Úrad na ochranu osobných údajov a jeho činnosť

Úrad na ochranu osobných údajov je orgán štátnej správy s celoslovenskou pôsobnosťou,  ktorý vykonáva dozor nad ochranou osobných údajov v Slovenskej republike. V zmysle čl. 51 nariadenia GDPR je dozorným orgánom zodpovedným za ochranu základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov a uľahčenie voľného toku osobných údajov v rámci Európskej únie.

Viac informácií o jeho základných úlohách Vám v prinášame v našom ďalšom článku.

Úrad na ochranu osobných údajov – postavenie a pôsobnosť

Postavenie

V zmysle nariadenia GDPR¹ koná každý dozorný orgán pri plnení svojich úloh a výkone svojich právomocí v súlade s GDPR, ostatnými predpismi o ochrane osobných údajov a nezávisle. GDPR vo svojich ustanoveniach stanovuje pre dozorné orgány iba:

• základné povinnosti,
• požiadavky na jeho činnosť a organizáciu a
• každému členskému státu ponecháva priestor na úpravu konkrétnych procesných aspektov jeho činnosti prostredníctvom vlastných pravidiel, ako aj
• priestor vysporiadať sa s určitými oblasťami (napr. spracúvanie údajov zamestnancov, spracúvanie rodného čísla a pod.) prostredníctvom vlastných pravidiel.

Postavenie úradu, jeho pôsobnosť, organizáciu, úlohy a pravidlá pri výkone kontroly sú tak ustanovené v 5. časti nášho zákona o ochrane osobných údajov. Zákon o ochrane osobných údajov okrem vyššie uvedeného ustanovuje aj podmienky na udeľovanie certifikácií, akreditácií či schvaľovanie kódexov správania pri spracúvaní osobných údajov.

Pôsobnosť

Vzhľadom na to, že Úrad na ochranu osobných údajov je orgánom povereným na výkon dohľadu nad ochranou osobných údajov v celej Slovenskej republike, jeho pôsobnosť je pomerne rozsiahla. Medzi základné úlohy Úradu patrí:

• monitorovanie dodržiavania predpisov o ochrane osobných údajov na území Slovenskej republiky a preverovanie zákonnosti spracúvania osobných údajov v Slovenskej republike,
• usmerňovanie prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
• poskytovanie konzultácií v oblasti ochrany osobných údajov,
• podávanie vyjadrení k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
• poskytovanie informácií dotknutým osobám v súvislosti s uplatnením ich práv podľa predpisov o ochrane osobných údajov,
• certifikačná a akreditačná činnosť,
• spolupráca s Európskym výborom pre ochranu osobných údajov a ostatými dozornými orgánmi v členských štátoch EÚ pri výmene informácií a poskytovaní vzájomnej pomoci.

Pri výkone vyššie uvedených úloh má Úrad viacero oprávnení, ktoré môže vykonávať. Tieto oprávnenia mu explicitne vyplývajú zo zákona o ochrane osobných údajov. Úrad je oprávnený napríklad:

• vstupovať do priestorov prevádzkovateľov a sprostredkovateľov,
• nariadiť prevádzkovateľom alebo sprostredkovateľom, aby Úradu poskytli informácie, ktoré sú nevyhnutné na plnenie jeho úloh či nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe.

Kontrolná činnosť Úradu

K najdôležitejším činnostiam Úradu patrí výkon kontroly, ktoré sa delia na riadne – plánované² a mimoriadne.

Mimoriadne kontroly sa vykonávajú vtedy, ak má Úrad podozrenie z porušenia povinností pri spracúvaní osobných údajov (napr. pri opätovnej kontrole subjektov, ktoré v minulosti kontrolované už boli a boli im uložené opatrenia v rámci konania vedeného Úradom) alebo na základe podnetu – nahlásenia porušenia ochrany osobných údajov.

Priebeh kontroly

Výsledkom kontroly môže byť zistenie porušenia predpisov o ochrane osobných údajov. Prečítajte si aj: „Ako postupovať v prípade porušenia ochrany osobných údajov?“ V takom prípade začne Úrad z vlastného podnetu konanie o ochrane osobných údajov, ktorej výsledkom môže byť uloženie pokuty. Výška pokút je jedným z najväčších „strašiakov“, ktoré GDPR oproti pôvodnej právnej úprave prinieslo.

Úlohou uloženej pokuty alebo iného opatrenia nemá byť likvidácia subjektu, ktorý porušil predpisy o ochrane osobných údajov. Stretli sme sa s vysokými pokutami, ale aj s takými, ktoré boli skôr symbolické. Spoločným znakom uložených pokút má byť odstrašujúce pôsobenie. Väčšinou subjekty porušujú základné povinnosti – zásady GDPR, neplnia informačnú povinnosť alebo nemajú stanovené interné procesy a postupy (aj o nich sme písali), prípadne nedodržiavajú bezpečnostné opatrenia.

O priebehu kontroly a kontrolnej činnosti Úradu pre rok 2020 sme písali v článku: Kontrolná činnosť úradu 2020.

Úrad na ochranu osobných údajov – konzultačná a poradenská činnosť

Jednou z dôležitých činností Úradu by mala byť aj poradenská a konzultačná činnosť. Úrad poskytuje konzultácie k interpretácií predpisov o ochrane osobných údajov na individuálnej báze, ako aj prostredníctvom vydávania rôznych odporúčaní a usmernení. Odporúčania a usmernenia vydáva Úrad k aktuálnym témam a problematickým otázkam v oblasti ochrany osobných údajov.

Sú to napríklad odporúčania k spracúvaniu osobných údajov prostredníctvom fotografií a audiovizuálnych záznamov, spracúvaniu osobných údajov v prostredí škôl, či k zákonnosti spracúvania alebo zodpovednej osobe. Aj keď vyššie uvedené odporúčania a usmernenia nie sú právne záväzné, subjektom spracúvajúcim osobné údaje majú poskytnúť interpretačné a metodické pomôcky, ako by mali pri spracúvaní osobných údajov postupovať.

V niektorých prípadoch sú usmernenia pomôckou a návodom. Stretávame sa však aj s tým, že usmernenia alebo metodiky vnášajú do praxe neistotu alebo sú v rozpore s Nariadením GDPR alebo zákonom. Ako príklad možno uviesť metodiku „Kedy Nariadenie a kedy zákon“ o aplikácií zákona a Nariadenia GDPR. Úrad namiesto toho, aby poskytol konkrétne informácie, kedy sa aplikuje zákon a kedy Nariadenie GDPR uviedol len príklady a skonštatoval, že nie je chybou, ak sa budú prevádzkovatelia riadiť iba zákonom.

Tento postup považujeme za nesprávny a v rozpore s Nariadením aj zákonom o ochrane osobných údajov. Samotné Nariadenie definuje svoju vecnú pôsobnosť pomerne presne, rovnako ako zákon o ochrane osobných údajov .³

Úrad má na svojej webovej stránke aj „Často kladené otázky“, prostredníctvom ktorých odpovedal alebo odpovedá na najbežnejšie otázky z oblasti spracúvania a ochrany osobných údajov, najmä z pohľadu zmien, ktoré GDPR prinieslo. Táto sekcia je určená pre „lajkov“ a širokú verejnosť, avšak pri účinnosti GDPR zodpovedala veľa praktických otázok. Tie sú už v súčasnosti známe tak z praxe, ako aj z ďalšej literatúry.

Ak hľadáte informácie a chcete sa vzdelávať v tejto oblasti, odporúčame zamerať sa na niektoré slovenské zdroje (napríklad náš blog alebo videoškolenia 🙂 ). Veľa hodnotných informácií prinášajú zahraničné zdroje – v anglickom jazyku publikujú informácie nielen EDPB, ale aj dozorné orgány členských štátov (oceňujeme prácu českého dozorného orgánu, ktorý je príkladom), ako aj rôzne asociácie ako IAPP, Data Protection News. Na sociálnych sieťach nájdete aj skupiny, ktoré riešia výlučne GDPR.

Certifikačná a akreditačná činnosť 

Jednou z ďalších dôležitých činností Úradu má byť aj udeľovanie akreditácií subjektom, ktorý sa po udelení akreditácie stane certifikačný subjektom. Certifikačný subjekt udeľuje v zmysle čl. 43 GDPR certifikáty prevádzkovateľom a sprostredkovateľom, ktoré preukazujú, že tieto subjekty dodržujú pri spracúvaní osobných údajov predpisy o ochrane osobných údajov a poskytujú dostatočnú úroveň ochrany spracúvaným osobných údajom.

Podľa vyjadrení Úradu, Úrad ešte neprijal konkrétne postupy a neurčil konkrétne podmienky v zmysle § 86 a 88 zákona o ochrane osobných údajov, na základe ktorých bude udeľovať akreditácie subjektom na to, aby sa mohli stať certifikačnými subjektami podľa čl. 43 GDPR. Odkazuje pritom na „štandardné akreditácie“ – takými môžu byť napríklad ISO 27001k, TAPA, prípadne iné bezpečnostné akreditácie. Treba si však dať pozor na skutočnosť, že samotná bezpečnostná certifikácia neznamená plnenie povinností z oblasti ochrany osobných údajov.

Ochrana osobných údajov a GDPR zahŕňa nielen bezpečnosť alebo GDPR dokumentáciu, ale aj plnenie ďalších povinností – právnych, organizačných, stanovenie postupov pri informovaní, bezpečnostnom incidente a pod.

Článok pokračuje pod videom. O dokumentoch, ktoré je potrebné vypracovať pre plnenie povinností sme rozprávali vo videoškolení:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Vzhľadom na uvedené tak Úrad zatiaľ akreditácie subjektom neposkytuje, hoci je tak v zmysle GDPR povinný robiť.⁴

V prípade, ak potrebujete pomôcť s ochranou osobných údajov, napíšte nám. Ak chcete dostávať novinky z tejto oblasti, prihláste sa do odberu newsletteru. 

1. Postavenie dozorných orgánov upravuje čl. 52 a nasl. GDPR ↩

2. Pozn.: Riadne kontroly sú vykonávané na základe plánu kontrolnej činnosti, ktorý vydáva Úrad na ochranu osobných údajov na každý rok ↩

3. Vecná pôsobnosť zákona o ochrane osobných údajov je vymedzená v § 3 ↩

4. Pozn.: A to už od nadobudnutia jeho účinnosti v máji 2018.) V súčasnosti nie je známa ani predpokladaná lehota, kedy by mohol Úrad prijať opatrenia smerujúce k akreditácii.

   Slovo na záver…

   Aj keď je Úrad na ochranu osobných údajov známy predovšetkým v dôsledku svojej kontrolnej činnosti, výkon kontroly nie je jeho jedinou činnosťou. Úrad má pomáhať s výkladom ustanovení GDPR a implementáciou legislatívy na území SR. V niektorých prípadoch Úrad pomáha, oceňujeme aj podujatie, ktoré uskutočnil v súvislosti s ročným zhrnutím činnosti. Zverejnil aj informácie o kontrolách v rámci ročného zhrnutia a správy.

   Očakávame, že do budúcnosti bude aktívnejší ohľadom ďalších podujatí, usmernení, ako aj spolupráce s podnikateľmi a združeniami pri riešení jednotlivých opakujúcich sa otázok, ktoré nemusia byť jednoznačné, ako aj pri ďalších výzvach – napríklad nové pripravované ePrivacy nariadenie a Cookies.((Pozn.: V súčasnosti nie je v pôsobnosti Úradu, ktorý rieši v súvislosti s cookies napr. súhlas a jeho udelenie v súlade s GDPR.“ ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb