1

Analýza vplyvov na podnikateľské prostredie

(vrátane testu MSP)

Materiál bude mať vplyv s ohľadom na veľkostnú kategóriu podnikov:

☐

iba na MSP (0 - 249 zamestnancov)

☐

iba na veľké podniky (250 a viac zamestnancov)

☒

na všetky kategórie podnikov

3.1 Dotknuté podnikateľské subjekty

- z toho MSP

Uveďte, aké podnikateľské subjekty budú predkladaným návrhom ovplyvnené.

Aký je ich počet?

Návrh zákona sa dotkne celého podnikateľského prostredia. Konkrétneho podnikateľa sa dotkne, ak tento spracúva osobné údaje v pozícii prevádzkovateľa a určuje sám účely a prípadne prostriedky spracúvania osobných údajov alebo mu ich určuje osobitný zákon alebo osobné údaje spracúva v mene prevádzkovateľa, ako jeho sprostredkovateľ; právna forma podnikateľského subjektu nie je v tomto prípade rozhodujúca. Vzhľadom k vyššie uvedenému, počet subjektov nie je možné exaktne vyčísliť; odhadom podľa Centra pre lepšiu reguláciu pôjde o približne 530 000 podnikateľských subjektov.

3.2 Vyhodnotenie konzultácií

- z toho MSP

Uveďte, akou formou (verejné alebo cielené konzultácie a prečo) a s kým bol návrh konzultovaný.

Ako dlho trvali konzultácie?

Uveďte hlavné body konzultácií a výsledky konzultácií.

K navrhovanému materiálu bola zverejnená predbežná informácia na Portáli; PI/2016/184, ku ktorej sa bolo možné vyjadriť v období od 7.11. 2016 do 30.11. 2016 a PI/2017/3, ku ktorej sa bolo možné vyjadriť v období od 10.01.2017 do 31.01.2017. Predbežné informácie boli zverejnené na Portáli, na stránkach Úradu na ochranu osobných údajov Slovenskej republiky (www.dataprotection.gov.sk) a na stránke Ministerstva hospodárstva Slovenskej republiky.

Úrad na ochranu osobných údajov Slovenskej republiky zriadil na účely uľahčenia komunikácie aj samostatnú e-mailovú adresu v rámci konzultácii,

nariadenie@pdp.gov.sk

,

ktorá bola využitá a k obom predbežným informáciám úrad obdržal niekoľko návrhov, s ktorými sa vysporiadal písomne alebo formou osobného stretnutia so zástupcom alebo zástupcami konkrétneho subjektu.

Mimo doručených názorov a návrhov boli konzultácie cielene vedené aj so zástupcami Slovak Business Agency (ďalej len „SBA“ prípadne „CLR“, Centrum pre lepšiu reguláciu), kedy medzi úradom a SBA prebehla násobná mailová komunikácia a konali sa dve osobné stretnutia v priestoroch úradu, kde si zástupcovia úradu so zástupcami SBA spoločne prešli a prediskutovali analýzu vplyvov na podnikateľské prostredie.

Úrad pristúpil aj k iniciatívnemu osloveniu dôležitých partnerov zastupujúcich záujmy rôznych segmentov podnikateľského prostredia (Republiková únia zamestnávateľov, Slovak Business Agency) a oboznámil ich so zmenami, ktoré prináša nová navrhovaná právna úprava vo svetle harmonizácie s Nariadením. Zároveň boli informovaní o tom, že Nariadenie je priamo aplikovateľný akt Európskej únie, preto rozsah ním upravených práv a povinností členský štát nemôže rozšíriť alebo zúžiť, ale je potrebné sa s ním harmonizovať. Okrem

2

týchto povinností úrad informoval, že pristúpil len k minimálnej (ďalšej) právnej úprave založenej na splnomocňujúcich ustanoveniach nariadenia v kapitole IX, ktoré zachovávajú existujúcu prax pri spracúvaní osobných údajov a neprinášajú nové administratívne zaťaženie pre podnikateľské subjekty (napr.: spracúvanie osobných údajov prevádzkovateľmi – zamestnávateľmi, spracúvanie rodného čísla v podmienkach Slovenskej republiky, spracúvanie na literárne účely, spracúvanie na účely štatistické, spracúvanie osobitných kategórií osobných údajov na základe osobitných zákonov).

V apríli 2017, keď už úrad mal „pracovnú verziu návrhu zákona“ túto elektronicky zaslal dôležitým partnerom, zástupcom jednotlivých segmentov nielen podnikateľského prostredia (RÚZ, SAMP, ZMOS, Amcham, AZZZ, Slovenský živnostenský zväz) a požiadal ich o ich vyjadrenie prípadne o možnosť sa k návrhu zákona spoločne stretnúť, aby sa predišlo sporom v rámci PPK prípadne neskôr v rámci MPK. Túto možnosť využili: Amcham, RUZ, Slovenský živnostenský zväz, SAMP – Slovenská asociácia malých a stredných podnikov a živnostníkov), Klub 500, zdravotná poisťovňa Dôvera s ktorých zástupcami sa zástupcovia úradu stretli a o návrhu zákona prebehla diskusia na základe ktorej boli pozitívne a akceptovateľné zmeny do návrhu zákona zapracované. Pracovná verzia zákona bola tiež zaslaná Slovenskej bankovej asociácii. Tieto iniciatívne konzultácie prebiehali intenzívne mesiaci apríli a máji 2017.

V súvislosti s nástupom novej právnej úpravy, nového zákona o ochrane osobných údajov bude úrad poskytovať právnu pomoc podnikateľským subjektom pri aplikácii v praxi, a to najmä vo forme metodických usmernení úradu, či v rámci poskytovania vyjadrení. Okrem toho úrad poskytuje a bude aj naďalej poskytovať pravidelné telefonické konzultácie určené najmä pre prevádzkovateľov a sprostredkovateľov, ale aj pre samotné dotknuté osoby pri uplatňovaní si ich práv. Týmito opatreniami sa úrad teraz snaží a bude sa snažiť napomáhať subjektom správne aplikovať novú navrhovanú právnu úpravu; prijatie iných opatrení, napríklad vykonávanie školení, vzdelávacích aktivít aj v spolupráci s podnikateľským sektorom, nie je týmto vylúčené, spolupráca bola v rámci konzultácii načrtnutá.

3.3 Náklady regulácie

- z toho MSP

3.3.1 Priame finančné náklady

Dochádza k zvýšeniu/zníženiu priamych finančných nákladov (poplatky, odvody, dane clá...)? Ak áno, popíšte a vyčíslite ich. Uveďte tiež spôsob ich výpočtu.

Návrh zákona predpokladá zníženie priamych finančných nákladov súvisiacich so zrušením regulačnej povinnosti vo vybraných prípadoch s ohľadom na spracovateľskú operáciu a podmienky spracúvania; konkrétne sa zrušuje správnym poplatkom spoplatnená žiadosť o osobitnú registráciu informačného systému osobných údajov (správny poplatok vo výške 50,- Eur za každý informačný systém osobných údajov); tiež sa ruší povinnosť zasielať úradu oznámenie o informačnom systéme osobných údajov, kde správny poplatok zavedený nebol, ale zaslanie oznámenia poštovou prepravou tiež vyžadovalo náklady. Ročná úspora je predpokladaná vo výške 11850,- eur. Výpočet úspory nákladov je výsledkom spolupráce úradu pri vyčíslení nákladov s Centrom lepšej regulácie.

3.3.2 Nepriame finančné náklady

Vyžaduje si predkladaný návrh dodatočné náklady na nákup tovarov alebo služieb? Zvyšuje predkladaný návrh náklady súvisiace so zamestnávaním? Ak áno, popíšte a vyčíslite ich. Uveďte tiež spôsob ich výpočtu.

Predkladaný návrh zákona môže mať vplyv na zvýšenie nákladov, a to v závislosti od podmienok spracúvania u konkrétneho prevádzkovateľa alebo sprostredkovateľa. Náklady

3

môžu vzniknúť najmä u prevádzkovateľov a sprostredkovateľov, ktorí spracúvajú osobné údaje vo veľkom rozsahu a môžu súvisieť s úpravou formulárov s informáciami o právach dotknutej osoby, s poskytovaním kópií osobných údajov, ktoré sa spracúvajú a so zaistením bezpečnosti osobných údajov. Konkrétnu výšku nákladov vzhľadom na rôznorodosť spracovateľských operácií a veľkosť jednotlivých prevádzkovateľov, ktorá je nie vždy úmerná zvýšeniu nákladov nie je možné určiť.

Zrušujú sa niektoré právne základy spracúvania osobných údajov, ako právny základ pre spracúvanie osobných údajov, ktoré boli zverejnené; právny základ pre spracúvanie osobných údajov v poštovom styku a marketingovú komunikáciu; právny základ pre monitorovanie priestorov prístupných verejnosti, čo ovplyvní vedenie záznamov prevádzkovateľov, ako aj ich informačnú povinnosť voči dotknutej osobe. V zmysle novej právnej úpravy bude pri týchto spracovateľských operáciách prevádzkovateľ povinný disponovať iným primeraným právnym základom pre spracúvanie osobných údajov dotknutých osôb. Konkrétnu výšku nákladov vzhľadom na rôznorodosť spracovateľských operácií a možnosť prevádzkovateľov nájsť iný právny základ pre spracúvanie osobných údajov, prípadne od spracúvania upustiť nie je možné pre rôzne scenáre vyššie uvedeného postupu konkrétne vyčísliť.

Pre navrhovanou právnou úpravou určené typy spracovateľských operácií a pre určité typy prevádzkovateľov (orgány verejnej moci) vzniká povinnosť niektorým prevádzkovateľom a sprostredkovateľom (prevažne však tou zmenou bude zasiahnutá verejná správa, t. j. orgány verejnej moci) určiť si obligatórne zodpovednú osobu. U striktne neurčených podnikateľských subjektov na základe navrhovanej právnej úpravy ostáva určenie zodpovednej osoby dobrovoľné. Zrušuje sa povinnosť úspešného absolvovania skúšky fyzickej osoby na výkon funkcie zodpovednej osoby pred úradom (úspora cestovných nákladov na skúšku a prípadné školenie zamestnanca pred skúškou), zodpovedná osoba však aj naďalej musí disponovať potrebnými odbornými znalosťami a zručnosťami.

Zodpovednou osobou bude môcť byť ako fyzická, tak aj právnická osoba (konkrétne určená fyzická osoba danej právnickej osoby). Zodpovednou osobou môže byť tak zamestnanec prevádzkovateľa alebo sprostredkovateľa, ako aj externá fyzická či právnická osoba na základe zmluvy; na základe výberu prevádzkovateľa či dá prednosť internému zamestnancovi pred externou zodpovednou osobou je možné predpokladať kolísanie výdavkov spojených s poverením zodpovednej osoby. Ak prevádzkovateľ alebo sprostredkovateľ zodpovednú osobu má poverenú na základe terajšej právnej úpravy predpoklad úspory alebo prudkého nevyvyšovania nákladov je pravdepodobnejší.

3.3.3 Administratívne náklady

Dochádza k zavedeniu nových informačných povinností alebo odstráneniu, príp. úprave existujúcich informačných povinností? (napr. zmena požadovaných dát, zmena frekvencie reportovania, zmena formy predkladania a pod.) Ak áno, popíšte a vyčíslite administratívne náklady. Uveďte tiež spôsob ich výpočtu.

Navrhovaná úprava môže ako znížiť, tak aj zvýšiť administratívne náklady jednotlivých prevádzkovateľov, prípadne sprostredkovateľov, a to najmä v závislosti od typu spracovateľských operácií, ktoré subjekt vykonáva a od typu samotného prevádzkovateľa alebo sprostredkovateľa; prípadné zvýšenie alebo zníženie nákladov môže závisieť aj od predmetu jeho činnosti; konkrétne:

Prienik administratívnych a nepriamych nákladov

Potreba nastavenia, prípadne zosúladenia interných postupov a pravidiel prevádzkovateľov pri uplatňovaní si dotknutou osobou jej nových práv na ochranu osobných údajov, ako aj

4

spracúvania osobných údajov maloletých pri poskytovaní služieb informačnej spoločnosti. Administratívny náklad predpokladáme, že sa vyskytne skôr jednorazovo pri zosúlaďovaní sa subjektov s novým zákonom o ochrane osobných údajov. Na výšku administratívneho nákladu spojenú s vyššie uvedenými povinnosťami môže mať vplyv aj forma, akou si prevádzkovateľ uvedené povinnosti splní, nakoľko navrhovaná právna úprava nie vždy striktne ustanovuje formu, ale jej voľbu ponecháva na konkrétnom prevádzkovateľovi, je na ňom ako si „nastaví“ interne procesy v rámci seba tak, aby bol v súlade s navrhovanou právnou úpravou (zavedenie formou elektronických aplikácií a pod.). Vyčíslenie nákladov na jednotlivý subjekt nie je presne možné vzhľadom na ich rozdielnosť a na rozdielnosť finálneho prevedenia vyššie popísaných opatrení.

Prienik administratívnych a priamych nákladov

Zrušuje sa povinnosť osobitnej registrácie informačných systémov na úrade, ktorú bol prevádzkovateľ povinný vykonať v zákonom stanovených prípadoch spracúvania (spracúvanie biometrických údajov, spracúvanie na účely ochrany práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, ak o tom rozhodne úrad, pri prenose osobitnej kategórie osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany prostredníctvom zmluvných doložiek, vnútropodnikových záväzných pravidiel alebo ďalších nástrojov). Za rok 2016 bolo osobitne registrovaných 237 osobitných registrácií informačných systémov prevádzkovateľov (opätovne jeden prevádzkovateľ mohol registrovať aj viaceré informačné systémy).

Administratívne náklady

Zrušuje sa povinnosť vypracovania bezpečnostného projektu, a táto je nahradená povinnosťou posudzovania vplyvu na ochranu osobných údajov a predchádzajúcimi konzultáciami s úradom. Avšak povinnosť posúdenia vplyvu a možnej následnej konzultácie s úradom predpokladáme, že sa na základe stanovených navrhovaných kritérií bude týkať menšieho počtu prevádzkovateľov, ako tomu bolo podľa terajšej právnej úpravy, kedy sa naopak povinnosť vypracovať bezpečnostný projekt dotkla vždy subjektu ktorý splnil dané kritériá podľa súčasnej právnej úpravy; napríklad ak prevádzkovateľ spracúval rodné číslo na počítači prepojenom s verejne prístupnou počítačovou sieťou (internetom), mal povinnosť vypracovať bezpečnostný projekt. Ako sme vyššie uviedli predpokladáme skôr pokles povinnosti posúdenia vplyvu prípadne povinnosti následnej predchádzajúcej konzultácie s úradom, čo by sa malo priamo odraziť na znížení, resp. nenavýšení nákladov.

Stanovuje sa prevádzkovateľovi nová povinnosť vyplývajúca zo snahy o zabezpečenie materiálnej ochrany osobných údajov oznamovať porušenie ochrany osobných údajov úradu a pri vysokom riziku pre práva a slobody fyzických osôb dotknutým osobám ako aj Úradu na ochranu osobných údajov zo strany prevádzkovateľov (túto povinnosť má aj sprostredkovateľ avšak len voči prevádzkovateľovi v mene, ktorého spracúva osobné údaje dotknutej osoby) s výnimkou prípadov, kedy zanalyzované porušenie ochrany osobných údajov nepovedie k riziku pre práva a slobody fyzických osôb. Dotknutej osobe nemusí byť porušenie ochrany osobných údajov oznámené, ak by to vyžadovalo neprimerané úsilie prevádzkovateľa, ak ním boli prijaté primerané opatrenia, takže údaje nebudú čitateľné pre všetky osoby prípadne ak boli prijaté následne opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva osôb nebude mať dôsledky. V súvislosti s oznámeniami porušenia ochrany osobných údajov vzniká prevádzkovateľovi nová povinnosť dokumentovať prípady porušenia ochrany osobných údajov. Povinnosť oznamovať porušenie ochrany osobných údajov ako úradu tak dotknutej osobe, ak subjektu vznikne, sa týka všetkých subjektov.

5

Upravujú sa podmienky prenosu osobných údajov do tretích krajín a zavádza sa povinnosť zosúladiť postupy s primeranými zárukami, nielen zohľadnenie zoznamu Európskej Komisie krajín/doložiek spĺňajúcimi primeranú úroveň ochrany. Tento administratívny náklad vznikne iba tým prevádzkovateľom, ktorí prenášajú osobné údaje do tretích krajín; celkový počet dotknutých subjektov preto nie je možné definovať.

Zrušuje sa evidenčná povinnosť, ktorá sa nahrádza povinnosťou viesť záznamy o spracovateľských činnostiach tak pre prevádzkovateľa, ako aj sprostredkovateľa. V súčasnej právnej úprave bola táto povinnosť daná, len prevádzkovateľovi.

Zrušuje sa povinnosť oznamovania informačných systémov, ktoré boli v zákonom stanovených prípadoch prevádzkovatelia povinní oznamovať pred začatím spracúvania úradu. Táto povinnosť sa odvodzuje od právneho základu spracúvania prevádzkovateľa, to znamená, ak osobné údaje spracúval na základe súhlasu dotknutej osoby; alebo s ohľadom na ustanovenie zodpovednej osoby prevádzkovateľom. V súčasnosti v systéme oznámení figuruje 13 350 oznámení informačných systémov od prevádzkovateľov, s tým, že viacero oznámení mohlo byť vykonaných aj jedným podnikateľským subjektom - prevádzkovateľom.

Na základe výsledkov výpočtov vychádzajúcich z konzultácií a podkladov, ktoré poskytlo úradu Centrum pre lepšiu reguláciu predbežné vyčíslenie administratívnych nákladov pokiaľ ide o MSP, tie by mali byť približne na úrovni niečo viac ako 42 mil. eur.

3.3.4 Súhrnná tabuľka nákladov regulácie

Náklady na 1 podnikateľa

Náklady na celé podnikateľské prostredie

Priame finančné náklady

0

0

Nepriame finančné náklady

0

0

Administratívne náklady

0

0

Celkové náklady regulácie

V závislosti na rôznych podmienkach spracúvania osobných údajov jednotlivým podnikateľským subjektom nie je možné vyčísliť.

Predbežné vyčíslenie sa pohybuje na hodnote necelých 48 mil. eur pri dostupných údajoch o potenciálnych dotknutých subjektoch.

3.4 Konkurencieschopnosť a správanie sa podnikov na trhu

- z toho MSP

Dochádza k vytvoreniu bariér pre vstup na trh pre nových dodávateľov alebo poskytovateľov služieb? Bude mať navrhovaná zmena za následok prísnejšiu reguláciu správania sa niektorých podnikov? Bude sa s niektorými podnikmi alebo produktmi zaobchádzať v porovnateľnej situácii rôzne (špeciálne režimy pre mikro, malé a stredné podniky tzv. MSP)? Ak áno, popíšte.

Aký vplyv bude mať navrhovaná zmena na obchodné bariéry? Bude mať vplyv na vyvolanie cezhraničných investícií (príliv /odliv zahraničných investícií resp. uplatnenie slovenských podnikov na zahraničných trhoch)? Ak áno, popíšte.

Ako ovplyvní cenu alebo dostupnosť základných zdrojov (suroviny, mechanizmy, pracovná sila, energie atď.)?

Ovplyvňuje prístup k financiám? Ak áno, ako?

6

Navrhovaná právna úprava zjednocuje právnu úpravu ochrany osobných údajov v rámci Slovenskej republiky s právnou úpravou vo všetkých členských štátoch Európskej únie zjednotením pravidiel, terminológie, podmienok spracúvania, čím odstraňuje legálne bariéry, zvyšuje právnu istotu podnikateľských subjektov a zlepšuje ich konkurencieschopnosť.

Umožňuje im tiež využiť na báze dobrovoľnosti založené nové nástroje na zaistenie súladu spracúvania osobných údajov s pravidlami ochrany osobných údajov (certifikácia, kódexy správania), ako aj na preukázanie zabezpečenia primeraných záruk spracúvania pri prenosoch do tretích krajín všetko s cieľom posilniť postavenie dotknutej osoby pri ochrane súkromia v oblasti spracúvania jej osobných údajov.

Predpokladáme, že obchodné bariéry budú do značnej miery odstránené, nakoľko navrhovaná právna úprava je súladná s nariadením, teda nevytvára zbytočné bariéry ani pre tých prevádzkovateľov, ktorí v rámci nimi vykonávaných činností nespadajú úplne alebo aspoň čiastočne pod právny rámec nariadenia (činnosti, na ktoré sa uplatňuje právny poriadok Európskej únie). Domnievame sa, že navrhovaná právna úprava práve vďaka svojej homogénnosti a súladnosti s nariadením poskytne podnikateľským subjektom výbornú štartovaciu pozíciu a konkurenčnú výhodu, a to tak v rámci podnikania, ako aj v minimalizácii dodatočných problémov súvisiacich s odstraňovaním právnych bariér v prípade, ak svoje podnikanie vykonávajú alebo plánujú vykonávať aj mimo Slovenskej republiky v rámci Európskej únie.

3.5 Inovácie

- z toho MSP

Uveďte, ako podporuje navrhovaná zmena inovácie.

Zjednodušuje uvedenie alebo rozšírenie nových výrobných metód, technológií a výrobkov na trh?

Uveďte, ako vplýva navrhovaná zmena na jednotlivé práva duševného vlastníctva (napr. patenty, ochranné známky, autorské práva, vlastníctvo know-how).

Podporuje vyššiu efektivitu výroby/využívania zdrojov? Ak áno, ako?

Vytvorí zmena nové pracovné miesta pre zamestnancov výskumu a vývoja v SR?

Navrhovaná právna úprava nekladie prekážky novým technológiám, naopak, tieto zohľadňuje, čo môže byť prínosom nielen v rámci klasického podnikania, ale aj v rámci podnikania tzv. startupov a iných malých podnikateľských entít, ktorých potenciál je založený práve na nových technológiách a netradičných riešeniach, kedy práve zapracovanie ochrany osobných údajov priamo do technológií a aplikácií výrobku môže byť ich konkurenčnou výhodou na trhu.

Domnievame sa, že takýmto prístupom navrhovaná právna úprava je spôsobilá podporovať inovácie, vedu a výskum a produkovať a podporovať kvalitné vývojárske činnosti a projekty, a tým pozdvihnúť aj povedomie o ochrane a spracúvaní osobných údajov v spoločnosti celkovo. Nakoľko je predpoklad zapracúvania prvkov ochrany osobných údajov priamo do výrobkov s technológiami (privacy by design), je predpoklad aj šetrenia tovarov a surovín, nakoľko výrobok alebo služba obsahujúca prvky ochrany osobných údajov priamo od výroby má na trhu predpoklad preraziť a zotrvať na ňom dlhšie, ako výrobok, ku ktorému je nutnosť dokupovať jednorazovo alebo v časových odstupoch nový softvér alebo časové verzie týkajúce sa ochrany osobných údajov. Návrh zákona upravuje nové činnosti v oblasti ochrany osobných údajov, ako monitorovanie dodržiavania kódexov správa a vydávanie certifikátov v oboch prípadoch akreditovanými subjektami s relevantnou odbornou znalosťou problematiky.