​Nový návrh zákona o ochrane osobných údajov

Po rokoch kontroverzných diskusií ohľadne novej právnej úpravy bol schválený text nového nariadenia o ochrane osobných údajov (GDPR)1 ktorý sa začne uplatňovať 25. mája 2018. GDPR nahradí zákon č. 122/2013 Z.z. o ochrane osobných údajov, ktorý bude zrušený. GDPR nie je iba ďalšou novelou v oblasti ochrany osobných údajov, ale znamená menšiu revolúciu v oblasti ochrany dát. Zmeny, ktoré budú spoločnosti musieť na svojich systémoch vykonať sú početné.

Aj keď GDPR bude mať najväčší dopad na veľké spoločnosti, ktoré spracúvajú značné množstvo osobných údajov ako napríklad banky, farmaceutické a telekomunikačné spoločnosti, nezanedbateľné množstvo nových povinností prinesie aj menším a stredným podnikom. Keďže dnes už asi len ťažko nájdeme spoločnosť, ktorá nespracúva osobné údaje, GDPR sa bude aplikovať takmer na každého.

Text nariadenia je automaticky záväzný a od dátumu účinnosti priamo vykonateľný. Ako taký, nemusí byť prenesený do národnej legislatívy žiadnou z členských krajín Európskej Únie. Napriek tomu sa Slovenská republika rozhodla ísť neprebádanou cestou a nariadenie GDPR „preklopila“ do separátneho zákona, ktorý je momentálne v medzirezortnom pripomienkovom konaní.

Toto slovenské priekopníctvo spôsobilo medzi spoločnosťami menší rozruch. Vyvolalo diskusiu o otázke, z akého dôvodu Slovensko potrebuje popri nariadení ešte ďalší zákon.

Kontroverzný zákon o ochrane osobných údajov

Po zverejnení nového návrhu zákona o ochrane osobných údajov sa viaceré spoločnosti začali zamýšľať nad tým, či sa majú primárne zaoberať GDPR, novým návrhom zákona alebo „kombináciou“ oboch právnych predpisov. Nesplnenie zákonných povinností pri spracúvaní osobných údajov pritom môže mať vážne následky vo forme vysokých pokút (podľa GDPR až do výšky 20 milión eur alebo 4% celosvetového ročného obratu). Niektoré spoločnosti dokonca vnímajú zákon ako „vykonávací predpis“ k nariadeniu GDPR.

Nový návrh zákona je zmätočný najmä v tom zmysle, že na jednom mieste upravuje príliš veľa separátnych a vzájomne nie celkom súvisiacich, oblastí.

Návrh zákona je delený do niekoľkých častí:

Osobitne problematické časti zákona, ktoré na Slovensku rozprúdili živú debatu sú prvá, druhá a tretia časť. Ich znenie je (až na niekoľko výnimiek) totožné s GDPR. Práve tieto tri časti návrhu zákona podľa dôvodovej správy „preklápajú“ nariadenie. Spoločnosti si neboli isté, či sa primárne pozerať na text GDPR alebo na text zákona, nakoľko sú takmer identické.

Veľa spoločností zároveň nevie, ako naložiť so štvrtou časťou zákona, ktorá pojednáva o ochrane osobných údajov spracúvaných pre účely predchádzania a odhaľovania trestnej činnosti.

Piata časť zákona je venovaná osobitným situáciám spracúvania osobných údajov, avšak je z návrhu zákona nie je jasné, či ju aplikovať popri GDPR. Táto časť zákona sa zaoberá otázkami ako sprístupňovanie alebo zverejňovanie osobných údajov v súvislosti so zamestnaním, spracúvanie rodného čísla, podmienkami pre prenos citlivých osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany ako aj spracúvaním genetických údajov, biometrických údajov a údajov týkajúcich sa zdravia.

Bezproblémové sú zrejme len posledné dve časti zákona, ktoré upravujú najmä procesné aspekty a prechodné ustanovenia. Sú to časti, ktoré samotná GDPR prostredníctvom splnomocňujúcich ustanovení ponecháva na reguláciu národným štátom. Jedná sa najmä o konanie o ochrane osobných údajov, postavenie Úradu na ochranu osobných údajov (Úrad), kódexy správania, certifikáciu ako aj ukladanie pokút Úradom.

Click here to view table.

Je popri nariadení potrebný aj zákon?

Nakoľko nariadenie je priamo aplikovateľný akt Európskej Únie porovnateľný s našim zákonom, predpokladá sa jeho automatická účinnosť. Rozsah ním upravených práv a povinností nemožno ani rozšíriť ani zúžiť. Nie je teda potrebný žiaden implementačný zákon a nie je potrebné ani jeho „preklápanie“.

Zo vzniknutého zmätku sa však nedá viniť priamo Úrad. Nariadenie GDPR vo svojich úvodných ustanoveniach neštandardne uvádza, že text nariadenia sa bude aplikovať iba na tie oblasti spracúvania osobných údajov, ktoré spadajú do pôsobnosti práva Európskej Únie. Komisia tak trochu „šalamúnsky“ vytvorila oblasť, v ktorej sa spracúvanie osobných údajov nebude riadiť princípmi obsiahnutými v nariadení GDPR avšak bližšie nevysvetlila, o aké oblasti alebo aké formy spracúvania sa jedná. Slovenský zákonodarca tak v snahe harmonizácie spracúvania osobných údajov pre všetky možné situácie a zabráneniu dvojitého režimu vytvoril „horúcou ihlou“ nový návrh zákona. Bez bližšieho vysvetlenia tohto novátorstva a lepšej komunikácie sa však tento návrh zákona stal nástrojom nedorozumenia a rozruchu.

Záver

Pre väčšinu spoločností bude nový zákon irelevantný, resp. budú pre ne dôležité iba jeho posledné tri časti - v tabuľke vyznačené zelenou. Tie časti zákona, ktoré „preklápajú“ nariadenie ako aj transpozíciu policajnej smernice si spoločnosti čítať nemusia. Na to, aby boli spoločnosti v súlade s GDPR a právnym poriadkom SR, sa musia riadiť výhradne textom GDPR (vrátane početných stanovísk tzv. poradnej skupiny založenej podľa článku 29) a poslednými troma časťami navrhovaného zákona.