Spracovanie osobných údajov a ich administratívna náročnosť

Zamestnávate ľudí, vediete evidenciu svojich zákazníkov či máte len tak v počítači uloženú databázu obchodných kontaktov na konkrétne fyzické osoby? Faktom je, že spracúvate osobné údaje v informačnom systéme ako jeho prevádzkovateľ. A keďže v dnešnom svete deklarovaného právneho štátu nie je nič len tak, tento článok sa Vám s cieľom zvýšenia právnej istoty pokúsi zrozumiteľne vysvetliť čo je potrebné vykonať, aby bol faktický stav v súlade s tým právnym.

JUDr. Ondrej Zimen 25. 07. 2012 6 min.
By Azzamothman (Own work) [Public domain], via Wikimedia Commons By Azzamothman (Own work) [Public domain], via Wikimedia Commons Azzamothman, Wikimedia Commons

Prevádzkovateľ – teda subjekt, ktorý reálne spracúva osobné údaje resp. určuje účel ich spracúvania má vo vzťahu k štátu reprezentovanému Úradom na ochranu osobných údajov SR (ďalej len „Úrad“) viacero administratívnych povinností, ktoré sa môžu javiť ako administratívne náročné.

Subjektívnemu hodnotenie tejto skutočnosti sa nebudem venovať, keďže hlavným cieľom tohto článku je zhrnúť a vysvetliť prevádzkovateľom, ktorí majú zároveň veľmi často aj postavenie podnikateľa, ich základné administratívne povinnosti bez toho, aby si lámali hlavu s výkladom príslušných zákonných ustanovení. Čas sú predsa peniaze, rovnako ako aj eliminácia rizika, ktoré spočíva v možnosti udelenia sankcie za nesplnenie povinnosti.

V podstate zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon č. 428/2002 Z. z.) ustanovuje vo svojich ustanoveniach prevádzkovateľom viacero povinností, ktoré je možné klasifikovať nasledovne:

  • základné povinnosti;
  • povinnosti spojené so získavaním a preukazovaním súhlasu dotknutej osoby;
  • informačné povinnosti;
  • bezpečnostné povinnosti;
  • povinnosť mlčanlivosti;
  • povinnosti spojené s inštitútom zodpovednej osoby;
  • povinnosti spojené s právami dotknutej osoby;
  • povinnosti spojené s registráciou a osobitnou registráciou informačného systému;
  • povinnosti spojené s cezhraničným prenosom osobných údajov do tretích krajín nezaručujúcich primeranú úroveň ich ochrany;
  • povinnosti spojené s výkonom kontroly dozorného orgánu.

Vzhľadom na rozsah vyššie uvedených povinností pokladám za vhodné v súvislosti s administratívnou náročnosťou vysporiadať sa hlavne s dvoma základnými inštitútmi, s ktorými sa bežní prevádzkovatelia stretávajú najčastejšie. Ide o právny inštitút zodpovednej osoby a problematiku spojenú s registráciou informačného systému.

Zodpovedná osoba

Z dikcie § 19 ods. 2 zákona č. 428/2002 Z. z. vyplýva, že prevádzkovateľ, ktorý zamestnáva viac ako päť osôb (vrátane tzv. „dohodárov“) je povinný písomne poveriť jednu alebo viaceré zodpovedné osoby, ktoré v intenciách zákona č. 428/2002 Z. z. dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov v rámci činnosti predmetného prevádzkovateľa. Prevádzkovateľ je tiež povinný zabezpečiť odborné vyškolenie zodpovednej osoby, pričom zákon bližšie nešpecifikuje spôsob ani formy takejto činnosti. V podstate je možné túto povinnosť splniť aj čestným prehlásením zodpovednej osoby o jej odbornej znalosti obsahu zákona č. 428/2002 Z. z., čo nevylučuje samoštúdium - teda aj úsporu nákladov spojenú so zabezpečením nejakého vzdelávacieho kurzu a odborného lektora. Avšak treba mať na pamäti aj to, že Úrad má právo si overiť, do akej miery bolo vyškolenie zodpovednej osoby zabezpečené, napr. aj preverením vedomostí zodpovednej osoby.

Ďalšia povinnosť prevádzkovateľa spočíva vtom, že je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy. Takéto konanie resp. výkon funkcie zodpovednej osoby v súvislosti s vykonávaním dohľadu nad spracúvaním osobných údajov nemôže slúžiť ako podnet či dôvod na spôsobenie ujmy zodpovednej osobe prevádzkovateľom. Aj vzhľadom na uvedené je logické, že štatutárny orgán prevádzkovateľa nemôže byť zodpovednou osobou. Aplikácia tejto povinnosti býva v praxi často problematická, a to nielen vzhľadom na pracovno-právnu subordináciu v zmysle zamestnávateľ (prevádzkovateľ) – zamestnanec (zodpovedná osoba). V každom prípade za neumožnenie, rušenie, marenie alebo iné sťažovanie nezávislého dohľadu zodpovednej osoby nad výkonom spracúvania osobných údajov alebo za nerešpektovanie jej oprávneného písomného oznámenia možno uložiť pokutu v hodnote od 995, 82 EUR (30 000 Sk) do 99 581.76 EUR (3 000 000 Sk).

V súvislosti s inštitútom zodpovednej osoby je ďalej potrebné spomenúť aj § 19 ods. 6 zákona č. 428/2002 Z. z. podľa, ktorého je prevádzkovateľ povinný oznámiťÚradu poverenie jednej zodpovednej osoby, a to aj vtedy, ak výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb. Avšak v prípade, ak by zamestnávateľ nahradil Úradom už evidovanú zodpovednú osobu inou, novou zodpovednou osobou je opäť povinný postupovať v zmysle § 19 ods. 5 zákona č. 428/2002 Z. z. a Úrad o tejto skutočnosti bezodkladne, najneskôr do 30 dní od jej písomného poverenia informovať doporučenou zásielkou.

Otázku zániku poverenia predchádzajúcej zodpovednej osoby zákon priamo neupravuje. Z uvedeného dôvodu je preto v prípade personálnej zmeny na pozícii zodpovednej osoby, vhodné písomne ukončiť poverenie pôvodnej zodpovednej osoby, a následne postupovať v zmysle vyššie uvedeného.

Na záver ešte jedna veľmi dôležitá informácia. Ustanovenie zodpovednej osoby spôsobuje aplikáciu taxatívnej výnimky z registračnej povinnosti informačného systému, v ktorom sa spracúvajú osobné údaje (§ 25 ods. 2 písm. b) zákona č. 428/2002 Z. z.). V tomto spočíva výhoda existencie zodpovednej osoby, keďže informačné systémy je potrebné registrovať osobitne na každý účel, čo v praxi znamená osobitný registračný formulár a registračné konanie na každý jednotlivý informačný systém, v ktorom sa spracúvajú osobné údaje.

Registrácia informačného systému

Registračná povinnosť sa vzťahuje na všetky informačné systémy, v ktorých prevádzkovateľ spracúva osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou tých informačných systémov, ktoré sú uvedené v § 25 ods. 2 zákona č. 428/2002 Z. z. V podstate ide o päť taxatívne vymedzených výnimiek. Jednu z nich som už spomenul vyššie. Zvyšné štyri sa pokúsim vysvetliť čo možno najstručnejšie. Registračnej povinnosti pochopiteľne nepodliehajú informačné systémy, ktoré podliehajú osobitnej registračnej povinnosti. Konkrétne ide o tri druhy informačných systémov, v ktorých sa:

  • spracúva osobitná kategória osobných údajov (tzv. citlivé osobné údaje) a zároveň sa predpokladá alebo uskutočňuje ich prenos do krajiny nezaručujúcej primeranú úroveň ochrany;
  • spracúvajú osobné údaje na účely nevyhnutnej ochrany práv a právom chránených záujmov prevádzkovateľa alebo tretej strany (napr. mimosúdne vymáhanie pohľadávok);
  • spracúvajú biometrické údaje na účely evidencie alebo identifikácie vstupu do citlivých, osobitne chránených objektov (napr. snímanie odtlačku prsta pri vstupe do častí jadrovej elektrárne).

Registrácii tiež nepodliehajú ani informačné systémy, v ktorých spracúvajú osobné údaje svojich členov politické strany, cirkvi a odborové organizácie pre vnútornú potrebu, ako aj tzv. personálne informačné systémy, kde sa spracúvajú osobné údaje o uchádzačoch o zamestnanie a zamestnancoch. Poslednou skupinou, ktorá nepodlieha registračnej povinnosti sú informačné systémy, kde sa spracúvajú osobné údaje potrebné na uplatňovanie práv alebo plnenie povinností vyplývajúcich z osobitného zákona alebo sú spracúvané na základe osobitného zákona. Uvedená výnimka napr. znamená, že nie je potrebné registrovať informačné systémy, ktoré prevádzkujú tzv. e-shopy (zákon č. 22/2004 Z. z. o elektronickom obchode v znení neskorších predpisov), tiež účtovné informačné systémy (zákon č. 431/2002 Z. z. o účtovníctve) atď.

Posúdenie potreby registrácie daného informačného systému je teda potrebné vnímať najmä v zmysle vyššie uvedeného. Registrácia je bezplatná a registračný formulár je možné stiahnuť na webovom sídle Úradu. Formulár je potrebné verifikovať podpisom štatutárneho orgánu prevádzkovateľa alebo zaručeným elektronickým podpisom. Avšak je dôležité si uvedomiť, že aj keď sa prevádzkovateľ vyhne registračnej povinnosti, tak je o informačných systémoch nepodliehajúcich registrácii povinný viesť evidenciu. Obsah evidencie je stanovený v § 30 zákona č. 428/2002 Z. z. Formu evidencie tento zákon neustanovuje. Tiež je dôležitou skutočnosťou, že podľa zákona č. 428/2002 Z. z. je potrebné požiadať o registráciu informačného systému pred začatím spracúvania osobných údajov, čo Vám umožní začať spracúvať osobné údaje. Zákon č. 428/2002 Z. z. v tomto kontexte uvádza, že na základe splnenia tejto podmienky spracúvanie osobných údajov v informačnom systéme nie je podmienené vydaním potvrdenia o jeho registrácii.