Novela zákona o OOU z apríla 2014

Novela zákona o ochrane osobných údajov

Novela zaviedla niekoľko zmien, ktoré by mali znížiť administratívnu záťaž, ako aj zmierniť niektoré povinnosti prevádzkovateľov a sprostredkovateľov. Ide napríklad o zavedenie ohlasovacej povinnosti namiesto doterajšej registračnej povinnosti, alebo zavedenie fakultatívnosti pokút. Novelou boli tiež znížené horné hranice pokút za porušenia zákona o ochrane osobných údajov.

Dňa 3. apríla 2014 bol v Národnej rade SR schválený zákon č. 84/2014 Z. z., ktorý zmenil a doplnil zákon č. 122/2013 Z. z. o ochrane osobných údajov (ďalej len „novela”) s účinnosťou odo dňa 15. apríla 2014. Účelom prijatej novely je predovšetkým zjednodušiť spracovávanie osobných údajov prevádzkovateľmi a sprostredkovateľmi. Uvedená novela bola po vrátení prezidentom SR na opätovné prerokovanie schválená s pripomienkami prezidenta SR.

Novým znením ust. § 4 ods. 2 písm. e) sa zmenila definícia oprávnenej osoby. Po novom sú oprávnenými osobami osoby, ktoré prichádzajú do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu. Doterajšia právna úprava oprávnených osôb sa vzťahovala len na osoby v pracovnom pomere. Účelom uvedenej zmeny bolo rozšíriť definíciu oprávnenej osoby aj na osoby, ktoré vykonávajú činnosť na základe dohody o vykonaní práce alebo dohody o pracovnej činnosti.

Vypustením odsekov 8 a 9 v ust. § 8, týkajúcich sa vybraných povinností sprostredkovateľa, by podľa dôvodovej správy malo dôjsť k zníženiu administratívnej záťaže a súvisiacej zodpovednosti z hľadiska informačnej povinnosti voči prevádzkovateľovi v prípade porušenia zákona o ochrane osobných údajov a následne voči úradu, ak nedôjde k náprave zo strany prevádzkovateľa. Uvedené ustanovenia upravovali povinnosť sprostredkovateľa písomne upozorniť prevádzkovateľa na zjavné porušenie zákona pri spracúvaní osobných údajov a v prípade, že prevádzkovateľ nezjednal nápravu, bol sprostredkovateľ povinný o porušení zákona informovať Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad”). Ak si sprostredkovateľ nesplnil uvedenú povinnosť, bol za spôsobenú škodu zodpovedný spolu s prevádzkovateľom. Vypustením uvedených ustanovení už sprostredkovatelia takúto povinnosť nemajú.

Novela doplnila v ust. § 10 ods. 3 písm. g) demonštratívny výpočet prípadov, kedy prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby, ak spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany. Podľa doplneného výpočtu pôjde najmä o osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov.

Podľa doplneného ust. § 12 ods. 3 môže zamestnávateľ osobné údaje zamestnanca nielen sprístupňovať, ale aj poskytovať, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností zamestnanca. Uvedeným postupom by sa mal vytvoriť predpoklad na poskytovanie a spracúvanie zamestnaneckých kontraktných údajov, ktoré sú súčasťou existujúcich informačných systémov osobných údajov bez vytvárania ďalšej administratívy.

Zmenou a doplnením ust. § 15 a § 19 by sa mala odstrániť administratívna záťaž podnikateľov pri uzatváraní pracovnoprávnych alebo obdobných vzťahov. Uvedenými zmenami sa upravujú prípady dokumentovania bezpečnostných opatrení. Zrušila sa tiež povinnosť prevádzkovateľa vypracovať bezpečnostnú smernicu.

Rozsah poučenia oprávnenej osoby sa novým znením ust. § 21 ods. 2 zúžil. Po novom je prevádzkovateľ povinný poučiť oprávnenú osobu o jej právach a povinnostiach pri spracúvaní osobných údajov. Poučenie musí obsahovať najmä vymedzenie rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov. Prevádzkovateľ vykoná poučenie pred uskutočnením prvej operácie s osobnými údajmi oprávnenou osobou.

Novela vypustila taxatívny výpočet obsahových náležitostí záznamu o poučení oprávnenej osoby. Nové znenie ust. § 2 ods. 3 už takýto výpočet neobsahuje, prevádzkovateľ je len povinný vyhotoviť záznam o poučení oprávnenej osoby, ktorý je povinný na požiadanie úradu hodnoverne preukázať. Prevádzkovateľ po novom tiež nie je povinný určiť osobu zodpovednú za výkon dohľadu nad ochranou osobných údajov (ďalej len „zodpovedná osoba”). Určenie zodpovednej osoby podľa nového znenia ust. § 23 ods. 2 a 3 je fakultatívne. Ak však prevádzkovateľ nepoverí zodpovednú osobu, je povinný oznámiť úradu tie informačné systémy, ktoré podľa tohto zákona podliehajú oznamovacej povinnosti. Vypustením ust. § 23 ods. 6 sa po novom umožnilo, aby funkciu zodpovednej osoby vykonával aj štatutárny orgán prevádzkovateľa.

Zmenou ust. § 33 až § 37 sa konanie o registrácii informačných systémov nahrádza oznamovacou povinnosťou. Po novom je prevádzkovateľ (1) povinný oznámiť úradu informačné systémy, (2) požiadať úrad o osobitnú registráciu informačných systémov alebo (3) viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených týmto zákonom. Okruh informačných systémov, ktoré do účinnosti novely podliehali registrácii, po novom podliehajú oznámeniu. Okrem uvedených informačných systémov podliehajú oznámeniu aj informačné systémy, v ktorých sa spracúvajú osobné údaje na základe ust. § 10 ods. 3 písm. g), teda spracúvaním osobných údajov bez súhlasu dotknutej osoby. Úrad môže rozhodnúť, že informačný systém, v ktorom sa spracúvajú osobné údaje na základe ust. § 10 ods. 3 písm. g) podlieha osobitnej registrácii. Vzor oznámenia informačného systému a príkladmý zoznam informačných systémov podliehajúcich oznámeniu zverejní úrad na svojom webovom sídle. Oznamovanie nepodlieha režimu správneho poriadku ani poplatkovej povinnosti. Režim osobitnej registrácie aj jeho spoplatnenie zostáva zachované v podobe ako pred novelou. Na oznamovaciu povinnosť sa podľa ust. § 72 ods. 2 nebude vzťahovať všeobecný predpis o správnom konaní.

Novelou nastali aj zmeny pri výkone kontroly podľa zákona o ochrane osobných údajov. Po novom sa na doručovanie písomností pri výkone kontroly vzťahuje všeobecný predpis o správnom konaní, konkrétne sa na neho vzťahuje ust. § 25 a 26 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok).

Ukladanie pokút podľa ust. § 68 a poriadkových pokút podľa ust. § 69 sa novelou rozdelilo na fakultatívne a obligatórne. Predchádzajúca právna úprava zakotvovala len obligatórne pokuty. Fakultatívnu pokutu môže po novom úrad uložiť v závislosti od posúdenia závažnosti, následkov, alebo iných okolností, ktoré majú vplyv na porušenie chránených záujmov. Úrad musí po novom obligatórne uložiť pokutu podľa ust. § 68 ods. 3 a ods. 6, uloženie pokút podľa ostatných odsekov § 68 je fakultatívne. Vypustením odseku 7 písm. d) a f) v ust. § 68 sa vylúčilo priame sankcionovanie oprávnenej osoby a zodpovednej osoby. Fakultatívne je po novom upravené aj uloženie poriadkovej pokuty podľa ust. § 69.

Novela znížila horné hranice výšky pokuty. Horná hranica pokuty sa znížila v jednotlivých odsekoch ust. § 68 (1) z 5.000 Eur na 3.000 Eur, (2) z 80.000 Eur na 50.000 Eur, (3) z 300.000 Eur na 200.000 Eur a (4) v ďalších troch odsekoch určujúcich ďalšie skutkové podstaty priestupkov, v obdobnej výške.

Podľa vloženého ust. § 77a sa registrácie informačných systémov vykonané do dňa 14. apríla 2014 považujú za oznámenia informačných systémov podľa ust. § 34 v znení účinnom odo dňa 15. apríla 2014.

Konania o registrácii informačných systémov a konania o osobitnej registrácii informačných systémov, ktoré neboli ukončené do dňa 14. apríla 2014 sa dokončia podľa zákona účinného do dňa 14. apríla 2014.

Pri vyhotovovaní oznámenia podľa ust. § 35 ods. 1, oznámení zmeny oznámených údajov a oznámení ukončenia používania informačného systému elektronickou formou, sa odo dňa 15. apríla 2014 nevyžaduje zaručený elektronický podpis.

Odo dňa 1. septembra 2014 možno oznámenie podľa ust. § 35 ods. 1, oznámenie zmeny oznámených údajov a oznámenie ukončenia používania informačného systému, vykonať aj prostredníctvom elektronického formulára. Úrad zverejní elektronický formulár na svojom webovom sídle.

Konania podľa ust. § 68 a 69 začaté pred 15. aprílom 2014 sa dokončia podľa zákona účinného do 14. apríla 2014.

 

Posted in Blog, Ochrana osobných údajov zákon 122/2013 Z.z.