LP/2017/453 Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Účelom návrhu zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“) je dosiahnuť súlad vnútroštátneho právneho poriadku pre oblasť ochrany osobných údajov s Nariadením Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej „nariadenie“).Navrhovaným zákonom sa zároveň transponuje Smernica Európskeho parlamentu a rady (EÚ) č. 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (ďalej „smernica“) do právneho poriadku Slovenskej republiky. Nariadenie a smernica vytvárajú nový modernizovaný právny rámec ochrany osobných údajov v členských štátoch Európskej únie, ktorý má za cieľ zabezpečiť rešpektovanie základných práv a slobôd, predovšetkým práva na ochranu osobných údajov, v prostredí nových informačných a komunikačných technológií a zároveň podporiť posilňovanie a zbližovanie ekonomík členských štátov Európskej únie v rámci vnútorného trhu Európskej únie.

Nový právny rámec ochrany osobných údajov zohľadňuje zmeny v oblasti spracúvania osobných údajov za obdobie viac ako dvadsiatich rokov od prijatia smernice 95/46. V súčasnosti sa údaje vrátane osobných údajov v omnoho väčšej miere spracúvajú a prenášajú prostredníctvom počítačov a ďalších informačných a informačno – komunikačných technológií. Nemožno opomenúť ani rozšírenie globálneho podnikania, výskyt materských a dcérskych spoločností so sídlom a prevádzkou v rôznych krajinách a s tým spojeného globálneho využívania osobných údajov s dopadom na oblasť ochrany osobných údajov, a to najmä z pohľadu zvýšenia počtu cezhraničného spracúvania osobných údajov a prenosov osobných údajov, a to nielen do členských krajín Európskej únie, ale vo veľkej miere do tzv. tretích krajín mimo územia Európskej únie. Zmeny nastali aj v oblasti uchovávania osobných údajov a v spracúvaní osobných údajov sprostredkovateľmi. Samotné cloudové služby sú už dnes bežnou súčasťou spracovateľských operácií prevádzkovateľov alebo sprostredkovateľov a rozšíreným spôsobom uchovávania osobných údajov, tak zo strán finančných inštitúcii ako sú banky, poisťovne, či zo strany zamestnávateľov a sociálnych médií. Mnohokrát sa pritom úložiská osobných údajov nachádzajú mimo územia Európskej únie. V neposlednom rade je potrebné spomenúť primárny účel nariadenia, a to komplexná, prepracovaná a v značnej miere nová právna úprava práv dotknutých osôb pri spracúvaní ochrany osobných údajov.

Spracúvanie osobných údajov je bežnou súčasťou činností nielen v súkromnej a komerčnej sfére, ale aj pri vykonávaní činností orgánov verejnej moci spojených s plnením funkcií a úloh štátu. Aj tu je potrebné zabezpečiť ochranu osobných údajov v súlade s medzinárodnými záväzkami Slovenskej republiky a ústavnými garanciami. Z tohto dôvodu predkladaný návrh zákona o ochrane osobných údajov okrem toho, že je implementačným aktom pre nariadenie a zároveň transponuje smernicu, predstavuje právny rámec ochrany osobných údajov tiež pre tie spracovateľské operácie, ktoré sa vykonávajú v rámci činností, ktoré nespadajú do pôsobnosti práva Európskej únie, a ktorý je zosúladený a konzistentný s právnou úpravou ochrany osobných údajov v nariadení. Takýmto spôsobom sa zaisťuje harmonizovaná právna úprava ochrany osobných údajov na úrovni vnútroštátneho práva Slovenskej republiky.

Cieľom novej právnej úpravy je zabezpečiť jednotnú právnu reguláciu ochrany osobných údajov vo vnútroštátnom práve, zaistiť výkon práv dotknutých osôb a kontrolu nad spracúvaním ich osobných údajov v rozsahu garantovanom nariadením a smernicou, a tak podporiť dôveru dotknutých osôb v právny rámec zabezpečujúci ich základné ľudské práva, najmä právo na súkromie, upraviť práva a povinnosti prevádzkovateľov a sprostredkovateľov s dôrazom na materiálne plnenie stanovených povinností a zaistenie reálnej bezpečnosti spracúvania osobných údajov. Zároveň predmetný právny rámec upravuje aj úlohy a právomoci dozorného orgánu nad ochranou osobných údajov vrátane rozšírenia právomocí pre oblasť vzájomnej spolupráce medzi dozornými orgánmi v jednotlivých členských štátoch Európskej únie.

Nová právna úprava preto v druhej a tretej časti navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov a sprostredkovateľov, na ktoré sa nevzťahujú pravidlá ochrany fyzických osôb pri pracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov podľa nariadenia. Štvrtá časť navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov, ktorými sú príslušné orgány pri spracúvaní osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií na základe transpozície smernice. Piata časť navrhovanej právnej úpravy vo svojich ustanoveniach je tzv. implementačnou/vykonávacou časťou zákona, ktorá dopĺňa osobitné pravidlá spracúvania osobných údajov stanovené nariadením. Návrh zákona vo vzťahu k spracúvaniu v rámci tejto časti upravuje to, čo nariadenie výslovne ukladá alebo umožňuje jednotlivým členským štátom upraviť osobitnou vnútroštátnou úpravu v medziach právneho rámca nariadenia; ide o úpravu členského štátu využijú v tzv. splnomocňujúce ustanovenia nariadenia. Konkrétne ide o osobitné úpravy spracúvania osobných údajov upravujúce pravidlá spracúvania osobných údajov na akademické, umelecké, literárne a žurnalistické účely; pravidlá spracúvania osobných údajov v súvislosti so zamestnaním; spracúvanie národného identifikačného čísla a prenos osobitnej kategórie osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov, spracúvanie genetických údajov, biometrických údajov a údajov týkajúcich sa zdravia; ako aj úprava spracúvania osobných údajov  na vedecké účely, účely historického výskumu alebo štatistické účely. Zároveň nariadenie určuje členským štátom prijať pravidlá týkajúce sa postavenia a organizácie dozorného orgánu v rámci vnútroštátneho právneho poriadku členského štátu. Táto právna úprava postavenia dozorného orgánu Slovenskej republiky, ako aj procesné pravidlá pre výkon kontroly a konanie o ochrane osobných údajov dozorným orgánom Slovenskej republiky, Úradu na ochranu osobných údajov Slovenskej republiky, je upravená v piatej časti navrhovaného zákona.

Nová právna úprava výslovne stanovuje, že súhlas dotknutej osoby musí byť jasne oddeliteľný od iných podmienok a dojednaní a tiež, že súhlas dotknutej osoby je možné kedykoľvek odvolať bez uvedenia dôvodu. Zároveň sa stanuje veková hranica pre zákonné spracúvanie osobných údajov detí v súvislosti s ponukou služieb informačnej spoločnosti.

Novým legislatívnym rámcom sa posilňujú práva dotknutých osôb. Vyžaduje sa informačná povinnosť v širšom rozsahu, ktorá umožňuje jednoduchší výkon práv dotknutých osôb (napr. prostredníctvom uvedenia kontaktných údajov zodpovednej osoby). Dotknutým osobám sa explicitne garantujú  práva doteraz vyplývajúce iba z judikatúry alebo aplikačnej praxe dozorných orgánov (právo na prístup k údajom vrátane kópií spracúvaných osobných údajov, právo na zabudnutie, právo na obmedzenie spracúvania) a tiež sa upravujú a stanovujú  nové práva (právo na prenosnosť údajov).