Spracovávate osobné údaje? Dajte si pozor na termíny.

Nový zákon o ochrane osobných údajov č. 122/2013 Z.z., ktorý vyšiel z dielne Úradu na ochranu osobných údajov Slovenskej republiky vstúpil do platnosti 1. júla 2013zrušil a úplne nahradil zákon č. 428/2002 Z. z. o ochrane osobných údajov. Komplikáciou pre prevádzkovateľov a sprostredkovateľov napr. e-shopov môže byť skutočnosť, že aj táto nová právna úprava, ktorej sa budú musieť prispôsobiť bude už v pomerne krátkom čase nahradená novou celoeurópskou úpravou, keďže sa pripravuje jednotné nariadenie EÚ o ochrane osobných údajov.

Zákon prináša významné zmeny, ktoré ste povinní splniť a zosúladiť s novým zákonom do presne stanoveného termínu od nadobudnutia platnosti zákona:

Povinnosť

termín

Prevádzkovateľ uvedie do súladu s novým zákonom všetky informačné systémy, v ktorých spracováva osobné údaje

do 31.12.2013

Prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených osôb (v zákone je uvedená nová definícia oprávnenej osoby).
Pozor: Fyzická osoba, ktorá spĺňa podmienky oprávnenej osoby zadefinované v zákone, sa stáva oprávnenou osobou až dňom jej písomného poučenia

do 31.12.2013

Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu alebo osobitnú registráciu.

do 31.12.2013

Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s novým zákonom.

do 31.03.2014

Prevádzkovateľ je povinný dať zmluvný vzťah so sprostredkovateľom do súladu s novým zákonom.

do 30.06.2014

Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu.

do 30.06.2014

Okrem prevádzkovateľa je oprávnený spracúvať osobné údaje aj sprostredkovateľ. Sprostredkovateľ je však oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa. Sprostredkovateľ vykonáva všetky úkony smerujúce na dosiahnutie účelu spracúvania v mene prevádzkovateľa. V prípade, že sprostredkovateľ má osobné údaje z informačného systému poskytovať inému prevádzkovateľovi, je oprávnený tak učiniť, len ak mu to vyplýva z písomnej zmluvy. To platí aj na sprístupňovanie, zverejňovanie, likvidáciu, prípadne iné spracovateľské operácie s osobnými údajmi. Na zabezpečenie týchto úloh musí zmluva obsahovať konkrétne vymedzenie rozsahu a podmienok, za ktorých sa spracúvanie osobných údajov vykonáva.

Prevádzkovateľ je povinný dbať pri výbere sprostredkovateľa najmä na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť zabezpečiť spracúvanie osobných údajov v súlade s týmto zákonom. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

Aplikačná prax priniesla požiadavku na zadefinovanie náležitostí takejto zmluvy medzi prevádzkovateľom a sprostredkovateľom, ktorá poskytne väčšiu právnu istotu ako doterajšia právna úprava. Návrh zákona pritom neustanovuje povinnosť vypracovať samostatnú zmluvu, ktorej obsahom by boli tieto práva a povinnosti sprostredkovateľa pri spracúvaní osobných údajov; je ponechané na rozhodnutí zmluvných strán, či obsahové náležitosti začlenia do iného zmluvného typu, alebo pristúpia k uzatvoreniu osobitnej zmluvy.

Prevádzkovateľ k predmetnému informačnému systému musí mať vypracovaný bezpečnostný projekt, bezpečnostnú smernicu alebo základnú dokumentáciu a poučené oprávnené osoby podľa § 21 a § 22 zákona o ochrane osobných údajov.

Registrácii podliehajú informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania (len v počítači alebo aj v počítači, aj v papierovej podobe), ak sa na nevzťahuje niektorá z výnimiek z registrácie.

Prevádzkovateľ je povinný vyplniť Žiadosť o registráciu

  • prostredníctvom internetovej stránky úradu, odoslať prostredníctvom internetu úradu (po vyplnení žiadosti stlačiť tlačítko generovať žiadosť v .pdf), vytlačiť, podpísať, opatriť pečiatkou, priložiť prílohu, v ktorej uvedie popis podmienok spracúvania osobných údajov, zaslať úradu doporučenou zásielkou, alebo prostredníctvom elektronickej podateľne, opatriť zaručeným elektronickým podpisom, alebo
  • vytlačiť prázdnu Žiadosť o registráciu a vyplniť, podpísať, opatriť pečiatkou, priložiť prílohu, v ktorej uvedie popis podmienok spracúvania osobných údajov, zaslať úradu doporučenou zásielkou
  • a zaplatiť správny poplatok 

Sprostredkovateľ, ktorý je oprávnený spracúvať osobné údaje iba v mene prevádzkovateľa, musí mať v zmysle novej právnej úpravy rozsah a podmienky dojednané s prevádzkovateľom v písomnej zmluve, ktorá spĺňa náležitosti Nového zákona. Táto by mala obsahovať, okrem iného, identifikáciu zmluvných strán, presne určený účel, rozsah a podmienky spracúvania osobných údajov, dátum začatia spracúvania osobných údajov sprostredkovateľom, zoznam osobných údajov, trvanie zmluvy a dátum uzatvorenia zmluvy. Možnosť jednostranného písomného poverenia, ktorá existovala podľa Pôvodného zákona, bola v novej právnej úprave vypustená.

Sprostredkovateľ je povinný vykonávať spracúvanie osobných údajov vlastnými kapacitami. Pokiaľ hodlá použiť inú osobu (vynímajúc vlastných zamestnancov), označenú v Novom zákone ako subdodávateľ, musí byť o tomto prevádzkovateľ informovaný a takáto možnosť v zmluve s prevádzkovateľom dojednaná. Subdodávateľ vždy spracúva osobné údaje na zodpovednosť sprostredkovateľa, ktorý zostava priamo zodpovedný za takéto spracúvanie a ochranu osobných údajov voči prevádzkovateľovi, čiže Nový zákon opakuje štandardné zmluvné princípy.

Nový zákon obsahuje novú súhrnnú časť označenú ako „Právny základ spracúvania osobných údajov“, ktorý obsahuje zmenené ustanovenia upravujúce oprávnenie na spracúvanie osobných údajov, rozšírenú úpravu spracúvania osobných údajov bez súhlasu dotknutej osoby, osobitné ustanovenia upravujúce súhlas dotknutej osoby a osobitné kategórie osobných údajov a ich spracúvanie a vykonávanie iných operácií s osobnými údajmi.

Prevádzkovateľ je oprávnený spracúvať osobné údaje iba na základe (i) priamo vykonateľného záväzného právneho aktu Európskej únie, (ii) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, (iii) ustanovení Nového zákona alebo osobitného zákona, alebo (iv) súhlasu dotknutej osoby. Sprostredkovateľ je oprávnený spracúvať osobné údaje na rovnakom právnom základe, len v rozsahu a za podmienok dohodnutých v písomnej zmluve s prevádzkovateľom.

Zaujímavosťou je, že Nový zákon výslovne oprávňuje zamestnávateľa - prevádzkovateľa sprístupniť alebo zverejniť osobné údaje zamestnanca v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných či funkčných povinností zamestnanca.

Prevádzkovateľ je zodpovedný za bezpečnosť osobných údajov. Prevádzkovateľ musí zabezpečiť ochranu osobných údajov prijatím bezpečnostných opatrení, vrátane technických, organizačných a personálnych opatrení, ktoré sú novo rozčlenené. Podobne ako v predchádzajúcej právnej úprave, prevádzkovateľ musí zabezpečiť ochranu osobných údajov prijatím bezpečnostných opatrení a zdokumentovať ich v bezpečnostnej dokumentácii. Táto má mať štandardne formu bezpečnostnej smernice v prípade ak (i) je jeho informačný systém prepojený s verejnou prístupnou počítačovou sieťou (napr. internetom), alebo (ii) hoci nie je prepojený s verejne dostupnou počítačovou sieťou, spracúva osobitné kategórie osobných údajov. V prípade ak prevádzkovateľ spracúva osobitné kategórie osobných údajov a súčasne je jeho informačný systém prepojený s verejne prístupnou sieťou, vyžaduje sa forma bezpečnostného projektu. Ak nie je splnená žiadna z vyššie uvedených podmienok, prevádzkovateľ len priebežne dokumentuje dodržiavanie bezpečnosti a prípadné bezpečnostné incidenty. Podrobná úprava rozsahu a dokumentácie bezpečnostných opatrení bude upravená vo vyhláške Úradu. Prevádzkovateľ bude povinný zosúladiť vypracované bezpečnostné opatrenia s Novým zákonom do deviatich mesiacov od účinnosti Nového zákona.

Nový zákon ustanovuje, že prevádzkovateľ je povinný výkonom dohľadu nad ochranou osobných údajov písomne poveriť jednu alebo viac zodpovedných osôb najneskôr v lehote 60 dní, ak spracúva osobné údaje prostredníctvom dvadsať (20) a viac oprávnených osôb. V porovnaní s predchádzajúcou právnou úpravou sa zvýšil limit, kedy je potrebné poveriť zodpovednú osobu, zároveň sa toto kritérium už neviaže na počet zamestnancov, ale počet oprávnených osôb prostredníctvom ktorých sa osobné údaje spracúvajú. Na druhej strane sa neumožňuje doteraz uplatňované vyhnutie sa povinnosti registrácie dobrovoľným vymenovaním zodpovednej osoby, nakoľko sa striktne stanovuje, že v prípade ak prevádzkovateľ spracúva osobné údaje prostredníctvom menej ako dvadsať (20) osôb, je povinný svoj informačný systém registrovať a zároveň sa vyňala možnosť dobrovoľného vymenovania zodpovednej osoby. Okrem uvedeného, za registráciu informačného systému je prevádzkovateľ povinný zaplatiť správny poplatok. Týmto vzniká u značnej časti podnikateľských subjektov, u ktorých doteraz postačovala interná evidencia, povinnosť registrácie.

Podobné články

DISKUSIA