Ochrana osobných údajov

Nariadenie Európskeho parlamentu a Rady EÚ

Dňa 4. 5. 2016 bolo v Úradnom vestníku Európskej únie zverejnené Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane a ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). Nariadenie sa začne uplatňovať od 25. mája 2018. Do uvedeného termínu sa naďalej aplikuje zákon NR SR č. 122/2013 Z. z. o ochrane osobných údajov.

NARIADENIE ÚČINNÉ OD 25. MÁJA 2018, bude predstavovať moderný, na zodpovednosti založený rámec pre dodržiavanie pravidiel v oblasti ochrany osobných údajov v Európe. Zodpovedná osoba je v tomto rámci pre mnoho spoločností kľúčovým inštitútom pre zabezpečenie súladu s ustanoveniami Nariadenia.

Pokiaľ ide o vecné vymedzenie pôsobnosti nariadenia, vzťahuje sa na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

NARIADENIE SA NEVZŤAHUJE na otázky ochrany základných práv a slobôd ani na voľný tok osobných údajov týkajúcich sa činností, ktoré nepatria do pôsobnosti práva Únie, ako sú činnosti týkajúce sa národnej bezpečnosti. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov členskými štátmi pri vykonávaní činností v súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie. Nevzťahuje sa tiež na spracúvanie osobných údajov fyzickou osobou v priebehu výlučne osobnej alebo domácej činnosti, a teda bez spojenia s profesijnou alebo komerčnou činnosťou. Osobné alebo domáce činnosti by mohli zahŕňať korešpondenciu a uchovávanie adries či využívanie sociálnych sietí a online činnosti vykonávané v kontexte takýchto činností. Toto nariadenie sa však vzťahuje na prevádzkovateľov alebo sprostredkovateľov, ktorí poskytujú prostriedky na spracúvanie osobných údajov na takéto osobné alebo domáce činnosti.

POKIAĽ IDE O VYMEDZENIE ÚZEMNEJ PÔSOBNOSTI, Nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzky prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie. Vzťahuje sa tiež na spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, pričom spracovateľská činnosť súvisí buď s ponukou tovaru alebo služieb týmto dotknutým osobám v Únii bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo so sledovaním ich správania, pokiaľ ide o ich správanie na území Únie. Nariadenie sa vzťahuje aj na spracúvanie osobných údajov prevádzkovateľom, ktorý nie je usadený v Únii, ale na mieste, kde sa na základe medzinárodného práva verejného uplatňuje právo členského štátu.

Podľa Nariadenia je povinnosťou niektorých prevádzkovateľov a sprostredkovateľov určiť zodpovednú osobu. To bude platiť pre orgány verejnej veci a verejnoprávne subjekty bez ohľadu nato, aké osobné údaje spracúvajú a pre ďalšie spoločnosti, ktorých hlavnou činnosťou je systematické monitorovanie dotknutých osôb vo veľkom rozsahu alebo spracúvanie osobitnej kategórie osobných údajov vo veľkom rozsahu.

Pričom aj v prípadoch, v ktorých Nariadenie nestanovuje povinnosť menovať zodpovednú osobu, spoločnosti môžu považovať za užitočné určiť zodpovednú osobu na dobrovoľnej báze, čo Pracovná skupina zriadená podľa článku 29 (tzv. „skupina WP29“) len podporuje.

INŠTITÚT ZODPOVEDNEJ OSOBY nie je ničím novým. Aj keď smernica 95/46/ES3 nevyžadovala, aby spoločnosti menovali zodpovedné osoby, napriek tomu sa v priebehu rokov vo viacerých členských štátoch vyvinula prax ich menovania. Už pred prijatím nariadenia, bola skupina WP29 toho názoru, že zodpovedná osoba je základným kameňom zodpovednosti, že jej menovanie pomáha zabezpečiť súlad s pravidlami ochrany osobných údajov a pre podnikateľov predstavuje konkurenčnú výhodu. Okrem toho, že pomáha zabezpečiť súlad s pravidlami ochrany osobných údajov implementáciou nástrojov pre zodpovedné spracúvanie (ako napr. zabezpečením alebo vykonaním posúdenia vplyvov alebo auditov), zodpovedné osoby vystupujú ako prostredníci medzi dôležitými zainteresovanými stranami (dozornými orgánmi, dotknutými osobami a obchodnými oddeleniami spoločností).

Zodpovedné osoby nie sú osobne zodpovedné v prípade výskytu nesúladu s Nariadením. Nariadenie jasne stanovuje, že prevádzkovateľ alebo sprostredkovateľ má zabezpečiť súlad a má byť schopný preukázať, že spracúvanie sa realizuje v súlade s ustanoveniami nariadenia. Za súlad v oblasti ochrany osobných údajov je zodpovedný prevádzkovateľ alebo sprostredkovateľ.

Prevádzkovateľ a sprostredkovateľ majú taktiež kľúčovú úlohu, pokiaľ ide o poskytnutie súčinnosti zodpovednej osobe, aby sa zabezpečilo účinné vykonávanie jej úloh. Vymenovanie zodpovednej osoby je prvý krok, avšak zodpovedné osoby musia mať dostatočnú mieru autonómie a zdrojov, aby mohli reálne plniť svoje úlohy.

Nariadenie považuje zodpovednú osobu za kľúčového hráča v novom regulačnom rámci spracúvania osobných údajov a upravuje podmienky pre jej určenie, postavenie a úlohy. Cieľom tohto usmernenia je objasniť relevantné ustanovenia Nariadenia so zámerom pomôcť prevádzkovateľom a sprostredkovateľom zosúladiť sa s právnou úpravou, a tiež pomôcť zodpovedným osobám pri plnení ich úloh. Usmernenie poskytuje taktiež návody, ako správne postupovať, pričom vychádza zo skúseností z viacerých členských štátov. Skupina WP29 bude monitorovať implementáciu tohto usmernenia a môže ich podľa potreby doplniť o ďalšie detaily.

Článok 39 ods. 1 Nariadenia požaduje určenie zodpovednej osoby v troch konkrétnych prípadoch, a to v prípade:

-    ak spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt, okrem súdov pri výkone ich súdnej právomoci,

-    ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu alebo

-    ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.

ZODPOVEDNÁ OSOBA SA URČÍ NA ZÁKLADE JEJ ODBORNÝCH KVALÍT, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39 Nariadenia, ako je napríklad poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov alebo spolupráca s dozorným orgánom.

Podľa čl. 37 ods. 4 Nariadenia, v iných prípadoch, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, zodpovednú osobu môže určiť prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

NARIADENIE VYMEDZUJE ZÁKLADNÉ POJMY VO SVOJOM ČL. 4.

•    Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

•    Spracúvanie je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

•   Profilovanie je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.

•    Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.

V prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.

•    Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.

•    Príjemca je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov. Spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania.

•    Súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

•    Porušenie ochrany osobných údajov je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim.

•    Dozorný orgán je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51. Podľa tohto článku, každý členský štát má povinnosť stanoviť, že za monitorovanie uplatňovania nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie.

ZÁVER - Ak je v členskom štáte zriadený viac než jeden dozorný orgán, tento členský štát určí dozorný orgán, ktorý má zastupovať uvedené orgány vo výbore, a stanoví mechanizmus na zabezpečenie súladu zo strany ostatných orgánov s pravidlami týkajúcimi sa mechanizmu konzistentnosti. Členský štát musí oznámiť Komisii ustanovenia svojho práva, ktoré prijme podľa tejto kapitoly, a to do 25. mája 2018 a bezodkladne oznámi všetky následné zmeny, ktoré sa týkajú týchto ustanovení.

JUDr. Jozef Jaško

K rubrike Aktuálne sme publikovali

• Zákon o dani z príjmov (číslo 595/2003 Z. z. v z.n.p.), Zákony I A/2017

• Zákon o správe daní (zák. č. 563/2009 Z. z. v z.n.p.), Zákon o živnostenskom podnikaní (číslo 455/1991 Zb.), Zákony II A/2017

• Zákon o ochrane osobných údajov (číslo 122/2013 Z. z. v z.n.p.), Zákony II B/2017

• Ročné zúčtovanie poistného na zdravotné poistenie, Formy pomoci v hmotnej núdzi
– mesačník PAM 10/2017

• Ročné zúčtovanie poistného – vplyv na daň z príjmov, Novela zákona o používaní ERP od 1. 9. 2017 – mesačník DUO 10/2017

• Zákon o sociálnom poistení s komentárom
– mesačník Poradca 1-2/2018

• Príručka mzdovej účtovníčky – monotematika