Zákon o údajoch

V roku 2018 bude ÚPVII pripravovať Zákon o údajoch. Keďže sme mnohí z nás mali viaceré zaujímavé diskusie, či už osobne alebo cez e-maily, bolo by super mať aj na Platforme miesto, kde môžeme už teraz uvažovať nad tým, čo by bolo dobré v zákone podchytiť, či prebrať, ako by bolo dobré postaviť sa k niektorým témam.

Ak chcete, @Lubor, @hanecak a ostatní, môžete svoje aktuálne poznámky o GDPR vs. Open Data, ale aj iné veci (trebárs odkazy na príbuznú legislatívu v iných krajinách, linky na články, odkazy na ďalšie dokumenty), vešať postupne rovno sem. Keď sa bude robiť draft zákona, môže toto vlákno slúžiť ako taký “poor man’s issue tracker”, aby sa na dôležité veci nezabudlo.

Samotná príprava zákona by mala fungovať participatívne ako obvykle - Zákon o údajoch bol navyše vybraný ako “flagship projekt” ÚPVII v rámci participácie (úloha č. 43 súčasného Akčného plánu OGP). @Ivet_Fercikova bude dúfam spokojná… :slightly_smiling_face:

1 Like

Zhrniem teda, co sme si zatial pisali vramci vymeny know-how v BG, CR a SR:

  • BG eGov Act, Article 15: “in case an information system processes personal data, it should still provide open data, but with the personal data either annonymized, or aggregated” (https://www.lex.bg/bg/laws/ldoc/2136995819, pomoze napr. Google Translate)
    • odporuca sa agregacia (pred anonymizaciou) v pripade naozaj citlivych udajov (zdravotne zaznamy a pod.)
    • ak ale nejaky zakon uklada povinnost zverejnit nejaky register cely ako je, tak sa zverejnuju aj osobne udaje
  • CR: https://opendata.gov.cz/dokumenty:ochrana-osobních-údajů-a-gdpr : pekny dokument od Open Data teamu na MV CR (narodny kordinator Open Data pre CR)
    • o.i. aj s peknym rozhodovacim diagramom
    • a obodbne ako v BG, ak zakon uklada nejaky register zverejnit aj s osobnymi udajmi, tak sa zverejnuju

Poznamka pomimo: GDPR samo o sebe nevyzera byt velkou zmenou z pohladu Open Data. Ako “velku zmenu” je to asi vnimane skor preto, ze az teraz sa zacne serioznejsie vymahat dodrzivanie regulacii (z ktorych mnohe existovali uz pred GDPR).

Tot sumar mailov. Ale teraz mi teda chyba sumar v takej podobe, aby nejako nadvazoval na titulok vlakna. Nuz takto: V prvom rade ma buduci zakon o udajoch ujednotit “infozakon” so vsetkymi ostanymi zakonmi: o ochrane osobnych udajov, o Katastri, atd. Aby sa nestavalo, ze infozakon hovori zverenit a iny zakon tomu kladie prekazky.

2 Likes

ÚPVII začalo pripravovať nový “Zákon o údajoch”. Je k tomu založená pracovná skupina, ktorá sa má stretávať raz týždenne. Riadi si to dátová kancelária.

Už existuje určitý draft, bola k tomu prvá prezentácia: 1stretnutie_24072019.pptx (8.9 MB) (reálne obsah na str.5-8)

Plán je postupovať nasledovne:

  1. “Malá verzia zákona”, ktorá by mala byť schválená vládou do 31.12.2019 (aj to však považujem za … veľkú ambíciu)
  2. Potom legislatívny zámer “veľkého zákona”
  3. Potom celý veľký zákon

Čiže teraz sa rieši tá “malá verzia”. Tá sa má týkať iba údajov spracúvaných verejnou správou a zrejme primárne osobných údajov. Pri témach čo sa majú riešiť sa spomínalo My Data a spracovanie údajov analytickými jednotkami. Nie je mi však jasné, či na toto treba nový zákon. Nový nápad je definícia “spracúvania údajov vo verejnom záujme”, sám som zvedavý čo to má byť.

Draft zákona je tu: https://docs.google.com/document/d/1ZP7zvg0l-5isdNvd5ic1k8cExIXugVhWrwC4Ktr8l_A/edit?usp=sharing
(hocikto tu môžete dávať komentáre, tento dokument sa priebežne mení)

Ja si od začiatku tejto aktivity myslím, že “riešiť legislatívu” je fajn, ale nemali by sme teraz začať písaním paragrafov. Najskôr si povedzme témy na riešenie, čo vlastne chceme dosiahnuť, a potom zanalyzujme ich stav v už existujúcej legislatíve, keďže predpisov už je mrte aj teraz. Až na základe toho uvidíme či treba nový zákon, novelu, alebo možno aj nič…

Aktuálny draft zákona:
Zakon_o_udajoch_090919.docx (31.3 KB)
03_dovodova_sprava_zákon o údajoch100919.docx (41.6 KB)

Medzičasom prebehla predbežná informácia: https://www.slov-lex.sk/legislativne-procesy/SK/PI/2019/246 (S.D bol jediný subjekt čo aj k tomu niečo napísal ) a interné pripomienkové konanie na ÚPVII.
Je to vcelku pokrok.

Čo sa dnes na PS k tomu diskutovalo:

  • asap začne MPK, dnes bolo posledné stretnutie PS k návrhu zákona pred MPK,
  • nebude k tomu formálne hlasovanie PS, zákon je návrh ÚPVII,
  • aj niektoré iné úrady ako ÚOŠS chcú mať analytické jednotky, špeciálne sa spomínalo mesto Bratislava, v tomto duchu trocha rozšírili okruh subjektov v zákone,
  • otvorené údaje - Mis. spravodlivosti sa ozvalo, že v tomto návrhu sú aj nejaké veci k otvoreným údajom, ktoré však doteraz sú riešené v z.211/2000 (transpozícia smernice PSI), z čoho hrozí konflikt dvoch zákonov, sú za to, aby sa buď novelizoval z.211/2000, alebo celé OpenData sa vybrali do tohto zákona, s tým ja úplne súhlasím
  • zvyšovanie kvality údajov: hoci dnes existujúce zákony predpokladajú že všetky registre/evidencie sú na 100% správne, ale
  • s ÚOOÚ sa zložito diskutovalo, súčasné znenie im zatiaľ pripadá prijateľné, ale ešte to budú analyzovať - majú problém že by sa mohli osobné údaje príliš voľne používať
  • sledujú čo robia iné krajiny a niektoré idú “radikálne dopredu” hoci im hrozia problémy “lebo GDPR” - v PS sú na toto rôzne názory, ja som za to ísť “na hranu” (takto sa to doslovne povedalo), teda pokiaľ ide o MyData, o ktorých sa tu bavíme už minimálne 4 roky
1 Like

udaje o fyzickych osobach su casto osobne udaje asi, nie ? ako potom tento zakon chce upraviť “práva fyzických osôb …a povinnosti orgánov verejnej moci pri manipulácii s údajmi o fyzických osobách”, ked tu je GDPR ?

Zákon o údajoch je v MPK, do 24.10.:
https://www.slov-lex.sk/legislativne-procesy/SK/LP/2019/699

1 Like

@IvanK áno, o GDPR bola najväčšia diskusia pri príprave tohto zákona. Jasné že s ním musí byť zlučiteľný, ale to neznamená že žiadne iné pravidlá ako GDPR nemôžu existovať.

Takže za S.D som podal nasledovné pripomienky:

Zakon o udajoch - pripomienky S.D.pdf

K §3 písm. i)
Obyčajná pripomienka

Navrhujeme znenie písm.i) zmeniť na nasledovné: “i) dátovým kurátorom poverená osoba orgánu verejnej moc, ktorá vykonáva úlohy podľa tohto zákona”

Odôvodnenie:
Úlohy dátového kurátora sú podrobne rozpísané v tomto zákone, nie je pteto potrebné špecifikovať ich opäť v definícii. Naopak, takáto definícia môže reálne obmedziť kompetencie dátového kurátora.


K §5, ods.1, písm. a)
Zásadná pripomienka

Žiadame písm.a) vypustiť.

Odôvodnenie:
Nie je dôvod, aby dátový kurátor mal prístup ku všetkým evidovaným údajom a ani to nie je nevyhnutne potrebné na výkon jeho činností. Štandardom dobrej praxe je, že v citlivých evidenciách nemá prístup “ku všetkým údajom” nikto. Ak takýto prístup dátový kurátor bude mať, vidíme v tom zásadné zvýšenie rizika neoprávneného prístupu k údajom, a to nielen ako vedomú činnosť dátového kurátora, ale napr. aj pokusmi o zneužitie jeho používateľského prístupu iným útočníkom.


K §5 ods.2
Zásadná pripomienka

Žiadame do §5, ods.2 doplniť nové písm. g) s nasledovným znením: “g) zabezpečuje vykonanie povinností orgánu verejnej moci ktorým je poverený súvisiace s opakovaným použitím informácií podľa osobitného predpisu x)”, a poznámka pod čiarou x) znie: “§21b až §21l zákon č.211/2000”

Odôvodnenie:
Keďže dátový kurátor má špecifické znalosti týkajúce sa údajov spracúvaných v “jeho” organizácii, je vhodné aby zabezpečoval aj činnosti súvisiace s opakovaným použitím údajov.


K §6
Zásadná pripomienka

Žiadame do §6 vložiť nové písm. f) s nasledovným znením: “f) sprístupňovať vo forme otvorených údajov informácie poskytované na opakované použitie údajov podľa osobitného predpisu x)”, poznámka pod čiarou x) je rovnaká ako v pripomienke k §5 ods.2. Doterajšie písm. f) až i) v §6 sa premenujú na písm. g) až j).

Údaje, ktoré sú sprístupnené na opakovaného použitie v zmysle z.211/2000 je mimoriadne vhodné zverejniť aj ako otvorené údaje, čím bude efektívnejšie naplnený práve cieľ opakovaného použitia. Zároveň ak by v §6 zostala povinnosť publikovať otvorené údaje iba vo vzťahu k publikačnému minimu, s praxi by to znamenalo, že OVM budú zverejňovať ešte menej údajov ako v súčasnosti.


K §7 ods.1
Zásadná pripomienka

Žiadame z definície mojich údajov v ods.1 vypusiť nasledovnú časť “ktoré boli zaradené medzi moje údaje zverejnením vo vestníku a sú prístupné pre fyzickú osobu alebo právnickú osobu cez aplikačné rozhranie v strojovo-spracovateľnom formáte”

Odôvodnenie:
Z definície majú byť za moje údaje považované všetky údaje, ktoré spĺňajú definičné znaky v návrhu vyjadrené v ods.1 písm.a) až c). Ku všetkým týmto údajom sa majú vzťahovať práva FO/PO. Chápeme že nie všetky povinnosti uvedené v tomto zákone vo vzťahu o mojim údajom môžu OVM plniť hneď, preto bolo zavedené zverejňovanie vo vestníku. V súlade s touto logikou má byť obmedzenie vložené do časti týkajúcej sa povinnosti OVM, nie do definície.


K §7 ods.1 písm.a) až c)
Zásadná pripomienka

Žiadame vytvoriť samostatné kategórie pre oblasť údajov podľa písm.a) a podľa písm.b) a c).

Odôvodnenie:
Rozsah práv a povinností, ako aj vzťah FO/PO k údajov podľa písm.a) a podľa písm.b) a c) je rôzny.


K §7 ods.1 písm.c)
Zásadná pripomienka

Žiadame z písm.c) vypustiť slová “v rámci elektronického výkonu verejnej moci”.

Odôvodnenie:
Jednak podľa z.305/2013 sú všetky OVM povinné vykonávať verejnú moc elektronicky, t.j. predkladané znenie písm. c) je mätúce. Zároveň vynechaním “elektronickosti” nevzniká riziko nadmernej záťaže OVM ktoré snáď sú “neelektronizované”, keďže výkon povinností vo vzťahu o mojim údajom je viazaný na publikovanie vo vestníku.


K §8 ods.1
Zásadná pripomienka

Žiadame v prvej vete ods.1 slová “o ktorej sa vedú moje údaje” nahradiť na “ktorej sa týkajú moje údaje”.

Odôvodnenie:
Koncept Moje údaje sa vzťahuje na údaje ktoré sa týkajú určitej FO/PO, nielen o ktorej sa vedú. Špecificky v tomto prípade vidno nevhodnosť spoločného uvažovania “mojich údajov” v zmysle písm.a) až c) v §6 ods.1, keďže podľa písm.b) a c) už z definície vidno, že nemusí ísť o konanie v ktorom sa o vedú údaje o príslušnej FO/PO.


K §8 ods.1 písm.c)
Zásadná pripomienka

Žiadame za slová “orgán verejnej moci” doplniť slová “a funkčné zaradenie jeho zamestnanca”.

Odôvodnenie:
Dôležité je, aby v rámci konceptu moje údaje bolo vidno nielen “ktorý úrad”, ale aj rolu jeho zamestnanca, ktorý k údajom pristupoval.


K §8 ods.2 písm.a)
Zásadná pripomienka

Žiadame slová "ktoré o fyzickej osobe alebo právnickej osobe vedie a k ich obsahu, cez aplikačné rozhranie " nahradiť na “ktoré sa fyzickej osoby alebo právnickej osoby týkajú a k ich obsahu v elektronickej forme, a to aj prostredníctvom verejne dostupného aplikačného rozhrania”.

Odôvodnenie:
Nahradenie “ktoré sa o osobe vedú” za “ktoré sa osoby týkajú” viď. odôvodnenie k §8 ods.1 písm.c). Moje údaje majú byť prístupné nielen cez API, ale aj cez GUI, na čo je vhodné ponechať minimálne oprávnenie. Spojenie “verejne dostupné aplikačné rozhranie” je už definované v z.305/2013.


K §8 ods.2 písm.c)
Zásadná pripomienka

Žiadame znenie písm.c) nahradiť nasledovným: “c) zaznamenávať v potrebnom rozsahu údaje na účely naplnenia práva fyzickej osoby alebo právnickej osoby podľa §8 ods.1 písm.c)”

Odôvodnenie:
Nie je vhodné opisovať určitý rozsah údajov a oprávnenie duplicitne. Odpocúčame aj spôsob realizácie tohto ustanovenia vložiť do vyhlášky, ktorú podľa tohto zákona vydá ÚPVII.


K §8 ods.2 písm.d)
Zásadná pripomienka

Žiadame vypusiť písm.d)

Odôvodnenie:
Do vestníka má zaraďovať údaje ÚPVII, nie orgán verejnej moci. Ak zostane pôvodný mechanizmus, nebudú reálne vyhlásené žiadne moje údaje.


K §8
Zásadná pripomienka

Navrhujeme vložiť do §8 nový ods.3 s nasledovným znením: “(3) Orgán verejnej moci začne plniť povinnosť podľa ods.2 písm.a) vo vzťahu k určitému typu mojich údajov najneskôr do 12 mesiacov od ich zverejnenia vo vestníku”

Odôvodnenie:
Táto zmena je spojená so zmenou k §7 ods.1.


K §9 písm.d)
Zásadná pripomienka

Žiadame písm d) zmeniť na nasledovné znenie: “d) zverejňuje vo vestníku typy mojich údajov vo vzťahu k §8 ods.3 postupom podľa §7 ods.2”

Odôvodnenie:
Viď. zmeny v §8 ods.3 a §7 ods.1 a ods.2. Súčinnosť s OVM ktorý je správcom registra alebo evidencie údajov stačí vyriešiť vo vyhláške. Ak má byť nejaká povinná “dohoda” s OVM, žiadne moje údaje nebudú vyhlásené.


K §11 ods.1
Obyčajná pripomienka

V ods.1 navrhujeme slová “v podobe štruktúrovaných údajov, ktorá umožňuje ich ďalšie automatizované spracovanie” nahradiť za “ako otvorené údaje”

Odôvodnenie:
Keď už tento zákon definuje otvorené údaje, je vhodné tento konštrukt aj používať.


K celému zákomu

Viaceré časti zákona podľa nášho názoru patria skôr do osobitných predpisov, v ktorých sa príslušné inštitúty definujú. Inter alia ide aj o §9 písm. b),c) ktoré patria skôr do zákona č.305/2013 alebo §10 písm.c) a d), ktoré patria skôr do zákona o ITVS.

1 Like

Pozrel som si, ako dopadlo podávanie pripomienok k tomuto zákonu v MPK. Predkladateľ bude zrejme dosť sklamaný.
Čítanie pripomienok je veľmi poučné a prezrádza súčasnú mimoriadnu mizériu verejnej správy, minimálne v eGov. Zopár perál:

  • hoci k tomuto mesiace bežala pracovná skupina, kde väčšina zástupcov úradov sedela ako voš pod chrastou, “zrazu” sa v MPK vyrojilo mrte pripomienok - spolu cca. 550, z toho mrte zásadných

  • veľa úradov chce doplniť seba do výnimiek na koho sa zákon nevzťahuje, aby teda nič robiť nemuseli (ale sú tam aj oprávnené výnimky) - z klasík spomeňme ÚJDSR, alebo ÚGKK že celý kataster nehnuteľností má ísť zo zákona von, lebo “v ňou sú najmä osobné údaje” - pozdravujem zabrzdenú partiu na tomto úrade, to sa už ináč ani nedá nazvať

  • ÚOOU, s ktorým sa veľa rokovalo a nakoniec vraj boli zo zákonom v pohode, dalo veľa zásadných pripomienok, vrátane návrhu na kompletné vyhodenie MyData zo zákona, pozri celý ich text prečo. Zjavne nechápu čo je to “záujem dotknutých osôb”. Pozdravujem @juraj.bardy a ostatných s prostoduchou predstavou ako sa dáta nakopírujú do digi.me a tam “si to človek bude riadiť”.

  • ŠÚ SR “žiada stiahnuť predložený materiál návrhu zákona … a vytvoriť medzirezortnú pracovnú skupinu zloženú … vrátane ŠÚ SR…”. Skupina bola, na PS Lepšie údaje zástupca ŠÚ chodí. Prečo táto náhla amnézia?

  • Ešte aj MV SR píše, že z RFO sa nedajú ľuďom posielať notifikácie pri zmene údajov, lebo “by to bolo mätúce”. Mám pocit že o iných svojich evidenciách (napr. vozidlá) nepíšu iba preto, lebo nepochopili na čo všetko sa MyData vzťahuje. Ich zástupca na PS obvykle aj chodí.

Návrh zákona je minimálne na toto volebné obdobie zabitý.

4 Likes

Lubor, pekne vystihnutý komentár. Na tento proces je jediný bič a to zverejňovanie zápisníc z PS a stretnutí na úradoch, kde explicitne by sa malo potvrdzovať, že zástupca úradu nema pripomienky.

Zároveň by mal takýto zákon určite prejsť aj osobnými konzultáciami, teda proces MPK pri zásadných pripomienkach bude pokračovať stretnutiami s úradmi, kde by sa to malo vysvetliť. A tieto zápisnice určite by sa mali zverejňovať, aby sa ukázal úprimný pohľad na to posunúť veci dopredu.

Stačí na každom stretnutí dať otázky z GDPR a koľko ich to bude stáť, ak si to každý úrad bude robiť po svojom…
Ja si myslím, že je to dosť zložitá téma a PS sú malé forum, kam chodia skôr technickejší ľudia, nie vecniari, ktorí dávajú ale zase pripomienky zvyčajne do MPK…
Treba variť dalej a nevzdávať to, každá nová iterácia obohatená o zapracovanie relevantných pripomienok z úradov alebo zdôvodnenie, prečo nie, je lepšia ako predošlá :slight_smile:

1 Like

nemyslim ze na toto je tento bic vhodny.
Pomozu len 2 princípy: 1) osobna zodpovednosť a exemplarne tresty. 2) kvalitní ľudia na zodpovedné posty.

aj svetovy mier by sa hodil :slight_smile:
skutocne problemy su spomenute vyssie, PS je casto obsadene ludmi “ktori maju cas” ergo menej kvalitnymi pripadne su to ludia co maju technicke zameranie ale nie su specialisti na temy mimo IT.
MPK naopak zahrnie vsetkych a ti casto az vtedy zistia ze sa nieco deje. Ukazuje to skor ze niektore temy treba komunikovat a manazovat inak, proaktivne vtiahnut do rozhodovania inych ludi ako clenovia PS.
A nie sa potom ex post cudovat ako to ze nechapu aky je to skvely navrh

Tak vzhladom na harmonogram schodzi NR SR to bolo jasne uz ked tam nestihli vladou schvaleny navrh zakona dorucit do 27. 9. Teraz aj keby k tomu navrhu nedostali ani jednu pripomienku, tak by museli jedine lamat leg. pravidla a ist cez skratene konanie.
Treba to brat ako prve kolo pripomienok k navrhu, ktory po volbach znova hodia na MPK.

Robi sa, ale … ved pozri, napr. pre PS1:

silne +1