Zákony.Judikáty.info

Platnosť od:	12.03.2005
Účinnosť od:	01.05.2005
Účinnosť do:	30.06.2013

Autor:	Národná rada Slovenskej republiky
Oblasť:

Informácie ku všetkým historickým zneniam predpisu

HIST JUD DS EU PP ČL

Načítavam historické znenia...

Načítavam judikatúru...

Načítavam dôvodové správy...

Načítavam európsku legislatívu...

Načítavam podzákonné predpisy...

Načítavam články...

Zákon, ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov 90/2005 účinný od 01.05.2005 do 30.06.2013

Prejsť na §

Informácie ku konkrétnemu zneniu predpisu

Zákon 90/2005 s účinnosťou od 01.05.2005

Vládny návrh zákona, ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z.

K predpisu 90/2005, dátum vydania: 12.03.2005

Dôvodová správa

Všeobecná časť

Návrh zákona, ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z. (ďalej len „euronovela zákona“) sa predkladá na základe plánu legislatívnych úloh vlády Slovenskej republiky na rok 2004.

Euronovela zákona rešpektuje poslednú hodnotiacu správu Európskej komisie z novembra 2003, kde sa v oblasti ochrany osobných údajov požaduje úplné zosúladenie zákona o ochrane osobných údajov so Smernicou Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES“). Z poslednej hodnotiacej správy vyplýva jasná požiadavka, aby sa Slovenská republika urýchlene vysporiadala s požiadavkou Európskej komisie tak, aby jej dozorný orgán v oblasti ochrany osobných údajov disponoval vyšetrovacími právomocami a vykonával svoje funkcie úplne nezávisle, a nemyslí sa tým len nezávisle od výkonnej moci, ale od vplyvov akýchkoľvek iných štátnych orgánov. Nezávislosť sa očakáva aj v oblasti financovania činnosti úradu a personálnej politike, ktorá by mala byť podriadená výlučne rozhodovacej právomoci predsedu úradu. Bez naplnenia tohto kľúčového ustanovenia smernice 95/46/ES experti Európskej komisie nevidia cestu k úplnej kompatibilite s citovaným dokumentom. Účinnosť euronovely zákona sa požaduje ku dňu vstupu Slovenskej republiky do Európskej únie, respektíve v najkratšom možnom termíne po vstupe. Návrh sa dotýka aj Dohovoru Rady Európy 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov, jeho dodatkového protokolu, s ktorým vyslovila súhlas Národná rada Slovenskej republiky 16. mája 2002 a Slovenská republika ho ratifikovala 24. júla 2002. Dodatkový protokol k dohovoru rovnako ako smernica 95/46/ES vo svojich ustanoveniach vyžaduje úplnú nezávislosť kontrolného orgánu a jeho vybavenie vyšetrovacími právomocami pri výkone dozoru nad ochranou osobných údajov.

Euronovela zákona reaguje na konkrétne pripomienky experta Európskej komisie na ochranu osobných údajov pána C. A. Iriarte. Ten vo svojom stanovisku posúdil platný zákon č. 428/2002 Z. z. o ochrane osobných údajov a poukázal na jednotlivé ustanovenia, ktoré podľa jeho názoru je potrebné vzhľadom na obsah smernice 95/46/ES ešte doplniť, upresniť alebo presnejšie prevziať.

V tejto súvislosti sa zákon dopĺňa o nové pojmy v súlade s textom smernice – „tretia krajina, tretia strana, príjemca, zástupca prevádzkovateľa“. Upresňuje sa vymedzenie už použitých pojmov „informačný systém, súhlas dotknutej osoby, prevádzkovateľ, oprávnená osoba“. Ide o požiadavku experta Európskej komisie, aby sa nové členské krajiny dôsledne vysporiadali so všetkými článkami smernice 95/46/ES vo svojich národných zákonoch. Navrhované zmeny transponujú terminológiu smernice veľmi presne a sú tak potvrdením vôle Slovenskej republiky plniť prijaté záväzky. V neposlednom rade sa precizujú vo vymedzení pojmov aj niektoré ustanovenia, ktoré sa v priebehu ostatných dvoch rokov uplatňovania zákona o ochrane osobných údajov v praxi ukázali ako nie dostatočne zrozumiteľné alebo presné. Novela prináša prehľadnosť a účelnosť vymedzenia základných povinností prevádzkovateľa v rámci jedného paragrafu, čo umožní ľahšiu aplikáciu jednotlivých ustanovení zákona v praxi. Zapracované boli aj špeciálne ustanovenia týkajúce sa ďalšieho spracúvania osobných údajov v nevyhnutnom rozsahu na historické, vedecké a štatistické účely. Novela reaguje aj na obsah článkov 10 a 11 smernice 95/46/ES, ktoré sa týkajú informácií, ktoré majú byť poskytnuté dotknutej osobe pri získavaní osobných údajov, pričom novela zároveň presne špecifikuje, kedy informácie nie je potrebné dotknutej osobe oznamovať.

Ustanovenia zákona o cezhraničnom toku osobných údajov boli upresnené vzhľadom na ich voľný pohyb medzi členskými štátmi Európskej únie. Kladie sa dôraz na skutočnosť, že na prenos osobných údajov spracúvaných prevádzkovateľmi v rámci členských štátov Európskej únie nesmú platiť žiadne obmedzenia s výnimkou národných zákonov na ochranu osobných údajov. Štáty mimo Európskej únie budú ponímané ako tretie krajiny, ktoré sa ďalej členia na krajiny s primeranou úrovňou ochrany osobných údajov a krajiny, ktoré nezaručujú primeranú úroveň ochrany osobných údajov.

Významne boli doplnené ustanovenia o dohľade nad ochranou osobných údajov u prevádzkovateľov, ktoré vykonáva tzv. „zodpovedná osoba“ – referent – vymedzený v zákone v súlade s článkom 18 ods. 2 smernice 95/46/ES. Prevádzkovateľ bude povinný nahlásiť úradu vymenovanie zodpovednej osoby a rovnako aj jej prípadnú výmenu. Zodpovednej osobe písomne poverenej dohľadom zákon presnejšie určuje povinnosti, vrátane povinnosti bezodkladne upozorňovať prevádzkovateľa na nedostatky zistené pri spracúvaní osobných údajov. Prítomnosť zodpovednej osoby u prevádzkovateľa v súlade so smernicou 95/46/ES umožňuje zredukovať počet informačných systémov, ktoré by inak podliehali registrácii. Novela zákona zároveň zavádza inštitút osobitnej registrácie informačných systémov, kde takémuto typu registrácie budú podliehať najmä systémy obsahujúce osobitné kategórie osobných údajov v prípade, že sú predmetom cezhraničného toku do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov.

Hlavné princípy navrhovanej právnej úpravy vo vzťahu k záväzkom Slovenskej republiky možno teda zhrnúť do nasledovných bodov:

-spresnenie niektorých pojmov a zavedenie nových pojmov korešpondujúcich s obsahom smernice 95/46/ES,

-spresnenie a sprehľadnenie základných povinností prevádzkovateľov pri spracúvaní osobných údajov,

-obmedzenie registrácie informačných systémov v kontexte posilnenia postavenia písomne poverenej zodpovednej osoby v súlade so smernicou 95/46/ES,

-zavedenie osobitnej registrácie pre niektoré rizikové spracovateľské operácie v súlade so smernicou 95/46/ES,

-spresnenie procesu konania a prijímania oznámení fyzických osôb a posilnenie vyšetrovacích právomocí úradu,

-presné prebratie článkov smernice 95/46/ES týkajúcich sa cezhraničného toku osobných údajov do tretích krajín a prenosu v rámci členských štátov Európskej únie v súlade s požiadavkami expertov Európskej komisie.

Z uvedeného je zrejmé, že základným poslaním predkladanej euronovely zákona o ochrane osobných údajov nie je teda iný cieľ, ako ešte väčšie zblíženie nášho právneho poriadku v oblasti ochrany osobných údajov s právom platným v členských štátoch Európskej únie, čo si vyžiadalo prvý významnejší zásah do obsahu zákona. Odborná verejnosť si je tejto skutočnosti vedomá.

Návrh euronovely zákona je v súlade s Ústavou Slovenskej republiky, zákonmi, ostatnými všeobecne záväznými právnymi predpismi, ako aj s medzinárodnými zmluvami a inými medzinárodnými dokumentmi, ktorými je Slovenská republika viazaná. Súčasne je v súlade s právom Európskych spoločenstiev a Európskej únie, ako to vyplýva z doložky zlučiteľnosti vypracovanej k tomuto návrhu zákona. V uvedenom zmysle vypracovaný návrh euronovely zákona predložil podpredseda vlády Slovenskej republiky pre európsku integráciu, ľudské práva a menšiny v súčinnosti s Úradom na ochranu osobných údajov na medzirezortné pripomienkové konanie. Návrh bol na základe žiadosti postúpený na prerokovanie aj v Rade hospodárskej a sociálnej dohody Slovenskej republiky.

V súvislosti s posilnením nezávislosti postavenia úradu a predsedu úradu sa v návrhu predloženom do medzirezortného pripomienkového konania navrhovalo aj osobitné postavenie úradu v rámci zákona č. 312/2001 Z. z. o štátnej službe v znení neskorších predpisov. Táto požiadavka úradu podložená obsahom konkrétnych medzinárodných dokumentov, ktorými je Slovenská republika viazaná, nebola niektorými rezortmi správne pochopená, keď najmä Úrad pre štátnu službu bez záujmu hľadať konkrétne východisko tento zámer odmietol.

Obsahom euronovely predloženej do medzirezortného pripomienkového konania bolo aj odstránenie disproporcií v oblasti určovania platových náležitostí predsedu úradu. Podľa ustanovenia § 35 ods. 2 zákona o ochrane osobných údajov predsedu úradu na návrh vlády Slovenskej republiky volí a odvoláva Národná rada Slovenskej republiky, podľa § 35 ods. 10 predseda úradu za svoju činnosť zodpovedá Národnej rade Slovenskej republiky, avšak platové náležitosti mu podľa § 35 ods. 6 určuje vláda Slovenskej republiky. Zámerom bolo docieliť štandardný stav, aby predsedovi úradu určoval platové náležitosti ten, kto ho do funkcie vymenoval a komu zodpovedá za svoju činnosť. Navrhovalo sa, aby táto kompetencia prešla na Národnú radu Slovenskej republiky, respektíve predsedu Národnej rady Slovenskej republiky. Aj túto zmenu úrad zapracoval do euronovely v súlade s názorom expertov Európskej komisie, podľa ktorých tento prístup posilňuje nezávislosť postavenia orgánu dozoru nad ochranou osobných údajov. Úrad pre štátnu službu túto zmenu odmietol bez vysvetlenia a možnosti vecne diskutovať o tomto probléme.

V záujme urýchleného predloženia materiálu na ďalšie legislatívne konanie, nakoľko Európska komisia očakáva splnenie záväzku zo strany Slovenskej republiky, Úrad na ochranu osobných údajov ustúpil od požiadavky novelizácie zákona č. 312/2001 Z. z. (aj od návrhu, ktorý ponúkol ako alternatívu) a predložil upravenú euronovelu zákona na rokovanie legislatívnej rady bez rozporu, aj napriek očakávaným možným komplikáciám zo strany Európskej komisie.

Po prerokovaní v Legislatívnej rade vlády Slovenskej republiky 10. augusta 2004 táto odporučila predložený materiál po zapracovaní pripomienok vláde Slovenskej republiky schváliť.

Vláda Slovenskej republiky dňa 22. septembra 2004 na svojom 101. zasadnutí prijala Uznesenie vlády Slovenskej republiky č. 895, ktorým predmetný návrh zákona schválila.

Zhodnotenie finančných, ekonomických, environmentálnych vplyvov a vplyvov na zamestnanosť

Prvá časť: Odhad dopadov na verejné financie

Prijatie návrhu euronovely zákona nebude mať žiadny vplyv na štátny rozpočet v rokoch 2005 až 2007.

Návrh euronovely zákona nemá žiadny vplyv na rozpočty obcí ani na rozpočty vyšších územných celkov.

Druhá časť: Odhad dopadov na obyvateľov, hospodárenie podnikateľskej sféry a iných právnických osôb

Návrh euronovely zákona nemá žiadny negatívny vplyv na obyvateľov, podnikateľskú sféru ani iné právnické osoby. Na druhej strane však posilňuje práva dotknutých osôb v oblasti ochrany ich súkromia.

Tretia časť: Odhad dopadov na životné prostredie

Návrh euronovely zákona nemá žiadny vplyv na životné prostredie.

Štvrtá časť: Odhad dopadov na zamestnanosť

Predkladaný návrh euronovely zákona nemá žiadny vplyv na zamestnanosť a tvorbu nových pracovných miest.

DOLOŽKA ZLUČITEĽNOSTI

právneho predpisu

s právom Európskych spoločenstiev a právom Európskej únie

1.Navrhovateľ právneho predpisu:

Vláda Slovenskej republiky

2.Názov návrhu právneho predpisu:

Návrh zákona, ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z.

3.Záväzky Slovenskej republiky vo vzťahu k Európskym spoločenstvám a Európskej únii:

a) identifikácia predmetu návrhu právneho predpisu z pohľadu Európskej dohody o pridružení, Národného programu pre prijatie acquis communautaire, Partnerstva pre vstup, Bielej knihy, screeningu a plánu legislatívnych úloh vlády Slovenskej republiky

-problematika návrhu zákona o ochrane osobných údajov nie je prioritou aproximácie práva podľa čl. 70 Európskej dohody o pridružení,

-problematika ochrany osobných údajov patrí medzi priority odporúčané v Príprave asociovaných krajín strednej a východnej Európy na integráciu do vnútorného trhu Európskej únie (Biela kniha), Sekcia 14 - Ochrana osobných údajov,

-z hľadiska Národného programu pre prijatie acquis communautaire návrh zákona patrí medzi priority aproximácie práva – Kapitola č. 3 Slobodné poskytovanie služieb, Kapitola č. 24 – Spolupráca v oblasti spravodlivosti a vnútra,

-problematika návrhu zákona je prioritou aproximácie práva podľa screeningu, kapitola 3 – Slobodné poskytovanie služieb, časť 03.10 – Základné zásady a podmienky,

-návrh zákona je úlohou zahrnutou do Plánu legislatívnych úloh vlády Slovenskej republiky na rok 2004,

-návrh zákona je úlohou zahrnutou do Prioritných úloh vlády Slovenskej republiky na rok 2004,

-problematika návrhu zákona je prioritou podľa Partnerstva pre vstup, v ktorom Slovenská republika prevzala na seba záväzok zosúladiť legislatívu Európskej únie v oblasti ochrany osobných údajov a posilniť administratívnu kapacitu.

b)identifikácia záväzkov vyplývajúcich zo schválených negociačných pozícií v príslušnej kapitole, ktorá je predmetom návrhu právneho predpisu

V negociačnej pozícii ku kapitole č. 3 – Slobodné poskytovanie služieb prevzala Slovenská republika záväzok akceptácie acquis a pripravenosti na jeho implementáciu v plnom rozsahu k referenčnému dátumu vstupu do Európskej únie 1. mája 2004.

V negociačnej pozícii ku kapitole č. 24 – Spolupráca v oblasti spravodlivosti a vnútra prevzala Slovenská republika záväzok akceptácie acquis a pripravenosti na jeho implementáciu v plnom rozsahu k referenčnému dátumu vstupu do Európskej únie 1. mája 2004. Ďalej prevzala záväzok dosiahnuť úplnú kompatibilitu legislatívy Slovenskej republiky v oblasti ochrany osobných údajov.

4.Problematika návrhu právneho predpisu:

a) je upravená v práve Európskych spoločenstiev:

V primárnom práve je problematika návrhu zákona upravená v čl. 6 ods. 2 Zmluvy o Európskej únii v jej amsterdamskom znení (Únia rešpektuje základné ľudské práva, ako ich zaručuje Európsky dohovor o ochrane ľudských práv a základných slobôd, podpísaný v Ríme 4. novembra 1950, a ktoré vyplývajú z ústavných tradícií členských štátov ako základných princípov práva spoločenstva). Európsky dohovor o ochrane ľudských práv a základných slobôd v čl. 8 upravuje právo na rešpektovanie súkromného a rodinného života.

V sekundárnom práve je problematika návrhu zákona upravená v:

-Smernici Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov a o voľnom pohybe týchto údajov,

-Dohovore Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov zo dňa 28. januára 1981 v znení dodatkov a dodatkového protokolu k tomuto dohovoru,

-Smernici Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií,

-Rozhodnutí Komisie 2002/16/ES z 27. 12. 2001 o štandardných zmluvných ustanoveniach pre prenos osobných údajov sprostredkovateľom zriadeným v tretích krajinách, v zmysle smernice č. 95/46/ES,

-Odporúčaní Rady Európy 99/5 na ochranu súkromia na Internete (platné od 23. februára 1999),

-Odporúčaní Rady Európy 97/18 na ochranu osobných údajov zhromažďovaných a spracovávaných na štatistické účely (platné od 30. septembra 1997),

-Odporúčaní Rady Európy 97/5 na ochranu zdravotných údajov (platné od 13. februára 1997),

-Odporúčaní Rady Európy 95/4 na ochranu osobných údajov v oblasti telekomunikačných služieb (platné od 7. februára 1995),

-Odporúčaní Rady Európy 91/10 na poskytovanie osobných údajov, ktoré majú štátne orgány, tretím osobám (platné od 9. septembra 1991),

-Odporúčaní Rady Európy 90/19 na ochranu osobných údajov používaných pri platbách a iných operáciách (platné od 13. septembra 1990),

-Odporúčaní Rady Európy 89/2 na ochranu osobných údajov používaných na zamestnanecké účely (platné od 18. januára 1989),

-Odporúčaní Rady Európy 87/15 na použitie osobných údajov v oblasti polície (platné od 17. septembra 1987),

-Odporúčaní Rady Európy 86/1 na ochranu osobných údajov na účely sociálneho zabezpečenia (platné od 23. januára 1986),

-Odporúčaní Rady Európy 85/20 na ochranu osobných údajov používaných na účely priameho marketingu (platné od 25. októbra 1985),

-Odporúčaní Rady Európy 83/10 na ochranu osobných údajov na účely vedeckého výskumu a štatistiky (platné od 23. septembra 1983),

-Odporúčaní Rady Európy 81/1 na reguláciu automatizovaných zdravotných databáz (platné od 23. januára 1981),

-Odporúčaní Rady Európy 92/1 o použití analýzy DNA v rámci systému trestnej justície,

-Rezolúcii 74/29 na ochranu jednotlivca voči elektronickým databankám vo verejnom sektore,

-Rezolúcii 73/22 na ochranu súkromia jednotlivca voči elektronickým databankám v súkromnom sektore,

-Dohovore o ochrane ľudských práv a základných slobôd v znení protokolov č. 3, 5 a 8.

5. Stupeň zlučiteľnosti návrhu právneho predpisu s právom Európskych spoločenstiev a právom Európskej únie:

a) úplná zhoda.

6.Gestor (spolupracujúce rezorty):

Úrad na ochranu osobných údajov,

podpredseda vlády Slovenskej republiky pre integráciu, ľudské práva a menšiny

7.Účasť expertov pri príprave návrhu právneho predpisu a ich stanovisko k zlučiteľnosti návrhu právneho predpisu s právom Európskych spoločenstiev a právom Európskej únie (špecifikácia úrovne a spôsobu expertnej účasti, napr. konzultácie a pod.):

César Alonso Iriarte, expert Európskej komisie, pracujúci na generálnom riaditeľstve pre vnútorný trh, Španielsko – konzultácie.

Osobitná časť

Čl. I

K bodu 1

V súvislosti so zaradením Slovenskej republiky medzi členské krajiny Európskej únie nastáva zvýšený nárast komunikácie Úradu na ochranu osobných údajov s obdobnými orgánmi dozoru v ostatných členských krajinách a to nielen v súvislosti s riešením podnetov dotknutých osôb, posudzovaním cezhraničného toku osobných údajov, ale aj v súvislosti s novou úlohou úradu povinne vysielať svojich zástupcov do viacerých pracovných skupín zaoberajúcich sa problematikou ochrany osobných údajov. Táto povinnosť vyplýva Slovenskej republike nielen zo smernice 95/46/ES, ale aj z Dohovoru 108. Najmä pri kontaktoch so zahraničím je žiadúce, aby oficiálne označenie úradu obsahovalo aj označenie názvu štátu. Názov Úrad na ochranu osobných údajov sa preto navrhuje doplniť označením názvu štátu.

K bodu 2

Smernica 95/46/ES a národný zákon o ochrane osobných údajov sa vzťahujú aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne z titulu medzinárodného práva verejného. Ide o presné prevzatie Čl. 4 ods. 1 písm. b) smernice 95/46/ES. Smernica 95/46/ES a zákon sa vzťahujú aj na subjekty, ktoré sú zriadené mimo územia Európskeho spoločenstva, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na tranzit osobných údajov cez územie Európskeho spoločenstva. V súlade s Čl. 4 smernice 95/46/ES sa preto navrhuje § 1 doplniť o nový odsek 3, ktorý reaguje na špecifické spracúvania osobných údajov.

Navrhovaný § 1 ods. 4 sa týka pôsobnosti zákona a dôsledne sa ním preberá obsah Čl. 3 ods. 1 v nadväznosti na Čl. 2 písm. c) smernice 95/46/ES.

K bodu 3

Navrhovaný text ustanovenia § 2 spresňuje obmedzenie rozsahu povinností a práv a presne v súlade s dikciou Čl. 13 smernice 95/46/ES uvádza oblasti a okruh subjektov, pre ktoré možno toto ustanovenie použiť. Vzťahuje sa výlučne na prevádzkovateľov, ktorí spracúvajú osobné údaje vo verejnom záujme na účely výslovne ustanovené v osobitnom zákone. Nové znenie pôvodného ustanovenia § 2 ods. 2 nadväzuje hlavne na zmeny, ktoré boli vykonané v texte zákona.

Odsek 2 spresňuje prebratie obsahu Čl. 8 ods. 5 smernice 95/46/ES a presne v súlade s jeho dikciou ustanovuje, že vedenie registra trestov môže vykonávať len štátny orgán.

K bodu 4

Pri aplikácii § 2 doteraz platného zákona č. 428/2002 Z. z. v znení zákona č. 602/2003 Z. z. často dochádzalo k jeho nesprávnemu výkladu. Navrhované nové ustanovenie § 2a má napomôcť k jednoznačnému odlíšeniu prípadov, keď sa zákon na spracúvanie osobných údajov vôbec nevzťahuje, od prípadov, keď sú účinky zákona obmedzené len čiastočne. Prax si vyžiadala spresniť a doplniť túto časť zákona.

K bodu 5

Úpravy v ustanoveniach § 4 ods. 1 písm. b) a c) súvisia so zavedením nových pojmov v zákone „tretia strana“ a „príjemca“ v súlade s Čl. 2 písm. f) a g) smernice 95/46/ES.

K bodu 6

Doplnenia spresňujú vymedzenie pojmu „informačný systém“ v súlade s Čl. 2 písm. c) smernice 95/46/ES.

K bodu 7

Základnou podmienkou pri spracúvaní osobných údajov dotknutej osoby je predpoklad, že táto osoba má dostatok informácií na to, aby sa mohla slobodne a vedome rozhodnúť, či poskytne svoje osobné údaje na spracúvanie, resp. disponuje dostatkom informáciami o tom, za akých podmienok sa jej osobné údaje spracúvajú (Čl. 2 písm. h) smernice 95/46/ES). Navrhovaná zmena priamo súvisí so zmenami a doplneniami v § 10 ods. 1 a 2.

K bodu 8

Vymedzenie pojmov sa v ustanovení § 4 ods. 1 navrhuje doplniť o písmená p) až s). V súvislosti s doplnením ustanovenia § 23a z dôvodu prehľadnosti sa cezhraničný tok osobných údajov v súlade s Čl. 1 ods. 2 a Čl. 25 a 26 smernice 95/46/ES rozdeľuje na prenos osobných údajov v rámci členských štátov Európskej únie a prenos osobných údajov do tretích krajín. V písmene p) sa vymedzuje pojem „tretia krajina“.

Nové ustanovenie doplnené do § 7 ods. 4 písm. f) a platné ustanovenie § 23 ods. 4 písm. d) si vyžaduje jednoznačné vymedzenie pojmu „verejný záujem“ tak, ako ho treba chápať na účely tohto zákona vychádzajúc z obsahu smernice 95/46/ES. Na tento účel sa navrhuje doplniť nové písmeno r).

Obsah nového písmena s) vymedzuje pojem „podmienky spracúvania osobných údajov“ a nadväzuje na novokoncipované ustanovenie § 6 ods. 1, v ktorom sú systematicky zoradené základné povinnosti prevádzkovateľov.

K bodu 9

Pojmy „prevádzkovateľ, sprostredkovateľ a oprávnená osoba“ sú, okrem iných, kľúčovými pojmami zákona. Ich presné vymedzenie v súlade s Čl. 1 písm. d) a e) a Čl. 16 smernice 95/46/ES je potrebné pre ich ďalšiu správnu aplikáciu. Navrhované zmeny spresňujú doteraz platné definície v zákone.

K bodu 10

Vymedzenie pojmu „zástupca prevádzkovateľa“ vyplýva z Čl. 4 ods. 2 smernice 95/46/ES, podľa ktorého subjekt, ktorý má sídlo alebo trvalý pobyt v tretej krajine, a na účely spracúvania osobných údajov využíva úplne alebo čiastočne automatizované alebo iné prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nevyužíva výlučne len na prenos osobných údajov cez územie Európskeho spoločenstva, je povinný pred začatím spracúvania osobných údajov vymenovať svojho zástupcu, ktorý má sídlo alebo trvalý pobyt na území Slovenskej republiky.

K bodu 11

Pojmy „tretia strana“ a „príjemca“, ktoré sa nachádzajú v Čl. 2 smernice 95/46/ES boli v zákone zapracované prostredníctvom definičných pojmov „poskytovanie“ a „sprístupňovanie“. V snahe priblížiť sa čo najviac právu Európskeho spoločenstva, navrhuje sa vymedzenie pojmov „tretia strana“ v súlade s Čl. 2 písm. f) a „príjemca“ v súlade s Čl. 2 písm. g) smernice 95/46/ES. Paragraf 4 sa dopĺňa o nové odseky 7 a 8.

K bodu 12

Znenie § 5 ods. 2 zákona korešponduje s Čl. 17 ods. 3 a 4 smernice 95/46/ES. Navrhuje sa ustanoviť základné požiadavky na obsah písomnej zmluvy alebo poverenia, ktoré priamo súvisia s bezpečným spracúvaním osobných údajov.

K bodu 13

V § 4 ods. 6 je vymedzený nový pojem „zástupca prevádzkovateľa“, ktorý úzko súvisí s ustanovením § 1 ods. 3 písm. b) a § 23a ods. 3, ktorými bol do zákona presne prebratý Čl. 4 smernice 95/46/ES. Zástupca prevádzkovateľa zastupuje subjekt zriadený v tretej krajine na území Slovenskej republiky v rozsahu práv a povinností ustanovených týmto zákonom prevádzkovateľovi.

K bodu 14

Ide o formálnu zmenu, ktorá súvisí s úpravou ustanovení § 6 ods. 1 až 4 zákona.

K bodu 15

Obsah Čl. 6 smernice 95/46/ES patrí k jej kľúčovým ustanoveniam, ktoré majú dosah na princípy zakotvené v celom dokumente. V doterajšej právnej úprave tieto princípy nechýbali, avšak v súlade s doterajšími skúsenosťami pri aplikácii tohto zákona v praxi, sa stala požiadavka na ich zosumarizovanie na jednom mieste zákona aktuálnou a nevyhnutnou. Tento krok neznamená len zosúladenie zákona o ochrane osobných údajov so smernicou 95/46/ES po formálnej stránke, ale jednotlivé princípy sú spresnené, doplnené a formulované v úplnom súlade s obsahom ustanovení, ktoré sa uvádzajú v smernici. Zvolený prístup zabezpečuje prehľadnosť a ľahkú orientáciu, nakoľko práve dodržiavanie „základných povinností prevádzkovateľa“ je tou základnou podmienkou zákonného spracúvania osobných údajov. Tento nový prístup odstránil aj neprehľadnosť v doteraz platnom ustanovení § 2 ods. 2, ktorú spôsobovalo trieštenie povinností prevádzkovateľov do jednotlivých ustanovení zákona. Nové znenie § 6 ods. 3 upresňuje podmienky ďalšieho spracúvania zhromaždených osobných údajov na historické, vedecké a štatistické účely, pričom spracúvanie na tieto účely sa nebude považovať za nezlučiteľné s pôvodným účelom spracúvania. To však len za podmienky, že prevádzkovateľ prijme primerané záruky, ktoré zákon ustanovuje v súlade s požiadavkou v smernici. Navrhované znenie ustanovení § 6 ods. 1 až 4 má za cieľ do zákona presne prebrať Čl. 6 smernice 95/46/ES a to spôsobom, ktorý zodpovedá požiadavkám na úplnú aproximáciu cit. článku smernice.

K bodu 16

Jednou z možností, ktoré zákon pripúšťa, je spracúvanie osobných údajov so súhlasom dotknutej osoby. Súhlas je platný, len ak je výslovný a slobodne daný. Za súhlas platný podľa tohto zákona sa nepovažuje žiadna forma konkludentného súhlasu a je neprípustné súhlas od dotknutej osoby vynucovať. Súhlas dotknutej osoby vyžadovaný podľa § 7 ods. 1 môže byť verbálny. Zákon však v niektorých ustanoveniach zákona výslovne vyžaduje udelenie písomného súhlasu dotknutou osobou. V súvislosti so zjednotením prístupu pri spracúvaní osobných údajov na základe súhlasu dotknutej osoby, bola vypustená prvá veta § 7 ods. 6, čím sa dosiahol úplný súlad s Čl. 7 písm. a) smernice 95/46/ES, podľa ktorého sa na spracúvanie osobných údajov, ktoré nie sú osobitnými kategóriami, vyžaduje jednoznačný súhlas dotknutej osoby; keďže pod spracúvaním rozumieme aj operácie poskytovania, sprístupňovania a zverejňovania [§ 4 ods. 1 písm. a)], bolo potrebné upustiť od vyžadovania písomného súhlasu. Táto zmena sa premietla aj do znenia § 7 ods. 3 a § 9 ods. 1 písm. a).

Z textu druhej vety pôvodného § 7 ods. 6 bolo vypustené neobmedzené oprávnenie orgánov činných v trestnom konaní nakladania s osobnými údajmi. Smernica 95/46/ES dáva priestor na takéto spracúvanie s potrebným obmedzením ustanovení tohto zákona v Čl. 13, na čo zákon reaguje v § 2 ods. 1. Doplnenie v rovnakom rozsahu a z rovnakých dôvodov bolo zapracované aj do ustanovenia § 9 ods. 1 písm. a); tu sa však týka spracúvania osobitných kategórií osobných údajov na základe osobitného zákona, ktoré treba posudzovať v kontexte výnimiek ustanovených v § 9 ods. 1.

Spresnenia vykonané v ustanovení § 7 ods. 4 písm. a) súvisia s možnosťami derogovania spracúvaní osobných údajov na určité účely pri dodržaní podmienky, že spracúvaním nie sú porušované základné práva a slobody dotknutých osôb, najmä ich právo na ochranu pred neoprávneným zasahovaním do súkromného života. Ide o spresnenia nadväzujúce najmä na Čl. 9 smernice 95/46/ES. Obsah doterajšieho § 7 ods. 4 písm. b) bol komplexne zapracovaný do nového znenia § 6 ods. 3. Nové znenie § 7 ods. 4 písm. b) presne preberá obsah Čl. 7 písm. b) smernice 95/46/ES. Obsah tohto článku smernice bol v modifikovanej forme zapracovaný do ustanovenia § 7 ods. 10 doteraz platného zákona, ktorý sa navrhuje vypustiť. Navrhovaná úprava predstavuje dôsledné prebratie cit. článku smernice. Doplnenie nových písmen f) a g) do ustanovenia § 7 ods. 4 reaguje na obsah Čl. 7 písm. e) a f) smernice 95/46/ES.

Navrhovaná úprava § 7 ods. 5 priamo súvisí s preberaním Čl. 10 a 11 smernice 95/46/ES v rámci § 10 ods. 1 až 3 doteraz platného zákona. Upravené ustanovenie § 7 ods. 5 presnejšie rieši situácie, keď osobné údaje do informačného systému neposkytuje priamo dotknutá osoba ale iná fyzická osoba. Takéto získavanie osobných údajov úzko súvisí s informovanosťou dotknutej osoby. Z textu druhej vety pôvodného § 7 ods. 5 bolo vypustené neobmedzené oprávnenie orgánov činných v trestnom konaní získavania osobných údajov. Smernica 95/46/ES dáva priestor na takéto spracúvanie s potrebným obmedzením ustanovení tohto zákona v Čl. 13, na čo zákon reaguje v § 2 ods. 1.

Ustanovenie § 7 ods. 6 sa navrhuje doplniť o podmienky, ktoré platia v prípadoch, keď vzhľadom na špecifický účel spracúvania osobných údajov nemožno vopred presne určiť zoznam osobných údajov, ktoré majú byť predmetom spracúvania alebo vymenovať jednotlivé subjekty, ktorým majú byť osobné údaje poskytované. V takýchto prípadoch pri splnení zákonom ustanovených podmienok bude postačovať určenie rozsahu osobných údajov a okruhu tretích strán. Obsah ustanovenia možno aplikovať aj na spracúvanie, ktoré prevádzkovateľ nevykonáva na základe osobitného zákona, ale osobné údaje spracúva na základe súhlasu dotknutej osoby, prípadne bez jej súhlasu, a preto sa navrhuje (§ 7 ods. 10) primerane použiť toto ustanovenie aj pre tieto prípady. Pre prevádzkovateľov potom platí povinnosť dôsledne aplikovať § 6 ods. 1 písm. d) s výnimkou tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním.

K bodu 17

V súvislosti s navrhovanou zmenou platí odôvodnenie k bodu 16.

K bodu 18

V súvislosti s navrhovanou zmenou platí odôvodnenie k bodu 16.

K bodu 19

Navrhované spresnenie vychádza z dikcie Čl. 8 ods. 2 písm. c) smernice 95/46/ES.

K bodu 20

Navrhované spresnenie a doplnenie § 9 ods. 1 písm. e) súvisí s obsahom Čl. 8 ods. 3 smernice 95/46/ES, v ktorom sa požaduje podmienka, aby osobné údaje podľa § 8 ods. 1 mohol bez súhlasu dotknutej osoby spracúvať len prevádzkovateľ, ktorému to výslovne vyplýva z osobitného zákona a spracúvanie vykonávajú výlučne oprávnené osoby prevádzkovateľa, na tento účel osobitne písomne poučené o dodržiavaní zásad profesionálnej etiky pri výkone povolania a zaviazané povinnosťou zachovávať mlčanlivosť podľa osobitného predpisu.

K bodu 21

Navrhované spresnenie doteraz platného ustanovenia § 9 ods. 3 má jednoznačne za cieľ uviesť do súladu spracúvanie niektorých tzv. biometrických osobných údajov s obsahom smernice keď ustanovuje, že ich možno spracúvať len vtedy, ak sa použijú na účely evidencie alebo identifikácie vstupu do citlivých, osobitne chránených objektov, vyhradených priestorov alebo prístupu do technických zariadení alebo prístrojov s vysokou mierou rizika, ak ide výlučne o jeho vnútornú potrebu.

K bodu 22

Súčasťou návrhu je prepracovaná úprava podmienok platná pre informovanie dotknutých osôb pri získavaní ich osobných údajov. Táto zmena si vyžiadala aj zásah do vymedzenia súhlasu dotknutej osoby v § 4 ods. 1 písm. i) a významným spôsobom sa dotkla aj obsahu ustanovenia § 7 ods. 5. V zásade však možno konštatovať, že celá navrhovaná úprava nijako diametrálne nevybočuje z doteraz platných podmienok, ktoré platili pre prevádzkovateľa v súvislosti s povinnosťou informovať dotknutú osobu. Navrhovaná úprava však striktne, v súlade s obsahom Čl. 10 a 11 smernice 95/46/ES, rozlišuje situácie, keď boli osobné údaje získané priamo od dotknutej osoby a situácie, keď boli získané od inej ako dotknutej osoby, prípadne boli získané bez jej súhlasu, napr. na základe osobitného zákona. § 10 ods. 1 sa týka situácií, keď prevádzkovateľ, resp. zástupca prevádzkovateľa alebo sprostredkovateľ, ktorý koná v ich mene, získava osobné údaje priamo od dotknutej osoby. V § 10 ods. 1 písm. a) až c) sú uvedené informácie, ktoré je prevádzkovateľ povinný dotknutej osobe oznámiť. V písmene d) sú ďalšie informácie, ktoré je potrebné dotknutej osobe oznámiť vtedy, ak s ohľadom na všetky okolnosti spracúvania osobných údajov sú potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, najmä práva byť informovaná o podmienkach spracúvania svojich osobných údajov. Napríklad, ak prevádzkovateľ mieni vykonávať prenos osobných údajov do tretích krajín na základe súhlasu dotknutej osoby, je nevyhnutné, aby informáciu o tom, o ktoré tretie krajiny sa jedná, dotknutej osobe pri získavaní predmetných osobných údajov oznámil. Informácie netreba dotknutej osobe oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že v čase získavania osobných údajov boli všetky potrebné informácie dotknutej osobe už známe.

§ 10 ods. 2 sa týka situácií, keď prevádzkovateľ získal osobné údaje o dotknutej osobe od inej fyzickej osoby. V takomto prípade je povinný dotknutej osobe dodatočne oznámiť potrebné informácie o ich získaní a možnom ďalšom spracúvaní. Aj v tomto prípade logicky platí, že informácie netreba dotknutej osobe oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že všetky potrebné informácie boli v čase rozhodujúcej udalosti dotknutej osobe už známe. § 10 ods. 3 ustanovuje výnimky z povinnosti ustanovenej v § 10 ods. 1 a 2.

K bodu 23

Vypustenie doterajšieho textu z ustanovenia § 12 ods. 2 súvisí s novou úpravou § 6 ods. 1, ktorý komplexne rieši základné povinnosti prevádzkovateľa pri spracúvaní osobných údajov. Nový text § 12 ods. 2, ktorý sa navrhuje, legislatívne nadväzuje na podmienky ustanovené v § 11 a § 12 ods. 1 zákona.

K bodu 24

Navrhovaná zmena súvisí s novým usporiadaním základných povinností prevádzkovateľa v rámci § 6.

K bodu 25

V snahe priblížiť sa čo najviac právu Európskeho spoločenstva, navrhuje sa v súlade s Čl. 17 ods. 1 smernice 95/46/ES spresniť a doplniť znenie § 15 ods. 1, ktorý vytvára základný rámec podmienok týkajúcich sa bezpečnosti spracúvania osobných údajov. Zákon v nových písmenách a) až c) bližšie konkretizuje, čo najmä treba brať do úvahy pri určovaní primeranosti technických, organizačných a personálnych opatrení.

Platné ustanovenie § 15 ods. 2 písm. a) ukladá prevádzkovateľom a sprostredkovateľom povinnosť vypracovať bezpečnostný projekt v prípade, ak je ich informačný systém prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť. Zámerom tohto ustanovenia bolo sprísniť podmienky spracúvania najmä tých osobných údajov, ktoré patria medzi osobitné kategórie osobných údajov (§ 8) a sú vystavené možným hrozbám pri spracúvaní v prostredí, ktoré je prepojené na internet. V tejto súvislosti sa preto navrhuje v písmene a) upresniť túto skutočnosť a výslovne tento zámer deklarovať.

Ustanovenie § 15 ods. 2 písm. b) sa týka informačných systémov, v ktorých sú spracúvané osobitné kategórie osobných údajov, ale nie sú žiadnym spôsobom prepojené na internet ani inú verejne prístupnú počítačovú sieť alebo sú spracúvané inými ako automatizovanými prostriedkami spracúvania. V takýchto prípadoch z dôvodov hospodárnosti a účelnosti aj s ohľadom na doplnený obsah § 15 ods. 1 je postačujúce zo strany prevádzkovateľov a sprostredkovateľov, ak prijaté technické, organizačné a personálne opatrenia len zdokumentujú v rozsahu, ktorý ustanovuje § 16 ods. 3 písm. c) a ods. 6. Navrhuje sa preto písmeno b) doplniť o túto novú podmienku.

Podľa doterajšej právnej úpravy sa ustanovenie § 15 ods. 2 písm. c) týkalo tých informačných systémov, ktoré podliehali osobitným podmienkam ustanoveným v § 2 ods. 2. Na tieto informačné systémy sa požiadavka, aby bezpečnostný projekt spĺňal náležitosti § 16 tohto zákona, generálne nevzťahovala, čo bolo deklarované zaradením § 16 medzi ustanovenia do § 2 ods. 2. Takúto výnimku smernica 95/46/ES v Čl. 13 nepripúšťa. Aby neprichádzalo ku kolízii zákona o ochrane osobných údajov a zákona č. 215/2004 Z. z. v ustanoveniach, ktoré sa týkajú vypracúvania bezpečnostných projektov, navrhuje sa povinnosť pre prevádzkovateľov, ktorí spracúvajú osobné údaje na základe ustanovenia § 2, spracovať bezpečnostný projekt v súlade s obsahom ustanovenia § 16 tohto zákona len vtedy, ak pre konkrétny prípad tu súčasne nie je povinnosť vypracovať bezpečnostný projekt podľa zákona č. 215/2004 Z. z.

K bodu 26

Povinnosť prevádzkovateľov a sprostredkovateľov vykonať poučenie podľa § 17 tu bola aj podľa doterajšej právnej úpravy. Dôležitou zmenou je, že poučenie sa bude týkať len tých fyzických osôb, ktoré majú u prevádzkovateľa alebo sprostredkovateľa postavenie „oprávnených osôb“, pretože tie sú zodpovedné za bezpečné spracúvanie osobných údajov. Je len na prevádzkovateľovi a sprostredkovateľovi, či poučí aj ostatné fyzické osoby, ktoré náhodne prídu alebo môžu prísť do styku s osobnými údajmi. Zároveň sa výslovne ustanovuje, že poučenie musí byť písomne zdokumentované a musí sa vykonať pred vydaním prvého pokynu oprávnenej osobe na vykonanie akejkoľvek spracovateľskej operácie s osobnými údajmi.

K bodu 27

Navrhované doplnenie nových odsekov v ustanovení § 19 súvisí s novým prístupom vo veci registrácie informačných systémov. Smernica 95/46/ES predpokladá oznamovanie všetkých spracovateľských operácií prevádzkovateľmi ešte pred samotným začatím spracúvania. Čl. 18 ods. 2 smernice 95/46/ES umožňuje výnimku z takéhoto oznámenia, ak prevádzkovateľ ustanovil zodpovednú osobu, ktorá dohliada na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Je však nevyhnutné zároveň zabezpečiť požiadavky smernice, aby takáto zodpovedná osoba vykonávala dohľad odborne a nezávisle. Na takúto osobu sa do istej miery potom nahliada, akoby dozor prostredníctvom tejto zodpovednej osoby vykonával úrad. Ak prevádzkovateľ zamestnával viac ako päť osôb, aj doteraz bol povinný písomne ustanoviť zodpovednú osobu. To však nemalo vplyv na povinnosť registrácie informačných systémov. Nové odseky v § 19 jednoznačne určujú povinnosti zodpovedných osôb, podmienky ich vymenovania do funkcie a ich ochranu vo vzťahu k prevádzkovateľovi pri plnení úloh zodpovednej osoby. Prevádzkovateľ, ktorý preukáže úradu, že písomne poveril zodpovednú osobu, ktorá je odborne vyškolená a plní svoje úlohy zodpovednej osoby v súlade s ustanoveniami tohto zákona, nemusí svoje informačné systémy registrovať na úrade.

K bodu 28

Právo dotknutej osoby na prístup k informáciám o stave spracúvania jej osobných údajov a právo na presné informácie o zdroji, z ktorého prevádzkovateľ získal jej osobné údaje, tu existovalo na strane dotknutej osoby aj podľa doterajšej právnej úpravy. Navrhované zmeny a doplnenia ustanovení § 20 ods. 1 písm. a) až d) súvisia najmä so spresnením, podľa ktorého má dotknutá osoba nárok na informácie a odpis osobných údajov vo všeobecne zrozumiteľnej forme a informácie o zdroji s možnosťou oboznámiť sa aj s postupom spracúvania a vyhodnocovania operácií pri vydávaní rozhodnutia podľa § 20 ods. 4 písm. b). Uvedené zmeny presne preberajú Čl. 12 smernice 95/46/ES.

K bodu 29

Obsah § 20 ods. 4 písm. a) presne preberá Čl. 14 písm. a) smernice 95/46/ES a súvisí s uplatňovaním práv dotknutej osoby v rozsahu, ktorý požaduje smernica.

Ustanovenie § 20 ods. 4 písm. b) je spresneným textom pôvodného ustanovenia § 20 ods. 4, do ktorého boli zapracované pripomienky expertov v súlade s dikciou Čl. 15 smernice 95/46/ES. Zámerom tohto ustanovenia je dať právo dotknutej osobe žiadať prevádzkovateľa o preskúmanie rozhodnutia, ktoré bolo vydané výlučne na základe automatizovanej formy spracúvania metódou odlišnou od takejto formy spracúvania a to najmä vtedy, ak sa rozhodnutie týka ohodnotenia jej psychickej pracovnej spôsobilosti alebo iných osobnostných predpokladov. Prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia zohrá ľudský činiteľ.

Úprava obsahu § 20 ods. 5 súvisí so zmenami vykonanými v § 23 ods. 3 a 5 a rozdelením cezhraničného toku na prenos osobných údajov do tretích krajín a prenos osobných údajov v rámci členských štátov Európskej únie. Právo dotknutej osoby rozhodnúť o prenose zostalo zachované, ak sa týka prenosu do krajiny, ktorá nezaručuje primeranú úroveň ochrany a prenos sa má dodatočne vykonať na základe súhlasu dotknutej osoby.

Zároveň sa navrhuje vypustiť poznámku pod čiarou k odkazu 25, nakoľko zákon č. 100/1988 Zb. bol zrušený.

K bodu 30

Z dôvodu prehľadnosti sa cezhraničný tok osobných údajov v súlade s Čl. 1 ods. 2 a Čl. 25 a 26 smernice 95/46/ES rozdeľuje na prenos osobných údajov v rámci členských štátov Európskej únie a prenos osobných údajov do tretích krajín.

Navrhuje sa označenie ustanovenia § 23 samostatným nadpisom.

K bodu 31

Navrhované spresnenia súvisia s vymedzením nového pojmu „tretia krajina“ v zákone a úpravami vykonanými v ustanovení § 10 ods. 1 až 3.

K bodu 32

Navrhovaná zmena nadväzuje na záväzok Slovenskej republiky ustanovený v § 33 ods. 5, podľa ktorého úrad prijíma opatrenia na vykonanie rozhodnutí orgánov Európskej únie vydaných v oblasti ochrany osobných údajov v súlade s právom Európskych spoločenstiev podľa Čl. 25 ods. 4 až 6 smernice 95/46/ES. Doterajší text § 23 ods. 3 z dôvodu zmeny textu odseku § 10 ods. 3 stratil opodstatnenie a bol zapracovaný cez odkaz na § 10 ods. 3 do § 23 ods. 1.

K bodu 33

Úprava § 23 ods. 5 súvisí s vypustením obsahu § 23 ods. 3, na ktorý sa ustanovenie odvolávalo a s rozdelením cezhraničného toku na prenos osobných údajov do tretích krajín a prenos osobných údajov v rámci členských štátov Európskej únie. Právo dotknutej osoby rozhodnúť o prenose zostalo zachované, ak sa týka prenosu do krajiny, ktorá nezaručuje primeranú úroveň ochrany a prenos sa má dodatočne vykonať na základe súhlasu dotknutej osoby.

K bodu 34

Navrhované doplnenie zákona o nový § 23a ustanovuje v odseku 1 záväzok Slovenskej republiky zaručiť voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi Európskej únie v súlade s Čl. 1 ods. 2 smernice 95/46/ES.

Čl. 4 ods. 1 písm. a) smernice 95/46/ES požaduje do národných zákonov o ochrane osobných údajov prevziať aj záväzok pre prevádzkovateľov, ktorí majú sídlo alebo trvalý pobyt na území Slovenskej republiky, ale zároveň spracúvajú osobné údaje prostredníctvom svojej organizačnej zložky alebo viacerých organizačných zložiek na území jedného alebo viacerých členských štátov Európskej únie, že prijmú opatrenia a zabezpečia, aby každá ich organizačná zložka spracúvala osobné údaje v súlade s právnym poriadkom platným v tom členskom štáte, v ktorom má príslušná organizačná zložka sídlo alebo trvalý pobyt (§ 23a ods. 2).

Vychádzajúc z Čl. 4 ods. 1 písm. c) a odseku 2 smernice 95/46/ES, je nevyhnutné, aby sa zákon o ochrane osobných údajov vzťahoval aj na subjekty, ktoré majú sídlo alebo trvalý pobyt mimo územia Európskeho spoločenstva, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie Európskeho spoločenstva. V takomto prípade prevádzkovateľ so sídlom alebo trvalým pobytom v tretej krajine je povinný na spracúvanie osobných údajov ustanoviť zástupcu so sídlom alebo trvalým pobytom na území Slovenskej republiky za podmienok, ktoré sa navrhujú v § 23a ods. 3.

K bodu 35

Úpravy a doplnenia v ustanovení § 19 a § 27 si vyžiadali úpravu odsekov 2 a 3 v § 25 a uvedenie tak celého procesu registrácie do úplného súladu s Čl. 18 smernice 95/46/ES. V súvislosti s navrhovanou zmenou platí aj odôvodnenie k bodu 27.

K bodu 36

Navrhuje sa nové znenie § 26 ods. 3 písm. d) a e), čo súvisí s vymedzením nového pojmu v zákone „zástupca prevádzkovateľa“ a úplným zosúladením zákona s Čl. 19 ods. 1 písm. a) smernice 95/46/ES. Zároveň sa upúšťa od nahlasovania údajov o sprostredkovateľoch, nakoľko v súvislosti s upravenou registráciou ich nahlasovanie stratilo opodstatnenie a pre takéto prípady ho nepožaduje ani smernica.

K bodu 37

Navrhované zmeny v § 26 ods. 3 písm. j) až l) súvisia s vymedzením nových pojmov „príjemca, tretia strana a tretia krajina“ v zákone.

K bodu 38

V snahe priblížiť sa čo najviac právu Európskeho spoločenstva, navrhuje sa v súlade s Čl. 18 a 20 smernice 95/46/ES rozdeliť proces registrácie na osobitnú registráciu, ktorá vychádza z princípov zakotvených v Čl. 20 a registráciu, ktorá je ustanovená v Čl. 18. Osobitná registrácia sa týka takých spracovateľských operácií, pri ktorých je takmer isté, že predstavujú isté riziko, pokiaľ ide o zabezpečenie základných práv a slobôd dotknutých osôb pri spracúvaní ich osobných údajov, najmä ich práva na ochranu pred neoprávneným zasahovaním do súkromného života. Takéto spracúvania je nevyhnutné posúdiť úradom ešte pred ich samotným začatím. Nejde úplne o nový prístup, nakoľko v procese registrácie takéto posudzovanie prihlásených informačných systémov úrad vykonával podľa doteraz platného právneho stavu. V súvislosti s navrhovanou zmenou platí aj odôvodnenie k bodu 35.

K bodu 39

Navrhované doplnenia ustanovenia § 33 o nové odseky 4 až 6 presne preberajú Čl. 25 ods. 3 až 6, Čl. 26 ods. 3 a 4 a Čl. 28 ods. 6 smernice 95/46/ES.

K bodu 40

Navrhovaná úprava súvisí s nie celkom správnym vyjadrením povinnosti zachovávať mlčanlivosť. Táto povinnosť by sa mala vzťahovať výlučne na také osobné údaje, o ktorých sa predseda úradu dozvedel v súvislosti s výkonom svojej funkcie, pretože podľa teraz platnej dikcie by mohlo ísť o akékoľvek osobné údaje.

K bodu 41

V súvislosti s navrhovanou zmenou platí odôvodnenie k bodu 40.

K bodu 42

Navrhované doplnenie nadväzuje na ustanovenie § 33 ods. 2 a jeho cieľom je deklarovať, že všetky úlohy ustanovené v § 38 vykonáva úrad v súvislosti s plnením dozoru nad ochranou osobných údajov.

K bodu 43

Navrhovaná úprava súvisí s novou úpravou prijímania a vybavovania oznámení v súlade s ustanovením § 20 ods. 6 a doplnením o úpravu priebehu konania vo veciach upravených týmto zákonom, na ktoré sa nevzťahuje všeobecný predpis o správnom konaní v súlade s požiadavkami Čl. 28 smernice 95/46/ES a Dohovoru 108 v znení dodatkov a dodatkového protokolu (Čl. 1 dodatkového protokolu).

K bodu 44

Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov prevádzkovateľov alebo sprostredkovateľov a dotknutých osôb alebo iných fyzických osôb alebo právnických osôb, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov. V takýchto prípadoch úrad odporučí prevádzkovateľovi, sprostredkovateľovi alebo fyzickej osobe, ktorá je účastníkom sporu, aby sa obrátila s prejednaním veci na súd alebo príslušný orgán.

K bodu 45

Navrhované doplnenie § 39 ods. 1 o písmeno e) je spresnením oprávnení kontrolného orgánu.

Nové písmená f) a g) sú reakciou na obsah Čl. 28 ods. 3 smernice 95/46/ES a Čl. 1 ods. 2 dodatkového protokolu k Dohovoru 108, podľa ktorých sa požaduje, aby dozorné orgány disponovali vyšetrovacími a intervenčnými právomocami voči prevádzkovateľom a sprostredkovateľom a mohli získavať všetky potrebné informácie na plnenie svojich úloh. Napríklad podľa maltského zákona o ochrane osobných údajov, ktorý je považovaný za kompatibilný s právom platným v Európskej únii, maltskému komisárovi vyplývajú priamo zo zákona viaceré vyšetrovacie právomoci, napr. podľa ustanovenia § 41 ods. 5 „Pri výkone právomocí podľa tohto článku má komisár tie isté kompetencie týkajúce sa vstupu a prehľadávania budov a pozemkov, ktoré má právne zaručené polícia akýmkoľvek platným zákonom“. Právomoc overovať totožnosť súvisí najmä s dodržiavaním ustanovenia § 19 a poverením zodpovednej osoby. Úrad má často indície od dotknutých osôb, že prevádzkovateľ vykonáva nezákonné spracúvanie osobných údajov, avšak účinné preverenie možno docieliť len nepriamym výkonom kontroly. Ustanovenie takýchto právomocí pre kontrolný orgán priamo v zákone bude pôsobiť aj preventívnym spôsobom na samotných prevádzkovateľov, pretože si budú možnosti nepriamej kontroly vedomí. Navrhovaná úprava môže prispieť k skvalitneniu vyhľadávacej činnosti a k odhaleniu aj takých nezákonných spracúvaní osobných údajov, ktoré by inak zostali utajené.

K bodu 46

Vloženie nových ustanovení § 44a a 44b priamo súvisí s kompetenciami, ktorými musí disponovať úrad pri výkone dozoru nad ochranou osobných údajov v súlade s Čl. 28 smernice 95/46/ES. Úrad môže konať z vlastnej iniciatívy alebo na základe oznámenia. Navrhovaná úprava nevylučuje ani tzv. „actio popularis“, teda možnosť iniciatívy niekoho iného než dotknutej osoby. Upravuje sa proces dokazovania, predkladania a hodnotenia dôkazov. Odseky 9 až 13 sa týkajú doručovania písomností adresátovi a odsek 14 rieši lehoty na vykonanie úkonov v konaní. Ustanovenia sa týkajú konaní vo veciach upravených týmto zákonom, na ktoré sa nevzťahuje všeobecný predpis o správnom konaní podľa § 51 ods. 2.

K bodu 47

Navrhuje sa nové znenie ustanovenia § 45, ktoré komplexne rieši konanie na základe oznámenia. Doterajšia právna úprava sa v takomto konaní odvolávala na niektoré ustanovenia zákona č. 152/1998 Z. z. o sťažnostiach. Tento prístup spôsoboval v praxi nemalé problémy, keď dotknuté osoby si nie celkom správne vysvetľovali ustanovenia zákona o sťažnostiach a nedokázali ich správne aplikovať vo vzťahu k zákonu o ochrane osobných údajov.

Pojem „oznámenie“ sa v rámci právnej úpravy týkajúcej sa ochrany osobných údajov používa od roku 1998, keď sa prvýkrát objavil v zákone č. 52/1998 Z. z. Existuje aj v teraz platnom zákone o ochrane osobných údajov v ustanovení § 20 ods. 6 a navrhovanou úpravou sa pristúpilo k zjednoteniu zaužívanej terminológie.

Vybavovanie oznámenia sa vykonáva z dôvodu nájdenia pravdy, a preto je nevyhnutné, aby úrad disponoval takými právomocami, ktoré napomôžu presvedčivo a účinne zistiť, či konaním prevádzkovateľa, sprostredkovateľa alebo fyzickej osoby boli alebo neboli porušené základné práva a slobody dotknutej osoby v súvislosti so spracúvaním jej osobných údajov. Oznámenie môže podať nielen dotknutá osoba, ale každá fyzická osoba, ktorá tvrdí, že je priamo dotknutá vo svojich právach ustanovených týmto zákonom.

Navrhovaná úprava ustanovuje v odsekoch 3 a 4 podmienky aplikácie inštitútu odloženia oznámenia. V odseku 3 je upravený inštitút obligatórneho odloženia oznámenia a v odseku 4 inštitút fakultatívneho odloženia oznámenia úradom. O odložení oznámenia a dôvodoch jeho odloženia úrad upovedomí toho, kto oznámenie podal. Zákon dotknutým osobám účinne poskytuje viaceré práva, ktoré sú ustanovené v § 20. Spravidla je potrebné najprv aplikovať právo vyplývajúce pre dotknutú osobu zo zákona. Nečinnosť prevádzkovateľa je potom dôvodom na zákrok zo strany úradu. Lehota na vybavenie oznámenia je rovnaká ako v doteraz platnej právnej úprave aj napriek tomu, že sa očakáva zvýšená komunikácia pri vybavovaní oznámení s obdobnými úradmi na ochranu osobných údajov v členských štátoch Európskej únie, čo bude spôsobené zvýšeným voľným pohybom našich občanov v týchto členských štátoch. O vybavení oznámenia úrad oznamovateľa informuje. Ak oznamovateľ zistí v predmetnej veci nové skutočnosti, môže oznámenie podať opakovane. Podanie oznámenia nesmie byť oznamovateľovi na ujmu. To neplatí, ak sa obsahom svojho oznámenia dopustí trestného činu alebo priestupku. Oznámenie podané iným subjektom ako oznamovateľom, sa vybavuje ako konanie začaté z podnetu úradu, ak sa po preskúmaní oznámenia preukáže, že je tu dôvod na začatie konania. Účelom nového znenia § 45 je výstižnejšie a prehľadnejšie ustanoviť proces vybavovania oznámení fyzických osôb. Navrhované riešenie má znaky právnej úpravy, ktorá je zapracovaná do zákona o verejnom ochrancovi práv, ktorý rovnako rieši oznámenia a podania dotknutých osôb týkajúcich sa podozrenia z porušenia základných práv a slobôd. Navrhované spresnenia súvisia s prebratím obsahu Čl. 28 smernice 95/46/ES.

K bodu 48

Navrhovaná úprava priamo súvisí s úlohami, ktoré úradu vyplývajú priamo zo zákona, napr. v súvislosti s posudzovaním informačných systémov podľa doteraz platného zákona prihlásených na registráciu a teraz aj informačných systémov prihlásených na osobitnú registráciu. Môže ísť o situáciu, keď prevádzkovateľ vytvoril nový informačný systém, ktorý ešte neobsahuje žiadne osobné údaje a je len pripravený na to, aby systém naplnil. V tejto fáze prevádzkovateľ ešte nespracúva osobné údaje, preto niet čo blokovať, ale chce začať alebo už začal vykonávať určité aktivity, ktoré úzko súvisia so samotným spracúvaním, napr. mieni osloviť klientov, že bude požadovať osobné údaje na spracúvanie za určitých podmienok, pripravuje, dáva tlačiť alebo už distribuuje formuláre, prostredníctvom ktorých chce získavať osobné údaje, ktorých rozsah je v rozpore so zákonom o ochrane osobných údajov, no zatiaľ nezískal žiadny osobný údaj. Ide však o vysoko rizikové operácie s odôvodnenou obavou, že do informačného systému tohto prevádzkovateľa sa dostanú aj také osobné údaje, ktoré môžu vážnym spôsobom narušiť základné práva a slobody dotknutých osôb. Aj v takomto prípade, v súlade s Čl. 28 smernice 95/46/ES, musí úrad disponovať právomocami vydať dočasný alebo definitívny zákaz spracúvania.

K bodu 49

Navrhované spresnenie súvisí s kompetenciou úradu vydávať záväzné stanoviská v prípade pochybnosti o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania alebo využívania zodpovedajú účelu ich spracúvania, sú s daným účelom spracúvania zlučiteľné alebo sú časovo a vecne neaktuálne vo vzťahu k tomuto účelu, alebo či informačný systém podlieha registrácii, alebo či možno vykonať cezhraničný tok osobných údajov. V súlade s Čl. 28 smernice 95/46/ES je takéto rozhodovanie vo výlučnej kompetencii úradu a stanovisko úradu je záväzné. Navrhované doplnenie zjednocuje postup úradu pri vydávaní záväzných stanovísk z vlastného podnetu v prípade pochybností a opatrení v prípade zisteného porušenia zákona.

K bodu 50

Upravené znenie doteraz platného ustanovenia § 48 spresňuje oprávnenie úradu zverejniť nezákonné konanie prevádzkovateľov a sprostredkovateľov, ak svojim konaním spôsobili ujmu dotknutým osobám na ich právach pri spracúvaní ich osobných údajov alebo inak porušili povinnosti uložené týmto zákonom, medzi ktoré možno rátať aj nesplnenie úradom uložených opatrení. Takýmto oprávnením dozor nad ochranou osobných údajov v Slovenskej republike disponuje od 1. marca 1998, keď nadobudol účinnosť zákon č. 52/1998 Z. z. Táto možnosť zverejnenia je zakotvená v obdobných zákonoch členských štátov Európskej únie a je veľmi účinnou formou prevencie. Prevádzkovatelia a sprostredkovatelia sa zverejnenia obávajú natoľko, že prakticky okamžite vykonávajú požiadavky úradu a zabezpečia tak potrebnú ochranu osobných údajov. Ustanovenie dáva predsedovi úradu a vrchnému inšpektorovi právo zverejniť základné identifikačné údaje toho, kto sa dopustil porušenia tohto zákona, ako aj charakteristiku skutkového stavu porušenia ochrany osobných údajov. Prax ukázala, že je to aj jednou z foriem ako informovať širokú verejnosť o kontrolnej činnosti úradu a o nezákonnom spracúvaní osobných údajov niektorými prevádzkovateľmi. Povinnosť zverejniť základné informácie v rozsahu podľa § 48 ods. 1 písm. c) má prevádzkovateľ alebo sprostredkovateľ na vlastné náklady.

Opatrenia a rozhodnutia o pokute vydané úradom sú úzko naviazané na problematiku ochrany osobných údajov a prešetrovaný problém spravidla analyzujú v celej jeho šírke. Výsledkom sú často obsiahle a podrobné odôvodnenia, ktoré približujú a ozrejmujú nielen jednotlivé ustanovenia zákona, ale prinášajú aj návrhy, ako postupovať, aby neprichádzalo zo strany prevádzkovateľov a sprostredkovateľov k porušovaniu zákona. Obsah týchto odôvodnení, resp. ich časti, ktoré budú vhodné na zverejnenie, sa môžu stať zdrojom cenných informácií pre ostatných prevádzkovateľov a sprostredkovateľov, a najmä ich zodpovedné osoby pri aplikácii jednotlivých ustanovení zákona v praxi.

K bodu 51

Navrhované zmeny textu v § 49 ods. 1 až 4 súvisia s úpravami, spresneniami a doplneniami vykonanými najmä v ustanoveniach druhej časti zákona.

Bolo pristúpené k diferenciácii pokút za porušenie jednotlivých ustanovení zákona, a to tak, aby bola priamo do výšky možnej pokuty premietnutá závažnosť toho ktorého porušenia zákona. Zároveň bola ustanovená aj dolná hranica pokuty.

Pokuta za neposkytnutie súčinnosti a za nesplnenie povinností podľa § 46 ods. 1 a 2, ktorú bolo možné uložiť prevádzkovateľovi a sprostredkovateľovi až do výšky 10 mil. Sk, bola zredukovaná na 2 mil. Sk a zaradená medzi poriadkové pokuty.

K bodu 52

Navrhovaná zmena súvisí so úpravami v § 49 ods. 1 až 4 a rieši sankciu formou poriadkovej pokuty za nesplnenie povinnosti zverejnenia porušenia zákona uloženého prevádzkovateľovi alebo sprostredkovateľovi na základe § 48.

K bodu 53

Navrhovaná zmena súvisí s úpravami a spresneniami vykonanými v ustanovení § 45.

K bodu 54

Navrhované prechodné ustanovenia k úpravám účinným od 1. januára 2005 súvisia s úpravami a zmenami vykonanými v predchádzajúcom texte zákona.

K bodu 55

Navrhovaná príloha súvisí s úpravami a spresneniami vykonanými v ustanovení § 55 ods. 8 a s obsahom Čl. 32 ods. 1 smernice 95/46/ES.

Čl. II

Vzhľadom na viaceré upresnenia, zmeny a doplnenia vykonané v teraz platnom texte zákona o ochrane osobných údajov a vzhľadom na to, že sa tento zákon dotýka širokej verejnosti, nielen právnych subjektov, ktorí spracúvajú osobné údaje, ale aj dotknutých osôb, ktorým zákon priznáva práva, je žiadúce pre ďalšiu ľahšiu orientáciu v jeho ustanoveniach vydať po prijatí tohto zákona úplné znenie zákona o ochrane osobných údajov.

Čl. III

Experti Európskej komisie požadujú účinnosť euronovely zákona o ochrane osobných údajov ku dňu vstupu Slovenskej republiky do Európskej únie, respektíve v najkratšom možnom termíne po vstupe. Vzhľadom na pravidlá platné pre legislatívny proces, účinnosť zákona sa navrhuje od 1. januára 2005.

Bratislava 22. septembra 2004

Mikuláš D z u r i n d a

predseda vlády Slovenskej republiky

Gyula V e s z e l e i

predseda Úradu na ochranu osobných údajov

zobraziť dôvodovú správu

Načítavam znenie...