Ako sa nás dotýka Zákon o ochrane osobných údajov?

K pomerne často kladeným otázkam, s ktorými sa pri svojej činnosti stretávame patria otázky, kedy sa na prevádzkovateľov a sprostredkovateľov vzťahuje slovenský zákon č. 18/2018 Z.z. o ochrane osobných údajov v platnom znení a kedy Nariadenie GDPR, resp. čo vlastne Zákon o ochrane osobných údajov upravuje.

Aj keď od účinnosti GDPR uplynul relatívne dlhý čas, v praxi sa veľmi často stretávame aj s nesprávnymi odkazmi na uplatňovanie Zákona o ochrane osobných údajov, či nesprávnym výkladom jeho pôsobnosti a vzťahu s Nariadením GDPR. Nesprávnymi usmerneniami v tejto oblasti k tomu niekedy prispieva aj samotný Úrad na ochranu osobných údajov SR.

V našom článku sa dozviete, kedy sa vyššie uvedené právne predpisy aplikujú a aký je ich vzájomný vzťah.

Pôsobnosť GDPR

Nariadením GDPR sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov v rámci EÚ. Účelom GDPR je najmä zavedenie opatrení na ochranu základných práv a slobôd fyzických osôb v oblasti osobných údajov.

Vecná pôsobnosť GDPR je stanovená v článku 2. Tento článok  ustanovuje, že Nariadenie GDPR sa v zásade vzťahuje na akékoľvek spracúvanie osobných údajov fyzických osôb, okrem spracúvania osobných údajov:1

  • v rámci činnosti, ktorá nepatrí do pôsobnosti práva EÚ, k takýmto činnostiam patrí v zmysle recitálu 16 GDPR napr. spracúvanie osobných údajov pri otázkach, ktoré sa týkajú národnej bezpečnosti každého členského štátu alebo pri iných špecifických činnostiach, ktoré sú zakladajúcimi zmluvami o EÚ ponechané vo výlučnej pôsobnosti každého členského štátu,2
  • členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V zmluvy o Európskej únií, ku ktorým patrí napr. spracúvanie osobných údajov vykonávané členskými štátmi pri činnostiach súvisiacich so spoločnou zahraničnou a bezpečnostnou politikou EÚ,
  • fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti, (tzv. domáca výnimka), ktorá znamená, že Nariadenie GDPR sa nevzťahuje na spracúvanie osobných údajov vykonávané fyzickými osobami v rámci osobných alebo domácich činností bez spojenia s profesijnou alebo komerčnou činnosťou. V zmysle recitálu 18 GDPR možno za osobné alebo domáce činnosti považovať korešpondenciu a uchovávanie adries fyzickými osobami či využívanie sociálnych sietí,3
  • príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzaniu, pričom príslušnými orgánmi sa rozumejú najmä orgány činné v trestnom konaní (polícia a prokuratúra), ktoré pri spracúvaní osobných údajov na vyššie uvedené účely postupujú podľa tretej časti nášho Zákona o ochrane osobných údajov, ktorou bola do nášho právneho poriadku transponovaná smernice Európskeho parlamentu a Rady (EÚ) 2016/280.

Pôsobnosť: Zákon o ochrane osobných údajov a dôvody jeho prijatia

Vecná pôsobnosť Zákona o ochrane osobných údajov je taktiež ustanovená v jeho úvodných ustanoveniach, v § 3 ods. 2., podľa ktorého: „Tento zákon, okrem § 2§ 5, druhej a tretej časti zákona, sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje osobitný predpis o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.“

Osobitným predpisom je v zmysle vyššie uvedeného vymedzenia vecnej pôsobnosti Zákona o ochrane osobných údajov Nariadenie GDPR.

Zjednodušene povedané, pre väčšinu bežných podnikateľských subjektov, ako aj pre orgány verejnej moci4 platí, že pri spracúvaní osobných údajov dotknutých osôb postupujú podľa Nariadenia GDPR a vymedzených častí Zákona o ochrane osobných údajov.

Prvá a druhá časť Zákona o ochrane osobných údajov obsahuje v zásade rovnaké pravidlá pre spracúvanie osobných údajov ako sú stanovené v GDPR. Podľa tejto časti postupujú prevádzkovatelia a sprostredkovatelia v tých situáciách, kedy sa v zmysle čl. 2 GDPR na spracúvanie osobných údajov Nariadenie GDPR nevzťahuje.5

V zmysle dôvodovej správy k Zákonu o ochrane osobných údajov by malo v podstate rovnaké znenie prvej a druhej časti zákona s ustanoveniami GDPR slúžiť na „zjednodušenie“ života pre subjekty spracúvajúce osobné údaje najmä v postavení orgánov verejnej moci, ktoré sú v niektorých častiach svojich pôsobností povinní postupovať podľa GDPR a pri iných podľa Zákona o ochrane osobných údajov. Rovnaká úroveň pravidiel zavedená oboma právnymi predpismi má slúžiť na to, aby subjektom spracúvajúcim osobné údaje stačilo prijať jeden druh pravidiel a tým zaručovať rovnakú úroveň ochrany všetkých spracúvaných osobných údajov.6

Tretia časť zákona predstavuje transponovanú smernicu Európskeho parlamentu a Rady (EÚ) 2016/280 z 27. apríla 2016, o ochrane fyzických osôb pri spracúvaní osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchtoudajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV, a upravuje spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzaniu (najmä orgány činné v trestnom konaní, Finančná správa či Vojenská polícia). Podľa tretej časti Zákona o ochrane osobných údajov tak postupujú výlučne vyššie uvedené subjekty.

Štvrtá časť Zákona o ochrane osobných údajov obsahuje tzv. osobitné druhy spracovateľských činností, prostredníctvom ktorých náš zákonodarca využíva možnosti stanovené v kapitole IX GDPR upraviť si niektoré situácie pri spracúvaní osobných údajov prostredníctvom vlastných národných pravidiel odlišne, prípadne prísnejšie ako ich upravuje GDPR. V § 78 je tak upravené napríklad:

  • spracúvanie osobných údajov zamestnancov ich zamestnávateľmi (aj bez súhlasu zamestnancov, ak je to potrebné v súvislosti s plnením pracovných povinností dotknutých osôb,
  • spracúvanie rodného čísla (ktoré zverejnenie vo všeobecnosti zostáva zakázané), ako aj
  • spracúvanie osobných údajov pre potreby informovania verejnosti masovokomunikačnými prostriedkami prevádzkovateľmi, ktorým to vyplýva z predmetu činnosti (napríklad v televíznom spravodajstve).

V piatej časti Zákona o ochrane osobných údajov je upravený Úrad na ochranu osobných údajov a jeho postavenie, pôsobnosť a organizácia. Úradu na ochranu osobných údajov a jeho činnosti sme sa venovali v jednom z našich posledných článkov s názvom: Úrad na ochranu osobných údajov a jeho činnosť.

V praxi sa tak môžeme stretnúť najmä s troma druhmi situácií týkajúcich sa vzájomného vzťahu Nariadenia GDPR a Zákona o ochrane osobných údajov, ktorými si zároveň zhrnieme, podľa akého predpisu majú prevádzkovatelia a sprostredkovatelia v najbežnejších situáciach postupovať:

  • V prípadoch, kedy ide o spracúvanie osobných údajov v rámci činností prevádzkovateľa alebo sprostredkovateľa, ktorá patrí do pôsobnosti práva EÚ, postupuje prevádzkovateľ alebo sprostredkovateľ podľa Nariadenia GDPR a podľa nasledujúcich častí Zákona o ochrane osobných údajov: 1. časti (okrem § 2 a § 5), 4., 5. a 6. časti.
  • V prípadoch, kedy ide o spracúvanie osobných údajov v rámci činností, ktoré nepatria do pôsobnosti práva EÚ, postupuje prevádzkovateľ alebo sprostredkovateľ podľa Zákona o ochrane osobných údajov (s výnimkou jeho 3. časti, ktorá sa, ako bolo uvedené vyššie, vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na plnenie úloh najmä v oblasti trestného konania) a GDPR sa na spracúvanie osobných údajov v tomto prípade nevzťahuje.
  • V prípadoch, kedy spracúvanie osobných údajov vykonávajú príslušné orgány pri plnení úloh na účely trestného konania, postupujú podľa Zákona o ochrane osobných údajov v nasledujúcom rozsahu: 1.,3.,4., 5. a 6. časť. Z 2. časti Zákona o ochrane osobných údajov vzťahujú na spracúvanie osobných údajov uvedenými orgánmi len ustanovenia uvedené v § 52, § 59, § 67 a § 73.

Zaujímavosť na záver

Správna interpretácia vzťahu Nariadenia GDPR a Zákona o ochrane osobných údajov a situácií, kedy sa jednotlivé predpisy a v akom rozsahu uplatňujú, nie je celkom jednoduchá. Ako sme spomenuli v úvode, svojou „troškou“ tomu prispel aj Úrad na ochranu osobných údajov vo svojom odporúčaní, v ktorom uviedol, že  prevádzkovatelia a sprostredkovatelia nemusia skúmať, či sa bude na nich vzťahovať Nariadenie GDPR  alebo Zákon o ochrane osobných údajov, pretože v prípade, ak by sa nedokázali vysporiadať s vecnou pôsobnosťou Nariadenia GDPR, s poukazom najmä na čl. 2 ods. 2 písm. a) Nariadenia GDPR, nie je chybou, ak sa budú riadiť a postupovať len podľa Zákona o ochrane osobných údajov, aj ak by sa na ich činnosť malo vzťahovať Nariadenie.

 

 

Toto odporúčanie Úradu na ochranu osobných údajov SR možno považovať prinajlepšom za „nešťastné“, pretože vecná pôsobnosť Nariadenia GDPR, ako aj Zákona o ochrane osobných údajov sú stanovené celkom jednoznačne.

Preto považujeme za nesprávne, ak prevádzkovatelia alebo sprostredkovatelia, ktorí majú pri spracúvaní osobných údajov postupovať podľa Nariadenia GDPR, postupujú výlučne podľa ustanovení Zákona o ochrane osobných údajov, ktorý sa nich v konkrétnom prípade neuplatňuje. Máme za to, že vyššie uvedený postup je v porušením predpisov o ochrane osobných údajov, ktoré môže byť sankcionované. Takéto usmernenie (nezáväzné) vydal práve subjetk, ktorý by mal de facto takéto konanie sankcionovať. Vypracovanie dokumentácie GDPR

V prípade, ak Vás náš článok zaujal, prihláste sa do odberu newsletteru alebo si pozrite naše videoškolenia.


  1. V tomto prípade môžeme hovoriť o tzv. negatívnej pôsobnosti GDPR 

  2. Úrad na ochranu osobných údajov vo svojom odporúčaní ako ďalšie príklady takéhoto spracúvania uvádza vybavovanie sťažností povinnými subjektami podľa zákona č. 9/2010 Z.z. o sťažnostiach v znení neskorších predpisov alebo vykonávanie činností podľa zákona č. 179/2011 Z. z. o hospodárskej mobilizácii v znení neskorších predpisov 

  3. V prípade, ak však pôjde o komerčný profil napr. kaderníčky podnikajúcej na základe živnostenského oprávnenia, ktorá na svojom profile zverejňuje fotografie svojich zákazníčok v rámci svojej prezentačnej činnosti, pôjde o činnosť spadajúcu pod úpravu Nariadenia GDPR 

  4. Tak v postavení prevádzkovateľov, ako aj sprostredkovateľov 

  5. Napr. pri spomínanom okruhu činností, ktoré sa týkajú národnej obrany členských štátov 

  6. Bez ohľadu na to, podľa akého právneho predpisu pri spracúvaní osobných údajov postupujú 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.