Osobitné kategórie osobných údajov

Osobné údaje môžu v sebe obsahovať množstvo rôznych informácií. Niektoré z nich môžu mať pre dotknutú osobu z rôznych dôvodov zvlášť citlivý charakter.

JUDr. Ondrej Zimen 27. 01. 2012 5 min.
    By Erwan velu (Own work) [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0-2.5-2.0-1.0 (http://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons By Erwan velu (Own work) [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0-2.5-2.0-1.0 (http://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons Erwan velu, Wikimedia Commons

     

    V slovenskom právnom poriadku takéto údaje zákon č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon č. 428/2002 Z.z.“) vo svojich ustanoveniach označuje ako osobitné kategórie osobných údajov a venuje im väčšiu mieru ochrany a rigoróznejší prístup pri ich spracúvaní. Čo konkrétne to znamená?

    V § 8 ods. 1 zákon č. 428/2002 Z.z. ustanovuje osobitné kategórie osobných údajov ako osobné údaje, ktoré o fyzických osobách odhaľujú aj ich rasový alebo etnický pôvod, náboženskú vieru alebo svetonázor, členstvo v politických stranách a hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života. Spracúvanie týchto vymenovaných skupín osobných údajov je zakázané. Samozrejme tento zákaz nemá, aj vzhľadom na svoj rozsah, absolútny charakter. Množstvo rôznych prevádzkovateľov a špecifiká ich potrieb pri spracúvaní osobitných kategórii osobných údajov si vyžaduje existenciu výnimiek pre primeranú realizáciu ich práv a plnenie povinností. Výnimky z tohto zákazu sa pripúšťajú v taxatívne stanovených prípadoch, ktoré upravuje ustanovenie § 9 ods. 1 písm. a) až písm. f) zákona č. 428/2002 Z.z.. V praxi sa najčastejšie vyskytujú výnimky pre spracúvanie uvedených údajov v podobe písomného súhlasu dotknutej osoby či existencie osobitného zákona, ktorý obsahuje zákonom č. 428/2002 Z.z. precizované náležitosti.

    Medzi osobitné kategórie osobných údajov sa zaraďuje aj všeobecne použiteľný identifikátor, ktorým najčastejšie býva rodné číslo. Zverejňovať rodné číslo sa bezvýnimočne zakazuje. Spracúvať rodné číslo (t.j. získavať, poskytovať, sprístupňovať apod. v intenciách § 4 ods. 1 písm. a) zákona č. 428/2002 Z.z. a predchádzajúcej vety) možno len vtedy, ak je to nevyhnutné na dosiahnutie daného účelu spracúvania. Účel spracúvania osobných údajov býva často vymedzený na základe osobitného zákona alebo tiež často vyplýva zo spracúvania osobných údajov na účely uzavretia zmlúv. Účelov spracúvania, kde bude nevyhnutné použiť aj rodné číslo môže byť pochopiteľne oveľa viac. Napríklad, ak prevádzkovateľ spracúva osobné údaje o naozaj veľkom počte ľudí, tak by bez jedinečného všeobecne použiteľného identifikátora mohlo dôjsť k zámene dotknutých osôb. Takéto použitie všeobecne použiteľného identifikátora by potom bolo možné hodnotiť ako za v súlade s plnením jednej zo základných povinností prevádzkovateľa, a to zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu spracúvania a sú nevyhnutné na jeho dosiahnutie.

    Zákon č. 428/2002 Z.z. medzi osobitné kategórie osobných údajov zaraďuje aj spracúvanie osobných údajov o porušení predpisov trestného práva, priestupkového práva alebo občianskeho práva, ako aj právoplatných rozsudkov alebo rozhodnutí a zároveň ustanovuje podmienku, podľa ktorej tieto osobné údaje môže spracúvať len ten, komu to umožňuje osobitný zákon. Takže napr. podľa § 1 ods. 5 zákona č. 330/2007 Z.z. o registri trestov a o zmene a doplnení niektorých zákonov môže Register trestov, ktorý vedie Generálna prokuratúra Slovenskej republiky v súlade s výnimkou podľa § 9 ods. 1 písm. a) zákona č. 428/2002 Z.z. spracúvať aj osobné údaje fyzických osôb, ktoré boli právoplatne odsúdené súdmi v trestnom konaní.

    Rovnako prísnejšie kritéria spracúvania obsahujúce značné obmedzenia platia aj pre biometrické údaje podľa § 8 ods. 4 zákona č. 428/2002 Z.z. v spojitosti s § 9 ods. 3 zákona č. 428/2002 Z.z. a osobné údaje o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti podľa § 8 ods. 5 zákona č. 428/2002 Z.z., ktoré taktiež spadajú do osobitnej kategórie osobných údajov.

    Dikcia zákona č. 428/2002 Z.z. v otázke úpravy osobitných kategórii osobných údajov stanovuje viacero relatívnych zákazov, jeden zákaz absolútny a niekoľko obmedzení, ktoré vyplývajú z vyššie uvedeného. Okrem toho sa v rámci ochrany osobitných kategórii osobných údajov uplatňuje ešte jeden právny inštitút, ktorým je osobitná registrácia informačného systému, v ktorom sa tieto údaje spracúvajú. Prevádzkovateľ takéhoto informačného systému je povinný ho prihlásiť na osobitnú registráciu na Úrad na ochranu osobných údajov SR (ďalej len „Úrad“), a to ešte pred začatím ich spracúvania. Táto povinnosť sa vzťahuje na prípady, keď sa spracúva aspoň jeden z osobných údajov uvedených v § 8 ods. 1 zákona č. 428/2002 Z.z., a zároveň sa predpokladá alebo uskutočňuje ich prenos do tretej krajiny / krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov. Okrem tohto prípadu treba obdobne postupovať, aj keď sa spracúvajú biometrické údaje (s určitou výnimkou) na účely evidencie alebo identifikácie vstupu do citlivých, osobitne chránených objektov, vyhradených priestorov alebo prístupu do technických zariadení alebo prístrojov s vysokou mierou rizika a ak ide výlučne o vnútornú potrebu prevádzkovateľa. Konkrétne môže ísť napr. o muničné sklady, špecializované archívy, vývojové pracoviská, jadrové elektrárne atď., kde majú zavedený bezpečnostný systém umožňujúci vstup do kontrolovaného pásma povedzme na základe verifikácie odtlačku prsta.

    Výsledkom osobitnej registrácie môže byť, že Úrad po posúdení podkladov a preverení, či spracúvaním osobných údajov nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb, rozhodne o tom, že spracúvanie na daný účel povolí alebo zakáže alebo len oznámi, že sa na naň nevzťahuje osobitná registrácia. Ide o pomerne komplikovaný proces vyžadujúci zo strany prevádzkovateľa aj zabezpečenie vypracovania bezpečnostného projektu alebo bezpečnostných smerníc, a to v závislosti od toho či informačný systém, v ktorom sa budú spracúvať osobitné kategórie osobných údajov bude prevádzkovaný v tzv. online alebo offline režime.

    Osobitné kategórie osobných údajov majú zo svojej povahy pre dotknuté osoby citlivý charakter, pretože ich spracúvanie odporujúce zákonu č. 428/2002 Z.z. by predstavovalo obzvlášť nepríjemný zásah do práva na súkromie fyzickej osoby podľa čl. 19 ods. 2 a ods. 3 Ústavy Slovenskej republiky. Úrad ako nezávislý dozorný orgán nad ochranou osobných údajov má preto pomerne značnú sankčnú právomoc. Prevádzkovateľom, ktorí nesplnia alebo porušia niektorú z povinností vyplývajúcu z ustanovení upravujúcich osobitné kategórie osobných údajov či spracúvajú tieto údaje v rozpore so zákonom č. 428/2002 Z.z. hrozí pokuta od 1659.7 € (50 000 Sk) do 331 939.19 € (10 000 000 Sk). Za porušenie povinností spojených s osobitnou registráciou by bolo možné uložiť pokutu od 995.82 € (30 000 Sk) do 99 581.76 € (3 000 000 Sk).