Úrad by nemal výhrady odborníkov ignorovať.
Návrh nového zákona o ochrane osobných údajov, ktorý je aktuálne v medzirezortnom pripomienkovom konaní (MPK), vyvolal medzi odborníkmi znepokojenie. Tí zámer zjednodušiť a sprehľadniť právny rámec v predmetnej oblasti vítajú, no zároveň upozorňujú, že viaceré ustanovenia návrhu idú nad rámec požiadaviek GDPR a môžu výrazne skomplikovať bežné fungovanie organizácií.
K návrhu nového zákona o ochrane osobných údajov, ktorý je aktuálne v medzirezortnom pripomienkovom konaní, už zverejnilo zásadné pripomienky viacero odborníkov a subjektov. „Samozrejme všetci vítame, že nový zákon vyrieši niektoré nedostatky existujúceho zákona, na ktoré od roku 2016 poukazujeme. Žiaľ, nový zákon opakuje aj chyby z minulosti a niektoré jeho ustanovenia by bolo vhodné doladiť,“ priblížuje Jakub Berthoty z advokátskej kancelárie Dagital Legal, ktorá sa na právo technológií a ochranu súkromia špecializuje.
Za sporné body nového zákona možno považovať:
- vyžadovanie nepotrebných písomných súhlasov fyzických osôb, ktoré v praxi nie je možné splniť (a ktoré ani nevyžaduje GDPR);
- predĺženie funkčného obdobia predsedu úradu z 5 na 7 rokov bez obmedzenia počtu mandátov (doteraz maximálne dva);
- obligatórne ukladanie sankcií, ak sa zistí porušenie GDPR (namiesto „môže uložiť“ nový zákon hovorí „uloží“);
- vyžadovanie vyhlášky k monitorujúcim subjektom, ktorá blokuje prijatie kódexov správania od roku 2018;
- nejasná výnimka z posúdenia vplyvu, s ktorou vôbec GDPR nepočíta.
Nad rámec GDPR
Medzi najzásadnejšie problematické body patrí podľa odborníkov nové znenie § 2 ods. 1 návrhu zákona, ktoré kladie na tisícky zákonov vyššie požiadavky, ako samotné GDPR. Tisíce platných osobitných predpisov, ako napríklad Zákonník práce v súčasnosti navrhované podmienky nespĺňajú, čo môže spôsobiť, že takéto predpisy nebude ďalej možné považovať za zákonný základ pre spracovanie údajov. „Všetkým je jasné, že tisícky právnych predpisov tieto požiadavky spĺňať nebudú. Podľa GDPR ich navyše ani spĺňať nemusia. GDPR spomína len to, že „môžu“ niečo také obsahovať, ale nemusia. Zavádzame si tak úplne zbytočne dodatočné požiadavky, o ktorých dopredu vieme, že nebudú splnené,“ upozorňuje advokát Jakub Berthoty.
Pritom nie je dôvod, aby členské štáty k otázke právnych základov pristupovali týmto spôsobom. „Opakujeme chyby z minulosti. Na Slovensku sme k otázke právnych základov pristupovali vždy inak ako vyžadovali predpisy EÚ. Buď sme si stanovili dodatočné požiadavky na súhlas, alebo na osobitné zákony, prípadne sme umožňovali spracúvať zverejnené údaje alebo sme oznamovali rôzne veci Úradu… Všetko úplne zbytočne a mimo rámca predpisov EÚ. Regulácia právnych základov je v GDPR jasná a nemáme ju meniť ani obmedzovať. To, čo sme mali urobiť, sme dodnes nevykonali. Mali sme pripraviť náš právny poriadok na GDPR a upraviť stovky zákonov tak, aby s ním boli súladné. Nedá sa to nahradiť jednou vetou. Táto veta navyše zbytočne skomplikuje firmám ale aj orgánom verejnej moci život.“ upozorňuje advokát Jakub Berthoty.
Potreba odbornej diskusie
Napriek výhradám, viacerí odborníci vnímajú snahu Úradu na ochranu osobných údajov a celkový zámer nového zákona aj pozitívne. O tom, že existujúci zákon je neprehľadný hovoril už v roku 2020 aj Najvyšší kontrolný úrad SR. Zdá sa teda, že o potrebne zmeniť alebo zrušiť aktuálny zákon panuje medzi odborníkmi zhoda. Samotná predsedníčka Úradu hovorí o snahe zapojiť do činností regulátora aj ľudí zvonka. Spomína napríklad rozkladové komisie, medzi ktorých členmi budú podľa jej slov aj zástupcovia odbornej verejnosti. Úrad by sa preto mal vysporiadať aj s pripomienkami odbornej verejnosti v rámci pripomienkového konania, ktoré zaslalo už teraz množstvo subjektov a jednotlivcov.
„Skutočnosť, že Úrad vôbec k príprave novej legislatívy pristúpil vnímam pozitívne. Zámer mať stručnejší a skôr procesne orientovaný zákon vítame tiež. Treba však zdôrazniť potrebu transparentnej a odbornej diskusie, ktorá tieto zmeny musí sprevádzať. Ak by autori aktuálneho zákona zohľadnili naše pripomienky v roku 2016 a 2017, nemusel by sa prijímať nový zákon. Naše hlavné odporúčanie je, nemeniť režim právnych základov podľa GDPR a nechať ho tak.“ uzatvára advokát z Dagital Legal.