Piatok, 29. marec 2024 | meniny má Miroslav , zajtra Vieroslava
Predplatné
Piatok, 29. marec 2024 | meniny má Miroslav , zajtra Vieroslava
TlačPoštaZväčšiZmenši

Vecná pôsobnosť návrhu zákona o ochrane osobných údajov

Angela Sobolciakova • 20.11. 2017, 16:55

Na aké oblasti spracúvania osobných údajov sa bude vzťahovať nový zákon o ochrane osobných údajov?“ Je otázka, na ktorú sa budeme snažiť odpovedať v tomto článku. Odpoveď budeme hľadať v negatívnom výpočte vecnej pôsobnosti Všeobecného nariadenia o ochrane osobných údajov (ďalej len: GDPR) [1].

Na úvod zopár faktov o ochrane osobných údajov. V roku 2018 nastane zásadná zmena v právnej úprave ochrany osobných údajov v celej Európskej únii (EÚ). Od 25. 5. 2018 nadobúda účinnosť GDPR. Týmto dňom sa zruší zákon č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov účinný od 1. 6. 2013. Namiesto neho začne platiť nový zákon o ochrane osobných údajov, ktorý v súčasnosti čaká na druhé čítanie v Národnej Rade SR [2]. Ochranu osobných údajov v SR budú z tohto dôvodu upravovať GDPR a nový zákon o ochrane osobných údajov.

Zatiaľ sa môže javiť táto očakávaná zmena jednoducho. Zanikne starý zákon, bude platiť európske nariadenie a dopĺňať ho bude nový zákon. Pozrime sa však na konkrétne ustanovenia GDPR, či môžeme hovoriť o jednoduchom vymedzení hraníc pôsobnosti oboch právnych aktov.

Zákon o ochrane osobných údajov bude mať vecnú pôsobnosť iba v oblastiach, na ktoré sa GDPR nevzťahuje. Čl. 2 ods. 2 GDPR hovorí, že vecná pôsobnosť GDPR sa nevzťahuje na spracúvanie osobných údajov:

a) v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;

b) členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ;

c) fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;

d) príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.

Ad a) podľa odôvodnenia 6, ide napríklad o činnosti týkajúce sa národnej bezpečnosti. Pôsobnosť nového návrhu zákona o ochrane osobných údajov sa na túto oblasť tiež nebude vzťahovať (čl. 3 ods. 5 písm. b) a c)). Osobné údaje sa budú spracúvať podľa osobitných zákonov č. 46/1993 Z.z. o Slovenskej informačnej službe, č. 198/1994 Z.z. o Vojenskom spravodajstve a pri niektorých spracovateľských operáciách aj zákonom č. 215/2004 Z.z. o ochrane utajovaných skutočností. Súčasne sa na spracúvanie osobných údajov na účely národnej bezpečnosti vzťahuje Dohovor Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov [3], ku ktorému Slovenská republika pristúpila v roku 2000 (s účinnosťou od roku 2001). 

Ad b) do vecnej pôsobnosti podľa tohto písmena nepatrí spoločná zahraničná a bezpečnostná politika Únie. Ide o články 23 až 46 Zmluvy o EÚ [4], ktoré sa týkajú napríklad zahraničnej politiky a bezpečnosti Únie, vrátane spoločnej obrannej politiky.

Ad c) v tomto prípade ide o spracúvanie osobných údajov výlučne na osobné alebo domáce činnosti, ktoré bolo už vylúčené z pôsobnosti smernice 95/46 [5] a aj platného zákona o ochrane osobných údajov. Odôvodnenie 18 GDPR rozširuje posúdenie takejto činnosti o kritérium, že osobné údaje nie sú spracúvané na profesijné alebo komerčné účely. Za osobné alebo domáce činnosti je možné považovať napríklad vedenia korešpondencie, zoznamov adries alebo telefónnych čísel v mobilnom telefóne a to aj napriek tomu, že sa týkajú súkromného života iných osôb. V rozsudku Rýneš [6], Súdny dvor EÚ pod túto výnimku z pôsobnosti zaraďuje aj snímanie kamerovým systémom, ktorý sníma výlučne iba súkromný pozemok osoby, ktorá tieto osobné údaje spracúva, v prípade snímania verejného priestranstva bude mať GDPR pôsobnosť.

Ad d) Ide o transpozíciu smernice  ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov [7], ktorá bude transponovaná do Slovenského právneho poriadku v Tretej časti návrhu zákona o ochrane osobných údajov. Z formálneho hľadiska je zrejmé, že v tejto oblasti spracúvania osobných údajov bude platiť zákon o ochrane osobných údajov. Pozor však na situáciu, ak príslušné orgány nebudú spracúvať osobné údaje na účely vymedzenými v tejto časti zákona t.j. predchádzanie trestným činom ich vyšetrovanie atď., pretože v takomto prípade patrí spracúvanie osobných údajov fyzických osôb už do pôsobnosti GDPR (napr. mzdy a personalistika policajných príslušníkov).

Ďalej sa GDPR nevzťahuje na spracúvanie:  

  • osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa uplatňuje nariadenie (ES) č. 45/2001 [8]. Nariadenie (ES) č. 45/2001. V súčasnosti prebieha v európskych inštitúciách legislatívny proces, ktorým sa príjme nové nariadenie upravujúce spracúvanie osobných údajov inštitúciami EÚ (čl. 2 ods. 3 GDPR);
  • údajov týkajúcich sa právnických osôb (odôvodnenie 14 GDPR, v prípade ak názov právnickej osoby obsahuje osobné údaje fyzickej osoby, pravdepodobne pôjde o spracúvanie osobných údajov v pôsobnosti GDPR);
  • osobných údajov v rozsahu pôsobnosti smernice 2002/58/ES [9];
  • súborov (ang. files), ktoré nie sú štruktúrované podľa špecifických kritérií (odôvodnenie 15 GDPR, posledná veta);
  • anonymných osobných údajov (odôvodnenie 26 GDPR);
  • osobných údajov o zosnulých osobách (odôvodnenie 27 GDPR). Návrh zákona o ochrane osobných údajov upravuje túto situáciu v § 78 ods. 7.

GDPR súčasne obsahuje viacero „klauzúl o otvorenosti“ (ang. opening clauses), ktoré dávajú právomoc členským štátom precizovať vlastné národné pravidlá pre spracúvanie osobných údajov v určitých oblastiach, avšak nesmú odporovať ustanoveniam GDPR. Napríklad britský zákon o ochrane osobných údajov prispôsobil národným potrebám spracúvanie osobných údajov na účely imigrácie [10]. V slovenskom návrhu zákona sú tieto osobitné situácie riešené v § 78.

Na aké oblasti sa teda bude vzťahovať slovenský zákon o ochrane osobných údajov? V súčasnej dobe vieme jednoznačne povedať, že na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a na špecifické situácie upravené v § 78.

Dôležité je preto uvedomiť si, že primárne všetky bežné oblasti spracúvania osobných údajov fyzických osôb sa budú riadiť GDPR, ktoré bude doplnené novým zákonom o ochrane osobných údajov AŽ od § 78 a jeho nasledujúcimi ustanoveniami (ktoré upravujú napr. konanie o ochrane osobných údajov, pravidlá fungovania Úradu na ochranu osobných údajov Slovenskej republiky). Osobitné zákony upravujúce spracúvanie osobných údajov budú naďalej účinné. Tieto osobitné zákony by však nemali odporovať pravidlám spracúvania osobných údajov určených v GDPR, mali by ich iba spresňovať a prispôsobovať osobitným požiadavkam (čl. 6 ods. 2 GDPR).

Autorka:
JUDr. Angela Sobolčiaková LL.M 

 


 

[1] Nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), Ú. v. ES L 119, 4.5.2016, s. 1–88.

[2] Vládny návrh zákona o ochrane osobných údajov, Parlamentná tlač 704. Dostupné na: http://www.nrsr.sk/web/Default.aspx?sid=zakony/cpt&ZakZborID=13&CisObdobia=7&ID=704

[3] Dohovor Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov. Dostupný na: https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680078b37 (Na pôde Rady Európy prebieha v rámci ad hoc pracovnej skupiny CAHDATA od roku 2010 snaha o modernizáciu Dohovoru: https://www.coe.int/en/web/data-protection/convention108/modernisation).

[4] Zmluva o Európskej únii (konsolidované znenie), Ú. v. EÚ C 202, 7.6.2016, s. 13 – 46.

[5] Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, Ú. v. ES L 281, 23.11.1995, s. 31–50.

[6] František Ryneš vs Úřad pro ochranu osobních údajů, C‑212/13, zo dňa 11. 12. 2014.

[7] Smernica Európskeho Parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV, Ú. v. ES L 119, 4.5.2016, s. 89–131.

[8] Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov, Ú. v. ES L 8, 12.1.2001, s. 1 – 22.

[9] Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách), Ú. v. ES L 201, 31.7.2002, s. 37. Smernicu by malo nariadiť nariadenie, ktoré prechádza legislatívnym procesom v EÚ inštitúciách. Detaily sú dostupné tu: http://www.europarl.europa.eu/oeil-mobile/fiche-procedure/2017/0003(COD)

[10] Dostupné na: https://ico.org.uk/for-organisations/data-protection-bill/

Ohodnoťte článok
Hlasovalo: 1585

Nový príspevok

PoUtStŠtPiSoNe
: