Aké zmeny nám priniesol nový zákon o ochrane osobných údajov?!

Nový zákon č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov ( ďalej len „zákon o ochrane osobných údajov“ )

  • Nadobudol účinnosť dňom 1. júla 20013
  • Úplne zrušil zákon č. 428/2002 Z.z. o ochrane osobných údajov v znení zákona č. 602/2003 Z.z., zákona č. 576/2004 Z.z., zákona č. 90/2005 Z.z. a zákona č. 583/2008 Z.z.
  • Prílohou k zákonu č. 122/2013 Z.z. je právne záväzný akt Európskej únie – Smernica Európskeho parlamentu a Rady 95/46/EHS z 24.októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov v znení nariadenia Európskeho parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003

Koho sa týka tento zákon o ochrane osobných údajov?

Podľa novej úpravy zákona o ochrane osobných údajov sa tento zákon vzťahuje na každého, kto spracúva osobné údaje alebo poskytuje údaje na spracúvanie ( § 2 ods. 1 zákona o ochrane osobných údajov ).

Osobné údaje môže spracúvať iba prevádzkovateľ alebo sprostredkovateľ ( § 5 ods. 2 zákona o ochrane osobných údajov ).

Podľa zákona môže osobné údaje vo vlastnom mene spracúvať len prevádzkovateľ.

Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa v rozsahu písomnej zmluvy uzavretej s prevádzkovateľom a v súlade so zákonom. Náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom upravuje § 8 ods. 4 zákona o ochrane osobných údajov.

Dotknutá osoba je každá fyzická osoba, ktorej sa osobné údaje týkajú ( § 4 ods. 2 písm. a/ zákona o ochrane osobných údajov ).

Oprávnená osoba – je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo iného obdobného vzťahu, a to spôsobom v poučení podľa § 21 zákona o ochrane osobných údajov ( k § 21 viď nižšie ).

Tretia strana – je každý, kto nie je prevádzkovateľ, zástupca prevádzkovateľa, sprostredkovateľ, dotknutá osoba a oprávnená osoba.

Príjemca – je každý, komu sú osobné údaje poskytnuté alebo sprístupnené bez rozdielu, či sa jedná o tretiu stranu alebo nie.

Ktoré údaje majú charakter osobných údajov, ktoré požívajú ochranu podľa zákona o ochrane osobných údajov?

Ust. § 4 ods. 1 zákona o ochrane osobných údajov upravuje, že:

Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. 

Osobnými údajmi sú najmä: titul, meno, priezvisko, adresa, ďalšie kontaktné údaje, dátum narodenia, rodné číslo, údaje o správaní a konaní fyzickej osoby, biometrické údaje ( napr. otlačky prstov, sietnica, tvar tváre, vlastnoručný podpis ), informácie o jej osobných vlastnostiach a pomeroch, resp. iných znakoch, ktoré charakterizujú alebo odhaľujú jej fyzickú, fyziologickú, psychickú, ekonomickú, kultúrnu alebo sociálnu identitu.

Čo znamená pojem spracovanie osobných údajov?

Pojem spracovanie osobných údajov je upravený v § 4 ods. 3 písm. a) zákona o ochrane osobných údajov a rozumie sa tým akékoľvek nakladanie s osobnými údajmi, najmä:

  1. poskytovanie osobných údajov, t.j. ich odovzdávanie tretím osobám na ďalšie spracúvanie inému prevádzkovateľovi, sprostredkovateľovi a ich oprávneným osobám,
  2. sprístupňovanie osobných údajov, t.j. oznámenie osobných údajov alebo umožnenie prístupu k nim osobe, ktorá ich nebude ďalej spracúvať,
  3. zverejňovanie osobných údajov,
  4. cezhraničný prenos osobných údajov, t.j. akýkoľvek prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky, pričom sa nejedná o zabezpečenie technického riešenia prenosu osobných údajov prostredníctvom elektronických komunikácií,
  5. likvidácia osobných údajov, t.j. proces skončenia spracovania osobných údajov,
  6. blokovanie osobných údajov, t.j. zabránenie prístupu, resp. manipulácie s osobnými údajmi.

Čo znamená právny základ spracúvania osobných údajov?

Tento nový termín, ktorý zaviedol nový zákon, je upravený v § 9 zákona o ochrane osobných údajov.

Osobné údaje može prevádzkovateľ alebo sprostredkovateľ spracovávať len na základe:

  1. priamo vykonateľného právne záväzného právneho aktu Európskej únie,
  2. medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
  3. zákona o ochrane osobných údajov,
  4. osobitného zákona,
  5. súhlasu dotknutej osoby.

Čo znamená súhlas dotknutej osoby?

Udelenie súhlasu dotknutej osoby upravuje § 11 zákona o ochrane osobných údajov.

Prevádzkovateľ môže spracúvať osobné údaje len so súhlasom dotknutej osoby s výnimkami upravenými v § 10 zákona o ochrane osobných údajov, kedy sa v presne vymedzených prípadoch spracúvajú osobné údaje bez súhlasu dotknutej osoby.

Udelenie súhlasu dotknutej osoby sa nesmie vynucovať ani ničím podmieňovať.

Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, alebo iným hodnoverným spôsobom. Súhlas daný v písomnej podobe je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom. 

Kedy sa súhlas dotknutej osoby nevyžaduje?

V ktorých prípadoch je možné spracovávať osobné údaje bez súhlasu dotknutej osoby upravuje § 10 zákona o ochrane osobných údajov.

Napríklad súhlas dotknutej osoby sa nevyžaduje v poštovom styku, ak predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne na účely priameho marketingu, a dotknutá osoba písomne nežiadala likvidáciu svojich osobných údajov ( § 10 ods. 3 písm. d/ zákona o ochrane osobných údajov ).

Ktoré osobné údaje spadajú pod pojem „osobitné kategórie osobných údajov, alebo inak povedané citlivé údaje“?

Osobitnú kategóriu osobných údajov upravuje § 13 zákona o ochrane osobných údajov.

Medzi citlivé osobné údaje patria rodné číslo, biometrické údaje, údaje o psychickej identite alebo psychickej pracovnej spôsobilosti fyzickej osoby ( údaje z osobnostných testov ), údaje, ktoré odhaľujú rasový alebo etnický pôvod osoby, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách, údaje týkajúce sa zdravia alebo údaje týkajúce sa pohlavného života fyzických osôb.

Kde v novom zákone sú definované základné pojmy a ktorý pojem pribudol?

§ 4 zákona o ochrane osobných údajoch vymedzuje základné pojmy, s ktorými zákon o ochrane osobných údajov pracuje; pojmy sú v tomto zákone presnejšie definované a pribudol nový pojem „priestor prístupný verejnosti“ ( § 4 ods. 3 písm. j/ zákona o ochrane osobných údajov ).

Priestorom prístupným verejnosti je priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon.

Aké osobné údaje zamestnanca môže zamestnávateľ sprístupniť alebo zverejniť?

Zamestnávateľ môže sprístupniť alebo zverejniť osobné údaje zamestnanca v rozsahu:

  • titul
  • meno
  • priezvisko
  • pracovné, služobné alebo funkčné zaradenie
  • odborný útvar
  • miesto výkonu práce
  • telefónne číslo
  • faxové číslo alebo elektronická pošta na pracovisko

- údaje o zamestnávateľovi, ak je potrebné pre plnenie si pracovných povinností zamestnanca

Sprístupnenie alebo zverejnenie osobných údajov zamestnanca nemôže narušiť vážnosť, dôstojnosť a bezpečnosť zamestnanca.

Kedy je prevádzkovateľ povinný likvidovať osobné údaje?:

Predovšetkým po splnení účelu spracúvania osobných údajov.

Bezodkladná likvidácia osobných údajov sa nevyžaduje, ak osobné údaje sú súčasťou registratúrneho záznamu podľa zákona č. 395/2002 Z.z. o archívoch a registratúrach v znení neskorších predpisov. Likvidácia registratúrneho záznamu sa uskutočnuje podľa zákona č.395/2002 Z.z..

Spracúvané osobné údaje na účely marketingu sa musia zlikvidovať, ak dotknutá osoba uplatnila námietku.

Záznam z monitorovania priestoru prístupného verejnosti ( pre účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, ochrany majetku alebo zdravia ), ak nie je využitý na účely trestného konania alebo konania o priestupkoch, je ten kto ho vyhotovil, povinný zlikvidovať do 15 dní od nasledujúceho dňa po dni, v ktorom bol tento záznam vyhotovený.

Kedy má prevádzkovateľ vypracovať bezpečnostnú smernicu a bezpečnostný projekt?:

Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ.

Prevádzkovateľ je povinný chrániť osobné údaje a prijať bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov.

Bezpečnostné opatrenia musí prevádzkovateľ zdokumentovať vo vypracovanej bezpečnostnej smernici alebo bezpečnostnom projekte.

Prevádzkovateľ má povinnosť vypracovať bezpečnostnú smernicu ( § 19 ods. 2 zákona o ochrane osobných údajov ), ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov podľa § 13 alebo ak v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13.

Prevádzkovateľ má povinnosť vypracovať bezpečnostný projekt ( § 19 ods. 3 zákona o ochrane osobných údajov ), ak spracúva osobitnú kategóriu osobných údajov podľa § 13 v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou.

Čo zahŕňa povinnosť prevádzkovateľa poučiť oprávnenú osobu?

Poučenie oprávnenej osoby je upravené v § 21 zákona o ochrane osobných údajov. Prevádzkovateľ môže spracúvať osobné údaje len prostredníctvom osôb, ktoré majú postavenie oprávnených osôb a ktoré poučil o právach a povinnostiach pri nakladaní s osobnými údajmi a o zodpovednosti za jeho porušenie. O poučení oprávnenej osoby sa vyhotovuje písomný záznam. Presné náležitosti záznamu o poučení upravuje § 21 ods. 3 zákona o ochrane osobných údajov.

Kedy je prevádzkovateľ povinný poveriť zodpovednú osobu dohľadom nad ochranou osobných údajov a aké podmienky poverenia musí spĺňať zodpovedná osoba?

Ak prevádzkovateľ spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný najneskôr v lehote 60 dní od začatia ich spracúvania výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov ( § 23 ods. 2 zákona o ochrane osobných údajov ).

Ak prevádzkovateľ spracúva osobné údaje prostredníctvom menej ako 20 oprávnených osôb, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje nasprostredkovateľa ( § 23 ods. 3 zákona o ochrane osobných údajov ). 

Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní skúšky podľa § 24 ( § 23 ods. 5 zákona o ochrane osobných údajov ). Zodpovedná osoba musí na Úrade na ochranu osobných údajov Slovenskej republiky absolvovať skúšku na výkon funkcie zodpovednej osoby ( ak zodpovedná osoba funkciu zodpovednej osoby nevykonáva po dobu dlhšiu ako 2 roky, musí skúšku opakovať ).

Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa, členom štatutárneho orgánu prevádzkovateľa, a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa alebo člena štatutárneho orgánu prevádzkovateľa pri plnení povinností a uplatňovaní práv podľa zákona o ochrane osobných údajov.  Zodpovednou osobou nemôže byť ani osoba, ktorej bola uložená sankcia podľa zákona o ochrane osobných údajov z dôvodu neplnenia si povinností zodpovednej osoby vyplývajúcich z ust. § 27 zákona o ochrane osobných údajov.  

Prevádzkovateľ je povinný informovať Úrad na ochranu osobných údajov SR bezodkladne, resp. najneskôr do 30 dní od poverenia zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov ( § 25 ods. 2 zákona o ochrane osobných údajov ).

Aké práva má dotknutá osoba podľa zákona o ochrane osobných údajov?

Práva dotknutej osoby sú podrobne upravené v ust. § 28 zákona o ochrane osobných údajov.

Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať:

  1. potvrdenie, či sú alebo nie sú osobné údaje o nej spracúvané, 
  2. vo všeobecne zrozumiteľnej forme informácie o spracúvaní osobných údajov v informačnom systéme,
  3. vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie, 
  4. vo všeobecne zrozumiteľnej forme zoznam jej osobných údajov, ktoré sú predmetom spracúvania, 
  5. opravu alebo likvidáciu svojich nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania, 
  6. likvidáciu jej osobných údajov, ktorých účel spracúvania sa skončil; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie, 
  7. likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona, 
  8. blokovanie jej osobných údajov z dôvodu odvolania súhlasu pred uplynutím času jeho platnosti, ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby.

Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba.

Kedy vzniká prevádzkovateľovi povinnosť registrovať informačné systémy?

Prevádzkovateľ je povinný požiadať úrad o registráciu informačných systémov, osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených zákonom o ochrane osobných údajov ( § 33 zákona o ochrane osobných údajov ). 

Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania ( § 34 ods. 1 zákona o ochrane osobných údajov ).

Povinnosť registrácie sa nevzťahuje na informačné systémy, ktoré: 
a) podliehajú osobitnej registrácii podľa § 37,
 

b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona, 

c) obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo 

d) obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. 

Aké správne poplatky sa platia pri registrácii, osobitnej registrácii a zmene registrovaných údajov?

Za registráciu, osobitnú registráciu a zmenu registrácie údajov sa vyberajú správne poplatky.

Podľa zákona č. 145/1995 Z.z. o správnych poplatkoch v znení neskorších predpisov sa platia správne poplatky za :

  • Registráciu informačného systému alebo jej zmenu – 20,- eur

  • Osobitnú registráciu informačného systému a jej zmenu – 50,- eur

Kedy je prevádzkovateľ povinný odhlásiť informačný systém z registrácie, resp. osobitnej registrácie?

Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne odhlásiť informačný systém z registrácie alebo osobitnej registrácie. 

Má Úrad na ochranu osobných údajov Slovenskej republiky ( ďalej len „úrad“ ) povinnosť sprístupniť, resp. zverejniť stav registrácie a osobitnej registrácie?

Údaje z registrácie, resp. osobitnej registrácie je úrad povinný sprístupniť komukoľvek, kto o to požiada, a bezplatne.

Udelenie pokuty za porušenie povinnosti prevádzkovateľa.

Upravuje ust. § 68 zákona o ochrane osobných údajov.

Vyberáme len niektoré porušenia prevádzkovateľa, za ktoré úrad uloží pokutu od 300 eur do 5 000 eur prevádzkovateľovi, ktorý si

  • nesplnil alebo porušil povinnosť vyhotoviť písomný záznam poučenia oprávnených osôb podľa § 21 ods. 3,
  • nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby podľa § 23 ods. 10 a 11, 
  • nesplnil alebo porušil povinnosť registrácie informačného systému podľa § 35 ods. 1, 3 a § 36 ods. 7 prvej vety, 
  • nesplnil alebo porušil povinnosť vedenia evidencie informačného systému podľa § 43

Najdôležitejšie zmeny, ktoré priniesol nový zákon o ochrane osobných údajov:

V prechodných ustanoveniach cit. v § 76 zákona o ochrane osobných údajov je upravená povinnosť prevádzkovateľa a sprostredkovateľa nasledovne:

Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa považujú za poverenia a oznámenia o poverení zodpovednej osoby podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona. 

Registrácia udelená podľa doterajšieho zákona sa považuje za registráciu udelenú podľa tohto zákona. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje. 

Užitočné odkazy:

Autor článku:

  • JUDr. Patricia Bednářová, advokátka

Dátum vypracovania článku: 10.7.2013

Použitá literatúra:

  • Zákon č. 122/2003 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a dôvodová správa k tomuto zákonu
Uverejnené v Právo v praxi