Koho si Úrad pre ochranu osobných údajov SR plánuje zobrať na mušku? Prezradil plán kontrol na rok 2020. V strehu by mali byť ubytovacie zariadenia, prevádzkovatelia STK či webhostingové firmy.
Na Slovensku, tak ako aj v ďalších členských štátoch EÚ, začalo 25. 5. 2018 platiť európske nariadenie o ochrane osobných údajov, tzv. GDPR, ktoré sa v podmienkach SR premietlo do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov. Tento zákon nahradil dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov.
O hlavných zmenách, ktoré toto nariadenie prinieslo, sa dočítate v článku GDPR v skratke.
Kontrolu GDPR vykonáva Úrad na ochranu osobných údajov SR
Úrad na ochranu osobných údajov SR (ďalej len „úrad“) prostredníctvom svojich zamestnancov vykonáva kontrolu dodržiavania ustanovení GDPR a nového zákona, a to konkrétne kontrolu:
- spracúvania osobných údajov,
- dodržiavania kódexu správania schváleného úradom (ide o súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý sa prevádzkovateľ zaviazal dodržiavať),
- súladu spracúvania osobných údajov s vydaným certifikátom (t. j. verejnou listinou, ktorú vydáva úrad, slúžia na preukázanie zhody s ustanoveniami GDPR),
- dodržiavania vydaného osvedčenia o udelení akreditácie (t. j. verenou listinou, ktorú vydáva úrad na základe rozhodnutia o udelení akreditácie).
Kontrola sa začína dňom, kedy je prevádzkovateľovi alebo sprostredkovateľovi, ich zástupcovi, ak bol poverený, alebo monitorujúcemu či certifikačnému subjektu doručené oznámenie o kontrole, ktoré obsahuje dátum a čas výkonu kontroly. Keďže má byť doručené v lehote najmenej desiatich dní pred vykonaním kontroly, tak si môžete byť istí, že o kontrole sa dozviete vopred a žiadne „prepadovky“ čakať nemusíte.
Kto môže čakať kontrolu dodržiavania GDPR?
Úrad vykoná kontrolu:
- na základe plánu kontrol, ktorý každoročne zverejňuje na svojej internetovej stránke,
- na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov, t. j. na základe podnetu dotknutej osoby či inej osoby,
- v rámci konania o ochrane osobných údajov.
Pri jej výkone je povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.
Viac o priebehu kontrolnej činnosti sa dozviete v článku Kontrola dodržiavania GDPR.
Na čo sa zamerajú kontroly GDPR v roku 2020?
Jedným z dôvodov, na základe ktorých úrad vykonáva svoju kontrolnú činnosť, je plán kontrol. Ten je každoročne schvaľovaný a zameraný na systematické preverenie konkrétnych sektorov (napr. cestovné kancelárie, nemocnice, e-shopy a pod.). Jednoducho povedané, v pláne kontrol sú začlenené jednotlivé prípady spracovania osobných údajov, na ktorých kontrolu sa úrad v danom kalendárnom roku prioritne zameria.
Úrad na svojej internetovej stránke zverejnil plán kontrol na rok 2020, ktorý je rozdelený do dvoch častí. Zahŕňa činnosti týkajúce sa spracovania osobných údajov realizované verejnoprávnymi i súkromnoprávnymi subjektmi.
Prvá časť plánu kontrol sa zameriava na identifikáciu stavu spracúvania osobných údajov v informačných systémoch, pomocou ktorých sa zabezpečuje praktické vykonávanie schengenského acquis (t. j. systému právnych noriem európskeho práva upravujúceho spoločenské vzťahy vznikajúce pri uplatňovaní práva voľného pohybu) na území SR a v priestoroch zastupiteľských úradov SR. Prostredníctvom kontrolnej činnosti úradu sa budú priebežne monitorovať schopnosti orgánov štátnej správy zabezpečiť bezpečné a zákonné spracúvanie osobných údajov v špecifických informačných systémoch využívaných na vnútornú ochranu schengenského priestoru. Kontrolované bude Ministerstvo zahraničných vecí a európskych záležitostí SR (Národná časť Vízového informačného systému) a Ministerstvo vnútra SR (Národná časť Schengenského informačného systému, Národná ústredňa Europol a i.).
Je teda zrejmé, že prvá časť plánu kontrol je orientovaná na verejnoprávne inštitúcie, teda sa netýka podnikateľského prostredia.
Druhá časť plánu kontrol sa sústreďuje na súlad spracúvania osobných údajov s ustanoveniami všeobecného nariadenia o ochrane údajov (GDPR) a slovenského zákona o ochrane osobných údajov. Odráža riziká spojené so špecifickými spracovateľskými činnosťami alebo s využívaním nových technológií a postupov.
V roku 2020 sa bude kontrola úradu zameriavať na tieto oblasti:
- spracúvanie osobných údajov orgánmi štátnej správy v oblasti školstva a zdravotníctva
- spracúvanie osobných údajov na účely výberu mýta alebo úhrad za užívanie vymedzených úsekov ciest
- spracúvanie osobných údajov stanicami technickej kontroly pri overovaní technickej spôsobilosti vozidiel na prevádzku v cestnej premávke
- spracúvanie osobných údajov v rámci poskytovania parkovacích služieb
- spracúvanie osobných údajov ubytovacími zariadeniami
- spracúvanie osobných údajov poskytovateľmi verejných telekomunikačných služieb
- spracúvanie osobných údajov pri poskytovaní webhostingu
Vo všetkých uvedených prípadoch sa kontrolná činnosť úradu bude zameriavať najmä na dodržiavanie súladu spracúvania osobných údajov so zásadami spracúvania, podmienkami zákonného spracúvania, podmienkami vyjadrenia súhlasu, prípadne s podmienkami spracúvania osobitných kategórií osobných údajov a osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky. Tiež sa budú kontrolovať práva dotknutej osoby, spoloční prevádzkovatelia, sprostredkovateľ, spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa, bezpečnosť osobných údajov, posúdenie vplyvu na ochranu údajov či zodpovedná osoba.
Tí podnikatelia, ktorí sa z hľadiska predmetu svojej činnosti ocitli v ročnom pláne kontrol úradu na rok 2020 sa dostávajú do zvýšeného rizika kontroly. Úrad sa však primárne zameriava na také subjekty, ktoré vykazujú znaky porušovania GDPR.
V roku 2020 bude úrad kontrolovať ubytovacie zariadenia i stanice technickej kontroly (STK).
Rada: Po ohlásení kontroly zo strany úradu je vhodné, počas nasledujúcich desiatich dní na prípravu kontroly, zabezpečiť komplexný audit, resp. revíziu podmienok spracúvania osobných údajov, vrátane úrovne plnenia zákonných povinností či odstrániť zistené nedostatky. Najdôležitejší je predmet kontroly, ktorý je vymedzený v doručenom oznámení o začatí kontroly. Spravidla býva vymedzený pomerne široko, avšak dá sa z neho dozvedieť, na čo sa bude úrad pri kontrole pravdepodobne zameriavať. Úrad je vymedzením predmetu kontroly viazaný pri všetkých svojich úkonoch súvisiacich s kontrolou.
Kontrola spracúvania osobných údajov predstavuje zdĺhavý a náročný administratívny proces, ktorý v konečnom dôsledku môže viesť k uloženiu pokuty alebo k uloženiu splnenia porušenej povinnosti. (t. j. k uloženiu opatrenia na nápravu). Ak však bola podnikateľovi najprv uložená len povinnosť vykonať nápravu porušeného stavu a túto v určenej lehote nezrealizoval, môže mu byť následne uložená aj pokuta. Aby sa podnikatelia takýmto sankciám vyhli, odporúčame nič nepodceniť a spracúvanie osobných údajov zosúladiť s účinnými predpismi ešte pred doručením oznámenia o začatí kontroly zo strany úradu.
Kontroly GDPR vykonané v období od 25. 5. 2018 do 24. 5. 2019
Kontroly spracúvania osobných údajov začaté od účinnosti GDPR (25. 5.2018) boli vykonávané v rámci konania o ochrane osobných údajov, na základe plánu kontrol, ako aj na základe podozrenia z porušenia zákonných povinností pri spracúvaní osobných údajov.
Podľa správy o stave ochrany osobných údajov za obdobie od 25. 5. 2018 do 24. 5. 2019 bolo začatých celkom 51 kontrol, z toho 6 na základe plánu kontrol, 26 na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov a 19 v rámci konania o ochrane osobných údajov.
Na základe podozrenia z porušenia zákonných povinností (t. j. anonymné podania, podnety iných než dotknutých osôb a medializované informácie) bolo v rámci prevádzkovania kamerových systémov vykonaných šesť kontrol. V troch prípadoch bol zistený nesúlad s platnou legislatívou a kontroly boli ukončené protokolmi o kontrole. Protokol o kontrole je výsledným dokumentom kontroly, ktorý úrad spíše, ak zistil nedostatky pri spracúvaní osobných údajov, resp. porušenie GDPR. V uvedených prípadoch sa nedostatky týkali najmä neposkytnutia presných informácií dotknutým osobám (neposkytnutie informácií o právnom základe spracúvania a neposkytnutie informácií v mieste vstupu do monitorovaného priestoru), čím došlo k porušeniu práv dotknutých osôb a následne aj k porušeniu niektorých zásad spracúvania osobných údajov.
Podľa plánu kontrol vykonal úrad v danom období aj kontrolu spracovateľských činností dvoch internetových obchodov (e-shopov). Kontrolované subjekty v priebehu kontroly nepreukázali, že súhlas od dotknutých osôb vyžadujú v súlade s GDPR. Jedna kontrolovaná osoba nepreukázala samotnú existenciu súhlasu dotknutej osoby, resp. spracúvanie osobných údajov na účel zasielania dotazníka založila na zavádzajúcom získavaní nesúhlasu dotknutej osoby. Druhá kontrolovaná osoba dotknutým osobám neumožnila vyjadriť slobodne súhlas alebo nesúhlas so spracúvaním osobných údajov na účely zasielania informácií o novinkách, akciových ponukách, zľavách a cenových akciách.
Z celkového počtu kontrol bolo do 24. 5. 2019 ukončených 21, z toho 11 bolo ukončených protokolom o kontrole a v zvyšných 10 záznamom o kontrole. Do ďalšieho kontrolného obdobia tak bolo prenesených 30 kontrol. Na rozdiel od protokolu, záznam sa po ukončení kontroly spisuje len vtedy, keď nebolo zistené žiadne porušenie GDPR.
Pokuty uložené úradom v období od 25. 5. 2018 do 24. 5. 2019
V danom období úrad za porušenie právnych predpisov o ochrane osobných údajov uložil 38 pokút v súhrnnej výške 132 600 eur. Priemerná pokuta bola vo výške 3 489 eur.
Najnižšiu pokutu vo výške 500 eur uložil prevádzkovateľovi za neposkytnutie súčinnosti. Najvyššia pokuta vo výške 40 000 eur bola uložená prevádzkovateľovi za porušenie bezpečnosti spracúvania osobných údajov.
Pri ukladaní pokút úrad hovorí, že zohľadňoval najmä postavenie subjektu a jeho činnosť ako aj dopad výšky pokuty na jeho ďalšiu existenciu. Vo svojej správe skonštatoval, že uložené pokuty nemali na dané subjekty likvidačný dopad.
