Život je zmena - ochrana osobných údajov opäť po novom

5.5.2014

Ochrana osobných údajov

1. Úvod

Dňa 15. 04. 2014 nadobudol účinnosť zákon č. 84/2014 Z.z. (ďalej len „Novela“), ktorým sa mení a dopĺňa zákon č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, v znení neskorších predpisov (ďalej len „Zákon“) a ktorým sa mení zákon č. 145/1995 Z.z. o správnych poplatkoch v znení neskorších predpisov.

Novela priniesla najmä zníženie administratívnej a finančnej záťaže v oblasti ochrany osobných údajov, zmiernenie sankcií ukladaných Úradom na ochranu osobných údajov Slovenskej republiky (ďalej len „Úrad“) a zmenu systému ich ukladania.

2. Pôsobnosť Zákona a Novely a definícia základných pojmov

Zákon vrátane Novely sa na Vašu spoločnosť s najväčšou pravdepodobnosťou vzťahuje, nakoľko minimálne z pozície zamestnávateľa spracovávate osobné údaje svojich zamestnancov, teda ste prevádzkovateľom informačného systému osobných údajov (ďalej len „ISOÚ“). Zároveň nevylučujeme, že prevádzkujete iné ISOÚ podľa povahy Vašich podnikateľských aktivít.

Osobné údaje sú údaje týkajúce sa konkrétnej fyzickej osoby najmä profesia, funkcia, titul, meno a priezvisko, rodné číslo, dátum narodenia, biometrické údaje (napr. digitálna mapa tváre, odtlačok prsta), informácie o osobných vlastnostiach a správaní atď. Osobnými údajmi nie sú údaje určujúce právnickú osobu alebo fyzickú osobu – podnikateľa (teda obchodné meno, sídlo/miesto podnikania, IČO podnikateľa). Vedenie databázy s takýmito údajmi nie je prevádzkovaním ISOÚ.

Spracúvanie osobných údajov je vykonávanie operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie atď. (napr. vedenie personálnej a mzdovej agendy zamestnancov). Osobné údaje možno spracovávať automatizovanými prostriedkami (napr. pomocou počítača), inými ako automatizovanými prostriedkami (napr. listinné evidenčné knihy, kartotéky), alebo kombináciou uvedených prostriedkov (čiastočne pomocou počítača a čiastočne pomocou evidenčných kníh).

3. Najpodstatnejšie zmeny Zákona, ktoré Novela prináša

3.1 Fakultatívnosť pri ukladaní pokút

Podľa pôvodnej právnej úpravy bolo ukladanie pokút pre nesplnenie zákonných povinností obligatórne (povinné). Úrad tak mal povinnosť, nie oprávnenie pokutu uložiť.

Od 15. 04. 2014 ukladá Úrad pokuty fakultatívne, teda môže ale nemusí pokutu uložiť. V praxi to znamená, že ak napr. prevádzkovateľ nepožiada Úrad o osobitnú registráciu ISOÚ, je na úvahe Úradu či uloží pokutu, alebo najskôr vyzve na odstránenie nedostatkov. Úrad pritom zvažuje viaceré fakty, najmä závažnosť porušenia povinnosti, čas trvania a následky.

Novela znížila horné hranice pokút. V praxi to znamená, že zatiaľ čo pred účinnosťou Novely prevádzkovateľ zaplatil napr. za nesplnenia povinnosti osobitnej registrácie ISOÚ pokutu najviac vo výške 300.000,- EUR, po novom zaplatí najviac 200.000,- EUR. Ak došlo k uloženiu pokuty pred účinnosťou Novely, použili sa vyššie sadzby pokút. Naopak, ak Úrad ukladá pokutu po účinnosti Novely, aplikuje nižšie sadzby, a to aj vtedy, ak k porušeniu povinnosti došlo pred účinnosťou Novely.

3.2 Zrušenie povinnosti vypracovať bezpečnostnú smernicu

Podľa pôvodnej právnej úpravy mal prevádzkovateľ povinnosť vypracovať tzv. bezpečnostnú smernicu alebo bezpečnostný projekt (v oboch prípadoch dokument, v ktorom prevádzkovateľ opíše najmä prijaté opatrenia za účelom zabezpečenia ochrany osobných údajov). Vypracovanie toho či toho dokumentu záležalo od povahy spracovávaných osobných údajov a či sa spracovávali na počítači s pripojením na internet alebo bez pripojenia. Dokumenty prevádzkovateľ neodovzdával Úradu, avšak na výzvu Úradu (napr. v prípade kontroly) ich predkladal na nahliadnutie.

Od 15. 04. 2014 nemajú viac prevádzkovatelia, ktorí začali, resp. začnú spracovávať osobné údaje od tohto dátumu vrátane, povinnosť vypracovať bezpečnostnú smernicu. Povinnosť vypracovať bezpečnostnú smernicu sa však naďalej vzťahuje na prevádzkovateľov, ktorí začali prevádzkovať ISOÚ pred 15. 04. 2014. Ak si povinnosť nesplnili, odporúča sa v čo najkratšom možnom čase vypracovať smernicu s dátumom ku dňu začatia prevádzkovania ISOÚ. V opačnom prípade hrozí uloženie pokuty.
Povinnosť vypracovať bezpečnostný projekt ostáva zachovaná. V prípade nesplnenia tejto povinnosti prevádzkovateľom, ktorý začal prevádzkovať ISOÚ či už pred alebo po účinnosti Novely, prichádza do úvahy uloženie pokuty. Ak prevádzkovateľ do tohto času nevypracoval projekt, odporúča sa v čo najkratšom možnom čase dodatočne ho vypracovať ku dňu začatia prevádzkovania ISOÚ pre prípad kontroly zo strany Úradu.

3.3 Písomné záznamy o poučení oprávnených osôb

Prevádzkovateľ má povinnosť poučiť každú oprávnenú osobu. Oprávnenými osobami sú všetky osoby, ktoré u prevádzkovateľa prichádzajú do styku s osobnými údajmi (napr. osoby na účtovnom oddelení, osoby vykonávajúce pre prevádzkovateľa prácu na základe dohôd mimo pracovného pomeru, osoby vykonávajúce absolventskú prax atď.).

Pôvodne bol prevádzkovateľ povinný o poučení vypracovať písomný záznam s presne stanovenými náležitosťami. Po obsahovej stránke sa od 15. 04. 2014 z poučenia vypúšťajú niektoré obsahové náležitosti. Novela taktiež nasvedčuje, že záznamy nie je potrebné vypracovať písomne. Odporúča sa však ich písomná forma, nakoľko prevádzkovateľ v prípade kontroly zo strany Úradu preukazuje vypracovanie záznamov.

Vzor poučenia oprávnenej osoby je dostupný na webovom sídle Úradu (http://www.dataprotection.gov.sk/uoou/sk/content/vzory-pouceni-opravnene...). Písomné záznamy o poučení sa neodovzdávajú Úradu, ani netreba Úrad o ich vyhotovení informovať, avšak pre prípad kontroly vykonanej Úradom je potrebné uchovať vyhotovené záznamy vo firemnom šanóne.

3.4 Zrušenie povinnosti poveriť zodpovednú osobu

Pôvodne bol prevádzkovateľ v Zákonom stanovených prípadoch povinný písomne poveriť zodpovednú osobu (osoba dohliadajúca na dodržiavanie zákonných ustanovení o ochrane osobných údajov). Zodpovedná osoba bola povinná absolvovať bezplatnú skúšku organizovanú Úradom.

Od 15. 04. 2014 má prevádzkovateľ možnosť, nie povinnosť písomne poveriť zodpovednú osobu (po novom ňou môže byť už aj štatutár prevádzkovateľa). Táto zmena sa však týka len tých prevádzkovateľov, ktorí začali spracovávať osobné údaje po 15. 04. 2014. Povinnosť poveriť zodpovednú osobu naďalej ostáva zachovaná u tých prevádzkovateľov, ktorí začali spracovávať osobné údaje pred 15. 04. 2014. V prípade porušenia povinnosti takýmto prevádzkovateľom prichádza do úvahy uloženie pokuty. Uloženie pokuty nie je vylúčené ani v prípade dodatočného dobrovoľného splnenia tejto povinnosti.

Vzory žiadostí a tlačív (napr. žiadosť o absolvovanie skúšky, oznámenie o poverení zodpovednej osoby atď.) týkajúcich sa zodpovednej osoby sú dostupné na webovom sídle Úradu (http://www.dataprotection.gov.sk/uoou/sk/content/vzory-ziadosti-tlaciv).

3.5 Predĺženie lehoty na zosúladenie zmluvu so zákonom

Podľa pôvodnej aj súčasnej právnej úpravy je prevádzkovateľ oprávnený na základe písomnej zmluvy poveriť spracovaním osobných údajov sprostredkovateľa (napr. o externú spoločnosť, ktorá bude viesť mzdovú agendu pre zamestnávateľa). Zmluva musí obsahovať presné Zákonom stanovené náležitosti, bez ohľadu na to, či bola uzavretá pred alebo po 15. 04. 2014.

Novela sa obsahovej stránky zmluvy nedotkla, avšak predĺžila lehotu, v ktorej je nevyhnutné v prípade nedostatkov zosúladiť zmluvu so Zákonom, a to z 01. 07. 2014 na 01. 07. 2015. Ak zmluva do tohto času vypracovaná nebola, odporúča sa v čo najkratšom možnom čase zjednať nápravu. Zmluva sa Úradu nepredkladá, v prípade kontroly však Úrad môže požiadať o jej predloženie k nahliadnutiu.

3.6 Zmena registrácie ISOÚ na oznamovaciu povinnosť

Pôvodne sa rozlišovala registrácia a osobitná registráciu ISOÚ (registrácia resp. osobitná registrácia ISOÚ je jedna z povinností prevádzkovateľa voči Úradu). Hlavný rozdiel medzi nimi spočíval v povahe spracovávaných osobných údajov a vo výške správneho poplatku (registrácia 20,- EUR, osobitná registrácia 50,- EUR).

Od 15. 04. 2014 sa registračná povinnosť zmenila na oznamovaciu povinnosť (to sa týka len registrácie, nie osobitnej registrácie, ktorá ostala zachovaná). To znamená, že nie je viac potrebné ISOÚ na Úrade registrovať, prevádzkovateľ Úradu ISOÚ len oznámi. Oznámenie je možné vykonať aj elektronicky bez zaručeného elektronického podpisu, a od 01. 09. 2014 aj prostredníctvom elektronického formulára. Vzor oznámenia ako aj pokyny pre vyplnenie oznámenia zverejňuje Úrad na svojom webovom sídle (http://www.dataprotection.gov.sk/uoou/sk/content/pokyny-vzory). Potvrdenie o splnení oznamovacej povinnosti vydá Úrad po novom už len na požiadanie prevádzkovateľa, nie automaticky. Oznamovanie je bezplatné.

Zmena registračnej povinnosti na oznamovaciu sa dotýka len tých prevádzkovateľov, ktorí začali resp. začnú prevádzkovať ISOÚ po 15. 04. 2014 vrátane.
Registračná povinnosť ISOÚ ostáva zachovaná u tých prevádzkovateľov, ktorí začali prevádzkovať ISOÚ pred 15. 04. 2014. Ak si povinnosť nesplnili, hrozí uloženie pokuty. To nie je vylúčené ani v prípade dobrovoľného dodatočného splnenia povinnosti.

Upozorňujeme, že ISOÚ zaregistrovaný v období medzi 01. 07. 2013 a 15. 01. 2014 sa považuje za oznámený (t.j. prevádzkovateľ nemusí dodatočne ISOÚ oznamovať). Výnimkou sú ISOÚ zaregistrované pred 01. 07. 2013. Tieto nemožno považovať za oznámené a bolo potrebné preregistrovať ich najneskôr do 01. 01. 2014. Ak tak prevádzkovateľ neurobil, je potrebné dodatočne tieto ISOÚ preregistrovať, a to v čo najkratšom možno čase.

3.7 Získavanie osobných údajov bez súhlasu dotknutej osoby

Od 15. 04. 2014 nepotrebuje viac prevádzkovateľ písomný súhlas osoby, o ktorej osobné údaje ide, ak prevádzkovateľ získava jej osobné údaje kopírovaním alebo skenovaním za účelom uzatvorenia pracovnej zmluvy, alebo niektorej z dohôd podľa Zákonníka práce.

Tento dokument vo všeobecnej rovine oboznamuje s najpodstatnejšími zmenami, ktoré prináša Novela. Táto informácia nemôže byť považovaná za právnu radu a v žiadnom prípade nenahrádza komplexné poradenstvo zo strany advokátskej kancelárie JNC Legal s.r.o. V prípade potreby právnej asistencie pri vypracovaní dokumentov v súvislosti s vyššie uvedenými povinnosťami nás neváhajte kontaktovať.

© JNC Legal s.r.o.

office@jnc-legal.com