Nový zákon o ochrane osobných údajov

Dňa 11. júna 2025 boli zverejnené v rámci pripomienkového konania návrhy dvoch nových predpisov na ochranu osobných údajov. Prvým je návrh tzv. všeobecného zákona, ktorý sa spolu s GDPR bude aplikovať na všetkých (LP/2025/305). Druhým je návrh tzv. policajného zákona, ktorý sa bude vzťahovať len na policajné orgány implementujúc tzv. policajnú smernicu (LP/2025/306). Autorom oboch predpisov je Úrad na ochranu osobných údajov SR a MPK prebieha do 1. júla 2025. Naše detailné pripomienky k paragrafovému zneniu oboch návrhov nájdete zverejnené v samostatnom dokumente. V tomto príspevku sa pokúsim ku pripomienkam a návrhom zákonov pridať históriu a kontext.

Menia sa pravidlá v EÚ?

Pravidlá EÚ sa nemenia. Od roku 1995 a prijatia smernice 95/46/EC sa regulácia EÚ v tejto oblasti zmenila len raz. A to keď bolo v roku 2016 prijaté nariadenie GDPR. Aktuálne sa síce o jemných zmenách GDPR diskutuje v Európskom parlamente, ale tie ešte neboli prijaté a nový zákon na ne ešte nemôže reagovať. Zároveň je dosť možné, že tieto zmeny neovplyvnia vnútroštátnu legislatívu. Členské štáty ako my teda prakticky potrebovali len dva režimy. Pred GDPR a po GDPR. Iné zmeny pravidiel EÚ totiž nenastali.

Menia sa pravidlá na Slovensku?

Z nejakého dôvodu áno. Pripomeňme si, koľko zákonov o ochrane osobných údajov a noviel sme už na Slovensku mali:

1. federálny zákon 256/1992 Zb. účinný od 1. júna 1992;

2. zákon č. 52/1998 účinný od 1. marca 1998, ktorý bol novelizovaný len raz v roku 2001;

3. zákon č. 428/2002 Z. z. účinný od 1.1.2003, ktorý bol novelizovaný 4-krát v rokoch 2003, 2004, 2005 a 2008);

4. zákon č. 122/2013 Z. z. účinný od 1. júla 2013, ktorého niektoré ustanovenia boli účinné 6 mesiacov neskôr, niektoré 9 mesiacov neskôr, niektoré 2 roky neskôr a niektoré ku 15. aprílu 2014, pričom tento zákon bol novelizovaný 2-krát v rokoch 2014 a 2017;

5. aktuálny zákon č. 18/2018 Z. z., účinný od 25. mája 2018, ktorý už bol novelizovaný 6-krát v rokoch 2019 (2x), 2021, 2022 a 2024 (2x).

To znamená, že zatiaľ čo v EÚ od roku 1995 dodnes platia len dva rôzne predpisy, na Slovensku za ten istý čas bude platiť 6 rôznych zákonov, pričom k zmene týchto pravidiel u nás došlo až 21-krát.

"Európa zmení pravidlá raz, my na Slovensku 21-krát."

Prečo máme toľko zákonov a noviel?

Minimálne tri posledné zákony (ale aj niektoré novely) reagovali na to, že predchádzajúce zákony boli nešťastne napísané, nesprávne alebo v nich niečo podstatné chýbalo. Stačí si pozrieť dôvodové správy týchto zákonov alebo noviel. No pri každom ďalšom zákone sme riešili buď tie isté pretrvávajúce problémy, alebo úplne nové problémy, pre ktoré bolo potrebné prijať ďalší zákon.

Dôvody prijatia zákona č. 428/2002 Z. z.:

• Po prvýkrát bol zriadený Úrad na ochranu osobných údajov;

• Chcel zaviesť prvé inšpirácie smernicou 95/46/ES, ktorá sa už v dôvodovej správe spomínala (následne jeho "euro-novela").

Čo zákon č. 428/2002 Z. z. v skutočnosti zapríčinil:

• Zbytočné administratívne prekážky ako súhlasy úradu s prenosmi;

• Neodstránil ale potvrdil slovenské špecifiká, ktoré nám bránia chápať GDPR dodnes (najmä "informačný systém");

• Neprehľadnosť a ťažkopádnosť normy.

Dôvody prijatia zákona č. 122/2013 Z. z.:

• Chcel napraviť príliš administratívne náročné oznamovania, registrácie a evidencie "informačných systémov";

• Cieľom bolo minimalizovať nejasnosti a zjednodušiť plnenie povinností.

Čo zákon č. 122/2013 Z. z. v skutočnosti zapríčinil:

• Neodstránil administratívne prekážky, ale zaviedol ďalšie (skúšky zodpovedných osôb, pre-registrovanie IS v prechodných obdobiach);

• Odlišný prístup k právnym základom ako podľa smernice (a neskôr aj GDPR) ako napríklad náležitosti súhlasu;

• Namiesto prípravy na GDPR sme sa venovali novelizácii pravidiel, ktoré boli napokon zrušené a nahradené GDPR;

• Nevenovali sme aj týmto zmenám dostatočný čas príprave na GDPR.

Dôvody prijatia zákona č. 18/2018 Z. z.:

• Chcel "implementovať" GDPR (hoci to nebolo potrebné);

• Chcel zaviesť "osobitné pravidlá" v zmysle Kapitoly IX GDPR;

• Chcel pripraviť náš právny poriadok na nový režim bez toho, aby prebehla reforma stoviek až tisícov osobitných predpisov.

Čo zákon č. 18/2018 Z. z. v skutočnosti zapríčinil:

• Verejnosť nepochopila, že väčšina zákona sa v skutočnosti nevzťahovala na nikoho (nepotrebná dvojkoľajnosť režimov);

• Neistota vo vzťahu k zosnulým osobám;

• Zablokovanie kódexov správania a certifikácií;

• Ale aj ďalšie veci, viď náš blog.

Čo majú všetky naše zákony spoločné?

To, že nezohľadňujú nedostatky ich predchodcov a relevantné pripomienky odbornej verejnosti. Pritom minimálne vo vzťahu k zákonu 18/2018 Z. z. boli autori zákona vopred na tieto problémy upozornení. Ešte v roku 2016 a 2017 som zasielal autorom pripravovaného zákona pripomienky, v ktorých sme výslovne navrhovali, aby nezavádzali druhú časť zákona a aby neimplementovali policajný režim do všeobecného zákona. Tieto pripomienky neboli v roku 2017 nijako zohľadnené. Po 9 rokoch sa s nimi Úrad už stotožňuje.

Aké sú dôvody nového zákona?

Hlavným dôvodom aj tohto zákona je odstránenie zmätočných častí starého zákona. Podľa dôvodovej správy:

"navrhuje sa nový zákon o zabezpečení ochrany osobných údajov, ktorým sa odstráni najmä základný aplikačný problém súčasného zákona, ktorý vychádza z toho, aká legislatívna technika sa použila pri jeho príprave v roku 2017."

Nový zákon úplne odstraňuje druhú časť a nahrádza ju jednou vetou v § 1 ods. 2 návrhu zákona. Tá v zásade hovorí to, čo sme navrhovali v roku 2017, len z neznámeho dôvodu pritom používa pojem "informačný systém", ktorý v tejto súvislosti nedáva žiadny zmysel.

Druhým dôvodom nového zákona je aj podľa slov predsedníčky implementácia Kapitoly IX GDPR. Tá stanovuje oblasti, v ktorých majú členské štáty viac priestoru pre stanovenie konkrétnejších pravidiel, výnimiek a záruk. Tiež sa zhodneme na tom, že túto úlohu aktuálny zákon neplní dobre resp. nedostatočne (§ 78). Ak sa pozrieme na UK Data Protection Act z roku 2018, tak ide o najpodstatnejšiu aj najrozsiahlejšiu časť zákona. Dva roky pred prijatím britského zákona však prebiehala široká odborná diskusia a osobitné pracovné skupiny právne skúmali, ako novú úpravu nastaviť nie len v zákone o ochrane osobných údajov, ale najmä ako zabezpečiť, aby osobitné zákony v daných oblastiach boli nastavené rovnako. Takáto reforma však u nás nikdy nenastala a nemožno ju nahradiť tromi veľmi stručnými ustanoveniami (§ 5 až § 7).

Tretím dôvodom novej úpravy je odstránenie policajného režimu z aktuálnej tretej časti zákona do samostatného predpisu. Z právneho hľadiska je jedno, či ide časť zákona alebo samostatný zákon, ale aj tomuto motívu sa dá rozumieť, ak policajný režim komplikuje čítanie všeobecného zákona. Len pri tom vôbec nebolo docielené to, čo malo - aby aj dotknuté osoby vo vyšetrovacích spisoch mali práva dotknutých osôb. Naďalej tieto práva mať nebudú, čo mimochodom už prešetruje aj Komisia EÚ.

To znamená, že so všetkými tromi hlavnými dôvodmi nového zákona sa dá stotožniť. Bohužiaľ každá z týchto zmien je sprevádzaná inými novými problematickými ustanoveniami. A ani tu sa však problémy nekončia.

Aké problémy prináša nový zákon?

Hlavný problém, ktorý zákon prinesie je, že sa kvôli nemu nebudeme vedieť spoľahnúť na takmer žiadny právny predpis ako právny základ. Pre ilustráciu, GDPR hovorí, že bolo by vhodné, aby osobitný predpis ako napr. zákonník práce obsahoval osobitné ustanovenia o spracúvaní osobných údajov. V čl. 6 ods. 3 GDPR sa spomína "môže", po anglicky "may" a po česky "může"). Tieto osobitné ustanovenia samozrejme v zákonníku práce ani v mnohých iných predpisoch nenájdeme. Ale doteraz to nevadilo, pretože platilo len že "môže" a zákonník práce bol akceptovaný ako právny základ pri plnení zákonných povinností a možno aj úloh vo verejnom záujme (napr. verejné zdravie).

Keďže ale nový zákon už hovorí že "musí", tak zákonník práce nebude môcť byť použitý ako právny základ pre spracúvanie osobných údajov, až kým nebude novelizovaný. Jednoducho, náležitosti podľa § 1 ods. 2 nového zákona zákonník práce nebude spĺňať. Pritom platí, že zamestnávatelia budú mať stále podľa neho tie isté povinnosti a oprávnenia, ktoré vyžadujú úplne rovnaké spracúvanie osobných údajov ako doteraz.

Aký má zmysel niečo takéto zavádzať naozaj nerozumieme a ani nemá zmysel nad tým rozmýšľať. Ustanovenie sa nebude dať v praxi splniť. Členské štáty nemajú podľa čl. 6 GDPR oprávnenie takýmto spôsobom zasahovať do právnych základov a obmedzovať aplikáciu dvoch právnych základov. Tie sú v GDPR dané jasne a nepotrebujú žiadnu národnú úpravu. Naopak, členské štáty mali povinnosť zosúladiť tisícky právnych noriem tak, aby boli súladné s GDPR. Slovenská republika túto úlohu nikdy nesplnila a preto jej orgány nebudú môcť prevádzkovateľom "neuznávať" ako dostatočné vhodné tie právne predpisy, pri ktorých si štát svoju základnú povinnosť nesplnil. Som presvedčený, že také niečo neobstojí pred žiadnym správnym súdom.

Existujú aj ďalšie výhrady, ktoré máme voči konkrétnym ustanoveniam navrhovaného zákona (viď celý dokument), ale táto jedna je tá najzávažnejšia a bude v praxi spôsobovať najväčšie problémy.

Záver

Návrh zákona si kladie za cieľ veľmi pozitívne a správne veci. Bohužiaľ to robili aj tri zákony pred ním a napriek tomu boli zrušené a nahradené. Ten posledný zákon stroskotal najmä na tom, že nezohľadnil relevantné pripomienky odbornej verejnosti. Pani predsedníčka úrad verejne avizuje, že chce odbornú verejnosť viac zapájať do činnosti Úradu. Uvidíme teda, ako sa vysporiada s pripomienkami a výhradami.

V prípade tohto zákona si myslím, že menej môže byť viac. Máme príležitosť prijať procesne orientovaný a štíhly zákon, ktorý dá priestor hlavnému predpisu, ktorým je GDPR. Máme historické problémy aplikovať GDPR správne práve kvôli tomu, že si neustále zavádzame špecifické národné pravidlá, ktoré nie sú kompatibilné s GDPR. Tieto národné pravidlá nepochádzajú z GDPR, ale zo starších, ktoré dokola rušíme ako "nešťastné" ale napriek tomu z nich čerpáme inšpiráciu. Skúsme už vystúpiť z tohto začarovaného kruhu.

Neobmedzujme, nespresňujme a neimplementujme GDPR tam, kde to nie je potrebné. A tam kde nám GDPR dáva takú možnosť, nevyužime ju. Majme len GDPR a procesné pravidlá, nič viac.

A keď chceme zaviesť osobitné pravidlá, tak to nerobme pár vetami v zákone. Potrebujeme reformou celého právneho poriadku a tisícok právnych predpisov, ktorú týmto zákonom nedosiahneme.

Jakub Berthoty

Dagital Legal, s.r.o.

Jún 2025