Kontrola dodržiavania GDPR

Ako prebieha kontrola dodržiavania ustanovení GDPR a zákona o ochrane osobných údajov? Koľko kontrol bolo od účinnosti európskeho nariadenia vykonaných a aké, čo bude predmetom predmetom kontrol v roku 2019?

V každom členskom štáte EÚ začalo 25. 5. 2018 platiť európske nariadenie o ochrane osobných údajov, známe pod skratkou GDPR. Ide o súbor ucelených pravidiel na ochranu osobných údajov, ktorý sa v podmienkach SR premietol do osobitného zákona č. 18/2018 Z. z. o ochrane osobných údajov. Ním bol nahradený dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov.

GDPR sa dotklo všetkých spoločenských oblastí, vrátane podnikania. Každý, kto akýmkoľvek spôsobom prichádza do styku s osobnými údajmi, je povinný zabezpečiť ich ochranu v súlade s týmto európskym nariadením.

Aké zásadné zmeny so sebou prinieslo sa dočítate v článku GDPR v skratke

Kontrolná činnosť Úradu na ochranu osobných údajov

Úrad na ochranu osobných údajov (ďalej len „úrad“) vykonáva prostredníctvom kontrolného orgánu zloženého zo zamestnancov kontrolu:

  • spracúvania osobných údajov,
  • dodržiavania kódexu správania schváleného úradom,
  • súladu spracúvania osobných údajov s vydaným certifikátom,
  • dodržiavania vydaného osvedčenia o udelení akreditácie.

Kontrolný orgán je pri výkone kontroly povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.

Začatie kontroly dodržiavania GDPR

Kontrola dodržiavania ustanovení GDPR a zákona o ochrane osobných údajov môže vyvstať z podania osoby alebo z vlastnej vôle úradu.

Úrad vykoná kontrolu:

  • na základe plánu kontrol (úrad ho každoročne zverejňuje na svojej webovej stránke),
  • na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov,
  • v rámci konania o ochrane osobných údajov.

Kontrolu v oblasti GDPR vykonáva Úrad na ochranu osobných údajov na podnet alebo z vlastnej iniciatívy.

Konanie o ochrane osobných údajov sa môže začať:

  1. na návrh dotknutej osoby, t. j. osoby, ktorej osobné údaje sa spracúvajú (napr. na návrh zákazníka, klienta, zamestnanca),
  2. na návrh inej osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach, t. j. osoby, ktorá má informácie, že u prevádzkovateľa sa nedodržiava ochrana osobných údajov a v dôsledku toho je dotknutá na svojich právach (napr. bývalý zamestnanec) – takýto návrh sa však považuje za podnet na začatie konania bez návrhu,
  3. bez návrhu, t. j. z vlastnej vôle úradu, keď sa dozvie skutočnosti, ktoré naznačujú porušovanie ochrany osobných údajov, resp. na základe výsledkov vlastnej činnosti, ak má podozrenie, že dochádza k porušovaniu spracúvania osobných údajov alebo aj len z dôvodu zaradenia prevádzkovateľa do plánu kontrol.

Priebeh kontroly dodržiavania GDPR

Podľa zákona o ochrane osobných údajov je kontrola začatá dňom doručenia oznámenia o kontrole kontrolovanej osobe (napr. podnikateľovi ako prevádzkovateľovi). To znamená, že kontrolovanej osobe spravidla vopred príde písomné oznámenie o predmete kontroly, o dátume a čase vykonania kontroly, a to v lehote najmenej desiatich dní pred jej vykonaním.  Kontrolovaná osoba tak má k dispozícii desať dní na prípravu, ktorej cieľom by malo byť  odstránenie nedostatkov, pripravenie argumentácie, ktorú počas kontroly použije a pod.

Rada: Po ohlásení kontroly úradu je vhodné, aby ste vo svojej firme zabezpečili komplexný audit podmienok spracúvania osobných údajov a úrovne plnenia povinností ustanovených GDPR a zákonom o ochrane osobných údajov a následne odstránili zistené nedostatky. Cieľom auditu by malo byť overenie, či spĺňate zásady GDPR, resp. či ste ich implementovali správne a či ich aj dodržiavate.

Takéto písomné oznámenie nebude vopred doručované v situácii, ak by to mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu jej výkonu. V takom prípade môže byť predmet kontroly oznámený kontrolovanej osobe bezprostredne pred jej výkonom. Jednoducho povedané, úrad má právomoc zaklopať na dvere podnikateľa aj bez predošlého oznámenia. Ide o prípady, keď hrozí, že kontrolovaná osoba znemožní dokumentovanie dôkazov a porušení zákona. V praxi sa takáto kontrola realizuje skôr výnimočne.

Kontrolu spravidla vykonávajú dvaja kontrolóri, ktorí sa ešte pred jej začatím musia preukázať poverením na vykonanie kontroly a služobným preukazom. Následne je kontrolovaná osoba povinná poskytnúť kontrolórovi súčinnosť nevyhnutnú na riadny výkon kontroly (napr. podnikateľ mu musí umožniť prístup k požadovaným dokumentom, k informačným systémom, poskytnúť mu úplné a pravdivé informácie, vyjadrenia ku kontrolovaným skutočnostiam). Na druhej strane má právo počas kontroly priebežne sa vyjadrovať k zisteným skutočnostiam.

O celom priebehu výkonu kontroly spíše kontrolór zápisnicu.

Rada: Ak si kontrolór v rámci výkonu kontroly spracúvania osobných údajov vyžiada, aby ste mu odovzdali príslušnú dokumentáciu, požiadajte ho o potvrdenie odovzdania všetkých dokladov.   

Ukončenie kontroly  

Výsledkom kontroly je buď protokol alebo záznam o kontrole.

Pokiaľ nebolo v priebehu kontroly zistené porušenie GDPR, kontrolór spíše len záznam o kontrole. Jeho podpísaním sa kontrola skončí a kontrolovaná osoba sa nemusí obávať ďalších komplikácii.

Naopak, ak boli pri spracúvaní osobných údajov zistené nedostatky, kontrolór vypracuje protokol, ktorý musí obsahovať zákonom ustanovené údaje (napr. predmet kontroly, preukázané kontrolné zistenia s ich odôvodnením). V prípade, že kontrolovaná osoba sa nestotožňuje s kontrolnými zisteniami v protokole, môže podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu.  

Pri zistení porušenia GDPR sa vypracuje protokol, v opačnom prípade len záznam o kontrole.

Kontrola je ukončená dňom:

  • podpísania zápisnice o prerokovaní protokolu,
  • odmietnutia podpísať zápisnicu o prerokovaní protokolu,
  • nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu,
  • doručenia záznamu o kontrole.

Uloženie pokuty za porušenie GDPR

Ak kontrola odhalila nedostatky pri spracúvaní osobných údajov alebo porušenie niektorého z ustanovení GDPR, hrozí podnikateľovi pokuta až do výšky niekoľkých miliónov eur

Treba však mať na pamäti, že úrad môže, ale nemusí pokutu uložiť. Obávané pokuty vo výške 20 miliónov eur sú horným stropom, t. j. maximálnym limitom, ktorý prichádza do úvahy.

Výšku pokuty neurčuje kontrolný orgán (odbor kontroly úradu) alebo odbor správnych konaní v procese konania o ochrane osobných údajov. To znamená, že pokutu možno dostať len v rámci správneho konania, nie v rámci kontroly ako takej.  

Pri rozhodovaní o uložení konkrétnej výšky pokuty musia byť zohľadnené všetky ukazovatele ustanovené zákonom (napr. povaha, závažnosť a trvanie porušenia, povaha, rozsah alebo účel spracúvania osobných údajov, predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa, miera spolupráce a ďalšie).

Viac o pokutách a ďalších sankciách sa dozviete v článku Ukladanie pokút podľa GDPR.

Rada: S kontrolórmi komunikujte a spolupracujte. V prípade zistenia porušenia pri spracúvaní osobných údajov môže poskytnutie súčinnosti znížiť konečnú výšku pokuty, prípadne nemusí dôjsť k jej uloženiu. Pri marení výkonu kontroly vám bude hroziť pokuta do výšky 10 000 eur.   

Článok pokračuje pod reklamou

Kontroly úradu vykonané od účinnosti GDPR

25. 5. 2019 uplynie jeden rok od účinnosti európskeho nariadenia o ochrane osobných údajov. Od tohto dátumu úrad už rozbehol viaceré kontroly. Podľa informácii získaných priamo od úradu bolo za toto obdobie v SR začatých 34 kontrol, z toho bolo doposiaľ ukončených len 14

Pokuta zatiaľ uložená nebola. „V rámci kontrol nie sú ukladané pokuty, tie sú ukladané až následne v konaní o ochrane osobných údajov. Nakoľko konania ešte prebiehajú, alebo nie sú právoplatne ukončené, nebudeme sa k nim vyjadrovať,“ dopĺňa Lucia Bezáková z Odboru právnych služieb Úradu na ochranu osobných údajov SR.

Pri kontrolách GDPR sa zistilo porušovanie zásad spracúvania osobných údajov a informačnej povinnosti.

Najčastejšie išlo o porušenie zásad spracúvania osobných údajov (čl. 5 GDPR), a to zásady zákonnosti, spravodlivosti a transparentnosti, zásady minimalizácie uchovávania osobných údajov. Často došlo aj k nesplneniu, resp. nedostatočnému plneniu informačnej povinnosti voči dotknutej osobe (čl. 13 GDPR).

Plánované kontroly v súvislosti  GDPR v roku 2019

Jedným zo spôsobov, na základe ktorého môže úrad vykonať kontrolu plnenia GDPR, je plán kontrol, ktorý každoročne zverejňuje na svojej webovej stránke.   

Plán kontrol na rok 2019 obsahuje tieto spracovateľské činnosti:

  1. spracúvanie osobných údajov prostredníctvom sprostredkovateľa,
  2. spracúvanie osobných údajov poštovými podnikmi,
  3. spracúvanie osobných údajov bez potreby identifikácie dotknutých osôb,
  4. spracúvanie osobných údajov dotknutých osôb subjektmi poskytujúcimi služby požičovne,
  5. spracúvanie biometrických údajov na účely jedinečnej identifikácie dotknutých osôb, 
  6. spracúvanie osobných údajov dotknutých osôb orgánmi štátnej správy.

Zoznam subjektov, u ktorých úrad plánuje v roku 2019 vykonávať kontrolu spracúvania osobných údajov alebo u ktorých ju aktuálne vykonáva, sa nezverejňuje.

Na čo si pri GDPR treba dávať pozor?

Kontrola spracúvania osobných údajov je často zdĺhavý a náročný administratívny proces, ktorý môže viesť k uloženiu vysokej pokuty sprevádzanej ďalšími problémami (napr. odstránením zistených nedostatkov).

Aby podnikatelia predišli prípadným kontrolám alebo aby v prípade výkonu kontroly neboli zistené nedostatky či porušenia GDPR a následne ukladané pokuty, je nutné, aby osobné údaje spracúvali v súlade s európskym nariadením i slovenským zákonom o ochrane osobných údajov.

To znamená, že v prvom rade musia dodržiavať jednotlivé zásady spracúvania osobných údajov, najmä zásadu zákonnosti či minimalizácie uchovávania údajov. Ďalej správne určovať každý účel spracúvania osobných údajov, pokiaľ nie je ustanovený priamo zákonom. Nezabúdať na splnenie informačnej povinnosti voči dotknutým osobám a klásť osobitný dôraz na spracúvanie citlivých osobných údajov.  

Dôležité je plniť si povinnosti vyplývajúce z GDPR a sledovať usmernenia úradu.

Okrem toho je vždy dobré riadiť sa stanoviskami a usmerneniami úradu, zverejnenými na jeho webovej stránke (napr. metodické usmernenie č. 2/2018 týkajúce sa zákonnosti spracúvania osobných údajov).

Kontrolórov pri výkone ich právomocí najviac zaujíma:

  • plnenie informačnej povinnosti voči dotknutým osobám pre každý účel spracúvania osobných údajov (napr. v priestoroch prevádzkovateľa, na jeho webovej stránke),
  • výber sprostredkovateľov (sprostredkovateľské zmluvy),
  • záznamy o spracovateľských činnostiach (v papierovej alebo elektronickej podobe),
  • preukázanie získaných súhlasov dotknutých osôb,
  • postup v prípade úniku osobných údajov,
  • postup pri vybavovaní žiadostí dotknutých osôb.

Viac podobných článkov nájdete na www.podnikajte.sk


GDPR po roku: Ako sa e-shopy vysporiadali so zmenami?

Od 25. mája minulého roka je účinné nariadenie Európskej únie o ochrane osobných údajov známe pod skratkou GDPR. Ako firmy hodnotia tieto zavedené zmeny po roku?

Sú vzory dokumentácie GDPR tá správna voľba?

Svojpomocné vypracovanie, kúpa vzoru GDPR alebo dokumentácia a konzultácie k zavedeniu GDPR na mieru? Právna expertka radí ako sa vysporiadať s požiadavkami nariadenia GDPR a vyhnúť sa zbytočným pokutám.

GDPR v skratke

Koncom mája 2019 uplynie jeden rok od účinnosti GDPR, ktoré v členských štátoch EÚ zaviedlo jednotný režim ochrany osobných údajov. Koho sa dotklo a aké zásadné zmeny prinieslo?

Povinný zápis konečných užívateľov výhod do obchodného registra

Takmer každá spoločnosť je povinná zapísať údaje konečného užívateľa výhod do obchodného registra. Na koho sa táto povinnosť vzťahuje, kto je konečným užívateľom výhod, ako ho zapísať do registra a aká sankcia hrozí za nesplnenie tejto povinnosti?