NOVÝ ZÁKON O OCHRANE OSOBNÝCH ÚDAJOV
Dňa 31.01.2018 bol publikovaný v Zbierke zákonov pod č. 18/2018 nový zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Nový zákon o ochrane osobných údajov“).
Novým zákonom o ochrane osobných údajov sa má dosiahnuť zosúladenie vnútroštátneho právneho poriadku s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“).
Účinnosťou od 25.05.2018 Nový zákon o ochrane osobných údajov nahradí v súčasnosti platný zákon č. 122/2013 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Zmena vymedzenia osobných údajov
Nový zákon o ochrane osobných údajov nestanovuje presný zoznam údajov, ktoré tvoria súbor osobných údajov. Pojem osobných údajov sa vzťahuje na také údaje, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, ktorú možno priamo alebo nepriamo identifikovať použitím identifikačných znakov.
Nový zákon o ochrane osobných údajov so sebou prináša novinku vylúčenia rodného čísla z osobitnej kategórie osobných údajov, ako tomu bolo doteraz. Zároveň zavádza novú formu osobných údajov v podobe online identifikátorov, ktorými sú najmä IP adresa, cookies, prihlasovacie údaje do online služieb a rádiofrekvenčná identifikácia. Online identifikátor je však považovaný za osobný údaj konkrétnej fyzickej osoby len vtedy, ak ho možno k tejto osobe jednoznačne priradiť a na jeho základe možno vytvoriť profil dotknutej osoby.
Zmeny v udelení súhlasu so spracovaním osobných údajov
Nový zákon o ochrane osobných údajov so sebou prináša zmeny v udelení súhlasu so spracovaním osobných údajov. Po novom musí byť súhlas dotknutej osoby preukázateľný, preto prevádzkovateľovi vzniká povinnosť kedykoľvek preukázať udelenie tohto súhlasu.
Zároveň udelenie súhlasu musí byť jasne odlíšiteľné od iných skutočností, so súhlasom na spracúvanie osobných údajov nesúvisiacich.
Súhlas musí byť vyjadrený jasne, zrozumiteľne a v ľahko dostupnej forme.
Zároveň Nový zákon o ochrane osobných údajov zavádza právo dotknutej osoby kedykoľvek súhlas odvolať, a to rovnakými prostriedkami a tak jednoducho ako ho poskytla.
Súhlas dotknutej osoby musí byť slobodný, udelením súhlasu nemožno podmieňovať poskytnutie služby.
Rodičovský súhlas so spracovaním osobných údajov
Podľa Nového zákona o ochrane osobných údajov bude prevádzkovateľ služieb informačnej spoločnosti1 zákonne spracúvať osobné údaje dotknutej osoby na základe súhlasu, pokiaľ táto osoba dovŕšila 16 rokov veku.
Ak má však dotknutá osoba menej ako 16 rokov vyžaduje sa na zákonné spracovávanie jej osobných údajov súhlas zákonného zástupcu. Prevádzkovateľ je z tohto dôvodu povinný vynaložiť primerané úsilie na overenie, že zákonný zástupca osoby mladšej ako 16 rokov so spracúvaním jej osobných údajov súhlasil. Takýto súhlas môže prevádzkovateľ overiť napríklad formou otázky o dosiahnutom veku v čase poskytovania súhlasu alebo inak, aby využil všetky svoje možnosti na overenie si veku dieťaťa.
Záznamy o spracovateľských činnostiach
Podľa Nového zákona o ochrane osobných údajov sa upúšťa od povinnosti viesť evidenciu informačného systému a povinnosti oznamovať informačné systémy Úradu na ochranu osobných údajov (ďalej len „Úrad“). Prevádzkovateľovi, sprostredkovateľovi a poverenému zástupcovi však vzniká povinnosť viesť záznamy o spracovateľských činnostiach, ktorých náležitosti vymedzuje zákon. Záznamy je prevádzkovateľ povinný viesť v papierovej alebo elektronickej podobe a na požiadanie je povinný tieto záznamy predložiť Úradu.
Výnimkou z povinnosti viesť záznamy o spracovateľských činnostiach budú organizácie s menej ako 250 zamestnancami v prípade, ak:
- nebude pravdepodobné, že spracúvanie povedie k riziku pre práva a slobody dotknutej osoby;
- spracúvanie bude príležitostné alebo nebude zahŕňať osobitné kategórie údajov alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.
Vyššie uvedené podmienky pre uplatnenie výnimky z povinnosti vedenia záznamov o spracovateľských operáciách, však musia byť splnené kumulatívne.
Posúdenie vplyvu na ochranu osobných údajov
Podľa Nového zákona o ochrane osobných údajov sa upúšťa od povinnosti vypracovať bezpečnostný projekt, avšak zavádza sa povinnosť vypracovať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov a ich bezpečnosť.
Posúdenie vplyvu je potrebné vykonať vtedy, ak vzniká predpoklad, že spracovateľské operácie budú viesť k vysokému riziku pre práva dotknutých osôb z dôvodu ich rozsahu, kontextu a účelu. Pokiaľ z výsledku posúdenia vplyvu vyplýva, že hrozí vysoké riziko, prevádzkovateľovi vzniká povinnosť konzultovať tento výsledok s Úradom.
1Informačnú spoločnosť v zmysle spracúvania osobných údajov možno charakterizovať ako spoločnosť, ktorá používa moderné informačné a telekomunikačné technológie ako formu komunikácie navonok aj dovnútra a tiež ako formu získavania a poskytovania informácií alebo služieb.
Posúdenie vplyvu spracovateľských operácií sa vyžaduje najmä:
- ak sa vykonáva rozsiahle a systematické hodnotenie osobných znakov dotknutej osoby a toto hodnotenie je založené na automatizovanom spracúvaní osobných údajov. Medzi takéto spracúvanie možno zaradiť aj profilovanie2, z ktorého vychádzajú rozhodnutia s právnymi účinkami na dotknutú osobu alebo závažným vplyvom na ňu;
- spracúvanie osobných údajov patriacich do osobitnej kategórie vo veľkom rozsahu alebo údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku;
- monitorovanie verejne prístupných miest vo veľkom rozsahu.
2Profilovaním je akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom
V tejto súvislosti uvádzame, že Úrad by mal v najbližšej dobe vydať zoznam spracovateľských operácií, ktoré budú podliehať požiadavke vypracovať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov a ich bezpečnosť.
Ustanovenie zodpovednej osoby
Na rozdiel od dobrovoľnosti ustanovenia zodpovednej osoby, ktorú upravuje súčasný zákon o ochrane osobných údajov, Nový zákon o ochrane osobných údajov zavádza niektorým prevádzkovateľom a sprostredkovateľom povinnosť ustanoviť zodpovednú osobu, a to v prípade ak:
- spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt;
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
Oznamovanie porušenia ochrany osobných údajov
Nový zákon o ochrane osobných údajov zavádza 3 nové povinnosti prevádzkovateľa informačného systému v súvislosti s porušením ochrany osobných údajov.
Prvou je povinnosť nahlasovať bezpečnostné incidenty Úradu najneskôr do 72 hodín od zistenia tejto skutočnosti.
Druhou je povinnosť bezodkladne informovať dotknutú osobu o porušení ochrany jej osobných údajov.
A poslednou povinnosťou je povinnosť dokumentovať každý jeden prípad porušenia ochrany osobných údajov, vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
Práva dotknutých osôb
Nový zákon o ochrane osobných údajov spresňuje pôvodné práva dotknutých osôb a zároveň ich rozširuje o nové práva, s čím súvisí nutnosť prevádzkovateľa prijať nové riešenia a opatrenia za účelom zabezpečenia výkonu týchto práv.
Za najvýznamnejšiu zmenu možno považovať zavedenie práva dotknutej osoby na prenosnosť údajov, ktoré predstavuje právo dotknutej osoby získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi v čitateľnom formáte a preniesť tieto údaje k ďalšiemu prevádzkovateľovi.
Vyššie uvedenému právu dotknutej osoby je však prevádzkovateľ povinný vyhovieť len v tom prípade, ak je to technicky možné, dochádza k spracúvaniu osobných údajov na právnom základe súhlasu dotknutej osoby alebo plnenia zmluvy a spracúvanie sa vykonáva automatizovanými prostriedkami.
Informačné povinnosti
Hlavná zmena, ktorú prináša Nový zákon o spracovaní osobných údajov je povinnosť prevádzkovateľa informovať o spracovaní osobných údajov všetky dotknuté osoby, ktorých osobné údaje spracúva, a to bez ohľadu na právny základ spracúvania osobných údajov, teda aj v prípade kedy prevádzkovateľ spracúva osobné údaje na základe zákona.
Nová právna úprava zároveň rozširuje informačné povinnosti prevádzkovateľa voči dotknutej osobe pri získavaní osobných údajov.
Oproti aktuálne účinnej právnej úprave je prevádzkovateľ povinný poskytnúť dotknutej osobe informácie napríklad aj o (i) existencii práva dotknutej osoby požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, práva namietať proti spracúvaniu osobných údajov, práva na prenosnosť údajov, práva kedykoľvek svoj súhlas so spracúvaním osobných údajov odvolať a práva podať dotknutou osobou sťažnosť na Úrade; (ii) tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov a (iii) prípadnej existencii automatizovaného rozhodovania vrátane profilovania.
Zmluva o spracúvaní osobných údajov
Novým zákonom o ochrane osobných údajov sa rozširujú náležitosti zmluvy o spracovaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom.
Medzi nové náležitosti zmluvy patrí napríklad ustanovenie povinnosti sprostredkovateľa v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby a pri plnení jeho povinnosti prijať primerané bezpečnostné opatrenia ako aj povinnosť sprostredkovateľa spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa.
Ďalšou zmenou, ktorú prináša Nový zákon o ochrane osobných údajov, je povinnosť sprostredkovateľa, v prípadoch kedy zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone, uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v zmluve uzatvorenej medzi prevádzkovateľom a sprostredkovateľom.
Zodpovednosť prevádzkovateľa a sprostredkovateľa za škodu
Nový zákon o ochrane osobných údajov zavádza osobitnú zodpovednosť prevádzkovateľa a sprostredkovateľa uhradiť akúkoľvek škodu, ktorá vznikla dotknutej osobe v dôsledku nezákonného spracúvania osobných údajov.
Prevádzkovateľ alebo sprostredkovateľ sa môže vyššie uvedenej zodpovednosti zbaviť v prípade, ak preukážu, že vznik škody nezavinil.
Zhrnutie
Nový zákon o ochrane osobných údajov zosúlaďuje našu legislatívu s legislatívou Európskej únie. Zjednocuje proces spracúvania osobných údajov, rozširuje práva dotknutých osôb, ale aj zavádza viacero povinností, ktoré budú mať dopad na doteraz nastavené procesy spracúvania osobných údajov. Tieto spracovateľské procesy spracúvania osobných údajov budú prevádzkovatelia a sprostredkovatelia povinní upraviť a zosúladiť s Novým zákonom o ochrane osobných údajov do 25.05.2018.
Do tohto obdobia odporúčame našim klientom posúdiť súlad súčasne nastavených procesov spracúvania osobných údajov s Novým zákonom o ochrane osobných údajov a pri zistení akéhokoľvek nesúladu, tento odstrániť prijatím potrebných opatrení. V opačnom prípade hrozí prevádzkovateľom a sprostredkovateľom uloženie sankcií Úradom. V tejto súvislosti ponúkame našim klientom vypracovanie tzv. GAP analýzy aktuálneho vnútorného prostredia spoločnosti, z ktorej vyplynie alebo nevyplynie nutnosť spoločnosti prijať nevyhnuté opatrenia s cieľom zosúladenia spracúvania osobných údajov s Novým zákonom o ochrane osobných údajov.
V prípade Vášho záujmu o vypracovanie GAP analýzy alebo akýchkoľvek otázok nás neváhajte kedykoľvek kontaktovať.
0 Comments 29. marca 2018