dnes je 17.5.2021

Input:

Stručný prehľad povinností konateľa podľa zákona o ochrane osobných údajov

9.12.2020, , Zdroj: Verlag Dashöfer

3.3.8 Stručný prehľad povinností konateľa podľa zákona o ochrane osobných údajov

JUDr. Tímea Kovácsová, JUDr. Alexander Škrinár, CSc.

Dňom 1. septembra 2019 nadobudol účinnosť nový zákon o ochrane osobných údajov zákon č. 18/2018 Z. z. Týmto zákonom sa zrušila predchádzajúca právna úprava aj s vykonávacími predpismi. Účelom tohto zákona bolo zosúladenie vnútroštátnej právnej úpravy pre oblasť ochrany osobných údajov so smernicou Európskeho parlamentu a Rady EÚ č. 2016/679 z 24. 5. 2016, ktorou bolo určené dvojročné prechodné obdobie na zosúladenie smernice s vnútroštátnym právnym poriadkom.

Osobné údaje môže spracovávať prevádzkovateľ, ktorý je povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov. Musí prijať aj opatrenia na preukázanie toho, že osobné údaje spracúvanie osobných údajov vykonáva v súlade s týmto zákonom. Dôležitou povinnosťou prevádzkovateľa je pravidelne preverovať, či stále trvá účel spracovania osobných údajov. Ak je účel spracovania osobných údajov splnený, je povinný zabezpečiť ich vymazanie. Uvedená povinnosť neplatí, ak sú osobné údaje súčasťou registratúrneho zoznamu.

Sprostredkovateľ môže byť poverený prevádzkovateľom na spracúvanie osobných údajov v jeho mene. Vzájomný vzťah medzi prevádzkovateľom a sprostredkovateľom musí byť upravený zmluvou alebo iným právnym úkonom napríklad plnej moci alebo iného poverenia. Základná úprava vzájomných vzťahov je uvedená v zmluve, v ktorej sa musí špecifikovať predmet spracovania a doba, na ktorú je uzavretá, podmienky a účel spracovania, zoznam a rozsah spracovania, aký typ osobných údajov sa má spracovávať. Dôležitou povinnosťou sprostredkovateľa je zachovať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel.

V čl. II. zákona sú uvedené jednotlivé orgány a skutočnosti, na ktoré sa vzťahuje povinnosť ochrany osobných údajov v osobitných zákonoch, napríklad Generálna prokuratúra podľa zákona o prokuratúre, zákon o Zbore väzenskej a justičnej stráže. Upravená je aj povinnosť advokáta spracúvať osobné údaje klientov a iných fyzických osôb, ktorý má na účely tohto zákona postavenie prevádzkovateľa. Advokát je oprávnený aj bez súhlasu klienta získavať a spracúvať osobné údaje na účely výkonu advokácie. Na druhej strane advokát nemá povinnosť poskytnúť informácie o spracúvaní osobných údajov a umožniť prístup k týmto údajom, ak by to viedlo k porušeniu povinnosti advokáta zachovávať mlčanlivosť podľa tohto zákona.

Súhlas dotknutej osoby so spracovaním osobných údajov – spracovanie bez súhlasu

V zákone sú v § 6 – 13 vyjadrené zásady spracovania osobných údajov fyzických osôb. V § 13 je zakotvená zásada zákonnosti spracovania osobných údajov, podľa ktorej je spracovanie osobných údajov zákonné, ak dotknutá osoba vyjadrila súhlas so spracovávaním osobných údajov aspoň na jeden konkrétny účel.

Bez súhlasu dotknutej osoby je spracúvanie osobných údajov dotknutej osoby zákonné ak:

  • spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonania opatrenia pred uzavretím zmluvy na základe žiadosti dotknutej osoby,

  • spracúvanie osobných údajov je nevyhnutné na základe osobitného predpisu alebo medzinárodnej zmluvy,

  • spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby (napríklad kontakt s lekárom pri vyšetrení),

  • spracúvanie je nevyhnutné na splnenie úlohy vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,

  • spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa.

Zodpovedná osoba

V novele zákona sa spresňuje povinnosť prevádzkovateľa a sprostredkovateľa určiť zodpovednú osobu. Vždy tak musí urobiť orgán verejnej správy alebo verejnoprávna inštitúcia, okrem súdov. Podmienkou je, že hlavnou činnosťou prevádzkovateľa alebo sprostredkovateľa je vykonávanie spracovateľských operácií, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu. Určitou zmenou je, že skupina podnikov vykonávajúca činnosť, pri ktorej dochádza k spracovaniu osobných údajov, môže určiť spoločnú zodpovednú osobu. Obdobne to platí pre prevádzkovateľov alebo sprostredkovateľov, ak sú nimi orgán verejnej moci alebo verejnoprávna inštitúcia, že môže byť pre viaceré takéto orgány určená jedna zodpovedná osoba. Zodpovednú osobu môže určiť aj združenie zastupujúce jednotlivé kategórie prevádzkovateľov a sprostredkovateľov. Povinnosť pre prevádzkovateľov a sprostredkovateľov sa vyžaduje aj v prípadoch, keď takáto povinnosť vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Zodpovedná osoba môže byť aj zamestnancom prevádzkovateľa alebo sprostredkovateľa, nesmie však pri výkone jej činnosti dochádzať ku konfliktu záujmov.

Zodpovedná osoba sa určí na základe jej odborných kvalít, pričom sa vychádza z jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov a musí byť spôsobilá na plnenie vymedzených úloh v § 46 zákona. Posúdenie, či zodpovedná osoba spĺňa požadované odborné vedomosti, je v kompetencii prevádzkovateľa alebo sprostredkovateľa. Vyhláška č. 165/2013 Z. z., ktorá určovala postup pri vykonávaní skúšok úradom bola zrušená a skúšky sa pre funkciu zodpovednej osoby už nevyžadujú.

Práva na náhradu škody a zodpovednosť

Každej osobe, ktorej vznikne majetková alebo nemajetková ujma v súvislosti s porušením tohto zákona. Podmienkou však je preukázanie, že prevádzkovateľ alebo sprostredkovateľ spracovali osobné údaje v rozpore s týmto zákonom. Spod zodpovednosti za škodu spôsobenú dotknutej osobe sa môžu zbaviť preukázaním, že pri spracovaní osobných údajov postupovali v súlade so zákonom, a preto nenesú žiadnu zodpovednosť za vzniknutú škodu.

Právo na opravu a výmaz osobných údajov

Dotknutá osoba má právo na opravu nesprávnych osobných údajov v informačných systémoch prevádzkovateľa, ktoré sa jej týkajú. Dotknutá osoba má upovedomiť prevádzkovateľa, že ním spracované osobné údaje sú nesprávne. Na druhej strane aj prevádzkovateľ môže zistiť, že spracovávané osobné údaje dotknutej osoby sú nesprávne a je v takomto prípade povinný upozorniť na to dotknutú osobu so žiadosťou o nápravu. Nesprávne uvedené osobné údaje môžu jej spôsobiť ujmu. Dotknutá osoba môže požiadať o doplnenie neúplných osobných údajov - § 22 zákona.

Dotknutá osoba má právo o to požiadať vo vymenovaných prípadoch, aby prevádzkovateľ bez zbytočného odkladu vymazal jej osobné údaje, ktoré sa jej týkajú (§ 23 zákona). Prevádzkovateľovi vzniká v takomto prípade povinnosť vymazať osobné údaje, ak dotknutá osoba požiadala o vymazanie osobných údajov a tieto už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali:

  • - dotknutá osoba odvolala svoj