Fakty, ktoré môžu ušetriť peniaze
Byť súčasťou podnikateľskej sféry v súčasnosti dá naozaj zabrať. Šanca sledovať zákony a ich prípadné novelizácie klesá úmerne ich rastúcemu množstvu. Pokiaľ nemáte ekonomické vzdelanie, alebo zamestnanca či externú firmu, ktorá týmito znalosťami disponuje a reálne i včas vás o všetkom informuje, ocitáte sa na konci „potravinového reťazca" štátnej pokladnice. PrečoPretože ako je známe, neznalosť zákona neospravedlňuje. Ba naopak, trestá sa.
Doslova likvidačné sankcie, ktoré napĺňajú štátnu kasu sa tak môžu stať reálnou hrozbou. Aby sme boli konkrétnejší, skúsime položiť kontrolnú otázku. Čo vám hovorí Zákon o ochrane osobných údajov? A jeho novela? Ak máte pocit, že s týmto sa naozaj nemusíte zaoberať, úprimne vám odporúčame prečítať si nasledujúce fakty, na ktoré upozorňuje v rozhovore špecialista na problematiku ochrany osobných údajov Mgr. Tomáš Mičo. Stretli sme sa s ním na seminári venovanom tejto téme, ktorý organizovala spoločnosť Wolters Kluwer, odborné vydavateľstvo ekonomickej a právnej literatúry, ktoré vydalo aj publikáciu Zmeny v ochrane osobných údajov. V nej má čitateľ možnosť získať aktuálne informácie o novele Zákona o ochrane osobných údajov účinné od 15. apríla 2014. Autorom spomínanej publikácie je Mgr. Tomáš Mičo.
Niekoľko právnych faktov...
Dňa 15. apríla 2014 nadobudla účinnosť novela zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ktorá prináša celý rad zmien. Novinky sa dotknú takmer všetkých prevádzkovateľov informačných systémov, ako aj ich sprostredkovateľov. Najzávažnejšie zmeny sa týkajú definície oprávnenej osoby prichádzajúcej do styku s osobnými údajmi, zmien v registrácii informačných systémov, bezpečnostnej dokumentácie, zrušenia povinnosti ustanoviť zodpovednú osobu, ale aj rozčlenenia pokút na fakultatívne a obligatórne.
MR: Na koho sa vzťahuje právna úprava zákona o ochrane osobných údajov?
TM: Zákon o ochrane osobných údajov sa vzťahuje na každého, kto spracováva osobné údaje, určuje účel a prostriedky spracovania alebo poskytuje osobné údaje na spracovanie. Zjednodušene možno povedať, že zákon o ochrane sa primárne týka prevádzkovateľa informačného systému, ktorý osobné údaje spracúva na vopred určený účel a dotknutej osoby, ktorej sa osobné údaje týkajú. Vynechať samozrejme nemožno ani ostatné zainteresované osoby. Prevádzkovateľ totiž osobné údaje spracúva napr. prostredníctvom svojich zamestnancov, ktorých označujeme ako oprávnené osoby alebo si na spracovanie môže najať externý subjekt označovaný za sprostredkovateľa. Dohľad nad spracúvaním osobných údajov môže byť zverený zodpovednej osobe a osobné údaje možno za špecifických okolností poskytovať či sprístupňovať príjemcovi alebo inej, tretej strane. Z toho jednoznačne vyplýva, že zákon o ochrane osobných údajov svojim rozsahom pokrýva všetky subjekty, ktoré na spracovaní osobných údajov participujú.
MR: Osobnými údajmi môžno nakladať len podľa vopred vymedzených pravidiel a zásad, ktoré sú obšírne vymenované v zákone. Kedy je potrebný súhlas dotknutej osoby so spracovaním jej údajov a kedy ho prevádzkovateľ informačného systému nepotrebuje?
TM: Súhlas so spracúvaním osobných údajov je jeden z viacerých právnych základov ich spracovávania upravených zákonom. Predstavuje tak jedno z použiteľných oprávnení pre prevádzkovateľa na získavanie a využívanie osobných údajov dotknutej osoby. V obchodných podmienkach je však najmenej použiteľný a vo väčšine prípadov je vhodné nahradiť ho zmluvou. Ak medzi prevádzkovateľom a dotknutou osobou vzniká obchodný vzťah, predmetom ktorého je dodanie tovarov či služieb a spracúvanie osobných údajov dotknutej osoby je v tejto súvislosti nevyhnutné na plnenie uvedenej zmluvy, súhlas dotknutej osoby sa nevyžaduje. Vyžadovanie súhlasu by mohlo byť v rozpore s požiadavkou zákona zakazujúcou vynucovanie alebo podmieňovanie hrozbou odmietnutia zmluvného vzťahu, služby či tovaru. Patová situácia by však nastala aj v prípade, ak by dotknutá osoba svoj súhlas v priebehu realizácie obchodného vzťahu odvolala.
MR: Ohlasovaciu povinnosť si musí podnikateľ splniť ešte pred tým, ako začne
informačný systém používať. Kedy musí podnikateľ požiadať o osobitnú registráciu a kedy informačný systém nepodlieha ohláseniu vôbec?
TM: Ohlasovacia povinnosť je nový pojem, za ktorým sa však skrýva pôvodná registrácia informačných systémov. Vo všeobecnosti platí, že ohlasovacej povinnosti podliehajú všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne, automatizovanými prostriedkami spracovávania. Neohlasujú sa teda systémy, v ktorých prevádzkovateľ spracúva osobné údaje manuálnym spôsobom, napríklad vo forme kartotéky či dokumentov existujúcich výlučne v listinnej podobe, pričom o takýchto informačných systémoch vedie prevádzkovateľ evidenciu. Neohlasujú sa tiež informačné systémy podliehajúce dohľadu zodpovednej osoby, ani informačné systémy občianskych združení, odborových organizácií alebo cirkví, ktoré spracúvajú osobné údaje svojich členov pre vnútornú potrebu a ohlasovaniu sa vyhnú aj informačné systémy prevádzkované na základe požiadaviek zákonov. Aj o týchto informačných systémoch vedie prevádzkovateľ evidenciu. Špecifické prípady informačných systémov, kde sa spracovanie týka biometrie alebo prenosu citlivých údajov do krajiny bez primeranej úrovne ochrany osobných údajov, sú spojené s povinnosťou prihlásenia na osobitnú registráciu. O povinnosti osobitnej registrácie však môže rozhodnúť Úrad na ochranu osobných údajov SR aj pri povinne ohlasovaných informačných systémoch, v ktorých prevádzkovateľ spracováva osobné údaje na účely ochrany svojich práv a právom chránených záujmov, či práv a záujmov tretej strany bez súhlasu dotknutej osoby.
MR: Koho sa týka bezpečnostný projekt?
TM: Bezpečnostný projekt je forma dokumentácie bezpečnostných opatrení. Povinnosť vypracovať bezpečnostný projekt má typický prevádzkovateľ, ktorý v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracováva osobitné kategórie osobných údajov. Prepojenie na verejne prístupnú počítačovú sieť možno ilustrovať aj ako spracovávanie osobných údajov prostredníctvom počítača s internetovým pripojením a za typický príklad osobitných kategórií osobných údajov možno jednoznačne označiť napr. údaje týkajúce sa zdravia, rodné číslo, vierovyznania, politických názorov alebo biometrie.
MR: Čo musí bezpečnostný projekt obsahovať?
TM: Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Prevádzkovateľ ho povinne vypracúva v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Podľa nedávno novelizovanej vyhlášky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení obsahuje bezpečnostný projekt názov informačného systému, bezpečnostný zámer, analýzu bezpečnosti a tiež závery vyplývajúce z uvedeného zámeru a analýzy.
MR: Veľa sa v súvislosti s novelou zákona o ochrane osobných údajov hovorilo o zrušení bezpečnostných smerníc. Ako to nakoniec odpadlo?
TM: Bezpečnostná smernica bola miernejšou formou bezpečnostnej dokumentácie a v porovnaní s kompletným bezpečnostným projektom išlo len o jeho časť. Povinnosť zdokumentovať prijaté bezpečnostné opatrenie vo forme bezpečnostnej smernice mali prevádzkovatelia, ktorých informačné systémy neboli prepojené na verejne prístupnú počítačovú sieť a tiež tí, ktorí vo svojich informačných systémoch prepojených na internet nespracúvali osobitné kategórie osobných údajov. Povinnosť vypracovať bezpečnostnú smernicu zrušila novela zákona o ochrane osobných údajov od 15. apríla 2014 a vyššie uvedenou vyhláškou bola, ako súčasť bezpečnostného projektu, premenovaná na tzv. závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti. Napriek uvedenému zmierneniu požiadaviek zákona určila vyhláška povinnosť pre každého prevádzkovateľa, ktorý nemá bezpečnostný projekt povinnosť preukazovať prijatie bezpečnostných opatrení, napríklad ich popisom a tiež popisom spôsobu ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb, záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a záznamami o opatreniach, ktoré prevádzkovateľ prijal na zaistenie bezpečnosti informačného systému po bezpečnostných incidentoch.
MR: Vzniká informačný systém aj v prípade, že firma robí priamy marketing rozposielaním ponúk na adresy zákazníkov?
TM: Pokiaľ sú zákazníkmi nepodnikajúce fyzické osoby, tak je databáza kontaktných údajov na rozposielanie marketingových ponúk jednoznačne informačným systémom osobných údajov. Prevádzkovateľ nepotrebuje v takomto prípade súhlas dotknutej osoby na spracovanie jej osobných údajov iba za predpokladu, že zoznam údajov nepresahuje titul, meno, priezvisko a adresu zákazníka. Ak by firma spracovávala údaje v širšom rozsahu, tak je vhodné disponovať súhlasmi dotknutých osôb.
MR: Má podnikateľ, ktorý zamestnáva čo len jedného zamestnanca povinnosť vytvoriť informačný systém? Je rozdiel v tom, či si zabezpečuje účtovníctvo sám, alebo externe?
TM: Už aj jeden zamestnávaný pracovník znamená pre firmu vytvorenie informačného systému „Personalistika a mzdy", ktorého účelom je uplatňovanie práv a plnenie povinností vyplývajúcich pre zamestnávateľa z pracovnoprávnej legislatívy. Pri tomto informačnom systéme je postačujúca evidencia a nie je potrebné ohlásenie Úradu na ochranu osobných údajov SR, avšak s ohľadom na spracovávanie osobitných kategórií osobných údajov (napr. rodné číslo) je potrebné zabezpečiť primeranú bezpečnostnú dokumentáciu. Externé mzdové účtovníctvo znamená spravidla povinnosť uzavrieť s dodávateľom tejto služby zmluvu o poverení sprostredkovateľa a externý účtovník ako sprostredkovateľ je rovnako povinný dodržiavať ustanovenia zákona o ochrane osobných údajov, týkajúce sa bezpečnosti osobných údajov, vrátane bezpečnostného projektu.
MR: Aké povinnosti má podnikateľ, ktorý nepracuje s osobnými údajmi prostredníctvom počítača, ktorý je napojený na verejnú internetovú sieť a osobné údaje archivuje len v tlačenej verzii - v šanónoch (napr. dohody o vykonaní práce, pracovné zmluvy, ostatnú mzdu a personalistiku vedie externá účtovná firma)?
TM: Takáto situácia je v dnešnej dobe veľmi ojedinelá. Každý osobný či prenosný počítač je prinajmenšom z času na čas pripojený na internet a všetky vytlačené zmluvy bolo potrebné najskôr sformulovať a vytlačiť prostredníctvom počítača a tlačiarne. Keby aj podnikateľ nemal žiadne internetové pripojenie, tak časť jeho informačného systému nachádzajúca sa u externého mzdového účtovníka je určite s internetom prepojená. Ako sme si už povedali, IS Personalistika a mzdy nepodlieha ohlasovacej povinnosti a podnikateľ o nej vedie evidenciu, ktorú neposiela na Úrad na ochranu osobných údajov SR. Je však povinný prijať primerané bezpečnostné opatrenia a zdokumentovať ich v závislosti od konkrétnych podmienok spracovávania osobných údajov. V drvivej väčšine prípadov sa IS Personalistika a mzdy bezpečnostnému projektu nevyhne.
MR: Predpokladáme, že spoločnosti prevádzkujúce e-shopy, ktoré reálne pracujú s osobnými údajmi svojich zákazníkov si povinnosti tohto zákona už splnili ešte pred jeho novelou. Aké zmeny sa týkajú prevádzkovateľov e-shopov, ktorí začínajú so svojou prevádzkou až po nadobudnutí účinnosti novely zákona?
TM: Podmienky pre prevádzkovateľov e-shopov sa mierne zjednodušili. Začínajúce e-shopy by mali ohlásiť svoj informačný systém Úradu na ochranu osobných údajov SR. K dispozícii majú formuláre zverejnené na internetových stránkach tejto inštitúcie, http://www.uoou.sk. Keďže pri e-shopoch spravidla nedochádza k spracúvaniu osobitných kategórií osobných údajov, nie je potrebné vypracovať bezpečnostný projekt. Novela zákona o ochrane osobných údajov zrušila aj doteraz povinnú bezpečnostnú smernicu a tak prevádzkovateľ e-shopu prijme len primerané bezpečnostné opatrenia. Ako sme si už povedali, preukazuje ich popisom a tiež popisom spôsobu ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb, záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a záznamami o opatreniach, ktoré prevádzkovateľ prijal na zaistenie bezpečnosti informačného systému po bezpečnostných incidentoch.
MR: Kde je na stránke e-shopu najvhodnejšie komunikovať súhlas dotknutej osoby a na aké obdobie?
TM: Súhlas dotknutej osoby je v otázkach základného predmetu podnikania e-shopu, ktorým je predaj tovarov alebo služieb, nevhodným právnym základom. Pri dodaní tovaru či služby totiž vzniká medzi prevádzkovateľom e-shopu a zákazníkom zmluvný vzťah. Jeho pravidlá sú väčšinou definované v obchodných podmienkach e-shopu, a to vrátane spracovávania osobných údajov. Prevádzkovateľ tak na účely plnenia zmluvy uzavretej s dotknutou osobou nepotrebuje jej súhlas so spracúvaním osobných údajov. V obchodných podmienkach by však dotknutú osobu mal bezpodmienečne informovať o spracovávaní osobných údajov. Informácia pre dotknutú osoby by mala obsahovať identifikačné údaje prevádzkovateľa a prípadného sprostredkovateľa, účel spracovávania osobných údajov, zoznam spracovávaných údajov a celý rad doplňujúcich informácií, ktoré sú s ohľadom na všetky okolnosti a podmienky spracovávania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov. Zaradiť sem možno v prípade e-shopu napr. poučenie o dobrovoľnosti či povinnosti poskytnúť osobné údaje prevádzkovateľovi, tretie strany pri poskytovaní údajov, okruh príjemcov pre sprístupňovanie, formu zverejnenia, tretie krajiny pre prípad cezhraničného toku a tiež poučenie dotknutej osoby o jej právach. Čo sa týka ostatných aktivít prevádzkovateľa e-shopu zameraných napr. na marketing, možno odporučiť využitie súhlasu dotknutej osoby. Nemožno však generálne určiť, aká je najvhodnejšia doba platnosti súhlasu. V závislosti od všetkých okolností spracúvania by však mala byť primeraná účelu a čo možno najkratšia.
MR: Vernostné karty sú obľúbeným marketingovým nástrojom mnohých firiem s módnym tovarom. Nakoľko pri ich vystavovaní sa získavajú osobné údaje zákazníkov znamená to, že aj tieto spoločnosti podliehajú povinnostiam vyplývajúcich so spomínaného zákona?
TM: Aj v tomto prípade by som odporúčal postupovať formou zmluvného vzťahu a vydávanie vernostných kariet upraviť obchodnými podmienkami vernostného programu, podobne ako pri dodaní tovarov a služieb prostredníctvom e-shopu. Nevýhodu súhlasu je aj v prípade poskytovania služieb tak pri samotnom e-shope jeho dovolateľnosť v priebehu trvania zmluvného vzťahu a tiež zákaz vynucovania a podmieňovania súhlasu hrozbou odmietnutia zmluvného vzťahu, služby či tovaru.
MR: Ak firma uchováva osobné údaje (napr. pri spomínaných vernostných kartách), ktoré nie sú správne, porušuje tým zákon?
TM: Prevádzkovateľ je povinný spracovávať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracovávania. Nesprávne a neúplné osobné údaje je povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť. Ak nesprávne a neúplné osobné údaje nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ ich zreteľne označí a bez zbytočného odkladu zlikviduje. Porušenie tejto základnej zásady spracúvania osobných údajov môže Úrad na ochranu osobných údajov SR „oceniť" aj finančnou sankciou.
MR: Na ktoré osobné údaje sa tento zákon nevzťahuje, resp. aké osobné údaje môže firma mať bez toho, aby musela vytvoriť informačný systém.
TM: Predmetom právnej úpravy zákona o ochrane osobných údajov je ochrana práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov. Takúto ochranu nepožívajú právnické osoby a ako vyplýva z aplikačnej praxe Úradu na ochranu osobných údajov SR, tak ani podnikajúce fyzické osoby. Zákon sa zároveň nevzťahuje na spracúvanie údajov, ktoré sú získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií, ak nie sú ďalej systematicky spracúvané. Zákon sa ešte nevzťahuje na osobné údaje, ktoré fyzická osoba spracováva pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, najmä vedenie osobného adresára alebo korešpondencie, čo však nie je prípad firmy ako prevádzkovateľa informačného systému.
MR: Kto a akým spôsobom dozoruje dodržiavanie povinností vyplývajúcich zo Zákona o ochrane osobných údajov?
TM: Dozorným orgánom je Úrad na ochranu osobných údajov SR. V rámci plnenia zákonom stanovených úloh vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Ako orgán štátnej správy s celoslovenskou pôsobnosťou sídli v Bratislave. Z množstva jeho úloh si spomeňme najmä prijímanie návrhov a podnetov ohľadom porušenia zákona o ochrane osobných údajov, výkon kontrolnej činnosti, ukladanie sankcií, ale aj poskytovanie konzultácií v oblasti ochrany osobných údajov či vydávanie metodických usmernení pre prevádzkovateľov a sprostredkovateľov pri spracovávaní osobných údajov.
MR: Aké finančné sankcie hrozia za porušenie zákona?
TM: Rozsah sankcií, ktoré má k dispozícii Úrad na ochranu osobných údajov SR je pomerne široký. Finančné sankcie vo forme pokút alebo poriadkových pokút, ktoré môžu byť uložené prevádzkovateľovi a sprostredkovateľovi začínajú pri 300,- € a svoj strop nachádzajú až pri astronomických 200 000,- €, ktoré boli novelou znížené z pôvodných 300 000,- €. Väčšina týchto pokút však už prestala byť pre Úrad na ochranu osobných údajov SR povinná a môže rozhodnúť aj o ich neuložení. Pri ukladaní pokuty a určení jej výšky prihliada najmä na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a tiež na počet dotknutých osôb. Najzávažnejšie porušenia zákona o ochrane osobných údajov sú však aj naďalej povinne pokutované. Ide hlavne o porušenia povinností súvisiacich s bezpečnostným projektom, spracovávaním osobitných kategórií osobných údajov, cezhraničným prenosom osobných údajov do tretích krajín, osobitnou registráciou či poverením sprostredkovateľa.
Viac informácii nájdete na ww.oou.sk