Slovensko ako priekopník v „preklápaní“ nariadenia GDPR do zákona

Allen & Overy LLP
Contact

Allen & Overy LLP

​Nový návrh zákona o ochrane osobných údajov

Po rokoch kontroverzných diskusií ohľadne novej právnej úpravy bol schválený text nového nariadenia o ochrane osobných údajov (GDPR)1 ktorý sa začne uplatňovať 25. mája 2018. GDPR nahradí zákon č. 122/2013 Z.z. o ochrane osobných údajov, ktorý bude zrušený. GDPR nie je iba ďalšou novelou v oblasti ochrany osobných údajov, ale znamená menšiu revolúciu v oblasti ochrany dát. Zmeny, ktoré budú spoločnosti musieť na svojich systémoch vykonať sú početné.

Aj keď GDPR bude mať najväčší dopad na veľké spoločnosti, ktoré spracúvajú značné množstvo osobných údajov ako napríklad banky, farmaceutické a telekomunikačné spoločnosti, nezanedbateľné množstvo nových povinností prinesie aj menším a stredným podnikom. Keďže dnes už asi len ťažko nájdeme spoločnosť, ktorá nespracúva osobné údaje, GDPR sa bude aplikovať takmer na každého.

Text nariadenia je automaticky záväzný a od dátumu účinnosti priamo vykonateľný. Ako taký, nemusí byť prenesený do národnej legislatívy žiadnou z členských krajín Európskej Únie. Napriek tomu sa Slovenská republika rozhodla ísť neprebádanou cestou a nariadenie GDPR „preklopila“ do separátneho zákona, ktorý je momentálne v medzirezortnom pripomienkovom konaní.

Toto slovenské priekopníctvo spôsobilo medzi spoločnosťami menší rozruch. Vyvolalo diskusiu o otázke, z akého dôvodu Slovensko potrebuje popri nariadení ešte ďalší zákon.

Kontroverzný zákon o ochrane osobných údajov

Po zverejnení nového návrhu zákona o ochrane osobných údajov sa viaceré spoločnosti začali zamýšľať nad tým, či sa majú primárne zaoberať GDPR, novým návrhom zákona alebo „kombináciou“ oboch právnych predpisov. Nesplnenie zákonných povinností pri spracúvaní osobných údajov pritom môže mať vážne následky vo forme vysokých pokút (podľa GDPR až do výšky 20 milión eur alebo 4% celosvetového ročného obratu). Niektoré spoločnosti dokonca vnímajú zákon ako „vykonávací predpis“ k nariadeniu GDPR.

Nový návrh zákona je zmätočný najmä v tom zmysle, že na jednom mieste upravuje príliš veľa separátnych a vzájomne nie celkom súvisiacich, oblastí.

Návrh zákona je delený do niekoľkých častí:

Osobitne problematické časti zákona, ktoré na Slovensku rozprúdili živú debatu sú prvá, druhá a tretia časť. Ich znenie je (až na niekoľko výnimiek) totožné s GDPR. Práve tieto tri časti návrhu zákona podľa dôvodovej správy „preklápajú“ nariadenie. Spoločnosti si neboli isté, či sa primárne pozerať na text GDPR alebo na text zákona, nakoľko sú takmer identické.

Veľa spoločností zároveň nevie, ako naložiť so štvrtou časťou zákona, ktorá pojednáva o ochrane osobných údajov spracúvaných pre účely predchádzania a odhaľovania trestnej činnosti.

Piata časť zákona je venovaná osobitným situáciám spracúvania osobných údajov, avšak je z návrhu zákona nie je jasné, či ju aplikovať popri GDPR. Táto časť zákona sa zaoberá otázkami ako sprístupňovanie alebo zverejňovanie osobných údajov v súvislosti so zamestnaním, spracúvanie rodného čísla, podmienkami pre prenos citlivých osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany ako aj spracúvaním genetických údajov, biometrických údajov a údajov týkajúcich sa zdravia.

Bezproblémové sú zrejme len posledné dve časti zákona, ktoré upravujú najmä procesné aspekty a prechodné ustanovenia. Sú to časti, ktoré samotná GDPR prostredníctvom splnomocňujúcich ustanovení ponecháva na reguláciu národným štátom. Jedná sa najmä o konanie o ochrane osobných údajov, postavenie Úradu na ochranu osobných údajov (Úrad), kódexy správania, certifikáciu ako aj ukladanie pokút Úradom.

Je popri nariadení potrebný aj zákon?

Nakoľko nariadenie je priamo aplikovateľný akt Európskej Únie porovnateľný s našim zákonom, predpokladá sa jeho automatická účinnosť. Rozsah ním upravených práv a povinností nemožno ani rozšíriť ani zúžiť. Nie je teda potrebný žiaden implementačný zákon a nie je potrebné ani jeho „preklápanie“.

Zo vzniknutého zmätku sa však nedá viniť priamo Úrad. Nariadenie GDPR vo svojich úvodných ustanoveniach neštandardne uvádza, že text nariadenia sa bude aplikovať iba na tie oblasti spracúvania osobných údajov, ktoré spadajú do pôsobnosti práva Európskej Únie. Komisia tak trochu „šalamúnsky“ vytvorila oblasť, v ktorej sa spracúvanie osobných údajov nebude riadiť princípmi obsiahnutými v nariadení GDPR avšak bližšie nevysvetlila, o aké oblasti alebo aké formy spracúvania sa jedná. Slovenský zákonodarca tak v snahe harmonizácie spracúvania osobných údajov pre všetky možné situácie a zabráneniu dvojitého režimu vytvoril „horúcou ihlou“ nový návrh zákona. Bez bližšieho vysvetlenia tohto novátorstva a lepšej komunikácie sa však tento návrh zákona stal nástrojom nedorozumenia a rozruchu.

Záver

Pre väčšinu spoločností bude nový zákon irelevantný, resp. budú pre ne dôležité iba jeho posledné tri časti - v tabuľke vyznačené zelenou. Tie časti zákona, ktoré „preklápajú“ nariadenie ako aj transpozíciu policajnej smernice si spoločnosti čítať nemusia. Na to, aby boli spoločnosti v súlade s GDPR a právnym poriadkom SR, sa musia riadiť výhradne textom GDPR (vrátane početných stanovísk tzv. poradnej skupiny založenej podľa článku 29) a poslednými troma časťami navrhovaného zákona.

 

1. Nariadenie Európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).

Smernica 2016/680/EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov.Smernica 2016/680/EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov.

 

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Allen & Overy LLP | Attorney Advertising

Written by:

Allen & Overy LLP
Contact
more
less

Allen & Overy LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide