Dňa 01.07.2013 nadobudol účinnosť zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len ako „nový zákon“ alebo „zákon“), ktorý zrušil a v plnom rozsahu nahradil dovtedy platný zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len ako „predchádzajúci zákon“ alebo „predchádzajúca právna úprava“).

Prijatie nového zákona si vyžiadala potreba dôslednej transpozície smernice Európskeho parlamentu a Rady 95/46/EHS o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, ako aj potreba zohľadnenia záverov a odporúčaní hodnotenia správneho uplatňovania schengenského acquis v Slovenskej republike pre oblasť ochrany osobných údajov a naplnenia úloh obsiahnutých v Schengenskom akčnom pláne Slovenskej republiky. V neposlednom rade bolo prijatie nového zákona žiaduce i z dôvodu zhodnotenia výsledkov analýzy predchádzajúceho zákona z pohľadu aplikačnej praxe.

Nová právna úprava nemení pôvodný zámer predchádzajúceho zákona, ktorým i naďalej zostáva ochrana práv fyzických osôb pri spracúvaní ich osobných údajov, stanovenie práv, povinností a zodpovednosti prevádzkovateľov a sprostredkovateľov pri spracúvaní predmetných údajov, ako aj zadefinovanie časti osobitného procesu rozhodovania vo veciach kontroly spracúvania osobných údajov.

Cieľom nového zákona je v zmysle dôvodovej správy k zákonu predovšetkým sprehľadnenie právnej úpravy, zadefinovanie a precizovanie jednotlivých procesov, a tak i dosiahnutie väčšej právnej istoty pre všetky subjekty, ktoré sú do procesu spracúvania osobných údajov začlenené.

V nasledujúcom texte poukážeme na najzávažnejšie zmeny, ktoré nový zákon priniesol. Pre lepšiu prehľadnosť a pochopenie predmetnej problematiky budú tieto zmeny rozdelené do nasledovných častí:

  1. Sprostredkovateľ

 Poverenie sprostredkovateľa[1] spracúvaním osobných údajov zo strany prevádzkovateľa[2] je v zmysle novej právnej úpravy možné len na základe písomnej zmluvy. Písomné poverenie sprostredkovateľa prípustné podľa pôvodného zákona teda už nebude postačujúce. Je však potrebné zdôrazniť, že písomná zmluva musí obsahovať obligatórne náležitosti špecifikované v novom zákone, pričom prevádzkovateľ je povinný uzavrieť predmetnú zmluvu so sprostredkovateľom ešte pred začatím spracúvania osobných údajov, najneskôr však v deň začatia ich spracúvania. Súčasne platí, že uzavretie predmetnej zmluvy nie je podmienené súhlasom dotknutej osoby (t.j. každej fyzickej osoby, ktorej sa osobné údaje týkajú).

Pre úplnosť a poriadok veci je potrebné zdôrazniť, že prevádzkovateľovi nový zákon ukladá povinnosť uviesť zmluvný vzťah so sprostredkovateľom do súladu s novým zákonom v lehote jedného roka odo dňa jeho účinnosti, t.j. do 30.06.2014.

Ak prevádzkovateľ vyššie uvedenú povinnosť poveriť spracúvaním osobných údajov sprostredkovateľa na základe písomnej zmluvy nesplní, uloží mu Úrad pokutu od 1.000 EUR až do výšky 300.000 EUR.

Ďalšia významná zmena spočíva v novej povinnosti sprostredkovateľa, ktorý v prípade ak zistí, že sa prevádzkovateľ pri spracúvaní osobných údajov dopustil zjavného porušenia zákona, je povinný ho o uvedenej skutočnosti písomne upozorniť a do vykonania nápravy zo strany prevádzkovateľa smie vykonať len také operácie s osobnými údajmi, ktoré neznesú odklad. V prípade, ak prevádzkovateľ nápravu v zákonom stanovenej lehote nevykoná, je sprostredkovateľ povinný o tom bez zbytočného odkladu informovať Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „Úrad“), ktorý bude povinný uložiť prevádzkovateľovi pokutu od 1.000 EUR do 80.000 EUR. Pre úplnosť je potrebné dodať, že v prípade, ak by si sprostredkovateľ predmetnú zákonnú povinnosť nesplnil, zodpovedal by za porušenie povinnosti a za škodu tým spôsobenú spoločne a nerozdielne spolu s prevádzkovateľom.

Nová právna úprava taktiež umožňuje, aby sprostredkovateľ spracúval osobné údaje nielen osobne, ale i prostredníctvom inej osoby, tzv. subdodávateľa. Uvedené však prichádza do úvahy len za predpokladu, že sa na tom sprostredkovateľ a prevádzkovateľ v písomnej zmluve dohodli.

  1. Zodpovedná osoba

 Nový zákon prináša zmeny aj pokiaľ ide o inštitút zodpovednej osoby, t.j. osoby, ktorá vykonáva dohľad nad ochranou osobných údajov, resp. dozerá na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Povinnosť písomne poveriť zodpovednú osobu, resp. viaceré zodpovedné osoby výkonom dohľadu nad ochranou osobných údajov má prevádzkovateľ (príp. sprostredkovateľ, ak bol poverený spracúvaním osobných údajov) podľa nového zákona v prípade, ak spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb. Oprávnenou osobou zákon pritom rozumie každú fyzickú osobu, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného, štátnozamestnaneckého alebo služobného pomeru, členského vzťahu či na základe poverenia, zvolenia alebo vymenovania alebo v rámci výkonu verejnej funkcie a tieto osobné údaje spracúva. Pre porovnanie možno uviesť, že podľa predchádzajúcej právnej úpravy mal vyššie uvedenú povinnosť každý prevádzkovateľ, ktorý zamestnával viac ako päť osôb, a to bez ohľadu na to, či prostredníctvom nich osobné údaje spracúval alebo nie.

Povinnosť poveriť zodpovednú osobu si prevádzkovateľ musí splniť najneskôr v lehote 60 dní od začatia spracúvania osobných údajov. V záujme posilnenia právnej istoty zákon pritom zakotvuje náležitosti vyššie uvedeného poverenia, ktoré v predchádzajúcej právnej úprave absentovali a spôsobovali prevádzkovateľom aplikačné problémy. Pre úplnosť je vhodné poukázať aj na povinnosť prevádzkovateľa informovať o poverení zodpovednej osoby Úrad, ktorá bola zakotvená aj v predchádzajúcej právnej úprave a ktorá ostala aj na základe nového zákona naďalej zachovaná.

Keďže si nový zákon kladie za cieľ zvýšenie odbornosti zodpovednej osoby v oblasti ochrany osobných údajov, výkon predmetnej funkcie podmieňuje úspešným absolvovaním skúšky zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov, ktorú bezplatne zabezpečuje Úrad. V tejto súvislosti je potrebné upozorniť na skutočnosť, že v prípade, ak fyzická osoba danú skúšku absolvovala, avšak funkciu zodpovednej osoby nevykonáva počas doby dlhšej ako dva roky, má povinnosť danú skúšku absolvovať opakovane. Podrobnosti o predmetnej skúške ustanovuje vyhláška Úradu č. 165/2013 Z. z.

Okrem vyššie uvedeného špecifikuje nový zákon aj požiadavky, ktoré musí fyzická osoba na výkon funkcie zodpovednej osoby spĺňať, pričom pojem zodpovedná osoba vymedzuje aj negatívne a stanovuje, ktorá fyzická osoba túto funkciu vykonávať nemôže (ide o fyzickú osobu, ktorá je štatutárnym orgánom alebo členom štatutárneho orgánu prevádzkovateľa a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu alebo člena štatutárneho orgánu prevádzkovateľa pri plnení povinností a uplatňovaní práv podľa nového zákona).

V zmysle Nového zákona je prevádzkovateľ povinný zodpovednú osobu písomne poveriť a jej poverenie oznámiť Úradu do jedného roka odo dňa účinnosti nového zákona, t.j. do 30.06.2014.

V prípade ak prevádzkovateľ nesplní alebo poruší povinnosť vyhotoviť poverenie zodpovednej osoby podľa nového zákona, bude zo strany Úradu sankcionovaný pokutou od 1.000 EUR do 80.000 EUR a v prípade ak predmetné poučenie nebude obsahovať zákonom stanovené náležitosti pokutou od 300 EUR do 5.000 EUR.

  1. Súhlas dotknutej osoby

Zákon prináša zmeny aj pokiaľ ide o súhlas dotknutej osoby. Výslovne napr. zakotvuje, že prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Súčasne však platí, že sprístupnenie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

Pokiaľ ide o osobitnú kategóriu osobných údajov (tzv. citlivé údaje), je potrebné venovať osobitnú pozornosť spracúvaniu biometrických údajov (napr. o odtlačky prstov, hlas, vlastnoručný podpis). Nový zákon totiž nanovo upravuje podmienky spracúvania predmetných údajov a na rozdiel od predchádzajúcej právnej úpravy na ich spracúvanie už nevyhnutne nevyžaduje písomný súhlas dotknutej osoby, ale za postačujúci považuje aj iný hodnoverne preukázateľný súhlas.

Pre poriadok vo veci je potrebné dodať, že súhlas so spracúvaním osobných údajov, ktorý bol udelený podľa doterajšieho zákona sa účinnosťou nového zákona považuje za súhlas so spracúvaním osobných údajov udelený podľa nového zákona. S ohľadom na uvedené preto nie je potrebné, aby dotknutá osoba udeľovala opätovne súhlas na spracúvanie jej osobných údajov.

Pre úplnosť a komplexnosť veci uvádzame, že v prípade, ak prevádzkovateľ pri spracúvaní osobitnej kategórie osobných údajov poruší niektorú zo zákonných povinností, uloží mu Úrad pokutu od 1.000 EUR až do výšky 300.000 EUR.

4. Zodpovednosť za bezpečnosť osobných údajov

Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ, ktorý je povinný chrániť ich pred poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel je prevádzkovateľ povinný prijímať primerané bezpečnostné opatrenia, ktoré zdokumentuje v bezpečnostnej dokumentácii, a to v bezpečnostnom projekte alebo v bezpečnostnej smernici.

V zmysle nového zákona je prevádzkovateľ povinný prijaté bezpečnostné opatrenia zdokumentovať vo forme bezpečnostnej smernice ak (i) je jeho informačný systém prepojený s verejnou prístupnou počítačovou sieťou (internetom) a prevádzkovateľ pritom nespracúva osobitné kategórie osobných údajov, alebo ak (ii) síce nie je prepojený s verejne prístupnou počítačovou sieťou, ale prevádzkovateľ spracúva osobitné kategórie osobných údajov. V prípade ak prevádzkovateľ spracúva osobitné kategórie osobných údajov a súčasne je jeho informačný systém prepojený s verejne prístupnou sieťou, vyžaduje nový zákon dokumentáciu vo forme bezpečnostného projektu. Zákon taktiež zaviedol novú povinnosť bezodkladnej aktualizácie vyššie uvedených opatrení tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných údajov v informačnom systéme. Podrobnejšie upravuje rozsah a dokumentáciu bezpečnostných opatrení vyhláška Úradu č. 164/2013 Z.z.

Pre úplnosť je v tejto súvislosti potrebné uviesť, že prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s novým zákonom do deviatich mesiacov odo dňa jeho účinnosti, t.j. do 31.03.2014.

V prípade ak prevádzkovateľ poruší svoju povinnosť zdokumentovať prijaté bezpečnostné opatrenia v bezpečnostnom projekte, bude mu zo strany Úradu uložená pokuta od 1.000 EUR do 300.000 EUR a v prípade ak nezdokumentuje predmetné bezpečnostné opatrenia vo forme bezpečnostnej smernice pokutu od 1.000 EUR do 80.000 EUR.

Rovnaká pokuta, t.j. pokuta od 1.000 EUR do 80.000 EUR hrozí prevádzkovateľovi aj v prípade, ak poruší:

  • povinnosť bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení, a to tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov a
  • povinnosť oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu potrebnom na plnenie ich úloh, a to pri každej zmene bezpečnostnej smernice.
  1. Oprávnená osoba

Na základe novej právnej úpravy bola taktiež doplnená definícia oprávnenej osoby, ako aj precíznejšie upravená problematika jej poučenia. Nový zákon zachoval povinnosť písomne poučiť oprávnenú osobu o právach a povinnostiach ustanovených zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Na rozdiel od predchádzajúceho zákona však zaviedol pre prevádzkovateľa (resp. sprostredkovateľa) novú povinnosť, a to povinnosť vyhotoviť písomný záznam o poučení oprávnenej osoby, ktorý musí obsahovať zákonom stanovené náležitosti, okrem iného napr. identifikáciu prevádzkovateľa a oprávnenej osoby, rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov a dátum poučenia.

Prevádzkovateľ (resp. sprostredkovateľ) je pritom povinný vykonať poučenie oprávnených osôb v súlade s novým zákonom do šiestich mesiacov odo dňa jeho účinnosti, t.j. do 31.12.2013. V prípade ak zo strany prevádzkovateľa nedôjde k splneniu povinnosti vyhotoviť písomný záznam o poučení oprávnenej osoby, uloží mu Úrad pokutu od 300 EUR až do výšky 5.000 EUR; ak prevádzkovateľ nevykoná predmetné poučenie vôbec, prichádza do úvahy uloženie pokuty od 1.000 až do výšky 80.000 EUR.

  1. Registrácia a osobitná registrácia informačných systémov

Nový zákon zavádza spoplatnenie registrácie a osobitnej registrácie informačných systémov, ako aj ich zmien, pričom prevádzkovateľom ukladá povinnosť nanovo prihlásiť svoj informačný systém na registráciu a osobitnú registráciu v súlade s novým zákonom do šiestich mesiacov odo dňa účinnosti nového zákona, t.j. do 31.12.2013.

Pre úplnosť dodávame, že v zmysle nového zákona je Úrad povinný sankcionovať prevádzkovateľa, ktorý nesplní povinnosť registrácie alebo vedenia evidencie informačného systému pokutou od 300 EUR do 5.000 EUR a prevádzkovateľa, ktorý nesplní povinnosť osobitnej registrácie informačného systému pokutou od 1.000 EUR do 300.000 EUR. Pokutu od 300 EUR do 5.000 EUR Úrad taktiež uloží prevádzkovateľovi, ktorý nesplnil povinnosť oznámenia zmien údajov prihlásených na registráciu alebo osobitnú registráciu alebo povinnosť odhlásenia informačného systému z registrácie alebo osobitnej registrácie.

  1. Cezhraničný prenos osobných údajov

Zákon upravuje podmienky prenosu osobných údajov do tretích krajín s primeranou ako aj bez primeranej úrovne ochrany osobných údajov, pričom o primeranosti úrovne ochrany osobných údajov v treťom štáte rozhoduje Európska komisia. Od 01.07.2013 pribudlo v zákone nové ustanovenie, v zmysle ktorého, v prípade ak prevádzkovateľ uvedie primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných práv, je možné uskutočniť prenos osobných údajov aj do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany. Za takéto záruky sa považujú (i) štandardné zmluvné doložky a (ii) záväzné vnútropodnikové pravidlá prevádzkovateľa, ktoré boli schválené orgánom dozoru v oblasti ochrany osobných údajov so sídlom v členskom štáte.

V tejto súvislosti je potrebné uviesť, že Úrad schvaľuje žiadosti o súhlas s cezhraničným prenosom len v prípadoch, ak prevádzkovateľ prenášajúci osobné údaje použije v zmluve o prenose osobných údajov do tretej krajiny bez primeranej úrovne ochrany osobných údajov zmluvné doložky, ktoré sa líšia od štandardných zmluvných doložiek alebo sú nimi v zjavnom rozpore. Žiadosť o súhlas je v danom prípade prevádzkovateľ povinný predložiť Úradu pred začatím cezhraničného prenosu, pričom v predmetnej žiadosti musí uviesť zákonom stanovené údaje a ako prílohu doložiť zmluvu o prenose osobných údajov v štátnom jazyku alebo jej úradne overený preklad do štátneho jazyka.

V ostatných prípadoch však prenosy osobných údajov schvaľovaciemu procesu na Úrade v zmysle platnej právnej úpravy nepodliehajú.

Nový zákon taktiež zakotvil náležitosti zmluvy o prenose osobných údajov, v prípade ak prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania alebo trvalým pobytom v Spojených štátoch amerických pristúpil k zásadám „Safe Harbor“ („bezpečného prístavu“).

Pre úplnosť je vhodné dodať, že prevádzkovateľovi, ktorý nevykoná prenos osobných údajov do tretích krajín podľa ustanovení nového zákona, hrozí zo strany Úradu pokuta vo výške od 1.000 EUR do 300.000 EUR.

  1. Konanie o ochrane osobných údajov

Ďalšou podstatnou zmenou, ktorú zákon priniesol, je zavedenie nového druhu konania, a to konania o ochrane osobných údajov. Účelom predmetného konania je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia takýchto nedostatkov, uložiť opatrenia na nápravu, prípadne sankciu za porušenie zákona.

Ďalšou podstatnou zmenou, ktorú zákon priniesol, je zavedenie nového druhu konania, a to konania o ochrane osobných údajov. Účelom predmetného konania je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia takýchto nedostatkov, uložiť opatrenia na nápravu, prípadne sankciu za porušenie zákona.

Konanie o ochrane osobných údajov sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených zákonom, alebo bez návrhu. Úrad o návrhu rozhodne v lehote 60 dní odo dňa začatia konania. V odôvodnených prípadoch môže Úrad túto lehotu primerane predĺžiť, najviac o šesť mesiacov.

Ak Úrad zistí porušenie práv fyzickej osoby pri spracúvaní jej osobných údajov alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom, uloží rozhodnutím prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku. Úrad môže napr. zakázať spracúvanie osobných údajov, ktoré je v rozpore s ustanoveniami zákona, nariadiť odstránenie alebo likvidáciu osobných údajov v určenej lehote, uložiť povinnosť prijať technické, organizačné alebo personálne opatrenia alebo aj uložiť prevádzkovateľovi povinnosť zmeniť sprostredkovateľa v určenej lehote a pod. Prevádzkovateľ alebo sprostredkovateľ je pritom povinný Úrad informovať o splnení uložených opatrení v Úradom určenej lehote.

Proti rozhodnutiu Úradu je možné podať do 15 dní odo dňa jeho doručenia rozklad, o ktorom rozhodne predseda Úradu. Pre úplnosť je tiež vhodné spomenúť, že na konanie o ochrane osobných údajov sa subsidiárne aplikujú pravidlá vyplývajúce zo zákona č. 71/1967 Zb. o správnom konaní (Správny poriadok).

  1. Uloženie sankcii za porušenie zákon

Jednou z najvýznamnejších zmien, ktorú priniesol nový zákon, je zakotvenie obligatórneho ukladania sankcií za porušenie zákona, ktoré nahradilo fakultatívne ukladanie podľa predchádzajúcej právnej úpravy. V zmysle nového zákona teda platí, že v prípade ak dôjde k porušeniu ustanovení predmetného zákona, je Úrad povinný uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu, príp. poriadkovú pokutu v zákonom stanovenej výške. Právomoc Úradu rozhodnúť o tom či danú pokutu uloží alebo nie novým zákonom tým pádom zaniká.  

[1] Sprostredkovateľom je v zmysle zákona každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom.

[2] Prevádzkovateľom  je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene.