Ako prebieha kontrola dodržiavania ustanovení GDPR a zákona o ochrane osobných údajov? Koľko kontrol bolo od účinnosti európskeho nariadenia vykonaných a aké, čo bude predmetom predmetom kontrol v roku 2019?
Aktualizované 25.6.2019
V každom členskom štáte EÚ začalo 25. 5. 2018 platiť európske nariadenie o ochrane osobných údajov, známe pod skratkou GDPR. Ide o súbor ucelených pravidiel na ochranu osobných údajov, ktorý sa v podmienkach SR premietol do osobitného zákona č. 18/2018 Z. z. o ochrane osobných údajov. Ním bol nahradený dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov.
GDPR sa dotklo všetkých spoločenských oblastí, vrátane podnikania. Každý, kto akýmkoľvek spôsobom prichádza do styku s osobnými údajmi, je povinný zabezpečiť ich ochranu v súlade s týmto európskym nariadením.
Aké zásadné zmeny so sebou prinieslo sa dočítate v článku GDPR v skratke
Kontrolná činnosť Úradu na ochranu osobných údajov
Úrad na ochranu osobných údajov (ďalej len „úrad“) vykonáva prostredníctvom kontrolného orgánu zloženého zo zamestnancov kontrolu:
- spracúvania osobných údajov,
- dodržiavania kódexu správania schváleného úradom,
- súladu spracúvania osobných údajov s vydaným certifikátom,
- dodržiavania vydaného osvedčenia o udelení akreditácie.
Kontrolný orgán je pri výkone kontroly povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.
Začatie kontroly dodržiavania GDPR
Kontrola dodržiavania ustanovení GDPR a zákona o ochrane osobných údajov môže vyvstať z podania osoby alebo z vlastnej vôle úradu.
Úrad vykoná kontrolu:
- na základe plánu kontrol (úrad ho každoročne zverejňuje na svojej webovej stránke),
- na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov,
- v rámci konania o ochrane osobných údajov.
Konanie o ochrane osobných údajov sa môže začať:
- na návrh dotknutej osoby, t. j. osoby, ktorej osobné údaje sa spracúvajú (napr. na návrh zákazníka, klienta, zamestnanca),
- na návrh inej osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach, t. j. osoby, ktorá má informácie, že u prevádzkovateľa sa nedodržiava ochrana osobných údajov a v dôsledku toho je dotknutá na svojich právach (napr. bývalý zamestnanec) – takýto návrh sa však považuje za podnet na začatie konania bez návrhu,
- bez návrhu, t. j. z vlastnej vôle úradu, keď sa dozvie skutočnosti, ktoré naznačujú porušovanie ochrany osobných údajov, resp. na základe výsledkov vlastnej činnosti, ak má podozrenie, že dochádza k porušovaniu spracúvania osobných údajov alebo aj len z dôvodu zaradenia prevádzkovateľa do plánu kontrol.
Priebeh kontroly dodržiavania GDPR
Podľa zákona o ochrane osobných údajov je kontrola začatá dňom doručenia oznámenia o kontrole kontrolovanej osobe (napr. podnikateľovi ako prevádzkovateľovi). To znamená, že kontrolovanej osobe spravidla vopred príde písomné oznámenie o predmete kontroly, o dátume a čase vykonania kontroly, a to v lehote najmenej desiatich dní pred jej vykonaním. Kontrolovaná osoba tak má k dispozícii desať dní na prípravu, ktorej cieľom by malo byť odstránenie nedostatkov, pripravenie argumentácie, ktorú počas kontroly použije a pod.
Rada: Po ohlásení kontroly úradu je vhodné, aby ste vo svojej firme zabezpečili komplexný audit podmienok spracúvania osobných údajov a úrovne plnenia povinností ustanovených GDPR a zákonom o ochrane osobných údajov a následne odstránili zistené nedostatky. Cieľom auditu by malo byť overenie, či spĺňate zásady GDPR, resp. či ste ich implementovali správne a či ich aj dodržiavate.
Takéto písomné oznámenie nebude vopred doručované v situácii, ak by to mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu jej výkonu. V takom prípade môže byť predmet kontroly oznámený kontrolovanej osobe bezprostredne pred jej výkonom. Jednoducho povedané, úrad má právomoc zaklopať na dvere podnikateľa aj bez predošlého oznámenia. Ide o prípady, keď hrozí, že kontrolovaná osoba znemožní dokumentovanie dôkazov a porušení zákona. V praxi sa takáto kontrola realizuje skôr výnimočne.
Kontrolu spravidla vykonávajú dvaja kontrolóri, ktorí sa ešte pred jej začatím musia preukázať poverením na vykonanie kontroly a služobným preukazom. Následne je kontrolovaná osoba povinná poskytnúť kontrolórovi súčinnosť nevyhnutnú na riadny výkon kontroly (napr. podnikateľ mu musí umožniť prístup k požadovaným dokumentom, k informačným systémom, poskytnúť mu úplné a pravdivé informácie, vyjadrenia ku kontrolovaným skutočnostiam). Na druhej strane má právo počas kontroly priebežne sa vyjadrovať k zisteným skutočnostiam.
O celom priebehu výkonu kontroly spíše kontrolór zápisnicu.
Rada: Ak si kontrolór v rámci výkonu kontroly spracúvania osobných údajov vyžiada, aby ste mu odovzdali príslušnú dokumentáciu, požiadajte ho o potvrdenie odovzdania všetkých dokladov.
Ukončenie kontroly
Výsledkom kontroly je buď protokol alebo záznam o kontrole.
Pokiaľ nebolo v priebehu kontroly zistené porušenie GDPR, kontrolór spíše len záznam o kontrole. Jeho podpísaním sa kontrola skončí a kontrolovaná osoba sa nemusí obávať ďalších komplikácii.
Naopak, ak boli pri spracúvaní osobných údajov zistené nedostatky, kontrolór vypracuje protokol, ktorý musí obsahovať zákonom ustanovené údaje (napr. predmet kontroly, preukázané kontrolné zistenia s ich odôvodnením). V prípade, že kontrolovaná osoba sa nestotožňuje s kontrolnými zisteniami v protokole, môže podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu.
Pri zistení porušenia GDPR sa vypracuje protokol, v opačnom prípade len záznam o kontrole.
Kontrola je ukončená dňom:
- podpísania zápisnice o prerokovaní protokolu,
- odmietnutia podpísať zápisnicu o prerokovaní protokolu,
- nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu,
- doručenia záznamu o kontrole.
Uloženie pokuty za porušenie GDPR
Ak kontrola odhalila nedostatky pri spracúvaní osobných údajov alebo porušenie niektorého z ustanovení GDPR, hrozí podnikateľovi pokuta až do výšky niekoľkých miliónov eur.
Treba však mať na pamäti, že úrad môže, ale nemusí pokutu uložiť. Obávané pokuty vo výške 20 miliónov eur sú horným stropom, t. j. maximálnym limitom, ktorý prichádza do úvahy.
Výšku pokuty neurčuje
kontrolný orgán (odbor kontroly úradu) alebo odbor správnych konaní v procese konania o ochrane osobných údajov. To znamená, že pokutu možno dostať len v rámci správneho konania, nie v
rámci kontroly ako takej.
Pri rozhodovaní o uložení konkrétnej výšky pokuty musia byť zohľadnené všetky ukazovatele ustanovené zákonom (napr. povaha, závažnosť a trvanie porušenia, povaha, rozsah alebo účel spracúvania osobných údajov, predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa, miera spolupráce a ďalšie).
Viac o pokutách a ďalších sankciách sa dozviete v článku Ukladanie pokút podľa GDPR.
Rada:
S
kontrolórmi komunikujte a spolupracujte. V prípade zistenia porušenia pri spracúvaní osobných údajov môže poskytnutie
súčinnosti znížiť konečnú výšku pokuty, prípadne nemusí dôjsť k jej uloženiu.
Pri marení výkonu kontroly vám bude hroziť pokuta do výšky 10 000 eur.
Kontroly úradu vykonané od účinnosti GDPR
25. 5. 2019 uplynul jeden rok od účinnosti európskeho nariadenia o ochrane osobných údajov. Do tohto dátumu úrad rozbehol už desiatky kontrol, niektoré z nich sa skončili aj uložením sankcie.
Úrad do 12. 6. 2019 uložil firmám v súvislosti s GDPR osem pokút od 500 do 7 000 eur, ktoré aj nadobudli právoplatnosť. Tri z nich boli uložené za neposkytnutie súčinnosti, dve za marenie výkonu kontroly. Za porušenie v súvislosti s uplatneným právom dotknutej osoby na prístup k svojim osobným údajom boli uložené dve pokuty a za zverejnenie osobných údajov dotknutej osoby na webovom sídle prevádzkovateľa bez právneho základu jedna sankcia.
Pri kontrolách GDPR sa zistilo porušovanie zásad spracúvania osobných údajov a informačnej povinnosti.
Niektoré pokuty sú ešte stále v konaní, počet právoplatných sankcií sa tak môže zvyšovať. Najčastejšie v nich išlo o porušenie zásad spracúvania osobných údajov (čl. 5 GDPR), a to zásady zákonnosti, spravodlivosti a transparentnosti, zásady minimalizácie uchovávania osobných údajov. Často došlo aj k nesplneniu, resp. nedostatočnému plneniu informačnej povinnosti voči dotknutej osobe (čl. 13 GDPR).
Plánované kontroly v súvislosti GDPR v roku 2019
Jedným zo spôsobov, na základe ktorého môže úrad vykonať kontrolu plnenia GDPR, je plán kontrol, ktorý každoročne zverejňuje na svojej webovej stránke.
Plán kontrol na rok 2019 obsahuje tieto spracovateľské činnosti:
- spracúvanie osobných údajov prostredníctvom sprostredkovateľa,
- spracúvanie osobných údajov poštovými podnikmi,
- spracúvanie osobných údajov bez potreby identifikácie dotknutých osôb,
- spracúvanie osobných údajov dotknutých osôb subjektmi poskytujúcimi služby požičovne,
- spracúvanie biometrických údajov na účely jedinečnej identifikácie dotknutých osôb,
- spracúvanie osobných údajov dotknutých osôb orgánmi štátnej správy.
Zoznam subjektov, u ktorých úrad plánuje v roku 2019 vykonávať kontrolu spracúvania osobných údajov alebo u ktorých ju aktuálne vykonáva, sa nezverejňuje.
Na čo si pri GDPR treba dávať pozor?
Kontrola spracúvania osobných údajov je často zdĺhavý a náročný administratívny proces, ktorý môže viesť k uloženiu vysokej pokuty sprevádzanej ďalšími problémami (napr. odstránením zistených nedostatkov).
Aby podnikatelia predišli prípadným kontrolám alebo aby v prípade výkonu kontroly neboli zistené nedostatky či porušenia GDPR a následne ukladané pokuty, je nutné, aby osobné údaje spracúvali v súlade s európskym nariadením i slovenským zákonom o ochrane osobných údajov.
To znamená, že v prvom rade musia dodržiavať jednotlivé zásady spracúvania osobných údajov, najmä zásadu zákonnosti či minimalizácie uchovávania údajov. Ďalej správne určovať každý účel spracúvania osobných údajov, pokiaľ nie je ustanovený priamo zákonom. Nezabúdať na splnenie informačnej povinnosti voči dotknutým osobám a klásť osobitný dôraz na spracúvanie citlivých osobných údajov.
Dôležité je plniť si povinnosti vyplývajúce z GDPR a sledovať usmernenia úradu.
Okrem toho je vždy dobré riadiť sa stanoviskami a usmerneniami úradu, zverejnenými na jeho webovej stránke (napr. metodické usmernenie č. 2/2018 týkajúce sa zákonnosti spracúvania osobných údajov).
Kontrolórov pri výkone ich právomocí najviac zaujíma:
- plnenie informačnej povinnosti voči dotknutým osobám pre každý účel spracúvania osobných údajov (napr. v priestoroch prevádzkovateľa, na jeho webovej stránke),
- výber sprostredkovateľov (sprostredkovateľské zmluvy),
- záznamy o spracovateľských činnostiach (v papierovej alebo elektronickej podobe),
- preukázanie získaných súhlasov dotknutých osôb,
- postup v prípade úniku osobných údajov,
- postup pri vybavovaní žiadostí dotknutých osôb.
Kto môže očakávať kontrolu GDPR v roku 2020 nájdete v článku Kontroly GDPR v roku 2020 – kto ich môže čakať?