Nariadenie GDPR vs. zákon o ochrane osobných údajov (2. časť)

Zákon č. 18/2018 Z. z. o ochrane osobných údajov v platnom znení  a Nariadenie GDPR – dva ústredné právne predpisy týkajúce sa ochrany osobných údajov. Podľa ktorého predpisu majú spracovatelia osobných údajov postupovať? Zhrnutie vzťahu medzi Zákonom a Nariadením GDPR, najdôležitejšie situácie a ďalšie informácie si prečítate v článku GDPR vs. zákon.

Pôsobnosť GDPR vs. Zákon o ochrane osobných údajov

Nariadenie ako právny predpis EÚ je z pohľadu hierarchie právnych predpisov priamo aplikovateľné v každom členskom štáte EÚ. Aj v rámci nášho právneho poriadku je v zmysle čl. 7 ods. 2 Ústavy Slovenskej republiky nadriadené našim zákonom.

Nariadenie je teda bez potreby „transpozície“ do právneho poriadku priamo aplikovateľné.¹ To znamená, že Nariadenie GDPR má pred Zákonom o ochrane osobných údajov prednosť.

Platí, že pri spracúvaní osobných údajov v podmienkach SR sa prevádzkovatelia primárne riadia Nariadením GDPR. Zákon o ochrane osobných údajov sa aplikuje v niektorých osobitných prípadoch.² Nariadenie GDPR svoju vecnú pôsobnosť vymedzuje v čl. 2, podľa ktorého sa neuplatňuje napr. v prípadoch, kedy ide o spracúvanie osobných údajov pri činnostiach, ktoré nepatria do pôsobnosti práva EÚ.³

Vyplýva to priamo z Nariadenia GDPR, ale aj zo Zákona o ochrane osobných údajov. V kapitole IX. Nariadenia GDPR je ustanovený okruh spracovateľských činností, ktoré si môžu členské štáty upraviť osobitne.

Ustanovenie § 3 odseku 2 Zákona o ochrane osobných údajov priamo uvádza, že Zákon o ochrane osobných údajov sa okrem § 2, § 5, druhej a tretej časti, vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje osobitný predpis – Nariadenie GDPR.

Z vyššie uvedeného vyplýva, že na prevádzkovateľa, na ktorého sa pri jeho bežnej činnosti vzťahuje Nariadenie sa bude uplatňovať Zákon len v minimálnom rozsahu.

Vzájomné vzťahy Nariadenia GDPR  a Zákona o ochrane osobných údajov je zásade možné rozdeliť na tri základné oblasti:

• spracúvanie osobných údajov v rámci činností, ktoré spadajú do pôsobnosti práva  EÚ → pri takomto spracúvaní postupuje Prevádzkovateľ podľa Nariadenia GDPR a podľa prvej časti, okrem § 2 a § 5, štvrtej, piatej a šiestej časti Zákona o ochrane osobných údajov,⁴
• spracúvanie osobných údajov v rámci činností prevádzkovateľa, ktorá nespadajú do pôsobnosti práva EÚ a prevádzkovateľ nie je orgánom v oblasti predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na úseku výkonu trestných sankcií⁵→ v tomto prípade sa na spracúvanie osobných údajov aplikuje výlučne Zákon o ochrane osobných údajov, okrem jeho tretej časti,
• v prípade ak je prevádzkovateľom príslušný orgán, ktorý spracúva osobné údaje na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na úseku výkonu trestných sankcií → na spracúvanie osobných údajov v tomto prípade sa aplikuje výlučne Zákon o ochrane osobných údajov, vrátane jeho tretej časti.⁶

Kedy Nariadenie GDPR a kedy Zákon?

Ako sme už uviedli, primárne sa spracovateľské operácie riadia Nariadením GDPR. Existujú však osobitné spracovateľské operácie, ktoré podliehajú výnimkám. Tie sú uvedené v § 78 a nasl. Zákona o ochrane osobných údajov. Sú to práve tie osobitné situácie, ktoré si mohla SR upraviť a ktorých úprava je v kompetencii nášho zákonodarcu.

Osobitné spracovateľské činnosti

Na základe vyššie uvedených rozdielov v pôsobnosti Nariadenia GDPR vs. zákon o ochrane osobných údajov  je pre bežného prevádzkovateľa (súkromnoprávny subjekt) dôležitá najmä 4. časť Zákona o ochrane osobných údajov, ktorá obsahuje tzv. osobitné spracovateľské operácie. Nariadenie GDPR ponecháva členským štátom možnosť upraviť si niektoré oblasti spracúvania osobných údajov osobitne, pričom náš zákonodarca osobitné spracovateľské operácie upravuje práve v § 78 Zákona o ochrane osobných údajov.

K osobitným spracovateľským operáciám tak patria najmä:

• spracúvanie osobných údajov na účely informovania verejnosti masovokomunikačnými prostriedkami (tzv. mediálna výnimka) – pre potreby informovania verejnosti masovokomunikačnými prostriedkami možno spracúvať osobne údaje aj bez predchádzajúceho súhlasu dotknutej osoby. Na uplatnenie mediálnej výnimky je potrebné, aby išlo o subjekt, ktorému táto činnosť vyplýva z predmetu jeho činnosti. K najbežnejším príkladom patrí spracúvanie osobných údajov v televíznom alebo rozhlasovom spravodajstve. Podľa usmernenia Úradu na ochranu osobných údajov do tejto výnimky spadá aj spracúvanie osobných údajov v obecných periodikách⁷, za predpokladu, že obecné periodikum je registrované na Ministerstve kultúry SR a obec má v predmete činnosti aj publikačnú alebo inú obdobnú činnosť. Uvedené neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná;

• zverejňovanie osobných údajov zamestnancov ich zamestnávateľom – k osobitným spracovateľským operáciám patrí aj spracúvanie osobných údajov zamestnancov ich zamestnávateľom. Nejde však akékoľvek spracúvanie, ale len spracúvanie presne vymedzené v § 78 ods. 3. Zákona o ochrane osobných údajov, podľa ktorého je zamestnávateľ oprávnený zverejniť titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Uvedené zverejňovanie osobných údajov súvisiacich s pracovným pomerom alebo obdobným pracovnoprávnym vzťahom je zamestnávateľ oprávnený realizovať aj bez súhlasu zamestnanca ako dotknutej osoby, pričom právnym základom je priamo § 78 ods. 3 Zákona o ochrane osobných údajov. Toto ustanovenie je nie možné rozširovať o iné kategórie osobných údajov, ktoré nie sú v ustanovení špecifikované (napr. o fotografie);⁸

Na tému fotografií v súvise s GDPR sme pripravili aj samostatné video-školenie:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

• získavanie osobných údajov dotknutej osoby od inej fyzickej osoby – prevádzkovateľ môže získať osobné údaje o dotknutej osobe od inej fyzickej osoby a spracúvať ich vo svojom informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. Uvedené ustanovenie sa týka získavania osobných údajov o dotknutej osobe z iného zdroja, ako priamo od dotknutej osoby – menovite od inej fyzickej osoby. Ustanovenie sa dotýka najmä rôznych referal programov (či už v rámci získavania nových zamestnancov alebo registrovaných klientov na webových portáloch).⁹ Prevádzkovateľ je povinný získať predchádzajúci písomný súhlas dotknutej osoby v prípade, ak chce získať a spracúvať jej osobné údaje od inej fyzickej osoby;

• spracúvanie osobných údajov zosnulých­ – podľa recitálu (27) Nariadenia GDPR sa nariadenie nevzťahuje na spracúvanie osobných údajov zosnulých osôb. Členské štáty si však môžu stanoviť vlastné pravidlá spracúvania osobných údajov zosnulých osôb. Slovenský zákonodarca túto možnosť využil, a v § 78 ods. 7 Zákona o ochrane osobných údajov stanovil pravidlá pre spracúvanie osobných údajov zosnulých osôb na základe súhlasu. V zmysle uvedeného ustanovenia  v prípade, ak dotknutá osoba nežije, súhlas so spracovaním jej osobných údajov môže udeliť ktorákoľvek jej blízka osoba. Zároveň je však potrebné pamätať na to, že v prípade, ak čo len jedna blízka osoba vysloví písomne nesúhlas, súhlas nie je platný¹⁰.

Prečítajte si aj prvú časť o zákone o ochrane osobných údajov – na tému, ako sa nás dotýka zákon o ochrane osobných údajov, v ktorom sme písali o vecnej pôsobnosti detailnejšie. Zároveň, v 1. časti článku GDPR vs. zákon o ochrane osobných údajov sme poukázali aj na nesprávne usmernenia Úradu.

1. Povaha GDPR nariadenia ako priamo aplikovateľného a záväzného právneho predpisu je jedným zo základným rozdielov oproti právne úprave účinnej pred jeho prijatím, pretože dovtedy ochranu osobných údajov na úrovni EÚ upravovala smernica – o ochrane osobných údajov, ktorú si členské štáty transponovali pomerne „rozdielne“ do svojich právnych poriadkov. ↩

2. Vecná pôsobnosť Zákona o ochrane osobných údajov je upravená v § 2, podľa ktorého sa na spracúvanie osobných údajov, na ktoré sa aplikuje GDPR, vzťahuje iba 3. 4. 5 časť zákona, t. j. ustanovenia o osobitných spracovateľských činnostiach a ustanovenia o pôsobnosti Úradu na ochranu osobných údajov SR. ↩

3. Napr. pri činnostiach týkajúcich národnej obrany každého členského štátu, čiže v našich podmienkach napr. pri spracúvaní vykonávaného na základe zákona o hospodárskej mobilizácii. ↩

4. V tomto prípade o ide najbežnejšie spracúvanie vykonávané súkromnoprávnymi subjektami, ale aj orgánmi verejnej moci pri ich bežných činnostiach, napr. banky, školy, zdravotnícke zariadenia ↩

5. Orgány činné v trestnom konaní ↩

6. Typicky ide o spracúvanie osobných údajov OČTK a súdmi v trestnom konaní ↩

7. napr. zverejňovanie zoznamu narodených a zosnulých v obci ↩

8. Pri spracúvaní fotografií zamestnancov je Prevádzkovateľ povinný opätovne stanoviť vhodný právny základ, napr. súhlas dotknutej osoby ↩

9. Ustanovenie sa netýka získavania osobných údajov o dotknutej osobe od inej právnickej osoby alebo napr. z verejných registrov ↩

10. So spracúvaním osobných údajov zosnulých osôb sa môžeme stretnúť napr. pri zverejňovaní smútočného parte na webovej stránke obce ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Mám záujem