Článok 6 nariadenia poskytuje primerané právne základy pre spracúvanie osobných údajov
obdobne ako je § 9 a § 10 zákona;
Novou právnou úpravou ochrany osobných údajov sa zrušia:
- právny základ podľa § 10 ods. 3 písm. d) zákona „priamy marketing v poštovom styku“;
pri dodržaní podmienok určených novou právnou úpravou, najmä dodržanie zásady
proporcionality s ohľadom na primerané očakávania dotknutých osôb a existencie
oprávneného záujmu prevádzkovateľa, je možné priamy marketing považovať za
oprávnený záujem;
- právny základ podľa § 10 ods. 3 písm. e) zákona „ďalšie spracúvanie už zverejnených
osobných údajov“; tento právny základ je v rozpore so zásadou zákonnosti,
spravodlivosti a transparentnosti a zásadou obmedzenia účelu a kompatibility účelu;
pre spracúvanie už zverejnených osobných údajov bude musieť prevádzkovateľ
disponovať iným primeraným právnym základom;
- právny základ podľa § 15 ods. 4 zákona „jednorazový vstup“; prevádzkovateľ bude
musieť disponovať iným primeraným právnym základom napríklad čl. 6 ods. 1 písm.
c) „zákonná povinnosť“ alebo ods. 1 písm. f) „oprávnené záujmy“;
- právny základ podľa § 15 ods. 7 zákona „monitorovanie priestorov prístupných
verejnosti“; prevádzkovateľ bude musieť disponovať iným primeraným právnym
základom napríklad čl. 6 ods. 1 písm. c) „zákonná povinnosť“ alebo ods. 1 písm. f)
„oprávnené záujmy“;
Navrhovaným novým zákonom o ochrane osobných údajov budú popri vyššie uvedených aj tieto
právne základy
- § 10 ods. 3 písm. a) v nadväznosti na čl. 85 nariadenia; Prevádzkovateľ spracúva osobné
údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je
nevyhnutné na účely akademické, umelecké, literárne alebo žurnalistické účely.
Prevádzkovateľ môže spracúvať osobné údaje na uvedené účely len ak mu to vyplýva z
predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel
prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia
alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje
osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.
- § 12 ods. 3 zákona v nadväznosti na čl. 88 nariadenia; Prevádzkovateľ, ktorý je
zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť
jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné
zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo
elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to
2
potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností
dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov
nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
- § 13 ods. 2 a § 14 zákona vo vzťahu k čl. 87 nariadenia; Pri spracúvaní osobných údajov
možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor
ustanovený osobitným zákonom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie
daného účelu spracúvania a zároveň dotknutá osoba dala písomný alebo inak
hodnoverne preukázateľný súhlas na jeho spracúvanie; súhlas je neplatný, ak jeho
poskytnutie vylučuje osobitný zákon, alebo ak spracúvanie je nevyhnutné na splnenie
zákonnej povinnosti prevádzkovateľa. Zverejňovať všeobecne použiteľný identifikátor
sa zakazuje.
- § čl. 49 ods. 5 nariadenia; Prevádzkovateľ je oprávnený uskutočniť prenos osobitnej
kategórie osobných údajov a všeobecne použiteľného identifikátora tretej strane so
sídlom v tretej krajine, ktorá nezaručuje primeranú úroveň ochrany osobných údajov,
iba s predchádzajúcim výslovným súhlasom dotknutej osoby, ak osobitný zákon
neustanovuje inak.
- čl. 9 ods. 4 nariadenia; spracúvanie genetických údajov, biometrických údajov a údajov
týkajúcich sa zdravia je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa.
Novou právnou úpravou sa bližšie určujú obsahové a formálne podmienky súhlasu, ako
právneho základu na spracúvanie osobných údajov, a to:
- súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym,
informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním
osobných údajov, ktoré sa jej týkajú (napríklad prostredníctvom elektronických
prostriedkov alebo ústnym vyhlásením alebo označenie políčka pri návšteve
internetového webového sídla; v tejto súvislosti dávame do pozornosti, že políčko
nesmie byť vopred označené);
- súhlas sa má vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel
alebo účely;
- ak sa spracúvanie vykonáva na viaceré účely, súhlas sa má udeliť/má byť
oddelený/uvedený oddelene na všetky tieto účely;
- udelenie súhlasu musí byť jasne odlíšiteľné od iných skutočností, so súhlasom na
spracúvanie osobných údajov nesúvisiacich;
- súhlas má byť formulovaný v zrozumiteľnej a ľahko dostupnej forme, jasne a
jednoducho;
- informovanie o možnosti súhlas odvolať musí byť také jednoduché, ako poskytnutie
súhlasu;
- zákaz podmieňovať súhlas so spracúvaním osobných údajov, ktorý nie je na plnenie
zmluvy, vrátane poskytnutia služby, nevyhnutný.
Novou právnou úpravou ochrany osobných údajov sa zruší ustanovenie § 12 ods. 7 zákona
„spracúvanie osobných údajov zosnulej osoby“; nová právna úprava sa neuplatňuje na osobné
údaje zosnulých osôb. Týmto nie je dotknutá právna úprava ochrany osobnosti a súkromia
podľa Občianskeho zákonníka.
Spôsobilosť na právne úkony v súvislosti so spracúvaním osobných údajov ostáva zachovaná
podľa Občianskeho zákonníka s tým, že nová právna úprava prináša zmenu, a to:
- ak prevádzkovateľ spracúva osobné údaje dotknutej osoby na základe súhlasu dotknutej
osoby, v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo
maloletému, je spracúvanie osobných údajov maloletého zákonné, len ak má maloletý
3
aspoň 16 rokov. Ak má maloletý menej než 16 rokov, takéto spracúvanie je zákonné
iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil zákonný
zástupca alebo zákonný opatrovník maloletého.
- takýto prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si v takýchto
prípadoch overil, že zákonný zástupca alebo zákonný opatrovník maloletého vyjadril
súhlas alebo ho schválil, pričom zohľadní dostupnú technológiu.
Spracúvanie biometrických údajov, kedy sa spracúvajú údaje/charakteristiky osobitnými
technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej
osoby je spracúvaním osobitnej kategórie osobných údajov. Ustanovenie čl. 9 ods. 2 taxatívnym
výpočtom stanovuje právne základy prelomenia všeobecného zákazu spracúvania osobitných
kategórii osobných údajov. Spracúvanie fotografickej podobizne alebo grafického zobrazenia
podpisu bez získavania biometrických údajov sa nepovažuje za spracúvanie osobitných
kategórií osobných údajov.
Nová právna úprava:
- upustila od oznamovacej a registračnej povinnosti podľa § 33 a násl. zákona. Podľa
tejto úpravy ochrany osobných údajov bude evidenčná povinnosť nahradená vedením
záznamov podľa čl. 30 nariadenia;
- v prípade spracúvania osobitnej kategórie osobných údajov vo veľkom rozsahu bude
prevádzkovateľ povinný posúdiť vplyv na ochranu osobných údajov a ustanoviť
zodpovednú osobu;
- prijali sa opatrenia na obmedzenie automatizovaného individuálneho rozhodovania
vrátane profilovania;
- prenos osobitnej kategórie osobných údajov tretej strane so sídlom v tretej krajine, ktorá
nezaručuje primeranú úroveň ochrany osobných údajov, bude dovolené len s
predchádzajúcim výslovným súhlasom dotknutej osoby, ak osobitný zákon
neustanovuje inak.
Ostáva bez zmeny, že prevádzkovateľom na účely spracúvania osobných údajov týkajúcich sa
uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení alebo
na účely spracúvania osobných údajov v registri trestov podľa osobitného predpisu
založených na právnych základoch článku 6 ods. 1 nariadenia môže byť len príslušný štátny
orgán ustanovený zákonom.