Nový slovenský zákon o ochrane osobných údajov - výnimky z GDPR

Dňa 30. januára 2018 bol v Slovenskej republike vyhlásený a v zbierke zákonov publikovaný nový zákon o ochrane osobných údajov pod číslom 18/2018 Z. z. (ďalej označovaný ako „Nový zákon o ochrane osobných údajov“). Nový Zákon o ochrane osobných údajov nahrádza súčasný slovenský zákon č. 122/2013 Z. z. o ochrane osobných údajov. Dôvodom prijatia Nového zákona o ochrane osobných údajov je predovšetkým celoeurópska reforma právnej úpravy ochrany osobných údajov realizovaná predovšetkým Všeobecným nariadením o ochrane údajov (ďalej označované ako "GDPR", z anglického General Data Protection Regulation). Zákon o ochrane osobných údajov má nadobudnúť účinnosť spoločne s GDPR dňa 25. mája 2018. Nový zákon o ochrane osobných údajov v značnej miere kopíruje ustanovenia GDPR, ktoré je ako nariadenie priamo uplatniteľné v Slovenskej republike, zároveň však transponuje do slovenského právneho poriadku tzv. „policajnú“ smernicu (smernica Európskeho parlamentu a rady (EÚ) č. 2016/680) a taktiež využíva možnosť obsiahnutú v GDPR, určiť kategórie výnimiek a odchýlok od GDPR v právnom poriadku jednotlivých členských štátov.

Posledné menované výnimky a odchýlky, ktoré budú ďalej v texte analyzované, sú obsiahnuté v ustanovení § 78 Nového zákona o ochrane osobných údajov. Medzi kľúčové patria nasledujúce.

 

Možnosť spracúvania osobných údajov na vybrané účely bez súhlasu dotknutej osoby

Bez súhlasu dotknutej osoby je možné podľa slovenskej legislatívy spracúvať osobné údaje na účely akademické, umelecké alebo literárne, alebo ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti. Uvedené spracúvanie však nesmie porušovať právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia a prevádzkovateľ by mal podľa dôvodovej správy zvážiť, či je daná spracovateľská operácia skutočne nevyhnutná.

 

Možnosť zverejnenia kontaktných údajov zamestnanca zamestnávateľom

V situácii kedy je prevádzkovateľ zamestnávateľom dotknutej osoby, je prevádzkovateľ na účely a v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby oprávnený poskytovať alebo zverejniť jej osobné údaje v rozsahu:

• titul, meno, priezvisko,
• pracovné, služobné zaradenia, funkčné zaradenie,
• osobné alebo zamestnanecké číslo zamestnanca, odborný útvar,
• miesto výkonu práce,
• telefónne číslo, faxové číslo,
• adresa elektronickej pošty na pracovisko a
• identifikačné údaje zamestnávateľa.

Poskytnutie údajov nesmie narušiť vážnosť a dôstojnosť dotknutej osoby a podľa dôvodovej správy taktiež musí prevádzkovateľ zvážiť, či je daná spracovateľská operácia skutočne nevyhnutná.

 

Osobitná úprava spracúvania a zverejňovania rodného čísla

Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby rodné číslolen vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Ak sa spracúva rodné číslo na právnom základe súhlasu dotknutej osoby, takýto súhlas musí byť výslovný a súčasne nesmie byť takéto spracúvanie rodného čísla zakázané osobitným predpisom. Zverejňovať rodné číslo sa zakazuje, jedinú výnimku predstavuje možnosť zverejnenia rodného čísla priamo dotknutou osobou samou.

Genetické, biometrické údaje a údaje týkajúce sa zdravia

Nový zákon o ochrane osobných údajov dáva prevádzkovateľovi možnosť spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.  Ide o oprávnenie pre prevádzkovateľa, ktorý spracúvanie uvedených osobných údajov potrebuje na účely napríklad poskytovania zdravotnej starostlivosti poskytovanej na základe osobitných zákonov.

 

Údaje poskytnuté inou fyzickou osobou

Možnosť získania osobných údajov o dotknutej osobeod inej fyzickej osobya ich spracúvanie v informačnomsystéme prevádzkovateľa je podmienené predchádzajúcim písomným súhlasom dotknutej osoby. Nakoľko je táto podmienka viazaná výslovne iba na údaj od fyzickej (a nie právnickej) osoby, je možné predpokladať, že ustanovenie je namierené okrem iného na ochranu pred tým, aby prevádzkovatelia spracúvali osobné údaje osôb, ktoré by boli odporučené osobami, ktoré ich poznajú.Spomínaná povinnosť predchádzajúci súhlas získať neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa konkrétnych ustanovení GDPR. Prevádzkovateľ, ktorý takto osobné údaje spracúva, musí vedieť preukázať Úradu na ochranu osobných údajov kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.

 

Spracúvanie na účely archivácie, na vedecký účel alebo historický výskum a štatistický účel

Nakoľko ide o privilegované účely, na ktoré sa vzťahuje výnimka zo zásady obmedzenia účelu, je možné pri spracúvaní osobných údajov na tieto účely obmedziť aj práva dotknutej osoby, a to právo na prístup, právo na opravu, právo na obmedzenie a právo namietať, a na účely archivácie vo verejnom záujme aj právo na oznámenie inému príjemcovi a právo na prenosnosť podľa GDPR.

 

Ak máte akékoľvek ďalšie otázky týkajúce sa tejto témy alebo potrebujete akúkoľvek pomoc v súvislosti s ochranou osobných údajov, neváhajte nás kontaktovať a naši právni odborníciv spoločnosti Konečná & Zacha vás prevedú džungľou GDPR.