Od 1. januára 2026 vstupuje do platnosti nový zákon o ochrane osobných údajov, ktorý prináša zásadné zmeny pre verejný aj súkromný sektor. Reforma reaguje na technologický pokrok, rastúci význam dát v hospodárstve a potrebu zosúladiť slovenskú legislatívu s právom Európskej únie.
Prečo dochádza k zmene
Zákon č. 18/2018 Z. z. sa v praxi ukázal ako nejednoznačný a často duplicitný. V mnohých prípadoch iba opakoval ustanovenia nariadenia GDPR, čo spôsobovalo problémy pri jeho uplatňovaní. Nový zákon preto stavia na princípe, že GDPR je priamo účinné a autonómne, a slovenské právne predpisy len dopĺňajú oblasti, ktoré EÚ ponecháva na vnútroštátnu úpravu.
Z pôvodného zákona sa tak odstránia mnohé duplicity, sprehľadní sa systém a zlepší sa právna istota pre organizácie, ktoré údaje spracúvajú.
1. Nový prístup k GDPR
Najvýraznejšou zmenou je uznanie plnej právnej sily všeobecného nariadenia o ochrane údajov (GDPR). Slovenská republika už nebude jeho text prekladať do vlastného zákona, ale určí iba doplňujúce národné pravidlá.
Tento prístup má priniesť tri hlavné výhody:
- jednoduchšiu orientáciu používateľov v právnych predpisoch,
- zníženie administratívnej a právnej záťaže,
- zosúladenie postupu Slovenska s inými členskými štátmi EÚ.
Súčasťou legislatívy bude aj nový zákon na implementáciu smernice (EÚ) 2016/680, ktorý sa zameria na ochranu údajov v oblasti trestného práva a činnosti orgánov presadzovania práva.
2. Ochrana citlivých a osobitných údajov
Jednou z najdiskutovanejších častí novely je sprísnenie pravidiel pri spracúvaní osobitných kategórií údajov. Ide o údaje, ktoré majú vysoký potenciál zasiahnuť do súkromia – napríklad genetické, biometrické alebo zdravotné informácie.
Tieto údaje bude možné spracúvať len v presne stanovených prípadoch, ak to umožní zákon alebo medzinárodná zmluva. Subjekty budú musieť preukázať aj adekvátne technické a organizačné opatrenia.
Dôležitou novinkou je aj zákaz zverejňovania rodného čísla. Spracovanie tohto identifikátora bude prípustné len v nevyhnutných situáciách a so súhlasom dotknutej osoby.
3. Optimalizácia administratívnych procesov
Podnikatelia a verejné inštitúcie často poukazovali na zbytočné duplicity a nejasnosti pri procese hodnotenia dopadov na ochranu údajov (DPIA). Nový zákon preto zavádza zoznam výnimiek – ak Úrad na ochranu osobných údajov už v minulosti posúdil podobný proces v rámci legislatívneho konania, povinnosť jeho opätovného hodnotenia zaniká.
Týmto opatrením sa zrýchli schvaľovanie nových projektov a implementácia IT riešení, ktoré využívajú osobné údaje.
Zároveň sa zavádza povinnosť pravidelne revidovať rizikové profily spracúvania údajov, predovšetkým pri technológiách využívajúcich umelú inteligenciu a automatizované spracovanie dát.
4. Posilnenie právomocí a nezávislosti úradu
Úrad na ochranu osobných údajov SR získa silnejšie postavenie, väčšiu rozpočtovú nezávislosť a nové právomoci. Môže vykonávať kontroly priamo v priestoroch spracovateľov, preverovať informačné systémy alebo požadovať predloženie softvérových riešení.
Úrad získa aj možnosť vydávať záväzné metodické usmernenia pre orgány verejnej správy, čím sa zjednotí výklad pravidiel v praxi. To má prispieť k lepšej právnej predvídateľnosti a efektívnejšej kontrole.
5. Zodpovednosť prevádzkovateľov a certifikačné systémy
Novela posilňuje princíp zodpovednosti (accountability). Prevádzkovateľ bude musieť nielen dodržiavať pravidlá GDPR, ale aj preukázať, že má nastavené interné procesy a technické opatrenia na ich reálne uplatňovanie.
Zavádzajú sa nové mechanizmy zodpovednosti:
- kódexy správania pripravené profesijnými združeniami,
- certifikačné schémy na overenie súladu s právnymi normami.
Vďaka certifikácii si organizácie môžu posilniť dôveryhodnosť, získať konkurenčnú výhodu a preukázať spoľahlivosť pri spracúvaní osobných údajov.
6. Dopady na verejný a súkromný sektor
Verejná správa
Zavedenie centrálneho registra spracovateľských činností zefektívni dohľad nad ochranou údajov a umožní rýchlejšie overovanie postupov medzi úradmi. Digitalizácia verejných služieb sa tak stane bezpečnejšou a transparentnejšou.
Podnikateľské prostredie
Podnikatelia budú musieť prehodnotiť interné predpisy, zásady spracúvania osobných údajov a zmluvy so sprostredkovateľmi. Zvlášť pozorne by mali postupovať spoločnosti v sektoroch s vysokým rizikom – banky, poisťovne, IT služby, zdravotníctvo či online maloobchod.
Menšie podniky získajú metodickú podporu zo strany úradu a odborníkov prostredníctvom školení a príručiek.
7. Ako sa na zmeny pripraviť
Organizáciám sa odporúča nečakať do poslednej chvíle a začať s prípravami už teraz.
Odporúčané kroky:
1. Preveriť spracovateľské činnosti a identifikovať rizikové oblasti.
2. Aktualizovať dokumentáciu – všetky dokumenty odvolávajúce sa na zákon č. 18/2018 Z. z. stratia platnosť po 1. januári 2026.
3. Školiť zamestnancov v bezpečnom zaobchádzaní s osobnými údajmi.
4. Zabezpečiť interné systémy a databázy proti neoprávnenému prístupu.
5. Konzultovať zmeny s odborníkmi na ochranu osobných údajov.
Nový zákon o ochrane osobných údajov predstavuje významný krok smerom k modernej a zrozumiteľnej legislatíve. Jeho cieľom nie je len posilniť ochranu súkromia, ale aj zjednodušiť pravidlá pre tých, ktorí s dátami pracujú zodpovedne. Podniky, samosprávy aj jednotlivci by mali vnímať túto reformu ako príležitosť posilniť dôveru vo svoje procesy, zlepšiť bezpečnosť informácií a pristúpiť k spracúvaniu osobných údajov s väčšou transparentnosťou a rešpektom.