Používate zastaralý prehliadač, stránka sa nemusí zobraziť správne, môže sa zobrazovať pomaly, alebo môžu nastať iné problémy pri prehliadaní stránky. Odporúčame Vám stiahnuť si nový prehliadač tu.
Zákon o ochrane osobných údajov (ďalej len „Zákon“) sa týka každého subjektu, ktorý spracúva osobné údaje fyzických osôb (FO).
Okruh oprávnených osôb sa rozšíril aj na dohodárov
Necelý rok po prijatí veľmi kritizovaného zákona č. 122/2013 Z. z. o ochrane osobných údajov (ďalej len Zákon) tú máme jeho prvú novelu vo forme zákona č. 84/2014 Z. z. Táto novela Zákona vstúpila do účinnosti dňa 15. apríla 2014.
Zákon v pôvodnom znení bol považovaný za príliš byrokratický. Zaťažoval prevádzkovateľov oveľa viac, ako to vyžaduje EÚ, hrozil príliš vysokými sankciami, ktorých uloženie bolo zo strany Úradu na ochranu osobných údajov (ďalej len „Úrad“) povinnosťou a z praktického hľadiska bol takmer nedodržateľný. To všetko a aj iné dôvody spôsobili, že bolo nevyhnutné pristúpiť k jeho novelizácii už v tak krátkom čase po jeho zavedení.
Zákon sa týka každého subjektu, ktorý spracúva osobné údaje FO. Nezáleží pri tom, či ide o fyzické osoby v postavení zamestnancov, osôb pracujúcich na dohodu, obchodných partnerov, klientov, prípadne iných. Výnimkou je, ak subjekt spracúva osobné údaje výlučne pre svoju vlastnú potrebu v rámci osobných a domácich záležitostí (napríklad osobný adresár). Na takúto situáciu sa Zákon, samozrejme, nevzťahuje.
Najvýznamnejšie zmeny, ktoré novela Zákona priniesla
Zrušenie registrácie informačných systémov (ďalej len IS) a jej nahradenia oznamovacou povinnosťou. To znamená, že IS, ktoré pôvodne podliehali registrácii, stačí po novom úradu len oznámiť. Poplatková povinnosť sa na takéto oznámenia nevzťahuje. Podotýkame však, že to sa netýka osobitnej registrácie, tá a aj poplatková povinnosť za ňu zostala zachovaná.
V prípade, že dohľadom nad ochranou osobných údajov u prevádzkovateľa je poverená zodpovedná osoba, IS, ktoré nepodliehajú osobitnej registrácii, resp. v ktorých sa nespracúvajú osobné údaje v zmysle § 10 ods. 3, písm. g) Zákona (t.j. osobné údaje nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľ alebo tretej strany), nie je potrebné Úradu ani oznamovať. IS, v ktorých sa spracúvajú osobné údaje v zmysle § 10 ods. 3, písm. g) Zákona je potrebné Úradu oznamovať vždy. Dokonca, úrad môže rozhodnúť, že tieto IS podliehajú osobitnej registrácii.
Zrušenie povinnosti prevádzkovateľa poveriť výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu. Po novom je poverenie zodpovednej osoby dobrovoľné a nezávisí od počtu oprávnených osôb ani zamestnancov (ako to bolo ešte pred prijatím tohto Zákona).
Zodpovednou osobou môže byť aj člen štatutárneho orgánu, čo bolo pôvodne neprípustné.
Okruh oprávnených osôb sa rozšíril na osoby v pracovnoprávnom vzťahu. Oprávnenými osobami tak už nie sú len zamestnanci (t.j. osoby v pracovnoprávnom pomere, ako to bolo pred novelou Zákona), ale aj dohodári.
zrušenie povinnosti písomne poučiť oprávnené osoby. Povinnosť hodnoverne preukázať Úradu na jeho požiadanie, že došlo k poučeniu oprávnenej osoby však zostala zachovaná (v prípade neschopnosti túto skutočnosť hodnoverne preukázať – hrozí pokuta až do výške 3000 eur). Po novom už nie sú Zákonom stanovené obligatórne náležitosti poučenia oprávnenej osoby.
Zrušenie povinnosti vypracovať bezpečnostnú smernicu, a teda aj povinnosti oboznamovať oprávnené osoby s obsahom bezpečnostnej smernice. Ak bude prevádzkovateľ resp. sprostredkovateľ spracúvať osobitnú kategóriu osobných údajov (§ 13 Zákona) off-line alebo bežné osobné údaje on-line, postačí mu vypracovanie bezpečnostnej dokumentácie v základnom rozsahu. Avšak povinnosť vypracovať bezpečnostný projekt v prípade spracúvania osobitnej kategórie osobných údajov online zostáva zachovaná.
Zavedenie demonštratívneho výpočtu toho, kedy je spracúvanie osobných údajov nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany. Spracúvanie osobných údajov je teda nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany najmä, ak ide o osobné údaje, ktoré sú spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov bez súhlasu dotknutej osoby. V prípade, ak sa spracúvajú osobné údaje za týmto účelom, nie je potrebný na ich spracúvanie súhlas dotknutej osoby.
Zavedenie možnosti nielen sprístupňovať, ale aj poskytovať osobné údaje zamestnancov, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností zamestnanca. Táto zmena by mala znížiť administratívnu záťaž v prípade poskytovania a následného spracúvania kontaktných údajov zamestnanca tretím subjektom.
Zrušenie tzv. „bonzáckych“ povinností sprostredkovateľov – t.j. sprostredkovateľ už nemá povinnosť oboznámiť Úrad s tým, že prevádzkovateľ porušuje Zákon a nezjednal jeho nápravu.
Zníženie niektorých horných hraníc pokút za porušenie Zákona. Novela Zákona taktiež priniesla významnú zmenu v tom, že Úrad nemusí ukladať pokuty nevyhnutne za každé zistené porušenie, ale rozlišujú sa prípady, v ktorých Úrad pokutu uložiť iba môže a prípady, v ktorý pokutu obligatórne uloží. Zároveň, došlo k zníženiu hornej hranice pokút v priemere asi o jednu tretinu.
Záverom možno konštatovať, že novela Zákona v zásade vypočula kritické, ale opodstatnené ohlasy na právnu úpravu ochrany osobných údajov zavedenú Zákonom. Opäť však šlo len o hasenie požiaru, ktorý spôsobila predošlá, z pohľadu praxe a administratívneho zaťaženia vopred nepremyslená, legislatívna zmena v oblasti ochrany osobných údajov.
