Kontrolná činnosť Úradu v roku 2020

Jednou zo základných úloh Úradu na ochranu osobných údajov podľa Zákona o ochrane osobných údajov je výkon dozoru nad ochranou osobných údajov v Slovenskej republike. Za porušenia GDPR môžu byť uložené pokuty. Pri svojej činnosti vykonáva Úrad riadne a mimoriadne kontroly.

Riadne kontroly sú vykonávané na základe schváleného plánu kontrolnej činnosti na príslušný kalendárny rok. Mimoriadne kontroly slúžia ako podklad pre vydanie rozhodnutia v správnom konaní vedenom Úradom. Na pozore by mali mať najmä tí prevádzkovatelia a sprostredkovatelia, ktorí patria k okruhu subjektov, ktorých Úrad plánuje kontrolovať. Na druhej strane, predmetom mimoriadnej kontroly sa môžete stať najčastejšie v prípade, ak Vám niektorá dotknutá osoba „nahlási“.

V našom článku Vám prinášame zoznam okruhov subjektov, na ktoré sa bude podľa zverejneného plánu kontrolnej činnosti  Úrad v roku 2020 zameriavať. Okrem toho v článku nájdete aj základné informácie o tom, na čo by ste sa mali pri kontrole pripraviť a aké sankcie alebo GDPR pokuty vám hrozia.

Aj keď sú personálne možnosti Úradu na ochranu osobných údajov stále obmedzené, odporúčame každému subjektu, ktorí spracúva osobné údaje, nič nepodceniť a svoje spracúvanie zosúladiť s aktuálnymi predpismi o ochrane osobných údajov ešte pred tým, ako bude vašej spoločnosti doručené oznámenie o začatí kontroly.

Plán kontrolnej činnosti na rok 2020

Podľa plánu kontrolnej činnosti na rok 2020 bude kontrolná činnosť Úradu rozdelená do dvoch častí. V prvej časti sa bude Úrad zameriavať na identifikáciu stavu spracúvania osobných údajov v informačných systémoch, pomocou ktorých sa zabezpečuje praktické vykonávanie schengenského acquis na území Slovenskej republiky a v priestoroch zastupiteľských úradov Slovenskej republiky. Kontroly budú spočívať v priebežnom, kontinuálnom monitorovaní schopnosti orgánov štátnej správy zabezpečiť bezpečné a zákonné spracúvanie osobných údajov v špecifických informačných systémoch využívaných na vnútornú ochranu schengenského priestoru.

GDPR pokuty v celej EÚ aj na území SR nájdete na stránke enforcementtracker.com. Screenshot: enforcementtracker.com

V tejto časti sa bude Úrad zameriavať najmä na činnosť Národnej časti vízového informačného systému, ktorú zastrešuje Ministerstvo zahraničných vecí a európsky záležitostí Slovenskej republiky prostredníctvom či na Automatizovaný európsky systém identifikácie odtlačkov prstov (EURODAC), ktorý podlieha činnosti Ministerstvu vnútra Slovenskej republiky. Podľa plánu kontrolnej činnosti sa bude Úrad zameriavať najmä na súlad spracúvania osobných údajov so zásadami spracúvania (Privacy policy) a podmienkami zákonného spracúvania s dôrazom na práva dotknutých osôb a bezpečnosť osobných údajov.

Druhá časť kontrolnej činnosti je zameraná na súlad spracúvania osobných údajov s požiadavkami GDPR. Predmetná časť plánu kontrol reflektuje riziká spojené so špecifickými spracovateľskými činnosťami alebo s využívaním nových technológií a postupov, teda s procesmi spôsobilými významne zasiahnuť do práv a právom chránených záujmov dotknutých osôb. Kontrolná činnosť Úradu bude prebiehať v nasledujúcich oblastiach:

• Spracúvanie osobných údajov orgánmi štátnej správy v oblasti školstva a zdravotníctva, 
• Kontrola spracúvania osobných údajov na účely výberu mýta alebo úhrad za užívanie vymedzených úsekov ciest, 
• Kontrola spracúvania osobných údajov stanicami technickej kontroly pri overovaní technickej spôsobilosti vozidiel na prevádzku v cestnej premávke, 
• Spracúvanie osobných údajov v rámci poskytovania parkovacích služieb, 
• Spracúvanie osobných údajov ubytovacími zariadeniami, 
• Spracúvanie osobných údajov poskytovateľmi verejných telekomunikačných služieb, 
• Spracúvanie osobných údajov pri poskytovaní webhostingu. 

Úrad sa pri kontrole spracúvania osobných údajov subjektmi vo vyššie vymedzených oblastiach bude zameriavať na súlad spracúvania osobných údajov so zásadami spracúvania, podmienkami zákonného spracúvania, podmienkami vyjadrenia súhlasu a podmienkami spracúvania osobitných kategórií osobných údajov a osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, práva dotknutej osoby, spoloční prevádzkovatelia, sprostredkovateľ, spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa, bezpečnosť osobných údajov, plnenie povinností súvisiacich s posúdením vplyvu na ochranu údajov, či určením zodpovednej osoby a plnením jej úloh.

Priebeh kontroly 

Kontrola sa začína doručením oznámenia o kontrole kontrolovanému subjektu, najmenej 10 dní pred začatím jej výkonu.  V zmysle Zákona o ochrane osobných údajov môže Úrad oznámiť začatie kontroly kontrolovanému subjektu až bezprostredne pred výkonom kontroly v prípade, ak by to oznámenie o začatí kontroly vopred mohlo viesť k zmareniu účelu kontroly alebo k jeho sťaženiu. Skutočným momentom začatia kontroly je príchod zamestnancov Úradu do spoločnosti. Zamestnanci vykonávajúci kontrolu sa pri príchode legitimujú – predložia vlastné služobné preukazy ako aj poverenie na výkon kontroly. Tomuto úkonu je potrebné venovať náležitú pozornosť, nakoľko v prípade falošných inšpektorov, by sprístupnenie osobných údajov predstavovalo veľmi závažné porušenie ochrany osobných údajov.¹

Kontrolu vykonávajú zamestnanci úradu, ktorí môžu v určitých prípadoch využiť aj inštiut tzv. prizvanej osoby. Prizvanou osobou je odborník z určitej oblasti (napr. externý IT špecialista, advokát), ktorí pomáha Úradu pri výkone kontroly na základe písomného poverenia predsedu Úradu.

Potrebujete stále poradenstvo k ochrane osobných údajov? K tomu určite pomôže zodpovedná osoba.

Prečítajte si aj: 7 vecí, ktoré vám má poradiť vaša zodpovedná osoba

Alebo si pozrite naše videoškolenie o Zodpovednej osobe (DPO) pre GDPR. Všetky ďalšie naše videoškolenia nájdete tu:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

O priebehu kontroly sa spisuje zápisnica, ktorá zaznamenáva celý jej priebeh a všetky vykonané úkony. Pri výkone kontroly majú zamestnanci Úradu právo vstupovať do priestorov kontrolovaného subjektu, ako aj k automatizovaným a neautomatizovaným prostriedkom spracúvania osobných údajov. Kontrolovaný subjekt je povinný počas výkonu kontroly zamestnancom Úradu tento prístup umožniť, ako aj podávať vyjadrenia a vysvetlenia a poskytovať zamestnancom Úradu súčinnosť. V prípade neposkytnutia vyžadovanej súčinnosti hrozí kontrolovanému subjektu poriadková pokuta, ktorá sa v niektorých prípadoch môže vyšplhať až do výšky 10.000 EUR. Poriadkové pokuty je potrebné odlišovať od pokút za porušenie povinností pri spracúvaní osobných údajov ako takých, ktoré môžu byť uložené až do výšky 20.000.000 EUR alebo do výšky 4% z celkového svetového ročného obratu spoločnosti za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Výsledkom kontroly je záznam o kontrole alebo protokol o kontrole, ktorý Úrad vypracuje vtedy, ak boli kontrolou zistené nedostatky. Kontrolovaný subjekt je oprávnený podať voči zisteniam kontroly námietky do 21 dní odo dňa ich oznámenia Úradom. Úrad po preskúmaní podaných námietok informuje kontrolovaný subjekt o ich preskúmaní a vyzve ho na preskúmanie ich vybavenia, o čom Úrad spíše zápisnicu o prerokovaní protokolu.

V prípade, ak boli kontrolou zistené nedostatky, Úrad začne z vlastného podnetu konanie o ochrane osobných údajov, ktoré výsledkom môže byť uloženie vyššie spomenutých pokút. Je dôležité poznamenať, že účelom pokút je spôsobiť odstrašujúco, nie likvidačne, čo potvrdzuje aj samotný Úrad.

V konaní o ochrane osobných údajov môže Úrad okrem pokuty nariadiť aj vykonanie opatrení na nápravu, medzi ktoré patrí:

• odstránenie zistených nedostatkov a príčin ich vzniku v Úradom určenej lehote, 
• prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti primeranú rizikám pre práva fyzických osôb,
• posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov v súlade s týmto zákonom alebo osobitným predpisom

Čo v prípade kontroly alebo GDPR pokuty

Výkon kontroly by však určite nemal byť dôvod, pre ktorý sa v svojej spoločnosti rozhodnete implementovať procesy na ochranu osobných údajov. „Naháňanie“ dokumentácie  v prípadoch, kedy máte kontrolu už „za dverami“ sa nemusí vždy vyplatiť a môže samotnú implementáciu procesov ochrany osobných údajov vo vašej spoločnosti značne predražiť. Porušenie sa nepremietne len do GDPR pokuty, ale je potrebné si uvedomiť, že:

• pri obrane svojich práv budete potrebovať právneho zástupcu,
• kontrola môže byť administratívnou záťažou,
• kontrola môže trvať mesiace a konania aj roky,
• je nevyhnutná súčinnosť s Úradom.

Ako uvádzame, kontrola môže v určitých prípadoch trvať aj viac mesiacov a niektoré lehoty v rámci jej výkonu alebo následného konania o ochrane osobných údajov sú relatívne krátke (napr. 15 dní na podanie rozkladu), pričom za nedodržanie niektorých lehôt hrozí uloženie poriadkovej pokuty.² Prehľad právoplatne uložených pokút nie len v Slovenskej republike, ale v celej Európskej únií nájdete tu.

Vypracovanie GDPR tak je oveľa príjemnejšie, ako udelenie pokuty a riešenie následkov.

1. napr. v prípade priemyselnej špionáže ↩

2. napr. za úmyselné marenie výkonu kontroly kontrolovaným subjektom ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb