Najčastejšie kladené otázky a odpovede

Verzia pre tlačVerzia pre tlačPDF verziaPDF verzia

Použité skratky

GDPR - NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

NZ – návrh nového zákona o ochrane osobných údajov

úrad – Úrad na ochranu osobných údajov Slovenskej republiky

zákon č. 122/2013 Z. z. – zákon č. 122/2013 Z. z. ochrane osobných údajov v znení zákona č. 84/2014 Z. z.

 

  1. Pristúpi úrad v rámci právnej úpravy návrhu NZ k prijatiu štandardných zmluvných doložiek pre náležitosti spojené so spracúvaním osobných údajov sprostredkovateľom?

 

V rámci právnej úpravy návrhu NZ úrad nepristúpil k prijatiu štandardných zmluvných doložiek v zmysle splnomocňujúceho ustanovenia čl. 28 ods. 8 GDPR, aj s ohľadom na požiadavku Európskej komisie o zachovanie mechanizmu konzistentnosti. Zmluvný vzťah medzi prevádzkovateľom a sprostredkovateľom sa bude riadiť v súlade s čl. 28 GDPR.

 

  1. Kto bude v zmysle čl. 43 ods. 1 GDPR zabezpečovať akreditáciu certifikačných subjektov? Ako budú upravené podmienky pre udelenie certifikácie?

V nadväznosti na čl. 43 ods. 1 GDPR bude úrad jediným subjektom na akreditáciu certifikačných subjektov. Čo sa týka certifikačného mechanizmu, pre udelenie certifikácie prevádzkovateľom alebo sprostredkovateľom budú rozhodujúce delegované a vykonávacie akty Európskej komisie v zmysle čl. 43 ods. 8 a 9 v nadväznosti na čl. 92 GDPR. V súčasnosti prebiehajú na tejto úrovni rokovania (neoficiálny prísľub vydania týchto aktov je jar 2017). Zároveň v rámci WP 29, ktorý pozostáva zo všetkých dozorných orgánov členských štátov, prebiehajú rokovania aj ohľadne kritérií pre udelenie akreditácie pre certifikačné subjekty v zmysle článku 43 ods. 3 GDPR.

 

  1. Bude úrad presnejšie stanovovať osobitné požiadavky na spracúvanie osobných údajov prevádzkovateľom, ak je to nevyhnutné na splnenie jeho zákonnej povinnosti podľa čl. 6 ods. 1 písm. c) GDPR?

V návrhu NZ úrad ponechal znenie súčasnej platnej právnej úpravy § 10 ods. 2 zákona č. 122/2013 Z. z., upravujúcej podmienky pre spracúvanie osobných údajov podľa osobitného zákona ako právneho základu pre spracúvanie osobných údajov dotknutých osôb. Táto právna úprava sa s ohľadom na aplikačnú prax javí ako najoptimálnejšie. Pri posudzovaní, či právny predpis poskytuje právny základ pre spracovateľskú operáciu, sa posudzuje právny predpis ako celok.

 

  1. Uvažuje úrad o možnosti negatívne vymedziť spracovateľské operácie, ktoré nebudú podliehať požiadavke na posúdenie vplyvu v zmysle čl. 35 ods. 5?

Z dôvodu zachovania konzistentnosti podľa čl. 63 GDPR pri určovaní požiadaviek na bezpečnosť spracúvania osobných údajov, postupuje úrad v zhode s inými členskými štátmi. Pre tento účel je vytvorená samostatná pracovná podskupina v rámci WP 29. V súčasnosti prebiehajú rokovania, termín ich ukončenia nie je známy.

 

  1. Definuje úrad v novej právnej úprave pojem „vo veľkom rozsahu“ v súvislosti s povinnosťou prevádzkovateľa/sprostredkovateľa určiť zodpovednú osobu v zmysle čl. 37 GDPR?

Z dôvodu priamej aplikovateľnosti GDPR úrad nie je oprávnený navrhnúť do novej zákonnej úpravy definíciu pojmu „vo veľkom rozsahu“. V tejto počiatočnej fáze, kedy ešte nie sú dostupné usmernenia WP 29 k aplikácii GDPR, Vás môžeme odkázať len na recitály č. 91 a č. 97 GDPR, ktoré by mohli bližšie priblížiť výklad pojmu „vo veľkom rozsahu“ s ohľadom na big data.

 

  1. Umožňuje GDPR upraviť podmienky uzatvorenia zmluvného vzťahu so sprostredkovateľom v NZ?

Čl. 28 ods. 9 GDPR ustanovuje záväznú formu pre zmluvný vzťah medzi prevádzkovateľom a sprostredkovateľom, prípadne ďalším sprostredkovateľom. V tejto súvislosti GDPR neumožňuje členským štátom prijať odchylnú právnu úpravu.

 

  1. Zahŕňa nová právna úprava aj podmienky pre monitorovanie priestorov prístupných verejnosti aj neprístupných verejnosti?

Monitorovanie priestorov prístupných verejnosti aj priestorov neprístupných verejnosti bude možné realizovať výlučne na právnych základoch uvedených v čl. 6 GDPR a za dodržania podmienok spracúvania osobných údajov tak, ako sú upravené v GDPR, prípadne budú upravené vo vykonávacích predpisoch. Podmienky monitorovania tak, ako sú upravené v zákone č. 122/2013 Z. z. nemôžu byť premietnuté v navrhovanom NZ.

 

  1. Podľa GDPR bude povinnosť ustanoviť zodpovednú osobu?

GDPR ustanovuje, kedy je prevádzkovateľ povinný ustanoviť zodpovednú osobu vo svojom čl. 37 (povinnosť bude daná pre orgány a inštitúcie verejnej moci; ak prevádzkovateľ spracúva big data; ak prevádzkovateľ spracúva osobitnú kategóriu osobných údajov vo veľkom rozsahu; ak prevádzkovateľ spracúva osobné údaje o uznanie viny za trestné činy a priestupky). Tým ale nie je dotknuté oprávnenie aj iných prevádzkovateľov dobrovoľne ustanoviť zodpovednú osobu, ak to uznajú za vhodné. Úrad nepristúpil k možnosti rozširovať prípady, kedy je potrebné ustanoviť zodpovednú osobu, a teda ide v tomto smere podľa súčasne platnej právnej úpravy zákona č. 122/2013 Z. z., kedy je ustanovenie zodpovednej osoby dobrovoľné, teda ponechané na prevádzkovateľovi a jeho vôli.

 

  1. Bude prevádzkovateľ povinný vypracovať bezpečnostný projekt podľa GDPR?

Vstúpením GDPR do uplatňovania 5/2018 už nebude povinnosť vypracovať bezpečnostný projekt, ale prevádzkovateľ bude povinný v osobitných spracovateľských operáciách (systematické monitorovanie verejne prístupných miest vo veľkom rozsahu; ak prevádzkovateľ spracúva osobitnú kategóriu osobných údajov vo veľkom rozsahu; ak prevádzkovateľ spracúva osobné údaje o uznanie viny za trestné činy a priestupky , profilovanie či automatické spracúvanie osobných údajov) posúdiť vplyv ochrany údajov; prípadne požiadať úrad o konzultácie podľa čl. 35 a čl. 36 GDPR.

 

  1. Je čl. 6 ods. 4 doplnením právnych základov čl. 6 ods. 1 GDPR?

Čl. 6 ods. 4 GDPR nie je samostatným právnym základom, prevádzkovateľ bude musieť disponovať právnym základom v súlade s čl. 6 ods. 1 GDPR. Zároveň je potrebné uviesť, že predmetné ustanovenie čl. 6 ods. 4 GDPR sa týka len jedného a toho istého prevádzkovateľa. Ak tento prevádzkovateľ, ktorý disponuje právnym základom pre spracúvanie, a nejedná sa o právny základ súhlasu dotknutej osoby alebo právny základ plnenia zákonnej povinnosti alebo o právny základ na účely archivácie, štatistiky, historického alebo vedeckého výskumu, keďže tieto spracovateľské operácie sa vykonávajú na tom istom právnom základe podľa čl. 5 ods. 1 písm. b) a čl. 89 ods. 1 GDPR (tzv. privilegované účely), tak prevádzkovateľ bude povinný najprv vykonať test kompatibility predtým, ako bude môcť vykonať spracovateľskú operáciu na pôvodnom právnom základe s kompatibilným účelom (ide spracúvanie na iný, ale kompatibilný účel s pôvodným, na tom istom právnom základe, s vykonaním testu kompatibility). Ak by spracovateľskou operáciou malo dôjsť k poskytnutiu osobných údajov inému prevádzkovateľovi, tento by musel disponovať právnym základom na takéto spracúvanie osobných údajov dotknutou osobou.