Úrad na ochranu osobných údajov SR zverejnil nedávno plán kontrol na rok 2015. Ktorí podnikatelia sa tento rok nachádzajú v jeho hľadáčiku a čo bude úrad u nich kontrolovať?
Kontrolu Vám musia oznámiť vopred, ale existujú aj výnimky
Ochrana osobných údajov je upravená v zákone č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon o ochrane osobných údajov“). Tento predpis sa zaoberá ochranou práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracovávaní ich osobných údajov, ako aj právami, povinnosťami a zodpovednosťou spracovávateľov osobných údajov (ďalej len „prevádzkovateľ“). Kontrolu nad dodržiavaním súladu spracovávania osobných údajov so zákonom o ochrane osobných údajov vykonávajú inšpektori Úradu na ochranu osobných údajov SR.
Úrad na ochranu osobných údajov SR je povinný vopred písomne oznámiť kontrolovanej osobe výkon kontroly vrátane predmetu a účelu kontroly. Výnimkou z písomného oznámenia o budúcej kontrole v predstihu je, ak by takéto oznámenie mohlo zapríčiniť zmarenie účelu kontroly alebo podstatné sťaženie výkonu kontroly. V tomto prípade postačuje oznámenie o kontrole až pri jej začatí. Ako výsledok kontroly sa vyhotovuje protokol o vykonaní kontroly, ktorý obsahuje zistenia vyplývajúce z kontroly alebo záznam o kontrole (ak neboli zistené žiadne nedostatky). Jeden exemplár protokolu o vykonaní kontroly alebo záznamu o kontrole sa vždy ponecháva podnikateľovi. Počas celého priebehu výkonu kontroly je podnikateľ povinný inšpektorom poskytovať požadovanú súčinnosť a vytvoriť im na výkon kontrolyvhodné podmienky.
Šesť základných oblastí ochrany osobných údajov, ktoré súvždy predmetom kontroly
V pláne kontrol na rok 2015 Úrad na ochranu osobných údajov SR uvádza, že pri každej kontrole a v každom segmente podnikania bude vykonávať aj tzv. všeobecné zisťovanie dodržiavania vybraných ustanovení zákona o ochrane osobných údajov. Predmet kontroly je uvedený veľmi všeobecne s odkazmi na dodržiavanie jednotlivých ustanovení zákona o ochrane osobných údajov. Všetky kontroly bez ohľadu na predmet podnikania však budú mať predmet kontroly zameraný na rovnakých šesť oblastí, ktoré Vám v nasledujúcich riadkoch trochu priblížime.
- Dodržiavanie všeobecných zásad spracovávania osobných údajov (§ 5 až 18 zákona o ochrane osobných údajov). Uvádza sa, že kontroly by sa mali vykonávať s dôrazom na dodržiavanie základných povinností prevádzkovateľa, existenciu primeraného právneho základu spracovávania osobných údajov, postup pri získavaní súhlasu dotknutej osoby so spracovaním jej osobných údajova likvidáciu jej osobných údajov.
- Povinnosť oznámiť informačný systém na spracovanie osobných údajov (§ 33 až 44 zákona o ochrane osobných údajov). Kontroly budú tiež zamerané aj na povinnosť podnikateľov oznamovať Úradu na ochranu osobných údajov SR informačný systém, v ktorom sa spracovávajú osobné údaje úplne alebo čiastočne automatizovaným spôsobom. Túto povinnosť si podnikateľ musí splniť ešte pred tým, než sa informačný systém vôbec začne používať. Osobitná registrácia informačného systému sa vyžaduje napríklad pri spracovávaní biometrických údajov. Na informačné systémy, na ktoré sa nevzťahuje oznamovacia povinnosť ani osobitná registrácia, sa vzťahuje povinnosť prevádzkovateľa viesť o nich evidenciu podľa vzoru zverejneného Úradom na ochranu osobných údajov SR.
- Plnenie povinností prevádzkovateľa a/alebo sprostredkovateľa (§ 8 zákona o ochrane osobných údajov). Ak prevádzkovateľ poverí spracovaním osobných údajov sprostredkovateľa, vyžaduje sa na to písomná zmluva, ktorá musí obsahovať presne stanovené náležitosti. Jednou z povinností sprostredkovateľa je povinnosť oboznámiť dotknutú osobu pri prvom kontakte s ňou, že spracováva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený účel. Ak prevádzkovateľ najskôr sám získava osobné údaje a ďalej ich prenecháva na spracovanie sprostredkovateľovi, je povinnosťou prevádzkovateľa túto skutočnosť tiež dotknutej osobe oznámiť.
- Zodpovednosť za bezpečnosť osobných údajov (§ 19 až 22 zákona o ochrane osobných údajov). Ďalšou oblasťou, ktorú budú inšpektori tento rok preverovať, je zodpovednosť prevádzkovateľa za bezpečnosť osobných údajov. Na tento účel je prevádzkovateľ povinný prijať primerané technické, organizačné a personálne opatrenia, aby zabránil poškodeniu, zničeniu, strate, zmene, neoprávnenému prístupu, sprístupneniu, poskytnutiu, zverejneniu alebo inému neprípustnému spôsobu spracovávania osobných údajov.
- Povinnosti prevádzkovateľa pri poverení zodpovednej osoby (§ 23 až 27 zákona o ochrane osobných údajov). Prevádzkovateľ, ktorý spracováva osobné údaje prostredníctvom svojich zamestnancov, môže poveriť výkonom dohľadu nad dodržiavaním zákonných povinností pri týchto činnostiach zodpovednú osobu. Novela zákona o ochrane osobných údajov účinná od 15. apríla 2014 zrušila povinnosť, kedy sa vyslovene vyžadovalo ustanovenie zodpovednej osoby, ak prevádzkovateľ spracovával údaje prostredníctvom 20 a viac zamestnancov. Zodpovedná osoba vykonávajúca dohľad nad spracovávaním údajov musí absolvovať skúšku na výkon tejto funkcie. Ustanovenie do funkcie zodpovednej osoby je prevádzkovateľ povinný do 30 dní oznámiť Úradu na ochranu osobných údajov SR. Ak prevádzkovateľ zodpovednú osobu neustanoví, povinne oznamuje informačný systém na spracovávanie osobných údajov Úradu na ochranu osobných údajov SR.
- Spôsob vybavovania uplatneného práva dotknutej osoby (§ 28 a 29 zákona o ochrane osobných údajov). Veľmi dôležitou oblasťou, na ktorú budú kontroly tiež zamerané, je spôsob uplatňovania práv dotknutých osôb, teda osôb, ktorých sa osobné údaje týkajú. Dotknutá osoba má právo od prevádzkovateľa vyžadovať napríklad potvrdenie o tom, či sú alebo nie sú osobné údaje o nej spracovávané, zoznam jej osobných údajov, ktoré sú predmetom spracovávania, informácie o zdroji, z ktorého sa spracovávané údaje získali, blokovanie jej osobných údajov, ak sa spracovávajú na základe jej súhlasu a ďalšie.
Ktorí podnikatelia môžu tento rok očakávať kontrolu a na čo bude v ich sektore konkrétne zameraná?
Úrad na ochranu osobných údajov SR vo svojom pláne kontrol na rok 2015 vymedzil niekoľko oblastí podnikania, v ktorých plánuje vykonávať tento rok kontroly intenzívnejšie. Ide o nasledujúce oblasti podnikania, pri ktorých bližšie špecifikujeme, na ktorú činnosť pri spracovávaní osobných údajov bude kontrola v roku 2015 primárne zameraná:
- Poskytovatelia marketingových služieb (reklamné agentúry) – spracovávanie osobných údajov na účely realizácie rôznych marketingových metód poskytovateľmi marketingových služieb s dôrazom na dodržiavanie zásad spracovávania osobných údajov;
- Poskytovatelia služieb tzv. telemarketingu (call centrá) –preverenie dodržiavania zákonných postupov pri spracovávaní osobných údajov klientov a zamestnancov pri vyhotovovaní zvukových záznamov telefonických rozhovorov;
- Poskytovatelia finančných služieb a poisťovacích služieb – spracovávanie rodného čísla pri overovaní identity dotknutej osoby v rámci telefonickej komunikácie alebo komunikácie realizovanej prostredníctvom on-line prostriedkov;
- Nákupné centrá, zábavné centrá a pohostinské zariadenia - monitorovanie priestorov prístupných verejnosti a spracovávanie osobných údajov nevyhnutných na ochranu práv a záujmov prevádzkovateľa pri zabezpečovaní bezpečnosti prevádzkovateľa prostredníctvom kamier vrátane ochrany práva na súkromie dotknutých osôb pri pohybe v monitorovanom priestore.
Zdroj: Úrad na ochranu osobných údajov Slovenskej republiky