Od 15. apríla 2014 vstúpila do účinnosti novela zákona č. 122/2013 Z. z. o ochrane osobných údajov. Novela zaviedla niekoľko podstatných zmien. Napriek tomu, že po schválení Národnou radou SR bola prezidentom vrátená, jeho pripomienky boli parlamentom akceptované, ktorý ju ešte v ten deň schválil.
Treba spomenúť, že novela zákona reflektuje na požiadavky zástupcov zamestnávateľov, podľa ktorých bol zákon plný nepresných pojmov a problematických ustanovení. Predmetom kritiky bolo rovnako zavedenie likvidačných pokút, ktoré sa pred novelou šplhali až od výšky 300.000 Eur.
Najpodstatnejšie zmeny, ktoré od polovice apríla zaviedla novela zákona o ochrane osobných údajov, sú tieto:
Zmiernenie zodpovednosti realitných maklérov
Novela vypustila ustanovenia zákona, podľa ktorých realitný maklér musí upozorniť prevádzkovateľa – realitnú kanceláriu, ak sa dopustila zjavného porušenia zákona pri spracúvaní osobných údajov. Nesplnenie tejto povinnosti podľa znenia zákona účinného do 14. apríla 2014 založilo solidárnu (spoločnú) zodpovednosť za porušenie zákona a za spôsobenú škodu. Po 15. apríli 2014 realitný maklér túto povinnosť už nemá. Zodpovednostným subjektom ostala výlučne realitná kancelária.
Vyhotovovanie kópií a skenov úradných dokladov
V prípade kopírovania alebo skenovania občianskych preukazov či pasov (prípadne iných úradných dokladov) sa novela zákona prakticky v nijakom smere nedotkla povinnosti zadovážiť si písomný súhlas dotknutej osoby s takýmto spôsobom zaznamenania. V týchto prípadoch sa súhlas klienta naďalej vyžaduje. Novela však ustanovila výnimku, kedy súhlas dotknutej osoby nebude potrebný, a to pre prípady získavania osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu.
Vyprecizovanie okruhu oprávnených osôb
Novela spresnila vymedzenie a súčasne rozšírila okruh oprávnených osôb pri spracúvaní osobných údajov (ktorými sú najmä zamestnanci, napr. sekretárky, asistentky v RK), a to o osoby, ktoré prichádzajú do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu. Z ustanovenia zákona sa tak vypustil pracovný pomer ako taký, založený pracovnou zmluvou, čím sa do okruhu oprávnených osôb dostali aj brigádnici či pomocní asistenti (dohodári). V tejto súvislosti treba osobitne zdôrazniť, že oprávnenou osobou v zmysle zákona môže byť výlučne fyzická osoba.
Zmena rozsahu poučenia oprávnených osôb
Novela zákona sa dotkla aj poučenia oprávnenej osoby, ktorá prichádza do styku s osobnými údajmi klientov (dotknutých osôb). Vypustilo sa výslovné zakotvenie zodpovednosti oprávnenej osoby za porušenie povinností v rozsahu poučenia, prevádzkovateľ (realitná kancelária) je však aj naďalej povinný v poučení uviesť práva a povinnosti oprávnenej osoby, ktorá sa dostáva do styku s osobnými údajmi klientov. Za bezpečnosť spracúvaných osobných údajov výslovne zodpovedá realitná kancelária.
Každá realitná kancelária musí mať bezpečnostný projekt (nie smernicu!)
Jednou z najciteľnejších zmien, ktoré zaviedla novela zákona o ochrane osobných údajov, bolo, že zo zákona vypadli ustanovenia o bezpečnostnej smernici ako o jednom type bezpečnostných opatrení (popri bezpečnostnom projekte). Po 15. apríli 2014 teda bezpečnostná smernica prestala existovať, ostal už len bezpečnostný projekt.
Táto pomerne markantná zmena sa však realitných kancelárií nedotkla, keďže realitné kancelárie spracovávajúce rodné čísla svojich klientov (vyžaduje ich katastrálny zákon) musia aj naďalej mať vypracovaný bezpečnostný projekt! (Bezpečnostné projekty, ktoré sme realitným kanceláriám doposiaľ vypracovali, preto ostanú bez zmien).
Zodpovedná osoba
Ďalšou významnou zmenou, ktorú zaviedla novela zákona o ochrane osobných údajov, bolo ustanovenie o poverení zodpovednej osoby. Kým podľa úpravy účinnej do 14. apríla 2014 bol prevádzkovateľ (realitná kancelária), ktorý spracuváva osobné údaje prostredníctvom 20 a viac oprávnených osôb, povinný písomne poveriť (najmenej jednu) zodpovednú osobu, ktorá bude dohliadať nad dodržiavaním zákona o ochrane osobných údajov, po 15. apríli 2014 tak urobiť môže vtedy, ak spracuváva osobné údaje prostredníctvom oprávnených osôb – bez bližšieho uvedenia koľkých. Povinnosť sa teda zmenila na možnosť.
Oznamovanie informačných systémov (oproti pôvodnej registrácii)
Novela zákona sa citeľne dotkla aj registrácie. Registrácia informačného systému bola od 15. apríla 2014 nahradená oznamovacou povinnosťou. V súlade s tým sa od polovice apríla zjednodušil postup pri oznamovaní informačného systému oproti pôvodnej registrácii, na ktorú sa vzťahoval striktný formalistický administratívny postup. Oznámenie je tak možné vykonať prostredníctvom elektronického formulára, do ktorého sa vyplnia údaje v podstate v rovnakom rozsahu ako pri pôvodnej žiadosti o registráciu. Zmenou oproti pôvodnému zneniu zákona je, že oznámenie informačného systému už nie je potrebné prílohovať o popis podmienok spracúvania osobných údajov, čím sa celá procedúra nepochybne zjednodušila. Zdôrazňujeme, že každá realitná kancelária, ktorá spracuváva osobné údaje (t.j. má aspoň jeden počítač pripojený na internet a v tomto počítači má napr. len jednu jedinú zmluvu s osobnými údajmi klienta) má z pohľadu zákona tzv. “informačný systém”, ktorý musí „zaregistrovať“ formou kvalifikovaného oznámenia úradu.
Zmiernenie sankcií
Asi najväčším prínosom legislatívnej zmeny na úseku osobných údajov bolo, že novela od polovice apríla minulého roka vo viacerých prípadoch zaviedla fakultatívne ukladanie pokút. Zjednodušene povedané, ak úrad zistí porušenie zákona, vo viacerých prípadoch môže uložiť pokutu v hraniciach, ktoré mu poskytuje zákon. (Do 14. apríla 2014 bol úrad povinný ukladať pokuty pri akomkoľvek porušení zákona.) Rovnako sa po účinnosti novely zákona znížila horná hranica sankcií, tieto sa zmiernili.
Bezpečnostný projekt realitných kancelárií
K záveru treba osobitne zdôrazniť, že novela zákona o ochrane osobných údajov sa nedotkla povinnosti ukladania pokuty v prípade, že realitná kancelária nemá vôbec vypracovaný bezpečnostný projekt! Tento musí mať realitná kancelária vypracovaný, nakoľko spracováva osobitné kategórie osobných údajov (rodné čísla) klientov. Úrad v tých prípadoch, keď realitná kancelária nemá vôbec vypracovaný bezpečnostný projekt, je povinný bez výnimky uložiť pokutu. Táto po účinnosti novely zákona siaha až do výšky 200.000 Eur (oproti pôvodným 300.000 Eur).
Ak nemáte čas venovať sa štúdiu zákona o ochrane osobných údajov ani priestor dôkladne si pripraviť zákonom vyžadované dokumenty, radi vám pomôžeme a vypracujeme ich pre vašu spoločnosť za vás. Kompletná bezpečnostná dokumentácia má približne 120 až 160 strán v závislosti od personálnej a organizačnej štruktúry spoločnosti.
Mali by ste vedieť, že Úrad pri kontrole skúma, či bola bezpečnostná dokumentácia vypracovaná v náležitej kvalite a či dôsledne zodpovedá pomerom kontrolovaného subjektu alebo či ide len o formálny bezpečnostný projekt stiahnutý z internetu.
Viac o problematike ochrany osobných údajov sa dočítate nižšie:
Čo treba rozumieť pod pojmami „osobný údaj“ a čo pod pojmom “informačný systém”
Osobný údaj
V úvode objasnime, že nie každý údaj je súčasne osobným údajom. V zmysle § 4 ods. 1 zákona sú osobnými údajmi „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.“ Zákon neustanovuje konkrétny zoznam údajov, ktoré sú považované za osobné údaje, ale vymedzuje ich prostredníctvom kvalifikačných znakov. Na to, aby tieto údaje boli osobnými údajmi, stačí, aby tieto údaje boli spôsobilé individualizovať konkrétnu fyzickú osobu. Nemusí pritom ísť výlučne o uvedenie jej mena, priezviska, dátumu narodenia či trvalého pobytu, môže ísť napríklad aj o iný identifikátor, akými je obrazový, zvukovo-obrazový záznam a pod., pričom tieto údaje (identifikátory) musia byť v takej vzájomnej kombinácii, aby mohla byť daná osoba konkretizovaná.
Keďže realitné kancelárie spracúvajú osobné údaje svojich klientov v rámci svojho informačného systému (databázy), je nepochybné, že všetky realitné kancelárie sú povinnými subjektmi – prevádzkovateľmi v zmysle zákona o ochrane osobných údajov a teda vzťahuje sa na ne povinnosť oznámiť svoj informačný systém na úrade.
Informačný systém realitnej kancelárie
Zákon podáva komplikovanú definíciu informačného systému. Podľa zákona je ním systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (§ 4 ods. 3 písm. b) predmetného zákona). V prípade realitných kancelárií je ním teda akákoľvek databáza či súbory obsahujúce osobné údaje klientov (dotknutých osôb), či už sú to zmluvy (sprostredkovateľské, rezervačné alebo kúpne), náborové listy, formuláre alebo iné naskenované dokumenty uložené v počítačoch a tiež dokumenty vedené v listinnej podobe, vrátane fotokópií úradných dokladov a pod. Tieto dokumenty spolu tvoria tzv. informačný systém realitnej kancelárie, ktorý treba úradu oznámiť.
Takýto informačný systém bude podliehať oznámeniu, okrem tých prípadov, ak má realitná kancelária tzv. zodpovednú osobu, ktorá vykonala odbornú skúšku na Úrade a “garantuje” dodržiavanie zákona v realitnej kancelárii.
Zákon ukladá realitným kanceláriám povinnosť oznámiť svoje informačné systémy. Nesplnenie tejto povinnosti bude mať za následok uloženie pokuty zo strany Úradu na ochranu osobných údajov SR, ktorej výška sa pohybuje od 300 EUR do 5.000 EUR. Do pozornosti je potrebné dať aj to, že zákon úradu priamo ukladá možnosť uložiť pokutu pri akomkoľvek zistení porušenia podľa tohto zákona. V niektorých prípadoch je to jeho povinnosťou a nemá možnosť zvažovať, či pokutu uloží alebo nie, jednoducho ju uloží (napr. ak RK nemá vypracovaný bezpečnostný projekt)
Bezpečnostný projekt a súvisiace bezpečnostné smernice
Bezpečnostný projekt je pomerne náročný dokument, ktorý musí reflektovať na presné špecifiká každej realitnej kancelárie. Podľa súvisiacej vyhlášky musí mať bezpečnostný projekt a smernice spracovaných takmer 58 parciálnych oblastí, ktorými sa musí realitná kancelária a jej makléri (a rovnako spolupracujúce osoby) riadiť a dodržiavať. Podlieha prísnej kontrole zo strany inšpektorov Úradu na ochranu osobných údajov SR.
Aj preto sme sa od schválenia nového zákona o ochrane osobných údajov začali bližšie zaoberať touto problematikou a vypracovali sme pre realitné kancelárie “kostru” bezpečnostného projektu a smerníc, ktoré však musia byť odborne doplnené o mnohé špecifické údaje, ktoré nám majiteľ RK poskytne (v rámci komplexného dotazníka).
Inšpektori z Úradu na ochranu osobných údajov dôsledne kontrolujú, či bol bezpečnostný projekt vypracovaný v súlade s podmienkami prostredia kontrolovaného subjektu alebo ide len o pro forma neefektívny vzor projektu stiahnutý z internetu. Navyše podľa našich zistení sa zatiaľ na internete nenachádza žiaden vzor bezpečnostného projektu pre RK, ktorý by bol vypracovaný podľa nového zákona č. 122/2013 Z.z.
Ak nemáte bezpečnostný projekt, je to jeden z najväčších prehreškov podľa zákona a preto tomu zodpovedá aj výška uloženej pokuty (§ 68 zákona č. 122/2013 Z.z.) Tieto siahajú až do výšky 200.000 EUR.
Nový bezpečnostný projekt treba mať bezpodmienečne. Ak ste mali vypracovaný starý BP podľa zákona č. 428/2002 Z.z., treba ho zosúladiť podľa novej právnej úpravy.
Zmluvný vzťah s maklérmi & ochrana osobných údajov
V prípadoch, ak maklér spolupracuje s realitnou kanceláriou na základe zmluvy mimo pracovného pomeru, je možné dôvodne predpokladať, že bude mať status sprostredkovateľa v zmysle § 8 zákona. V týchto prípadoch bude potrebné, aby realitná kancelária (v pozícii prevádzkovateľa) mala s maklérom (v pozícii sprostredkovateľa) uzatvorenú písomnú zmluvu tak, ako to vyžaduje zákon. Túto povinnosť si mala realitná kancelária splniť do konca júna 2015.
Na záver treba dodať, že nejde ani tak o výmysel našich zákonodarcov, ale o legislatívu “nanútenú” Slovensku z Európskej únie. V rámci európskeho priestoru čoraz viac silnejú snahy ochraňovať osobné údaje fyzických osôb vo väčšom rozsahu, než tomu bolo doteraz.