európskej únie.
Navrhovaná právna úprava rešpektuje a odráža medzinárodné záväzky Slovenskej republiky v oblasti ochrany osobných údajov, a to najmä Dohovor o ochrane ľudských práv a základných slobôd v znení protokolov (Oznámenie Federálneho ministerstva zahraničných vecí č. 209/1992 Zb. v znení neskorších predpisov), Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 49/2001 Z. z.), Dodatkový protokol k Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 20/2005 Z. z.).
5
V rámci všeobecnej ochrany osobných údajov predpisovej základne Slovenskej republiky sa bude uplatňovať:
1.pre spracúvanie osobných údajov v rámci činností, ktoré podliehajú právu Európskej únie tak nariadenie, ako aj návrh zákona, s výnimkou 1 časti až 3 časti návrhu zákona,
2.pre spracúvanie osobných údajov v rámci činností, ktoré nepodliehajú právu Európskej únie návrh zákona ako celok,
3.pre spracúvanie osobných údajov na účely plnenia trestného konania príslušným orgánom návrh zákona, s výnimkou vybraných ustanovení 3 časti návrhu zákona.
V zmysle vyššie uvedeného je rozhodujúce pre správnu identifikáciu, či subjekt podlieha aj 1 časti a 2 časti návrhu zákona v zmysle bodu 1 a 2 vyššie uvedeného posúdiť, či samotná činnosť, v rámci ktorej dochádza k spracúvaniu osobných údajov podlieha právu Európskej únie alebo nie. Keďže právna úprava nariadenia ako aj 1 časti a 2 časti návrhu zákona v princípe totožné, čo sa týka rozsahu, ako aj obsahu povinností a práv v oblasti ochrany osobných údajov, tento rozdiel sa „stráca“.
6
DOLOŽKA ZLUČITEĽNOSTI
právneho predpisu s právom Európskej únie
1.Predkladateľ právneho predpisu:
Úrad na ochranu osobných údajov Slovenskej republiky
2.Názov návrhu právneho predpisu:
Návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
3.Problematika návrhu právneho predpisu:
a)je upravená v práve Európskej únie
- primárnom
-čl. 6 a čl. 39 Zmluvy o Európskej únii
-čl. 16 Zmluvy o fungovaní Európskej únie
-čl. 8 Charty základných práv Európskej únie
- sekundárnom (prijatom po nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – po 30. novembri 2009)
1.legislatívne akty
-Nariadenie Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
-Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV
2.nelegislatívne akty
-Rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39, 12. 2. 2010)
-Rozhodnutie Komisie z 5. marca 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovanej faerským zákonom o spracovaní osobných údajov (2010/146/EÚ) (Ú. v. EÚ L 58, 9.3.2010)
-Rozhodnutie Komisie z 19. októbra 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Andorre (2010/625/EÚ) (Ú. v. EÚ L 277, 21.10.2010)
-Rozhodnutie Komisie z 31. januára 2011 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov Izraelským štátom, pokiaľ ide o automatizované spracovanie osobných údajov (2011/61/EÚ) (Ú. v. EÚ L 27, 1.2.2011)
- sekundárnom (prijatom pred nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – do 30. novembra 2009)
-Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv.15) v platnom znení
7
-Rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)
-Rozhodnutie Komisie z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/ zv. 1)
-Rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 26) v platnom znení
-Rozhodnutie Komisie z 20. decembra 2001 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov poskytovaných kanadským Zákonom o ochrane osobných informácií a elektronických dokumentoch (2002/2/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 27)
-Rozhodnutie Komisie z 30. júna 2003 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov v Argentíne (2003/490/3S) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 31)
-Rozhodnutie Komisie z 21. novembra 2003 o primeranej ochrane osobných údajov na Guernsey (2003/821/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)
-Rozhodnutie Komisie z 28. apríla 2004 o primeranej ochrane osobných údajov na ostrove Man (2004/411/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 34)
-Rozhodnutie Komisie z 8. mája 2008 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Jersey (2008/393/ES) (Ú. v. EÚ L 138, 28.5.2008)
-Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach
b)je obsiahnutá v judikatúre Súdneho dvora Európskej únie
-Rozhodnutie Súdneho dvora vo veci C-101/01 proti Bodil Lindqvist (2003)
-Rozhodnutie Súdneho dvora vo veci C-524/06 Heinz Huber proti Spolkovej republike Nemecko (2008)
-Rozhodnutie Súdneho dvora vo veci C 553/07 College van burgemeester en wethouders van Rotterdam proti E. E. Rijkeboer (2009)
-Rozhodnutie súdneho dvora v spojenej veci C-92/09 a C-93/09 Volker und Markus Schecke GbR (C 92/09) a Hartmut Eifert (C 93/09) proti Spolkovej krajine Hesensko (2010)
-Rozhodnutie Súdneho dvora vo veci C-518/07 Komisia Európskych spoločenstiev proti Spolkovej republike Nemecko (2010)
-Rozhodnutie Súdneho dvora vo veci C-131/12 Google Spain SL a Google Inc. proti Agencia Española de Protección de Datos (AEPD) a Mariovi Costejovi Gonzálezovi (2014)
-Rozhodnutie Súdneho dvora vo veci C-212/13 František Ryneš proti Úřad pro ochranu osobních údajů (2014)
-Rozhodnutie Súdneho dvora vo veci C-230/14 Weltimmo s.r.o. proti Nemzeti Adatvédelmi és Információszabadság Hatóság (2015)
-Rozhodnutie Súdneho dvora vo veci C-362/14 Maximillian Schrems proti Data Protection Commissioner (2015)
4.Záväzky Slovenskej republiky vo vzťahu k Európskej únii:
a)lehota na prebratie smernice alebo lehota na implementáciu nariadenia alebo rozhodnutia
-lehota na implementáciu Nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. L 119/1, 4.5.2016) - 25. máj 2018
8
-lehota na prebratie Smernice Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119/89, 4.5.2016) – 6. máj 2018
b)lehota určená na predloženie návrhu právneho predpisu na rokovanie vlády podľa určenia gestorských ústredných orgánov štátnej správy zodpovedných za transpozíciu smerníc a vypracovanie tabuliek zhody k návrhom všeobecne záväzných právnych predpisov
-Nie je určená.
c)informácia o konaní začatom proti Slovenskej republike o porušení podľa čl. 258 260 Zmluvy o fungovaní Európskej únie
-Bezpredmetné.
d)informácia o právnych predpisoch, v ktorých preberané smernice prebraté spolu s uvedením rozsahu tohto prebratia
-Bezpredmetné.
5.Stupeň zlučiteľnosti návrhu právneho predpisu s právom Európskej únie:
-Úplný.
6.Gestor a spolupracujúce rezorty:
Ministerstvo spravodlivosti Slovenskej republiky
Ministerstvo vnútra Slovenskej republiky
Úrad na ochranu osobných údajov Slovenskej republiky
9
B. Osobitná časť
K čl. I
K § 1
Návrh zákona upravuje ochranu osobných údajov fyzických osôb v súlade s čl. 19 ods. 3 a čl. 22 ods. 1 Ústavy Slovenskej republiky. Predmetom úpravy návrhu zákona je ochrana práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov. Návrh zákona tiež upravuje práva, povinnosti a zodpovednosť subjektov pri spracúvaní osobných údajov fyzických osôb a postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).
K § 2
Poskytuje definíciou osobného údaja. Zákon neupravuje konkrétny konečný zoznam údajov, ktoré považované za osobné údaje. Poskytuje tzv. demonštratívny výpočet charakteristík určujúcich fyzickú osobu. Uvedená definícia osobných údajov nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba identifikovateľná. Z vecnej stránky sa pojem osobných údajov vzťahuje na také údaje, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, t. j. určenej alebo určiteľnej, či priamo alebo nepriamo. Z pohľadu ochrany osobných údajov sa „určiteľnosťou fyzickej osoby" rozumie taký stav, keď na základe jedného alebo viacerých dostupných údajov o danej osobe túto možno identifikovať.
Identifikácia sa realizuje prostredníctvom konkrétnych charakteristických znakov, t. j. „identifikátorov", ktoré možno priradiť ku konkrétnej fyzickej osobe (napr.: meno, priezvisko, tetovanie, zdravotné postihnutie, dátum narodenia, adresa a iné). Miera, do akej určité identifikátory dostačujúce pre dosiahnutie identifikácie konkrétnej fyzickej osoby závisí od komplexného posúdenia dostupných údajov v ich vzájomnej súvislosti a konkrétnej situácie. V závislosti od kvality, kvantity a druhu údajov sa v určitom momente konvertuje určiteľnosť do určenia konkrétnej fyzickej osoby. Fyzickú osobu považujeme za určenú, keď na základe dostupných údajov je jednoznačne identifikovaná a odlíšená od ostatných osôb v danom informačnom systéme, v ktorom sa osobné údaje spracúvajú. Na určenie toho, či je fyzická osoba identifikovateľná, sa majú vziať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby.
Osobnými údajmi môžu byť v konkrétnej situácii napríklad: titul, meno, priezvisko, adresa trvalého pobytu, dátum narodenia, rodné číslo, údaj o zdravotnom stave, konkrétne tetovanie, lokalizačný údaj, online identifikátor a pod.
Z pohľadu definície osobného údaja, ktorá je veľmi široká, nie je možné jednoznačne určiť rozdiel medzi fyzickou osobou - nepodnikateľom a fyzickou osobou podnikateľom, a to najmä s ohľadom na skutočnosť, že fyzickú osobu je možné identifikovať nepriamo, najmä na základe jej charakteristík alebo znakov, ktoré tvoria jej ekonomickú identitu. Na základe uvedeného, samotný názov fyzickej osoby podnikateľa ešte sám o sebe nie je osobným údajom. Ak k takémuto údaju priradíme ďalšie údaje, na základe ktorých je možné identifikovať fyzickú osobu, napríklad rodné číslo alebo pobyt, pôjde o spracúvanie osobných údajov.
Na základe toho, že z dostupných osobných údajov je možné identifikácia fyzickej osoby, sa tento zákon logicky nevzťahuje a neuplatňuje na anonymné údaje, ktoré sa neviažu na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo nie je na ich základe identifikovateľná. Tento zákon sa preto netýka spracúvania anonymných údajov vrátane ich spracúvania na štatistické účely alebo účely výskumu.
10
K § 3
Upravuje vecnú a územnú pôsobnosť zákona.
odsek 1
Pozitívne je vecná pôsobnosť zákona vymedzená vo vzťahu k prostriedkom spracúvania, teda k tomu na čom, prípadne ako osobné údaje spracúvané. Primárne delenie prostriedkov spracúvania je na prostriedky spracúvania automatizované, teda používajúce napríklad počítačový program, alebo aplikáciu, druhou možnosťou je spracúvanie osobných údajov neautomatizovanou formou, napríklad vykonávaním zápisov osobných údajov fyzicky osobou do záznamovej knihy. Zákon sa vzťahuje na spracúvanie osobných údajov vykonávané prostredníctvom automatizovaných prostriedkov spracúvania (napr.: počítač, tablet, smartphone), ako aj na spracúvanie vykonávané prostredníctvom neautomatizovaných prostriedkov spracúvania (napr.: záznamová kniha, evidenčný zošit, papierová evidencia).
Zákon sa tiež vzťahuje na spracúvanie osobných údajov, ktoré je vykonávané kombináciou oboch vyššie uvedených prostriedkov spracúvania v rámci jedného informačného systému osobných údajov. Napríklad, ak je časť spracúvania osobných údajov na konkrétny účel vykonávaná na počítači a časť je vykonávaná formou záznamov v papierovej evidencii v neautomatizovanej forme. V prípade kombinovaného spracúvania osobných údajov automatizovanou formou a neautomatizovane je podstatné, ak sa spracúvanie vykonávať v rámci jedného informačného systému, aby toto spracúvanie osobných údajov, bolo vykonávané na jeden účel a osobné údaje boli súčasťou jedného informačného systému osobných údajov. Praktickým príkladom kombinovaného využívania prostriedkov spracúvania v rámci jedného informačného systému osobných údajov je vedenie dochádzky zamestnancov v dochádzkovej knihe, papierová neautomatizovaná podoba, a vedenie dochádzky zamestnancov aj v elektronickej podobe, automatizovaná forma, napríklad priložením dochádzkovej karty zamestnanca k čítačke. Účel spracúvania je jeden, vedenie dochádzky, no prostriedky spracúvania na dosiahnutie účelu sú typovo dva, automatizovaný a neautomatizovaný.
Softvérový počítačový program nemusí byť vždy zároveň aj informačným systémom osobných údajov, nakoľko môže mať vymedzených viacero účelov spracúvania, prípadne sa v rámci jeho funkcionalít osobné údaje nemusia vôbec spracúvať.
odsek 2
Tento zákon sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. L 119, 4.5.2016) (ďalej len „nariadenie“) okrem § 5 a druhej a tretej časti zákona. Tento zákon sa okrem svojej druhej a tretej časti vzťahuje aj na spracúvanie osobných údajov na základe nariadenia .
odsek 3
Tento zákon sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej časti tohto zákona sa na spracúvanie osobných údajov vzťahujú len ustanovenia § 51, § 60, § 68 a 74.
odsek 4
Vymedzuje vecnú pôsobnosť zákona negatívne. Stanovuje, na ktoré činnosti všeobecne, prípadne na ktoré spracovateľské činnosti alebo prevádzkovateľov pri výkone ich činností a kompetencií sa zákon nevzťahuje, a to napriek tomu, že pri nich k spracúvaniu osobných údajov dochádza.
11
Tento zákon sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou pre jej vlastnú potrebu v rámci jej domácich činností (napr.: vedenia osobného diára, osobná korešpondencia prípadne vedenie denníka, či vytvorenie fotoalbumu). Aj pri takomto spracúvaní osobných údajov fyzickou osobou pre jej vlastnú potrebu nie je vylúčená ochrana osobnosti podľa § 11 § 16 Občianskeho zákonníka. Zákon sa tiež nevzťahuje na spracúvanie osobných údajov fyzických osôb, ktoré vykonáva na základe osobitných zákonov Slovenská informačné služba, Vojenské spravodajstvo a ktoré vykonáva Národný bezpečnostný úrad na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov pre rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti podľa osobitného zákona.
odsek 5
Pozitívnym spôsobom upravuje územnú pôsobnosť zákona.
Tento zákon sa vzťahuje na prevádzkovateľa alebo sprostredkovateľa
a)so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky, a to aj v prípade, ak spracúvanie osobných údajov je vykonávané mimo územia Slovenskej republiky,
b)so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území, kde sa uplatňuje právo Slovenskej republiky podľa zásad medzinárodného práva verejného (napr.: zastupiteľské úrady Slovenskej republiky v zahraničí).
Tento zákon sa vzťahuje na spracúvanie osobných údajov fyzických osôb, dotknutých osôb, nachádzajúcich sa na území Slovenskej republiky, bez ohľadu na ich občianstvo alebo inú príslušnosť, ak spracúvanie ich osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom ním vykonávané spracúvanie osobných údajov dotknutých osôb súvis s ponukou tovarov alebo služieb dotknutým osobám na území Slovenskej republiky, bez ohľadu na povinnosť zaplatenia za ponúkaný tovar alebo službu alebo spracúvanie osobných údajov takýmto prevádzkovateľom súvis so sledovaním správania dotknutých osôb na území Slovenskej republiky.
Pod sledovaním správania dotknutej osoby si možno predstaviť napríklad sledovanie jej aktivít na internete, kde môže byť sledovaná aktivita danej osoby a táto následne spracúvaná ako osobný údaj danej fyzickej osoby. Za monitorovanie správania v prostredí internetu možno považovať napríklad spracúvanie preferencií na internete o danej fyzickej osobe prostredníctvom cookies, IP adresy pripojenia, MAC adresy zariadenia z ktorého osoba do internetovej siete pristupuje, alebo tiež sledovanie a následné spracúvanie geolokalizačných údajov. V určitých prípadoch za osobný údaj možno považovať aj informáciu o stránkach, ktoré osoba na internete navštívila, ku ktorým alebo môže získať prístup poskytovateľ internetového pripojenia.
K § 4
Deklaratórne ustanovenie o tom, že voľný pohyb osobných údajov v rámci Európskej únie je zaručený, ak je vyžadovaný podľa osobitného predpisu so silou zákona, alebo nariadenia Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
K § 5
Vymedzuje základné pojmy a definuje ich význam na účel tohto zákona.
písmeno a)
12
Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita.
V prípade, ak je predmetom spracúvania spracúvanie osobitnej kategórie osobných údajov, je potrebné, aby bol súhlas dotknutej osoby výslovný, teda taký, ktorý je oddelený od inej časti dokumentu, do ktorej môže byť včlenený a hlavne v ktorom je výslovne uvedené aké konkrétne osobitné kategórie osobných údajov majú na jeho základe byť predmetom spracúvania zo strany prevádzkovateľa a na aký účel.
písmeno b)
Genetický údaj možno vymedziť ako osobný údaj týkajúci sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré najmä výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií o konkrétnej dotknutej osobe. Genetické osobné údaje patria medzi osobitnú kategóriu osobných údajov, ktorá tiež býva označovaná, ako „citlivé osobné údaje“.
písmeno c)
Biometrický údaj možno definovať ako biologickú alebo fyziologickú vlastnosť alebo charakteristiku špecifickú pre konkrétneho jednotlivca a zároveň merateľnú veličinu, s určitým stupňom zohľadnenej pravdepodobnosti. Príkladom biometrických údajov odtlačky prstov, biometrický snímok sietnice oka, tvar tváre a vzdialenosti jednotlivých orgánov na nej, hlas, geometria ruky, geometria štruktúry žíl ruky alebo dlane určitého človeka alebo určitá hlboko zakorenená schopnosť alebo vlastnosť týkajúca sa správania konkrétneho jedinca (napr. vlastnoručný podpis spôsob jeho písania vyvíjanie tlaku na podložku, udieranie na klávesnicu, osobitný spôsob chôdze alebo artikulácie atď.; v tomto prípade ide o tzv. behaviorálnu biometriu).
písmeno d)
Osobné údaje týkajúce sa zdravia také osobné údaje, ktoré poskytujú informácie o minulom, súčasnom alebo možnom budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Patria sem aj údaje o zdraví fyzickej osoby získané pri jej registrácii na účely poskytovania služieb zdravotnej starostlivosti, služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo sociálnych služieb. Medzi osobné údaje týkajúce sa zdravia patrí tiež číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na jej individuálnu identifikáciu na zdravotné účely, informácie získané na základe vykonania testov alebo prehliadok častí jej organizmu alebo skúmania jej telesných látok vrátane genetických údajov a biologických vzoriek a akékoľvek informácie o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, ktorým môže byť lekár alebo iného zdravotníckeho pracovníka, nemocnice ako inštitúcia, zdravotnícka pomôcka pridelená konkrétnej osobe alebo informácie pochádzajúce z vykonania diagnostického testu in vitro. Medzi údaje o zdraví patria aj informácie o zdraví konkrétnej osoby získané z mobilných aplikácií slúžiacich k monitorovaniu životných funkcií alebo fyziologických parametrov osoby.
písmeno e)
13
Spracúvaním osobných údajov je potrebné chápať každú spracovateľskú operáciu alebo niekoľko na seba nadväzujúcich operácií (nadväznosť v čase nie je podstatná), ktoré prevádzkovateľ alebo sprostredkovateľ vykonáva na splnenie určitého vymedzeného účelu, systematicky, a to bez ohľadu na spôsob a využité prostriedky (alebo ich kombináciu) spracúvania. Spracúvanie môže byť vykonávané rôznymi spôsobmi, formou ľudskej činnosti, automatizovane, ide teda o charakteristiku toho, ako jednotlivé spracovateľské operácie u prevádzkovateľa alebo sprostredkovateľa vykonávané, technicky nastavené.
písmeno f)
Pri obmedzení spracúvania spracúvané osobné údaje označené na účely obmedzenia ich spracúvania do budúcnosti. Obmedzením nie je vždy potrebné chápať iba ich blokovanie, ale obmedzenie ich spracúvania napríklad na určitý účel. Osobné údaje, ktorých spracúvanie byť obmedzené by takto v informačnom systéme mali byť označené. Pod obmedzením spracúvania osobných údajov si možnosť predstaviť napríklad ich presun v rámci prevádzkovateľa do iného informačného systému alebo ich zneprístupnenie dovnútra, alebo navonok, teda voči verejnosti (napr.: „stiahnutie“ zverejnených osobných údajov z určitého dôvodu, no ich zachovanie u prevádzkovateľa). Obmedzenie spracúvania môže byť vykonané na účely ochrany dotknutej osoby a uplatnenia si jej práv v prípade, že namieta spracúvanie týchto svojich osobných údajov, pochybnosti o správnosti alebo zákonnosti ich spracúvania, prípadne ak odpadla potreba spracúvania osobných údajov prevádzkovateľom, avšak dotknutá osoba potrebuje spracúvať tieto osobné údaje u daného prevádzkovateľa napríklad na účely domáhania sa svojich právnych nárokov v budúcnosti.
písmeno g)
Profilovaním sa rozumie spracúvanie osobných údajov, na základe ktorého možno získať v závislosti od kvality a kvantity spracúvaných informácií relatívne ucelený profil dotknutej osoby, ktorý možno využiť s vysokým stupňom pravdepodobnosti na predpovedanie správania konkrétnej dotknutej osoby do budúcnosti. Použitie profilovania je rozsiahle, jednou z možností jeho využitia, ktorá je na vzostupe je využívanie na vytvorenie cielenej reklamy na mieru konkrétneho jedinca. Na účely profilovania by mali byť používané primerané matematické alebo štatistické postupy, mali by byť prijaté technické a organizačné opatrenia tak, aby sa zabezpečilo, že faktory, ktoré vedú, alebo by mohli viesť k nesprávnosti osobných údajov sa opravia a riziko chýb sa minimalizuje. Zabezpečí sa tak zohľadnenie súvisiacich potenciálnych rizík pre záujmy a práva dotknutej osoby. Zabráni sa tiež diskriminačným účinkom na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky. Profilovanie založené na spracúvaní osobitných kategóriách osobných údajov je možné len za osobitných podmienok viažucich sa na spracúvania osobitnej kategórie osobných údajov.
písmeno h)
Pseudonymizácia je spracúvanie osobných údajov spočívajúce v takej ich forme, že dané údaje následne nie je možné priradiť ku konkrétnej dotknutej osobe bez toho, aby sa na to museli použiť dodatočné informácie, ktoré by mali byť uchovávané oddelene a osobitne zabezpečené. Pseudonymizované údaje stále osobnými údajmi podliehajúcimi tomuto zákonu, prípadne nariadeniu, ide o jedno z bezpečnostných opatrení, ktoré môže prevádzkovateľ využiť, aby ním spracúvané osobné údaje chránil.
Rozdiel medzi anonymizovanými a pseudonymizovanými údajmi je v tom, že anonymizované údaje ani s použitím dodatočných informácií nemožno priradiť ku konkrétnej dotknutej osobe, naopak s pseudonymizovanými údajmi by to možné byť malo, pokiaľ nie je, ide o anonymizované osobné údaje, na ktoré sa tento zákon nevzťahuje.
Príkladom pseudonymizácie je, že osobné údaje „Eva Nová, narodená 12.12.1966, učiteľka“ sa zmenia na sadu písmen a číslic „456mnb2b4gr47sDR, učiteľka“ no informácia, že skôr uvedený kód patrí pani
14
Eve Novej bude u prevádzkovateľa uchovávaná osobitne. Práve na základe spojenia zvlášť uchovanej informácie, že daný kód patrí Eve Novej bude stále možné zistiť, komu konkrétne kód patrí a daná dotknutá osoba bude stále v prostredí prevádzkovateľa identifikovateľná. Osobné údaje, ktoré boli pseudonymizované, a ktoré by sa mohli použitím dodatočných informácií priradiť ku konkrétnej fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe.
písmeno i)
Vedenie logov, logovanie je bezpečnostné opatrenie, slúžiace k zaznamenávaniu akýchkoľvek zmien, prehliadania, poskytovania, prenosu, kombinovania alebo vymazávania osobných údajov v rámci informačného systému osobných údajov alebo ich pokusov o zmenu, ktoré je založené na zachytení údaja o tom, kto, kedy a akú zmenu v automatizovanom informačnom systéme osobných údajov vykonal alebo sa pokúšal vykonať. Výsledkom logovania je zaznamenávanie logov, ktoré následne môžu slúžiť na vykonávanie analýzy a na zaznamenávanie činnosti používateľa v automatizovanom informačnom systéme. Logom je tiež akékoľvek používateľské meno alebo heslo alebo iný prihlasovací údaj, ktorý slúži na prihlásenie používateľa do automatizovaného informačného systému osobných údajov.
písmeno j)
Šifrovanie znamená zmenu obsahu informácie na skupinu bezvýznamných znakov, kedy na to, aby sa skupina týchto znakov opätovne transformovala do pôvodnej zmysluplnej informácie je potrebné, aby prijímateľ správy disponoval správnym prístupovým kódom, heslom alebo iným, na to určeným parametrom.
písmeno k)
Online identifikátor alebo jednoznačný identifikátor využívaný pri vzájomnej komunikácii koncových zariadení užívateľov prostredníctvom komunikačných sietí. Takýmito identifikátormi napríklad IP adresa a cookies, či iné identifikátory využívajúce napríklad rádiovú frekvenciu (tzv. RFID identifikátory). Online identifikátor je osobným údajom konkrétnej fyzickej osoby pokiaľ ho je možné k tejto osobe jednoznačne priradiť, teda pokiaľ sa možno s najvyššou pravdepodobnosťou domnievať alebo je potvrdené, že koncové zariadenie je vo vlastníctve konkrétnej osoby, teda z neho možno aj na základe informácií pochádzajúcich z identifikátorov vyčítať konkrétne aspekty správania a preferencií fyzickej osoby.
písmeno l)
Informačným systémom sa na účely tohto zákona rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje fyzických osôb, ktoré systematicky spracúvané pre potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Jedným informačným systémom osobných údajov sa rozumie aj situácia, kedy prevádzkovateľ spracúva osobné údaje viacerými prostriedkami spracúvania na jeden účel (papierová Evidencia dochádzky a čipová karta zamestnanca súčasťou dochádzky zamestnancov, teda napriek využitiu viacerých prostriedkov spracúvania ide o jeden informačný systém osobných údajov, nakoľko účelom je sledovanie a zaznamenávanie dochádzky zamestnancov viacerými spôsobmi).
písmeno m)
Za porušenie ochrany osobných údajov považujeme situácie, pri ktorých dochádza k nedovolenému resp. nezákonnému nakladaniu s osobnými údajmi, či úmyselne alebo v dôsledku zanedbania
15
povinností a opatrení prijatých na ich ochranu. Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Porušenie