V uplynulom roku bol prijatý nový zákon o ochrane osobných údajov. Len pár mesiacov od jeho účinnosti bola schválená novela. Pozrite sa na zmeny účinné od 15. apríla 2014.
Mnohí podnikatelia si určite spomenú na starosti, ktoré im spôsobil v minulom roku prijatý nový zákon o ochrane osobných údajov (ten nadobudol účinnosť 1. júla 2013). Novo zavedená povinnosť vypracovať tzv. bezpečnostnú smernicu a bezpečnostný projekt, povinnosť registrovať svoj informačný systém na Úrade na ochranu osobných údajov, vytvorenie inštitútu „firemného donášača“ a rôzne ďalšie aspekty viedli k tomu, že si uvedený zákon za pomerne krátku dobu svojej existencie vyslúžil označenie jedného byrokratický nezmysel desaťročia. Priveľká administratívna a finančná záťaž neboli kompenzované pozitívnym efektom tohto legislatívneho počinu. Tlak podnikateľský združení preto viedol k prijatiu novely, čakajúcej momentálne už len na podpis prezidenta. Táto novela prináša niekoľko podstatných zmien, ktorými sa budeme bližšie zaoberať v nasledujúcom článku.
Koniec bezpečnostným smerniciam
Zákon vo svojom pôvodnom znení ukladal prevádzkovateľom (t.j. osobám nakladajúcim s osobnými údajmi) povinnosť spracovať tzv. bezpečnostnú smernicu, ktorej účelom bolo zdokumentovanie bezpečnostných opatrení pri spracovávaní osobných údajov. Novela túto povinnosť od 15. 4. 2014 ruší.
Je však vhodné poznamenať, že samotné bezpečnostné opatrenia tým nie sú dotknuté - prevádzkovatelia (podnikatelia využívajúci napr. kontaktné formuláre, ktoré nejakým spôsobom identifikujú zákazníka) budú aj naďalej zodpovedať za ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.
Zároveň je v danej súvislosti potrebné rozlišovať medzi bezpečnostnou smernicou a bezpečnostným projektom. Zatiaľ čo povinnosť spracovávať bezpečnostnú smernicu zaniká, povinnosť vytvoriť bezpečnostný projekt aj naďalej trvá avšak len v prípade, kedy prevádzkovateľ spracováva osobné údaje zvláštnych kategórií (viď § 13 zákona) alebo v prípade prevádzky informačného systému, ktorý slúži na zabezpečenie verejného záujmu (napr. informačný systém obce).
Poučenie oprávnenej osoby
Oprávnenou osobou sa rozumie osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu (predtým v rámci pracovného pomeru), štátnozamestnaneckého pomeru (úradník), služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie - vo väčšine prípadov pôjde o zamestnanca prevádzkovateľa, po nadobudnutí účinnosti novely zákona však pôjde taktiež o dohodárov. Osoba sa pritom stáva oprávnenou dňom tzv. poučenia.
Obsahom poučenia danej osoby podľa súčasného i novelizovaného znenia zákona je vymedzenie práv a povinností oprávnenej osoby, oboznámenie s rozsahom oprávnení, povolenou činnosťou a podmienkami spojenými so spracovaním osobných údajov.
Po 15. 04. 2014 odpadá povinnosť poučiť oprávnenú osobu o zodpovednosti za porušenie práv a povinností pri spracovaní osobných údajov.
Zatiaľ čo aktuálne znenie zákona stanovuje povinnosť vyhotoviť oprávnenej osobe písomný záznam o poučení, obsahujúci množstvo rôznych údajov, novela stanovuje povinnosť takýto záznam (bez vymedzenie jeho formy) vyhotoviť a hodnoverne ho preukázať na požiadanie úradu.
Ako sa však vyhotovenie záznamu hodnoverne preukáže v praxi (ak o to úrad vôbec požiada) však ťažko odhadovať. V záujme prevencie pred nezmyselným bojom s úradmi preto radíme vyhotoviť obojstranne podpísaný protokol (resp. uskutočniť výmenu emailov) o poučení v znení:
"Týmto potvrdzujem, že dňa X som bol osobou Y poučený o právach a povinnostiach pri spracúvaní osobných údajov, o rozsahu oprávnení, povolených činností a podmienok spracúvania osobných údajov, a to pred uskutočnením prvej operácie s osobnými údajmi.“
Zodpovedná osoba
Zodpovednou osobou je osoba poverená prevádzkovateľom alebo sprostredkovateľom k výkonu dohľadu nad ochranou osobných údajov. Poverenie musí byť vyhotovené písomne a musí obsahovať náležitosti špecifikované v § 23 odst. 10. Nakoľko zodpovedná osoba prichádza do kontaktu s osobnými údajmi, je taktiež považovaná za oprávnenú osobu a vzťahujú sa na ňu príslušné opatrenia o oprávnených osobách. Zákonné podmienky, ktoré musí táto osoba splňovať ostávajú nezmenené: musí ísť o bezúhonnú fyzickú osobu s plnou spôsobilosťou k právnym úkonom a musí mať absolvovanú skúšku na výkon tejto funkcie zabezpečovanú Úradom na ochranu osobných údajov.
Novela zákona účinná od 15. 04. 2014 odstraňuje povinnosť prevádzkovateľa určiť zodpovednú osobu (doteraz sa táto povinnosť vzťahovala na prevádzkovateľov s viac ako 20 oprávnenými osobami, t.j. osobami prichádzajúcimi do styku s osobnými údajmi) a jej ustanovenie bude dobrovoľné. Dôvodom pre dobrovoľné ustanovenie takejto osoby môže byť skutočnosť, že sa na prevádzkovateľa nebude vzťahovať oznamovacia povinnosť týkajúca sa informačných systémov. Avšak s ohľadom na zmenu v tejto oblasti (viď nižšie) nie je pravdepodobné, že by dochádzalo k častému poverovaniu zodpovedných osôb.
Ďalšou významnou novinkou je rozšírenie okruhu osôb, ktoré môžu vykonávať funkciu zodpovedných osôb. Na základe novely budú môcť túto funkciu zastávať aj členovia štatutárnych orgánov či osoby, ktorým bola v minulosti v súvislosti s ochranou osobných údajov niekoľkokrát uložená pokuta (i keď je otázne, či budú mať prevádzkovatelia záujem poveriť práve takúto osobu, nakoľko ukladanie pokút sa bude týkať priamo nich).
Povinnosti zodpovednej osoby novelou zostávajú nezmenené. Dochádza však k odstráneniu ustanovenia vedúceho k „udavačstvu“ a zodpovedné osoby už naďalej nie sú povinné v prípade nezjednania nápravy zo strany prevádzkovateľa oznamovať prípadné nedostatky úradu.
Oznámenie informačného systému Úradu pre ochranu osobných údajov
Veľmi významnou zmenou zavedenou novelou je odstránenie registračnej povinnosti informačných systémov. Táto zmena bude mať pozitívny dopad na administratívne a finančné zaťaženie prevádzkovateľov.
Od 15. 04. 2014 je registračná povinnosť nahradená oznamovacou povinnosťou. I keď sa nemení rozsah oznamovaných údajov, bude podľa nového možné oznámenie učiniť aj prostredníctvom elektronického formulára. Takýto postup sa v dnešnej dobe javí viac ako žiaduci a táto reforma by mohla celý proces oznamovania zefektívniť a hlavne urýchliť.
Čo sa týka konkretizácie informačných systémov podliehajúcich oznamovacej povinnosti a ich výnimiek, schválená novela nezavádza žiadne zmeny. Teda aj naďalej je povinné oznamovať všetky informačné systémy, v ktorých sú osobné údaje spracovávané automatizovanými prostriedkami a sú vyňaté, okrem iného, informačné systémy podliehajúce osobitnej registrácii či kontrole zodpovednej osoby. Nakoľko bude od 15. 04. 2014 jej poverenie dobrovoľné, je vysoko pravdepodobné, že oznamovacej povinnosti bude podliehať väčšie množstvo systémov.
Pre podnikateľov, a samozrejme všetkých prevádzkovateľov, je však najvýznamnejšou zmenou odstránenie registračných poplatkov. Oznámenie totiž nepodlieha žiadnemu správnemu poplatku. Táto zmena výrazne zníži finančnú záťaž firiem prevádzkujúcich viaceré informačné systémy.
Novela sa nedotýka informačných systémov podliehajúcich osobitnej registrácii. Tá bude naďalej prebiehať na základe zavedených postupov a bude podliehať poplatkovej povinnosti.
Pokuty za porušenia zákona o ochrane osobných údajov
Ukladanie prísnych (pre mnohých podnikateľov priam likvidačných) sankcií za porušenie povinností stanovených zákonom bolo taktiež jedným z kritizovaných bodov. Novela zákona prináša v tejto oblasti niekoľko zmien. Za prvé bola odstránená v niekoľkých ustanoveniach povinnosť úradu pokuty za porušenie povinností ukladať a od 15. 04. 2014 bude uloženie pokuty prevažne iba ako možnosť, nie ako povinnosť. Teda bude na uvážení úradu, či k sankcii pristúpi. Ten by mal zohľadniť závažnosť porušenia, dopad do súkromnej sféry dotknutých subjektov, skutočnosť, či sa jedná o opakované porušenie, snahu o nápravu ai. V tejto súvislosti je zaujímavé, že uloženie pokuty d 1 000 do 200 000 (predtým 300 000) EUR podľa § 68 odst. 3 a 6 zostáva aj naďalej obligatórne ("úrad uloží", nie teda "môže uložiť"). Druhou novinkou bude zúženie okruhu osôb, ktorým môže byť pokuta uložená. Podľa novej úpravy nebudú sankcie dopadať na oprávnené osoby, teda osoby prichádzajúce do styku s osobnými údajmi, v súvislosti s porušením povinností im uložených v poučení a na zodpovedné osoby. Predchádzajúca úprava bola v tejto súvislosti pre tieto osoby veľmi prísna a dôsledkom bola neochota ľudí tieto „funkcie“ vykonávať. Vo výsledku sa tak pokuty budú vzťahovať prevažne na prevádzkovateľov, čiže firmy. A v neposlednom rade dochádza na základe novely k zníženiu horných hraníc pokút, a to v priemere o cca 30%. Jednotlivé výšky pokút sa pohybujú od 150 € až do 200 000 €, v závislosti na subjekte (prevádzkovateľ, sprostredkovateľ, či iná osoba) a porušenej povinnosti.
