Zmeny v zákone o ochrane osobných údajov platné od 15. apríla 2014

Len pár mesiacov od účinnosti zákona o ochrane osobných údajov bol prijatý nový Zákon č. 84/2014 Z.z., ktorý upravuje staršiu, príliš byrokratickú, verziu. Ide o tieto zmeny:

• zrušenie registrácie informačných systémov a jej nahradenia oznamovacou povinnosťou a zrušenie registračného poplatku (neplatí pre osobitnú registráciu)
• zrušenie povinnosti prevádzkovateľa určiť zodpovednú osobu, ustanovenie je iba dobrovoľné (neplatí pre osobitnú registráciu) a nezávisí od počtu oprávnených osôb ani zamestnancov
• zodpovednou osobou môže byť aj člen štatutárneho orgánu
• oprávnenou osobou je okrem zamestnanca už aj dohodár
• zrušenie povinnosti písomne poučiť oprávnené osoby (novela však stanovuje povinnosť takýto záznam vyhotoviť a hodnoverne ho preukázať na požiadanie úradu)
• zrušenie povinnosti vypracovať bezpečnostnú smernicu, povinnosť vypracovať bezpečnostný projekt však naďalej trvá
• zrušenie povinnosti sprostredkovateľa oboznámiť Úrad s tým, že prevádzkovateľ porušuje zákon
• odstránená povinnosť v niektorých ustanoveniach Úradu uložiť pokuty za porušenie zákona
• zúženie okruhu osôb, ktorým môže byť pokuta uložená (oprávnené osoby a zodpovedné osoby nebudú sankcionované)
• zníženie hornej hranice pokút (od 150 € do 200 000 €)

Novela Zákona o ochrane osobných údajov č. 122/2013 prináša viaceré povinností pre podnikateľov.  Zákon nadobudol účinnosť od 1.7.2013, avšak na zosúladenie povinností sú stanovené prechodné obdobia.

do 31.12.2013

1. prevádzkovateľ (podnikateľ, ktorý pracuje s osobnými údajmi zamestnancov alebo FO – jednotlivcov) je povinný uviesť do súladu s novým zákonom všetky infomarčné systémy, v ktorých spracúva osobné údaje:

• skontrolovať a zosúladiť rozsah informácií, ktoré je prevádzkovateľ povinný oznámiť dotknutej osobe  pred ich získaním
• upraviť súhlas so spracúvaním osobných údajov
• upraviť rozsah údajov, ktoré môže prevádzkovateľ získavať pri jednorazovom vstupe
• zosúladiť monitorovanie priestoru prístupného verejnosti
• skontrolovať a zosúladiť spracovanie biometrických údajov

2. Prevádzkovateľ a sprostredkovateľ (podnikateľ, ktorý je písomným poverením prevádzkovateľa oprávnený spracúvať osobné údaje) sú povinní vykonať poučenie oprávnených osôb (fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení).

3. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu alebo na osobitnú registráciu v súlade s novým zákonom

• registráciu vykonáva Úrad na ochranu osobných údajov prostredníctvom webovej stránky: www.dataprotection.gov.sk
• za registráciou sa platí správny poplatok, a to vo výške 20€ a 50€ za osobitnú registráciu
• o informačných systémoch, ktoré nepodliehajú registrácii (informačné systémy, ktorými sa nespracovávajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami) je prevádzkovateľ povinný viesť evidenciu. Formulár na evidenciu každého informačného systému osobitne je prístupný na webovej stránke www.dataprotection.gov.sk.

do 31.3. 2014

1. Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s novým zákonom:

• vypracovanie základnej dokumentácie – táto povinnosť je určená pre prevádzkovateľov, ktorí nespracúvajú osobitné kategórie osobných údajov (rodné číslo, biometrické údaje) a ich informačný systém je napr.  v listinnej podobne a nie je prepojený na internet Obsahom základnej dokumentácie sú napríklad písomné záznamy o poučení oprávnených osôb, písomné poverenie zodpovednej osoby.
• vypracovanie bezpečnostnej smernice – informačný systém nie je pripojený na internet alebo sa nespracúvajú osobné údaje osobitnej kategórie.
• vypracovanie bezpečnostného projektu – povinnosť je určená pre prevádzkovateľov, ktorí evidujú osobné údaje obyvateľov, svojich zamestnancov, zákazníkov a pod. a zároveň ich informačný systém osobných údajov je pripojený na verejne prístupnú počítačovú sieť.
• oboznámenie oprávnených osôb s obsahom bezpečnostnej smernice v rozsahu potrebnom na plnenie ich úloh

do 30.6. 2014

1. Prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať do súladu s novým zákonom

• sprostredkovateľ je oprávnený spracúvať osobné údaje len na základe písomnej zmluvy uzatvorenej s prevádzkovateľom

2. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť Úradu

• prevádzkovateľ je povinný mať zodpovednú osobu, ak spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb. (ak má prevádzkovateľ vhodnú osobu, prihlási ju na Úrad na skúšku na účely výkonu funkcie zodpovednej osoby, následne po úspešnom absolvovaní skúšky, prevádzkovateľ písomne poverí zodpovednú osobu)