Aj keď nám v minulom roku pribudol „nový“ zákon o ochrane osobných údajov (122/2013 Z.z.), až tak nový zas nie je, nakoľko rovnako ako predchádzajúci (428/2002 Z.z.) vychádza z Direktívy EU 95/46/EU, prijatej pred 19 rokmi (v októbri 1995). Nie je však žiadnym tajomstvom, že už niekoľko rokov sa v EÚ pripravuje náhrada tejto direktívy, pričom všetko nasvedčuje tomu, že od konečného znenia nového nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov nás delí už len niekoľko mesiacov. Aspoň také úmysly má nový šéf Európskej komisie, ktorý v listoch („mission letters“) pre budúcich viceprezidentov a komisárov EK uvádza aj očakávanú zodpovednosť vybraných členov EK za dokončenie rokovaní o reforme pravidiel pre ochranu osobných údajov v EÚ počas prvých 6 mesiacov ich mandátu.
Konečné znenie nového nariadenia ešte nie je známe. Čo-to však napovedá aj súčasný stav, t.j. text, ktorý schválil Európsky parlament (predchádzajúci, pred ukončením svojho funkčného obdobia) … jeho zásadné či rozsiahle zmeny nie sú veľmi pravdepodobné. Zaujímavý náhľad dá už samotné štúdium úprav, ktorými poslanci EP zmenili pôvodný návrh nariadenia, predložený Európskou komisiou (na stránke EP je dostupná aj slovenská verzia). Porovnanie so súčasným zákonom o ochrane osobných údajov zas pekne ilustruje, aké plané boli nádeje tých, ktorí odmietali „nový“ zákon o ochrane osobných údajov s odôvodnením, že je lepšie počkať na nové nariadenie – ochrana osobných údajov sa pripravovaným nariadením neuvoľňuje, ale sprísňuje.
Pochopiteľne, komentovaný zoznam všetkých zmien v porovnaní s platnou legislatívou by prekonal rozsah informatívneho článku, tak uvediem len niektoré. Napríklad, nariadenie sa má vzťahovať aj na spracovanie osobných údajov prevádzkovateľom alebo spracovateľom, ktorý „nemá sídlo v Únii, pričom spracovateľská činnosť súvisí s ponukou tovaru alebo služieb dotknutým osobám v Únii, a to bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba“, alebo ak ide o „sledovanie takýchto dotknutých osôb“.
Za novinku možno považovať výslovné ustanovenia o spracovaní osobných údajov detí, teda niečo, čo doterajšia legislatíva nejako zvlášť neupravovala. Po novom „v súvislosti s ponukou tovarov alebo služieb adresovanou priamo dieťaťu, je spracúvanie osobných údajov dieťaťa mladšieho než 13 rokov zákonné iba vtedy a do takej miery, ako bol súhlas vyjadrený alebo schválený rodičom dieťaťa alebo jeho zákonným zástupcom“ . A aby to bolo úplne jasné, „informácie poskytované deťom, rodičom a zákonným zástupcom, aby vyjadrili súhlas, … by sa mali poskytovať zrozumiteľným jazykom, vhodným pre zamýšľaného adresáta“.
Doteraz používaný pojem osobitných kategórií osobných údajov (teda v istom zmysle „citlivejších“ osobných údajov) sa v novom nariadení rozšíri – po novom tam majú patriť údaje odhaľujúce „rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické presvedčenie, sexuálnu orientáciu alebo rodovú identitu , členstvo a činnosť v odboroch, ako aj spracúvanie genetických alebo biometrických údajov alebo údajov týkajúcich sa zdravia či sexuálneho života, administratívnych sankcií, rozsudkov, trestných činov alebo predpokladaných trestných činov, odsúdení či súvisiacich bezpečnostných opatrení“.
Na Slovensku sa zaužívalo na ochranu osobných údajov nahliadať ako na hŕbku povinností, ktoré zákon ukladá tým, ktorí osobné údaje spracúvajú – len zriedka ako na zabezpečenie jedného zo základných ľudských práv fyzických osôb. Nové nariadenie výslovne uvádza, že „základom ochrany údajov sú jasné a jednoznačné práva dotknutých osôb, ktoré prevádzkovateľ rešpektuje“ . A aby bolo úplne jasné, text nariadenia výslovne uvádza, čo pod týmto rozumieť – „… poskytovanie jasných a ľahko zrozumiteľných informácií o spracúvaní osobných údajov dotknutých osôb, právo na prístup k údajom, právo na opravu a výmaz svojich údajov, právo na získanie údajov, právo namietať proti profilovaniu, právo podať sťažnosť na príslušnom orgáne pre ochranu údajov a začať súdne konanie, ako aj právo na kompenzáciu a náhradu škody vyplývajúcej z nezákonného spracovania“.
Novinkou je aj povinnosť „v prípade, že dôjde k porušeniu ochrany osobných údajov, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dozornému orgánu“, pričom nariadenie stanovuje aj minimálne informácie, ktoré také oznámenie musí obsahovať. Dozorný orgán (= Úrad na ochranu osobných údajov) podľa nového nariadenia bude viesť verejný register typov oznámených porušení. Neostane však len pri tom – ak je pravdepodobné, že také porušenie ochrany bude mať „nepriaznivý vplyv na ochranu osobných údajov, súkromie, právo alebo oprávnené záujmy dotknutej osoby“, prevádzkovateľ „ informuje bez zbytočného odkladu dotknutú osobu o porušení ochrany osobných údajov“. A nebude to môcť len tak odfláknuť – takáto informácia má byť „vyčerpávajúca a vyjadrená jasným a jednoduchým jazykom“, má obsahovať „opis charakteru porušenia ochrany osobných údajov,“ ale aj kontaktné údaje na osobu/miesto, kde možno získať viac informácií, odporúčania na zmiernenie potenciálnych nepriaznivých účinkov porušenia ochrany osobných údajov a „informácie o právach dotknutej osoby vrátane prostriedkov nápravy.“
Tzv. osobu poverenú výkonom dohľadu nad spracovaním osobných údajov síce poznal aj slovenský zákon č. 428/2002 Z.z. o ochrane osobných údajov, ale väčší rozruch v tejto súvislosti spôsobil až „nový“ zákon o ochrane osobných údajov (122/2013 Z.z.), ktorý požadoval výslovné overenie odborných znalostí takejto osoby skúškou vykonanou Úradom na ochranu osobných údajov. Nevôľa, ktorú táto požiadavka vyvolala, viedla k zmäkčeniu pôvodnej povinnosti mať takúto osobu – novela zákona č. 84/2014 Z.z. zmazala podmienku mať aspoň 20 osôb pracujúcich s osobnými údajmi a povinnosť poveriť takúto osobu zmenila na možnosť. Toto „víťazstvo“ však bude zrejme len dočasné – nové nariadenie ukladá povinnosť určiť takúto osobu v každom prípade, kedy
Povinnosť vykonania odbornej skúške takouto osobou sa síce v nariadení nespomína, ale zato sa výslovne uvádza, že prevádzkovateľ určí takúto osobu „na základe odborných kvalít, a to najmä na základe odborných znalostí práva a praxe v oblasti ochrany údajov“ a na základe jej schopností plniť úlohy uvedené v nariadení (v podstate zabezpečiť, aby prevádzkovateľ plnil povinnosti stanovené nariadením).
Novinou nariadenia sú aj samostatné ustanovenia o spracúvaní osobných údajov týkajúcich sa zdravia, spracúvaní osobných údajov v súvislosti so zamestnaním a spracúvaní osobných údajov v oblasti sociálneho zabezpečenia.
Samozrejme, nariadenie má aj ustanovenia týkajúce sa sankcii. Podľa nariadenia „Dozorný orgán uloží každému subjektu, ktorý nedodržiava povinnosti stanovené v tomto nariadení, aspoň jednu z týchto sankcií:
Ako to ďalej dopadne, aké bude nakoniec znenie nariadenia, zatiaľ nie je jasné – Európsky parlament svoju časť urobil, pokračovanie čaká na ustanovenie novej Európskej komisie a k tomu dôjde až po vypočúvaní kandidátov na jej členov pred výbormi Európskeho parlamentu – a to začalo len včera. Bude teda potrebné ešte nejaký čas počkať.
Jozef