Orgány verejnej moci a ich povinnosti podľa nového nariadenia o ochrane osobných údajov
Dôvodom je napr. nepomer medzi postavením dotknutej osoby a orgánu verejnej moci, ktorý je prevádzkovateľom.
Tento článok pojednáva o povinnostiach orgánov verejnej moci, ktorí sú na účely nariadenia považované za prevádzkovateľov informačných systémov, v ktorých sa spracúvajú osobné údaje.
Orgán verejnej moci
Nariadenie vo svojich ustanoveniach nevymedzuje pojem orgán verejnej moci. Tento pojem spravidla definujú právne predpisy členských štátov EÚ. V zmysle toho medzi orgány verejnej moci a verejnoprávne subjekty patria vnútroštátne, regionálne a miestne orgány.
Pojem
orgán verejnej moci
je napr. definovaný v zákone č. 307/2014 Z.z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti a o zmene a doplnení niektorých zákonov v z. n. p., ale iba na účely tohto zákona. Podľa § 2 ods. 1 písm. f) cit. zákona je
"orgánom verejnej moci:
1.
štátny orgán, obec, vyšší územný celok,
2.
právnická osoba zriadená zákonom a právnická osoba zriadená štátnym orgánom, obcou alebo vyšším územným celkom podľa osobitného zákona,
3.
právnická osoba založená osobou v prvom bode alebo druhom bode,
4.
právnická osoba a fyzická osoba, ktorej zákon zveruje právomoc rozhodovať o právach a povinnostiach fyzických osôb alebo právnických osôb v oblasti verejnej správy."
Zákonnosť spracúvania osobných údajov
Z dikcie recitálu 45 nariadenia vyplýva, že ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami prevádzkovateľa - orgánu verejnej moci, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ na spracúvanie by mal existovať v práve EÚ alebo v práve členského štátu EÚ. Spravidla ide o rôzne informačné systémy osobných údajov, ktoré vyplývajú z osobitných predpisov - napr. IS infozákon [podľa zákona č. 211/2000 Z.z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v z. n. p.], IS whistleblowing (podľa zákona č. 307/2014 Z.z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti a o zmene a doplnení niektorých zákonov v z. n. p.), IS kultúrne podujatia (podľa zákona č. 96/1991 Z.z. o verejných kultúrnych podujatiach v znení zákona č. 374/2013 Z.z.), IS nájomné hrobové zmluvy (zákona č. 131/2010 Z.z. o pohrebníctve).
Ak sa u prevádzkovateľa spracúvajú osobné údaje na základe súhlasu dotknutých osôb (napr. IS uchádzači o zamestnanie), je potrebné zabezpečiť, aby bol súhlas získaný slobodne. Podľa recitálu 43 nariadenia súhlas nie je poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom, aj keď to na takéto plnenie nie je takýto súhlas nevyhnutný.
Právo na informácie
Nariadenie ustanovuje prevádzkovateľovi povinnosť prijať vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie (článok 13 a 14) a všetky oznámenia (článok 15 - 22 a článok 34), ktoré sa týkajú spracúvania osobných údajov.
Novinkou v porovnaní so zákonom č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len "zákon č. 122/2013 Z.z.", ktorý bude zrušený ku dňu 24. mája 2018 a nahradený novým zákonom č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len "zákon č. 18/2018 Z.z."), je povinnosť poskytnúť informácie a oznámenia aj vtedy, ak prevádzkovateľ získava osobné údaje priamo od dotknutej osoby na právnom základe osobitného predpisu.
Zoznam informácií, ktoré sa majú poskytnúť, ak sú osobné údaje získané priamo od dotknutej osoby (článok 13 nariadenia), je uvedený v nasledujúcej tabuľke:
I------------------------------------------------I-------------------------------------------------I
I Nariadenie + zákon č. 18/2018 Z.z. I Zákon č. 122/2013 Z.z. I
I------------------------------------------------I-------------------------------------------------I
I identifikačné údaje prevádzkovateľa a zástupcu I identifikačné údaje prevádzkovateľa a zástupcu I
I prevádzkovateľa, ak bol poverený I prevádzkovateľa, ak bol ustanovený I
I------------------------------------------------I-------------------------------------------------I
I - I zoznam/rozsah osobných údajov I
I------------------------------------------------I-------------------------------------------------I
I účel spracúvania osobných údajov I - I
I------------------------------------------------I-------------------------------------------------I
I právny základ spracúvania osobných údajov I - I
I------------------------------------------------I----------------------------------