Právny portál určený širokej odbornej verejnosti

Online časopis

Potrebujeme nový zákon o ochrane osobných údajov? (1. časť)

MESARČÍK, M.: Potrebujeme nový zákon o ochrane osobných údajov? (1. časť); Justičná revue, 73, 2021, č. 1, s. 17 - 29.
Úvod
V roku 2016 bolo na úrovni Európskej únie (ďalej len "EÚ") prijaté nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov; ďalej len "GDPR") s účinnosťou od 25.8.2018.
1)
Prijatie predmetného nariadenia vzbudilo čulú diskusiu medzi akademikmi, politikmi, ale aj právnikmi.
2)
Verejná diskusia sa však v rámci Slovenskej republiky zúžila na akcentovanie vysokých sankciíza porušenie tohto právneho rámca a "nesplnitel'nosť" vágnych požiadaviek GDPR. Zaujímavosťou je, že nové pravidlá na ochranu osobných údajov predstavujú evolúciu v oblasti ochrany osobných údajov a nie revolúciu. Ich základ totiž tvoria zásady a inštitúty, ktoré s určitými zmenami platili od roku 1980 a stála na nich aj staršia smernica 95/46/ES.
3)
Vzhľadom na to, že sa EÚ rozhodla pre zmenu kvality právneho aktu zo smernice na nariadenie, ktoré je priamo záväzné a aplikovateľné v jednotlivých členských štátoch,
4)
mohlo by sa na prvý pohľad zdať, že tu nie je veľký priestor na vlastnú právnu úpravu pre jednotlivé členské štáty. Opak je však pravdou. GDPR poskytuje značný priestor pre určité odchýlky alebo spresnenia v rámci národných právnych poriadkov členských štátov EÚ. Navyše, regulácia kontroly a správnych konaní je už tradične doménou národných právnych úprav.
Slovenská republika bola jeden z prvých členských štátov, ktorý prijal vlastnú právnu úpravu v súlade s požiadavkami GDPR. Stalo sa tak 29.11.2017 v podobe prijatia zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len "ZOOÚ"). Predmetný zákon bol novelizovaný zatiaľ jedenkrát a to zákonom č. 221/2019 Z.z.
5)
v súvislosti s preukazovaním bezúhonnosti kandidáta na predsedu dozorného orgánu.
Už pomerne krátko po prijatí ZOOÚ sa strhla verejná diskusia ohľadom komplikovanej pôsobnosti a vôbec odôvodnenosti tohto zákona v našom právnom poriadku. Nedávno sa k danej otázke pomerne kriticky vyjadril aj Najvyšší kontrolný úrad SR.
6)
Po viac ako dvoch rokoch od účinnosti GDPR a ZOOÚ preto možno považovať za legitímne otvoriť akademickú diskusiu s jednoduchou, ale značne kontroverznou otázkou:
"Potrebujeme nový zákon o ochrane osobných údajov?".
V rámci predkladaného článku sa na túto otázku budeme snažiť nájsť odpoveď. Z metodologického hľadiska považujeme za vhodné v prvom rade analyzovať možnosti vlastnej právnej úpravy v zmysle GDPR so špecifickým zameraním na otvorené klauzuly. Druhým krokom bude stručný náčrt slovenskej právnej úpravy, kde sa zameriame na pôsobnosť ZOOÚ, využitie otvorených klauzúl a ďalšie problematické aspekty diskutovaného zákona. V nasledujúcej časti sa pokúsime načrtnúť štruktúru a obsahové zameranie potenciálne nového zákona o ochrane osobných údajov, pričom zohľadnené budú aj zahraničné právne úpravy.
1 LEGISLATÍVNE MOŽNOSTI VLASTNEJ PRÁVNEJ ÚPRAVY V ZMYSLE GDPR
1.1 Všeobecne k možnostiam vlastnej právnej úpravy členských štátov EÚ
GDPR predstavuje unifikáciu pravidiel na ochranu osobných údajov na úrovni EÚ. Vzhľadom na to, že staršia smernica 95/46/ES bola v jednotlivých členských štátoch implementovaná rôznymi spôsobmi, nedosiahla sa požadovaná rovnaká alebo podobná úroveň ochrany osobných údajov na starom kontinente.
7)
Aj vzhľadom na dynamický technologický vývoj, globalizáciu, kvantum cezhraničných prenosov či zverejňovanie množstva údajov fyzickými osobami na internetovej sieti sa EÚ rozhodla pre súdržnejší právny rámec v podobe nariadenia.
8)
"Tento vývoj si vyžaduje silný a súdržnejší rámec ochrany údajov v Únii, ktorý sa bude intenzívne presadzovať vzhľadom na význam vybudovania dôvery, ktorá umožní rozvoj digitálnej ekonomiky v rámci vnútorného trhu. Fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi. Mala by sa posilniť právna a praktická istota pre fyzické osoby, hospodárske subjekty a orgány verejnej moci.
9)
GDPR však zároveň umožňuje, aby právo členského štátu spresnilo alebo obmedzilo ustanovené pravidlá v presne vymedzených prípadoch.
10)
Vo väčšine prípadov ide o špecifikáciu konkrétnych otázok, na ktorých sa členské štáty EÚ nevedeli zhodnúť pri negociovaní finálneho znenia nariadenia.
11)
Vzhľadom na množstvo takýchto ustanovení je však možné, že právna úprava ochrany osobných údajov v jednotlivých členských štátoch bude časom opäť značne diverzifikovaná a nebude reflektovať cieľ súdržnejšieho právneho rámca.
Vo všeobecnosti existujú tri možnosti vlastnej úpravy, resp. spresnenia ustanovení GDPR v rámci mantinelov poskytnutých týmto nariadením. Dve možnosti sú legislatívneho charakteru a teda priamo v rukách národných zákonodarných orgánov. Tretia možnosť je prostredníctvom samoregulačného nástroja v špecifických sektoroch, kde má však štát možnosť apelácie a nepriameho ovplyvnenia prostredníctvom dozorných orgánov, resp. členstva v orgánoch inštitúcií EÚ. Tieto tri možnosti predstavujú:
1.
využitie otvorených klauzúl
(Opening clauses);
2.
derogácia GDPR v zmysle článku 23 GDPR; a
3.
samoregulačné nástroje.
1.2 Otvorené klauzuly
Otvorené klauzuly v GDPR sú dôsledkom toho, že členské štáty EÚ pri tvorbe a prijímaní nariadenia nevedeli nájsť konsenzus v určitých špecifických otázkach. Výsledkom tak je, že niektoré ustanovenia GDPR umožňujú mieru flexibility pri ich zapracovaní do právnych poriadkov členských štátov EÚ. Ako jeden zo žiarivých príkladov možno uviesť problematiku ustanovenia veku dieťaťa v súvislosti s digitálnym súhlasom podľa článku 8 GDPR. V tejto oblasti je kultúra jednotlivých členských štátov tak rozdielna, že nebolo možné nájsť jednotný prístup a GDPR tak umožňuje stanoviť túto hranicu od 13 do 16 rokov.
12)
GDPR obsahuje celkovo
69 otvorených klauzúl
13)
rôznej kvality, ktoré umožňujú ustanovenie špecifikovať, doplniť alebo nahradiť v rámci národného právneho poriadku. Vzhľadom na počet otvorených klauzúl si dovoľujeme poskytnúť na tomto mieste čitateľovi iba kategorizovaný rámcový prehľad predmetných možností vlastnej právnej úpravy členských štátov.
V rámci základných definícií môžu členské štáty vo svojich právnych poriadkoch ustanoviť postavenie prevádzkovateľa pre konkrétne subjekty či postavenie orgánov verejnej moci ako príjemcov osobných údajov. V súvislosti s právnymi základmi členské štáty môžu kreovať zákonné povinnosti a úlohy vo verejnom záujme. V tomto kontexte osobitne upozorňujeme na možnosť zakotvenia koncepčného uchopenia kreovania týchto právnych základoch v práve členských štátov.
14)
Ako sme už inde spomenuli, členské štáty môžu napríklad ručiť vek dieťaťa v súvislosti s digitálnym súhlasom.
Pomerne veľa otvorených klauzúl obsahuje článok 9 GDPR, ktorý sa týka spracúvania citlivých osobných údajov. V rámci druhého odseku sú totiž ustanovené situácie, v ktorých môžu národné právne poriadky ustanoviť výnimky, v ktorých je spracúvanie citlivých osobných údajoch povolené, konkrétne zákaz výslovného súhlasu v zákonom stanovených prípadoch, spracúvanie v oblasti pracovného práva, sociálneho zabezpečenia a poistenia, či spracúvanie v oblasti medicíny, na základe významného verejného záujmu či dôvodu verejného zdravia. Osobitne možno taktiež upraviť spracúvanie na účel archivácie, vedeckých alebo historických účelov a štatistiky, a určiť podmienky a obmedzenie spracúvania genetických, biometrických údajov a údajov o zdravotnom stave. Podobne možno nastaviť v národnom právnom poriadku spracúvanie údajov týkajúcich sa uznania viny za trestné činy a priestupky.
V súvislosti s právami dotknutých osôb GDPR umožňuje členským štátom upraviť výnimky z plnenia informačnej povinnosti, z práva na vymazanie (prípadne úpravu zákonnej povinnosti vymazania údajov) a z povolenia automatizovaného individuálneho rozhodovania v zmysle článku 22 GDPR.
Inštitúty spoločných prevádzkovateľov (článok 26 GDPR) a sprostredkovateľov (článok 28 GDPR) taktiež možno v národnom právnom poriadku špecifikovať s ohľadom na vymedzenie konkrétnych povinností spoločných prevádzkovateľov a dezignovanie sprostredkovateľa prostredníctvom zákonnej povinnosti, prípadne atribútov spracúvania osobných údajov sprostredkovateľom
15)
či určenia subsprostredkovateľa.
Osobitnou otvorenou klauzulou v súvislosti s inštitútom posúdenia vplyvu na ochranu údajov je možnosť členského štátu vykonať dané posúdenie v súvislosti s kreovaním právneho základu zákonnej povinnosti alebo úlohy vo verejnom záujme. Národné právne poriadky taktiež môžu určiť, kedy je prevádzkovateľ povinný vykonať predchádzajúcu konzultáciu,
16)
či určiť zodpovednú osobu.
17)
V kontexte cezhraničných prenosov osobných údajov do tretích krajín môžu členské štáty upraviť viaceré výnimky pre cezhraničné prenosy v zmysle článku 49 GDPR a to konkrétne prenosy na základe verejného záujmu, pri prenose osobných údajov do tretej krajiny z registra poskytujúceho informácie verejnosti alebo, naopak, prenosy na základe verejného záujmu obmedziť.
Množstvo otvorených klauzúl sa týka kreovania jedného alebo viacerých dozorných orgánov v členskom štáte EÚ. GDPR predovšetkým zvýrazňuje nevyhnutnosť vlastných zdrojov a jeho nezávislosť (vrátane finančnej nezávislosti). Ďalšie ustanovenia, ktoré si členské štáty majú upraviť samotné, sa týkajú vedúcich funkcií v rámci dozorného orgánu a to z hľadiska potrebnej kvalifikácie, procesu voľby, trvania funkcie a výmeny. GDPR taktiež umožňuje špecifikovať povinnosti a pracovné podmienky členov dozorných orgánov a upravenie povinnosti zachovávať mlčanlivosť pre členov dozorný
Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).