MESARČÍK, M.: Potrebujeme nový zákon o ochrane osobných údajov? (1. časť); Justičná revue, 73, 2021, č. 1, s. 17 - 29.
Úvod
V roku 2016 bolo na úrovni Európskej únie (ďalej len "EÚ") prijaté nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov; ďalej len "GDPR") s účinnosťou od 25.8.2018.
1)
Prijatie predmetného nariadenia vzbudilo čulú diskusiu medzi akademikmi, politikmi, ale aj právnikmi.
2)
Verejná diskusia sa však v rámci Slovenskej republiky zúžila na akcentovanie vysokých sankciíza porušenie tohto právneho rámca a "nesplnitel'nosť" vágnych požiadaviek GDPR. Zaujímavosťou je, že nové pravidlá na ochranu osobných údajov predstavujú evolúciu v oblasti ochrany osobných údajov a nie revolúciu. Ich základ totiž tvoria zásady a inštitúty, ktoré s určitými zmenami platili od roku 1980 a stála na nich aj staršia smernica 95/46/ES.
3)
Vzhľadom na to, že sa EÚ rozhodla pre zmenu kvality právneho aktu zo smernice na nariadenie, ktoré je priamo záväzné a aplikovateľné v jednotlivých členských štátoch,
4)
mohlo by sa na prvý pohľad zdať, že tu nie je veľký priestor na vlastnú právnu úpravu pre jednotlivé členské štáty. Opak je však pravdou. GDPR poskytuje značný priestor pre určité odchýlky alebo spresnenia v rámci národných právnych poriadkov členských štátov EÚ. Navyše, regulácia kontroly a správnych konaní je už tradične doménou národných právnych úprav.
Slovenská republika bola jeden z prvých členských štátov, ktorý prijal vlastnú právnu úpravu v súlade s požiadavkami GDPR. Stalo sa tak 29.11.2017 v podobe prijatia zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len "ZOOÚ"). Predmetný zákon bol novelizovaný zatiaľ jedenkrát a to zákonom č. 221/2019 Z.z.
5)
v súvislosti s preukazovaním bezúhonnosti kandidáta na predsedu dozorného orgánu.
Už pomerne krátko po prijatí ZOOÚ sa strhla verejná diskusia ohľadom komplikovanej pôsobnosti a vôbec odôvodnenosti tohto zákona v našom právnom poriadku. Nedávno sa k danej otázke pomerne kriticky vyjadril aj Najvyšší kontrolný úrad SR.
6)
Po viac ako dvoch rokoch od účinnosti GDPR a ZOOÚ preto možno považovať za legitímne otvoriť akademickú diskusiu s jednoduchou, ale značne kontroverznou otázkou:
"Potrebujeme nový zákon o ochrane osobných údajov?".
V rámci predkladaného článku sa na túto otázku budeme snažiť nájsť odpoveď. Z metodologického hľadiska považujeme za vhodné v prvom rade analyzovať možnosti vlastnej právnej úpravy v zmysle GDPR so špecifickým zameraním na otvorené klauzuly. Druhým krokom bude stručný náčrt slovenskej právnej úpravy, kde sa zameriame na pôsobnosť ZOOÚ, využitie otvorených klauzúl a ďalšie problematické aspekty diskutovaného zákona. V nasledujúcej časti sa pokúsime načrtnúť štruktúru a obsahové zameranie potenciálne nového zákona o ochrane osobných údajov, pričom zohľadnené budú aj zahraničné právne úpravy.
1 LEGISLATÍVNE MOŽNOSTI VLASTNEJ PRÁVNEJ ÚPRAVY V ZMYSLE GDPR
1.1 Všeobecne k možnostiam vlastnej právnej úpravy členských štátov EÚ
GDPR predstavuje unifikáciu pravidiel na ochranu osobných údajov na úrovni EÚ. Vzhľadom na to, že staršia smernica 95/46/ES bola v jednotlivých členských štátoch implementovaná rôznymi spôsobmi, nedosiahla sa požadovaná rovnaká alebo podobná úroveň ochrany osobných údajov na starom kontinente.
7)
Aj vzhľadom na dynamický technologický vývoj, globalizáciu, kvantum cezhraničných prenosov či zverejňovanie množstva údajov fyzickými osobami na internetovej sieti sa EÚ rozhodla pre súdržnejší právny rámec v podobe nariadenia.
8)
"Tento vývoj si vyžaduje silný a súdržnejší rámec ochrany údajov v Únii, ktorý sa bude intenzívne presadzovať vzhľadom na význam vybudovania dôvery, ktorá umožní rozvoj digitálnej ekonomiky v rámci vnútorného trhu. Fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi. Mala by sa posilniť právna a praktická istota pre fyzické osoby, hospodárske subjekty a orgány verejnej moci.
9)
GDPR však zároveň umožňuje, aby právo členského štátu spresnilo alebo obmedzilo ustanovené pravidlá v presne vymedzených prípadoch.
10)
Vo väčšine prípadov ide o špecifikáciu konkrétnych otázok, na ktorých sa členské štáty EÚ nevedeli zhodnúť pri negociovaní finálneho znenia nariadenia.
11)
Vzhľadom na množstvo takýchto ustanovení je však možné, že právna úprava ochrany osobných údajov v jednotlivých členských štátoch bude časom opäť značne diverzifikovaná a nebude reflektovať cieľ súdržnejšieho právneho rámca.Vo všeobecnosti existujú tri možnosti vlastnej úpravy, resp. spresnenia ustanovení GDPR v rámci mantinelov poskytnutých tý