Úrad na ochranu osobných údajov vykonáva dohľad nad GDPR na Slovensku

Téma ochrany osobných údajov GDPR je aj dnes vysoko aktuálnou témou. Ide o súbor pravidiel ochrany osobných údajov fyzických osôb a kontrolu nad ich dodržiavaním na Slovensku vykonáva Úrad na ochranu osobných údajov. Čo je úlohou úradu na ochranu osobných údajov, aké má povinnosti, či práva pri výkone dohľadu a kontroly.

Úrad na ochranu osobných údajov je nezávislý orgán štátnej správy

Úrad na ochranu osobných údajov predstavuje nezávislý orgán štátnej správy, ktorého základnou úlohou je vykonávanie dohľadu a dozoru nad ochranou osobných údajov osôb. Jeho pôsobnosť sa vzťahuje na celé územie Slovenskej republiky a sídli v Bratislave. Dôležitým prvkom v samotnej činnosti orgánu je jeho nezávislosť. Pri svojej činnosti je úrad povinný sa riadiť Ústavou, ústavnými zákonmi, zákonmi, inými všeobecne záväznými právnymi predpismi a v neposlednom rade aj medzinárodnými zmluvami.

GDPR ovplyvnilo aj úrad na ochranu osobných údajov

Úrad na ochranu osobných údajov bol zriadený 1. septembra 2002 vtedy aktuálnym zákonom o ochrane osobných údajov, ktorý reagoval na požiadavky zabezpečenia ochrany v tejto oblasti v súlade s podmienkami vstupu Slovenskej republiky do Európskej únie. Odvtedy, najmä vzhľadom na výrazný technologický pokrok smerujúci k čoraz väčšiemu množstvu spracovávaných a prenášaných dát, bola nevyhnutná legislatívna reakcia na tento progres.

To vyústilo do prijatia nariadenia o ochrane osobných údajov na európskej úrovni, známym najmä pod skratkou Nariadenie GDPR (general data protection regulation). Tú bolo následne potrebné premietnuť do slovenského právneho poriadku. Tak vznikol nový zákon o ochrane osobných údajov č. 18/2018 Z. z. Samotný predpis by však bol ničím bez náležite zainteresovaného kontrolného mechanizmu.

Práve tu vzniká priestor pre činnosť úradu na ochranu osobných údajov. Jeho pôsobnosť, organizácia a právomoci sú upravené v piatej časti slovenského „GDPR“ zákona č. 18/2018.

Úrad na ochranu osobných údajov nie je len dozorným orgánom

GDPR zákon v jeho časti venovanej Úradu na ochranu osobných údajov veľmi jasne určuje čo patrí do oblasti jeho pôsobnosti. Medzi najvýznamnejšie úlohy patrí určite jeho kontrolná činnosť v rámci dodržiavania dohľadu nad uplatňovaním právnych predpisov v oblasti ochrany osobných údajov. Okrem toho sú mu zverené aj iné právomoci, v rámci ktorých vykonáva aj poradenskú, konzultačnú, či informačnú činnosť.

Kontrolná činnosť úradu na ochranu osobných údajov

Pod kontrolnou, resp. dozornou činnosťou úradu si v skratke môžeme predstaviť monitoring uplatňovania GDPR zákona a ďalších všeobecne záväzných právnych predpisov a kontrolu zákonnosti ich uplatňovania. Medzi tieto činnosti môžeme zahrnúť najmä:

• Kontrolu spracúvania osobných údajov
• Kontrolu dodržiavania kódexu správania schváleného úradom na ochranu osobných údajov
• Kontrolu súladu spracovania osobných údajov s vydaným certifikátom
• Kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie

Podrobné informácie o činnosti úradu je možné sa dočítať vo výročných správach.

Aké kontroly vykonáva úrad na ochranu osobných údajov?

Každý typ kontroly je potrebné vykonať len na základe písomného poverenia vedúceho zamestnanca úradu. Rozlišujeme tieto základné typy kontroly:

• Kontrola uskutočňovaná na základe ustanoveného ročného plánu kontrol, ktorý úrad zverejňuje na svojej webovej stránke
• Na základe podozrenia z porušenia povinností pri spracovávaní osobných údajov
• V rámci konania o ochrane osobných údajov.

Ako podať podnet na konanie o ochrane osobných údajov?

Ak máte podozrenie, že došlo alebo dochádza k porušeniu zákona č. 18/2018 Z. z. o ochrane osobných údajov, je možné úradu na ochranu osobných podať podnet na konanie o ochrane osobných údajov. Prvým krokom je vyplnenie vzoru na návrh na začatie konania. K návrhu sa priložia dôkazy na podporu tvrdení uvedených v návrhu. Návrh je možné úradu doručiť písomne v listinnej podobe, písomne v elektronickej podobe, alebo osobne na úrade ústnou formou do zápisnice. Úrad následne rozhodne, či začne v danej veci konať a či pristúpi ku kontrole.

Všetky informácie o návrh na začatie konania o ochrane osobných údajov nájdete na webstránke úradu na ochranu osobných údajov, v časti Konanie o ochrane osobných údajov.

Čo je výsledkom kontroly úradu na ochranu osobných údajov?

To, ako bude vyzerať výstup z vykonanej kontroly poverenými zamestnancami na ochranu osobných údajov záleží od celého jej priebehu, ako aj závažností zistených pochybení. Podľa toho výsledok kontroly môže byť protokol alebo záznam o kontrole. Lepšiu z možností predstavuje záznam o kontrole. Vyhotovuje sa v prípadoch, kedy nebolo zistené žiadne porušenie GDPR zákona, resp. iných predpisov. V opačnom prípade sa vyhotovuje  protokol o vykonanej kontrole. Zákon o ochrane osobných údajov ustanovuje obsahové náležitosti, ktoré takýto protokol musí spĺňať. Medzi tie patria:

• Identifikačné údaje Úradu na ochranu osobných údajov
• Identifikačné údaje kontrolovanej osoby
• Dátum začatia kontroly
• Predmet kontroly
• Preukázané kontrolné zistenia s ich odôvodnením
• Titul, meno a priezvisko člena kontrolného orgánu, ktorý kontrolu uskutočnil
• Dátum vypracovania protokolu
• Úradná pečiatka a podpisy členov kontrolného orgánu

Pri kontrole boli úradom zistené nedostatky, čo ďalej?

Pokiaľ boli po vykonaní kontroly zistené akékoľvek nedostatky, pre kontrolovaný subjekt sa otvárajú dve možnosti:

1. Vznesenie námietok voči kontrolným zisteniam
2. Ukončenie kontroly

Vznesenie námietok voči kontrolným zisteniam

Uplatnenie námietky voči výsledkom uskutočnenej kontroly zo strany úradu na ochranu osobných údajov patrí medzi základné práva kontrolovaného subjektu. Námietka sa podáva písomne, a to v lehote do 21 dní odo dňa doručenia protokolu. Na neskôr podané námietky sa neprihliada. Poverený zamestnanec úradu má následne 15 dní na preskúmanie podaných námietok a doručenie písomného stanoviska o výsledku ich preskúmania. Všetky dokumenty sa stávajú neoddeliteľnou súčasťou protokolu o vykonanej kontrole. Námietky sa preskúmavajú z hľadiska ich opodstatnenosti. Do úvahy sa berú aj prípadné nové skutočnosti, ktoré vyšli najavo a týkajú sa predmetu kontroly.

Po doručení výsledku prerokovaných námietok, Úrad na ochranu osobných údajov vyzve kontrolovanú osobu na jeho prerokovanie . O tomto sa taktiež spisuje zápisnica a tu sa dostávame do fázy ukončenia vykonávania kontroly.

Ukončenie kontroly

Ukončenie kontroly predstavuje záverečnú časť kontrolného procesu. V prípade neuplatnenia námietok nasleduje hneď po vystavení záznamu, resp. protokolu o vykonanej kontrole. V zmysle zákona o ochrane osobných údajov sa kontrola považuje za ukončenú v nasledovných prípadoch:

• Dňom podpísania zápisnice o prerokovaní protokolu
• Dňom odmietnutia podpísania zápisnice o prerokovaní protokolu, o čom sa v protokole vyhotoví záznam
• Dňom nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu, o čom sa taktiež vyhotoví záznam
• Dňom doručenia záznamu o kontrole

Porušil som GDPR predpisy, dostanem automaticky pokutu?

To, že úrad na ochranu osobných údajov pri kontrole zistí porušenie GDPR predpisov alebo ak prišlo k porušeniu práv dotknutej osoby, neznamená to automaticky udelenie vysokej pokuty. Zákon o ochrane osobných údajov poskytuje viac možností. Okrem pokuty môže uložiť opatrenia na nápravu spolu s lehotou na ich vykonanie, zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, odňať certifikát alebo osvedčenie o udelení akreditácie. Uloženie pokuty býva spravidla posledná, hraničná možnosť pokiaľ nedošlo k uskutočneniu opatrení na nápravu. Jej udelenie však nie je súčasťou procesu kontroly, ale až následného správneho konania.

Aká môže byť výška pokuty?

Podľa § 104 ods. 2. je maximálny strop pokuty 20 miliónov EUR. uloženia pokuty v takejto výške sa však väčšina subjektov nemusí obávať. Účelom kontroly nie je likvidácia spoločnosti a pri určovaní výšky pokuty sa berie do úvahy viacero faktorov. Okrem iných je to najmä povaha a závažnosť porušených predpisov, dĺžka ich trvania, účel spracovávaných osobných údajov, prípadné predchádzajúce porušenia GDPR predpisov, či miera poskytnutia súčinnosti zo strany kontrolovaného subjektu.

Zároveň sa pokuta ukladá tak, aby spĺňala, preventívnu, ako aj represívnu funkciu. To znamená, že s prihliadnutím na jednotlivé okolnosti prípadu sa má pokuta určiť v takej výške aby kontrolovaný subjekt bol postihnutý vzhľadom na závažnosť porušenia ustanovení zákonov, a zároveň aby samotný kontrolovaný subjekt ale aj iné subjekty podliehajúce povinnostiam vyplývajúcich z GDPR predpisov odradil od ich porušovania, nedodržovania, nedôsledného uplatňovania, či nedostatočného technologického zabezpečenia.

V neposlednom rade treba zdôrazniť, že vyhnúť pokute sa dá aj spoluprácou s osobami poverenými v rámci výkonu dozoru Úradu na ochranu osobných údajov. Je to dokonca zákonná povinnosť. Prípadné marenia kontroly by mohlo vyústiť do oveľa vyššej výšky udelenej pokuty.

Kto podlieha kontrole zo strany úradu?

Podľa GDPR zákona Úrad na ochranu osobných údajov vykonáva kontrolu nad prevádzkovateľmi, sprostredkovateľmi a dotknutými osobami v rámci ich činnosti pokiaľ na území Slovenskej republiky majú trvalý pobyt, sídlo, organizačnú zložku alebo prevádzkareň. Rovnako sa tiež na tieto subjekty GDPR zákon vzťahuje, pokiaľ takýto trvalý pobyt, sídlo, organizačnú zložku alebo prevádzkareň majú na území iného štátu, na ktorom sa však v súlade s medzinárodným právom uplatňuje právny poriadok Slovenskej republiky.

Na účely predchádzania a odhaľovania trestnej činnosti, ako aj ďalších úkonov v trestnom konaní sa kontrolná právomoc úradu vzťahuje taktiež na Policajný zbor, Vojenskú políciu, Zbor väzenskej a justičnej stráže, Finančnú správu, ŠUKL, NBS, Prokuratúru a Súdy.

Kto nepodlieha kontrole zo strany úradu?

GDPR zákon rovnako vymedzuje situácie a inštitúcie, na ktoré sa kontrolná právomoc Úradu na ochranu osobných údajov nevzťahuje. Medzi takéto situácie patrí osobná činnosť fyzickej osoby alebo jej aktivita v domácom prostredí pre osobné účely. Spod kontrolnej právomoci úradu sú z titulu charakteru ich činnosti vyňaté aj Slovenská informačná služba, Vojenské spravodajstvo, Národný bezpečnostný úrad na účely uskutočňovania bezpečnostných previerok a Súdna rada v procese zabezpečovania podkladov na jej rozhodovanie.

Plán kontrol úradu na ochranu osobných údajov na rok 2021, pozornosť by mali zvýšiť e-shopy

Svoju plánovanú kontrolnú činnosť si úrad na ochranu osobných údajov na tento rok rozdelil na dve hlavné časti. Prvou je tzv. „šengenské aquis“ (pozn. šengenské aquis znamená dohoda medzi vládami štátov Hospodárskej únie BENELUXu, Spolkovej republiky Nemecko a Francúzskej republiky o postupnom odstraňovaní kontrol na spoločných hraniciach, ktorá bola zakomponovaná aj do Zmluvy o fungovaní Euróspkej únie) v rámci ktorého sa zamerajú na identifikáciu stavu spracovávania osobných údajov v informačných systémoch. Cieľom je zabezpečiť bezpečné a zákonné spracovávanie osobných údajov v špecifických informačných systémoch využívaných na vnútornú ochranu šengenského priestoru. V rámci tejto časti sa zameria na inštitúcie akými sú Ministerstvo zahraničných vecí a európskych záležitostí Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky a Styčný úrad Slovenskej republiky.

V druhej časti sa úrad na ochranu osobných údajov zameria na spracovateľské činnosti, konkrétne na súlad spracovávania osobných údajov s GDPR predpismi so zameraním na riziká spojené so špecifickými spracovateľskými činnosťami alebo s využívaním nových technológií a postupov, najmä s procesmi spôsobilými významne zasiahnuť do práv a právom chránených záujmov dotknutých osôb. Medzi kontrolovanými inštitúciami sú Úrad verejného zdravotníctva SR, ale aj iné orgány štátnej správy. Ostražitý by v tomto smere mali byť aj podnikatelia, resp. prevádzkovatelia e-shopov. Tie boli taktiež zaradené medzi plánované kontrolované subjekty. Podľa informácii zverejnených na ich webovej stránke sa Úrad na ochranu osobných údajov v rámci kontroly zameranej na e-shopy plánuje zamerať najmä na:

• Súlad spracúvania osobných údajov so zásadami spracúvania
• Podmienky zákonného spracovávania
• Podmienky vyjadrenia súhlasu a podmienky spracovávania osobitných kategórii osobných údajov
• Práva dotknutej osoby
• Spoločných prevádzkovateľov
• Sprostredkovateľov
• Spracovávanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa
• Bezpečnosť osobných údajov
• Zodpovednú osobu

Neviete si rady s GDPR, pomôžu často kladené otázky na stránke úradu na ochranu osobných údajov

Ako už bolo vyššie spomenuté, okrem uskutočňovania kontroly medzi kompetencie úradu patria aj poradenské, konzultačné, či informačné činnosti. To zahŕňa aj zvyšovanie povedomia verejnosti a prevádzkovateľov o právach, rizikách a povinnostiach vyplývajúcich z GDPR zákona. Na svojej webovej stránke zverejnili zoznam najčastejšie kladených otázok verejnosti na povinnosti pre nich vyplývajúce, vysvetlenie jednotlivých zákonných pojmov, či zavádzaných zmien.

Aj úrad si plní svoju informačnú povinnosť GDPR

V rámci svojej informačnej povinnosti má úrad na ochranu osobných údajov na svojej stránke zverejnený materiál, v rámci ktorého informuje dotknuté osoby o zásadách spracovávania ich osobných údajov v prípade, ak ich spracovávateľom je práve úrad na ochranu osobných údajov. K osobným údajom sa môže dostať buď priamo, od dotknutej osoby alebo sprostredkovane pri plnení povinností (napríklad výkon kontroly).

Úrad tiež uvádza účel na aký môžu byť osobné údaje spracovávane, kategórie ich ďalších príjemcov, či práva dotknutých osôb. Medzi inými sú to napríklad právo na odvolanie súhlasu, právo namietať, právo podať podnet na začatie konania o ochrane osobných údajov a ďalšie. Úradu na ochranu osobných údajov je táto informačná povinnosť ustanovená § 20 ods. 5 GDPR zákona.

Ďalšie povinnosti úradu zabezpečujú jeho odbornosť a nezávislé postavenie

Aj keď kontrola a dohľad na správnym spracovávaním osobných údajov patrí medzi jednu z najdôležitejších aktivít Úradu na ochranu osobných údajov, ani zďaleka nie je jedinou. Z titulu svojej činnosti sa vyjadruje sa k návrhom zákonov a iných všeobecne záväzných právnych predpisov, ktoré sa akokoľvek dotýkajú spracovávania osobných údajov, predkladá správy o stave ochrany osobných údajov Národnej rade Slovenskej republiky raz ročne, či monitoruje vývoj informačných a komunikačných technológií a obchodných praktík s dopadom na spracovanie osobných údajov. Jeho činnosť ma aj cezhraničný presah, nakoľko spolupracuje s Európskym výborom na ochranu osobných údajov, uskutočňuje oznamovaciu povinnosť voči Komisii a realizuje opatrenia na výkon rozhodnutí Komisie.

Zhrnutie

Úrad na ochranu osobných údajov predstavuje nezávislý orgánom štátnej správy, ktorý zohráva nezastupiteľnú úlohu vo svete GDPR v podmienkach nielen národnej legislatívy, ale aj európskej legislatívy. Dohliada na výkon kontrol dodržiavania zákonov a iných všeobecne záväzných právnych predpisov upravujúcich spracovávanie osobných údajov prevádzkovateľov, sprostredkovateľov, dotknutých osôb a určených inštitúcií.

Kontroly vykonáva na základe zverejneného ročného plánu kontrol, ktorý nájdeme na ich webovej stránke, ale tiež na podklade podozrenia z porušenia povinností pri spracovávaní osobných údajov a v rámci konania o ochrane osobných údajov.

Výsledok kontroly sa zachytáva buď do záznamu o kontrole alebo, v prípade zistenia nedostatkov do protokolu o kontrole. Voči zisteným nedostatkom je možné v lehote 21 dní odo dňa doručenia protokolu uplatniť relevantné námietky. Inak sa konanie ukončuje.

Okrem toho sa Úrad na ochranu osobných údajov tiež zúčastňuje na poskytovaní stanovísk v rámci legislatívneho procesu, informuje verejnosť o ich právach a povinnostiach vyplývajúcich pre nich z GDPR predpisov, či vystupuje ako zastupujúci orgán pre ochranu osobných údajov za Slovenskú republiku na európskej úrovni pri komunikácii s Komisiou.