Implementácia všeobecného nariadenia o ochrane osobných údajov sa do slovenského právneho poriadku realizuje prostredníctvom nového zákona o ochrane osobných údajov č. 18/2018 Z. z, ktorý tvorí nový legislatívny rámec pre ochranu osobných údajov v Slovenskej republike.
S: GDPR nadobúda účinnosť 25. 5. 2018 a rovnako aj nový zákon o ochrane osobných údajov č. 18/2018 Z. z. Koho sa týka GDPR a koho zákon?
Zmluva o fungovaní Európskej únie definuje v článku 288 nariadenie – ako priamo záväzný a aplikovateľný právny akt Európskej únie, a to vo všetkých členských štátoch, bez ohľadu na to, či naň bude nadväzovať národná právna úprava alebo nie. Táto právna definícia nariadenia, samozrejme, platí aj pre GDPR. Na spracúvanie osobných údajov, na ktoré sa vzťahuje nariadenie, sa bude zároveň vzťahovať zákon č. 18/2018 Z. z. s výnimkou § 2, § 5, druhej a tretej časti zákona č. 18/2018 Z. z. Nariadenie sa nevzťahuje napríklad na spracúvanie osobných údajov Policajným zborom, Vojenskou políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov a pod.
S: Prečo SR išla cestou prípravy nového zákona, a nie novelizácie existujúceho zákona o ochrane osobných údajov?
Z dôvodu dodržania záväzkov Slovenskej republiky vyplývajúcich zo Zmluvy o fungovaní EÚ bolo vylúčené, aby pôvodná legislatíva, teda zákon č. 122/2013 Z. z., zostala v účinnosti spolu s nariadením. Jej zachovanie či novelizácia by viedla k nežiaducemu stavu, keď by oblasť ochrany osobných údajov upravovala vnútroštátna právna úprava z čias transpozície smernice 95/46/ES, ako i nariadenie. Slovenská republika sa preto musela vysporiadať s otázkou národnej právnej úpravy, pričom bolo potrebné posúdiť aj konzistentnosť právnej úpravy v oboch samostatných právnych predpisoch, teda v zákone a nariadení.
Iným problémom, s ktorým sa pri tvorbe nového zákona o ochrane osobných údajov musela Slovenská republika vysporiadať, bola veľmi všeobecná definícia rozsahu vecnej pôsobnosti nariadenia, ktoré určilo nejednoznačné hranice medzi spracúvaním osobných údajov, ktoré podlieha právu Európskej únie, a spracúvaním, na ktoré sa právo Európskej únie nevzťahuje.
S: Takže ste sa rozhodli pre nový zákon o ochrane osobných údajov...
Áno. Nebolo by totiž účelné ani vhodné, aby sa vnútroštátna právna úprava zásadne odlišovala od povinností a práv vyplývajúcich z nariadenia. Cieľom bolo dosiahnuť rovnakosť, konzistentnosť tak pre prevádzkovateľov, na ktorých sa vzťahuje nariadenie, ako aj pre tých, ktorí pri niektorých spracovateľských operáciách budú postupovať podľa nového zákona o ochrane osobných údajov. Táto logika pri príprave zákona sa odrazila aj v členení nového zákona o ochrane osobných údajov.
S: GDPR predpokladá vytvorenie a používanie najrôznejších vzorových dokumentov a kódexov, ktoré majú správcom a spracovateľom pomáhať pri plnení právnych povinností. Budú kódexy vydané Úradom pre ochranu osobných údajov alebo inými orgánmi? Pripravujú sa momentálne nejaké?
Nariadenie a aj zákon č. 18/2018 Z. z. stanovujú vzory niektorých dokumentov, ktoré je povinný daný dozorný orgán, v podmienkach Slovenskej republiky úrad, zverejniť. Na týchto vzoroch sa aktuálne pracuje a budú v dohľadnom čase zverejnené na webovej stránke úradu.
Pokiaľ ide o kódexy správania, v tomto prípade nejde o povinne zverejňovaný vzor, ale o možnosť, aby združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov, napríklad časť združenia Asociácie cestovných kancelárií alebo iný subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov, ak chce, mohlo prijať kódex správania, a to najmä na účely spresnenia uplatňovania zákona č. 18/2018 Z. z. alebo nariadenia v súvislosti s predmetom kódexu. Kódexy správania by mali slúžiť na preukázanie súladu prevádzkovateľa alebo sprostredkovateľa s nariadením alebo so zákonom č. 18/2018 Z. z.
S: Stačí sa kódexom riadiť, alebo jeho prijatie kontroluje úrad?
Schválené kódexy správania možno považovať za istý druh bezpečnostného opatrenia, ktorý je prevádzkovateľ, alebo sprostredkovateľ, ktorý k nemu pristúpi, povinný dodržiavať. Kódex správania možno chápať tiež ako určitý druh záruky, že subjekt pristupuje zodpovedne k ochrane osobných údajov napríklad svojich zamestnancov alebo klientov, keďže nestačí kódex správania prijať subjektom, ale podlieha aj schváleniu úradom.
S: Je teda prijatie kódexu kontrolované úradom?
Úrad môže dodržiavanie kódexu správania kontrolovať, teda v praxi si overiť, či sa schválené v podmienkach prevádzkovateľa alebo sprostredkovateľa aj reálne plní.
S: Venuje sa úrad okrem kontrolnej činnosti aj poradenskej?
Úrad sa aktívne venuje aj „poradenskej“ činnosti, a to jednak formou pravidelných telefonických konzultácií, tiež je možné konkrétne otázky, zaslať na mailovú adresu úradu. Reagujeme aj na otázky, ktoré sú na úrad zaslané písomne.
S: Čo je najviac v centre záujmu?
Medzi časté otázky patrí napríklad, kto musí mať určenú zodpovednú osobu, či súhlasy získané podľa terajšieho zákona sú v súlade s novou legislatívou, alebo je potrebné získať ich nanovo, ako si plniť správne v podmienkach prevádzkovateľa informačnú povinnosť a podobne.
S: Čo sa po 25. 5. 2018 stane s oznámenými informačnými systémami alebo osobitnými registráciami či zodpovednými osobami podľa zákona č. 122/2013 Z. z.?
Doteraz podľa zákona č. 122/2013 Z. z. bolo potrebné a možné, aby prevádzkovateľ vypracoval k informačnému systému evidenčný list, ktorý si nechával u seba, prípadne oznámil na úrade informačný systém formou zaslania oznámenia, alebo bolo potrebné, aby bol informačný systém osobných údajov na úrade „osobitne registrovaný“. Po novom už prevádzkovatelia nebudú mať notifikačnú povinnosť voči úradu, ale budú povinní viesť záznamy o spracovateľských činnostiach. Tieto však na úrad nebudú zasielať, ale budú povinní viesť si ich u seba a na požiadanie úradu mu ich predložiť.
S: Ako môžu prevádzkovatelia využiť existujúcu dokumentáciu, napríklad bezpečnostný projekt, podľa zákona č. 122/2013 Z. z. pri implementácii GDPR?
Tak nariadenie, ako i zákon č. 18/2018 Z. z. stanovujú prevádzkovateľovi aj sprostredkovateľovi, aby spracúvané osobné údaje chránil, prijal primerané bezpečnostné opatrenia na ich ochranu, a to so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb. Medzi odporúčané bezpečnostné opatrenia nariadenia zaraďuje napríklad pseudonymizáciu, šifrovanie alebo pravidelné testovanie prijatých bezpečnostných opatrení.
V porovnaní s nariadením alebo so zákonom č. 18/2018 Z. z. nastala tá zmena, že kým zákon č. 122/2013 Z. z. bol striktný v tom, kedy je prevádzkovateľ povinný vypracovať bezpečnostný projekt a ako má vyzerať, a kedy postačia primerané bezpečnostné opatrenia, tak nariadenie a zákon č. 18/2018 Z. z. nie sú v tomto tak striktne formalizované a priamo nepredpisujú konkrétne bezpečnostné opatrenia ani ich formu v závislosti od spracúvaných osobných údajov. Možno zjednodušene povedať, že pre predchádzajúci zákon o ochrane osobných údajov bola v niektorých ohľadoch typická „nalinkovanosť, formálnosť“, pokiaľ ide o bezpečnostné opatrenia. Toto sa s príchodom nariadenia a nového zákona vytráca.
Pokiaľ ide o bezpečnostné projekty, ktoré prevádzkovatelia momentálne majú, je potrebné ich ponechať a, samozrejme, v nich prijaté bezpečnostné opatrenie konfrontovať s požiadavkami nariadenia alebo zákona č. 18/2018 Z. z. Novinkou, ktorú prináša nariadenie, je to, že v rámci prijatých bezpečnostných opatrení je prevádzkovateľ a sprostredkovateľ povinný do bezpečnostných opatrení, ktoré prijíma, zahrnúť aj riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb.
S: Na čo by si prevádzkovatelia mali dať pozor pri výbere poradenskej konzultačnej spoločnosti?
Mohli by sme poradiť, že jedným z kritérií, ktoré by mohli byť nápomocné pri výbere takéhoto subjektu, je jeho ochota prísť a pozrieť si prostredie prevádzkovateľa alebo sprostredkovateľa naživo a reálne sa oboznámiť s fungovaním spoločnosti, pokiaľ ide o spracúvanie osobných údajov. Ak nejaká firma ponúka svoje služby iba online, je len veľmi ťažké si predstaviť, že môže všetky procesy implementácie nariadenia a zákona zvládnuť „od stola“, bez toho, aby sa reálne oboznámila s podmienkami konkrétneho prevádzkovateľa alebo sprostredkovateľa.
S: Má úrad ambíciu vytvoriť komoru špecialistov, poradcov?
Uvidíme, ako sa bude vyvíjať aplikačná prax novej právnej úpravy, ako v praxi budú nový zákon aj nariadenie dodržiavané, táto možnosť nie je vylúčená.