Ďalší pokus o aktualizáciu zákona o ochrane osobných údajov

Rok a pol po fiasku s novelou zákona o ochrane osobných údajov sa Úrad (na ochranu osobných údajov) pokúša o reparát – 12. septembra  2012 predložil do pripomienkovacieho konania návrh nového zákona o ochrane osobných údajov. Zaujímavé čítanie – aj keď ide len o návrh, ktorý nemusí zodpovedať tomu, čo nakoniec schváli Národná rada SR, jeho text a hlavne „filozofia“ navrhovaných zmien sú na míle vzdialené od predchádzajúceho pokusu. A hneď na úvod musím skonštatovať, že na rozdiel od predchádzajúceho pokusu ma teraz predložený návrh prekvapil príjemne.

Samozrejme, aj nový návrh zákona vychádza z tej istej Direktívy EÚ, ako „starý“ zákon (č. 428/2002 Z.z. v znení neskorších predpisov), ale viditeľne sa zmenil prístup k tomu, ako princípy, stanovené Direktívou, implementovať do slovenského právneho systému. Nový návrh je jasnejšie formulovaný, prehľadnejšie štrukturovaný, a konečne bez snahy vopchať do textu zákona všetky detaily, ktoré len autorov napadnú.

Základné členenie nového návrhu je zhruba  rovnaké,.ako v prípade „starého“ zákona (keďže obidva implementujú tú istú Direktívu EÚ), takže je možné si položiť obidva texty vedľa seba a okamžite vidieť rozdiely. Uvediem aspoň tie, ktoré pokladám za významné, resp. zaujímavé.

Definícia pojmu „osobné údaje“ sa nezmenila, ostatné používané pojmy nový návrh prezentuje v inom (podľa mňa logickejšom) poradí, miestami sú spresnené, niečo vypadlo (napr. audit IS), niečo pribudlo (napr. definícia pojmu „priestor prístupný verejnosti“). Jasnejšie a prehľadnejšie sú v novom návrhu sformulované povinnosti prevádzkovateľa, zástupcu prevádzkovateľa a sprostredkovateľa, ako aj vzťahy medzi nimi. Nový návrh tiež jasnejšie a presnejšie formuluje ustanovenia týkajúce sa právneho základu spracúvania osobných údajov – samostatne základný princíp („Prevádzkovateľ môže spracúvať osobné údaje len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby.“), následne spresnenia kedy možno spracúvať údaje bez súhlasu dotknutej osoby, potom ustanovenia vzťahujúce sa k získaniu údajov so súhlasom dotknutej osoby.

Vymedzenie tzv. osobitnej kategórie osobných údajov ostalo skoro rovnaké, zmenili sa však ustanovenia pre spracúvanie biometrických údajov. Konkrétne  – mierne sa rozšírili možnosti, kedy je možné spracúvať biometrické údaje a z paragrafu o výnimkách z obmedzení pri spracúvaní osobitných kategórií osobných údajov vypadli ustanovenia týkajúce sa biometrických údajov (§9 ods. 3 „starého“ zákona). Bezbrehému spracúvaniu biometrických údajov však naďalej bráni ustanovenie, podľa ktorého „Primeranosť, nevyhnutnosť a právny základ spracúvania biometrických údajov … posudzuje úrad“).

Zaujímavé je, že síce nový návrh prebral zo „starého“ zákona hlavnú časť ustanovenia týkajúceho sa získavania osobných údajov kopírovaním či skenovaním  úradných dokladov, ale odpadla následná veta „Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.“

Ustanovenie týkajúce sa monitorovania priestoru prístupného verejnosti, je v novom návrhu mierne spresnené (nielen „na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu“, ale aj „ochrany majetku alebo zdravia“, či povinnosť vyznačiť monitorovaný priestor „bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií“). Naviac, predĺžila sa lehota na uchovávanie záznamu z monitoringu („Ak vyhotovený záznam … nie je využitý na účely trestného konania alebo konania o priestupkoch, je ten, kto ho vyhotovil, povinný ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený…“;  v „starom“ zákone to je len 7 dní).

Zaujímavé zmeny sú v časti venovanej bezpečnosti osobných údajov. Vypracovanie bezpečnostného projektu má byť povinné len ak osobitné kategórie osobných údajov sú spracúvané v počítačovej sieti, alebo ak IS slúži na zabezpečenie verejného záujmu … teda v porovnaní so „starým“ zákonom vypadol prípad, kedy sa spracúvajú osobitné kategórie osobných údajov, ale systém nie je v počítačovej sieti. Po novom tiež pribudla výslovne uvedená povinnosť „bezodkladne zabezpečovať aktualizáciu opatrení prijatých podľa odseku 1 a 2 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných údajov v informačnom systéme.“ Naopak, úplne vypadli ustanovenia o audite IS. Čo sa týka samotného bezpečnostného projektu, namiesto pomerne detailného stanovenia jeho štruktúry a obsahu je v novom návrhu len odkaz na „všeobecne záväzný právny predpis, ktorý vydá úrad“.

K významným zmenám (v porovnaní so „starým“ zákonom) došlo v časti venovanej dohľadu nad ochranou osobných údajov. Kým „po starom“ má prevádzkovateľ povinnosť poveriť zodpovednú osobu dohľadom nad ochranou osobných údajov ak zamestnáva viac ako 5 osôb, „po novom“ vtedy, ak spracúva osobné údaje prostredníctvom 20 alebo viac oprávnených osôb. Nové je aj to, že poverená zodpovedná osoba bude musieť mať potvrdenie o vykonaní odbornej skúšky, vystavené Úradom (teda nie hocijaké školenie, ako to je v „starom“ zákone).

Za povšimnutie stoja aj zmeny v časti venovanej povinnosti registrácie, osobitnej registrácie, alebo evidencie informačného systému. Nové je to, že za registráciu a osobitnú registráciu sa bude vyberať správny poplatok („po starom“ to bolo zdarma). V údajoch registrácie/os.registrácie/evidencie pribudla položka „počet oprávnených osôb“, takže konečne môže dotknutá osoba získať predstavu o tom, koľko ľudí môže mať prístup k jej osobným údajom. Nové je aj zverejnenie registrácie/osobitnej registrácie Úradom na webe (doteraz to vyžadovalo poznať tzv. registračné číslo IS, ktoré poznal len prevádzkovateľ), ako aj povinnosť prevádzkovateľa zverejniť základné údaje z evidencie na svojej webstránke (ak ju má). Občanom, ktorí sa zaujímajú o to, kde sa vyskytujú ich osobné údaje, koľko osôb má k nim prístup, komu sa poskytujú, atď. sa tak uľahčí získanie základných informácií.

Druhá „polovica“ zákona sa venuje Úradu, jeho úlohám a organizácii práce a tak je napohľad pre bežného človeka nezaujímavá. Aj tam sú však v novom návrhu významné zmeny … a tieto sa dajú špekulatívne interpretovať ako reakcia nového vedenia na stav vnútri Úradu, ktorý zistilo pri nástupe do funkcie v polovici r. 2012 (zdá sa byť málo pravdepodobné, že by napríklad ustanovenia týkajúce sa podmienok pre vymenovanie a odvolanie inšpektorov, vrátane vrchného inšpektora, boli do nového návrhu vložené na základe tlaku verejnosti či prevádzkovateľov IS).

Medzi také zmeny patrí napríklad ustanovenie, podľa ktorého inšpektorov vymenúva a odvoláva predseda Úradu („po starom“ vláda na návrh predsedu), pričom v porovnaní so „starým“ zákonom vypadli taxatívne vymenované dôvody, pre ktoré je možné inšpektora odvolať. Nemožno si tiež nevšimnúť, že pribudli dôvody, pre ktoré možno odvolať vrchného inšpektora a ktoré v „starom“ zákone neboli (opakované neplnenie určených úloh, porušovanie pracovnej disciplíny, hrubé zanedbanie povinností, …). O niečom tiež asi vypovedajú zmeny, podľa ktorých vrchného inšpektora síce ešte vymenúva a odvoláva vláda na návrh predsedu, ale nemusí byť vybratý z radov inšpektorov, či podmienka, podľa ktorej vrchného inšpektora možno vymenovať najviac na dve po sebe nasledujúce funkčné obdobia. Bude veru zaujímavé sledovať, či sa v pripomienkovom konaní niekto postaví proti týmto zmenám (a ak áno, tak kto)…

Medzi ďalšie zaujímavé zmeny patria ustanovenia o kontrolnej činnosti Úradu, ktoré možno asi najlepšie charakterizovať ako viditeľná zmena v nahliadaní Úradu na kontrolované subjekty. Konkrétne, kým „po starom“ sa zákon venoval predovšetkým stanoveniu povinností kontrolovanej osoby a oprávnení kontrolného orgánu, „po novom“ sú ustanovenia tejto časti vyváženejšie – pribudli oprávnenia kontrolovanej osoby a povinnosti kontrolného orgánu.

Celkovo hodnotím návrh nového zákona ako príjemné prekvapenie a príklad, ako je možné sprehľadniť a „poľuďštiť“ doteraz platný zákon o ochrane osobných údajov. Osobne ma tiež potešilo, že konečne z textu zákona o ochrane osobných údajov vypadli časti, ktoré (v „starom“ zákone) ako keby formuloval nejaký fanatik do byrokratických postupov – 5 odsekov detailne pojednávajúcich len o doručovaní písomností či odsek detailne rozoberajúci počítanie lehoty.

A ešte záverečná poznámka – z praktického hľadiska by mali predovšetkým prevádzkovateľov zaujímať prechodné ustanovenia nového návrhu (obzvlášť §76). Podľa nich sa totiž účinnosťou nového zákona zrušia všetky poverenia zodpovedných osôb (výkonom dohľadu nad ochranou osobných údajov) vystavené podľa „starého“ zákona a budú mať rok na ich vystavenie už podľa nového zákona. Podobne sa zrušia registrácie a osobitné registrácie udelené podľa starého zákona a prevádzkovatelia budú mať tri mesiace na prihlásenie do registrácie či osobitnej registrácie podľa nového zákona. Ďalej, prevádzkovatelia i sprostredkovatelia budú povinní vykonať poučenie oprávnených osôb v súlade s novým zákonom do troch mesiacov odo dňa jeho účinnosti. Atď.

Jozef