Právny portál určený širokej odbornej verejnosti

Online časopis

Potrebujeme nový zákon o ochrane osobných údajov? (2. časť)

V prvej časti príspevku bola kriticky analyzovaná slovenská právna úprava spracúvania osobných údajov. Poukázali sme na nedostatočné využitie otvorených klauzúl v zmysle GDPR, komplikovanú pôsobnosť a ustanovenia, ktoré sú potenciálne nesúladné s právom EÚ.V druhej časti príspevku predstavíme víziu, ako by mohol vyzerať revidovaný zákon o ochrane osobných údajov.

In the first part of the article, the Slovak legal regulation of personal data processing was critically analysed. We emphasized the insufficient use of open clauses in the sense of the GDPR, complicated scope and provisions that are potentially incompatible with EU law. In the second part of the article, we will present a vision of what a revised law on personal data protection might look like.

MESARČÍK, M.: Potrebujeme nový zákon o ochrane osobných údajov? (2. časť); Justičná revue, 73, 2021, č. 2, s. 184 - 193.
V predchádzajúcej časti tohto článku sme diskutovali o možnostiach vlastnej právnej úpravy členských štátov Európske únie (ďalej len "EÚ") v oblasti ochrany osobných údajov. Konkrétne sme poukázali na využitie otvorených klauzúl, špecifických derogácií a kódexov správania. Veľký priestor sme venovali kritickej analýze súčasnej slovenskej právnej úpravy v podobe zákona č. 18/2018 Z.z. o ochrane osobných údajov (ďalej len "ZOOÚ"), kde sme namietali komplikovanú pôsobnosť tohto zákona, nedostatočné využitie otvorených klauzúl, a taktiež sme poukázali na ustanovenia, ktoré môžu byť v nesúlade s právom EÚ.
V tejto časti článku predstavíme víziu (koncepciu) toho, ako by mohol vyzerať nový zákon o ochrane osobných údajov. Zameriame sa na štruktúru, koncepčné zmeny a využitie konkrétnych otvorených klauzúl. Neopomenieme ani otázky týkajúce sa dozorného orgánu.
Vzhľadom na predchádzajúcu časť článku máme taký názor, že je na mieste otvoriť diskusiu minimálne o revízii právneho rámca na ochranu osobných údajov. Osobne sme skôr za prípravu komplexného nového zákona o ochrane osobných údajov než čiastkovú novelizáciu, keďže predmetný právny rámec potrebuje koncepčnú zmenu. V tejto stati sa pokúsime navrhnúť štruktúru a obsahové zameranie potenciálneho nového zákona o ochrane osobných údajov (ďalej len "NZOOÚ") aj s konkrétnymi odporúčaniami v niektorých častiach. Opätovne poukážeme aj na právnu úpravu v iných členských štátoch EÚ.
3 ŠTRUKTÚRA NZOOÚ
Z hľadiska štruktúry by NZOOÚ mal zachovať pôvodnú štruktúru. Navyše, iné členské štáty EÚ pristúpili ku koncipovaniu národných právnych úprav veľmi podobne. Jedinou zmenou je nahradenie druhej časti ZOOÚ (ktorá kopíruje ustanovenia GDPR) využitím otvorených klauzúl. Zároveň považujeme za vhodné aj zaradenie implementácie Policajnej smernice ako poslednú časť "hmotnoprávnej časti" pred ustanoveniami týkajúcimi sa pôsobnosti a úloh a dozorného orgánu. Týmto krokom by prišlo k oddeleniu vykonávacích ustanovení GDPR a implementácií Policajnej smernice.
Navrhovaný NZOOÚ by z hľadiska štruktúry mohol vyzerať takto. Prvá časť NZOOÚ by upravovala základné ustanovenia týkajúce sa predmetu, pôsobnosti a definícií slovenskej právnej úpravy. Druhá časť s pracovným názvom
"Spracúvanie osobných údajov v zmysle Všeobecného nariadenia o ochrane údajov"
by obsahovala v prvej kapitole využitie koncepčných otvorených klauzúl (ako napríklad kritériá na kreovanie právneho základu zákonnej povinnosti a verejného záujmu alebo legislatívne zakotvenie potreby posúdenia vplyvu, či ďalšie prípady povinnosti ustanoviť zodpovednú osobu). Druhá kapitola druhej časti by bola tvorená osobitnými situáciami zákonného spracúvania osobných údajov podľa vzoru zásadne doplneného § 78 ZOOÚ. Tretia časť NZOOÚ by reflektovala implementáciu Policajnej smernice. Štvrtá časť NZOOÚ by sa týkala slovenského dozorného orgánu - Úradu na ochranu osobných údajov SR a upravovala by jeho postavenie, výkon kontroly, správne konanie a otázky súvisiace s predsedom dozorného orgánu SR. Piatu časť by tvorili spoločné, prechodné a záverečné ustanovenia.
4 PÔSOBNOSŤ
Už v predchádzajúcej stati sme upozorňovali na prekomplikovanú pôsobnosť ZOOÚ. Podľa nášho názoru, ak chcel slovenský zákonodarca do pôsobnosti slovenského ZOOÚ zahrnúť aj spracovateľské operácie, ktoré nereguluje právo EÚ, mohol túto otázku vyriešiť aj jednoduchšie než skopírovaním veľkého množstva ustanovení GDPR do našej právnej úpravy. Toto riešenie by spočívalo v ustanovení pôsobnosti NZOOÚ aj na spracovateľské operácie, ktoré nepatria do pôsobnosti práva EÚ. Takýmto spôsobom danú otázku vyriešili viaceré členské štáty EÚ, ako napríklad Česká republika,
1)
Veľká Británia,
2)
Nemecko
3)
alebo Rakúsko
4)
či Maďarsko.
5)
Domnievame sa, že takouto klauzulou by nedošlo k porušeniu práva EÚ, keďže aj iné členské štáty EÚ zvolili totožný spôsob, ako sa s danou otázkou vysporiadať.
5 KONCEPČNÉ ZMENY
V prvej kapitole druhej časti NZOOÚ by sa mohli podľa vzoru zahraničných právnych úprav nachádzať ustanovenia, ktoré využívajú všeobecné otvorené klauzuly GDPR. Na ilustráciu spomenieme štyri.
Za jednu z najdôležitejších zmien považujeme potrebu precízne vymedziť, aké parametre by mal obsahovať právny základ zákonnej povinnosti podľa článku 6 ods. 1 písm. c) GDPR, resp. verejného záujmu podľa článku 6 ods. 1 písm. e) GDPR. Ide o situácie, keď sa zákonodarca rozhodne pre určitých prevádzkovateľov ustanoviť povinnosť spracúvať osobné údaje. Súčasne platný ZOOÚ síce v § 13 ods. 2 ustanovuje, že
"... osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú...",
avšak táto úprava je veľmi stručná, v značnej miere sa týka sprístupňovania údajov medzi subjektmi a nachádza sa v druhej časti ZOOÚ, ktorá sa vzhľadom na už diskutovanú pôsobnosť, na väčšinu spracovateľských operácií nevzťahuje. Typickým príkladom daného nedostatku v právnej úprave je zákon č. 305/2013 Z.z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov ("zákon o e-Governmente"). Tento zákon, okrem iného, upravuje aj prevádzku elektronického portálu verejnej správy (slovensko.sk), ktorým tečie obrovské množstvo dát medzi občanmi a štátom. Spracúvanie osobných údajov je upravené v jednom stručnom § 58:
"Na spracúvanie osobných údajov podľa tohto zákona sa vzťahuje všeobecný predpis o ochrane osobných údajov."
Je legitímne očakávať, že v prípade tak robustného systému ako je eGovernment a jeho právnej úpravy sa zákonodarca rozhodne spracúvanie osobných údajov upraviť oveľa podrobnejším spôsobom a tým kreovať zákonnú povinnosť pre konkrétne orgány verejnej moci.
NZOOÚ by tak mal obsahovať klauzulu, ktorá presne vymedzí, aké kritériá musia osobitné právne predpisy obsahovať, aby bolo možné daný právny predpis považovať za právny základ zákonnej povinnosti.
6)
Zároveň by sa takýmto ustanovením dosiahla aj určitá konzistentnosť v právnom poriadku.
Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).