Identita a bezpečnosť
Novela zákona 122/2013 o ochrane osobných údajov, účinná od 15.4.2014, vraj umožnila zamestnávateľom kopírovanie, skenovanie alebo iné zaznamenávanie občianskeho preukazu a iných úradných dokladov bez písomného súhlasu dotknutej osoby. Táto interpretácia zákona je podľa mňa čiastočne chybná.
Zákon 122/2013 o ochrane osobných údajov – § 15 Získavanie osobných údajov – ods. 6:
Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby.26) To neplatí, ak ide o získavanie osobných údajov na účely a v rozsahu údajov podľa odseku 4 ich zaznamenávaním z úradného dokladu automatizovanými prostriedkami spracúvania a o získavanie osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu.
26) Napríklad § 93a (identifikácia klientov) zákona č. 483/2001 Z. z. (o bankách) v znení neskorších predpisov.
Novela 84/2014 pridala na koniec vety: a o získavanie osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu. Na základe toho vznikla interpretácia, že zamestnávateľ môže kopírovať občiansky preukaz a iné úradné doklady bez písomného (a aj bez ústneho) súhlasu (budúceho) zamestnanca. Je to tak?
Podľa § 11 ods. 4 písomný súhlas je písomný (papierový) dokument s vlastoručným podpisom, alebo elektronický dokument so zaručeným elektronickým podpisom.
Písomný súhlas by sa nevyžadoval v prípade, ak zákon povoľuje kopírovanie/skenovanie úradných dokladov bez písomného súhlasu dotknutej osoby – prvá veta citovaného odseku obmedzuje dané povolenie podmienkou a druhá veta ruší celú prvú obmedzujúcu vetu výnimkou – zákon však nie je jednoznačne takto napísaný. Alebo v tom prípade, ak by sa zrušenie obmedzenia v prvej vete druhou vetou nevzťahovalo na celú prvú vetu, ale len na podmienku prvej vety – taká formulácia by bola nejednoznačná. Žiaľ, § 15 ods. 6 nie je jednoznačný. Formulácia s použitím slov to neplatí sa v zákone vyskytuje viackrát, pričom sa neguje celá časť vety pred slovami to neplatí. Najviac podobná a nejednoznačná formulácia je v § 12 ods. 1, kde sa hovorí o možnostiach získania osobných údajov o dotknutej osobe. Prevádzkovateľ musí vedieť preukázať zákonnosť získania údajov, pričom § 10 ods. 3 písm. g definuje spracovanie osobných údajov bez súhlasu dotknutej osoby v tomto prípade, čím sa dopĺňa jednoznačnosť § 12 ods. 1. Avšak, podobná definícia kopírovania/skenovania úradných dokladov bez písomného súhlasu dotknutej osoby ku § 15 ods. 6 v zákone sa týka len identifikácie dotknutej osoby u štátnych orgánov, bánk, nie u zamestnávateľa. Získavanie osobných údajov z občianskeho preukazu mimo štátnych orgánov, bánk, podľa § 15 ods. 6 sa odvoláva na ods. 4, na účel identifikácie osoby pri vstupe do priestorov, pričom ods. 4 zužuje rozsah osobných údajov z občianskeho preukazu na titul, meno, priezvisko, číslo občianskeho preukazu (a štátnu príslušnosť). Len tieto osobné údaje by sa mohli získavať kopírovaním/skenovaním občianskeho preukazu, nie však kopírovaním/skenovaním celého občiasnkeho preukazu.
Pri správnom interpretovaní § 15 ods. 6 musia byť dodržané všetky podmienky vo formulácií odseku: Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania... – ale občiansky preukaz obsahuje aj údaje, ktoré nie sú nevyhnutné na dosiahnutie účelu (uzatvorenia pracovnoprávneho alebo obdobného vzťahu), napríklad fotografia alebo iné osobné údaje. Zákon v § 6 zdôrazňuje, že získavať/spracúvať sa smú len osobné údaje nevyhnutné na účel spracúvania. Kopírovaním/skenovaním sa získajú všetky údaje na doklade. Preto úradným dokladom v zmysle účelu uzatvorenia pracovnoprávneho alebo obdobného vzťahu sa zrejme nemyslí občiansky preukaz, ale iný relevantný úradný daklad, napríklad výpis/odpis z registra trestov, doklad o vzdelaní, doklad o odbornej spôsobilosti, potvrdenie o zdravotnom stave, zdravotnom poistení, sociálnom poistení, dani z príjmu atď. V dôvodovej správe k zákonu sa spomína zníženie administratívnej záťaže pre zamestnávateľov, v zmysle vynechania písomného súhlasu dotknutej osoby. Samotné kopírovanie/skenovanie občianskeho preukazu zvyšuje administratívnu záťaž, lebo údaje z občianskeho preukazu aj tak treba prepísať do informačného systému zamestnávateľa. Kopírovanie/skenovanie občianskeho preukazu je krokom v spracovaní osobných údajov, ktorý nie je nutný.
§ 10 ods. 3 písm. b hovorí, že prevádzkovateľ smie spracúvať osobné údaje bez súhlasu dotknutej osoby na účely plnenia zmluvného vzťahu alebo v predzmluvnom vzťahu s dotknutou osobou. To možno aplikovať aj na účel uzatvorenia pracovnoprávneho alebo obdobného vzťahu. Podpísaním danej zmluvy dotknutá osoba taktiež súhlasí so spracovaním osobných údajov uvedených v zmluve. Kopírovanie/skenovanie úradného dokladu je viac ako len odpis osobných údajov z dokladu, preto v každom prípade je potrebný aspoň ústny súhlas doknutej osoby s kopírovaním/skenovaním.
§ 15 hovorí, že prevádzkovateľ má oznámiť dotknutej osobe, aké osobné údaje spracúva, na aký účel, podľa akého predpisu.
Podľa § 16 poskytovateľ (občan, zamestnanec) je zodpovedný za správnosť poskytnutých osobných údajov a prevádzkovateľ informačného systému (zamestnávateľ) je zodpovedný za správnosť (už poskytnutých) spracúvaných osobných údajov. Na overenie správnosti poskytnutých osobných údajov stačí nahliadnuť do občianskeho preukazu, nie je nutné ho kopírovať/skenovať.
Zákon 224/2006 o občianskych preukazoch
§ 2 ods. 1 hovorí, že občianskym preukazom sa preukazuje totožnosť občana (identita). Tá sa preukazuje vždy len originálom dokladu. Občiansky preukaz je majetkom štátu, nie občana. § 11 ods. 1 písm. a hovorí, že občan je povinný chrániť občiansky preukaz pred zneužitím. Kopírovanie/skenovanie občianskeho preukazu zvyšuje riziko zneužitia osobných údajov a identity občana, čo sa dá chápať ako zneužitie občianskeho preukazu. V najhoršom prípade z kvalitnej kópie/skenu originálneho dokladu je možné vyhotovit duplikát dokladu alebo falošný doklad. Preto by občan v žiadnom prípade nemal dovoliť kopírovanie/skenovanie občianskeho preukazu vo vysokej kvalite mimo štátnych orgánov, bánk a iných zákonom definovaných situácií.
Podľa § 11 ods. 3 zákona na ochranu osobných údajov prevádzkovateľ informačného systému (poskytovateľ služby, tovaru) nesmie podmieňovať zmluvný vzťah (službu, tovar) súhlasom so spracúvaním osobných údajov nad rámec takých, ktoré môže spracúvať bez súhlasu, ani inak vynucovať súhlas, alebo vynucovať kopírovanie/skenovanie úradných dokladov. Žiaľ, stáva sa to často, najmä pri internetových a telekomunikačných službách. Pri použití osobných údajov na priamy marketing má vždy existovať možnosť pre dotknutú osobu vyjadriť nesúhlas s týmto použitím. Prevádzkovatelia často nerešpektujú vôľu dotknutej osoby.
Kopírovaný/skenovaný/elektronický vlastnoručný podpis nie je totožný s originálom vlastnoručného podpisu. Kopírovaný/skenovaný/elektronický vlastnoručný podpis slúži len ako podpisový vzor, teda na overenie zhody (podobnosti) podpisu na originálnych dokumentoch. Keďže kopírovaný/skenovaný/elektronický vlastnoručný podpis sa dá ďalej kopírovať, môže byť zneužitý ako falošný podpis.
Elektronický podpis a elektronický občiansky preukaz... (možno neskôr).
21.11.2015