Portál určený zdravotníckym pracovníkom, právnikom a zamestnancom štátnych a verejných inštitúcií

Online časopis

Zmeny povinností pri ochrane osobných údajov

Dátum: Rubrika: Právo

Koncom apríla tohto roku schválila Národná rada Slovenskej republiky úplne nový zákon č. 122/2013 Z. z. o ochrane osobných údajov (ďalej len „nový zákon o ochrane osobných údajov“). Nový zákon o ochrane osobných údajov nadobudol účinnosť od 1. júla 2013 a je teda potrebné zosúladiť stav spracúvania osobných údajov s jeho nanovo zadefinovanými požiadavkami. Hoci zmena zásadných princípov ochrany osobných údajov nateraz nebola realizovateľná, z dôvodu nezmenenej medzinárodnej legislatívy, viacero inštitútov dennodennej praxe pri spracúvaní osobných údajov bolo výrazne zmenených.

Z pohľadu prevádzkovateľa, ktorý vo svojom informačnom systéme spracúva osobné údaje dotknutých osôb, pribudlo viacero povinností. Najväčšie zmeny možno identifikovať v nasledujúcich oblastiach právnej úpravy, ktorých podstatu si ďalej rozoberieme:

  1. vzťah prevádzkovateľa a sprostredkovateľa,
  2. rozšírenie právnych základov spracúvania osobných údajov,
  3. spracúvanie biometrických údajov,
  4. bezpečnostná dokumentácia,
  5. poučenie oprávnených osôb,
  6. zodpovedná osoba,
  7. registrácie a osobitná registrácia,
  8. konanie a sankcie.

Vzťah prevádzkovateľa a sprostredkovateľa

Zásadné zmeny právnej úpravy možno identifikovať už od úvodných paragrafov nového zákona o ochrane osobných údajov. Ustanovenie § 8 upravuje vzťahy prevádzkovateľa informačného systému so sprostredkovateľom, ktorého poveril výkonom určitej časti spracovateľských operácií. Možnosť moderne outsourcovať niektoré úkony, ktorých realizácia by mohla byť pre prevádzkovateľa neekonomická, príliš zložitá či náročná na čas, existovala aj v predošlom zákone č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „starý zákon o ochrane osobných údajov“). Zmeny však smerujú k prísnejšej formalizácii predmetného vzťahu. Kým stará úprava umožňovala výber sprostredkovateľa písomnou zmluvou alebo písomným poverením, nový zákon o ochrane osobných údajov pripúšťa upraviť tento vzťah výlučne len vo forme písomnej zmluvy. Predošlý pokus o zmenu legislatívy pred niekoľkými rokmi zo strany dozorného orgánu, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“), sa snažil prikázať pre tento vzťah konkrétne zmluvné typy. Nový zákon o ochrane osobných údajov od tejto požiadavky upustil, no zadefinoval obsahové náležitosti písomnej zmluvy, kam zákonodarca zaradil identifikačné údaje zmluvných strán, deň vzniku oprávnenia na spracúvanie osobných údajov v mene prevádzkovateľa, účel spracúvania osobných údajov, názov informačného systému, a tiež zoznam spracúvaných osobných údajov, okruh dotknutých osôb, podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi, súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby (ak povoľuje sprostredkovateľovi najatie subdodávateľa), určenie zmluvného obdobia, dátum uzatvorenia zmluvy, a tiež podpisy zmluvných strán.

Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov prijatím primeraných opatrení. Spracúvanie osobných údajov nesmie zveriť sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb. O tom, že postupoval v súlade s týmito požiadavkami, urobí prevádzkovateľ vyhlásenie, ktoré je povinne súčasťou zmluvy ako jedna z jej obsahových náležitostí.

Novinkou, ktorá môže zásadným spôsobom ovplyvniť vzťah prevádzkovateľa so sprostredkovateľom, je aj povinnosť adresovaná sprostredkovateľovi – hodnotiť konanie prevádzkovateľa z pohľadu požiadaviek nového zákona o ochrane osobných údajov. Ak totiž sprostredkovateľ zistí, že sa prevádzkovateľ pri spracúvaní osobných údajov dopustil zjavného porušenia nového zákona o ochrane osobných údajov, je povinný ho na to písomne upozorniť a do vykonania nápravy robiť len také operácie s osobnými údajmi, ktoré neznesú odklad. Prevádzkovateľ je následne povinný bez zbytočného odkladu vykonať nápravu sprostredkovateľom vytýkaných nedostatkov. Čas určený na uvedenú nápravu však nemôže presiahnuť lehotu jedného mesiaca odo dňa doručenia písomného upozornenia sprostredkovateľa. Pokiaľ prevádzkovateľ na upozornenie sprostredkovateľa nezareaguje odstránením stavu porušujúceho jeho zákonné povinnosti, sprostredkovateľ je povinný informovať o tom bez zbytočného odkladu úrad. Motiváciou pre plnenie tejto povinnosti má byť pre sprostredkovateľa fakt, že pokiaľ tak neurobí, zodpovedá za porušenie povinnosti a za škodu spôsobenú porušením tejto povinnosti spoločne a nerozdielne spolu s prevádzkovateľom. Či to bude dostatočne motivujúce, aby sprostredkovateľ ako dodávateľ služieb nahlasoval prevádzkovateľa ako odberateľa svojich služieb dozornému orgánu, ktorý je oprávnený ukladať sankcie do výšky 300 000 €, ukáže až aplikačná prax. Možno však predpokladať, že takýto krok sprostredkovateľa by mal za nás

Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).



Bezplatný odpovedný servis pre predplatiteľov

Vaše otázky môžete zadať na www.otazkyodpovede.sk.

Seriály