Ochrana osobných údajov je téma, ktorá je neustále v pohybe. Aj napriek tomu, že GDPR platí už od roku 2018 v takmer nezmenenom stave, v poslednom období sme sa dozvedeli o pripravovaných legislatívnych zmenách nielen na Slovensku, ale aj na úrovni Európskej únie. Aj keď zatiaľ nemáme dostupné konkrétne návrhy zmien v zákone, vieme identifikovať niekoľko oblastí, ktoré budú pravdepodobne ovplyvnené.
Zmeny, ktoré pripravuje Slovensko
V marci 2025 Úrad na ochranu osobných údajov SR (ÚOOÚ) zverejnil informáciu o pripravovaných legislatívnych zmenách. Cieľom týchto zmien je:
- Odstránenie dvojkoľajovej úpravy – Zjednotenie slovenského zákona č. 18/2018 Z. z. a GDPR, čo by mohlo zjednodušiť právne povinnosti a znížiť administratívnu záťaž pre firmy.
- Harmonizácia s právom EÚ a schengenskými požiadavkami – Zabezpečenie lepšieho súladu s európskym právom, čo môže priniesť jasnejšie pravidlá pre prenos osobných údajov mimo EÚ.
- Zníženie administratívnej záťaže – Očakáva sa zjednodušenie niektorých administratívnych povinností pri posudzovaní vplyvu na ochranu osobných údajov.
- Zavedenie kódexov správania – Tieto kódexy majú pomôcť firmám lepšie pochopiť a dodržiavať GDPR v ich konkrétnom odvetví.
- Nový zákon pre predchádzanie trestným činom – Pripravuje sa samostatný zákon na spracovanie osobných údajov na účely predchádzania trestným činom a ich vyšetrovania.
Zmeny, ktoré pripravuje Európska únia
Európsky výbor pre ochranu údajov (EDPB) a Európsky dozorný úradník pre ochranu údajov (EDPS) nedávno prijali návrhy na zjednodušenie povinností vedenia záznamov o spracovateľských činnostiach podľa článku 30 GDPR. Pozrime sa, v čom môžeme očakávať zmeny.
Aktuálny stav
Dnes sú z povinnosti viesť záznamy o spracovateľských činnostiach oslobodené firmy a organizácie s menej ako 250 zamestnancami, pokiaľ:
- Nevykonávajú systematické spracovanie osobných údajov (osobné údaje spracúvajú napríklad len príležitostne).
- Ich spracovanie osobných údajov nepredstavuje riziko pre práva a slobody dotknutých osôb.
- Nespracovávajú osobitné kategórie osobných údajov podľa článku 9 GDPR alebo údaje týkajúce sa trestných činov a odsúdení podľa článku 10 GDPR.
Tieto výnimky musia platiť súčasne, aby prevádzkovateľ nepodliehal povinnosti viesť záznamy o spracovateľských činnostiach. Z tohto dôvodu sa povinnosť viesť záznamy vzťahuje v dnešnej dobe takmer na každú menšiu či väčšiu organizáciu. Prioritne z toho dôvodu, že každé spracúvanie osobných údajov je vykonávané systematicky a istým spôsobom môže vždy predstavovať riziko pre dotknuté osoby. Či už je to obyčajný e-mail, IP adresa, VIN číslo motorového vozidla, či iné – na prvý pohľad „nezávažné“ osobné údaje.
Najdôležitejšie navrhované zmeny
Aké zmeny teda môžeme očakávať?
- Zvýšenie limitu zamestnancov – Navrhuje sa rozšírenie výnimky pre firmy s menej ako 500 zamestnancami (oproti aktuálnym 250). To znamená, že napríklad aj firma, ktorá zamestnáva 450 ľudí, nemusí mať v budúcnosti povinnosť viesť záznamy.
- Zúženie výnimiek pre vysokorizikové spracovania – Výnimka sa nebude vzťahovať na spracovania, ktoré pravdepodobne povedú k vysokému riziku pre práva a slobody fyzických osôb (oproti aktuálnemu „len“ riziku). To znamená, že aj menšie firmy, ktoré však vykonávajú vysoko rizikové spracovania, budú musieť naďalej viesť záznamy.
- Odstránenie výnimiek pre príležitostné spracovania – Plánuje sa odstránenie výnimky pre príležitostné spracovania, čo znamená, že aj nárazové spracovania údajov budú musieť byť evidované, ak spĺňajú napríklad kritériá vysokého rizika.ň
- Osobitné kategórie z dôvodu zákonnej povinnosti – Záznamy o spracovateľských činnostiach by taktiež nebolo potrebné viesť v prípade, že spracúvanie osobitných kategórií osobných údajov (napríklad informácií o zdravotnom stave) je organizáciou vykonávané na účely splnenia zákonnej povinnosti v oblasti pracovného práva, práva sociálneho zabezpečenia alebo práva sociálnej ochrany.
Tieto zmeny môžu mať istý dopad na firmy a organizácie, môžu prestavovať isté odľahčenie. Prax je však taká, že záznamy o spracovateľských činnostiach sú len malou časťou povinností, ktoré prevádzkovatelia majú.