Návrh nového zákona o ochrane osobných údajov, ktorý je aktuálne v medzirezortnom pripomienkovom konaní (MPK), vyvolal medzi odborníkmi znepokojenie. Tí zámer zjednodušiť a sprehľadniť právny rámec v predmetnej oblasti vítajú, no zároveň upozorňujú, že viaceré ustanovenia návrhu idú nad rámec požiadaviek GDPR a môžu výrazne skomplikovať bežné fungovanie organizácií.
K návrhu zverejnilo zásadné pripomienky viacero odborníkov a subjektov. „Samozrejme, všetci vítame, že nový zákon vyrieši niektoré nedostatky existujúceho zákona, na ktoré od roku 2016 poukazujeme. Žiaľ, nový zákon opakuje aj chyby z minulosti a niektoré jeho ustanovenia by bolo vhodné doladiť,“ priblížil Jakub Berthoty z advokátskej kancelárie Dagital Legal, ktorá sa na právo technológií a ochranu súkromia špecializuje.
Za sporné body nového zákona možno považovať:
- vyžadovanie nepotrebných písomných súhlasov fyzických osôb, ktoré v praxi nie je možné splniť (a ktoré ani nevyžaduje GDPR);
- obligatórne ukladanie sankcií, ak sa zistí porušenie GDPR (namiesto „môže uložiť“ nový zákon hovorí „uloží“);
- vyžadovanie vyhlášky k monitorujúcim subjektom, ktorá blokuje prijatie kódexov správania od roku 2018;
- nejasná výnimka z posúdenia vplyvu, s ktorou vôbec GDPR nepočíta;
- predĺženie funkčného obdobia predsedu Úradu na ochranu osobných údajov z 5 na 7 rokov bez obmedzenia počtu mandátov (doteraz maximálne dva).
Nad rámec GDPR
Medzi najzásadnejšie problematické body patrí podľa odborníkov nové znenie § 2 ods. 1 návrhu zákona, ktoré kladie na tisícky zákonov vyššie požiadavky ako samotné GDPR. Tisíce platných osobitných predpisov, ako napríklad Zákonník práce, v súčasnosti navrhované podmienky nespĺňajú, čo môže spôsobiť, že takéto predpisy nebude ďalej možné považovať za zákonný základ pre spracovanie údajov.
„Všetkým je jasné, že tisícky právnych predpisov tieto požiadavky spĺňať nebudú. Podľa GDPR ich navyše ani spĺňať nemusia. GDPR spomína len to, že ,môžuʻ niečo také obsahovať, ale nemusia. Zavádzame si tak úplne zbytočne dodatočné požiadavky, o ktorých dopredu vieme, že nebudú splnené,“ upozornil advokát J. Berthoty.
Pritom podľa neho nie je dôvod, aby členské štáty k otázke právnych základov pristupovali týmto spôsobom. „Opakujeme chyby z minulosti. Na Slovensku sme k otázke právnych základov pristupovali vždy inak ako vyžadovali predpisy EÚ,“ pokračoval právny expert.
„Buď sme si stanovili dodatočné požiadavky na súhlas, alebo na osobitné zákony, prípadne sme umožňovali spracúvať zverejnené údaje, alebo sme oznamovali rôzne veci Úradu... Všetko úplne zbytočne a mimo rámca predpisov EÚ,“ dodal.
Podľa advokáta Slovensko dodnes v oblasti GDPR nevykonalo to, čo malo, a teraz sa to snaží riešiť nevhodným a zjednodušujúcim spôsobom. „Mali sme pripraviť náš právny poriadok na GDPR a upraviť stovky zákonov tak, aby s ním boli súladné. Nedá sa to nahradiť jednou vetou. Táto veta navyše zbytočne skomplikuje firmám ale aj orgánom verejnej moci život,“ uviedol J. Berthoty.
Potreba zohľadniť pripomienky
Napriek výhradám vnímajú viacerí odborníci snahu Úradu na ochranu osobných údajov a celkový zámer nového zákona aj pozitívne. To, že existujúci zákon je neprehľadný, konštatoval v roku 2020 aj Najvyšší kontrolný úrad SR.
Samotná predsedníčka Úradu hovorí o snahe zapojiť do činností regulátora aj ľudí zvonka. Spomína napríklad rozkladové komisie, medzi ktorých členmi budú podľa jej slov aj zástupcovia odbornej verejnosti. Odborníci preto očakávajú, že ÚOOÚ sa vysporiada aj s pripomienkami z pripomienkového konania, ktoré zaslalo už teraz množstvo subjektov a jednotlivcov.
„Ak by autori aktuálneho zákona zohľadnili naše pripomienky v roku 2016 a 2017, nemusel by sa prijímať nový zákon. Naše hlavné odporúčanie je nemeniť režim právnych základov podľa GDPR a nechať ho tak,“ pripomenul J. Berthoty z Dagital Legal.
Juraj Vedej
Chapter 4 Slovakia
