GDPR – čo naozaj prinesie? IV. PRÁVNE ZÁKLADY SPRACÚVANIA

Nariadenie GDPR určuje právne základy informačných systémov sčasti v zhode s doterajšou slovenskou zákonnou úpravou, sčasti odlišne.

Nové právne základy, ktoré môžeme použiť rovnako ako v zákone 122/2013:
súhlas dotknutej osoby,
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba,
- spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
- spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

Nové právne základy, ktoré si vyžadujú posúdenie možnej zmeny:
- spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,
- spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana.

Hlavný rozdiel je primárne v právnych základoch, ktoré vychádzajú z osobitných zákonov. Kým podľa zákona122/2013 bol právnym základom osobitný zákon, bez rozlíšenia, či ide o oprávnenie alebo povinnosť prevádzkovateľa spracúvať osobné údaje, v Nariadení GDPR je to jednoznačne zákonná povinnosť.

Tento zdanlivo malý rozdiel sa ale premieta do možnej povinnosti prevádzkovateľa prehodnotiť právne základy informačných systémov.
Informačné systémy, ktorých právnym základom bola povinnosť prevádzkovateľa spracúvať osobné údaje, si svoj právny základ zachovajú (viď Príklad 1).
Naopak, v informačných systémoch, ktorých právnym základom bolo oprávnenie prevádzkovateľa spracúvať osobné údaje, bude treba právny základ revidovať a nahradiť ho iným, spravidla ním bude oprávnený záujem prevádzkovateľa (viď Príklad 2).

Príklad 1.
Zákon 483/2001 o matrikách:
§ 13 „Do knihy matriky sa zapisuje... deň, mesiac, rok a miesto narodenia dieťaťa, a ak ide o viacpočetný pôrod, aj časové poradie narodenia, ... meno, priezvisko, pohlavie a rodné číslo dieťaťa...“
podobne § 14 kniha manželstiev „Do knihy manželstiev sa zapisuje...“, § 15 kniha úmrtí „Do knihy úmrtí sa zapisuje...“
Keďže ide o zákonnú povinnosť, právny základ - zákon o matrikách - sa nemení.

Príklad 2.
Zákon 182/1993 o vlastníctve bytov a nebytových priestorov:
§ 9 ods. 3 „Správca alebo spoločenstvo je oprávnené na účely správy domu spracúvať osobné údaje vlastníkov bytov a nebytových priestorov...“
Keďže nejde o zákonnú povinnosť, právny základ – zákon o vlastníctve bytov a nebytových priestorov - sa nahrádza „oprávneným záujmom prevádzkovateľa“.

Zmena právneho základu IS nemusí byť iba formálna, môže sa premietnuť do zmeny povinností prevádzkovateľa.
Napríklad „Právo na „zabudnutie“ (nadväzuje na doterajšiu povinnosť prevádzkovateľa zlikvidovať údaje, ktorých účel spracúvania sa skončil a bude predmetom osobitného TIPu): toto právo sa neuplatňuje, ak právnym základom je zákonná povinnosť prevádzkovateľa spracúvať osobné údaje, ale sa uplatňuje, ak právnym základom je oprávnený záujem prevádzkovateľa.

Prevádzkovateľovi z príkladu 2 týmto pribudne ďalšia povinnosť - keďže zákon 182/1993 neurčuje registratúrnu lehotu, prevádzkovateľ musí určiť registratúrnu lehotu s ohľadom na právo dotknutej osoby na zabudnutie a možno bude nútený revidovať a aktualizovať svoj registratúrny plán.


_______________________________
Spoločná poznámka k TIPom o GDPR:

Vzhľadom na skutočnosť, že anonymný člen Porady publikujúci pod nickom "profesional" ma verejne obvinil*/, že vo svojich TIPoch úmyselne publikujem neúplné texty, aby som nútil čitateľov objednávať si platené konzultácie, prosím vás, aby ste otázky a podnety na doplnenie textov TIPov písali priamo do diskusie k jednotlivým TIPom. Odpoviem na ne verejne a zadarmo, tak ako v posledných mesiacoch poskytujem individuálne konzultácie ku GDPR zadarmo.

Rovnako si dovoľujem poprosiť vás o pomoc pri spoločnej korektúre textov. Ak sa domnievate, že niektorý text má bulvárny charakter a je možné formulovať ho odbornejšie, je na to priestor opäť v diskusii pod TIPom.

*/ citácia:
"… väčšina textu má bulvárny charakter. A zvyšok je úmyselne formulovaný neúplne tak, aby nútil toho, kto chce informáciu úplnú, obrátiť sa s požiadavkou na platenú službu na neho."
"profesional", 24.92017 07:12, diskusia k TIPu "GDPR - čo naozaj prinesie? II. HOAXY"
http://www.porada.sk/t301262-gdpr-co...ml#post2982881