Ochrana osobných údajov v praxi

Zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon“) bol novelizovaný zákonom č. 602/2003 Z. z., zákonom č. 576/2004 Z. z. a naposledy zákonom č. 90/2005 Z. z. s účinnosťou od 1. 5. 2005. Ostatná novela zákona rešpektuje hodnotiacu správu Európskej komisie z novembra 2003, kde sa v oblasti ochrany osobných údajov požaduje úplné zosúladenie zákona so Smernicou Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov. Z poslednej novely vyplýva jednotlivým subjektom niekoľko povinností, ktoré sú predmetom tohto príspevku.

Povinnosti prevádzkovateľov do 30. júna 2005

Písomné poverenie zodpovednej osoby vydané podľa doterajších predpisov sa považuje za písomné poverenie podľa zákona, ak zodpovedná osoba spĺňa podmienky ustanovené v § 19 ods. 12 zákona [ide o fyzickú osobu (FO), ktorá má spôsobilosť na právne úkony v plnom rozsahu a spĺňa podmienku bezúhonnosti; nemôže byť FO, ktorá je štatutárnym orgánom prevádzkovateľa a FO, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa]. Prevádzkovateľ je v takomto prípade povinný oznámiť Úradu na ochranu osobných údajov (ďalej len „Úrad“) najneskôr do 30. 6. 2005 údaje podľa § 19 ods. 5 zákona (názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa alebo zástupcu prevádzkovateľa, titul, meno, priezvisko a dátum narodenia zodpovednej osoby, pracovné zaradenie zodpovednej osoby, dátum začiatku platnosti písomného poverenia zodpovednej osoby, vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa ustanovené podmienky) a doložiť potvrdenie alebo vyhlásenie o tom, že zodpovedná osoba bola odborne vyškolená.

Zodpovedná osoba, ktorá bola písomne poverená dohľadom nad ochranou osobných údajov podľa doterajších predpisov do 31. 12. 2004 a nespĺňa spomínané podmienky podľa § 19 ods. 12 zákona, musí byť odvolaná z funkcie zodpovednej osoby najneskôr do 30. 6. 2005 a prevádzkovateľ je povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu.

Prevádzkovatelia už fungujúcich informačných systémov (IS), na ktoré sa podľa doterajších predpisov nevzťahovala osobitná registrácia podľa § 27 zákona, sú povinní prihlásiť ich na osobitnú registráciu najneskôr do 30. 6. 2005, inak právo na spracúvanie osobných údajov v daných IS zanikne uplynutím tejto lehoty.

Povinnosti prevádzkovateľov do 31. októbra 2005

Prevádzkovatelia už fungujúcich IS sú povinní uviesť ich do súladu so zákonom do 31. 10. 2005.

Povinnosti Úradu na ochranu osobných údajov SR do 31. decembra 2005

Predseda Úradu do 31. 12. 2005 rozhodne o tom, či IS prihlásený na registráciu podľa doterajších predpisov do 31. 12. 2004 možno považovať za zaregistrovaný podľa zákona. Ak rozhodne, že IS nepodlieha registrácii podľa zákona, Úrad zruší registráciu IS a v tej istej lehote zverejní na svojej internetovej stránke registračné čísla tých IS, ktorých registrácia bola zrušená.

Základné povinnosti prevádzkovateľov

• vykonať registráciu IS, ak je povinnosť registrácie v zmysle § 25 zákona,
• začať viesť evidenciu IS, ak nie je povinnosť registrácie v zmysle § 29 zákona,
• dať odborne vyškoliť a následne písomne poveriť zodpovednú osobu,
• vykonať poučenie osôb, ktoré majú prístup k osobným údajom,
• vypracovať bezpečnostný projekt.

Registrácia informačných systémov

Zákon v § 25 ustanovuje, ktoré IS podliehajú registrácii. Ide o IS, u ktorých sa predpokladá zvýšené riziko, že spracúvaním osobných údajov sa môžu narušiť práva a slobody dotknutých osôb. V týchto IS sú osobné údaje spracúvané úplne alebo čiastočne auto- matizovaným spôsobom. IS s použitím len manuálnych prostriedkov spracúvania teda nepodliehajú registrácii. Povinnosť registrácie sa nevzťahuje aj na niektoré IS, napriek tomu, že sú spracúvané automatizovaným spôsobom. Zákon ich taxatívne vymenováva. Registrácii nepodliehajú:

• IS, ktoré podliehajú tzv. osobitnej registrácii (pozri § 27 ods. 2  zákona):
  • IS spracúvajúce osobitné kategórie osobných údajov uvedené v § 8 ods. 1 zákona, ak sa predpokladá ich prenos do tretích krajín nezaručujúcich primeranú úroveň ochrany na základe súhlasu dotknutej osoby, alebo ak je prenos nevyhnutný na uzavretie alebo plnenie zmluvy uzavretej medzi prevádzkovateľom a iným subjektom v záujme dotknutej osoby,
  • IS spracúvajúce osobné údaje nevyhnutné na ochranu zákonných práv a právom chránených záujmov prevádzkovateľa alebo tretej strany,
  • IS spracúvajúce biometrické údaje, s výnimkou analýzy deoxyribonukleovej kyseliny na účely evidencie a identifikácie pri vstupe do osobitne chránených objektov a pri prístupe do technických zariadení s vysokou mierou rizika, ak ide výlučne o interné potreby prevádzkovateľa.
• IS, ktoré podliehajú dohľadu poverenej zodpovednej osoby.
• IS obsahujúce osobné údaje FO a ich blízkych osôb, spracúvané na účely uplatňovania práv a povinností v rámci predzmluvných vzťahov a v rámci existujúceho pracovnoprávneho vzťahu, služobného a štátnozamestnaneckého pomeru, členského pomeru s týmito FO – personálne agendy vedené o zamestnancoch prevádzkovateľa aj vtedy, ak obsahujú rodné číslo, príp. zdravotné údaje.
• IS, v ktorých odborové organizácie spracúvajú osobné údaje o členstve svojich členov v odborovej organizácii, využívané výlučne pre vlastnú potrebu.
• IS, v ktorých cirkvi alebo náboženské spoločnosti spracúvajú osobné údaje o náboženskej viere osôb v nej združených, využívané výlučne pre vlastnú potrebu.
• IS, v ktorých politické strany alebo politické hnutia spracúvajú osobné údaje o členstve ich členov v strane alebo hnutí, využívané výlučne pre vlastnú potrebu.
• IS spracúvajúce osobné údaje v súlade s osobitnými zákonmi – IS prevádzkované prevažne orgánmi verejnej sp