Slovensko: Nový zákon o ochrane osobných údajov

1. 12. 2013

Sdílet

 Autor: © Tomas Sereda - Fotolia.com
Nový zákon o ochrane osobných údajov zo dňa 30. apríla 2013 a ktorý nadobudol účinnosť 1. júla 2013 (ďalej len „Nový zákon“) prináša najmä sprehľadnenie a spresnenie právnej úpravy, ako aj odstránenie nejasností, ktoré obsahuje zákon č. 428/2002 Z.z. o ochrane osobných údajov (ďalej len „Predchádzajúci zákon“). Nový zákon má viesť k dosiahnutiu väčšej právnej istoty.

Medzi zmeny, ktoré so sebou prináša Nový zákon, patrí napríklad sprísnenie podmienok na výkon funkcie zodpovednej osoby, ale aj zjednodušenie cezhraničného prenosu osobných údajov. Dôležitou, avšak ľahko prehliadnuteľnou zmenou, ktorá ovplyvní väčšinu podnikateľov je zavedenie povinnosti Úradu na ochranu osobných údajov (ďalej len „Úrad“) uložiť pokutu pri každom porušení Nového zákona. Doteraz bolo na zvážení Úradu, či takúto pokutu udelí alebo nie.

Vzťah prevádzkovateľa a sprostredkovateľa

Nový zákon zavádza povinné náležitosti zmluvy, ktorú uzatvára prevádzkovateľ so sprostredkovateľom. Medzi tieto náležitosti patrí napríklad (i) názov informačného systému, (ii) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a schopnosť zaručiť bezpečnosť spracúvaných osobných údajov, (iii) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom subdodávateľa.

Je zrejmé, že väčšina zmlúv v súčasnosti nebude obsahovať všetky zákonom vyžadované náležitosti a tieto zmluvy bude potrebné doplniť do 1. júla 2014.

Osobitne poukazujeme na potrebu upraviť možnosť sprostredkovateľa spracuvávať osobné údaje prostredníctvom subdodávateľa, ak podnikateľ takýto outsourcing spracuvávania osobných údajov plánuje.

Spracúvanie osobných údajov zamestnanca

Nový zákon už výslovne upravuje, že zamestnávateľ je oprávnený zverejniť osobné údaje zamestnanca v rozsahu titul, meno, priezvisko, pracovné zaradenie, odborný útvar, miesto výkonu práce, kontaktné údaje a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Zverejnenie osobných údajov však nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

 

Dohľad nad ochranou osobných údajov - zodpovedná osoba

Podľa Nového zákona musí prevádzkovateľ poveriť dohľadom nad ochranou osobných údajov zodpovednú osobu v prípade, ak zamestnáva 20 a viac osôb, prostredníctvom ktorých spracúva osobné údaje. Doteraz mal túto povinnosť zamestnávateľ vždy, keď zamestnával viac ako päť osôb, a to bez ohľadu na to, či tieto osoby spracúvali osobné údaje alebo nie.

Na rozdiel od súčasnej úpravy však už nebude stačiť, že zodpovedná osoba bude odborne vyškolená z oblasti ochrany osobných údajov. Zodpovedná osoba bude musieť svoje vedomosti okrem toho preukázať aj úspešným absolvovaním skúšky pred Úradom. Úspešné absolvovanie skúšky predpokladá výkon funkcie zodpovednej osoby.

 

Cezhraničný prenos

Nový zákon prináša zjednodušenie podmienok cezhraničného prenosu osobných údajov mimo EU/EEA teritória a odbúranie administratívnej záťaže spojenej so žiadaním Úradu o jeho súhlas s prenosom do tretích krajín. Podľa Nového zákona už na prenos osobných údajov do USA, za predpokladu, že dovozca osobných údajov sa prihlásil k tzv. „Safe Harbour“, nebude potrebný súhlas Úradu. Bude sa však potrebné ubezpečiť, že zmluva o prenose obsahuje zákonom vyžadované podstatné náležitosti.

Ďalej nebude potrebné žiadať Úrad o súhlas ani v prípade prenosu osobných údajov do tretích krajín bez primeranej úrovne ochrany, a to pod podmienkou, že zmluva o prenose obsahuje schválené štandardné zmluvné doložky alebo vnútropodnikové pravidlá. V ostatných prípadoch povinnosť požiadať Úrad o súhlas s prenosom ostáva nezmenená.

 

Registrácia informačných systémov

Nový zákon spresňuje pravidlá a podmienky registrácie informačných systémov. Zavádzajú sa tiež poplatky za registráciu, a to 20 eur v prípade obyčajnej registrácie a 50 eur v prípade osobitnej registrácie. Všetky v súčasnosti registrované informačné systémy bude potrebné nanovo zaregistrovať podľa Nového zákona do 1. januára 2014.

 

Pokuty

Úrad už nebude mať možnosť rozhodnúť, či za porušenie Nového zákona pokutu udelí alebo neudelí. Pokutu totiž bude musieť udeliť za každý prípad porušenia, a to aj opakovane. Výška pokút sa bude pohybovať od 150 eur do 300 000 eur. Ide podľa nášho názoru o veľmi zásadnú zmenu, ktorá bude viesť k tomu, že aj malo závažné porušenie zákona bude mať za následok uloženie pokuty.

bitcoin_skoleni

 

Autor je advokátní koncipient v advokátní kanceláři Havel, Holásek & Partners