DÔVODOVÁ SPRÁVA + 2x spoločná správa výborov (jedna po vrátení zákona prezidentom)
A. Všeobecná časť
Vláda Slovenskej republiky predkladá na rokovanie Národnej rady Slovenskej republiky vládny návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Predkladaný materiál bol vypracovaný na základe Plánu legislatívnych úloh vlády Slovenskej republiky na II. polrok 2012.
Návrh zákona si vyžiadala potreba dôslednej transpozície Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES") v kontexte konkrétnych pripomienok hodnotiacej misie Európskej komisie vyplývajúcich zo „Štruktúrovaného dialógu o ochrane osobných údajov", záverov a odporúčaní hodnotenia správneho uplatňovania schengenského acquis v Slovenskej republike pre oblasť ochrany osobných údajov, ktoré sa uskutočnilo vo februári 2012 (tzv. schengenské hodnotenie), úloh obsiahnutých v Schengenskom akčnom pláne Slovenskej republiky a výsledkov analýzy súčasne platného zákona z pohľadu aplikačnej praxe.
Cieľom predkladaného materiálu je zaviesť prehľadnú úpravu práv a povinností osôb začlenených do procesu spracúvania osobných údajov, upevniť nezávislé postavenie Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad") pri výkone dozoru nad ochranou osobných údajov a poskytnúť odchýlky potrebné v konaní podľa tohto zákona z dôvodu špecifického charakteru hmotnoprávnej úpravy v oblasti ochrany osobných údajov ako neoddeliteľnej súčasti základných práv a slobôd v právnom poriadku Slovenskej republiky. Návrh zákona prispeje k dosiahnutiu väčšej právnej istoty pre všetky zainteresované subjekty.
Navrhovaná právna úprava nemení pôvodný zámer zákona č. 428/2002 Z. z., ktorý spočíva v poskytovaní ochrany práv fyzických osôb pri spracúvaní ich osobných údajov garantovaných Ústavou Slovenskej republiky a stanovení práv, povinností a zodpovednosti prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov a tiež v zadefinovaní časti osobitného procesu rozhodovania vo veciach kontroly spracúvania osobných údajov. Účelom predkladaných zmien je najmä sprehľadnenie právnej úpravy, zadefinovanie a precizovanie jednotlivých procesov.
Predkladaný návrh zákona okrem prepracovania viacerých ustanovení súčasne platného zákona, spresňuje niektoré definície pojmov, s ktorými zákon pracuje a s ktorými je potrebné sa oboznámiť ešte pred samotným začatím spracúvania osobných údajov. Návrh zákona odstraňuje nejasnosti niektorých základných ustanovení tohto zákona, ktoré v aplikačnej praxi spôsobovali potrebu ich častého objasňovania. Na viacerých miestach zákona sa preto napríklad vypúšťa slovné spojenie „orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj ostatné právnické osoby a fyzické osoby" a nahrádza sa slovom „každý", ktoré ho plnohodnotne nahrádza, čím sa zjednodušuje právna úprava. Zároveň sa zavádza nový pojem „priestor prístupný verejnosti", ktorý doposiaľ v tejto právnej úprave absentoval.
Návrh zákona ďalej zavádza prehľadnejšiu úpravu prevádzkovateľa a sprostredkovateľa a ich vzájomného vzťahu, ktorá reflektuje aktuálny spoločenský vývoj a požiadavky Európskej komisie, ktoré ukázali naliehavú potrebu konsolidovať úpravu ustanovení týkajúcich sa prevádzkovateľa a sprostredkovateľa dôsledným prebratím článku 17 odsek 2 až 4 smernice 95/46/ES. Najmä je potrebné jednoznačne ustanoviť, že spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ. Sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, v rozsahu, za podmienok a na účel dohodnutý v zmluve s prevádzkovateľom a spôsobom podľa tohto zákona. Návrh zákona zároveň upravuje osobitné ustanovenie pre zástupcu prevádzkovateľa. Inštitút zástupcu prevádzkovateľa je potrebné aplikovať v prípade, že spracúvanie osobných údajov pripravuje prevádzkovateľ, ktorý nemá sídlo alebo trvalý pobyt na území členského štátu, ak na účely spracúvania osobných údajov využíva úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov.
Jedným z najdôležitejších inštitútov pri spracúvaní osobných údajov je právny základ spracúvania osobných údajov. Návrh zákon v tejto súvislosti za účelom jednoznačnejšieho výkladu zákona zavádza nový spoločný názov „právny základ spracúvania osobných údajov", ktorý predstavuje jednu zo základných zásad spracúvania osobných údajov. Právnym základom je vo všeobecnej rovine potrebné rozumieť oprávnenie prevádzkovateľa k spracúvaniu osobných údajov jednotlivých fyzických osôb (dotknutých osôb). Inými slovami, jedná sa o dôvod, ktorý umožňuje prevádzkovateľovi vykonávať akékoľvek operácie s osobnými údajmi dotknutých osôb v súlade s platnou legislatívou. Návrh zákona rozširuje spracúvanie osobných údajov bez súhlasu dotknutej osoby, a to v prípade, ak takéto spracúvanie je upravené v priamo vykonateľnom právne záväznom akte Európskej únie a medzinárodnej zmluve, ktorou je Slovenská republika viazaná.
Návrh zákona zohľadňuje aj technologický vývoj, ktorý výrazným spôsobom ovplyvnil spracúvanie osobných údajov, a to najmä pokiaľ ide o spracúvanie biometrických údajov. Návrh zákona nanovo upravuje podmienky spracúvania biometrických údajov, pričom tieto vychádzajú zo stanoviska č. 3 Pracovnej skupiny pre ochranu osobných údajov zriadenej podľa článku 29 smernice 95/46/ES, ktoré táto pracovná skupina prijala v roku 2012 k spracúvaniu biometrických údajov s ohľadom na vývoj biometrických technológií. Pracovná skupina je nezávislým európskym poradným orgánom pre ochranu osobných údajov a súkromia, ktorej úlohy sú definované v článku 30 smernice 95/46/ES a článku 15 smernice 2002/58/ES týkajúcej sa spracúvania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách). Hlavnou úlohou pracovnej skupiny a ňou vydaných stanovísk je zjednocovať postupy národných dozorných autorít pri uplatňovaní princípov ochrany osobných údajov zakotvených v smernici 95/46/ES. Slovenská republika je povinná rešpektovať vydané stanoviská a úrad je povinný ich aplikovať aj vzhľadom na ustanovenie § 33 odsek 5 súčasne platného zákona č. 428/2002 Z. z., ktoré je rovnakým spôsobom upravené aj v predkladanom návrhu zákona.
Dopĺňa sa aj inštitút oprávnenej osoby o určenie, kedy sa fyzická osoba stáva oprávnenou osobou a o pravidlá, ktoré určujú povinnosti a postupy, ktoré musia prevádzkovateľ a sprostredkovateľ dodržať pri ich výbere a poučení.
Inštitút zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov v súlade s článkom 18 odsek 2 smernice 95/46/ES si z hľadiska aplikačnej praxe vyžaduje zvýšenie odbornosti v oblasti ochrany osobných údajov, pokiaľ sa má zaručiť jeho význam a plnohodnotné uplatňovanie. Návrh zákona zavádza novú úpravu podmienok na poverenie zodpovednej osoby, v rámci ktorých vyžaduje aj vykonanie skúšky zodpovednej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov. Táto požiadavka sa s ohľadom na doterajšiu prax javí ako nevyhnutná. Výkon skúšok zabezpečí úrad. Možno sa domnievať, že aj takýmto postupom úrad prispeje k zvýšeniu povedomia v oblasti ochrany osobných údajov, čím sa zabezpečí obozretnejší a dôslednejší prístup pri plnení povinností podľa tohto zákona a v konečnom dôsledku aj Ústavou Slovenskej republiky garantované právo na ochranu súkromia a osobných údajov. Tiež sa precizuje postavenie oprávnenej osoby a jej oprávnenia ako aj podmienky a spôsob zrušenia jej poverenia a zániku poverenia zodpovednej osoby.
Návrh zákona poskytuje novú právnu úpravu podmienok prenosu osobných údajov do tretích krajín s primeranou/bez primeranej úrovne ochrany osobných údajov. Stanovuje sa, že primeranosť úrovne ochrany osobných údajov v tretej krajine hodnotí Európska komisia, ktorá o tom vydá rozhodnutie. Hodnotenie Európskej komisie sa opiera o predchádzajúce stanovisko dozorných orgánov ochrany osobných údajov jednotlivých členských štátov združených v Pracovnej skupine zriadenej podľa článku 29 smernice 95/46/ES, a tiež o stanovisko Výboru 31 (článok 31 smernice 95/46/ES). Návrh zákona zohľadňuje aj tzv. štandardné zmluvné doložky a záväzné vnútropodnikové pravidlá, ktoré vytvárajú v rámci obchodnej spoločnosti spoločnú primeranú úroveň ochrany osobných údajov pre spoločnosti, ktoré v rámci danej korporácie sídlia mimo územia Európskej únie, pričom pre spoločnosti so sídlom v Európskej únii zostáva v platnosti Európska legislatíva. Taktiež sa navrhuje zmena podmienok súhlasu úradu s cezhraničným prenosom, ktorými sa zabezpečí nižšia administratívna záťaž.
Registrácia, osobitná registrácia a evidencia informačných systémov upravená v samostatnej hlave druhej časti návrhu zákona prešla menšími zmenami čo sa týka postupu a podmienok registrácie (či už obyčajnej alebo osobitnej), a to najmä pokiaľ ide o prihlasovanie informačného systému na registráciu na úrade a následné konanie o registrácii a osobitnej registrácii informačného systému.
Návrh zákona ďalej zavádza zmeny aj čo sa týka úradu a jeho činnosti. Návrh jednoznačne ustanovuje nezávislé postavenie úradu ako dozorného orgánu pri plnení jemu zverených úloh v oblasti ochrany osobných údajov. Táto požiadavka, ktorá vyplýva z medzinárodných dokumentov, bola premietnutá aj do Schengenského akčného plánu Slovenskej republiky za účelom prijatia primeranej právnej úpravy a jej zosúladenia s medzinárodnými dokumentmi a legislatívou Európskej únie. Jednou z nosných činností úradu v rámci dozoru nad ochranou osobných údajov je kontrola spracúvania osobných údajov. Táto si preto vyžaduje svoje pravidlá v postupe pri výkone kontroly, práva a povinnosti či už kontrolného orgánu alebo kontrolovanej osoby. V tomto smere nie je výnimkou ani stanovenie určitých potrebných špecifikácií v konaní podľa tohto návrhu zákona na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá vo svojich právach ustanovených týmto zákonom alebo z vlastnej iniciatívy úradu. Pokiaľ nie je v návrhu zákone ustanovené inak, subsidiárne sa aplikujú pravidlá vyplývajúce zo zákona č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov.
Navrhované zákonné opatrenia predstavujú základné a nevyhnutné kroky pre konsolidáciu slovenského právneho poriadku v oblasti ochrany osobných údajov. Navrhovanú úpravu je potrebné predložiť do legislatívneho procesu ako celok, keďže ide o komplex ustanovení, ktoré na seba navzájom nadväzujú a dopĺňajú sa.
Predložený návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi a ostatnými všeobecne záväznými právnymi predpismi Slovenskej republiky, s medzinárodnými zmluvami, ktorými je Slovenská republika viazaná ako aj s právom Európskej únie.
Návrh zákona bol predmetom riadneho pripomienkového konania a bol schválený vládou Slovenskej republiky dňa 9. januára 2013.
B. Osobitná časť
Čl. I
K § 1
Návrh zákona upravuje ochranu osobných údajov fyzických osôb v súlade s článkom 19 odsek 3 a článkom 22 odsek 1 Ústavy Slovenskej republiky. Predmetom zákona je chrániť práva fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov. Návrh zákona ďalej upravuje práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov ako aj postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad").
K § 2 a 3
Navrhovaná úprava vyjadruje pozitívnu a negatívnu pôsobnosť navrhovaného zákona.
§ 2
Ustanovenie § 2 ustanovuje pozitívne vymedzenie pôsobnosti zákona. Zákon sa vzťahuje na každého, kto spracúva osobné údaje alebo určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie. Praktické uplatňovanie doterajšej právnej úpravy v oblasti ochrany osobných údajov bolo spojené s problémami práve vo vymedzení, na koho a v ktorých prípadoch sa zákon vzťahuje, keď viaceré právnické osoby a fyzické osoby sa necítili byť účinkami zákona o ochrane osobných údajov dotknuté. Preto sa touto úpravou odstraňuje nepružnosť základných ustanovení zákona, ktoré svojim zdĺhavým vymedzením zapríčiňovali v aplikačnej praxi neprehľadnosť a potrebu ich neustáleho vysvetľovania. Preto sa pristúpilo k vypusteniu slovného spojenia „orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj ostatné právnické osoby a fyzické osoby" a nahradilo sa slovom „každý", ktoré ho plnohodnotne nahrádza, čím sa zjednodušuje a sprehľadňuje právna úprava.
Smernica Európskeho parlamentu a Rady 95/46/ES o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES") a národný zákon o ochrane osobných údajov sa vzťahujú aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne z titulu medzinárodného práva verejného. Ide o presné prevzatie článku 4 odsek 1 písmeno b) smernice 95/46/ES. Smernica 95/46/ES a zákon sa vzťahujú aj na subjekty, ktoré sú zriadené mimo územia členských štátov, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na tranzit osobných údajov cez územie členských štátov.
Ustanovenie odseku 3 preberá obsah článku 3 odsek 1 v nadväznosti na článok 2 písmeno c) smernice 95/46/ES.
§ 3
Navrhované ustanovenie odseku 1 preberá čl. 13 smernice 95/46/ES. Podľa znenia tohto článku, členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv upravených v presne vymedzených článkoch tejto smernice, pričom rovnako definuje oblasti, v ktorých takéto obmedzenie možno vykonať. Na základe tejto transpozície je obmedzená účinnosť konkrétnych ustanovení zákona týkajúceho sa takého spracúvania osobných údajov, ktoré je nevyhnutné na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie napr. bezpečnosti, obrany Slovenskej republiky, bezpečnosti a verejného poriadku atď.
Odsek 2 upravuje, na aké osobné údaje sa zákon nevzťahuje; jedná sa pritom o osobné údaje v rámci výlučne osobných alebo domácich činností, pri ktorých fyzická osoba vedie a spracúva osobné údaje výhradne pre svoje osobné potreby alebo potreby vedenia domácnosti, napríklad adresár svojich príbuzných a známych alebo adresár osôb poskytujúcich služby pre zabezpečenie chodu domácnosti, alebo ak boli osobné údaje náhodne získané bez splnenia požiadaviek kladených zákonom (určenie účelu a podmienok na systematické spracúvanie). V tomto prípade je však potrebné zdôrazniť, že aj v prípade, pokiaľ niekto náhodne získa alebo nájde osobné údaje, nie je oprávnený len tak s nimi svojvoľne nakladať a neoprávnene zasahovať do práva na ochranu súkromia iných, nakoľko sa na neho vzťahujú ustanovenia iných právnych predpisov.
Podľa odseku 3, navrhovaným zákonom nie je dotknuté právo na ochranu osobnosti podľa Občianskeho zákonníka.
K § 4
Predmetné ustanovenie v nasledujúcich odsekoch vymedzuje základné pojmy, s ktorými zákon pracuje a definuje ich význam na účely tohto zákona. Pojmy vymedzené na účely tohto zákona sú v súlade s potrebami ochrany osobných údajov tak, ako ju má zabezpečiť zákon a sú v súlade aj s vymedzením týchto pojmov v právnych predpisoch iných európskych krajín a dokumentoch Rady Európy.
Odsek 1
Zákon neupravuje konkrétny zoznam údajov, ktoré sú považované za osobné údaje. Poskytuje tzv. demonštratívny výpočet charakteristík určujúcich fyzickú osobu. Uvedená definícia osobných údajov nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba určiteľná. Z vecnej stránky sa pojem osobných údajov vzťahuje na také údaje, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, t.j. určenej alebo určiteľnej, či už priamo alebo nepriamo. Z pohľadu ochrany osobných údajov sa „určiteľnosťou" rozumie taký stav, keď na základe jedného alebo viacerých údajov možno osobu identifikovať. Identifikácia sa teda realizuje prostredníctvom konkrétnych charakteristických znakov, t.j. „identifikátorov", ktoré možno priradiť ku konkrétnej fyzickej osobe. Miera, do akej sú určité identifikátory dostačujúce pre dosiahnutie identifikácie konkrétnej fyzickej osoby závisí od komplexného posúdenia dostupných údajov v ich vzájomnej súvislosti a zároveň aj situácie ako celku. Preto v závislosti od viacerých faktorov, ktorými sú najmä kvalita, kvantita a druh údajov sa v určitom momente, ktorý nemožno presne stanoviť, konvertuje určiteľnosť do určenia osoby. Fyzickú osobu považujeme za určenú, keď na základe dostupných údajov je jednoznačne identifikovaná a odlíšená od ostaných osôb v danom informačnom systéme.
Osobnými údajmi sú napríklad titul, meno, priezvisko, adresa a ďalšie kontaktné údaje, dátum narodenia, rodné číslo a iný obdobný všeobecne použiteľný identifikátor, ako aj údaje o správaní alebo konaní, biometrické údaje, informácie o osobných vlastnostiach, pomeroch alebo o iných špecifických znakoch, ktoré charakterizujú alebo odhaľujú fyzickú, fyziologickú, psychickú, ekonomickú, kultúrnu alebo sociálnu identitu konkrétnej fyzickej osoby.
Odsek 2
Navrhovaný odsek poskytuje vymedzenie osôb na účely tohto zákona, ktorými sú:
písmeno a)
Navrhovaná úprava spresňuje pojem „dotknutá osoba". Dotknutou osobou je osoba nielen vtedy, keď sa o nej osobné údaje spracúvajú, ale vždy, keď sa jej týkajú bez ohľadu na to, či sa o nej osobné údaje spracúvajú v informačnom systéme. Definícia pojmu dotknutá osoba korešponduje s článkom 8 Charty základných práv EÚ, podľa ktorého „Každý má právo na ochranu osobných údajov, ktoré sa ho týkajú." a článkom 16 Zmluvy o fungovaní EÚ, podľa ktorého „Každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.". Princípy zakotvené v právne záväzných aktoch EÚ neobmedzujú právo dotknutej osoby len na ochranu osobných údajov, ak sú o nej spracúvané.
písmeno b)
Návrh zákona oproti doteraz platnému zákonu upravuje aj definíciu pojmu prevádzkovateľ. Vypúšťa sa slovné spojenie „orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj ostatné právnické osoby a fyzické osoby" a nahrádza sa slovom „každý", ktoré ho plnohodnotne nahrádza, čím sa zjednodušuje a sprehľadňuje právna úprava.
Prevádzkovateľom je každý, kto sám alebo spoločne s inými pred začatím spracúvania osobných údajov vymedzí účel a prostriedky spracúvania. Účel spracúvania, prípadne aj podmienky spracúvania môže ustanoviť osobitný zákon, potom prevádzkovateľom je ten, koho na plnenie účelu spracúvania ustanovuje zákon alebo kto splní zákonom ustanovené podmienky. Návrh nového zákona, pokiaľ ide o zákonné vymedzenie účelu a podmienok spracúvania, rozširuje túto definíciu aj o priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodnú zmluvu, ktorou je Slovenská republika viazaná.
písmeno c)
Zástupcom prevádzkovateľa je každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine.
písmeno d)
V predkladanom návrhu sa prehľadnejšie upravuje inštitút sprostredkovateľa. Návrh zákona ustanovuje, že sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, v rozsahu písomnej zmluvy uzatvorenej s prevádzkovateľom a v súlade so zákonom. Doteraz platná právna úprava nie celkom zreteľne totiž rozlišovala rozdielne postavenie prevádzkovateľa a sprostredkovateľa. Rozdielne postavenie bolo síce formálne garantované ustanovením § 5 odsek 2 doteraz platného zákona, ktoré dávalo sprostredkovateľovi priestor spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v zmluve alebo v poverení, ale § 5 odsek 1 súčasne platného zákona zároveň tento prístup do istej miery popieral, čo v aplikačnej praxi spôsobovalo kolízie.
písmeno e)
Navrhovaná úprava spresňuje aj vymedzenie pojmu „oprávnená osoba". Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo iného obdobného vzťahu, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21.
písmeno f)
Treťou stranou je každý kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou. Navrhovaná právna úprava na rozdiel od súčasne platnej právnej úpravy precizuje tento pojem. Pracovná skupina pre ochranu osobných údajov zriadená podľa článku 29 smernice 95/46/ES v roku 2010 prijala stanovisko, v ktorom k pojmu „tretia strana", okrem iného, uviedla: „K tretím stranám nepatria dotknuté osoby, prevádzkovateľ ani žiadna osoba oprávnená spracúvať údaje pod priamym dohľadom prevádzkovateľa alebo v jeho mene ako v prípade sprostredkovateľa. To znamená, že osoby pracujúce pre inú organizáciu, aj keď patrí do rovnakej skupiny alebo holdingovej spoločnosti, sú vo všeobecnosti tretie osoby, zatiaľ čo na druhej strane pobočky banky, ktoré spracúvajú účty zákazníkov pod priamym dohľadom svojho ústredia, nie sú tretie strany. V smernici sa pojem „tretia strana" používa spôsobom, ktorý sa neodlišuje od spôsobu bežného použitia tohto pojmu v občianskom práve, v ktorom je treťou stranou obyčajne subjekt, ktorý nie je súčasťou iného subjektu alebo dohody. V kontexte ochrany osobných údajov by sa tento pojem mal vykladať ako pojem označujúci akýkoľvek subjekt, ktorý nemá osobitné oprávnenie na spracúvanie osobných údajov, ktoré by mohlo vyplývať napríklad z jeho úlohy prevádzkovateľa, sprostredkovateľa alebo zamestnanca. Na základe týchto súvislostí môžeme vysloviť záver, že tretia strana prijímajúca osobné údaje (pozn. – sú jej poskytnuté) – či už zákonne alebo nezákonne – je v zásade novým prevádzkovateľom za predpokladu, že ostatné podmienky kvalifikácie tejto osoby ako prevádzkovateľa a uplatňovanie právnych predpisov o ochrane údajov sú dodržané.".
písmeno g)
Pojem „príjemca" je na základe požiadavky Európskej komisie spresnený. Precizovanie článku 2 písmeno g) smernice 95/46/ES súvisí najmä s nutnosťou vztiahnuť pojem „príjemca" na kohokoľvek, bez ohľadu na to, či je treťou stranou alebo nie. Preto podľa navrhovanej úpravy, príjemcom na účely tohto zákona bude každý, komu sú osobné údaje poskytnuté alebo sprístupnené, či sa jedná o tretiu stranu alebo nie, pričom úrad a orgány výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci pri plnení zákonom vymedzených úloh sa nepovažujú za príjemcu.
Odsek 3
Navrhovaný odsek poskytuje vymedzenie ďalších pojmov na účely tohto zákona, ktorými sú:
písmeno a)
Pod spracúvaním osobných údajov je potrebné rozumieť vykonávanie akýchkoľvek operácií s osobnými údajmi, pričom definícia tohto pojmu ich vymenúva príkladmo. Niektorými operáciami s osobnými údajmi sa na účely tohto zákona rozumie
- poskytovaním osobných údajov sa rozumie odovzdávanie osobných údajov na ďalšie spracúvanie inému prevádzkovateľovi, jeho zástupcovi, sprostredkovateľovi alebo ich oprávneným osobám,
- sprístupňovaním osobných údajov je oznámenie osobných údajov alebo umožnenie prístupu k nim osobe, ktorá ich nebude ďalej spracúvať,
- zverejňovanie v oblasti osobných údajov je najcitlivejšou operáciou, ktorá v prípade neoprávneného použitia môže mať pre dotknutú osobu nepríjemné následky. Sú tendencie zamieňať resp. stotožňovať pojmy sprístupnenie a zverejnenie. Navrhované vymedzenie pojmu zverejňovanie tento nedostatok eliminuje a úpravu inštitútu zverejnenia sprehľadňuje,
- cezhraničným prenosom sa na účely tohto zákona rozumie akýkoľvek prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky; nejedná sa pritom o zabezpečenie technického riešenia prenosu osobných údajov prostredníctvom elektronických komunikácií,
- likvidácia osobných údajov je samostatnou kategóriou spracúvania osobných údajov. Samotný proces likvidácie môže mať charakter úkonu, ktorý prevádzkovateľ vykoná v rámci informačného systému, napríklad ak ide o likvidáciu osobných údajov spracúvaných automatizovane, prostredníctvom výpočtovej techniky alebo ide o úkon vykonávaný mimo informačného systému, najmä ak ide o fyzické zničenie hmotných nosičov, na ktorých sa nachádzajú osobné údaje, napríklad likvidáciou dokumentov v skartovacom stroji alebo v spaľovni. Likvidácia je jeden zo spôsobov, ktorým sa končí proces spracovania osobných údajov,
- blokovaním osobných údajov je potrebné na účely tohto zákona rozumieť uvedenie osobných údajov do takého stavu, v akom sú neprístupné a je zabránené akejkoľvek manipulácii s nimi.
písmeno b)
Podľa článku 2 písmeno c) smernice 95/46/EC sa informačným systémom rozumie ľubovoľná sústava s osobnými údajmi spracúvaná podľa osobitných organizačných podmienok a prístupná na základe osobitných kritérií. Informačným systémom osobných údajov sa na účely tohto zákona rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje, ktoré sú systematicky spracúvané na potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.
písmeno c)
Osobitné postavenie v rámci zákona má inštitút účel spracúvania osobných údajov. Jeho obsah je potrebné vzťahovať k informačnému systému a samotnú kvalitu ponímať v dvoch rovinách. Účel spracúvania môže byť ustanovený priamo zákonom, alebo ak tomu tak nie je, potom za jeho vymedzenie zodpovedá prevádzkovateľ. Vymedzenie alebo ustanovenie účelu spracúvania deklaruje zámer spracúvania osobných údajov a odhaľuje činnosť, ku ktorej sa ich spracúvanie viaže.
písmeno d)
Jedným zo základných princípov navrhovanej úpravy je súhlas dotknutej osoby. Súhlas je platný, len ak je výslovný a slobodne daný. Súhlas podľa tohto zákona musí byť hodnoverne preukázateľný, pokiaľ sa výslovne nevyžaduje písomný súhlas, pričom je neprípustné si súhlas od dotknutej osoby vynucovať.
písmeno e)
Podmienky spracúvania osobných údajov zákon definuje ako prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania, či už pred začatím spracúvania osobných údajov alebo v priebehu ich spracúvania.
písmeno f)
Biometrické údaje majú svoje osobitné postavenie a je potrebné im venovať náležitú pozornosť. Tieto údaje možno definovať ako biologickú alebo fyziologickú vlastnosť alebo charakteristiku, v prípade ktorých sú tieto vlastnosti a/alebo činnosti špecifické pre uvedeného jednotlivca a zároveň merateľné, aj keď spôsoby používané v praxi na ich technické meranie zahŕňajú určitý stupeň pravdepodobnosti. Biometrické údaje sú v predmetnej definícii vymenované príkladmo. Typickým príkladom takýchto biometrických údajov sú odtlačky prstov, sietnica, tvar tváre, hlas, ale aj geometria ruky, štruktúry žíl alebo dokonca určitá hlboko zakorenená schopnosť alebo iná vlastnosť týkajúca sa správania (napríklad, vlastnoručný podpis, údery na klávesnici, osobitný spôsob chôdze alebo reči atď.).
písmeno g)
Všeobecne použiteľným identifikátorom je v súčasnej dobe v Slovenskej republike rodné číslo. Toto definičné slovné spojenie umožňuje do budúcna reagovať na prípadný prechod od rodného čísla k inému identifikátoru bez potreby legislatívnej úpravy tohto ustanovenia.
písmeno h)
Adresa dotknutej osoby nemusí vždy obsahovať všetky v tejto definícii vymedzené osobné údaje. Definícia len vymedzuje okruh údajov, ktoré je potrebné súhrnne považovať za adresu.
písmeno i)
Anonymizovaným údajom je taký osobný údaj, ktorý pred jeho anonymizáciou vyjadroval niektorú z charakteristík konkrétnej dotknutej osoby. Súbor osobných údajov sa stáva anonymizovaným súborom údajov, keď sú z neho odstránené také osobné údaje, bez ktorých nie je dotknutá osoba určiteľná ani nepriamo.
písmeno j)
Zákon zavádza nový pojem, a to priestor prístupný verejnosti. V praxi často dochádza ku kolíziám, keď je potrebné kvalifikovane odlíšiť, ktorý priestor je potrebné považovať za verejne prístupný, a na ktorý sa budú najmä vo vzťahu ku kamerovému systému vzťahovať ustanovenia tohto zákona.
písmeno k)
Členským štátom sa na účely tohto zákona rozumie štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore (ďalej len „EHP").
písmeno l)
Treťou krajinou sa rozumie krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o EHP. Definíciou tretej krajiny sa zjednocuje terminológia pre subjekty so sídlom alebo adresou v štátoch, ktoré sú súčasťou Európskej únie a v štátoch ktoré nie sú súčasťou Európskej únie, ale spolu s Európskou úniou vytvárajú EHP (Island, Nórsko, Lichtenštajnsko). Pre EHP platí voľný pohyb osobných údajov, adekvátny voľnému pohybu osobných údajov v Európskej únii. Krajiny EHP, ktoré nie sú v Európskej únii, sa považujú za krajiny s rovnakou úrovňou ochrany osobných údajov, ako majú členské štáty Európskej únie (viď rozhodnutie Spoločného Výboru EHP 83/1999).
písmeno m)
Verejný záujem je taktiež pomerne citlivý pojem a na účely tohto zákona, vychádzajúc z obsahu smernice 95/46/ES, je ním potrebné rozumieť dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.
K § 5
Navrhované znenie § 5 upravuje základné právo fyzických osôb, a to právo na ochranu súkromia a ochranu osobných údajov patriacich medzi základné práva a slobody garantované Ústavou Slovenskej republiky. Za účelom zachovania a rešpektovania tohto práva sa ukladá povinnosť, ktorá ustanovuje, že osobné údaje možno spracúvať len spôsobom ustanoveným týmto zákonom a v jeho medziach takým spôsobom, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb a k neoprávneným zásahom do ich práva na ochranu súkromia a osobných údajov.
Toto ustanovenie ďalej špecifikuje osoby oprávnené spracúvať osobné údaje. Týmito osobami sú výlučne prevádzkovateľ a sprostredkovateľ. Bližšie podmienky spracúvania osobných údajov prevádzkovateľom a sprostredkovateľom určujú nasledovné ustanovenia, pričom ich navrhované znenie korešponduje so stanoviskom pracovnej skupiny pre ochranu osobných údajov zriadenej podľa článku 29 smernice 95/46/ES k pojmom prevádzkovateľ a sprostredkovateľ z roku 2010.
Odsek 3 spresňuje prebratie obsahu článok 8 odsek 5 smernice 95/46/ES a presne v súlade s jeho dikciou ustanovuje, že vedenie registra trestov môže vykonávať len štátny orgán.
K § 6
Kľúčovou postavou v procese spracúvania osobných údajov je prevádzkovateľ. Zákon vymedzuje jeho práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov. Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ a to za splnenia zákonom stanovených podmienok. Prevádzkovateľ môže spracúvať osobné údaje len za existencie určitého právneho základu, ktorým podľa tohto zákona môže byť len priamo vykonateľný právne záväzný právny akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, tento zákon, osobitný zákon alebo súhlas dotknutej osoby. Pokiaľ bude prevádzkovateľ spracúvať osobné údaje bez uvedeného právneho základu, jeho konanie nebude možné hodnotiť ako spracúvanie v súlade so zákonom. Spôsob spracúvania osobných údajov sa pritom nemôže priečiť dobrým mravom a spracúvanie musí byť vykonávané len na vymedzený alebo ustanovený účel.
Základné povinnosti prevádzkovateľa vymedzujú nasledovné odseky predmetného ustanovenia, do ktorých je premietnutý obsah článku 6 smernice 95/46/ES, ktorý patrí k jej najdôležitejším ustanoveniam, ktoré majú dosah na princípy zakotvené v celom dokumente. Predkladaný návrh zosúlaďuje zákon so smernicou 95/46/ES po formálnej stránke, ale jednotlivé princípy sú spresnené, doplnené a formulované v úplnom súlade s obsahom ustanovení, ktoré sa uvádzajú v tejto smernici. Zvolený prístup zabezpečuje prehľadnosť a ľahkú orientáciu, nakoľko práve dodržiavanie základných povinností prevádzkovateľa je jednou zo základných podmienok zákonného spracúvania osobných údajov. Navrhované znenie odseku 4 upravuje, že zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania. Nové znenie odseku 5 upresňuje podmienky ďalšieho spracúvania zhromaždených osobných údajov na historické, vedecké a štatistické účely, pričom spracúvanie na tieto účely sa nebude považovať za nezlučiteľné s pôvodným účelom spracúvania. Dôvodom navrhovanej úpravy je požiadavka Európskej komisie na presné prebratie článku 6 odsek 1 písmeno b) smernice 95/46/ES v súlade so znením bodu 28 preambuly.
K § 7
Zástupca prevádzkovateľa nie je v navrhovanej úprave novým inštitútom, doteraz však jeho úprava bola rozdelená do viacerých ustanovení. Zavedením samostatného ustanovenia, ktoré upravuje podmienky vymenovania zástupcu prevádzkovateľa, sa poskytuje väčšia prehľadnosť a právna istota pri využívaní tohto inštitútu v praxi.
K § 8
Okrem prevádzkovateľa je oprávnený spracúvať osobné údaje aj sprostredkovateľ. Sprostredkovateľ je však oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa. Sprostredkovateľ vykonáva všetky úkony smerujúce na dosiahnutie účelu spracúvania v mene prevádzkovateľa. V prípade, že sprostredkovateľ má osobné údaje z informačného systému poskytovať inému prevádzkovateľovi, je oprávnený tak učiniť, len ak mu to vyplýva z písomnej zmluvy. To platí aj na sprístupňovanie, zverejňovanie, likvidáciu, prípadne iné spracovateľské operácie s osobnými údajmi. Na zabezpečenie týchto úloh musí zmluva obsahovať konkrétne vymedzenie rozsahu a podmienok, za ktorých sa spracúvanie osobných údajov vykonáva.
Prevádzkovateľ je povinný dbať pri výbere sprostredkovateľa najmä na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť zabezpečiť spracúvanie osobných údajov v súlade s týmto zákonom. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
Aplikačná prax priniesla požiadavku na zadefinovanie náležitostí takejto zmluvy medzi prevádzkovateľom a sprostredkovateľom, ktorá poskytne väčšiu právnu istotu ako doterajšia právna úprava. Návrh zákona pritom neustanovuje povinnosť vypracovať samostatnú zmluvu, ktorej obsahom by bol tieto práva a povinnosti sprostredkovateľa pri spracúvaní osobných údajov; je ponechané na rozhodnutí zmluvných strán, či obsahové náležitosti začlenia do iného zmluvného typu alebo pristúpia k uzatvoreniu osobitnej zmluvy.
Navrhovaná úprava v nasledujúcich odsekoch upravuje ďalšie základné povinnosti sprostredkovateľa pri spracúvaní osobných údajov v mene prevádzkovateľa.
Sprostredkovateľ je povinný vykonávať spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov vykoná prostredníctvom inej osoby. Touto právnou úpravou sa zavádza nový pojem, tzv. „subdodávateľ". V tejto súvislosti Európska komisia poukázala na znenie § 5 ods. 2 súčasne platného zákona š. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov, odmietla pyramídové poverovanie sprostredkovateľa sprostredkovateľom a požiadala o vypustenie tejto vety. V stanovisku Pracovnej skupiny pre ochranu osobných údajov zriadenej podľa článku 29 smernice 95/46/ES, ktoré prijala v roku 2010 k pojmom prevádzkovateľ a sprostredkovateľ sa v tejto súvislosti, okrem iného, uvádza: „S cieľom zabezpečiť, aby „outsourcing" a „poverenie" neviedli k zníženiu štandardu ochrany údajov, smernica obsahuje dve ustanovenia, ktoré sa konkrétne venujú sprostredkovateľovi a veľmi podrobne vymedzujú jeho povinnosti v súvislosti s dôvernosťou a bezpečnosťou.
- V článku 16 Smernice 95/46/ES sa stanovuje, že samotný sprostredkovateľ, ako aj akákoľvek osoba konajúca v jeho právomoci, ktorá má prístup k osobným údajom, nesmie tieto údaje spracovať s výnimkou toho, keď koná na základe pokynov prevádzkovateľa.
- V článku 17 Smernice 95/46/ES sa vo vzťahu k bezpečnosti spracovania stanovuje potreba zmluvy alebo záväzného právneho aktu, ktorým sa upravia vzťahy medzi prevádzkovateľom údajov a sprostredkovateľom údajov. Táto zmluva musí mať písomnú formu na účely dokazovania a musí mať minimálny obsah, v ktorom sa stanoví najmä podmienka, že sprostredkovateľ údajov koná výlučne na základe pokynov prevádzkovateľa a vykonáva technické a organizačné opatrenia na primeranú ochranu osobných údajov. Táto zmluva by mala obsahovať dostatočne podrobný opis mandátu sprostredkovateľa.
Čoraz častejšie sa stáva, že na spracovanie osobných údajov prevádzkovateľ využíva viacerých sprostredkovateľov prostredníctvom outsourcingu. Títo sprostredkovatelia môžu mať priamy vzťah s prevádzkovateľom údajov, alebo môžu byť subdodávatelia, ktorých sprostredkovatelia poverili časťou činností spracovania, ktoré im boli zverené. Tieto zložité (viacúrovňové alebo rozptýlené) štruktúry spracovania osobných údajov sa príchodom nových technológií rozmáhajú a niektoré vnútroštátne právne predpisy na ne priamo odkazujú. Žiadne ustanovenie smernice nebráni tomu, aby sa so zreteľom na organizačné požiadavky viaceré subjekty mohli označovať za sprostredkovateľov údajov alebo
(sub-)sprostredkovateľov, a to aj na základe ďalšieho rozdelenia príslušných úloh. Všetci z nich však musia dodržiavať pokyny, ktoré im dáva prevádzkovateľ údajov v súvislosti s vykonávaním spracovania.
Strategickou úlohou v tomto prípade je – zabezpečiť, aby povinnosti a zodpovednosť vyplývajúca z právnych predpisov o ochrane údajov bola jasne pridelená, a nie rozptýlená v reťazci outsourcingu/subdodávateľstva. Inými slovami, je potrebné zabrániť vytvoreniu reťazca (sub-)sprostredkovateľov, ktorý by obmedzil účinnú kontrolu, alebo jej dokonca bránil, rovnako ako jasnej zodpovednosti za činnosti spracovania, ak zodpovednosti rôznych strán v reťazci nie sú jasne stanovené. Z tohto hľadiska ...stále je potrebné, aby prevádzkovateľ bol aspoň informovaný o hlavných prvkoch štruktúry spracovania (napríklad o zapojených subjektoch, bezpečnostných opatreniach, zárukách pri spracovaní v tretích krajinách atď.), aby si udržal pozíciu, v ktorej má kontrolu nad údajmi spracúvanými v jeho mene.".
Návrh zákona reaguje na obsah uvedeného stanoviska pracovnej skupiny a v jeho medziach a určeným spôsobom upravuje možnosť spracúvať osobné údaje sprostredkovateľovi prostredníctvom subdodávateľa. Činnosť subdodávateľa bolo potrebné upraviť vzhľadom na ostatné povinnosti, ktoré vyplývajú prevádzkovateľovi a sprostredkovateľovi zo zákona, resp. zo smernice 95/46/ES tak, aby ich dopĺňala a nenarúšala. Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť.
Odsek 6 pamätá na prípady, keď prevádzkovateľ poveril sprostredkovateľa spracúvaním až po získaní osobných údajov. V takom prípade je prevádzkovateľ povinný o tom upovedomiť dotknuté osoby pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo dňa poverenia sprostredkovateľa. To platí aj v prípade, ak spracúvanie osobných údajov prejde na iného prevádzkovateľa, napríklad odpredajom spoločnosti. Odsek 7 odzrkadľuje aplikačnú prax a početné oznámenia (resp. návrhy na začatie konania podľa navrhovanej úpravy) dotknutých osôb adresované úradu na prekontrolovanie osoby spracúvajúcej osobné údaje, ktorej dotknutá osoba svoje osobné údaje neposkytla. Odseky 8 a 9 vyplývajú z hlavného účelu a predmetu úpravy zákona, ktorým je ochrana práv dotknutých osôb pri spracúvaní ich osobných údajov. Navrhovaný odsek preto zavádza povinnosť, aby sprostredkovateľ, ktorý zistí, že prevádzkovateľ zjavne porušil povinnosť ustanovenú zákonom, o tom informoval prevádzkovateľa a až do nápravy vykonal len také operácie s osobnými údajmi, ktoré neznesú odklad. Prevádzkovateľ je povinný vykonať nápravu v zákonom stanovenej lehote; pokiaľ tak neučiní, sprostredkovateľ je povinný o tom upovedomiť úrad. V opačnom prípade bude rovnakým spôsobom niesť zodpovednosť za porušenie zákona.
Navrhované ustanovenie taktiež vymedzuje, ktoré povinnosti prevádzkovateľa sa vzťahujú na sprostredkovateľa, a ktoré povinnosti je prevádzkovateľ oprávnený zmluvou preniesť na sprostredkovateľa.
K § 9
Navrhované ustanovenie § 9 zavádza spoločný nadpis, ktorý znie „právny základ" spracúvania osobných údajov. Jedná sa o ďalšiu kľúčovú podmienku na zákonné spracúvanie osobných údajov. Právnym základom je potrebné rozumieť oprávnenie k spracúvaniu osobných údajov jednotlivých dotknutých osôb. Inými slovami, ide o dôvod, ktorý umožňuje vykonávať akékoľvek operácie s osobnými údajmi dotknutých osôb v súlade s platnou legislatívou, avšak za podmienok uvedených v nasledujúcich ustanoveniach. Navrhované ustanovenie taxatívne vymenúva právne základy, ktorými sú:
- priamo vykonateľný právne záväzný právny akt Európskej únie,
- medzinárodná zmluva, ktorou je Slovenská republika viazaná,
- tento zákon,
- osobitný zákon,
- súhlas dotknutej osoby.
Ustanovenie § 9 jednoznačne odlišuje právne základy spracúvania osobných údajov a z tohto členenia, ktoré je bližšie špecifikované v § 10 a 11 vyplýva, že na dané spracúvanie (účel) možno použiť len jeden z uvedených právnych základov. Ak je napríklad právnym základom spracúvania osobných údajov osobitný zákon, potom nemožno na to isté spracúvania aplikovať napríklad súhlas dotknutej osoby. Tento princíp primárne vyplýva z článku 7 smernice 95/46/ES.
K § 10
Navrhovaná úprava sa týka dôslednejšej transpozície článku 7 smernice 95/46/ES, pričom bola zrealizovaná komplexne aj so zapracovaním právnych základov, ktorými sú priamo vykonateľné právne záväzné akty Európskej únie a medzinárodné zmluvy, ktorými je Slovenská republika viazaná.
Spracúvanie osobných údajov dotknutých osôb je v zmysle navrhovanej úpravy zákona možné na základe súhlasu jednotlivých dotknutých osôb (§ 11) alebo bez ich súhlasu, ak tak ustanoví priamo vykonateľný právne záväzný akt Európskej únie a medzinárodná zmluva, ktorou je Slovenská republika viazaná, tento zákon (§ 10 odsek 1), osobitný zákon (§ 10 odsek 2), prípadne ak je splnená podmienka v ustanovení § 10 odsek 3.
Odsek 1
Je žiaduce, aby ustanovenie reagovalo aj na pramene európskeho práva, ktorými sú priamo vykonateľné právne záväzné akty Európskej únie, a taktiež aby reagovalo na medzinárodné zmluvy, ktorými je Slovenská republika viazaná. Právnym základom spracúvania osobných údajov pre prevádzkovateľa môžu byť napríklad nariadenia, ktoré sú považované aj za európske zákony alebo za nástroje právnej unifikácie, pretože na ich uplatňovanie nie je potrebná národná právna úprava, sú nadradené vnútroštátnemu právu, sú všeobecne záväzné a záväzné vo všetkých svojich častiach a bezprostredne uplatniteľné v rámci právneho poriadku každého členského štátu Európskej únie, alebo Rozhodnutia, ktoré sú záväzné vo všetkých svojich častiach úplne a uplatňujú sa individuálne, sú záväzné ako celok pre adresáta a majú priamy účinok. Právnym základom pre prevádzkovateľa sa ďalej môžu stať medzinárodné zmluvy, na ktorých vykonanie nie je potrebný zákon, alebo medzinárodné zmluvy, ktoré priamo zakladajú práva alebo povinnosti fyzických osôb alebo právnických osôb, ktorými je Slovenská republika viazaná.
Odsek 2
Zákon o ochrane osobných údajov je pre oblasť ochrany osobných údajov zákonom generálnym. Platí zásada lex specialis derogat legi generali. K tomu dochádza tam, kde právne normy obsiahnuté v normatívnych aktoch rovnakého stupňa právnej sily, upravujú rovnakú matériu, ale v rôznom rozsahu.
Osobitné zákony sa môžu od generálnej úpravy odchyľovať. Podmienka ustanovená v navrhovanom odseku 2 návrhu nezakazuje odchylne (podrobnejšie, precíznejšie, presnejšie) v špeciálnom zákone upraviť matériu pre konkrétny účel spracúvania osobných údajov. Platí však, že osobitný zákon nesmie byť v rozpore so základnými princípmi ochrany osobných údajov ustanovenými generálnym zákonom. Inak povedané, musí rešpektovať podstatu práv a slobôd v rozsahu a spôsobom, ako bola prebratá z právne záväzných aktov Európskej únie do národného zákona o ochrane osobných údajov a nesmie byť s nimi v rozpore.
Predmetný odsek, rovnako ako odsek 1, z pohľadu ochrany osobných údajov upravuje minimálne požiadavky na obsahové náležitosti osobitného zákona, ktorými sú: zoznam osobných údajov, účel ich spracúvania, okruh dotknutých osôb ako aj prípadná možnosť, za splnenia podmienok uvedených v predmetnom ustanovení spracúvané osobné údaje z informačného systému poskytnúť, sprístupniť alebo zverejniť.
Odsek 3
Odsek 3 ustanovuje sedem ďalších prípadov, kedy, okrem prípadov uvedených v odsekoch 1 a 2, prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby. Znenie predmetného odseku ostalo v porovnaní so súčasne platným zákonom bez výrazných zmien.
Odsek 4
Navrhovaný odsek 4 upravuje prípady, keď vzhľadom na špecifický účel spracúvania osobných údajov, nemožno vopred presne určiť zoznam osobných údajov, ktoré majú byť predmetom spracúvania alebo vymenovať jednotlivé subjekty, ktorým majú byť osobné údaje poskytované. V takýchto prípadoch pri splnení zákonom ustanovených podmienok bude postačovať určenie rozsahu osobných údajov a okruhu tretích strán. Pre prevádzkovateľov potom platí povinnosť dôsledne aplikovať § 6 odsek 2 písmeno d) s výnimkou tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním.
K § 11
Ďalším významným inštitútom je súhlas dotknutej osoby, ktorý si zaslúži zvýšenú pozornosť a uvedenie bližšieho vysvetlenia, najlepšie na praktických príkladoch. Súhlas dotknutej osoby ako právny základ spracúvania osobných údajov možno použiť len na také spracúvania (situácie), pri ktorých o spracúvaní (či nespracúvaní) svojich osobných údajov rozhoduje výlučne dotknutá osoba a prevádzkovateľ nemá možnosť (nesmie) na dotknutú osobu vyvíjať žiadny nátlak ani jej rozhodovanie ovplyvňovať. Nátlakom sa rozumie aj hrozba prevádzkovateľa, že neudelenie súhlasu dotknutou osobou bude mať za následok odmietnutie zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi zákonom. V prípade, že sa dotknutá osoba rozhodne súhlas na konkrétne spracúvanie osobných údajov neudeliť, prevádzkovateľ musí toto jej slobodné rozhodnutie bez výhrady rešpektovať. Súhlas je platný, len ak je výslovný a slobodne daný. Súhlas podľa tohto zákona musí byť hodnoverne preukázateľný, pokiaľ sa výslovne nevyžaduje písomný súhlas, pričom je neprípustné si súhlas od dotknutej osoby vynucovať. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom.
Spracúvaní osobných údajov na základe súhlasu dotknutej osoby nie je veľa. V aplikačnej praxi ide spravidla o situácie, keď firma svoj hlavný podnikateľský zámer potrebuje podporiť inou aktivitou, ktorá má za cieľ zlepšiť (zvýšiť) predajnosť jej produktov. Príkladom môže byť spracúvanie osobných údajov zákazníkov firmy na účel podpory marketingu. Práve tento účel spracúvania osobných údajov využívajú firmy najčastejšie súbežne s iným „hlavným" účelom spracúvania osobných údajov, napríklad keď si klient poistil svoj majetok a poisťovňa má záujem v priebehu plynutia poistnej zmluvy informovať ho (ponúkať mu) ďalšie svoje služby a produkty. Je výlučne na slobodnom rozhodnutí dotknutej osoby, či má záujem byť informovaná o ďalších službách a produktoch a za týmto účelom poskytne svoje osobné údaje, alebo nie; neposkytnutie svojich osobných údajov však nemôže mať za následok odmietnutie zmluvného vzťahu.
K spracúvaniu osobných údajov na základe súhlasu dotknutej osoby preto môže dôjsť (dochádza) výlučne v prípadoch (na také účely), pri ktorých má dotknutá osoba výsostné postavenie s exkluzívnym „právom veta". Preto musí mať aj právo kedykoľvek udelený súhlas odvolať. Napríklad, ak dotknutá osoba udelí súhlas na spracúvanie (zverejnenie) svojich osobných údajov v telefónnom zozname pri uzatváraní zmluvy o pripojení, má právo kedykoľvek daný súhlas odvolať (článok 12 Smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách). Ak by tomu tak nebolo, musela by strpieť zverejnenie svojich osobných údajov v telefónnom zozname počas trvania zmluvy o pripojení. Dotknutá osoba však disponuje právom kedykoľvek žiadať ďalšie nezverejňovanie svojich osobných údajov v telefónnom zozname.
Navrhovaná úprava požaduje aj čas platnosti súhlasu (obmedzenie dĺžky spracúvania osobných údajov na základe súhlasu dotknutej osoby). Prevádzkovateľ je povinný zvážiť a odhadnúť podľa okolností a charakteru spracúvania dĺžku (potrebu) reálneho spracúvania osobných údajov. Ak by bolo možné spracúvať osobné údaje na základe súhlasu dotknutej osoby bez časového obmedzenia, potom by aj dávno zosnulá dotknutá osoba bola neraz oslovovaná firmou, pretože firma by sa nemala ako dozvedieť, že osoba už nežije (napokon, sú to náklady pre firmu na zbytočné poštové zásielky). Ak má prevádzkovateľ záujem ďalej spracúvať osobné údaje dotknutej osoby, je povinný si vyžiadať pred uplynutím času platnosti súhlasu udelenie nového súhlasu dotknutej osoby. Ak mu dotknutá osoba nový súhlas udelí, pokračuje v spracúvaní osobných údajov, a ak nie (napr. z dôvodu, že už nežije), je povinný vykonať opatrenia, ktoré vedú k likvidácii osobných údajov.
Tento právny základ spracúvania osobných údajov taktiež nemožno aplikovať na spracúvanie, ktorého účelom je vykonanie opatrení pred uzatvorením zmluvy (predzmluvné vzťahy) uskutočnené na žiadosť dotknutej osoby ani na spracúvanie, ktorého účelom je spracúvanie osobných údajov nevyhnutných pre plnenie zmluvy, v ktorej je dotknutá osoba jednou zo zmluvných strán. Inak povedané, tieto právne základy nemožno medzi sebou zamieňať. Smernica 95/46/ES, a teda ani zákon nevstupujú do záväzkových vzťahov a nenarúšajú ich. Sem patria akékoľvek spracúvania osobných údajov, ktoré prevádzkovateľ vykonáva pred uzatvorením zmluvy (predzmluvné vzťahy), napríklad získava osobné údaje pri výberových konaniach pred uzatvorením pracovnej zmluvy. V konečnom dôsledku môže a nemusí dôjsť k uzavretiu pracovnej zmluvy. Na účel získania osobných údajov v rámci výberového konania sa nevyžaduje súhlas dotknutej osoby. Ako ďalší príklad možno uviesť spotrebiteľské zmluvy, ktoré o určitom rovnakom predmete plnenia štandardne a opakovane uzatvárajú dodávatelia s veľkým počtom zákazníkov (spotrebiteľov) s tým, že dodávateľ ako navrhovateľ zmluvy vopred v návrhu stanovuje obsah týchto zmlúv a stanovuje aj podmienky ich realizácie. Návrh zmluvy býva spravidla pripravený na predtlačených tlačivách. Spotrebiteľ nemá možnosť žiadnym spôsobom individuálne ovplyvniť ani zmeniť obsah týchto zmluvných podmienok, nemôže vyjednávať, jedinou jeho alternatívou je prijatie, respektíve odmietnutie návrhu. Za typický príklad spotrebiteľskej zmluvy možno považovať zmluvu o dodávke elektriny. Vzťahovanie súhlasu dotknutej osoby na takéto spracúvanie by v praxi spôsobovalo neustále vážne kolízie pri aplikácii základných princípov ochrany osobných údajov.
K § 12
Navrhovaná úprava ustanovenia § 12 je v súčasne platnom zákone upravená v jednotlivých odsekoch ustanovenia § 7, pričom úprava týchto odsekov ostáva bez zásadných zmien. Z dôvodu väčšej právnej istoty a poskytnutia prehľadnejšej právnej úpravy celého zákona o ochrane osobných údajov, navrhované odseky 1 až 7 sú začlenené do samostatného ustanovenia. Výnimku predstavuje novo začlenený odsek 3, ktorý umožňuje prevádzkovateľovi, ktorý je zamestnávateľom dotknutej osoby, aby sprístupnil alebo zverejnil jej osobné údaje v zákonom stanovenom rozsahu, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Takéto sprístupnenie alebo zverejnenie však nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby
K § 13 a 14
Navrhovaná právna úprava v zákone o ochrane osobných údajov rozlišuje dve kvality osobných údajov, spomedzi ktorých v ustanovení § 13 taxatívne vymedzuje osobné údaje, ktoré sú označované ako osobitné kategórie osobných údajov, tzv. citlivé údaje. Na spracúvanie týchto osobných údajov zákon kladie prísnejšie kritériá. Ustanovenie špecifikuje a upresňuje podmienky spracúvania osobitných kategórií osobných údajov. Je však dôležité zdôrazniť, že prevádzkovateľ, ktorý spracúva osobné údaje v informačnom systéme a spracúva v ňom aspoň jeden osobný údaj, ktorý možno považovať za citlivý osobný údaj, je povinný pristupovať k celému súboru spracúvaných osobných údajov ako k informačnému systému obsahujúcemu citlivé osobné údaje.
§ 13 odsek 1 a § 14
Spracúvať osobné údaje, ktoré sú v odseku 1 vymenované, sa generálne zakazuje. Ak by však nemohli niektorí prevádzkovatelia spracúvať aj citlivé osobné údaje, nemohli by plniť svoje povinnosti alebo uplatňovať svoje práva. Výnimky zo zákazu sa pripúšťajú v prípadoch, ktoré upravuje ustanovenie § 14 odsek 1 tohto zákona.
§ 13 odsek 2
Smernica 95/46/ES zaraďuje medzi osobitné kategórie osobných údajov aj všeobecne použiteľný identifikátor, za ktorý v podmienkach právneho poriadku Slovenskej republiky považujeme rodné číslo. Toto definičné slovné spojenie umožňuje do budúcna reagovať na prípadný prechod od rodného čísla k inému identifikátoru bez potreby legislatívnej úpravy tohto ustanovenia. Odsek 2 upravuje podmienky spracúvania rodného čísla. Slovné spojenie „ak je to nevyhnutné na dosiahnutie účelu spracúvania" je potrebné vysvetľovať spôsobom, že rodné číslo možno spracúvať len vtedy, ak bez jeho použitia by mohlo prísť k porušeniu práv a slobôd dotknutých osôb alebo k vážnym chybám pri spracúvaní alebo by bolo znemožnené samotné spracúvanie. Rodné číslo sa generálne zakazuje zverejňovať; nie je prípustná žiadna výnimka z tohto zákazu.
§ 13 odsek 3
Odsek 3 sa týka osobitnej kategórie osobných údajov, ktorá vymedzuje spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej pracovnej spôsobilosti. Za osobné údaje charakterizujúce psychickú pracovnú spôsobilosť sa považujú všetky zistenia a charakteristiky odhaľujúce rozumové schopnosti a zručnosti, profil osobnosti a profil tvorivosti, správanie, návyky, zvyky a zlozvyky fyzickej osoby a to najmä prostredníctvom osobnostných testov. Psychická pracovná spôsobilosť nepatrí medzi zdravotné údaje.
§ 13 odsek 4
Odsek 4 sa týka osobitnej kategórie, ktorá vymedzuje spracúvanie osobných údajov o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť, môže vykonávať len ten, komu to umožňuje osobitný zákon.
§ 13 odsek 5 a 6
Biometrické údaje rovnako patria medzi osobitné kategórie osobných údajov, na základe čoho majú v predkladanom návrhu zákona svoje osobitné postavenie a podmienky spracúvania. Jedná sa o jedny z najcitlivejších osobných údajov, nakoľko práve na základe týchto údajov je fyzická osoba jednoznačne a nezameniteľne určená.
Návrh zákona poskytuje novú právnu úpravu a podmienky spracúvania biometrických údajov, pričom táto úprava sa opiera o stanovisko č. 3 pracovnej skupiny pre ochranu osobných údajov zriadenú podľa článku 29 smernice 95/46/ES z roku 2012 dotýkajúceho sa spracúvania biometrických údajov a vývoja biometrických technológií. Na základe navrhovanej úpravy spracúvanie biometrických údajov bude zákonné len v prípade, že bude primerané účelu spracúvania, nevyhnutné na jeho dosiahnutie a zároveň bude kumulatívne splnená aj jedna z požiadaviek právneho základu uvedeného v písmene a) až d). Takéto spracúvanie však bude možné vykonávať len vtedy, ak prevádzkovateľ požiada o osobitnú registráciu (s výnimkou, ak sa budú biometrické údaje spracúvať na základe osobitného zákona), v rámci ktorej bude úrad posudzovať primeranosť, nevyhnutnosť spracúvania biometrických údajov na prevádzkovateľom vymedzený účel a právny základ ich spracúvania. Každú žiadosť bude potrebné posudzovať individuálne, a to s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov. Až po schválení osobitnej registrácie bude prevádzkovateľ oprávnený spracúvať biometrické údaje.
Prísnejšie pravidlá pre spracúvanie biometrických údajov si vyžiadal predovšetkým technologický vývoj a zvýšená možnosť zneužitia biometrických údajov ako aj aplikačná prax. V tejto súvislosti je potrebné opätovne zdôrazniť, že primárnym účelom zákona o ochrane osobných údajov je chrániť práva fyzických osôb – jednotlivcov pri spracúvaní ich osobných údajov, čo predpokladá určité povinnosti a zavedenie podmienok pre takéto spracúvanie. Neodôvodnené a neprimerané požiadavky prevádzkovateľa by nemali prevyšovať právo fyzickej osoby na ochranu jej súkromia a osobných údajov.
K § 15
Cieľom ustanovenia je špecifikovať pravidlá získavania osobných údajov do informačného systému. Dotknutým osobám alebo iným osobám, od ktorých sa získavajú osobné údaje dotknutej osoby, sa musia poskytnúť potrebné informácie, aby bola zaručená možnosť ich kvalifikovaného rozhodnutia o poskytnutí údajov tomu, kto ich požaduje. Povinnosť poskytnúť osobné údaje vzniká iba na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná a zákona, inak platí zásada dobrovoľnosti.
Navrhovaná úprava striktne, v súlade s obsahom článkov 10 a 11 smernice 95/46/ES, rozlišuje situácie, keď boli osobné údaje získané priamo od dotknutej osoby a situácie, keď boli získané od inej ako dotknutej osoby, prípadne boli získané bez jej súhlasu, napr. na základe osobitného zákona. Ustanovenie § 15 odsek 1 sa týka situácií, keď prevádzkovateľ, resp. zástupca prevádzkovateľa alebo sprostredkovateľ, ktorý koná v ich mene, získava osobné údaje priamo od dotknutej osoby. V ustanovení § 15 odsek 1 písmeno a) až d) sú uvedené informácie, ktoré je prevádzkovateľ povinný dotknutej osobe oznámiť. V písmene e) sú ďalšie informácie, ktoré je potrebné dotknutej osobe oznámiť vtedy, ak s ohľadom na všetky okolnosti spracúvania osobných údajov sú potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov. Napríklad, ak prevádzkovateľ mieni vykonávať prenos osobných údajov do tretích krajín na základe súhlasu dotknutej osoby, je nevyhnutné, aby informáciu o tom, o ktoré tretie krajiny sa jedná, dotknutej osobe pri získavaní predmetných osobných údajov oznámil. Informácie netreba dotknutej osobe oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že v čase získavania osobných údajov boli všetky potrebné informácie dotknutej osobe už známe.
Navrhované ustanovenie § 15 odsek 2 sa týka situácií, keď prevádzkovateľ získal osobné údaje o dotknutej osobe od inej fyzickej osoby. V takomto prípade je povinný dotknutej osobe dodatočne oznámiť potrebné informácie o ich získaní a možnom ďalšom spracúvaní. Prevádzkovateľ je povinný tieto základné informácie rozšíriť o doplňujúce informácie, a to s ohľadom na špecifické okolnosti, za ktorých budú osobné údaje získavané na zabezpečenie zákonného spracúvania. Otázka špecifikácie okolností, za ktorých bude potrebné poskytnúť doplňujúce informácie pri získavaní osobných údajov bude záležať od konkrétneho prípadu spracúvania a požiadaviek, ktoré sa na dané spracúvanie budú klásť. Aj v tomto prípade však logicky platí, že informácie netreba dotknutej osobe oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že všetky potrebné informácie boli v čase rozhodujúcej udalosti dotknutej osobe už známe.
Navrhované ustanovenie § 15 odsek 3 ustanovuje výnimky z povinnosti ustanovenej v § 15 odsek 1 a 2.
Navrhovaná úprava ustanovení odseku 4 až 7 zákona je precizovaním doteraz platného textu na základe požiadaviek aplikačnej praxe. Úprava ostatných odsekov ostáva bez zásadných zmien.
K § 16
Navrhované ustanovenie odseku 1 vymedzuje zodpovednosť za poskytnutie nepravdivých osobných údajov. Zodpovedný je vždy ten, kto osobné údaje poskytuje, napríklad dotknutá osoba, jej zákonný zástupca alebo ten, komu bola dotknutou osobou táto kompetencia zverená. Prevádzkovateľ zodpovedá iba za správnosť a aktuálnosť osobných údajov, pretože ich pravdivosť nemá možnosť overovať.
Navrhované ustanovenie odseku 2 ukladá prevádzkovateľovi povinnosť zabezpečiť správnosť a aktuálnosť osobných údajov. V zákone sa rozlišujú dve úrovne kvality údajov, a to pravdivosť a správnosť. Ustanovenie chráni prevádzkovateľa, ktorému môžu byť z rôznych dôvodov poskytnuté nepravdivé údaje, napríklad úmyselne.
Odsek 3 ukladá prevádzkovateľovi povinnosť priebežne zabezpečovať aktualizáciu a opravu tých osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi alebo sa preukáže, že sú nesprávne.
K § 17
Týmto ustanovením sa má zabrániť dlhšiemu uchovávaniu osobných údajov ako je potrebné, vzhľadom na účel ich spracúvania, pre ktorý boli získané.
Odsek 2 ustanovuje prípady, kedy sa nevyžaduje bezodkladná likvidácia osobných údajov, ak osobné údaje sú súčasťou registratúrneho záznamu. V takom prípade je prevádzkovateľ povinný zabezpečiť likvidáciu registratúrneho záznamu podľa osobitného zákona.
Odseky 3, 4, 5 a 6 vylučujú možnosť ďalšieho spracúvania osobných údajov na účely priameho marketingu, ak dotknutá osoba uplatnila námietku. Ďalej je prevádzkovateľ oprávnený uchovávať len osobné údaje v rozsahu titul, meno a priezvisko na účely evidencie, že táto dotknutá osoba si neželá byť prevádzkovateľom oslovovaná v poštovom styku. Po splnení účelu spracúvania, ak napríklad prevádzkovateľ zmenil predmet svojho podnikania, je povinný aj osobné údaje dotknutej osoby uchovávané na účely evidencie, zlikvidovať.
Odsek 7 ustanovuje povinnosť likvidácie vyhotoveného záznamu v lehote pätnásť dní, ak záznam nebol využitý na účely trestného konania alebo konania o priestupkoch. To neplatí len v prípade, ak osobitný zákon ustanovuje dlhšiu lehotu.
K § 18
Navrhovaným znením dochádza k presnejšej transpozícii článku 12 písmeno c) smernice 95/46/ES. Európska komisia odporučila upraviť text § 14 súčasne platného zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov tak, aby neriešil len oznámenie tretím stranám o vykonaní opravy alebo likvidácii osobných údajov, ale aby sa týkal oznámenia o vykonaní akýchkoľvek opráv, vrátane aktualizácií a blokovania osobných údajov. Plne legitímnou požiadavkou novej právnej úpravy je potom ustanovenie povinnosti tretej strane bez zbytočného odkladu vykonať požadované opatrenia.
V odsekoch 3 a 4 sa ďalej navrhujú v súlade so smernicou nevyhnutné podmienky a záruky, že prevádzkovateľ od povinnosti ustanovenej v odseku 1 upustí len vtedy, ak oznámenie informácií tretej osobe je preukázateľne objektívne nemožné alebo by si vyžiadalo neprimerané úsilie.
K § 19 a 20
§ 19
Podľa tohto ustanovenia je prevádzkovateľ povinný vytvoriť také podmienky fungovania nimi prevádzkovaného informačného systému, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Prevádzkovateľ je povinný splniť súčasne všetky uvedené bezpečnostné opatrenia, a nielen niektoré z nich. Bezpečnostné opatrenia treba prijať nielen v rozsahu technických a organizačných, ale aj personálnych opatrení na zabezpečenie ochrany spracúvaných osobných údajov.
V snahe priblížiť sa čo najviac právu Európskej únie, je v súlade s článkom 17 odsek 1 smernice 95/46/ES spresnené a doplnené znenie § 19 odsek 1, ktorý vytvára základný rámec podmienok týkajúcich sa bezpečnosti spracúvania osobných údajov. Zákon zároveň bližšie konkretizuje, čo najmä treba brať do úvahy pri určovaní primeranosti technických, organizačných a personálnych opatrení. Prevádzkovateľ má podľa § 19 ods. 2 povinnosť zdokumentovať v bezpečnostnej smernici bezpečnostné opatrenia podľa § 19 ods. 1, ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov podľa § 13 alebo ak v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13.
Platné ustanovenie § 19 odsek 3 písmeno a) ukladá prevádzkovateľovi povinnosť vypracovať bezpečnostný projekt v prípade, ak spracúva osobitnú kategóriu osobných údajov v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou. Zámerom tohto ustanovenia je sprísniť podmienky spracúvania najmä tých osobných údajov, ktoré patria medzi osobitné kategórie osobných údajov (§ 13) a sú vystavené možným hrozbám pri spracúvaní v prostredí, ktoré je prepojené na internet.
Ustanovenie § 19 odsek 3 písmeno b) sa týka informačných systémov, ktoré slúžia na zabezpečenie verejného záujmu podľa § 3 odsek 1 návrhu zákona. Ustanovenie § 20 sa pritom pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona.
Nový odsek 4 zavádza povinnosť bezodkladnej aktualizácie opatrení prijatých podľa odsekov 1 až 3 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných údajov v informačnom systéme.
Odsek 5 ukladá povinnosť prevádzkovateľovi oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu, ktorý je potrebný na plnenie ich úloh a podmienky takéhoto oboznamovania.
§ 20
Navrhované ustanovenie § 20 upravuje bezpečnostný projekt. Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Ten musí byť spracovaný v súlade s bezpečnostnými štandardami, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
K § 21
Navrhovaná právna úprava poučenia oprávnených osôb nie je novou úpravou; je súčasťou aj teraz platného zákona o ochrane osobných údajov. Z dôvodu zvýšenia právnej istoty a odstránenia kolízií v praxi dochádza k spresneniu a dôslednému precizovaniu tohto ustanovenia.
Prevádzkovateľ môže spracúvať osobné údaje len prostredníctvom osôb, ktoré majú postavenie oprávnených osôb. Výber svojich oprávnených osôb je v plnej kompetencii prevádzkovateľa. Bolo potrebné precizovať, odkedy má fyzická osoba postavenie oprávnenej osoby, kto a kedy je povinný poučenie vykonať a akých práv a povinností oprávnených osôb sa má týkať. Zákon výslovne vymenúva aj okolnosti, za ktorých je prevádzkovateľ povinný opätovne poučiť svoju oprávnenú osobu.
K § 22
Základné práva a slobody garantované Ústavou Slovenskej republiky zaručujú každému právo na ochranu pred neoprávneným zasahovaním do súkromného a rodinného života a pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe. Do tohto ustanovenia, za účelom ochrany osobných údajov, bola zakotvená povinnosť zachovávať mlčanlivosť o osobných údajoch pre všetkých, ktorí s nimi prichádzajú do styku. Odsek 1 ustanovuje podmienky zachovávania mlčanlivosti prevádzkovateľom a odseky 2 a 4 oprávneným osobám.
Podľa odseku 3 sú povinní zachovávať mlčanlivosť o osobných údajoch aj iné fyzické osoby, ktoré prišli do styku s osobnými údajmi, napríklad v rámci výkonu svojho zamestnania pri zavádzaní nových informačných technológií alebo údržby technického zariadenia u prevádzkovateľa alebo sprostredkovateľa.
Podľa odseku 5 povinnosť mlčanlivosti podľa odsekov 1 až 4 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona.
Odsek 6 je významný najmä z hľadiska plnenia úloh úradu. Vo vzťahu k úradu sa nepoužijú predchádzajúce odseky, ak sa má úrad účinne podieľať na ochrane základných práv a slobôd fyzických osôb v súvislosti s ochranou ich osobných údajov. Úrad tak musí mať prístup ku všetkým materiálom obsahujúcim osobné údaje a k informáciám súvisiacim s prešetrovanou vecou.
K § 23 až 27
Inštitút zodpovednej osoby, ktorá vykonáva dohľad nad ochranou osobných údajov, je súčasťou nášho právneho poriadku od 1. marca 1998 s účinnosťou zákona č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch, ktorý bol zrušený a nahradený od 1. septembra 2002 súčasne platným zákonom o ochrane osobných údajov.
Za účelom zvýšenia právnej istoty a prehľadnosti zákona bola navrhovaná úprava zodpovednej osoby rozčlenená do piatich samostatných ustanovení, pričom tieto tvoria samostatnú hlavu druhej časti zákona. V záujme zabezpečenia práva na ochranu súkromia a osobných údajov dotknutých osôb, týmto dochádza aj k poukázaniu na dôležitosť a význam tohto inštitútu a potrebu jeho dôkladného uplatňovania v praxi, a to v intenciách článku 18 odsek 2 smernice 95/46/ES, podľa ktorého sa požaduje, aby prevádzkovateľ zaručil zodpovednej osobe nezávislé uplatňovanie vnútroštátnych právnych noriem prijatých v nadväznosti na smernicu a tým zabezpečil, že práva a slobody dotknutých osôb budú pri spracúvaní ich osobných údajov rešpektované v rozsahu zákona.
§ 23
Za výkon dohľadu nad ochranou osobných údajov spracúvaných v informačnom systéme vo všeobecnosti zodpovedá prevádzkovateľ. Navrhované ustanovenie upravuje podmienky poverenia zodpovednej osoby a požiadavky, ktoré musí fyzická osoba spĺňať na to, aby mohla vykonávať funkciu zodpovednej osoby ako aj náležitosti poverenia, čo v súčasne platnej právnej úprave absentuje. V dôsledku chýbajúcich obsahových náležitostí poverenia mnohokrát vznikali prevádzkovateľom aplikačné problémy a v niektorých prípadoch dochádzalo aj kumulatívne k uloženiu sankcie za nesplnenie si povinnosti podľa tohto zákona. Navrhovaná právna úprava tak poskytne väčšiu právnu istotu, čím možno predpokladať zníženie porušení zákona v tomto smere.
Dôležitou zmenou podľa navrhovanej úpravy je zmena kategórie zamestnávaných „osôb", a to zo všetkých zamestnaných osôb u prevádzkovateľa na osoby oprávnené. Podľa doterajšej právnej úpravy bol prevádzkovateľ povinný poveriť zodpovednú osobu vždy vtedy, keď zamestnával viac ako päť osôb. Častou otázkou bolo, koho a kedy treba považovať za zamestnanca na účely tohto zákona a ako postupovať, keď dochádza k častej oscilácii zamestnancov okolo počtu päť zamestnancov. Táto nejednoznačnosť si vyžiadala úpravu podmienok súvisiacich s povinnosťou ustanoviť zodpovednú osobu výkonom dohľadu u prevádzkovateľa.
§ 24
Navrhované ustanovenie upravuje skúšku fyzickej osoby na výkon funkcie zodpovednej osoby. Z hľadiska aplikačnej praxe sa vyžaduje zvýšenie odbornosti zodpovednej osoby v oblasti ochrany osobných údajov, pokiaľ sa má zaručiť jej význam a plnohodnotné uplatňovanie. Návrh zákona tak v rámci podmienok na poverenie zodpovednej osoby zavádza aj vyžadovanie vykonania skúšky zodpovednej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov. Táto požiadavka sa s ohľadom na doterajšiu prax javí ako nevyhnutná. Možno sa domnievať, že aj takýmto postupom úrad prispeje k zvýšeniu povedomia v oblasti ochrany osobných údajov, čím sa zabezpečí obozretnejší a dôslednejší prístup pri plnení povinností podľa tohto zákona a v konečnom dôsledku aj Ústavou Slovenskej republiky garantované právo na ochranu súkromia a osobných údajov.
Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov až po úspešnom absolvovaní skúšky, ktorú zabezpečí úrad. Podrobnosti o skúške fyzickej osoby na výkon zodpovednej osoby ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 25
Povinnosti prevádzkovateľa pri poverení zodpovednej osoby, medzi ktoré patrí potreba nahlásenia poverenia zodpovednej osoby úradu v zákonom stanovenej lehote a spôsobom v ňom uvedeným a najmä povinnosť prevádzkovateľa umožniť zodpovednej osobe nezávislý výkon dohľadu nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov. Plnohodnotný dohľad však možno vykonávať len vtedy, ak má zodpovedná osoba komplexný prehľad o podmienkach spracúvania osobných údajov v informačnom systéme.
§ 26
Ukončenie poverenia zodpovednej osoby je predmetom úpravy § 26. Navrhované ustanovenie upravuje podmienky odvolania poverenia zodpovednej osoby ako aj zániku poverenia zodpovednej osoby a povinnosti s tým súvisiace.
§ 27
Nezávislý výkon činnosti zodpovednej osoby predpokladá aj určité zákonom stanovené povinnosti, ktoré je zodpovedná osoba povinná pri plnení svojich úloh vykonávať. Táto úprava je navrhnutá do § 27. Jej úlohou je dohliadať na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov v informačnom systéme a upozorňovať prevádzkovateľa na nedostatky, ktoré zistí v súvislosti so spracúvaním osobných údajov a dbať na to, aby sa spracúvanie osobných údajov uskutočňovalo v súlade so zákonom. Plnenie si úloh podľa zákona sa nemôže stať podnetom ani dôvodom na konanie prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
K § 28 až 30
§ 28
Práva dotknutých osôb predstavujú ďalšiu významnú časť navrhovanej právnej úpravy. Právam dotknutých osôb patrí samostatná štvrtá hlava druhej časti zákona. Zámerom zákona je predovšetkým poskytnúť dotknutým osobám potrebnú ochranu a zaručiť im práva pri spracúvaní ich osobných údajov.
Podľa ustanovenia § 28 odsek 1 písmeno a) až d) má dotknutá osoba nárok na potvrdenie o spracúvaní osobných údajov v informačnom systéme, informácie a odpis osobných údajov v podobe zoznamu osobných údajov uvedených vo všeobecne zrozumiteľnej forme a informácie o zdroji s možnosťou oboznámiť sa aj s postupom spracúvania a vyhodnocovania operácií pri vydávaní rozhodnutia podľa § 28 odsek 5. Uvedené zmeny presne preberajú článok 12 smernice 95/46/ES.
Obsah § 28 odsek 4 presne preberá článok 14 písmeno a) smernice 95/46/ES a súvisí s uplatňovaním práv dotknutej osoby v rozsahu, ktorý požaduje smernica.
Ustanovenie § 28 odsek 5 je ustanovením, do ktorého boli zapracované pripomienky expertov v súlade s dikciou článku 15 smernice 95/46/ES. Zámerom tohto ustanovenia je dať dotknutej osobe právo žiadať prevádzkovateľa o preskúmanie rozhodnutia, ktoré bolo vydané výlučne na základe automatizovanej formy spracúvania metódou odlišnou od takejto formy spracúvania. Prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia zohrá ľudský faktor.
Podľa odseku 6 ak dotknutá osoba uplatní svoje právo písomne spôsobom, pri ktorom sa neodvoláva na konkrétne ustanovenie zákona, ale z obsahu žiadosti vyplýva, že si uplatňuje svoje právo, žiadosť sa považuje za žiadosť podanú podľa tohto zákona a prevádzkovateľ je povinný takúto žiadosť dotknutej osoby vybaviť v súlade s týmto zákonom. Podľa zákona možno žiadosť na uplatnenie práva dotknutou osobou podať aj osobne. Ak dotknutá osoba žiadosť podáva ústne, prevádzkovateľ alebo sprostredkovateľ žiadosť dotknutej osoby zaznamená do zápisnice a kópiu zápisnice je povinný odovzdať dotknutej osobe. Ak dotknutá osoba uplatní právo písomne alebo osobne u sprostredkovateľa, ktorý spracúva osobné údaje v mene prevádzkovateľa, sprostredkovateľ je povinný písomnú žiadosť dotknutej osoby alebo zápisnicu bez zbytočného odkladu odovzdať prevádzkovateľovi. Žiadosť podaná dotknutou osobou u sprostredkovateľa sa považuje za žiadosť prijatú prevádzkovateľom.
V prípade zistenia dotknutou osobou, že sa jej osobné údaje neoprávnene spracúvajú, ustanovuje sa v odseku 7 jej právo podať úradu návrh na začatie konanie podľa § 61 zákona.
Odseky 8 a 9 ustanovujú možnosť uplatniť právo dotknutej osoby zákonným zástupcom, ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu alebo blízkou osobou, ak dotknutá osoba nežije.
§ 29
Prevádzkovateľ nesie zodpovednosť za splnenie opatrení, ktorými sa zabezpečujú práva dotknutej osoby podľa § 28. V tomto ustanovení sú špecifikované základné podmienky, ktoré prevádzkovateľ musí dodržiavať pri vybavovaní požiadaviek dotknutej osoby.
Splnenie požiadaviek dotknutej osoby podľa odseku 1 nesmie prevádzkovateľ spoplatniť. Odsek 2 naproti tomu ustanovuje prípady, pri ktorých prevádzkovateľ môže žiadať uhradenie nákladov, pričom nemôže prekročiť výšku účelne vynaložených vecných nákladov spojených so zhotovením kópií, zadovážením technických nosičov a s odoslaním požadovanej informácie dotknutej osoby. To neplatí pre situácie, keď osobitný zákon ustanovuje iný režim pre poskytovanie informácií z informačného systému (napríklad výpis z katastra nehnuteľností, nahliadnutie do matriky a pod.). Úhrady za poskytnutie informácií dotknutej osobe sú príjmami prevádzkovateľa.
Spätnú väzbu medzi prevádzkovateľom a dotknutou osobou o tom, že vyhovel jej požiadavkám, upravuje odsek 3, ktorý prevádzkovateľovi ukladá tak vykonať písomne v lehote 30 dní odo dňa ich doručenia.
§ 30
Obmedzenie práv dotknutej osoby znamená odmietnutie požiadavky dotknutej osoby o opravu alebo likvidáciu jej osobných údajov. Obmedzenie práv podľa § 28 ods. 1 písmeno d) a e) je prevádzkovateľ povinný bezodkladne oznámiť dotknutej osobe a úradu.
K § 31 a 32
§ 31
Navrhovaným ustanovením sa upravujú podmienky prenosu osobných údajov do tretích krajín s primeranou/bez primeranej úrovne ochrany osobných údajov, pričom primeranosť úrovne ochrany osobných údajov v treťom štáte hodnotí Európska komisia, ktorá o tom vydá rozhodnutie. Hodnotenie Európskej komisie sa opiera o predchádzajúce stanovisko dozorných orgánov ochrany osobných údajov jednotlivých členských štátov združených v Pracovnej skupine zriadenej podľa článku 29 smernice 95/46/ES, a tiež o stanovisko Výboru 31 (článok 31 smernice 95/46/ES). Prevádzkovatelia výkladom platného znenia zákona prichádzali k nesprávnym záverom, že primeranosť úrovne ochrany osobných údajov v tretej krajine samostatne hodnotí štát, alebo prevádzkovateľ. Štát prostredníctvom dozorného orgánu ochrany osobných údajov osobitne hodnotí systematické prenosy osobných údajov, ktoré zamýšľa vykonávať konkrétny prevádzkovateľ so sídlom v Slovenskej republike, a to len ak mu to zákon uloží.
Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany možno uskutočniť, ak prevádzkovateľ uvedie primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov. Za takéto záruky sa považujú záväzné vnútropodnikové pravidlá a štandardné zmluvné doložky. Záväzné vnútropodnikové pravidlá vytvárajú v rámci spoločnosti spoločnú primeranú úroveň ochrany osobných údajov pre spoločnosti, ktoré v rámci danej korporácie sídlia mimo územia Európskej únie, pričom pre spoločnosti so sídlom v Európskej únii zostáva v platnosti európska legislatíva. Štandardné zmluvné doložky sú určené predovšetkým na hromadné a opakujúce sa prenosy osobných údajov medzi dvoma subjektmi, je ich však možné použiť aj pre viac subjektov, ale na zmluvné vzťahy sa bude uplatňovať právo osoby v postavení vývozcu údajov, t.j. európske právo.
Ustanovenie odseku 3 písmeno a) až f) zákona prichádza do úvahy v ostatných prípadoch, t.j. tých, v ktorých sa nebude postupovať podľa odseku 2. Je však nutné ho vykladať reštriktívnym spôsobom a použiť len výnimočne a v obmedzenom množstve, nakoľko predstavujú pre dotknuté osoby zvýšené riziko, predovšetkým z dôvodu objektívnej nemožnosti odmietnuť prenos ich osobných údajov do tretej krajiny bez primeranej legislatívy na ochranu osobných údajov.
V prípade prenosu osobitných kategórií osobných údajov je potrebné, aby si prevádzkovateľ zaobstaral písomné súhlasy dotknutých osôb, a to k samotnému prenosu ako osobitnému typu spracúvania, ak tieto už neboli poskytnuté, resp. zahrnuté v generálnom písomnom súhlase, ktorý dotknuté osoby udelili pred začatím spracúvania osobných údajov. Takýto generálny súhlas musí zahŕňať všetky účely a procesy, pre ktoré boli osobné údaje získané, a s ktorými boli tieto osoby dôkladne oboznámené.
Odsek 5 upravuje náležitosti zmluvy o prenose osobných údajov, ak prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania alebo trvalým pobytom v Spojených štátoch amerických pristúpil k zásadám „Safe Harbor" resp. „bezpečného prístavu". Dôvodom tejto úpravy sú skutočnosti uvedené v Rozhodnutí Európskej komisie z 26. júna 2000 v súlade so smernicou 95/46/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu" a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA, konkrétne FAQ 10 –Zmluvy podľa článku 17, citujeme posledný odsek odpovede: „Keďže účastníci bezpečného prístavu poskytujú primeranú ochranu osobných informácií, zmluvy s účastníkmi bezpečného prístavu týkajúce sa výlučne spracúvania údajov si nevyžadujú predchádzajúci súhlas (alebo takýto súhlas poskytnú členské štáty automaticky), ktorý by sa vyžadoval v prípade zmlúv s príjemcami údajov, ktorí sa nezúčastňujú na systéme bezpečného prístavu alebo iným spôsobom neposkytujú primeranú ochranu osobných informácií.".
Podľa navrhovanej úpravy úrad bude schvaľovať žiadosti o súhlas s cezhraničným tokom len v prípadoch, ak prevádzkovateľ prenášajúci osobné údaje použije v zmluve o prenose osobných údajov do tretej krajiny bez primeranej úrovne ochrany osobných údajov zmluvné doložky, ktoré sú odlišné od štandardných zmluvných doložiek alebo s nimi vykazujú zjavný nesúlad. Ostatné prenosy nebudú podliehať schvaľovaciemu procesu na úrade. Uvedený postup je v súlade so snahou o postupné odbúravanie administratívnej záťaže prevádzkovateľov, o ktorý sa usiluje v poslednom období Európska komisia revíziou legislatívy upravujúcej ochranu osobných údajov. Postup pri rozhodovaní o súhlase s cezhraničným tokom bude podliehať konaniu podľa Správneho poriadku.
§ 32
Navrhované znenie § 32 ustanovuje záväzok Slovenskej republiky zaručiť voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi v súlade s článkom 1 odsek 2 smernice 95/46/ES.
Sprostredkovateľ, ktorý aj napriek tomu, že má sídlo, miesto podnikania alebo trvalý pobyt v inom členskom štáte, je povinný sa riadiť pokynmi prevádzkovateľa, ktorý sídli, má miesto podnikania alebo trvalý pobyt na území Slovenskej republiky. Sprostredkovateľ je tiež povinný uplatňovať zákon na ochranu osobných údajov, ktorým sa riadi prevádzkovateľ na území Slovenskej republiky. Sprostredkovateľ sa riadi právnym poriadkom štátu, v ktorom sídli alebo podniká, pokiaľ ide o uplatňovanie predpisov o informačnej bezpečnosti (bezpečnosti a integrite osobných údajov).
Pokiaľ ide o prenos osobných údajov v rámci vzťahu prevádzkovateľ – prevádzkovateľ, prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom na území Slovenskej republiky je pri prenose osobných údajov prevádzkovateľovi v inom členskom štáte povinný prijať primerané záruky zachovania práv a právom chránených záujmov dotknutých osôb. Práva a nároky dotknutých osôb musia byť vymáhateľné aj v členskom štáte, do ktorého smerujú poskytnuté osobné údaje. Spracúvanie osobných údajov prevádzkovateľom, ktorý je dovozcom údajov sa riadi legislatívou toho štátu, v ktorom má ako dovozca osobných údajov svoje sídlo.
K § 33
Ochrana osobných údajov podľa tohto zákona sa vzťahuje na všetky informačné systémy. Na to, aby došlo k zákonnému spracúvaniu osobných údajov, prevádzkovateľ je povinný požiadať o registráciu informačných systémov, osobitnú registráciu informačných systémov alebo viesť o nich evidenciu, pokiaľ sa na také informačné systémy vzťahuje výnimka z povinnosti registrácie. Povinnosť registrácie a vedenie evidencie je preto potrebné považovať ako jeden kompaktný celok.
K § 34 až 36
Ustanovenia § 33 až 35 upravujú „obyčajnú" registráciu informačných systémov. Oproti súčasne platnej právnej úprave sa navrhuje presnejšie vymedziť podmienky a postup pri registrácii.
§ 34
Ustanovenie § 34 upravuje podmienky registrácie, za ktorých je prevádzkovateľ povinný podať žiadosť na úrad, ktorou prihlási informačný systém na registráciu. Oproti súčasne platnej právnej úprave, došlo v odseku 2 k vypusteniu písmena c) a doplneniu písmena d) a e).
§ 35
Ustanovenie § 35 upravuje náležitosti podania žiadosti pri prihlasovaní informačného systému na registráciu. Súčasťou žiadosti je príloha, ktorej obsahom je popis podmienok spracúvania osobných údajov. Bez ich doloženia je však v praxi mnohokrát problematické určiť, či daný informačný systém podlieha registrácií alebo nie. Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu a potvrdenie o registrácii zverejní úrad na svojom webovom sídle.
§ 36
Ustanovenie § 36 upravuje postup pri registrácii informačného systému. Na konanie o registrácii informačného systému sa subsidiárne vzťahuje Správny poriadok
K § 37 až 39
Ustanovenia § 37 až 39 upravujú osobitnú registráciu informačných systémov. Oproti súčasne platnej právnej úprave sa upravujú podmienky osobitnej registrácie a špecifiká osobitnej registrácie, pričom postup pri rozhodovaní o osobitnej registrácii bude podliehať Správnemu poriadku.
§ 37
Ustanovenie § 37 upravuje podmienky osobitnej registrácie, za ktorých je prevádzkovateľ povinný podať žiadosť na úrad, ktorou prihlási informačný systém na osobitnú registráciu. Oproti súčasne platnej právnej úprave tieto podmienky prešli zmenami, a to pokiaľ ide o písmeno a), ktoré odkazuje na ustanovenie, ktoré bolo návrhom zákona pozmenené, písmeno b) tohto ustanovenia, za ktorých je prevádzkovateľ oprávnený spracúvať biometrické údaje a písmeno c), ktoré reflektuje na zmenu v úprave cezhraničného prenosu osobných údajov.
§ 38
Ustanovenie § 38 upravuje náležitosti podania žiadosti pri prihlasovaní informačného systému na osobitnú registráciu. Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu a potvrdenia o osobitnej registrácii zverejní úrad na svojom webovom sídle.
§ 39
Ustanovenie § 39 upravuje špecifiká v postupe pri osobitnej registrácii informačného systému, pričom subsidiárne sa aplikujú ustanovenia Správneho poriadku.
K § 40
Cieľom tohto ustanovenia je upraviť postup pri oznamovaní zmien, ktoré nastanú v priebehu spracúvania osobných údajov v informačnom systéme a postup prevádzkovateľa pri odhlásení informačného systému z registrácie alebo osobitnej registrácie.
K § 41
Registrácia informačných systémov odborne priamo súvisí s výkonom dozoru nad ochranou osobných údajov. Doterajšia prax ukázala, že je potrebné, aby proces registrácie efektívne plnil plnohodnotnú funkciu pre dozor nad ochranou osobných údajov, len ako jeho integrálna súčasť. V záujme zvýšenia úrovne ochrany osobných údajov v Slovenskej republike a potreby dôsledného dodržiavania a rešpektovania práv dotknutých osôb na ochranu ich súkromia a osobných údajov sa zavádza spoplatnenie registrácie, osobitnej registrácie a ich zmien. Ochrana osobných údajov si vyžaduje určitý stupeň vážnosti, a to s poukazom na jej začlenenie medzi základné práva a slobody fyzických osôb. Neoprávnené zásahy do týchto práv môžu dotknutej osobe privodiť ujmu. Je preto potrebné sa dôslednejšie zaoberať každým procesom spracúvania osobných údajov a dbať, aby osobné údaje boli v informačnom systéme spracúvané v súlade s týmto zákonom. Zavedením poplatkov prevádzkovatelia budú nútení dôslednejšie sa zaoberať spracúvaním osobných údajov vo svojich informačných systémoch.
Zavedenie poplatkov zároveň zohľadňuje vecnú a časovú náročnosť vykonávaných úkonov a konaní, ktorá, vzhľadom na zložitosť problematiky, vzrástla. Návrhom zákona sa súčasne zvyšuje zodpovednosť úradu pri riešení žiadostí o registráciu, osobitnú registráciu a ich zmenu v intenciách zákona.
K § 42
V záujme zvýšenia transparentnosti spracúvania osobných údajov a kontroly spracúvania osobných údajov zo strany verejnosti sa navrhuje výstupy z registrácie a osobitnej registrácie sprístupniť komukoľvek, kto o to požiada. Zároveň sa navrhuje, aby úrad prostredníctvom svojho webového sídla zverejňoval stav registrácie a osobitnej registrácie informačných systémov.
K § 43
Evidenciu je povinný viesť každý prevádzkovateľ o každom informačnom systéme v zákonom stanovenom rozsahu, ktorý nepodlieha povinnosti registrácie. Evidenciu vedie prevádzkovateľ u seba; úradu sa nezasiela.
V prípade akýchkoľvek zmien je prevádzkovateľ povinný aktualizovať evidenčné listy, a to až do dňa ukončenia spracúvania osobných údajov v informačnom systéme.
K § 44
V záujme zvýšenia transparentnosti spracúvania osobných údajov a kontroly spracúvania osobných údajov zo strany verejnosti sa navrhuje, aby prevádzkovateľ sprístupnil výstupy z evidencie komukoľvek, kto o to požiada.
K § 45
Navrhované ustanovenie § 45 upravuje postavenie úradu. V súlade so smernicou 95/46/ES ako aj ďalšími medzinárodnými dokumentmi, úrad ako dozorný orgán v oblasti ochrany osobných údajov má disponovať potrebnou nezávislosťou pri plnení mu zverených úloh. Nezávislosť dozorného orgánu tak, ako je stanovená v článku 28 uvedenej smernice, je rozpracovaná v schengenskom katalógu odporúčaní a najlepších postupov pre oblasť ochrany osobných údajov a zahŕňa:
- inštitucionálnu nezávislosť, t.j. nezávislosť dozorného orgánu od iných štátnych orgánov,
- funkčnú nezávislosť, t.j. dozorný orgán nepodlieha pokynom pokiaľ ide o obsah a rozsah jeho pôsobnosti,
- hmotnú nezávislosť, t.j. dozorný orgán má vlastný rozpočet, s ktorým môže nezávisle hospodáriť.
Podľa navrhovanej úpravy sa vymedzuje postavenie úradu ako orgánu štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Úrad je rozpočtovou organizáciou a návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa. Schválený rozpočet úradu bude môcť zmeniť v priebehu kalendárneho roka iba Národná rada Slovenskej republiky.
Pokiaľ ide o nezávislosť úradu, na prvom mieste je nevyhnutné stanoviť v zákone, že úrad je povinný vykonávať svoje činnosti nestranne a predovšetkým nezávisle. Pod nezávislosťou je potrebné rozumieť nielen nezávislosť na podnikateľskom sektore, ale rovnako nezávislosť od iných štátnych orgánov či politických strán.
Za účelom prebratia smernice 95/46/ES do vnútroštátneho poriadku Slovenskej republiky sa navrhuje upraviť postavenie úradu spôsobom upraveným v § 45.
K § 46
Cieľom odseku 1 až 3 tohto ustanovenia je špecifikácia úloh, ktoré úrad pri výkone dozoru plní. Uvedené požiadavky vyplývajú priamo zo smernice 95/46/ES.
Podľa odseku 4 predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov prevádzkovateľov alebo sprostredkovateľov a dotknutých osôb alebo iných fyzických osôb alebo právnických osôb, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov. V takýchto prípadoch úrad odporučí prevádzkovateľovi, sprostredkovateľovi alebo fyzickej osobe, ktorá je účastníkom sporu, aby sa obrátila s prejednaním veci na súd alebo príslušný orgán.
Ak osobné údaje spracúvajú spravodajské služby a Národný bezpečnostný úrad, dozor nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa zákona č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky.
K § 47 až 51
Ustanovenia § 47 až 50 upravujú organizáciu úradu, pričom podrobnosti upraví Organizačný poriadok úradu.
§ 47
V tomto ustanovení zákon bližšie špecifikuje kritériá kladené na vymenúvanie a odvolávanie predsedu úradu. Predsedu úradu volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky. V odseku 2 sa zároveň ustanovuje, aby končiace funkčné obdobie predsedu úradu prechádzalo plynule do funkčného obdobia nového predsedu.
Odsek 3 ustanovuje obligatórne predpoklady pre výkon funkcie predsedu úradu. Predseda úradu je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel počas výkonu svojej funkcie a to počas funkčného obdobia i po jeho skončení. Zachovávanie mlčanlivosti nemožno chápať len ako povinnosť, ale zároveň aj ako právo nevypovedať o skutočnostiach týkajúcich sa obsahu osobných údajov, dovtedy pokiaľ ho mlčanlivosti nezbaví Národná rada Slovenskej republiky. Toto právo len posilňuje nezávislosť výkonu jeho funkcie a dáva väčšie záruky ochrane osobných údajov.
Predseda úradu zodpovedá za svoju činnosť Národnej rade Slovenskej republiky. V tejto súvislosti je povinný najmenej raz za dva roky podať správu Národnej rade Slovenskej republiky o stave ochrany osobných údajov v Slovenskej republike.
Navrhované ustanovenie zároveň ustanovuje dôvody zániku funkcie a taxatívne vymedzené dôvody odvolania predsedu úradu z funkcie. Rozsah a obsah dôvodov, za ktorých možno predsedu úradu z funkcie odvolať je v súlade s požiadavkami medzinárodných dokumentov EÚ.
§ 48
Ustanovenie sa týka kreovania funkcie podpredsedu úradu, ktorého na návrh predsedu úradu vymenúva a odvoláva vláda Slovenskej republiky. Predsedu úradu zastupuje podpredseda úradu, na ktorého sa primerané vzťahujú v zákone špecifikované ustanovenia týkajúce sa predsedu úradu.
§ 49
Ustanovenie § 49 upravuje podmienky kreovania vrchného inšpektora úradu, ktorý je na čele inšpektorov. Predmetné ustanovenie osobitne upravuje podmienky na vymenovanie vrchného inšpektora úradu do funkcie a zároveň aj ustanovuje dôvody zániku funkcie a taxatívne vymedzené dôvody odvolania z funkcie.
§ 50
Ustanovenie § 50 upravuje podmienky vymenovania a odvolania inšpektorov úradu, ktorí vykonávajú kontrolu spracúvania osobných údajov podľa tohto zákona. Inšpektora úradu vymenúva a odvoláva predseda úradu. Navrhované ustanovenie osobitne upravuje podmienky odvolania inšpektora z funkcie.
§ 51
Ustanovenie § 51 upravuje povinnosť a podmienky zachovávania mlčanlivosti podpredsedu úradu, vrchného inšpektora úradu, inšpektorov úradu a ostatných zamestnancov úradu.
K § 52 až 60
Druhá hlava tretej časti zákona obsahuje nový návrh úpravy kontrolnej činnosti úradu. Navrhovaná úprava poskytuje prehľadnú štruktúru a postup pri kontrole, počnúc začiatkom kontroly, právami a povinnosťami kontrolného orgánu a kontrolovanej osoby, možnosť prizvať ku kontrole inú fyzickú osobu a ukončenie kontroly.
Navrhovaná úprava sa zároveň predkladá súčasne s návrhom nového postupu v konaní o ochrane osobných údajov podľa tretej hlavy tretej časti zákona (§ 62 až 66).
§ 52
Kontrolu spracúvania osobných údajov podľa tohto zákona vykonáva vrchný inšpektor, inšpektori úradu a zamestnanci úradu, ktorí sú členmi kontrolného orgánu (ďalej len „kontrolný orgán"), a to na základe písomného poverenia. Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle. Kontrolný orgán vykonáva kontrolu na základe ročného plánu kontrol alebo ako mimoriadnu kontrolu na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených zákonom alebo v rámci konania začatého podľa tohto zákona v prípade, že dokazovaním vznikne potreba vykonania kontroly spracúvania osobných údajov kontrolným orgánom. Kontroly môžu mať formu prevencie alebo zisťovania a preverovania skutkového stavu pri spracúvaní osobných údajov v prípade podozrenia z porušovania zákona.
Kontrola je začatá dňom doručenia oznámenia o kontrole kontrolovanej osobe, ktorou je prevádzkovateľ alebo sprostredkovateľ. V prípade, že by oznámenie pred začatím kontroly mohlo viesť k zmareniu účelu kontroly alebo k podstatnému sťaženiu výkonu kontroly, oznámenie o kontrole môže kontrolný orgán podľa § 55 písm. a) vykonať pri začatí kontroly.
§ 53
Kontrolovaná osoba má právo na primeraný a ľudský prístup kontrolného orgánu pri výkone kontroly. V záujme vyváženia práv a povinností medzi kontrolným orgánom a kontrolovanou osobou je potrebné, aby kontrolný orgán postupoval tak, aby pri výkone kontroly rešpektoval práva a právom chránené záujmy kontrolovanej osoby.
§ 54
Navrhované ustanovenie upravuje zaujatosť v kontrole a postup v prípade, ak kontrolný orgán alebo kontrolovaná osoba sa dozvedeli o skutočnostiach zakladajúcich pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe. Na rozhodovanie o zaujatosti, ktoré je zverené do právomoci predsedu úradu, sa nevzťahuje Správny poriadok.
§ 55
Kontrolný orgán je pri výkone kontroly povinný postupovať v súlade so zákonom. Za týmto účelom, aby nedochádzalo k svojvoľnému konaniu kontrolného orgánu, zákon upravuje jeho povinnosti, na ktoré nadväzujú jeho oprávnenia v nasledujúcom § 56.
§ 56
Kontrolný orgán by mal pri výkone kontroly mať možnosť, okrem plnenia si povinností, požadovať od kontrolovanej osoby také konanie, ktoré zabezpečí riadny výkon kontroly.
§ 57
Cieľom tohto ustanovenia je vymedziť povinnosti kontrolovanej osoby. Tá je najmä povinná poskytovať kontrolnému orgánu pri výkone kontroly potrebnú súčinnosť v súlade s jeho oprávneniami a zdržať sa akéhokoľvek konania, ktoré by mohlo výkon kontroly mariť.
§ 58
Navrhované ustanovenie, v záujme vyváženého rozloženia vzájomných práv a povinnosti, upravuje práva kontrolovanej osoby.
§ 59
Informačné systémy, ktoré je úrad oprávnený kontrolovať, sú veľmi rôznorodé. Líšia sa nielen formou, ako prichádza k samotnému spracúvaniu, ale aj použitými prostriedkami spracúvania, ktoré môžu mať osobitý charakter. Zákon preto pamätá aj na prípady, keď bude potrebné ku kontrole informačného systému prizvať, napríklad odborníka z danej oblasti, ktorý poskytne úradu odborné stanovisko. Účasť takejto osoby na kontrole informačného systému sa považuje za iný úkon vo všeobecnom záujme, za ktorý jej patrí náhrada mzdy, prípadne platu vo výške priemerného zárobku podľa osobitného predpisu. Podmienky účasti tejto osoby na kontrole informačného systému dohodne úrad s prizvanou osobou podľa ustanovení osobitných predpisov.
Kontrolovaná osoba je oprávnená vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. O námietkach rozhodne predseda úradu, pričom na rozhodovanie sa nevzťahuje Správny poriadok.
§ 60
Ustanovenie § 60 upravuje spôsob ukončenia kontroly, ktorej výsledkom je protokol, ak sa kontrolou zistí porušenie zákona alebo záznam o kontrole, ak sa kontrolou nezistí porušenie zákona. Odsek 2 vymenúva náležitosti protokolu o vykonaní kontroly. Ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, nemá to vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu pre kontrolovanú osobu.
Kontrolovaná osoba je oprávnená oboznámiť sa s kontrolnými zisteniami uvádzanými v protokole a vyjadriť sa k nim v zákonom stanovenej lehote; písomné vyjadrenie kontrolovanej osoby je námietkou, ktorú kontrolný orgán je povinný posúdiť z hľadiska jej opodstatnenosti a vypracovať k nej dodatok k protokolu, ktorý tvorí neoddeliteľnú súčasť protokolu. O spôsobe vysporiadania sa s námietkou je kontrolný orgán povinný informovať kontrolovanú osobu.
Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu alebo dňom podpísania záznamu o kontrole. Ak kontrolovaná osoba odmietne podpísať zápisnicu o prerokovaní protokolu, kontrola sa považuje za ukončenú dňom odmietnutia jej podpísania. Moment ukončenia kontroly je dôležitým faktorom, a to najmä v kontexte konania o ochrane osobných údajov, ktoré je upravené v tretej hlave tretej časti zákona.
§ 61
Protokol o kontrole a informácie, ktoré obsahuje dokumentácia súvisiaca s výkonom kontroly, sa navrhujú vyňať z okruhu sprístupňovaných informácií podľa zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov. V Protokole sa uvádzajú všetky kontrolné zistenia, ktoré však obsahujú aj dôverné a osobitne chránené údaje, a to nielen z pohľadu ochrany súkromia jednotlivcov ale aj bezpečnosti ich spracúvania. A práve bezpečnosť spracúvaných osobných údajov v informačnom systéme je jednou z kľúčových podmienok garantovania ústavného práva pred neoprávneným zhromažďovaním, zverejňovaním alebo iným neoprávneným nakladaním údajov o fyzickej osobe - jednotlivcovi. Prevádzkovateľ je preto pri spracúvaní osobných údajov v informačnom systéme povinný vytvoriť také podmienky jeho fungovania, ktoré zaručia ochranu osobných údajov pred ich náhodným ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Za týmto účelom je prevádzkovateľ povinný prijať primerané technické, organizačné a personálne opatrenia, často krát vo forme bezpečnostného projektu, ktorý obsahuje dôverné informácie, sprístupnením ktorých by došlo k narušeniu bezpečnosti informačného systému (resp. systémov) a teda aj ochrany osobných údajov garantovanej samotnou Ústavou Slovenskej republiky. Ani súčasne platný zákon o ochrane osobných údajov z uvedeného dôvodu neoprávňuje prevádzkovateľa sprístupňovať, poskytovať alebo zverejňovať prijaté bezpečnostné opatrenia na zabezpečenie primeranej ochrany spracúvaných osobných údajov v informačnom systéme.
Úrad je oprávnený vykonávať kontrolu informačných systémov nielen u právnických osôb a fyzických osôb, ktoré boli zriadené štátom, ale aj u tých, ktoré prevádzkujú informačné systémy v rámci privátneho sektoru. Oprávnenia a povinnosti kontrolných orgánov a kontrolovaných osôb bolo potrebné prispôsobiť konkrétnym podmienkam a požiadavkám, ktoré sa na kontrolnú činnosť kladú v oblasti ochrany osobných údajov. Takéto riešenie prispieva k prehľadnosti a transparentnosti práv a povinností ako kontrolného orgánu, tak aj kontrolovaných osôb pri výkone kontroly.
K § 62 až 66
Úprava ustanovení § 62 až 66 je obsiahnutá v tretej hlave tretej časti zákona. Táto úprava poskytuje odchýlky potrebné v konaní o ochrane osobných údajov podľa tohto zákona z dôvodu špecifického charakteru hmotnoprávnej úpravy v oblasti ochrany osobných údajov ako neoddeliteľnej súčasti základných práv a slobôd.
Pokiaľ nie je v návrhu zákona ustanovené inak, na konanie sa subsidiárne aplikujú pravidlá vyplývajúce zo Správneho poriadku.
§ 62
Ustanovenie § 62 vo všeobecnosti upravuje účel konania o ochrane osobných údajov, ktoré je z hľadiska citlivosti tejto problematiky neverejné. Účelom konania je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia nedostatkov, uložiť im opatrenia na nápravu, prípadne sankciu za porušenie tohto zákona.
§ 63
Konanie možno začať na návrh alebo bez návrhu. Návrh na začatie konanie môže podať každá fyzická alebo právnická osoba, pričom zákon diferencuje medzi osobami podávajúcimi takýto návrh. Navrhovateľom a teda aj účastníkom konania podľa tohto zákona je len fyzická osoba, ktorá je zároveň dotknutou osobou alebo osobou, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom. Iná fyzická osoba alebo právnická osoba, ktorá podá návrh na začatie konania, nie je účastníkom konania. Takýto návrh inej fyzickej osoby alebo právnickej osoby úrad posúdi ako podnet.
Odsek 2 upravuje náležitosti, ktoré je navrhovateľ povinný uviesť v návrhu na začatie konania, ktoré zohľadňujú hmotnoprávnu úpravu v oblasti ochrany osobných údajov. V odôvodnených prípadoch sa navrhuje, aby úrad mohol utajiť totožnosť navrhovateľa. V záujme ochrany práv a právom chránených záujmov dotknutej osoby sa aj podľa súčasne platného zákona uplatňoval inštitút utajenia totožnosti. Jedná sa napríklad o situácie, kedy napríklad zamestnanec „bonzuje" na svojho zamestnávateľa. Podanie návrhu na začatie konania sa nemôže stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by dotknutej osoby spôsobilo ujmu.
Odsek 3 a 6 vymenúvajú situácie, kedy úrad môže návrh na začatie konania alebo podnet, okrem dôvodov uvedených v Správnom poriadku, odložiť.
Úrad začne konanie z vlastnej iniciatívy na základe podnetu alebo výsledkov kontroly, ktorou boli zistené nedostatky.
§ 64
Lehota na vybavenie veci je rovnaká ako v doteraz platnej právnej úprave. Úrad rozhodne v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne informuje účastníkov konania.
Ak je počas konania potrebné vykonať kontrolu, lehota na vybavenie veci podľa odseku 1 neplynie odo dňa začatia kontroly až do dňa skončenia kontroly.
§ 65
Ustanovenie § 65 upravuje rozhodnutie vo veci, ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom zo strany prevádzkovateľa alebo sprostredkovateľa. V takom prípade úrad rozhodnutím uloží, aby prevádzkovateľ alebo sprostredkovateľ v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku. Prevádzkovateľ alebo sprostredkovateľ je následne povinný informovať úrad o splnení uložených opatrení v úradom určenej lehote.
§ 66
Proti rozhodnutiu úradu je účastník konania oprávnený podať rozklad v zákonom stanovenej lehote. Navrhované ustanovenie zároveň určuje aj lehotu pre podanie rozkladu voči predbežnému opatreniu. O podanom rozklade bude rozhodovať predseda úradu.
K § 67 až 71
Štvrtá hlava tretej časti návrhu zákona upravuje sankcie za porušenie zákona a zverejnenie porušenia zákona.
§ 67
Sankciami za porušenie zákona sú pokuta a poriadková pokuta. Podľa bodu 55 Memoranda k smernici 95/46/ES: „sankcie musia byť uvalené na každého, kto nedodržuje vnútroštátne predpisy prijaté na základe tejto smernice, bez ohľadu na to, či sa osoba riadi súkromným alebo verejným právom".
Slovenská republika sa vo výške sankcií a v ich tvrdosti za porušenie tohto zákona radí v rámci 27 členských štátov na cca 20. – 21. miesto.
§ 68
Za porušenie povinností ustanovených týmto zákon možno diferencovane, podľa závažnosti, rozsahu a času trvania, následkoch protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života a počtu dotknutých osôb, prevádzkovateľovi alebo sprostredkovateľovi uložiť pokutu. Týmto sa v súlade s medzinárodnou praxou vytvárajú dostatočné záruky a tlak na zákonné správanie sa zainteresovaných osôb.
Podľa navrhovaného ustanovenia možno uložiť pokutu aj inej osobe ako je prevádzkovateľ alebo sprostredkovateľ, a to v zákonom ustanovených prípadoch.
§ 69
Navrhované ustanovenie § 69 upravuje podmienky, za ktorých je úrad oprávnený uložiť poriadkovú pokutu. Ak prevádzkovateľ alebo sprostredkovateľ nezabezpečí kontrolnému orgánu primerané podmienky na výkon kontroly, možno mu uložiť poriadkovú pokutu do výšky 1 500 eur. Ak prevádzkovateľ alebo sprostredkovateľ marí výkon kontroly, možno mu uložiť pokutu až do výšky 15 000 eur. Len na porovnanie uvádzame, že v Českej republike je táto pokuta až jeden milión českých korún. Ide o poriadkové opatrenie donucovacieho charakteru s cieľom zabrániť zbytočným prieťahom a rušivým vplyvom zo strany prevádzkovateľa, sprostredkovateľa a oprávnených osôb, ktoré by mohli ohroziť výkon alebo výsledok kontroly. Za marenie výkonu kontroly možno považovať najmä neumožnenie vstupu do priestorov a na pozemok prevádzkovateľa alebo sprostredkovateľa, nezabezpečenie povereného zamestnanca, ak pri výkone kontroly nie je prítomný samotný štatutárny orgán kontrolovanej osoby, nedôvodné prekladanie termínu kontroly, ak bola vopred oznámená alebo nedostavenie sa na určené miesto kontroly, ak bola vopred dohodnutá, nepredloženie požadovaných dokladov, písomností alebo elektronicky spracúvaných údajov v priebehu kontroly a pod. Navrhovaná úprava tiež rieši sankciu formou poriadkovej pokuty za nesplnenie povinnosti zverejnenia porušenia zákona uloženého prevádzkovateľovi alebo sprostredkovateľovi.
§ 70
Ustanovenie § 70 je spoločným ustanovením k úprave týkajúcej sa ukladania pokút a poriadkových pokút. Navrhované ustanovenie upravuje postup a lehoty pri ich ukladaní. Ponecháva sa právo predsedu úradu rozhodnúť o rozklade v lehote 60 dní tak, ako je tomu i podľa súčasne platnej právnej úpravy. Zároveň sa navrhuje, aby v odôvodených prípadoch úrad mohol rozhodnutím povoliť odklad platenia pokuty alebo poriadkovej pokuty, alebo povoliť platenie pokuty alebo poriadkovej pokuty v splátkach. Táto požiadavka sa javí byť na základe aplikačnej praxe dôvodná.
§ 71
Ustanovenia § 71 upravuje oprávnenie a postup úradu pri zverejnení nezákonného konania prevádzkovateľa alebo sprostredkovateľa, ak svojim konaním spôsobil ujmu dotknutým osobám na ich právach pri spracúvaní ich osobných údajov alebo inak porušil povinnosti uložené týmto zákonom, medzi ktoré možno rátať aj nesplnenie úradom uložených opatrení na nápravu. Takýto inštitút existuje v Slovenskej republike už od 1. marca 1998, kedy nadobudol účinnosť zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch. Táto možnosť zverejnenia je zakotvená v obdobných zákonoch členských štátov Európskej únie a je veľmi účinnou formou prevencie.
K § 72
Ustanovenie § 72 ustanovuje, kedy sa na konanie podľa tohto zákona vzťahuje Správny poriadok.
K § 73
Úrad je dozorným orgánom v oblasti ochrany osobných údajov s celoslovenskou pôsobnosťou. Pri výkone dozoru plní zákonom ustanovené úlohy. Na to, aby úrad mohol plnohodnotne vykonávať svoju činnosť sa ustanovuje, že každý je povinný umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona a rozhodnutí vydaných na jeho základe.
K § 74
Ustanovenie § 74 upravuje súčinnosť, ktorej účelom je zabezpečiť úradu nevyhnutné podmienky pre výkon jeho úloh.
V odseku 1 sa ukladá každému, bez ohľadu na to, či ide o orgán štátnej správy, orgán územnej samosprávy, iný orgánom verejnej moci, prevádzkovateľa, sprostredkovateľa, inú právnickú osobu alebo fyzickú osobu, poskytovať úradu potrebnú pomoc, a to nielen v prípadoch, keď sú sami účastníkmi konania.
Odsek 2 zaväzuje prevádzkovateľov a sprostredkovateľov strpieť všetky úkony úradu smerujúce k zisteniu všetkých okolností potrebných na objektívne posúdenie veci.
Navrhované ustanovenie je adekvátne poslaniu úradu a je formulované tak, aby prispievalo k účinnému objasňovaniu a odhaľovaniu nezákonného spracúvania osobných údajov.
K § 75 až 77
Navrhované § 75 a 76 sú prechodnými ustanoveniami, v rámci ktorých je potrebné sa vysporiadať s úradom a jeho funkcionármi (§ 75) a s ustanoveniami súvisiacimi s úpravami a zmenami vykonanými oproti súčasne platnej právnej úpravy (§ 76).
Ochrana osobných údajov je neoddeliteľnou súčasťou práva na rešpektovanie súkromia patriaceho medzi základné práva a slobody fyzických osôb garantované samotnou Ústavou Slovenskej republiky, podľa ktorej „Každý má právo na ochranu pred neoprávneným zasahovaním do súkromného a rodinného života." a „Každý má právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe.". Uvedené ústavné práva boli v podmienkach Slovenskej republiky zakotvené do zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov, ktorého účelom je chrániť práva každého, o kom sa osobné údaje spracúvajú. Novým návrhom zákona dochádza k zmene a úprave a precizovaniu viacerých ustanovení, vrátane ustanovení upravujúcich vzťah medzi prevádzkovateľom a sprostredkovateľom, bezpečnostných opatrení, poučenia oprávnených osôb, inštitútu zodpovednej osoby, registrácie, osobitnej registrácie a evidencie informačných systémov. Vzhľadom na uvedené bolo potrebné prehodnotiť viaceré ustanovenia tak, aby korešpondovali s ostatnými zavádzanými úpravami. Nová právna úprava vyžaduje, aby prevádzkovatelia zosúladili spracúvanie osobných údajov vo svojich informačných systémoch s navrhovanou úpravou v lehotách, ktoré sú uvedené v prechodných ustanoveniach.
Zároveň sa navrhuje (§ 77), aby konania začaté do účinnosti tohto zákona, sa dokončili podľa doterajších predpisov.
K § 78
Týmto zákonom sa preberá smernica 95/46/ES.
K § 79
Ustanovením § 79 sa zrušuje doteraz platný zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
Čl. II
Navrhovaná právna úprava priamo súvisí s ustanovením § 41 zákona. Registrácia informačných systémov odborne priamo súvisí s výkonom dozoru nad ochranou osobných údajov. Doterajšia prax ukázala, že je potrebné, aby proces registrácie efektívne plnil plnohodnotnú funkciu pre dozor nad ochranou osobných údajov, len ako jeho integrálna súčasť. V záujme zvýšenia úrovne ochrany osobných údajov v Slovenskej republike a potreby dôsledného dodržiavania a rešpektovania práv dotknutých osôb na ochranu ich súkromia a osobných údajov sa zavádza spoplatnenie registrácie, osobitnej registrácie a ich zmien. Ochrana osobných údajov si vyžaduje určitý stupeň vážnosti, a to s poukazom na jej začlenenie medzi základné práva a slobody fyzických osôb. Neoprávnené zásahy do týchto práv môžu dotknutej osobe privodiť ujmu. Je preto potrebné sa dôslednejšie zaoberať každým procesom spracúvania osobných údajov a dbať, aby osobné údaje boli v informačnom systéme spracúvané v súlade s týmto zákonom. Zavedením poplatkov prevádzkovatelia budú nútení dôslednejšie sa zaoberať spracúvaním osobných údajov vo svojich informačných systémoch.
Navrhovanou úpravou sa zároveň zohľadňuje vecná a časová náročnosť vykonávaných úkonov a konaní, ktorá, vzhľadom na zložitosť problematiky, vzrástla. Návrhom zákona sa súčasne zvyšuje zodpovednosť úradu pri riešení žiadostí o registráciu, osobitnú registráciu a ich zmenu v intenciách zákona.
Zavedenie poplatkov za registráciu, osobitnú registráciu a ich zmien predpokladá úpravu zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov, kde sa navrhuje doplniť nová časť s názvom „Ochrana osobných údajov" a novou položkou s presným vymedzením spoplatnených úkonov.
Čl. III
Návrhom zákona sa novelizuje zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov v dôsledku potreby osobitnej úpravy monitorovania objektov a chránených priestorov podľa uvedeného zákona.
Čl. IV
Navrhovaná právna úprava priamo súvisí s ustanovením § 50 návrhu zákona, ktoré zavádza zmenu v menovaní inšpektorov. Podľa doteraz platnej právnej úpravy, inšpektorov vymenúvala a odvolávala vláda Slovenskej republiky na návrh predsedu úradu, pričom podľa nanovo navrhovanej úpravy inšpektorov bude vymenúvať a odvolávať predseda úradu. Navrhovaná zmena bude upravovať postavenie inšpektora ako štátneho zamestnanca úradu tak, aby to bolo v súlade so zákonom č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Čl. V
Článok VI upravuje navrhovaný dátum účinnosti zákona.
V Bratislave, 9. januára 2013
Robert Fico
predseda vlády Slovenskej republiky
Tomáš Borec
minister spravodlivosti Slovenskej republiky
Spoločná správa
výborov o prerokovaní vládneho návrhu zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (tlač 358) v druhom čítaní
Výbor Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny ako gestorský výbor (ďalej len „gestorský výbor") k vládnemu návrhu zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (tlač 358) podáva Národnej rade Slovenskej republiky podľa § 79 ods. 1 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení neskorších predpisov (ďalej len „rokovací poriadok") spoločnú správu výborov Národnej rady Slovenskej republiky.
I.
Národná rada Slovenskej republiky uznesením z 5. februára 2013 č. 432 pridelila vládny návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (tlač 358) na prerokovanie
Ústavnoprávnemu výboru Národnej rady Slovenskej republiky,
Výboru Národnej rady Slovenskej republiky pre verejnú správu a regionálny rozvoj,
Výboru Národnej rady Slovenskej republiky pre obranu a bezpečnosť a
Výboru Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny.
Za gestorský výbor určila Výbor Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny. Výbory prerokovali návrh zákona v lehote určenej uznesením Národnej rady Slovenskej republiky.
II.
Poslanci Národnej rady Slovenskej republiky, ktorí nie sú členmi výborov, ktorým bol návrh zákona pridelený, neoznámili v určenej lehote gestorskému výboru žiadne stanovisko k predmetnému návrhu zákona (§ 75 ods. 2 rokovacieho poriadku).
III.
Vládny návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (tlač 358) odporúčali Národnej rade Slovenskej republiky schváliť s pripomienkami:
- Ústavnoprávny výbor Národnej rady Slovenskej republiky uznesením z 26. februára 2013 č. 170,
- Výbor Národnej rady Slovenskej republiky pre verejnú správu a regionálny rozvoj uznesením z 6. marca 2013 č. 71,
- Výbor Národnej rady Slovenskej republiky pre obranu a bezpečnosť z 6. marca 2013 č. 64,
- Výbor Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny uznesením zo 7. marca 2013 č. 62.
IV.
Z uznesení výborov Národnej rady Slovenskej republiky uvedených pod bodom III. tejto správy vyplývajú tieto pozmeňujúce a doplňujúce návrhy:
1. K čl. I § 2 ods. 2
V § 2 ods. 2 v úvodnej vete sa slová „sídlo alebo trvalý pobyt" nahrádzajú slovami „sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt".
Účelom navrhovanej zmeny je doplnenie prípadov, kedy sa navrhovaný zákon bude vzťahovať na spracúvanie osobných údajov. V zmysle Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov je navrhovaný zákon potrebné aplikovať aj na prevádzkovateľov, ktorí nemajú nielen sídlo alebo trvalý pobyt na území Slovenskej republiky (písm. a)) a Európskej únie (písm. b)), ale ani organizačnú zložku či prevádzkareň.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
2. K čl. I § 4 ods. 2 písm. c)
V § 4 ods. 2 písm. c) sa slová „so sídlom alebo trvalým pobytom" nahrádzajú slovami „so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom".
Účelom navrhovanej zmeny je precizovanie definície zástupcu prevádzkovateľa, ktorý v zmysle Smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov sa má vzťahovať na prevádzkovateľa, ktorý má nielen sídlo a trvalý pobyt v tretej krajine ale aj organizačnú zložku či prevádzkareň.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
3. K čl. I § 4 ods. 3 písm. a)
V § 4 ods. 3 písm. a) sa za slovo „uchovávanie," vkladá slovo „blokovanie,".
Legislatívno-technická úprava. Do všeobecnej definície spracovania osobných údajov sa dopĺňa chýbajúca operácia, ktorá je podrobne definovaná v § 4 ods. 3 písm. a) bod 6.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
4. K čl. I § 6 ods. 2 písm. e)
V čl. I § 6 ods. 2 písm. e) znie:
„e) zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané osobitne na rozdielne účely,".
Navrhuje sa vypustenie prvej časti vety pôvodného znenia, vzhľadom k tomu, že účel právnej úpravy je dostatočne vymedzený v písm. c) toho istého odseku a v druhej časti tohto ustanovenia za bodkočiarkou a tiež vzhľadom na skutočnosť, že ide len o procesný spôsob (techniku) získavania osobných údajov.
Ústavnoprávny výbor NR SR
Gestorský výbor odporúča schváliť
5. K čl. I § 8 ods. 4 písm. i)
V § 8 ods. 4 písm. i) sa slová „inej osoby podľa odseku 5" nahrádzajú slovami „inej osoby, ak postupujú podľa odseku 5".
Účelom navrhovanej zmeny je upraviť rovnováhu medzi obligatórnymi náležitosťami zmluvy medzi prevádzkovateľom a sprostredkovateľom a fakultatívnou možnosťou spracúvania osobných údajov prostredníctvom tzv. subdodávateľa. Požiadavka na súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom subdodávateľa sa stáva obligatórnou náležitosťou zmluvy len v prípade (nie vždy), ak prevádzkovateľ s tým vyjadrí slobodnú vôľu.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
6. K čl. I § 8 ods. 10
V § 8 ods. 10 sa vypúšťajú slová „§ 8 ods. 3, 4, § 9 ods. 2,".
Účelom navrhovanej zmeny je dôslednejšie upraviť ukladanie povinností sprostredkovateľovi. Povinnosti uvedené v § 8 ods. 3 a 4 sa týkajú dvojstranného vzťahu medzi prevádzkovateľom a sprostredkovateľom a povinnosť uvedená v 9 ods. 2 sa už priamo svojím obsahom týka sprostredkovateľa.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
7. K čl. I § 9 ods. 2
V § 9 ods. 2 sa slová „s prevádzkovateľom v zmluve podľa § 8 ods. 4" nahrádzajú slovami „v zmluve uzatvorenej s prevádzkovateľom podľa § 8 ods. 1".
Legislatívno-technická úprava, ktorou sa zjednocuje formulácia odkazu na zmluvu medzi prevádzkovateľom a sprostredkovateľom (napr. § 8 ods. 11 a 12).
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
8. K čl. I § 23 ods. 2
V § 23 ods. 2 v prvej vete sa za slová „je povinný" vkladajú slová „najneskôr v lehote 60 dní".
Účelom navrhovanej zmeny je doplnenie lehoty na splnenie zákonom stanovenej povinnosti písomne poveriť zodpovednú osobu.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
9. K čl. I § 23 ods. 10 písm. e)
V § 23 ods. 10 písm. e) sa slová „dátum jeho vyhotovenia" nahrádzajú slovami „dátum vydania potvrdenia".
Legislatívno-technická úprava, ktorou sa zjednocuje formulácia s ustanovením § 24 ods. 5 písm. d).
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
10. K čl. I § 24 ods. 3 písm. b)
V § 24 ods. 3 písm. b) znie:
„b) identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ak zasielajú žiadosť o absolvovanie skúšky za žiadateľa,".
Ustanovujú sa ďalšie náležitosti žiadosti v súlade s priloženým návrhom vykonávacieho predpisu [§ 2 písm. b)], nakoľko nie je možné ustanovovať náležitosti žiadosti odkazom na splnomocňovacie ustanovenie zákona, podľa ktorého navyše nie je ani možné upraviť podrobnosti o žiadosti ale len o samotnej skúške.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
11. K čl. I § 25 ods. 2 písm. e)
V § 25 ods. 2 písm. e) sa slová „dátum jeho vyhotovenia" nahrádzajú slovami „dátum vydania potvrdenia ".
Legislatívno-technická úprava, ktorou sa zjednocuje formulácia s ustanovením § 24 ods. 5 písm. d).
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
12. K čl. I § 26 ods. 2 písm. c)
V § 26 ods. 2 písm. c) sa slová „spĺňať podmienky podľa § 23 ods. 5 a ods. 6" nahrádzajú slovami „spĺňať podmienky podľa § 23 ods. 5 až 7".
Poverenie zániku zodpovednej osoby sa dopĺňa aj o dôvod opakovaného uloženia pokuty za porušenie povinnosti zodpovednej osoby, ktoré je v súlade s ustanovením § 23 ods. 7, podľa ktorého zodpovednou osobou nemôže byť osoba, ktorej bola opakovane uložená pokuta podľa § 68 ods. 7 písm. f).
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
13. K čl. I § 26 ods. 4
V § 26 ods. 4 sa slová „nepostupuje podľa odseku 3" nahrádzajú slovami „písomne nepoverí novú zodpovednú osobu podľa odseku 3".
Špecifikuje sa konanie uvedené v odseku 3, v prípade ktorého sa postupuje podľa ďalších ustanovení odseku 4.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Gestorský výbor odporúča neschváliť
14. K čl. I § 26 ods. 3, 4 a 5
V § 26 ods. 3, 4 a 5 znejú:
„(3) Ak prevádzkovateľ odvolá poverenie zodpovednej osoby podľa odseku 1, je povinný postupovať podľa § 23 ods. 2 a § 25 ods. 2. Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm. a), c) až f), prevádzkovateľ je povinný postupovať podľa § 23 ods. 2 a § 25 ods. 2.
(4) Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm. b), prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad.
(5) Ak prevádzkovateľ nepostupuje podľa odseku 3, je povinný bez zbytočného odkladu oznámiť úradu odvolanie poverenia alebo zánik poverenia zodpovednej osoby."
Navrhovaná zmena nadväzuje na bod 5. Jej účelom je precizovať, že povinnosť písomného poverenia zodpovednej osoby nie je dotknutá pri odvolaní alebo zániku poverenia zodpovednej osoby, pokiaľ prevádzkovateľ naďalej spĺňa podmienky podľa tohto zákona.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
15. K čl. I § 27 ods. 3
V § 27 ods. 3 sa slová „spĺňať podmienky podľa § 23 ods. 5 alebo ods. 6" nahrádzajú slovami „spĺňať podmienky podľa § 23 ods. 5, 6 alebo 7".
Rozširuje sa povinnosť zodpovednej osoby nahlásiť prevádzkovateľovi aj neplnenie podmienky uvedenej v § 23 ods. 7, ktorá je predpokladom na výkon funkcie zodpovednej osoby.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
16. K čl. I § 28 ods. 1 písm. f)
V § 28 ods. 1 písm. f) sa slová „ak bol splnený účel ich spracovania" nahrádzajú slovami „ktorých účel spracúvania sa skončil".
Legislatívno-technická úprava, ktorou sa zjednocuje formulácia s ustanovením § 6 ods. 2 písm. h).
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
17. K čl. I § 28 ods. 2
V § 28 ods. 2 sa slová „možno obmedziť len podľa odseku 1 písm. e) a f)," nahrádzajú slovami „podľa odseku 1 písm. e) a f), možno obmedziť len".
Legislatívno-technická úprava vetnej skladby z dôvodu nezrozumiteľnosti pôvodného návrhu.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
18. K čl. I § 31 ods. 1
V čl. I § 31 ods. 1 sa v poznámke pod čiarou k odkazu 32 v zátvorke za slová „Mimoriadne vydanie Ú. v. EÚ kap. 16/zv 1" vkladajú slová „ ; Ú. v. ES L 215, 25.8.2000".
Ide o legislatívno-technickú úpravu súvisiacu so zaužívaným spôsobom citácie právne záväzných aktov Európskej únie.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
19. K čl. I § 31 ods. 2
V čl. I, § 31 ods. 2 sa v poznámke pod čiarou k odkazu 33 v zátvorke za slová „Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 26" vkladajú slová „ ;Ú. v. ES L 181, 4.7.2001".
Ide o legislatívno-technickú úpravu súvisiacu so zaužívaným spôsobom citácie právne záväzných aktov Európskej únie.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
20. K čl. I § 31 ods. 4
V § 31 ods. 4 sa slová „podľa odseku 3" nahrádzajú slovami „podľa odseku 2".
Legislatívno-technická úprava. Účelom navrhovanej zmeny je použitie správneho vnútorného odkazu.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
21. K čl. I § 31 ods. 5
V čl. I, § 31 ods. 5 sa v poznámke pod čiarou k odkazu 34 v zátvorke za slová „Mimoriadne vydanie Ú. v. EÚ, kap. 16/zv 1" vkladajú slová „ ; Ú. v. ES L 215, 25.8.2000".
Ide o legislatívno-technickú úpravu súvisiacu so zaužívaným spôsobom citácie právne záväzných aktov Európskej únie.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
22. K čl. I § 45 ods. 4
V § 45 ods. 4 sa slovo „zmeniť" nahrádza slovom „znížiť".
Navrhovaná zmena zohľadňuje hlavne zabezpečenie plnenia úloh vyplývajúcich zo Schengenského akčného plánu Slovenskej republiky, a to precizovaním navrhovanej právnej úpravy.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
23. K čl. I § 49 ods. 2
V § 49 ods. 2 sa nad slovo „občana" umiestňuje nový odkaz „40)" a slová „Slovenskej republiky" sa vypúšťajú.
Poznámka pod čiarou k odkazu 40 znie:
„40) § 3 ods. 1 zákona č. 400/2009 Z. z. v znení neskorších predpisov.".
Ostávajúce odkazy a poznámky pod čiarou sa primerane prečíslujú.
24. K čl. I § 50 ods. 2
V § 50 ods. 2 sa nad slovo „občana" umiestňuje nový odkaz „40)" a slová „Slovenskej republiky" sa vypúšťajú.
Poznámka pod čiarou k odkazu 40 znie:
„40) § 3 ods. 1 zákona č. 400/2009 Z. z. v znení neskorších predpisov.".
Ostávajúce odkazy a poznámky pod čiarou sa primerane prečíslujú.
Účelom navrhovanej zmeny v bode 23 a 24 je rozšírenie okruhu osôb, ktoré môžu byť vymenované do funkcie vrchného inšpektora úradu alebo inšpektora úradu. Požiadavka výlučného občianstva Slovenskej republiky by mohla byť porušením čl. 18 a 45 Zmluvy o fungovaní EÚ. Zároveň sa dopĺňa odkaz na zákon o štátnej službe, ktorý definuje pojem „občan", ktorý má právo uchádzať sa o prijatie do štátnej služby za podmienok ustanovených zákonom o štátnej službe a navrhovaným zákonom o ochrane osobných údajov.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
25. K čl. I § 50 ods. 2
V § 50 ods. 2 sa vypúšťajú slová „spĺňa podmienky prijatia do štátnej služby podľa osobitného predpisu,38)".
Keďže inšpektor môže byť vymenovaný podľa § 50 ods. 1 len zo zamestnancov úradu, ktorí vykonávajú štátnu službu, je opakované uvedenie tej istej podmienky nadbytočné.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
26. K čl. I § 52 ods. 3
V § 52 ods. 3 sa v prvej a druhej vete vypúšťajú slová „ako kontrolný orgán".
Kontrolným orgánom pri výkone kontroly spracúvania osobných údajov je vrchný inšpektor úradu, inšpektor úradu a zamestnanci úradu. Navrhovanou zmenou a vypustením slov „ako kontrolný orgán" sa odstráni duplicita pri definovaní pojmu „kontrolný orgán".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
27. K čl. I § 55 písm. j)
V § 55 písm. j) znie:
„j) o priebehu a výsledku vykonávanej kontroly informovať predsedu úradu a aj vrchného inšpektora úradu, ak vrchný inšpektor nevykonáva kontrolu."
Navrhuje sa precizovanie ustanovenia, podľa ktorého je kontrolný orgán povinný informovať o priebehu vykonávanej kontroly predsedu úradu a vrchného inšpektora úradu. Vzhľadom na to, že vrchný inšpektor úradu môže tvoriť kontrolný orgán, povinnosť ho informovať o priebehu kontroly by tak mala vzniknúť len v prípade, ak nie je v predmetnej veci súčasťou kontrolného orgánu. Zároveň sa navrhuje doplniť povinnosť informovať aj o výsledku kontroly; nielen o jej priebehu.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
28. K čl. I § 59 ods. 5
V § 59 ods. 5 druhá veta, sa slová „len úkony, ktoré nedovoľujú odklad" nahrádzajú slovami „len také úkony, ktoré neznesú odklad".
Legislatívno-technická úprava, ktorou sa zjednocuje formulácia s ustanovením § 54 ods. 2.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
29. K čl. I § 60 ods. 4
V § 60 ods. 4 posledná veta sa slovo „úrad" nahrádza slovami „kontrolný orgán".
Kontrolnú činnosť vykonáva podľa návrhu zákona kontrolný orgán a nie samotný úrad. Z uvedeného dôvodu je potrebné v návrhu zákona uviesť správny subjekt, ktorý neprihliada na oneskorene podané námietky.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
30. K čl. I § 61 ods. 1
Poznámka pod čiarou k odkazu 41) znie:
„41) § 11 ods. 1 písm. h) zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.".
Spresňuje sa odkaz na ustanovenie osobitného predpisu, na základe ktorého sa nesprístupňuje protokol o kontrole a v ňom obsiahnuté informácie.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
31. K čl. I § 65 ods. 1
V § 65 ods. 1 sa slová „alebo inej fyzickej osoby, ak úrad začal konanie bez návrhu," sa nahrádzajú slovami „ ,fyzickej osoby v konaní bez návrhu".
Legislatívno-technická úprava ustanovenia z dôvodu lepšej zrozumiteľnosti.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
32. K čl. I § 65 ods. 2 písm. f)
V § 65 ods. 2 písm. f) znie:
„f) uloží prevádzkovateľovi povinnosť zmeniť sprostredkovateľa v určenej lehote, ak prevádzkovateľ vykonáva spracúvanie osobných údajov prostredníctvom sprostredkovateľa."
Navrhovanou zmenou sa upravuje oprávnenie úradu zasiahnuť v prípade, že vzťah medzi prevádzkovateľom a sprostredkovateľom nerešpektuje zákonné požiadavky na spracúvanie osobných údajov odborne spôsobilým sprostredkovateľom a porušujú sa tým práva fyzických osôb, tak, aby sa neporušila zásada zmluvnej voľnosti.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
33. K čl. I § 68 ods. 1 písm. h)
V § 68 ods. 1 písm. h) sa vypúšťajú slová „a 4".
Legislatívno-technická úprava – vypustenie interného odkazu na neexistujúce ustanovenie.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
34. K čl. I § 68 ods. 1 a 4
V § 68 ods. 1 a 4 sa slovo „330" nahrádza slovom „300" a slovo „6 600" sa nahrádza slovom „5 000".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
35. K čl. 68 ods. 2 a 5
V § 68 ods. 2 a 5 sa slovo „100 000" nahrádza slovom „80 000".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
36. K čl. 68 ods. 3 a 6
V § 68 ods. 3 a 6 sa slovo „1 650" nahrádza slovom „1 000" a slovo „350 000" sa nahrádza slovom „300 000".
V bodoch 34 až 36 sa navrhuje zníženie jednotlivých sadzieb pokút a poriadkových pokút, ktoré možno uložiť pri porušení zákona o ochrane osobných údajov. Ich znížením sa zohľadňuje ekonomicko-finančný stav v spoločnosti a možný dopad na kontrolované subjekty, pričom preventívna a represívna funkcia pokút ostane zachovaná. Takto upravené sankcie možno naďalej považovať za primerané a v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
37. K čl. I § 68 ods. 5 písm. b)
V § 68 ods. 5 písm. b) sa vypúšťajú slová „3 druhej vete, 4,".
Legislatívno-technická úprava. Navrhovaná zmena reflektuje zmenu v bode 4. Z dôvodu vypustenia slov „§ 8 ods. 3, 4, § 9 ods. 2" v ustanovení § 8 ods. 10 je potrebné primerane upraviť aj sankčné ustanovenia.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
38. K čl. I § 68 ods. 7
V § 68 ods. 7 úvodnej vete sa slovo „3 500" nahrádza slovom „3000".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
39. K čl. I § 69 písm. a)
V § 69 písm. a) sa slovo „1 500" nahrádza slovom „1000".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
40. K čl. I § 69 písm. b)
V § 69 písm. b) sa slovo „15 000" nahrádza slovom „10 000".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
41. K čl. I § 69 písm. c)
V § 69 písm. c) sa slovo „30 000" nahrádza slovom „20 000".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
42. K čl. I § 69 písm. d)
V § 69 písm. d) sa slovo „60 000" nahrádza slovom „30 000".
V bodoch 38 až 42 sa navrhuje zníženie jednotlivých sadzieb pokút a poriadkových pokút, ktoré možno uložiť pri porušení zákona o ochrane osobných údajov. Ich znížením sa zohľadňuje ekonomicko-finančný stav v spoločnosti a možný dopad na kontrolované subjekty, pričom preventívna a represívna funkcia pokút ostane zachovaná. Takto upravené sankcie možno naďalej považovať za primerané a v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
43. K čl. I § 70 ods. 2
V § 70 ods. 2 znie:
„(2) Pokutu podľa § 68 možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo."
Navrhovanou technickou úpravou by sa umožnilo Úradu pre ochranu osobných údajov dlhodobejšie môcť spätne vymáhať pokuty, ak by sa dané porušenie zákona týkalo obdobia dlhšieho ako je uvedené v navrhovanej novele, teda od 1-3 rokov. Dostatočná lehota na uloženie pokuty má za cieľ zvýšiť ochranu osobných údajov, na dotknuté subjekty by predĺženie lehoty malo preventívny účinok, aby dbali na dodržiavanie ochrany osobných údajov (zákon o správe daní a poplatkov, zákon o účtovníctve – daňová kontrola, kde je obdobná lehota päť rokov).
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
44. K čl. I § 71 ods. 3
V § 71 ods. 3 sa slová „podľa odseku 1" nahrádzajú slovami „podľa odseku 2".
Legislatívno-technická úprava, ktorou sa opravuje nesprávny vnútorný odkaz.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
45. K čl. V
V čl. V sa slová „1. apríla 2013" nahradzujú slovami „1. júna 2013".
Navrhuje sa posunúť účinnosť navrhovaného zákona na neskorší dátum. Táto zmena plne korešponduje s legislatívnym procesom a súvisí s plnením záväzkov Slovenskej republiky voči EÚ.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
46. K prílohe zákona
Citácia v prílohe zákona znie:
„Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap.13/zv.15; Ú. v. ES L 281, 23.11.1995) v znení nariadenia Európskeho parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Mimoriadne vydanie Ú. v. EÚ,
kap. 1/zv. 4 ; Ú. v. EÚ L 284, 31.10.2003).".
Ide o legislatívno-technickú úpravu súvisiacu so zaužívaným spôsobom citácie právne záväzných aktov Európskej únie.
Ústavnoprávny výbor NR SR
Výbor NR SR pre verejnú správu a regionálny rozvoj
Výbor NR SR pre obranu a bezpečnosť
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
Gestorský výbor odporúča hlasovať o pozmeňujúcich návrhoch nasledovne: spoločne o pozmeňujúcich návrhoch č. 1 až 12 a 14 až 33 a o bode 37 s odporúčaním schváliť; spoločne o pozmeňujúcich návrhoch č. 34 až 36 a 38 až 46 s odporúčaním schváliť; samostatne o pozmeňujúcom návrhu v bode 13 s odporúčaním neschváliť.
V.
Gestorský výbor na základe stanovísk výborov vyjadrených v ich uzneseniach uvedených pod bodom III tejto správy a stanovísk poslancov gestorského výboru vyjadrených v rozprave k tomuto návrhu zákona
odporúča Národnej rade Slovenskej republiky
vládny návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (tlač 358)
s c h v á l i ť
v znení schválených pozmeňujúcich návrhov uvedených v tejto správe.
Spoločná správa výborov Národnej rady Slovenskej republiky o výsledku prerokovania vládneho návrhu zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (tlač 358a) v druhom čítaní bola schválená uznesením gestorského výboru z 13. marca 2013 č. 64.
Týmto uznesením výbor zároveň poveril spravodajcu Petra Gažiho, aby na schôdzi Národnej rady Slovenskej republiky predniesol spoločnú správu o výsledku prerokovania návrhu vo výboroch Národnej rady Slovenskej republiky a predložil návrhy podľa § 81 ods. 2, § 83 ods. 4, § 84 ods. 2 a § 86 zákona č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení neskorších predpisov.
.
Bratislava 13. marca 2013
Rudolf Chmel v. r.
predseda Výboru Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny
Spoločná správa
výborov Národnej rady Slovenskej republiky o prerokovaní zákona z 19. marca 2013 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, vráteného prezidentom Slovenskej republiky na opätovné prerokovanie Národnou radou Slovenskej republiky (tlač 459) v druhom čítaní
Predseda Národnej rady Slovenskej republiky pridelil zákon z 19. marca 2013 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, vrátený prezidentom Slovenskej republiky na opätovné prerokovanie Národnou radou Slovenskej republiky (tlač 459) svojím rozhodnutím z 28. apríla 2013 č. 429 na prerokovanie
- Ústavnoprávnemu výboru Národnej rady Slovenskej republiky a
- Výboru Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny.
Ako gestorský výbor k vrátenému zákonu určil Výbor Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny (ďalej len „gestorský výbor").
Uvedené výbory prerokovali predmetný zákon v lehote určenej rozhodnutím predsedu Národnej rady Slovenskej republiky.
I.
Určené výbory zaujali k pripomienkam, uvedeným v III. časti rozhodnutia prezidenta č. 1797-2013-BA a k vrátenému zákonu nasledovné stanoviská:
Ústavnoprávny výbor Národnej rady Slovenskej republiky neprijal uznesenie, nakoľko návrh uznesenia nezískal súhlas nadpolovičnej väčšiny všetkých poslancov podľa čl. 84 ods. 3 Ústavy Slovenskej republiky a § 52 ods. 4 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení neskorších predpisov.
Výbor Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny (uznesenie č. 67 z 30. apríla 2013) vyjadril súhlas so všetkými 18 pripomienkami prezidenta Slovenskej republiky a odporúčal národnej rade vrátený zákon v znení schválených pripomienok schváliť.
II.
Gestorský výbor k jednotlivým pripomienkam uvedeným v III. časti rozhodnutia prezidenta Slovenskej republiky z 5. apríla 2013 o vrátení zákona zaujal nasledovné stanoviská:
K čl. I:
1. V § 8 ods. 2 druhej vete sa slovo „nemôže" nahrádza slovom „nesmie".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
2. V § 11 ods. 3 sa slovo „nemôže" nahrádza slovom „nesmie".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
3. V § 12 ods. 5 sa slová „nie je oprávnený" nahrádzajú slovom „nesmie" a slovo „nemôže" sa nahrádza slovom „nesmie".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
4. V § 15 ods. 4 sa za slová „číslo občianskeho preukazu23)" vkladá čiarka a slová „ číslo služobného preukazu".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
5. V § 22 ods. 2 sa slová „tie nemôže" nahrádzajú slovami „tie nesmie" a slová „ich nemôže" sa nahrádzajú slovami „ich nesmie".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
6. V § 23 ods. 2 sa slová „v lehote 60 dní" nahrádzajú slovami „v lehote 60 dní od začatia ich spracúvania".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
7. V § 23 ods. 8 v prvej vete sa za slová „za úmyselný trestný čin" vkladajú slová „alebo za trestný čin, pri ktorom mu výkon trestu odňatia slobody nebol podmienečne odložený" a slová „trest mu nebol zahladený" sa nahrádzajú slovami „odsúdenie mu nebolo zahladené".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
8. V § 25 ods. 1 sa slovo „nemôže" nahrádza slovom „nesmie".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
9. V § 34 ods. 2 písm. c) sa vypúšťa čiarka a slová „nadácií, neziskovej organizácie poskytujúcej všeobecne prospešné služby".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
10. V § 49 ods. 4 sa vypúšťa písmeno d).
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
11. V § 49 sa za odsek 4 vkladá nový odsek 5, ktorý znie:
„(5) Vrchný inšpektor úradu sa z funkcie odvolá, ak hrubo zanedbal povinnosti uložené týmto zákonom, ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé porušenie služobnej disciplíny.".
Doterajší odsek 5 sa označuje ako odsek 6.
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
12. V § 68 ods. 1,2,4,5 a 7 v uvodzovacej vete sa slová „môže uložiť" nahrádzajú slovom „uloží".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
13. V § 69 ods. 1 v uvodzovacej vete sa slová „môže uložiť" nahrádzajú slovom „uloží".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
14. V § 70 ods. 1 sa slová „môže úrad uložiť" nahrádzajú slovami „úrad uloží".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
15. V § 76 ods. 4 prvá veta znie: „Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa považujú za poverenia a oznámenia o poverení zodpovednej osoby podľa tohto zákona.".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
16. V § 76 ods. 5 prvá veta znie: „Registrácia udelená podľa doterajšieho zákona sa považuje za registráciu udelenú podľa tohto zákona.".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
17. V § 76 ods. 6 prvá veta znie: „Osobitné registrácie udelené podľa doterajšieho zákona sa považujú za osobitné registrácie udelené podľa tohto zákona.".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
18. Čl. V znie:
„Čl. V
Tento zákon nadobúda účinnosť 1. júla 2013.".
Výbor NR SR pre ľudské práva a národnostné menšiny
Gestorský výbor odporúča schváliť
Gestorský výbor odporúča hlasovať o pripomienkach č. 1 až 18 spoločne a odporúča všetky pripomienky schváliť.
III.
Gestorský výbor na základe stanovísk výborov k zákonu z 19. marca 2013 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, vrátenom prezidentom Slovenskej republiky na opätovné prerokovanie Národnou radou Slovenskej republiky (tlač 459) vyjadrených v ich uzneseniach uvedených pod bodom I spoločnej správy a na základe stanovísk poslancov gestorského výboru v súlade s § 90 ods. 5 rokovacieho poriadku
odporúča
Národnej rade Slovenskej republiky
1. schváliť
pripomienky prezidenta Slovenskej republiky podľa odporúčania gestorského výboru,
2. schváliť
ako celok zákon z 19. marca 2013 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení prijatých pripomienok prezidenta Slovenskej republiky.
Táto spoločná správa výborov bola schválená uznesením gestorského Výboru Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny z 30. apríla 2013 č. 68.
Bratislava 30. apríla 2013
Vladimír Jánoš v. r.
podpredseda Výboru NR SR pre ľudské práva a národnostné menšiny