Sobota, 15. jún 2024 | meniny má Vít , zajtra Blanka
Predplatné
Sobota, 15. jún 2024 | meniny má Vít , zajtra Blanka
TlačPoštaZväčšiZmenši

Aké zmeny prináša novela zákona o ochrane osobných údajov?

najpravo.sk • 24.10. 2013, 17:33

Poradenská spoločnosť Accace, ktorá na Slovensku pôsobí v oblasti spracovania účtovníctva, miezd, pracovnoprávneho a daňového poradenstva, prináša prehľad zmien a sankcií, ktoré predstavil nový Zákon o ochrane osobných údajov, a zároveň vysvetľuje práva a povinnosti prevádzkovateľov a sprostredkovateľov.

Nový zákon o ochrane osobných údajov

1.júla 2013 vstúpil do platnosti nový zákon č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len ako „Zákon"). Predmetný Zákon sa v niektorých smeroch snaží odbremeniť prevádzkovateľa ako aj sprostredkovateľa tým, že prináša jednoznačnejšie vymedzenie niektorých pojmov, pri ktorých výklade v minulosti dochádzalo k nezrovnalostiam, na druhej strane však prináša aj väčšie administratívne zaťaženie pre spoločnosti.

Nový Zákon pokračuje v pôvodnom zámere starého zákona č. 428/2002 Z.z. ktorý spočíval najmä v poskytnutí ochrany pri spracúvaní osobných údajov FO, teda jednotlivcov v súlade s vymedzením § 7 a 8 zákona č. 40/1964 Zb. Občiansky zákonník a súčasne pri dodržiavaní ústavných práv každého človeka.

Plánované zmeny zákona v roku 2014

V apríli 2014 by na úrovni Európskej únie malo byť prijaté ďalšie Nariadenie Európskeho parlamentu a Rady, ktoré bude musieť byť implementované do lokálneho právneho prostredia, čo bude dôvodom pre opätovnú zmenu nového Zákona. Z tohto dôvodu, sa môže prijatie nového Zákona, ktorý zavádza vo viacerých smeroch nové povinnosti pre prevádzkovateľov ako aj sprostredkovateľov, ešte pred implementáciou spomínaného nariadenia javiť ako nie celkom premyslený krok zákonodarcu.

Nové vymedzenie pojmu prevádzkovateľ a poskytovateľ

Nový Zákon vymedzuje prevádzkovateľa nasledovne: „Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene."

„Za účelom presného vymedzenia, či podľa Zákona spadáte pod pojem prevádzkovateľa alebo sprostredkovateľa, je dôležité aby ste si uvedomili, že jedine prevádzkovateľ môže spracovávať osobné údaje vo vlastnom mene," uviedla Erika Bodáková, Senior Associate Accace Legal.

Zákon prichádza aj s novou definíciou sprostredkovateľa, ktorým je „každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve."

Nové povinnosti prevádzkovateľa

Zákonné povinnosti prevádzkovateľa sú takmer totožné s povinnosťami stanovenými starým zákonom (§6 ods. 2), až na ustanovenie § 6 ods. 2 písm. b. V spomenutom odseku nový Zákon hovorí o povinnosti určiť podmienky spracúvania osobných údajov, tak aby neobmedzil právo dotknutej osoby, kým starý zákon hovoril o určení prostriedkov a spôsobov. Ostatné zákonné povinnosti zostávajú viac-menej nezmenené.

Prihlásenie informačných systémov

Novinky prináša Zákon najmä v administratívnych povinnostiach prevádzkovateľa. Do šiestich mesiacov od účinnosti Zákona, teda do 1.1.2014 je prevádzkovateľ povinný nanovo prihlásiť všetky svoje informačné systémy formou registrácie alebo osobitnej registrácie.

Na rozdiel od starého zákona, nový Zákon spoplatnil registráciu, a to sumou 20 EUR za „normálnu" registráciu a sumou 50 EUR za osobitnú registráciu. Zároveň je prevádzkovateľ povinný oznámiť akúkoľvek zmenu týkajúcu sa týchto informačných systémov za rovnaký správny poplatok.

„Z tohto dôvodu Vám odporúčame, aby ste pri registrácii uviedli také informácie, ktoré sa s najväčšou pravdepodobnosťou už nebudú meniť," uviedla Bodáková.

Pozitívnou správou je, že prevádzkovateľ nie je povinný odhlásiť v súčasnosti už prihlásené informačné systémy. Tento úkon za neho vykoná Úrad na ochranu osobných údajov SR (ďalej ako „Úrad"). Prevádzkovateľ je povinný uviesť vyššie spomenuté informačné systémy do súladu so Zákonom ešte pred ich prihlásením na Úrad. Túto povinnosť má najmä vzhľadom na rozsah informácií, ktoré je prevádzkovateľ povinný oznamovať dotknutej osobe ešte pred získaním jej osobných údajov.

Súhlas so spracovaním osobných údajov

Prevádzkovateľ je taktiež povinný upraviť súhlas so spracovaním osobných údajov, tak aby bol v súlade s novým Zákonom, upraviť rozsah údajov, ktoré môže prevádzkovateľ získať pri jednorazovom vstupe do priestorov ako aj povinnosti pri likvidácii týchto osobných údajov.

Prevádzkovateľ je povinný upraviť svoj zmluvný vzťah so sprostredkovateľom tak, aby bol v súlade so Zákonom, a to najneskôr do 1.7.2014.

Novinkou pri úprave zmluvného vzťahu je okrem skutočnosti, že sprostredkovateľ môže spracovávať osobné údaje len na základe písomnej zmluvy, zároveň povinnosť prevádzkovateľa v rámci zmluvy vyhlásiť, že sprostredkovateľ, ktorého si zvolil na spracovávanie osobných údajov v jeho mene, je odborne, technicky, organizačne a personálne spôsobilý zaručiť bezpečnosť spracúvaných osobných údajov.

„Znamená to, že ak príde kontrola z Úradu, ktorá zistí porušenie zákona u sprostredkovateľa, tak za toto porušenie nesiete zodpovednosť aj vy ako prevádzkovateľ, a to v prípade, ak neviete jednoznačne preukázať, že ste vykonali kontrolu schopnosti sprostredkovateľa zabezpečiť dostatočnú bezpečnosť spracúvaných osobných údajov," uviedla Bodáková.

Povinnosti prevádzkovateľa a sprostredkovateľa

Medzi povinnosti, ktoré ukladá zákon tak prevádzkovateľovi ako aj sprostredkovateľovi, patrí najmä povinnosť nanovo vykonať poučenie oprávnených osôb.

Oprávnená osoba

Oprávnenou osobou v súlade s novým Zákonom je „každá FO, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu s spôsobom určeným v poučení."

Oprávnenou osobou sa stáva dňom poučenia. O poučení musí byť vyhotovený písomný záznam s vlastnoručným podpisom oprávnenej osoby, a to do 1.1.2014. Rovnako ako pri informačných systémoch, ani pri oznámení nových oprávnených osôb nie je potrebné odhlasovať v súčasnosti už nahlásené oprávnené osoby. Archiváciu týchto údajov vykoná automatický Úrad.

Bezpečnostné opatrenia

Tak prevádzkovateľ ako aj sprostredkovateľ sú povinní do 1. apríla 2014 zosúladiť prijaté bezpečnostné opatrenia s novým Zákonom. Za účelom uľahčenia naplnenia tejto povinnosti Úrad vydal vyhlášku č. 164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení, ktorá ustanovuje rozsah primeraných technických, organizačných a personálnych opatrení. Bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa považujú za dokumenty vypracované v súlade s novým Zákonom.

Písomné poverenie zodpovednej osoby

Prevádzkovateľ, ako aj sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť Úradu. Pri ustanovení zodpovednej osoby nový Zákon zavádza viacero zmien. Jedna z možno najdôležitejších zmien je, že prevádzkovateľ môže mať zodpovednú osobu iba v prípade, ak spracováva osobné údaje prostredníctvom 20 a viac oprávnených osôb. V prípade, ak spracováva osobné údaje prostredníctvom menej než 20 oprávnených osôb, tak je povinný prihlásiť všetky informačné systémy na Úrad, ako sme už vyššie uviedli.

Ďalšou zmenou je, že zodpovednou osobou nemôže byť FO, ktorá je štatutárnym orgánom, členom štatutárneho orgánu alebo FO, ktorá je oprávnená konať v mene štatutárneho orgán prevádzkovateľa (napr. konateľ, HR manažér).

Zodpovedná osoba musí absolvovať skúšku, ktorá je zameraná na znalosť zákonov upravujúcich oblasť ochrany osobných údajov. Presný okruh týchto zákonov je stanovený vyhláškou č. 165/2013 Z.z. Úradu, ktorou sa ustanovujú podrobnosti o skúške FO na výkon funkcie zodpovednej osoby. Po úspešnom absolvovaní skúšky prevádzkovateľ písomne poverí zodpovednú osobu. Prílohou tohto poverenia je aj záznam o poučení.

Keďže poučenie oprávnených osôb by mala vykonať zodpovedná osoba, mohla by nastať otázka kto poučí zodpovednú osobu, ak prevádzkovateľ má iba jednu zodpovednú osobu. Zákon momentálne neposkytuje odpoveď na túto otázku. „Domnievame sa, že zodpovedná osoba môže poučiť samú seba, resp. môže tak spraviť akákoľvek osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa," uviedla Bodáková.

Oznámenie o poverení je potrebné následne zaslať doporučenou poštou, lebo jedným z dokladov, ktoré je potrebné preukázať pri kontrole Úradu je aj doručenka o nahlásení zodpovednej osoby na Úrad. Okrem tohto dokladu je potrebné samotné písomné poverenie a poučenie zodpovednej osoby, ďalej platné potvrdenie Úradu o absolvovaní skúšky a výpis z registra trestov.

Prevádzkovateľ je zároveň povinný ohlasovať zmeny údajov pri nahlásených zodpovedných osobách a oznamovať Úradu odvolenia poverenia alebo zánik poverenia zodpovednej osoby. Poverenie zodpovednej osoby je prevádzkovateľ oprávnený kedykoľvek bez uvedenia dôvodu písomne odvolať. „Ako pozitívum vnímame, že predmetná skúška zodpovednej osoby je bezplatná," uvidela Bodáková.

Práva a pozitívne zmeny pre prevádzkovateľa a sprostredkovateľa

V prípade, že prevádzkovateľ je zároveň zamestnávateľom dotknutej osoby, od 1. júla 2013 je oprávnený aj bez súhlasu daného zamestnanca sprístupniť alebo zverejniť (napr. na internete) osobné údaje zamestnanca ako dotknutej osoby, a to v rozsahu titul, meno, priezvisko, pracovné, služobné a funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinnosti dotknutej osoby. Avšak, takéto sprístupnenie alebo zverejnenie nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

Odborná verejnosť pozitívne vnímala najmä vymedzenie pojmu priestor prístupný verejnosti, ktorým pre účely Zákona je: „priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon."

Zároveň medzi pozitívne zmeny patrí nová právna úprava podmienok prenosu osobných údajov do tretích krajín s primeranou alebo bez primeranej úrovne ochrany osobných údajov. Nová úprava pri tomto prenose znižuje administratívnu záťaž prevádzkovateľa aj sprostredkovateľa.

Nový zákon obsahuje podrobnejší opis podmienok spracúvania biometrických údajov, ako jedných z najcitlivejších údajov. Za biometrické údaje sa považujú osobné údaje fyzickej osoby označujúce jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná. Štandardným príkladom je odtlačok prstu alebo DNA.

Nemenej významná je zmena týkajúca sa povinnosti vyžiadať súhlas dotknutých osôb počas prijímacích pohovoroch. Podľa § 10 ods.3 písm. b) Zákona Zamestnávateľ, v procese prijímania nových zamestnancov nie je povinný zaobstarať si písomný súhlas dotknutej osoby (teda uchádzača) so spracovaním osobných údajov. Zamestnávateľ má v takýchto prípadoch iba informačnú povinnosť voči dotknutej osobe.

Sankcie

Nový Zákon zavádza obligatórne uloženie sankcie zo strany Úradu v prípade, ak zistí porušenie zákona. V starom zákone sa nachádzalo slovo „možno", kým v novom Zákone je nahradené slovom „uloží". Pokuty budú ukladané vzhľadom na závažnosť porušenia zákona v sume od 300 EUR do 300 000 EUR.

O spoločnosti Accace

Accace je významná poradenská spoločnosť, ktorá na Slovensku pôsobí v oblasti outsourcingu účtovníctva, spracovania miezd a daňového poradenstva. Pridanú hodnotu komplexného portfólia služieb, inovatívne a efektívne riešenia poskytované spoločnosťou Accace oceňujú slovenské a zahraničné spoločnosti, ktoré sa chcú etablovať na slovenskom i zahraničnom trhu, ale i subjekty, ktoré sa snažia zefektívniť fungovanie svojej firmy využívaním outsourcingu. Vďaka svojmu dynamickému, zodpovednému a odbornému prístupu pri plnení potrieb svojich klientov je spoločnosť Accace vhodným partnerom pre dlhodobú spoluprácu. Na medzinárodnej úrovni je Accace členom Economist Corporate Network a KS International. 

Ohodnoťte článok
Hlasovalo: 3019

Nový príspevok

PoUtStŠtPiSoNe
: