DÔVODOVÁ SPRÁVA
A.Všeobecná časť
Návrh zákona, ktorým sa mení a dopĺňa zákon č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov a ktorým sa dopĺňa zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov predkladá na rokovanie Národnej rady Slovenskej republiky poslanec Národnej rady Slovenskej republiky Miloš SVRČEK, pričom návrh adresuje legislatívne vákuum týkajúce sa zodpovednosti vlády za koordináciu a tvorbu štátnej politiky v oblasti osobných údajov, a zároveň navrhuje, aby túto oblasť v budúcnosti zastrešoval Úrad vlády Slovenskej republiky (ďalej len „úrad vlády“).
Problematiku ochrany osobných údajov vrátane koordinácie a tvorby štátnej politiky zastrešoval v minulosti Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) napriek tomu, že mu takáto kompetencia nevyplývala ani zo zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon o ochrane osobných údajov“) ani zo žiadneho iného právneho predpisu.
Táto prax nebola v súlade s právom EÚ, keďže aj v zmysle čl. 51 a nasledovného nariadenia EP a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), ďalej len „GDPR“, byť úrad nezávislým dozorným orgánom, čo sa vylučuje s aktívnou tvorbou štátnej politiky v tejto oblasti, ktorá by mala byť najmä úlohou exekutívy. Článok 52 GDPR explicitne stanovuje, že úrad by mal konať pri plnení svojich úloh a výkone svojich právomocí úplne nezávisle. Členovia úradu nesmú byť pri plnení svojich úloh a výkone svojich právomocí podľa GDPR pod vonkajším vplyvom, či priamym alebo nepriamym, a nesmú od nikoho požadovať ani prijímať pokyny a musia sa zdržať akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia nevykonávať žiadnu inú platenú ani neplatenú pracovnú činnosť nezlučiteľnú s ich funkciou.1
Rozdelenie tvorby štátnej politiky a kontrolných úloh dozorných orgánov je zrejmé aj z pracovných postupov v rámci Európskej únie, kde sa úrad vyjadruje k európskym právnym aktom prostredníctvom koordinačného orgánu nezávislých dozorných orgánov členských štátov - Európskeho výboru pre ochranu osobných údajov („EDPB“), ktorý k návrhom vydáva spoločné stanovisko, ktorého primárnym cieľom je dôkladná ochrana osobných údajov. Okrem toho sa k návrhom európskych právnych aktov vyjadrujú aj zástupcovia členských štátov, ktorí zodpovední za tvorbu štátnych politík v oblasti ochrany osobných údajov na vnútroštátnej úrovni, najčastejšie prostredníctvom zástupcov exekutívy.
1 Vo veci nezávislosti dozorného orgánu a jeho členov pozri aj odôvodnené stanovisko, ktoré Európska komisia iniciovala voči Belgickému kráľovstvu, keďže nedokázalo zaručiť úplnú nezávislosť svojho orgánu pre ochranu osobných údajov, nakoľko niektorí členovia sa buď zodpovedajú riadiacemu výboru podliehajúcemu belgickej vláde, alebo zapojení do vládnych projektov, prípadne členmi Výboru pre bezpečnosť informácií (
https://ec.europa.eu/commission/presscorner/detail/en/inf_21_5342
).
Na rozdiel od dozorných orgánov môžu zástupcovia exekutívy lepšie zohľadniť aj iné národné priority, ako je napríklad efektívne trestné konanie. Národným záujmom totiž nemusí byť iba ochrana osobných údajov, ale aj ochrana iných základných práv, ako napríklad právo na život, právo na nedotknuteľnosť osoby, sloboda prejavu a právo na informácie, vlastnícke právo alebo právo na účinný prostriedok nápravy a na spravodlivý proces, ktoré by nemohli byť efektívne chránené, ak by sa právo na ochranu súkromia neprimerane vyzdvihovalo nad úroveň iných základných práv. Úrad nemôže pri tvorbe štátnej politiky dostatočne zohľadniť tieto iné národné záujmy, nakoľko musí vystupovať konzistentne so stanoviskami EDPB, ktorého primárnym cieľom je ochrana osobných údajov.
Keďže v zmysle čl. 2 ods. 2 Ústavy Slovenskej republiky môžu štátne orgány konať iba na základe ústavy, v jej medziach a v rozsahu a spôsobom, ktorý ustanoví zákon“, úrad by nemal ani podľa platnej právnej úpravy SR zasahovať do tvorby štátnej politiky v oblasti ochrany osobných údajov. Mal by sa nanajvýš vyjadrovať k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov, resp. poskytovať pre exekutívu konzultácie v oblasti ochrany osobných údajov, ako mu to vyplýva zo zákona o ochrane osobných údajov, resp. z GDPR.
Vzhľadom na skutočnosť, že čl. 2 ods. 2 Ústavy Slovenskej republiky zaväzuje rovnako aj ministerstvá a ostatné ústredné orgány štátnej správy a kompetenčný zákon ani iný právny predpis nedáva právomoc tvoriť štátnu politiku v oblasti ochrany osobných údajov žiadnemu ústrednému orgánu štátnej správy, navrhuje sa tento problém vyriešiť udelením tejto právomoci úradu vlády.
Okrem zodpovednosti za prípravu vnútroštátnej legislatívy v tejto oblasti tak úrad vlády získa oprávnenie zastupovať Slovenskú republiku aj v pracovných a expertných skupinách Európskej únie, ako aj v medzinárodných organizáciách, a to na všetkých fórach, na ktorých sa vyžaduje politické stanovisko k návrhom v oblasti ochrany osobných údajov. Úrad bude naďalej Slovenskú republiku zastupovať na európskych a medzinárodných fórach, ktoré združujú nezávislé dozorné orgány, ktorých činnosť je zameraná na výkon dozoru a spolupráce v oblasti ochrany osobných údajov. Tým sa legislatívne ošetrí aj rozdelenie kompetencií oboch orgánov verejnej moci s ohľadom na budúce právomoci, ktoré by mohli byť priznané osobitným právnym predpisom alebo medzinárodnou zmluvou v oblasti ochrany osobných údajov.
Návrh zákona negatívny vplyv na rozpočet verejnej správy, nemá vplyvy na podnikateľské prostredie, vplyvy na životné prostredie ani na informatizáciu spoločnosti a nevyvoláva žiadne sociálne vplyvy či vplyvy na služby verejnej správy pre občana a vplyvy na manželstvo, rodičovstvo a rodinu.
Návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, nálezmi Ústavného súdu a ostatnými všeobecne záväznými právnymi predpismi Slovenskej republiky, medzinárodnými zmluvami a inými medzinárodnými dokumentmi, ktorými je Slovenská republika viazaná, ako aj s právom Európskej únie.
B.Osobitná časť
K Čl. I
Navrhuje sa, aby koordináciu a tvorbu štátnej politiky v oblasti ochrany osobných údajov zabezpečoval úrad vlády, pričom sa navrhuje ustanoviť, že túto úlohu bude zabezpečovať podpredseda vlády, ktorý neriadi ministerstvo.
K čl. II
Navrhuje sa, aby úrad poskytoval úradu vlády všetky údaje vrátane osobných údajov potrebné na zabezpečovanie koordinácie a tvorby štátnej politiky v oblasti ochrany osobných údajov v nadväznosti na čl. I.
K Čl. III
Účinnosť zákona sa navrhuje 1. augusta 2023.