Návrh novely zákona č. 428/2002 Z. z. o ochrane osobných údajov
Po vstupe Slovenskej republiky do Európskej únie 1. mája 2004 Európska komisia v rámci svojich pravidelných hodnotiacich misií v roku 2006 preverovala stav úrovne prebratia právne záväzných aktov Európskej únie týkajúcich sa oblasti ochrany osobných údajov do právneho poriadku Slovenskej republiky, úroveň ich uplatňovania v praxi a postavenie a kompetencie Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) pri výkone dozoru nad ochranou osobných údajov. V tejto súvislosti sa vo februári 2006 na pôde úradu uskutočnil prvý „Štruktúrovaný dialóg o ochrane osobných údajov“ medzi Európskou komisiou a úradom, ktorý sa týkal najmä úrovne prebratia Smernice Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (ďalej len „Smernica 95/46/ES“) do vnútroštátnych predpisov. Zároveň sa hodnotili skutočné kompetencie a podmienky, za akých úrad vykonáva dozor a ich kompatibilita s právne záväznými dokumentmi. Výsledok rokovaní možno považovať pre Slovenskú republiku za úspešný. Európska komisia vo všeobecnosti, okrem iného, konštatovala, že „situácia v Slovenskej republike v oblasti ochrany osobných údajov je uspokojivá. Slovenská republika uplatňuje zákon č. 428/2002 Z. z. o ochrane osobných údajov zmenený a doplnený zákonom č. 90/2005 Z. z. a úrad vykonáva svoju funkciu i napriek obmedzeným zdrojom a obmedzenému počtu ľudských zdrojov. Zaznamenali sme pozitívny vývoj v oblasti ochrany osobných údajov vo Vašej krajine. Napriek tomu sme sa zhodli na tom, že v súčasnom zákone je z dôvodu jeho úplného zosúladenia so smernicou potrebné vykonať niekoľko zmien a takisto zlepšiť nezávislosť úradu. Dialóg nám umožnil zistiť hlavné pretrvávajúce problémy. Každý dozorný orgán na ochranu osobných údajov musí mať vyšetrovacie a intervenčné právomoci. Podľa našich zistení nedisponuje úrad dostatočnými vyšetrovacími právomocami, čo považujeme za vážny problém. Takisto je potrebné zákon zmeniť a doplniť takým spôsobom, aby umožnil Vášmu úradu rýchlo získať informácie potrebné na vyšetrovanie, online prístup k rôznym databázam a registrom, ako je napríklad kataster nehnuteľností, evidencia občanov a pod.“.
V priebehu roka 2006 pracovná skupina Rady Európskej únie pre schengenské hodnotenie posudzovala súlad právnych predpisov o ochrane osobných údajov, policajnej spolupráci, ochrane vzdušných hraníc, pozemných hraníc a vízovej agendy platných v Slovenskej republike s relevantnými ustanoveniami Schengenského acquis. Opätovné kontroly Schegenskej hodnotiacej komisie v oblasti ochrany osobných údajov sa uskutočnili v marci, júni a septembri 2007. Z rokovaní vzišli hodnotiace správy obsahujúce odporúčania pre Slovenskú republiku, ktoré bolo potrebné splniť najmä rezortom vnútra tak, aby bol zabezpečený bezproblémový vstup do Schengenského priestoru. S prihliadnutím na hodnotiace správy, Rozhodnutie Rady 2008/615/SVV z 23. júna 2008 o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti a Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach bolo potrebné analyzovať súvislosti s relevantnými článkami Smernice 95/46/ES v nadväznosti na Lisabonskú zmluvu a možné dopady na národnú legislatívu platnú v oblasti ochrany osobných údajov. Tieto skutočnosti zohrali svoju úlohu najmä v časovom pláne predkladaného materiálu.
Časový priestor, ktorý takto vznikol, bolo možné využiť na analýzu zákona aj z pohľadu aplikačnej praxe v kontexte konkrétnych pripomienok hodnotiacej misie Európskej komisie.
Z dôvodu odstránenia rôznorodého výkladu sa ukázalo ako potrebné jasne zadefinovať spracúvanie osobných údajov na zabezpečenie verejného záujmu na vnútroštátnej úrovni, keď má členský štát možnosť prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv ustanovených Smernicou 95/46/ES v rozsahu článku 13 ods. 1 na určité spracúvania v presne špecifikovaných oblastiach, čo znamená, že v týchto prípadoch pôsobnosť smernice ako celku vylúčiť nemožno, a tak ho zreteľne odlíšiť od spracúvania osobných údajov na účely plnenia úloh spoločného záujmu členských štátov Európskej únie, ktorý podlieha ich jednotnému postupu a spolupráci v oblasti zahraničnej a bezpečnostnej politiky alebo podlieha ich jednotnému postupu a spolupráci v oblasti policajnej a súdnej spolupráce v trestných veciach podľa príslušných článkov Lisabonskej zmluvy.
Pracovná skupina pre ochranu osobných údajov zriadená podľa článku 29 Smernice 95/46/ES prijala v roku 2007 „Stanovisko k pojmu osobné údaje“. Pracovná skupina je nezávislým európskym poradným orgánom pre ochranu osobných údajov a súkromia, ktorej úlohy sú definované v článku 30 Smernice 95/46/ES a článku 15 Smernice 2002/58/ES týkajúcej sa spracúvania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách). Hlavnou úlohou pracovnej skupiny a ňou vydaných stanovísk je zjednocovať postupy národných dozorných autorít pri uplatňovaní princípov ochrany osobných údajov zakotvených v smernici. Slovenská republika je povinná rešpektovať vydané stanoviská a úrad je povinný ich aplikovať aj vzhľadom na ustanovenie § 33 ods. 5 zákona. Pojem „osobné údaje“ je vymedzený v článku 2 písm. a) Smernice 95/46/ES, obsah stanoviska ho veľmi podrobne analyzuje a naznačuje jasné východiská, ako tento pojem komplexne vysvetľovať a aplikovať. Navrhuje sa nové vymedzenie pojmu „osobné údaje“.
Návrh odstraňuje nejasnosti niektorých základných ustanovení zákona, ktoré v aplikačnej praxi spôsobovali potrebu ich častého objasňovania. Na viacerých miestach zákona sa preto vypúšťa slovné spojenie „orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj ostatné právnické osoby a fyzické osoby“ a nahrádza sa slovom „každý“, ktoré ho plnohodnotne nahrádza, čím sa zjednodušuje právna úprava.
Do druhej časti zákona sa pred § 5 navrhuje vložiť nový paragraf s názvom „základné ustanovenia“. Zavádza sa nová terminológia „právny dôvod spracúvania osobných údajov“ a zároveň sa upozorňuje na základné povinnosti, ktoré nesmie porušiť alebo opomenúť ten, kto pripravuje spracúvanie osobných údajov alebo osobné údaje spracúva. Nový pojem „právny dôvod spracúvania osobných údajov“ sa ďalej v zákone používa na viacerých miestach, čo napomáha jednoduchšej orientácii v zákone. Pripomienka Európskej komisie týkajúca sa stanovenia podmienok za akých prevádzkovateľ smie spracúvať osobné údaje na základe súhlasu dotknutej osoby na jednom mieste v zákone bola zrealizovaná v ustanoveniach § 7 ods. 8 až 11.
Aktuálny vývoj a požiadavka Európskej komisie ukázali naliehavú potrebu konsolidovať úpravu ustanovení týkajúcich sa prevádzkovateľa a sprostredkovateľa dôsledným prebratím článku 17 ods. 2 až 4 Smernice 95/46/ES. Najmä je potrebné jednoznačne ustanoviť, že spracúvať osobné údaje vo vlastnom mene smie len prevádzkovateľ, a sprostredkovateľ je ten, kto spracúva osobné údaje výlučne v mene prevádzkovateľa a na zodpovednosť prevádzkovateľa a na svoju zodpovednosť v rozsahu písomnej zmluvy uzatvorenej s prevádzkovateľom ako jeho splnomocnený zástupca. Sprostredkovateľ je povinný spracúvať osobné údaje len v rozsahu, za podmienok a na účel dohodnutý v zmluve s prevádzkovateľom a spôsobom podľa tohto zákona. Európska komisia v tejto súvislosti poukázala na teraz platné znenie § 5 ods. 2 a odmietla možnosť pyramídového poverovania sprostredkovateľa sprostredkovateľom, ktoré bolo presadené do zákona v rámci legislatívneho procesu schvaľovania novely zákona v roku 2005. Navrhovaná úprava predmetných ustanovení týkajúcich sa prevádzkovateľa a sprostredkovateľa je v súlade s obsahom stanoviska Pracovnej skupiny pre ochranu osobných údajov zriadenej podľa článku 29 Smernice 95/46/ES, ktoré prijala v roku 2010 k pojmom prevádzkovateľ a sprostredkovateľ.
Dopĺňa sa inštitút oprávnenej osoby o pravidlá, ktoré určujú povinnosti a postupy, ktoré musia prevádzkovateľ a sprostredkovateľ dodržať pri ich výbere a poučení. Zákon výslovne ustanovuje, že prevádzkovateľ smie spracúvať osobné údaje a zabezpečovať ochranu spracúvaných osobných údajov len prostredníctvom svojich oprávnených osôb a sprostredkovateľov. Na tento účel prevádzkovateľ vedie register svojich oprávnených osôb. Osoba sa stáva oprávnenou osobou v deň jej poučenia. Sprostredkovateľ smie spracúvať osobné údaje a zabezpečovať ochranu spracúvaných osobných údajov len prostredníctvom svojich oprávnených osôb a subdodávateľov. Na tento účel vedie register svojich oprávnených osôb.
Ďalšou zásadnou pripomienkou Európskej komisie bolo poukázanie na opomenutie inštitútu týkajúceho sa korektného spracúvania osobných údajov, ktorý sa výslovne požaduje podľa článku 6 ods. 1 písm. a) Smernice 95/46/ES a podľa článku 5 písm. a) Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (ďalej len „Dohovor 108“), ktorý je pre Slovenskú republiku platný od. 1. januára 2001. Európska komisia zdôraznila, že prevádzkovateľ musí byť zaviazaný stanovením takých podmienok spracúvania osobných údajov a ich následným vykonaním, aby bol povinný konať, a to najmä vo vzťahu k dotknutým osobám, spravodlivo, čestne, bez známok diskriminácie, ako aj bez zamlčovania dôležitých informácií. V tejto súvislosti Európska komisia vyslovila druhú zásadnú pripomienku, že tieto skutočnosti, najmä pri plnení informačnej povinnosti prevádzkovateľa, musí vedieť úrad aj plnohodnotne skontrolovať a overiť takým spôsobom, aby nebol odkázaný len na posudzovanie tvrdenia prevádzkovateľa voči tvrdeniu dotknutej osoby. Bolo pristúpené ku komplexnému dobudovaniu inštitútu „informačnej povinnosti“, ktorý je základným pilierom práv dotknutých osôb pri spracúvaní ich osobných údajov a prvoradou povinnosťou prevádzkovateľa vo vzťahu k dotknutým osobám. Zakladá sa povinnosť poskytnúť informácie v štátnom jazyku, ale zároveň sa nevylučuje možnosť poskytnúť ich aj v inom jazyku. Požaduje sa, aby poskytované informácie boli dobre viditeľné a čitateľné voľným okom. Bližšie sa špecifikuje označenie monitorovaného priestoru, ktorého súčasťou je aj registračné číslo systému. Registrované monitorovacie informačné systémy úrad zverejní na svojom webovom sídle, čím sa zabezpečí dostupnosť informácií o ich prevádzkovateľoch pre dotknuté osoby. Zmeny a doplnenia vychádzajú zo stanoviska pracovnej skupiny pre ochranu osobných údajov týkajúceho sa spracúvania osobných údajov monitorovacími systémami.
Navrhuje sa úprava ustanovení týkajúcich sa povinnosti likvidácie osobných údajov v súlade s terminológiou použitou v zákone č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonoch v znení neskorších predpisov. V návrhu sa rešpektuje zásada, podľa ktorej pôvodca registratúry môže vyradiť z registratúry registratúrne záznamy len vo vyraďovacom konaní. Zároveň je ale potrebné dodržať zásadu Smernice 95/46/ES ako aj Dohovoru 108, podľa ktorej je prevádzkovateľ povinný bez zbytočného odkladu zlikvidovať tie osobné údaje, ktoré sa stanú nepotrebnými alebo pominie dôvod ich ďalšieho spracúvania. Zložitosť veci znásobujú existujúce práva dotknutej osoby, napríklad právo odvolať udelený súhlas aj pred uplynutím času jeho platnosti. Likvidáciu takto spracúvaných registratúrnych záznamov obsahujúcich osobné údaje je potrebné uskutočniť čo najskôr a zároveň dohliadnuť, aby sa lehota uloženia ďalej nepredlžovala. Postup pri likvidácii teda musí zohľadňovať viacero špecifických okolností, ktoré vnášajú do procesu likvidácie smernica a dohovor. Návrh sa podrobne zaoberá alternatívami prichádzajúcimi do úvahy v procese likvidácie registratúrnych záznamov obsahujúcich osobné údaje a v troch odsekoch predkladá riešenie, ktoré akceptuje práva a povinnosti pôvodcu registratúry, ktoré má podľa osobitného predpisu.
Navrhuje sa spriehľadniť existujúce pravidlá týkajúce sa prijímania technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov. Prevádzkovateľ doteraz vyberal z viacerých podmienených možností a zvažoval, ktorá sa vzťahuje práve na spracúvanie osobných údajov v jeho informačnom systéme. Nová úprava zjednocuje podmienky prijímania opatrení a prehľadne vymenúva technické, organizačné a personálne opatrenia, ktoré požaduje, aby boli zdokumentované vo forme bezpečnostnej smernice v prípade, že sú osobné údaje spracúvané automatizovanými prostriedkami spracúvania a opatrenia, ktoré majú byť zdokumentované v prípade, keď sú osobné údaje spracúvané inými ako automatizovanými prostriedkami spracúvania. Povinnosť vypracovať bezpečnostný projekt sa bude vzťahovať len na prevádzkovateľa. Ak prevádzkovateľ poverí spracúvaním osobných údajov sprostredkovateľa, prevádzkovateľ je súčasne povinný v bezpečnostnom projekte riešiť aj zaistenie bezpečnosti informačného systému pri prístupe sprostredkovateľa k spracúvaným osobným údajom v informačnom systéme prevádzkovateľa. Zároveň sa navrhujú vypustiť zo zákona ustanovenia týkajúce sa auditu bezpečnosti informačného systému, čo má pozitívny dopad na prevádzkovateľov a sprostredkovateľov, pretože vykonanie auditu boli povinní zabezpečiť na vlastné náklady.
Aj keď boli ustanovenia týkajúce sa výkonu dohľadu nad ochranou osobných údajov zodpovednou osobou (referent vymedzený v zákone v súlade s článkom 18 ods. 2 Smernice 95/46/ES) doplnené zákonom č. 90/2005 Z. z., ukazuje sa ako nevyhnutné tento inštitút ešte spresniť a doplniť. Povinnosť ustanoviť zodpovednú osobu bude mať len prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom najmenej piatich oprávnených osôb. Doteraz sa povinnosť odvíjala od počtu zamestnancov, teda i takých osôb, ktoré neprichádzali do styku s osobnými údajmi, čím sa do istej miery eliminuje tvrdosť zákona. Tiež sa precizujú oprávnenia a postavenie zodpovednej osoby, predpoklady na jej poverenie a podmienky a spôsob zrušenia jej poverenia a zániku poverenia zodpovednej osoby.
V rámci dialógu o ochrane osobných údajov v roku 2006 medzi Európskou komisiou a úradom bolo poukázané na povinnosť členských štátov zabezpečiť, aby národné dozorné autority na ochranu osobných údajov disponovali vyšetrovacími a intervenčnými právomocami. Európska komisia výslovne skonštatovala, že úrad nedisponuje dostatočnými vyšetrovacími právomocami, čo považuje za vážny problém. Takisto poukázala na nevyhnutnosť zmeniť a doplniť zákon takým spôsobom, aby umožnil úradu rýchlo získať informácie potrebné na vyšetrovanie online prístupom k databázam a registrom. Výhrady smerovali najmä na stále pretrvávajúce nedostatočné prebratie článku 28 ods. 1 až 3 Smernice 95/46/ES. Otázky týkajúce sa vyšetrovacích a intervenčných právomocí úradu priamo vyplývajú aj z Dohovoru 108, jeho Dodatkového protokolu týkajúceho sa orgánov dozoru a cezhraničných tokov údajov, ktorý nadobudol pre Slovenskú republiku platnosť 1. júla 2004 (Oznámenie Ministerstva zahraničných vecí SR č. 20/2005 Z. z.). V preambule Dodatkového protokolu sa konštatuje presvedčenie, že len dozorné orgány vykonávajúce svoje funkcie úplne nezávisle, sú prvkom účinnej ochrany osôb pri spracovaní ich osobných údajov a zabezpečení účinnej ochrany ľudských práv a základných slobôd, najmä práva na súkromie. Podľa článku 1 ods. 2 Dodatkového protokolu na dosiahnutie toho majú uvedené orgány predovšetkým vyšetrovacie a intervenčné právomoci, ako aj právomoc zapojiť sa do právneho konania alebo dať do pozornosti príslušných súdnych orgánov porušenia ustanovení vnútroštátneho práva. Národná rada Slovenskej republiky vyslovila súhlas s Dodatkovým protokolom uznesením č. 2136 zo 17. mája 2002 a rozhodla, že ide o medzinárodnú zmluvu podľa čl. 7 ods. 5 Ústavy Slovenskej republiky, ktorá má prednosť pred zákonmi. Európska komisia upozornila, že úrad musí disponovať takými vyšetrovacími a intervenčnými právomocami, aby mohol účinne a rýchlo preveriť akékoľvek oznámenie týkajúce sa ochrany práv a základných slobôd danej fyzickej osoby pri spracúvaní jej osobných údajov. Úrad musí disponovať právomocou preveriť aj podozrenia týkajúce sa spracúvania osobných údajov v systémoch, o ktorých osoba tvrdí, že v nich nie sú spracúvané osobné údaje. Musí mať možnosť získať údaje a informácie od každého, kto môže napomôcť pri objasnení, odhalení alebo dokázaní protiprávneho konania pri spracúvaní osobných údajov alebo usvedčiť podozrivú osobu.
Ustanovenia, ktoré riešili právomoci úradu v naznačenom rozsahu boli do pôvodného návrhu zapracované. V rámci medzirezortného pripomienkového konania sa viacero pripomienkujúcich subjektov vyslovilo v tom zmysle, že nevidia dôvod na to, aby úrad disponoval vyšetrovacími právomocami a nekompromisne odmietli ich priznanie úradu. Predmetné ustanovenia predkladateľ z návrhu vypustil. V rámci vyhodnotenia medzirezortného pripomienkového konania predkladateľ podrobne objasnil, prečo je nevyhnutné úradu takéto kompetencie priznať. Ich vypustenie z návrhu však znamená neúplné plnenie požiadaviek Európskej komisie na zapracovanie účinnejších nástrojov pre úrad pri šetrení oznámení dotknutých osôb v súlade s právne záväznými aktmi EÚ a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
Prechod slovenskej meny na euro a zmeny a doplnenia vykonané v predchádzajúcom texte zákona na viacerých miestach si vyžiadali niekoľko na seba nadväzujúcich úprav týkajúcich sa ukladania sankcií za porušenie zákona. Predkladaný návrh osobitne vymedzuje skutkové podstaty priestupkov a výšku pokút za ne, čo doteraz platná právna úprava takto neprecizovala a súčasne vymedzuje skutkové podstaty správnych deliktov a výšku pokút za ne. Precizovanie sankcií v predkladanej podobe zároveň reaguje na požiadavku z praxe posilniť právnu istotu dotknutých subjektov pri ukladaní pokút.
Navrhované zákonné opatrenia predstavujú základné a nevyhnutné kroky pre konsolidáciu slovenského právneho poriadku v oblasti ochrany osobných údajov. Navrhovanú úpravu je potrebné predložiť do legislatívneho procesu ako celok, keďže ide o komplex ustanovení, ktoré na seba navzájom nadväzujú a dopĺňajú sa.