NÁRODNÁ RADA SLOVENSKEJ REPUBLIKY

V. volebné obdobie

Materiál na rokovanie

Číslo: 10261/2011-Kp

Národnej rady

Slovenskej republiky

254

SPRÁVA O STAVE OCHRANY OSOBNÝCH ÚDAJOV

2009 – 2010

Návrh na uznesenie NR SR

Národná rada Slovenskej republiky

berie na vedomie

Správu o stave ochrany osobných údajov

Predkladá:

Mgr. Gyula Veszelei

predseda

Úradu na ochranu osobných údajov

Slovenskej republiky

máj 2011

Správa o stave ochrany osobných údajov za obdobie január 2009 až december 2010

Úrad na ochranu osobných údajov Slovenskej republiky na základe § 38 ods. 1

písm. o) zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov

predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov

najmenej raz za dva roky.

Predkladaná správa dokumentuje činnosť Úradu na ochranu

osobných údajov Slovenskej republiky od januára 2009 do decembra 2010.

Správa bude po prerokovaní v Národnej rade Slovenskej republiky zverejnená

na internetovej adrese Úradu na ochranu osobných údajov Slovenskej republiky

www.dataprotection.gov.sk a zároveň poskytnutá elektronickým a tlačovým médiám ako aj

verejnosti.

2

Obsah

Obsah ...................................................................................................................................................... 3

Príhovor predsedu .................................................................................................................................... 5

1. Úvo d ................................................................................................................................................ 8

1.1. Účel správy o stave ochrany osobných údajov ........................................................................ 8

1.2. Nadväznosť na predchádzajúce správy o stave ochrany osobných údajov ............................. 8

1.3. Novelizácie zákona o ochrane osobných údajo v ..................................................................... 8

2. Personálne zabezpečenie a rozpočet ................................................................................................ 8

2.1. Rozpočet úradu ........................................................................................................................ 9

3. Legi slatívno - právna, zahraničná a registračná činnosť ............................................................... 10

3.1. Medzirezortné pripomienkové konani e ................................................................................. 10

3.2. Príprava podkladov pre rozhodnutia II. stupňa konania ........................................................ 11

3.3. Sprístupňovanie informácií podľa zákona č. 211/ 2000 Z. z. o slobodnom prístupe k

informáciám ....................................................................................................................................... 11

3.4. COREPER 2 .......................................................................................................................... 11

3.5. Stanoviská a vyjadrenia Úrad u .............................................................................................. 12

3.6. Registrácia informačných systémov a registrácia zodpovedných osôb ................................. 12

3.6.1.

3.6.2.

Registrácia informačných systémov .............................................................................. 12

Registrácia zodpovedných osôb. ................................................................................... 13

3.7. Cezhraničný prenos osobných údajo v ................................................................................... 13

4. Aktivity vyplývajúce z medzinárodných akto v ............................................................................. 15

4.1. Činnosť pracovnej skupiny WP 29 – Brusel ......................................................................... 15

4.2. Činnosť Výboru zriadeného podľa článku 31 ....................................................................... 21

4.3. Činnosť Poradného výboru k Dohovoru 108 ........................................................................ 21

4.4. Dozorné orgány III. pilier a .................................................................................................... 22

Spoločný dozorný orgán Europolu (JSB Europol)........................................................ 22

Spoločný dozorný orgán schengenského informačného systému (SDO Schengen) ..... 24

Spoločný dozorný orgán Colného informačného systému (SDO Cu stoms).................. 25

Pracovná skupina pre políciu a spravodlivosť (WPPJ) ................................................. 26

Koordinačné porady pracovnej skupiny pre Eurodac .................................................... 27

Expertná schengenská hodnotiaca pracovná skupina (Sch -Eval).................................. 27

Aktivity na národnej úrovni ........................................................................................... 28

Úlohy vyplývajúce zo Schengenského akčného plánu (SAP )....................................... 29

4.5. Medzinárodné konferencie splnomocnencov na ochranu osobných údajov a súkromia ....... 31

4.6. Jarné konferencie európskych dozorných orgánov na ochranu osobných údajov ................. 31

4.7. Stretnutia splnomocnencov na ochranu osobných údajov strednej a východnej Európ y ...... 32

5. Lisabonská zmluv a ........................................................................................................................ 32

5.1. Analýza vplyvov Lisabonskej zmluvy .................................................................................. 33

5.1.1.

5.1.2.

Zákon č. 460/1992 Zb. Ústava Slovenskej republiky .................................................... 33

Zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov ..... 35

6. Inšpekčná činnosť a vybavovanie oznámen í ................................................................................. 35

6.1. Útvar inšpekcie ochrany osobných údajov ............................................................................ 35

6.2. Výkon dozoru nad ochranou osobných údajov v číslach ...................................................... 36

6.3. Celoslovenské kontrolné akcie Úrad u ................................................................................... 38

6.3.1.

Kontrola spracúvania osobných údajov u poskytovateľoch satelitnej a káblovej

Rezort zdravotníctva ...................................................................................................... 39

Pôrodnice ....................................................................................................................... 39

Kúpeľné zariadenia ........................................................................................................ 40

Kontroly u prevádzkovateľov, ktorých predmetom činnosti sú geodetick é .................. 41

Spracúvanie biometrických údajov na účely kontroly vstupu do objektov a evidencie

dochádzky...................................................................................................................................... 42

6.3.7. Kontroly spracúvania osobných údajov u prevádzkovateľov, ktorí poskytujú

„Zákaznícke karty“........................................................................................................................ 44

3

6.3.8.

vydavateľskou činnosťou .............................................................................................................. 45

6.3.9. Internetoví predajcovia .................................................................................................. 45

Kontroly spracúvania osobných údajov u prevádzkovateľov zaoberajúcich sa

6.3.10. Personálne agentúry ....................................................................................................... 46

6.3.11. Cestovné kancelárie ....................................................................................................... 48

6.3.12. Kontroly v rámci integrovaného záchranného systému................................................. 49

6.3.13. Centrá voľného čas u ...................................................................................................... 49

6.3.14. Bezpečnosť spracúvania osobných údajov na webových serveroch ............................. 50

6.4. Špeciálne akcie Úrad u ........................................................................................................... 51

6.4.1.

Akcie vykonané v súvislosti so vstupom Slovenskej republiky do Schengenského

priestoru. 51

6.5. Spolupráca útvaru inšpekcie s orgánmi dozoru v zahraničí .................................................. 52

6.5.1.

6.5.2.

Workshop inšpektorov v Brusel i ................................................................................... 52

Dvojstranné stretnutie českého a slovenského úradu na ochranu osobných údajov ...... 52

6.6. Prešetrovanie oznámení a podneto v ...................................................................................... 53

6.6.1. Zverejnenie menného zoznamu zamestnancov – pla titeľov ročného zúčtovania

poistného na nástenke .................................................................................................................... 53

6.6.2.

6.6.3.

6.6.4.

Neoprávnené spracúvanie osobných údajov sprostredkovateľom poistného ................ 54

Zverejňovanie osobných údajov pri verejných draţbách. ............................................. 54

Zavedenie kontrolného mechanizmu na sledovanie zamestnanca počas pracovnej doby

bez predchádzajúceho písomného upozorn enia ............................................................................ 55

6.6.5. Vyţadovanie rodného čísla a rodného mena do informačného systému „Kniha

ubytovaných“ v ubytovacom zariadení ......................................................................................... 56

6.6.6. Získavanie osobných údajov nad rámec účelu a bez písomného poverenia

sprostredkovateľa prevádzkovateľom ........................................................................................... 57

6.6.7.

6.6.8.

6.6.9.

Údaje z evidencie motorových vozidiel ........................................................................ 57

Čierny pasaţie r .............................................................................................................. 59

Únik údajov z informačného systému prevádzkovateľa ................................................ 60

6.6.10. V ymáhanie leasingových spláto k .................................................................................. 61

6.6.11. Sprístupňovanie údajov podľa zákona o slobode informácií ......................................... 62

6.6.12. Cirkev v postavení prevádzkovateľa ............................................................................. 63

7. Internetová stránka Úradu – www.dataprotection.gov.sk ............................................................. 66

7.1. Vymedzenie obsahu internetovej stránky Úradu ................................................................... 66

7.2. Návštevnosť webového sídla ................................................................................................. 67

8. Komunikácia s médiami ako nástroj informovania verejnosti ...................................................... 69

8.1. Ďalšie aktivity Úradu ako súčasť propagáci e ........................................................................ 70

9. Záver .............................................................................................................................................. 71

10. Zoznam skratiek ............................................................................................................................ 73

10.1.

Ostatné skrátenia: .............................................................................................................. 75

11. Príloha – Organizačná štruktúra Úradu ......................................................................................... 76

4

Príhovor predsedu

Úrad od svôjho vzniku uţ siedmykrát predkladá Správu o stave ochrany osobných

údajov v Slovenskej republike Národnej rade Slovenskej republiky. Táto povinnosť mu

vyplýva zo zákona a robí to v dvojročných intervaloch.

Správa poskytuje prehľad o výkone dozoru nad ochranou osobných údajov za obdobie

kalendárnych rokov 2009-2010. Informuje zákonodarný orgán a súčasne aj verejnosť o svojej

činnosti, resp. o pracovných výsledkov jednotlivých organizačných útvarov - menovite útvaru

inšpekcie, útvaru legislatívno-právneho a registra, zahraničných vzťahov i styku

s verejnosťou.

Je treba na úvod povedať, ţe počas takmer celého uplynulého dvojročného obdobia

plnil Úrad svoje úlohy v rámci výkon nezávislého dozoru nad ochranou osobných údajov za

veľmi ťaţkých a stále sa zhoršujúcich podmienok. Jeho rozpočet bol od roku 2008 neustále

zniţovaný, čo v roku 2010 predstavovalo uţ o 23 percent niţší prídel finančných zdrojov

oproti predchádzajúcemu obdobiu.

Obmedzenia, ktoré si zhoršená finančná situácia vynútila, sa okrem iného dotýkali

účasti zástupcov Úradu na zasadnutiach pracovných skupín a podskupín, zriadených podľa

Smernice 95/46/ES o ochrane jednotlivcov pri spracúvaní osobných údajov a ich voľnom

pohybe, ktoré sa spravidla konajú v Bruseli, ďalej účasti na rôznych odborných konferenciách

splnomocnencov v zahraničí, workshopoch a ťaţko postrádateľnej a veľmi často poţadovanej

spolupráce medzi partnerskými úradmi členských štátov Európskej únie, ako aj inými štátmi.

Redukovaný rozpočet prinútil Úrad aj k obmedzeniu inšpekčnej činnosti a kontrôl, a to

či uţ u domácich prevádzkovateľov informačných systémov alebo aj v rámci dozoru nad

Shengenským informačným systémom, ktorý vyplýva pre Úrad z medzinárodných záväzkov

Slovenskej republiky ako členského štátu EÚ a Schengenského priestoru.

Nedostatok financií sa veľmi citeľne premietol aj do oblasti odmeňovania

zamestnancov a narušil zotrvanie najmä kľúčových zamestnacov na Úrade, a to krátko po

tom, ako sa konečne podarilo pozastaviť pomerne vysokú fluktuáciu zamestnacov, čo Úradu

dlhé roky znemoţňovalo výkonávanie odborne náročnej práce. Tento problém vyvstáva

znova, a v prípade malých odborných organizačných útvarov vedie k zablokovaniu ich

činnosti a následne činnosti celého Úradu. To sa môţe odraziť nielen v obmedzenej

funkčnosti vo vnútroštátnom meradle, ale aj pri plnení úloh vyplývajúcich z medzinárodných

záväzkov.

Terajšia Správa o stave o stave ochrany osobných údajov v Slovenskej republike z

vyššie uvedených dôvodov - oproti predchádzajúcim správam, neobsahuje prieskum verejnej

mienky v oblasti ochrany osobných údajov, v ktorom sa spravidla veľmi zaujímavo

odzrkalila, okrem iného, aj úroveň a vývoj informovanosti verejnosti o tejto problematike.

Absencia prieskumu tak po prvýkrát narušuje kontinuitu, čo povaţujeme za veľkú škodu.

Pokiaľ ide o jednotlivé činnosti hodnoteného obdobia, Úrad riešil v rámci svojich

mzdových a personálnych moţností predovšetkým úlohy, ktoré mu určuje zákon. Popritom sa

podieľal na plnení záväzkov, vyplývajúcich pre Slovenskú republiku z medzinárodných

zmlúv, ktoré sa dotýkajú oblasti ochrany osobných údajov - ako napr. z Dohody o Schengene,

a iných dohôd či zmlúv súvisiacich s členstvom Slovenskej republiky v Európskej únii.

Poskytoval tieţ súčinnosť a inú odbornú pomoc rezortom, ďalším orgánom ako aj

partnerským úradom v zahraničí.

5

Pokiaľ ide o prípady porušovania zákona o ochrane osobných údajov a osobitných

zákonov, riešené v rámci inšpekčnej činnosti, najčastejšie dochádzalo k porušovaniu pri

monitorovaní priestorov kamerami, pri úniku osobných údajov z informačných systémov,

neoprávneným zverejnením osobných údajov zo strany prevádzkovateľov, kopírovaním

dokladov, prepoistením bez vedomia poistenca, neoprávneným nakladaním s dokumentáciou,

či vyţadovaním osobných údajov nad rámec účelu.

V poslednom období stúpa počet dotknutých osôb, ktoré si uplatňujú svoje práva na

ochranu osobných údajov podaním oznámenia na Úrad, ale v značnom počte sú evidované aj

prípady porušenia zákona prostredníctvom podnetov iných fyzických či právnických osôb neţ

samotných dotknutých osôb

Legislatívno-právny útvar v hodnotenom období v rámci medzirezortného

pripomienkovania prijal a preskúmal 266 návrhov všeobecne záväzných právnych predpisov z

rôznych rezortov. Vyuţíva pritom sluţby internetového Portálu právnych predpisov. Útvar

spravoval a viedol evidenciu registra informačných systémov a zodpovedných osôb.

V rámci zahraničných úloh a aktivít sa zástupcovia Úradu povinne zúčastňujú

zasadnutí európskych orgánov, zriadených podľa Smernice 95/46/ES, ako sú pracovné

skupiny zriadené podľa článku 29 a 31, pracovné skupiny pre spoluprácu polície, justičných a

colných orgánov a dozorné orgány JSB Europol, JSA Schengen a JSA Customs, ďalej

zasadnutí konzulatívneho výboru zriadeného v súlade s článkom 18 Dohovoru Rady Európy

č.108. Tieto zahraničné sluţobné cesty boli pre nedostatok financií v polovici roka 2010

dočasne zastavené a neskôr značne obmedzené.

Medzi ďalšie aktivity Úradu patria konferencie splnomocnencov úradov na ochranu

osobných údajov jednotlivých európskych štátov či svetové konferencie, na ktoré však Úrad

pre nedostatok finančných prostriedkov nemohol vyslať zástupcov. Takýto stav vedie

k značnej izolácii Úradu po odbornej stránke, ako aj po stránke udrţiavania a rozvíjania

vzájomných vzťahov s partnerskými organizáciami a v neposlednom rade zniţuje jeho

prestíţ.

Moţno konštatovať, ţe sa zvýšil aj záujem verejnosti o oblasť ochrany osobných

údajov, čo vidieť jednak z počtu doručených otázok a jednak z mnoţstva ţiadostí o

konzultáciu adresovaných Úradu. Treba ale povedať, ţe hoci Úradu takáto povinnosť zo

zákona nevyplýva, vykonával túto činnosť z vlastnej iniciatívy a uváţenia vzhľadom na veľký

záujem, ale iba v rámci svojich moţností - najmä personálnych kapacít. V hodnotenom

období však bol Úrad nútený tieto, inak veľmi ţiadané a účinné, sluţby značne obmedziť.

Zamestnanci Úradu sa v roku 2009 zúčastnili, vzhľadom na nedostatok financií, iba

jednej kontroly na zastupiteľskom úrade SR v zahraničí., kde sa zamerali na postup pri

vybavovaní vízových ţiadostí a dodrţiavanie príslušných ustanovení zákona.

Úrad sa podielal aj na pripomienkovaní právnych aktov pre COREPER II.

Styk s verejnosťou, okrem vybavovania rôznych podaní, bol realizovaný aj

prostredníctvom masovokomunikačných prostriedkov - televízie, rozhlasu a tlače. Informácie,

ako odborné články k najaktuálnejším ustanoveniam zákona, materiály z rokovaní

zahraničných pracovných skupín, výročné správy, tlačové správy, informácie o inšpekčnej

činnosti, legislatíve, cezhraničnom toku osobných údajov, pokyny pre prevádzkovateľov

informačných systémov – nahlasovanie zodpovedných osôb, či registrácia informačných

systémov a pod. Úrad zverejňoval na svojej internetovej stránke.

6

Úrad na propagáciu ochrany osobných údajov vyuţíval len tie najmenej nákladné

spôsoby, ako je účasť zamestnancov Úradu pri rôznych rozhovoroch v televízi, rozhlase a na

iných odborných a spoločenských podujatiach. Podielal sa na akciách v oblasti ochrany

osobných údajov detí a mladých ľudí spolu s občianskymi zdruţeniami.

Úrad pripravil návrh novely zákona č. 428/2002 Z. z. o ochrane osobných údajov v

jeho platnom znení s cieľom vniesť vyššiu úroveň implementácie aktuálnej európskej

legislatívy do národného zákona, ako aj spresniť a sprecizovať niektoré pojmy a ustanovenia

zákona na základe skúseností z doterajšej aplikačnej praxe. Po absolvovaní medzirezortného

pripomienkového konania bude návrh novely zákona v priebehu mesiaca marca 2011

predloţený Legislatívnej rade vlády Slovenskej republiky.

Návrhovaná zmena zákona, okrem iného, chce predísť prípadným zbytočným

výhradám k niektorým nedostatkom platnej právnej úpravy pri hodnotení a previerke

Slovenskej republiky misiou SCH-EVAL v priebehu roka 2012, ktorá má mimoriadne prísne

hodnotiace kritériá, najmä pokiaľ ide o zabezpečenie účinného a nezávislého dozoru nad

ochranou osobných údajov vo všeobecnosti ako aj vo vzťahu k Schengenskému

informačnému systému.

Úrad pri plnení úloh a realizovaní rôznych činností, napriek z rozpočtu vyplývajúcich

finančných problémov, hľadal a presadzoval cestu k čo najlepšiemu zabezpečeniu dozoru nad

ochranou osobných údajov. Prioritne sledoval záujem občanov – fyzických osôb pri ochrane

ich súkromia s uplatnením primeraného prístupu vo vzťahu k prevádzkovateľom

informačných systémov. Pri svojej práci Úrad vyuţíval a uprednostňoval preventívny prístup,

a preto pri zistení porušenia zákona väčšinou vyuţíval inštitút opatrení na nápravu. Finančné

sankcie a poriadkové pokuty ukladal len pri závaţnejších alebo opakovaných porušeniach

povinností.

Gyula Veszelei

predseda

7

1. Úvod

1.1. Účel správy o stave ochrany osobných údajov

Predkladaná správa o stave ochrany osobných údajov (ďalej ako „Správa“) si v zmysle

§ 38 ods. 1 písm. o) zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších

predpisov (ďalej ako „zákon č. 428/2002 Z. z.“) kladie za cieľ informovať Národnú radu

Slovenskej republiky (ďalej ako „Národná rada SR“) a taktieţ občanov Slovenskej republiky

o vývoji v oblasti ochrany osobných údajov za uplynulé hodnotené obdobie – od 1. januára

2009 do 31. decembra 2010 (ďalej ako „hodnotené obdobie“).

1.2. Nadväznosť na predchádzajúce správy o stave ochrany osobných

údajov

Predkladaná Správa je uţ siedmou správou o stave ochrany osobných údajov vydanou

od 1. 3. 1998, kedy nadobudol účinnosť zákon č. 52/1998 Z. z. o ochrane osobných údajov

v informačných systémoch (ďalej ako „zákon č. 52/1998 Z. z.“). Správy sa predkladajú

v dvojročnej periodicite.

Predchádzajúca šiesta správa o stave ochrany osobných údajov Úradu sa týkala

obdobia od 1. januára 2007 do 31. decembra 2008. Bola predloţená Národnej rade SR v máji

2009. Správu prerokoval Výbor pre ľudské práva, národnosti a postavenie ţien 17. 6. 2009 a

hlasovaním pléna Národnej rady SR bola vzatá na vedomie.

1.3. Novelizácie zákona o ochrane osobných údajov

V minulom období bola ochrana osobných údajov upravená zákonom

č. 428/2002 Z. z. Tento zákon bol Národnou radou SR prijatý dňa 3. 7. 2002 a nadobudol

účinnosť 1. 9. 2002.

Účinnosťou zákona č. 428/2002 Z. z. vstúpilo do platnosti aj prechodné ustanovenie

§ 52 ods. 2, podľa ktorého „prevádzkovatelia, ktorí spracúvajú osobné údaje na základe

osobitného zákona, ktorý neustanovuje náleţitosti podľa § 7 ods. 3, 5, 6 alebo podľa § 9

ods. 1 písm. a), môţu osobné údaje spracúvať v rozsahu nevyhnutnom na dosiahnutie

ustanoveného účelu spracúvania bez súhlasu dotknutých osôb do 31. decembra 2003.“

Predmetné ustanovenie bolo novelizované zákonom č. 602/2003 Z. z., ktorý lehotu

posunul na 31. december 2005.

Od roku 2002 bol zákon č. 428/2002 Z. z. novelizovaný štyrikrát, a to zákonmi

č. 602/2003 Z. z., č. 576/2004 Z. z., č. 90/2005 Z. z. a č. 583/2008 Z. z.. Posledný proces

novelizácie bude ukončený do konca roka 2011.

2. Personálne zabezpečenie a rozpočet

Na čele Úradu stojí predseda, ktorý je do funkcie volený Národnou radou SR, v jeho

neprítomnosti ho zastupuje podpredseda. Na výkon kontrolnej činnosti sú do funkcie

menovaní vládou SR inšpektori a vrchný inšpektor, ktorý riadi ich činnosť. Ostatní

zamestnanci Úradu vykonávajú odborné činnosti v zmysle zákona o ochrane osobných údajov

a prevádzkové činnosti.

Úrad mal v roku 2009 stanovený počet zamestnancov 43 pracovníkov, mzdové

prostriedky na obsadenie týchto miest však nedostal v poţadovanom rozsahu. Uvedený počet

8

zahŕňal 6 miest vo výkone práce vo verejnom záujme a 37 miest v zmysle zákona č. 400/2009

Z. z. o štátnej sluţbe a o zmene a doplnení niektorých zákonov. V priebehu roka mal Úrad

obsadených 35 miest – vrátane predsedu, podpredsedu, vrchného inšpektora a dvoch

inšpektorov. Voľné miesta sa Úrad snaţil obsadiť realizáciou výberových konaní.

V priebehu roka 2009 ministerstvo financií predloţilo Úradu návrh rozpočtu na rok

2010, v ktorom avizovalo odobratie ôsmich pracovných miest. Napriek nárastu povinností

Úradu plynúcich z medzinárodných záväzkov SR, bol rozpočet a počet zamestnancov

v podobe, ako ho ministerstvo financií navrhlo, schválený vládou a národnou radou.

K 31. 12. 2010 mal Úrad 34 zamestnancov, z toho dve zamestnankyne čerpali

rodičovskú dovolenku. Na Úrade pracovalo 29 zamestnancov v štátnej sluţbe a 6

zamestnancov vo výkone práce vo verejnom záujme. Aţ 83 percent zamestnancov na Úrade

má vysokoškolské vzdelanie, ostatní zamestnanci majú úplné stredoškolské vzdelanie. Z

hľadiska veku je na Úrade 26 percent zamestnancov vo veku do 35 rokov, 32 percent

zamestnancov vo veku od 36 – 50 rokov, 24 percent zamestnancov vo veku od 50 do 60

rokov a vo veku nad 60 rokov je 18 percent zamestnancov.

Pri obsadzovaní miest v odborných útvaroch na výkon dozoru nad ochranou osobných

údajov je predpokladom vysokoškolské vzdelanie II. stupňa – najlepšie so zameraním na

právo alebo informatiku, na niektorých pracovných pozíciách je nevyhnutné ovládať anglický

jazyk aj s odbornou právnou terminológiou.

Z dôvodu malého počtu zamestnancov sa pracovné miesta na úrade vyznačujú

kumuláciou úloh a zodpovedností z viacerých oblastí a uţ dlhodobejšia neprítomnosť

zamestnanca na pracovisku má dopad na plynulý chod úradu.

2.1. Rozpočet úradu

K 1. 1. 2009 bol Úrad zaradený do rozpočtovej kapitoly Všeobecná pokladničná správa,

ktorej správcom je ministerstvo financií. V roku 2009 hospodáril Úrad s rozpočtom vo výške

945 828 EUR. Prehľad rozpočtu Úradu na roky 2009 a 2010 je uvedený tabuľke.

2009

2010

Rozpočet celkom

V tom

945 828 728 696

Platy

479 254 398 576

179 349 149 351

254 582 174 769

27 000

poistné a odvody

Tovary a sluţby

kapitálové výdavky

20 348 47 348

prenesené z minulých rokov

V súvislosti s úsilím vlády SR o celoplošné šetrenie vo verejnej správe bol na návrh

ministerstva financií rozpočet Úradu na rok 2010 oproti roku 2009 zníţený o 23 percent.

9

Rozpočtované výdavky na mzdy postačovali pri existujúcom stave zamestnancov len na desať

kalendárnych mesiacov. Vzhľadom na to, ţe navýšenie rozpočtu Úradu nemalo podporu zo

strany ministerstva financií a ani vlády, Úrad riešil situáciu pozastavením účasti

zamestnancov v pracovných skupinách EÚ a obmedzil vykonávanie činností v rámci dozoru.

Deficit v mzdových prostriedkoch pokryl Úrad presunom finančných prostriedkov

z kapitálových výdavkov Úradu prenesených z minulých rokov rozpočtovým opatrením,

o ktoré poţiadal ministerstvo financií.

Na rok 2011 bol rozpočet Úradu schválený vo výške 684 349 EUR. Pri takto

zníţenom rozpočte Úrad na rozdiel od veľkých organizácií uţ nevie nájsť ďalšie moţnosti

šetrenia bez toho, aby sa to dotklo plnenia úloh v oblasti výkonu dozoru a medzinárodných

záväzkov a v konečnom dôsledku aj občanov, ktorí sa na Úrad s dôverou obracali.

3. Legislatívno - právna, zahraničná a registračná činnosť

Zásady ochrany osobných údajov pre krajiny Európskej únie vyplývajú z ustanovení

prijatých medzinárodných právnych aktov a to najmä z článku 8 Charty základných práv

Európskej únie, z článku 39 Zmluvy o Európskej únii, z článku 16 Zmluvy o fungovaní

Európskej únii ale aj z Dohovoru Rady Európy o ochrane jednotlivcov pri automatizovanom

spracovaní osobných údajov (Dohovor 108). Na sekundárnej úrovni zo smernice Európskeho

parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní

osobných údajov a voľnom pohybe týchto údajov a z rámcového rozhodnutia Rady

2008/977/SVV o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej

spolupráce.

Zásady spracúvania osobných údajov ukladajú povinnosti prevádzkovateľom

informačných systémov, v ktorých spracúvajú osobné údaje a zároveň deklarujú práva

fyzických osôb.

V Slovenskej republike sú základné práva súvisiace s ochranou osobných údajov

zakotvené v článku 19 ods. 3 Ústavy Slovenskej republiky „Kaţdý má právo na ochranu pred

neoprávneným zhromaţďovaním, zverejňovaním alebo iným zneuţívaním údajov o svojej

osobe“, ako aj zákonom č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších

predpisov.

Úrad

v hodnotenom

období

zabezpečoval

plnenie

úloh

súvisiacich

s pripomienkovaním právnych aktov, ktoré predkladali organizácie exekutívy v zmysle

legislatívneho plánu úloh vlády SR, stanoviská k dokumentom k rokovaniam COREPER 2,

vykonával registrácie zodpovedných osôb a registrácie informačných systémov, spracovanie

odpovedí fyzickým a právnickým osobám súvisiacich s otázkami v oblasti práv dotknutých

osôb ako aj povinností právnických osôb v oblasti spracúvanie osobných údajov. Ďalej

spracúvanie vyjadrení a vydanie rozhodnutí k cezhraničnému prenosu osobných údajov.

Útvar zabezpečoval aj plnenie úloh súvisiacich so zastupovaním Slovenskej republiky

v pracovných skupinách Európskej únie, a to v pracovnej skupine WP 31, WP 29 a zároveň

v jej podskupinách, vo výbore dohovoru 108 v Štrasburgu ako aj v pracovných skupinách

zriadených pre agendu tretieho piliera – policajná a justičná spolupráca v Bruseli.

3.1. Medzirezortné pripomienkové konanie

Medzirezortné pripomienkové konanie je ťaţisková oblasť práce Útvaru legislatívno –

právneho v oblasti ochrany osobných údajov. V hodnotenom období prešlo pripomienkovým

konaním celkom 266 návrhov všeobecne záväzných právnych noriem prakticky z kaţdého

rezortu štátnej správy. Úrad ako povinne pripomienkujúci štátny orgán v tejto oblasti uţ

v uplynulom období plne vstúpil do povedomia všetkých rezortov Slovenskej republiky.

10

Od júna roku 2008 je v prevádzke Portál Právnych Predpisov, ktorý automaticky

notifikuje povinne pripomienkujúce subjekty a subjekty vybrané gestorom. Portál Právnych

Predpisov umoţňuje elektronické odosielanie pripomienok ako aj vyhodnocovanie

medzirezortného pripomienkového konania, či sledovanie materiálu počas celého

legislatívneho procesu.

V rámci legislatívnych činností Úrad podal k návrhom právnych aktov 34 zásadných

pripomienok a 2 ďalšie pripomienky ako odporučenie. Všetky tieto pripomienky sa

v prevaţnej miere týkali zosúladenia legislatívy s ustanovením odseku 3 (súhlas dotknutej

osoby – osobitný zákon) § 7 zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení

neskorších predpisov.

Okrem týchto pripomienok bolo vo viacerých návrhoch právnych noriem odporúčané

zosúladiť pojmy s legislatívou ochrany osobných údajov ako aj rešpektovať zásady

vyplývajúce z práva na ochranu osobných údajov.

3.2. Príprava podkladov pre rozhodnutia II. stupňa konania

Neoddeliteľnou súčasťou činností patriacich do náplne práce pracovníkov odboru

legislatívno-právneho je príprava podkladov pre rozhodnutia predsedu o námietkach proti

vydaným opatreniam ako aj pre rozhodnutia predsedu o rozkladoch proti rozhodnutiam

o pokute uloţenej prevádzkovateľovi alebo sprostredkovateľovi. V hodnotenom období

predseda rozhodoval v druhom stupni v 32 prípadoch.

3.3. Sprístupňovanie informácií podľa zákona č. 211/ 2000 Z. z.

o slobodnom prístupe k informáciám

Úrad ako povinná osoba v zmysle zákona č. 211/2000 Z. z. o slobodnom prístupe

k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií)

v hodnotenom roku 2009 prijal sedem a v roku 2010 prijal 16 ţiadostí na sprístupnenie

informácií. Ţiadosti o sprístupnenie informácií sa v prevaţnej miere týkali poskytnutia kópií

rozhodnutí vydaných v konaniach Úradu pri výkone dozoru nad ochranou osobných údajov,

rôznych súhrnných počtov týkajúcich sa riešených prípadov, výsledkov prešetrených

oznámení a informácií týkajúcich sa vnútornej správy Úradu.

Celkovo v dvoch prípadoch Úrad vydal rozhodnutie, v ktorom ţiadateľovi sčasti

nesprístupnil ţiadané informácie a v jednom prípade bol následne proti rozhodnutiu

o nesprístupnení informácií podaný opravný prostriedok. Predseda úradu ako odvolací orgán

podaný opravný prostriedok zamietol a rozhodnutie o nesprístupnení informácií potvrdil.

3.4. COREPER 2

COREPER z franc. Comité des Représentants Permanents, znamená Výbor stálych

zástupcov. Hlavnou úlohou je poskytovať asistenciu členským štátom pri príprave európskej

legislatívy v rámci rokovaní Rady a pri udrţiavaní kontaktov s ostatnými inštitúciami

Európskej únie.

COREPER 2 je zloţený z veľvyslancov stálych misií. Do jeho kompetencie spadajú

politicky a ekonomicky významnejšie časti agendy, ako napríklad zahraničné vzťahy, či

inštitucionálne otázky. COREPER 2 pripravuje materiály na zasadanie Európskej rady.

V hodnotenom roku 2009 nebolo potrebné zo strany Úradu k jednotlivým zasadnutiam

COREPER 2 vypracovať ţiadnu inštrukciu. V súvislosti s inštrukciami iných gestorov však

bol Ministerstvom vnútra SR Úrad dvakrát doţiadaný o poskytnutie súčinnosti

na vypracovanie stanoviska k bodu agendy týkajúcej sa Štokholmského programu.

11

V hodnotenom roku 2010 Úrad poskytol konzultácie k otázkam súvisiacich s PNR, k

mandátu pracovnej skupiny k začatiu rokovania medzi EÚ a USA, ako aj k právnemu rámcu

ochrany osobných údajov, z ktorého sa bude vychádzať pri uzatváraní zmlúv medzi EÚ

a USA.

3.5. Stanoviská a vyjadrenia Úradu

Súčasťou práce Úradu v legislatívno-právnej oblasti bolo aj riešenie otázok verejnosti

k problematike ochrany osobných údajov. V roku 2009 bolo Úradu doručených 674 otázok,

v roku 2010 to bolo 467. Otázky v oblasti ochrany osobných údajov boli Úradu postúpené tak

od prevádzkovateľov ako aj od dotknutých osôb.

Bez zákonného vymedzenia práv a povinností pre túto oblasť, bez kontaktu Úradu

s problémami, ktoré sú týmito otázkami naznačené, by nebolo moţné uvádzať do ţivota

ochranu osobných údajov, ktorá je nedeliteľnou súčasťou ochrany súkromia občana

v demokratickej spoločnosti.

Najčastejšie riešené okruhy otázok sa však oproti minulosti nezmenili a naďalej sa

týkali prevaţne oblastí:

– Spracúvanie osobných údajov v rôznych odvetviach (najmä zdravotníctvo a verejná

správa).

– Súhlas so spracúvaním osobných údajov.

– Povinnosti prevádzkovateľa, najmä povinnosť registrácie a evidencie.

– Bezpečnosť osobných údajov.

– Rodné číslo a jeho spracúvanie.

– Monitorovanie priestorov kamerovým systémom v školských zariadeniach, na

pracoviskách a verejne prístupných priestoroch.

– Kopírovanie osobných a úradných dokladov.

– Povinnosti zodpovednej osoby.

– Zverejnenie platov pedagogických pracovníkov .

– Prístup k informáciám o odmenách fyzických osôb poskytovaných v rámci mandátnej

zmluvy a pod.

Okrem písomných odpovedí poskytli pracovníci odboru legislatívno-právneho celý rad

odpovedí cez telefón (niekoľko denne) prípadne aj osobne na konzultáciách poskytnutých

viacerým prevádzkovateľom a dotknutým osobám najmä v priestoroch Úradu.

3.6. Registrácia informačných systémov a registrácia zodpovedných osôb

3.6.1. Registrácia informačných systémov

Podmienky registrácie informačných systémov, v ktorých sa spracúvajú osobné údaje

ako aj spôsob ich registrácie upravujú znenia paragrafov §25, §26, §27, a §28 zákona

č. 428/2002 Z. z. Úrad registráciu informačných systémov vykonáva bezodplatne.

V hodnotenom období bolo úradu doručených 450 formulárov ako ţiadosti

o registráciu informačných systémov či ţiadosti o zmenu v registrácii. Zaregistrovaných bolo

77 informačných systémov podľa §25. Osobitnej registrácii podliehalo 10 registrácií

informačných systémov. Konečný stav počtu registrácií podľa § 25 bol ku koncu minulého

roka 246 a osobitne zaregistrovaných bolo 64 informačných systémov.

12

3.6.2. Registrácia zodpovedných osôb.

Ďalšia z povinnosti pre prevádzkovateľa, súvisiaca s dohľadom nad ochranou

osobných údajov, je obsiahnutá v odseku 2 § 19 zákona č. 428/2002 Z. z. Je to povinnosť

písomne poveriť zodpovednú osobu, ktorá dozerá na dodrţiavanie zákonných ustanovení pri

spracúvaní osobných údajov. Úrad vedie register zodpovedných osôb, v ktorom eviduje ku

koncu roka 2010 celkom 43 620 spisov zodpovedných osôb nahlásených jednotlivými

prevádzkovateľmi informačných systémov. V roku 2009 pribudlo 1034 nových oznámení

o poverení zodpovednej osoby alebo jej zmene. V roku 2010 pribudlo 1020 nových oznámení

o poverení zodpovednej osoby.

3.7. Cezhraničný prenos osobných údajov

Súčasťou pracovnej agendy referátu zahraničných vzťahov je problematika

cezhraničného prenosu osobných údajov. Úrad vydáva v súlade s § 23 odsek 7 a odsek 10

zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov

rozhodnutia o súhlase s prenosom osobných údajov do tretích krajín, ktoré nezaručujú

primeranú úroveň ochrany osobných údajov. Európska komisia na základe predloţených

záverov hodnotiacich správ z expertných pracovných skupín vydáva rozhodnutia

o primeranosti ochrany osobných údajov v danej krajine.

Pri posudzovaní primeranosti ochrany osobných údajov sa skúma úroveň miestnej

legislatívy, a to existencia príslušných právnych aktov, vymoţiteľnosť práva dotknutou

osobou, povinnosti prevádzkovateľa ako aj zásady spracúvanie osobných údajov podľa

smernice 95/46/EHS. V oblasti inštitucionálnej sa skúma postavenie nezávislej národnej

dozornej autority, jej právomoci a kompetencie. Európska komisia v hodnotenom období

vydala rozhodnutia o primeranosti úrovne ochrany osobných údajov pre krajiny Uruguaj,

Andorra a Izrael.

Do krajín, ktoré nezaručujú primeranú úroveň osobných údajov sa uskutočňuje prenos

osobných údajov na základe príslušných rozhodnutí Európskej komisie (napr. Safe Harbor,

Štandardné zmluvné doloţky, alebo alternatívnou aplikáciou príslušného ustanovenia článku

26 odsek 2 smernice 95/46/ES (napríklad prijatím záväzných podnikových pravidiel – BCR).

Úrad vydáva v súlade so znením § 23 odsek 7 zákona č. 428/2002 Z. z. o ochrane

osobných údajov v znení neskorších predpisov rozhodnutia o súhlase s prenosom osobných

údajov do tretích krajín nezaručujúcich primeranosť úrovne ochrany osobných údajov.

V súlade s § 23 odsek 2 zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení

neskorších predpisov. „Primeranosť úrovne ochrany osobných údajov sa hodnotí na základe

všetkých okolností súvisiacich s prenosom. Osobitne sa pritom posudzujú príslušné právne

predpisy v cieľovej krajine vo vzťahu k povahe osobných údajov, účel a trvanie ich

spracúvania“.

Úrad vydal v hodnotenom období 17 rozhodnutí o súhlase s cezhraničným prenosom

osobných údajov. Súhlas s cezhraničným prenosom osobných údajov do tretích krajín ţiadali

prevádzkovatelia so sídlom v Slovenskej republike, ktorí prevaţne patrili do nadnárodných

holdingových spoločností. Osobné údaje sa týkali najmä zamestnancov, klientov

a obchodných partnerov prevádzkovateľa. Účelom prenosu bolo efektívne riadenie ľudských

zdrojov, spracovanie agendy vyplývajúcej z pracovnoprávnych vzťahov a globálne riadenie

obchodných činností v rámci holdingu. Príjemcom údajov boli subjekty so sídlom v USA,

Indii, Juţnej Afrike.

13

V hodnotenom období referát zahraničných vzťahov vydal viac ako 50 vyjadrení

k otázkam, ktoré predloţili prevádzkovatelia informačných systémov, respektíve advokátske

kancelárie zastupujúce prevádzkovateľov informačných systémov.

Otázky sa týkali väčšinou podmienok, ktoré musí vývozca údajov splniť pri prenose

osobných údajov do USA v rámci Safe Harboru, alebo cezhraničného prenosu osobných

údajov do tretích krajín nezaručujúcich primeranú úroveň ochrany. Ďalej otázky súvisiace s

cezhraničným prenosom osobných údajov do krajín ako Nórsko, Island a Lichtenštajnsko

(krajiny EHP), ale aj s prenosom v rámci Európskej únie.

Ďalšie otázky sa týkali podmienky súhlasu dotknutých osôb s prenosom ich osobných

údajov, ale aj povinností prevádzkovateľa/sprostredkovateľa, čo sa týka poţiadaviek na

bezpečnostné opatrenia. Predmetom vyjadrení boli aj odpovede na otázky týkajúce sa prenosu

osobných údajov súvisiacich so spracovaním pracovnoprávnej agendy a rozvojom ľudských

zdrojov, medzinárodné prenosy na účely whistleblowingu ako aj spracovanie osobných

údajov klientov prevádzkovateľa.

Prehľad údajov je v nasledujúcej tabuľke.

Tabuľka č. 1

Útvar Legislatívno-právny útvar a zahraničných vzťahov – 2009-2010

Názov

2009 počet 2010

2009-10 spolu

Pripomienkové konania (MPK)

Zásadné pripomienky k MPK

181

19

85

15

266

34

Vyjadrenia k otázkam od dotknutých

674

467

1141

osôb a prevádzkovateľov

Rozhodnutia v II. stupni konania

7

6

7

25

11

16

32

17

23

Rozhodnutia o cezhraničnom prenose

Sprístupnenie informácii podľa

zákona č. 211/2000 Z. z.

Rokovania WP 29 (Brusel)

5

4

9

Pracovné dokumenty k rokovaniu

279

265

544

WP 29

Podskupiny WP 29 – rokovania

Prijaté stanoviská WP 29

Rokovania WP 31

11

1

5

11

1

16

22

2

Tretí pilier – kontroly a konzultácie

7

6

13

v SR

Spoločné dozorné orgány 3. pilier;

5

3

8

WP

Sch-Eval

4

3

2

7

6

5

Koordinačné stretnutia EURODAC

Výbor k Dohovoru 108; WP

(Štrasburg)

COREPER II

Týţdenne

DAPIX

Dvojstranné rokovania s NDA

Registrácia informačných systémov

1

87

47

40

Celkom: 310

2054

Registrácia zodpovedných osôb

1034

1020

Celkom: 43 620

14

4. Aktivity vyplývajúce z medzinárodných aktov

Pracovníci referátu zahraničných vzťahov zastupovali Úrad na rokovaniach

v pracovných skupinách v oblasti ochrany osobných údajov zriadených v zmysle právnych

aktov Európskej komisie v Bruseli a Rady Európy v Štrasburgu.

4.1. Činnosť pracovnej skupiny WP 29 – Brusel

Pracovná skupina WP 29 je zriadená podľa článku 29 Smernice Európskeho

parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracovaní osobných údajov

a voľnom pohybe týchto údajov. Členmi pracovnej skupiny sú zástupcovia národných

dozorných úradov Európskej únie, zástupca Európskej komisie a Európsky dozorný úradník

pre ochranu údajov (EDPS).

Pracovná skupina vydáva stanoviská k právnym aktom Európskej únie

a medzinárodným zmluvám, ktoré sa týkajú spracovania osobných údajov, prijíma odborné

stanoviská a odporúčania, ak pri spracúvaní údajov vzniknú situácie, ktoré vnútroštátna

legislatíva členských štátov Európskej únie nepredpokladá, ak dochádza k porušovaniu práv

dotknutých osôb pri spracovávaní ich osobných údajov. Tieţ vydáva odporúčania národným

dozorným autoritám na ochranu osobných údajov k jednotnej implementácii článkov

smernice 95/46/ES.

V rámci pracovnej skupiny WP 29 je zriadených 15 špecializovaných podskupín na

prerokovávanie špecifických tém. Úrad menoval svojich zástupcov do nasledujúcich

pracovných podskupín: Údaje o cestujúcich (PNR), BCR/Safe Harbor, Štandardné zmluvné

doloţky, Aplikovateľné právo a podskupina pre technológie.

Pracovná skupina WP 29 - stanoviská prijaté v hodnotenom období

WP 159 - Stanovisko 1/2009 k návrhom, ktorými sa mení a dopĺňa smernica 2002/58/ES,

týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických

komunikácií (smernica o súkromí a elektronických komunikáciách).

Pracovná skupina v plnej miere podporuje navrhnuté posilnenie článku 4 smernice

o súkromí a elektronických komunikáciách, podľa ktorého poskytovatelia verejne dostupných

komunikačných sluţieb musia oznamovať narušenia bezpečnosti. Oznamovanie narušení sa

môţe stať dôleţitým nástrojom orgánov na ochranu údajov na zvýšenie zamerania a účinnosti

pri presadzovaní povinnosti poskytovateľov sluţieb prijať primerané bezpečnostné opatrenia.

Pracovná skupina vo všeobecnosti odporúča tento prístup k otázke oznamovania

narušení bezpečnosti osobných údajov v takých prípadoch, ktoré budú mať negatívny dopad

na súkromie a ochranu osobných údajov uţívateľov.

WP 160- Stanovisko č. 2/2009 k ochrane osobných údajov detí (Všeobecné usmernenia a

osobitný prípad škôl)

Dieťa musí mať všetky práva osoby, vrátane práva na ochranu súkromia a svojich

osobných údajov. Dieťa sa však nachádza v osobitnej situácii, na ktorú by sa malo nazerať z

dvoch hľadísk: statického a dynamického.

Zo statického hľadiska je dieťa osoba, ktorá ešte nedosiahla fyzickú a psychickú

zrelosť. Z dynamického hľadiska je dieťa v procese fyzického a duševného rozvoja, ktorý

vedie k dospelosti. Práva dieťaťa a výkon týchto práv – vrátane práva na ochranu údajov – by

sa mali vyjadriť tak, aby sa uznali obe tieto hľadiská.

Toto stanovisko je zaloţené na presvedčení, ţe vzdelávanie a zodpovednosť sú

rozhodujúcimi nástrojmi v ochrane údajov o deťoch. V tomto stanovisku sa preskúmajú

hlavné zásady týkajúce sa tejto témy.

15

WP 161 - Stanovisko 3/2009 k návrhu rozhodnutia Komisie o štandardných zmluvných

doloţkách pre prenos osobných údajov spracovateľom z tretích krajín podľa smernice

95/46/ES (od správcu údajov k spracovateľovi údajov) a nové štandardné zmluvné doloţky

určené na prenos osobných údajov spracovateľom v tretích krajinách bez primeranej úrovne

ochrany osobných údajov 2010/87/ES.

Hlavným dôvodom na aktualizáciu štandardných zmluvných doloţiek podľa

rozhodnutia 2002/16/ES je globálne zadávanie externých zákaziek subdodávateľom. Keďţe

stále viac spoločností zasiela svoje údaje nielen spracovateľom údajov, ale aj

„subdodávateľom spracovateľov“, ktorí však uţ nepodliehajú európskej právnej úprave

zaručujúcej vysoký štandard ochrany údajov, a ktorí často zasielajú údaje „ďalším

subdodávateľom“, štandardné zmluvné doloţky z rozhodnutia 2002/16/ES nezohľadňujú

všetky moţnosti na riešenie týchto zloţitých následných prenosov. Európska komisia preto

zastávala názor, ţe je potrebné upraviť štandardné zmluvné doloţky z rozhodnutia

2002/16/ES, aby lepšie vyhovovali súčasným podnikateľským postupom, a to prijatím nového

rozhodnutia na základe článku 26 ods. 4 smernice 95/46/ES.

WP 162 - Druhé stanovisko 4/2009 k medzinárodnému dohovoru Svetovej antidopingovej

agentúry (WADA) na ochranu súkromia a osobných údajov, k príslušným ustanoveniam

kódexu agentúry WADA a k iným otázkam týkajúcim sa súkromia v súvislosti s bojom

agentúry WADA a (národných) antidopingových organizácií proti dopingu v športe.

Vo svojom prvom stanovisku k tejto téme pracovná skupina skúmala zlučiteľnosť

návrhu medzinárodného dohovoru na ochranu súkromia a osobných údajov s minimálnou

úrovňou ochrany poţadovanou európskymi predpismi o ochrane údajov. Aj keď vyjadrila

podporu mnohým aspektom normy vrátane odkazu na smernicu 95/46/ES, nedospela k

názoru, ţe je zlučiteľná s minimálnou úrovňou ochrany, ktorú poskytuje smernica, a

sformulovala určité odporúčania.

Toto stanovisko sa týka záleţitostí, ktoré podľa názoru pracovnej skupiny sú naďalej

problematické v súvislosti s európskymi poţiadavkami na ochranu súkromia a osobných

údajov bez toho, aby sa formálne pristúpilo k zisteniam týkajúcim sa primeranosti. Pracovná

skupina konštatuje, ţe v dohovore sa výslovne uvádza zásada, podľa ktorej sa spoločný

minimálny súbor pravidiel stanovený dohovorom uplatňuje na antidopingové organizácie bez

toho, aby boli dotknuté prísnejšie pravidlá alebo normy, ktoré môţe byť potrebné dodrţiavať

podľa vnútroštátnych právnych predpisov ich krajiny.

Medzinárodný dohovor UNESCO proti dopingu v športe, ktorý ratifikovalo 25 z 27

členských štátov EÚ, bol uzatvorený s cieľom zhodnotiť prácu agentúry WADA na

medzinárodnej úrovni. Dohovorom sa nemenia práva a povinnosti signatárov vo vzťahu k

iným predtým uzavretým dohodám (článok 6). Vyzýva k spolupráci medzi štátmi za

primeraných podmienok a vţdy v súlade s vnútroštátnym právom, t. j. so smernicou 95/46/ES

a s právnymi predpismi členských štátov, ktorými sa vykonáva. Podľa práva ES všetky

ustanovenia v medzinárodnej dohode, ktoré sú nezlučiteľné s právom ES, sa podriaďujú právu

ES. V dohovore UNESCO sa neuvádza ţiadny osobitný odkaz na základné práva vo

všeobecnosti, ani konkrétne na práva na ochranu údajov.

Prevádzkovatelia v EÚ, ako napríklad národné antidopingové organizácie,

(medzinárodné) športové federácie a olympijské výbory, si z tohto stanoviska môţu vyvodiť

niektoré právne obmedzenia vyskytujúce sa v prípade spracovania osobných údajov

športovcov (a iných dotknutých osôb). Pracovná skupina zdôrazňuje, ţe prevádzkovatelia v

EÚ sú zodpovední za spracovanie osobných údajov v súlade s vnútroštátnymi právnymi

predpismi, a preto nesmú brať do úvahy Svetový antidopingový kódex a medzinárodné

normy, pokým sú v rozpore s vnútroštátnymi právnymi predpismi.

16

WP 163 - Stanovisko 5/2009 k sociálnym sieťam on-line

Toto stanovisko sa zameriava na otázku, ako môţe prevádzkovanie stránok sociálnych

sietí spĺňať poţiadavky právnych predpisov EÚ v oblasti ochrany údajov. Jeho cieľom je

poskytnúť poskytovateľom sluţieb sociálnych sietí (ďalej len „SSS“) usmernenia k

opatreniam, ktoré sa musia zaviesť, aby sa zabezpečil súlad s právnymi predpismi EÚ.

Hlavné odporúčania sa zameriavajú na povinnosti poskytovateľov SSS dodrţiavať

poţiadavky smernice na ochranu údajov 95/46/ES a podporovať a posilňovať práva

uţívateľov. Obzvlášť dôleţité je, aby poskytovatelia SSS od samého začiatku informovali

uţívateľov o svojej totoţnosti a uviedli všetky rôzne účely, na ktoré spracúvajú osobné údaje.

Poskytovatelia SSS by mali osobitnú pozornosť venovať spracovaniu osobných údajov

neplnoletých osôb. V stanovisku sa odporúča, aby uţívatelia sťahovali obrázky alebo

informácie o iných osobách iba s ich súhlasom a zastáva názor, ţe sluţby sociálnych sietí sú

povinné informovať uţívateľov aj o právach ostatných osôb na súkromie.

WP 165 - Stanovisko 6/2009 k úrovni ochrany osobných údajov v Izraeli

S cieľom preskúmať uvedenú primeranosť úrovne ochrany údajov v Izraeli Komisia

poţiadala o vypracovanie správy stredisko Centre de Recherches Informatique et Droit (ďalej

len „CRID“) Namurskej univerzity. Toto stredisko vypracovalo rozsiahlu správu, ktorá

analyzuje, či izraelský regulačný systém spĺňa poţiadavky týkajúce sa uplatňovania predpisov

v oblasti ochrany osobných údajov stanovené v pracovnom dokumente „Prenosy osobných

údajov do tretích krajín: Uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov“, ktorý

schválila pracovná skupina zriadená podľa článku 29 smernice z 24. júla 1998 (dokument

WP12).

Pracovná skupina sa vzhľadom na všetky uţ uvedené skutočnosti domnieva, ţe Izrael

zaručuje primeranú úroveň ochrany podľa článku 25 ods. 6 smernice Európskeho parlamentu

a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných

údajov a voľnom pohybe týchto údajov, pokiaľ ide o automatizované medzinárodné prenosy

údajov, alebo v prípade, ţe nie sú automatizované, pokiaľ podliehajú ďalšiemu

automatizovanému spracovaniu na území Izraela.

WP 166 - Stanovisko 7/2009 k úrovni ochrany osobných údajov v Andorrskom

kniežatstve

S cieľom posúdiť primeranosť úrovne ochrany údajov v Andorre Komisia poţiadala o

vypracovanie správy stredisko Centre de Recherches Informatique et Droit (ďalej len

„CRID“) Namurskej univerzity. Toto stredisko vypracovalo rozsiahlu správu analyzujúcu, či

andorrský regulačný systém spĺňa poţiadavky, ktoré sa týkajú hmotnoprávnych predpisov a

vykonávania mechanizmov na ochranu osobných údajov stanovené v pracovnom dokumente

„Prenosy osobných údajov do tretích krajín: Uplatňovanie článkov 25 a 26 smernice EÚ o

ochrane údajov“, ktorý schválila pracovná skupina zriadená podľa článku 29 smernice z

24. júla 1998 (dokument WP12).

Pracovná skupina WP 29 sa vzhľadom na všetky skutočnosti domnieva, ţe Andorrské

knieţactvo zabezpečuje primeranú úroveň ochrany podľa článku 25 ods. 6 smernice

Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri

spracovaní osobných údajov a voľnom pohybe týchto údajov.

WP 167 – Stanovisko 8/2009 k ochrane osobných údajov zozbieraných a spracovaných

v bezcolnej zóne obchodmi na letiskách a v prístavoch.

17

Právo Spoločenstva povoľuje oslobodenie od spotrebnej dane pri nákupoch

cestujúcich v bezcolných predajniach na letiskách a v prístavoch. Takéto nákupy však

podliehajú určitým podmienkam.

Aby sa splnili tieto podmienky, väčšina predajní v členských štátoch EÚ zhromaţďuje

a spracúva údaje o cestujúcich, ktorí nakupujú tovar. Takáto prax sa však v Európe v

jednotlivých vnútroštátnych bezcolných zónach značne líši.

V tomto stanovisku sa analyzujú právne a praktické otázky týkajúce sa

zhromaţďovania a spracovania údajov o cestujúcich v bezcolných predajniach a jeho cieľom

je poskytnúť usmernenie vlastníkom predajní a colným orgánom, ktoré sú poverené

dohľadom nad vykonávaním práva Spoločenstva, s cieľom dosiahnuť väčšieho zosúladenia

pri uplatňovaní existujúcich ustanovení.

WP 169 – Stanovisko 1/2010 k pojmom „prevádzkovateľ“ a „spracovateľ“.

Pojem prevádzkovateľ je nezávislý v tom zmysle, ţe by sa mal vykladať najmä podľa

právnych predpisov Spoločenstva o ochrane údajov, a funkčný v tom zmysle, ţe jeho cieľom

je prideliť zodpovednosť tam, kde je aj skutočný vplyv, a preto je zaloţený skôr na faktickej

ako na formálnej analýze.

V tomto stanovisku sa analyzuje aj pojem spracovateľ, ktorého existencia závisí od

rozhodnutia prevádzkovateľa, ktorý sa môţe rozhodnúť spracovať údaje vo svojej vlastnej

organizácii, alebo poveriť externú organizáciu vykonaním všetkých činností spracovania

alebo ich časti.

WP 170 – Pracovný program na roky 2010 - 2011.

Pracovná skupina WP 29 sa v tomto období zameriava na vyjasnenie a posilnenie úloh

všetkých aktérov v oblasti ochrany údajov (dotknutých osôb, spracovateľov údajov a orgánov

na ochranu údajov). Cieľom pracovnej skupiny je tieţ zabezpečiť, aby bola zásada „privacy

by design“ (uplatňovanie poţiadaviek týkajúcich sa ochrany údajov čo najskôr – od

počiatočnej fázy vývoja nových technológií) zakotvená vo všetkých oblastiach, čo môţe

znamenať aj zapojenie nových aktérov.

Vzhľadom na uţ uvedené výzvy pracovná skupina sústreďuje svoju činnosť na štyri

strategické témy a niektoré aktuálne otázky, ktoré povaţuje z hľadiska rozvoja ochrany

údajov za najrelevantnejšie a najsúrnejšie:

I) Implementácia smernice a vypracovanie budúceho komplexného právneho rámca,

II) Riešenie globalizačných problémov,

III) Reagovanie na technologické výzvy,

IV) Účinnejšie fungovanie pracovnej skupiny zriadenej podľa čl. 29 a orgánov na

ochranu údajov.

Okrem toho naďalej vypracováva na ţiadosť Komisie stanoviská a zaoberá sa

akýmikoľvek inými ad hoc témami.

WP 171 – Stanovisko 2/2010 k behaviorálnej reklame on-line.

Behaviorálna reklama predstavuje sledovanie uţívateľov pri prehliadaní internetových

stránok a vytváranie profilov, ktoré budú neskôr pouţité na poskytovanie reklamy, ktorá

zodpovedá ich záujmom. Napriek tomu, ţe pracovná skupina zriadená podľa článku 29

nespochybňuje hospodárske prínosy, ktoré behaviorálna reklama môţe priniesť

zainteresovaným subjektom, je pevne presvedčená, ţe táto činnosť sa nesmie vykonávať na

úkor práv jednotlivcov na súkromie a ochranu údajov. Je nutné dodrţiavať regulačný rámec

18

EÚ o ochrane údajov, ktorý upravuje jednotlivé ochranné nástroje. Toto stanovisko, s cieľom

zjednodušiť a posilniť splnenie stanovených podmienok, objasňuje právny rámec, ktorý sa

vzťahuje na subjekty zaoberajúce sa behaviorálnou reklamou, ako aj na dotknuté osoby.

WP 173 – Stanovisko 3/2010 k zásade zodpovednosti (accountability sú „opatrenia na

zabezpečenie dodrţiavania pravidiel ochrany osobných údajov prijaté subjektom verejného

alebo súkromného sektora a tieţ vnútorný dohľad“).

Zásady v oblasti ochrany údajov sa často nedostatočne premietajú do konkrétnych

vnútorných opatrení a postupov. Pokiaľ sa ochrana údajov nestane súčasťou spoločných

hodnôt a postupov podniku, resp. organizácie a výslovne sa neurčí zodpovednosť za ňu, ich

účinné dodrţiavanie bude značne ohrozené a nedostatky v ochrane údajov budú

pravdepodobne pretrvávať.

Stanovisko obsahuje návrhy, ktorými sa zabezpečí, aby zásada zodpovednosti

predstavovala právnu istotu, pričom zároveň umoţní odstupňovanie (t. j. umoţní určovanie

konkrétnych opatrení, ktoré sa pouţijú v závislosti od rizika spracovania a druhov

spracúvaných údajov). Ďalej sa v ňom diskutuje o tom, ako by mohla takáto zásada ovplyvniť

iné oblasti, vrátane medzinárodných prenosov údajov, poţiadaviek na oznamovanie, sankcií a

napokon aj vývoj certifikačných programov alebo pečatí.

WP 174 – Stanovisko č. 4/2010 k Európskemu kódexu správania Európskej federácie

priameho marketingu (FEDMA) pre pouţívanie osobných údajov v priamom marketingu.

Pracovná skupina zdôraznila skutočnosť, ţe všeobecný kódex nemôţe vymedzením

pojmov vyriešiť všetky špecifické problémy súvisiace s internetovým prostredím, a preto

vyzýva organizáciu FEDMA, aby ku kódexu vypracovala prílohu, ktorá by sa zaoberala

týmito otázkami. V prílohe by sa mala riešiť najmä ochrana detí, ktoré sú osobitne zraniteľné

v internetovom prostredí, ako sa zdôrazňuje v príspevku BEUC (Európska organizácia

spotrebiteľov), s ktorou pracovná skupina konzultovala.

WP 175 – Stanovisko č. 5/2010 k návrhu priemyselného odvetvia na rámec pre posudzovanie

vplyvu na ochranu súkromia a údajov (PIA) pre aplikácie rádiofrekvenčnej identifikácie

(RFID).

Odporúčaním o RFID vytvorila Európska komisia proces posúdenia vplyvu na

ochranu súkromia a údajov (PIA), ktorého cieľom je dosiahnuť niekoľko výhod:

– Posúdenie vplyvu na ochranu súkromia a údajov by malo podporovať ochranu

súkromia uţ v návrhu tým, ţe pomôţe prevádzkovateľom riešiť ochranu súkromia a údajov

prv, ako sa výrobok alebo sluţba zavedie do praxe. Prospeje to nielen jednotlivcom, ale aj

prevádzkovateľom tým, ţe sa vylúčia značné náklady (a často neuspokojivé riešenia), ktoré

často vznikajú, keď sa musia prvky ochrany súkromia „namontovať“ na uţ zavedený

výrobok.

– Posúdenie vplyvu na ochranu súkromia a údajov by malo pomôcť

prevádzkovateľom komplexným spôsobom riešiť riziká ochrany súkromia a údajov.

Posúdenie vplyvu na ochranu súkromia a údajov je súčasťou nástrojov, ktoré môţu pomôcť

posúdiť riziká pre súkromie a nájsť technické a organizačné opatrenia na ochranu osobných

údajov proti neoprávnenému prezradeniu alebo prístupu a na zahrnutie iných povinností v

oblasti bezpečnosti stanovených v článku 17 smernice o ochrane údajov a článku 4 zmenenej

a doplnenej smernice 2002/58. Tento proces je aj príleţitosťou zníţiť právnu neistotu a

vyhnúť sa strate dôvery verejnosti, ktorá by inak zaťaţovala prevádzkovateľov, keby sa

otázky ochrany údajov primerane neriešili.

19

– Posúdenia vplyvu na ochranu súkromia a údajov môţu pomôcť prevádzkovateľom aj

orgánom na ochranu údajov získať lepší prehľad o aspektoch ochrany súkromia a údajov

aplikácií RFID. Vykonávanie posúdenia vplyvu na ochranu súkromia a údajov by malo

pomôcť prevádzkovateľom pochopiť a vykonávať zásady, ktoré sú stanovené v smernici

95/46/ES, v nedávno zmenenej a doplnenej smernici 2002/58/ES a v odporúčaní o RFID.

Informácie z posúdenia vplyvu na ochranu súkromia a údajov môţu pomôcť orgánom na

ochranu údajov identifikovať najosvedčenejšie postupy týkajúce sa spôsobu, akým sa v

priemyselnom odvetví vykonáva ochrana údajov. V tých členských štátoch, v ktorých sa

vyţaduje predchádzajúca kontrola (niektorých alebo všetkých) aplikácií RFID, môţu tento

proces zjednodušiť pre orgány na ochranu údajov aj pre prevádzkovateľov. Pracovná skupina

ďalej povaţuje vypracovanie posúdenia vplyvu na ochranu súkromia a údajov za faktor, ktorý

prispieva ku konkurencieschopnosti európskeho priemyselného odvetvia RFID tým, ţe

podporuje inovačné prístupy k riešeniu otázok ochrany súkromia a údajov prostredníctvom

technológií, ako je anonymizácia údajov, čiastočná deaktivácia štítkov, jednoduché šifrovanie

atď.

WP 177 – Stanovisko 6/2010 k úrovni ochrany osobných údajov v Uruguaji.

Aby sa pristúpilo k preskúmaniu, či Uruguaj poskytuje primeranú úroveň ochrany,

Komisia poţiadala Centre de Recherches Informatique et Droit (CRID) Univerzity v Namure

o vypracovanie správy. V tejto obšírnej správe sa analyzuje miera, do akej uruguajský právny

systém spĺňa poţiadavky v zmysle základných právnych predpisov a vykonávania

mechanizmov na uplatňovanie predpisov chrániacich osobné údaje, ktoré sú stanovené v

pracovnom dokumente „Prenosy osobných údajov do tretích krajín: Uplatňovanie článkov 25

a 26 smernice EÚ o ochrane údajov“, ktorý schválila pracovná skupina v súvislosti s článkom

29 smernice 24. júla 1998 (dokument WP12). Uruguajské orgány prostredníctvom Útvaru pre

reguláciu a kontrolu osobných údajov (URCDP) predloţili pripomienky v odpovedi na otázky

vznesené v tejto správe prostredníctvom dohody výkonnej rady URCDP 11. februára 2010.

Na základe všetkých uvedených skutočností je pracovná skupina toho názoru, ţe

Uruguajská východná republika zabezpečuje primeranú úroveň ochrany v zmysle článku 25

ods. 6 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane

fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.

WP 178 – Stanovisko 7/2010 k Oznámeniu Komisie o globálnom prístupe k prenosom

údajov PNR do tretích krajín.

Dňa 21. septembra 2010 Európska komisia predloţila svoje oznámenie o všeobecnom

prístupe k prenosu osobných záznamov o cestujúcich (PNR – Passenger Name Record) do

tretích krajín. Komisia je toho názoru, ţe vyuţívanie údajov z PNR na účely presadzovania

práva rastie a je čoraz viac vnímané ako hlavný a nevyhnutný aspekt práce v oblasti

presadzovania práva.

Pokiaľ ide o údaje z PNR, pracovná skupina dôkladne sledovala rokovania, ktoré

viedli k dohodám o PNR s USA, Kanadou a Austráliou, a vydala niekoľko stanovísk

určujúcich otázky ochrany súkromia, ktoré súvisia s týmito systémami PNR.

Pracovná skupina zdôrazňuje, ţe výmena údajov z PNR by sa nemala posudzovať

izolovane. Všeobecný prístup by sa preto mal rozšíriť na ţiadosti tretích krajín o všetky údaje

o cestujúcich, vrátane údajov API, porovnávania zoznamov osôb, ktoré majú zákaz vstúpiť na

palubu lietadiel, a ďalšie činnosti spojené s predbeţnou kontrolou.

Komisia v súčasnosti prehodnocuje a vytvára inovovaný prístup k vytvoreniu systému

PNR v Európskej únii a k zdieľaniu týchto údajov s tretími krajinami, ktorý by vo väčšej

miere zohľadnil základné zásady ochrany osobných údajov ako predošlé návrhy .

20

4.2. Činnosť Výboru zriadeného podľa článku 31

Výbor je zriadený podľa čl. 31 smernice 95/46/ES. Táto pracovná skupina je

poradným orgánom Európskej komisie a je zloţená zo zástupcov členských štátov Európskej

únie. Jej funkciou je asistovať Európskej komisii pri realizácii jej opatrení. Schvaľuje alebo

dáva výhrady k návrhom dokumentov Európskej komisie a to predovšetkým tých, ktoré

súvisia s cezhraničným prenosom osobných údajov.

Výbor podľa článku 31 rokoval o Návrhu rozhodnutia Komisie podľa Smernice

95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov v Andorre

a Izraeli. Výbor takisto rokoval o návrhu zmeny k štandardných zmluvným doloţkám na

prenos osobných údajov do tretích krajín (od prevádzkovateľa k sprostredkovateľovi), ktorý

predloţila skupina obchodných spoločností a ktorý uţ bol schválený pracovnou skupinou WP

29. K textu v národných jazykoch boli dané viaceré pripomienky, avšak k štruktúre

a navrhovanému systému ţiadna, aţ na pripomienku zástupcu Slovenskej republiky, ktorá

bola vyslovená uţ v pracovnej skupine WP 29. Aj vzhľadom na skladbu delegátov vo Výbore

31 (väčšinou ide o delegátov ústredných orgánov štátnej správy členských štátov Európskej

únie) bolo súhlasné stanovisko s predloţeným dokumentom Európskej komisie prijaté

jednomyseľne.

4.3. Činnosť Poradného výboru k Dohovoru 108

Pracovná skupina, uţšie grémium, resp. kancelária Poradného výboru sa stretáva na

spoločných rokovania spravidla jedenkrát za štvrťrok a formuluje stanoviská, resp.

odporúčania pre krajiny Dohovoru, týkajúce sa aktuálnych alebo sporných otázok spojených

so spracúvaním osobných údajov. Tieto odporúčania, resp. predbeţné stanoviská sú prijímané

plenárnym zhromaţdením Poradného výboru k Dohovoru 108 o ochrane jednotlivca pri

spracúvaní údajov, ktoré zasadá raz ročne, alebo v písomnom konaní prostredníctvom

elektronickej pošty a hlasovania.

Na týchto stretnutiach kancelárie sa predovšetkým formulovalo odporúčanie k ochrane

osobných údajov vzhľadom na proces profilovania, ktoré bolo predloţené na schválenie, resp.

na ďalšie pripomienky v septembri 2009 na plenárnom zhromaţdení. Podkladom bol návrh

odporúčania a tabuľka zapracovaných pripomienok od posledného plenárneho stretnutia, ako

aj pripomienky jednotlivých delegácií, zaslané písomnou formou v stanovenom termíne,

alebo vyslovené ústne počas rokovaní kancelárie. V priebehu roku 2009 nedošlo ku konsenzu

ohľadom aplikačného rámca predmetného odporúčania. Po ankete medzi zástupcami

jednotlivých štátov vo Výbore k Dohovoru 108 bolo zrejmé, ţe názory sú odlišné, ale tesná

väčšina štátov z tých, ktoré odpovedali na otázku ohľadne preferencie si ţelá alebo sa

uspokojí s prvým pilierom (komunitárne právo, obchodno-právne vzťahy) ako rámcom

pôsobnosti pre toto odporúčanie. Napriek tomu a vzhľadom na to, ţe rozhranie medzi prvým a

tretím pilierom EÚ sa nedá presne a jednoznačne určiť, ako aj vzhľadom na vývoj

naštartovaný prijatím Lisabonskej zmluvy (zrušila pilierovú štruktúru) diskusie o rámci

pôsobnosti odporúčania neutíchli a pokračovali na plenárnom zasadnutí v septembri.

Švédske predsedníctvo rokovalo s delegátmi členských štátov EÚ a dosiahlo, ţe sa EÚ

en bloc postavila za preferenciu vylúčenia celého tretieho piliera z pôsobnosti odporúčania.

S postupom, akým bolo toto stanovisko dosiahnuté, však nesúhlasili viaceré štáty, vrátane

ICC (medzinárodná obchodná komora), EK a niektorých členských štátov EÚ, vrátane

Slovenskej republiky. Kancelária preto zasadala opätovne v novembri 2009 a zapracovávala

pripomienky ICC, EK a niektorých členských štátov. Okrem toho pozvala na jednodňové

stretnutie zástupcov priemyslu a obchodu, s ktorými si vymenila stanoviská a viedla

21

konštruktívnu diskusiu o všetkých ich pripomienkach. V prípade implementácie definovaných

zásad orgánmi vymáhania práva sa budú uplatňovať derogácie zo súvisiacich ustanovení

odporúčania, ktoré upravujú práva dotknutých osôb.

V roku 2010 bolo napokon Odporúčanie k ochrane práv jednotlivcov pri

automatizovanom spracúvaní osobných údajov v kontexte profilovania a k nemu vypracované

vysvetľujúce memorandum prijaté jednomyseľne s jedným zdrţaním sa pri hlasovaní. Toto

odporúčanie bolo následne s drobnými úpravami prijaté v Úrade európskeho výboru pre

právnu spoluprácu, ako aj vo Výbore Ministrov RE.

Ďalej v roku 2010 Rada Ministrov odsúhlasila prijatie dodatkového protokolu

k Dohovoru 108, ktorý zohľadní vývoj nových technológií, aktualizáciu Odporúčania

k ochrane údajov v policajnom sektore, ako aj vypracovanie stanoviska k spracúvaniu údajov

na účely zamestnávania; pre tento účel boli vypracované odborné štúdie. Takisto bude

vyhodnotená aj implementácia Dohovoru 108 a Dodatkového protokolu v členských štátoch.

Výbor T-PD taktieţ prijal stanovisko k rámcovej dohode medzi EÚ a USA o ochrane

osobných údajov, a výmene informácií na účely vymáhania práva.

4.4. Dozorné orgány III. piliera

Oblasť tretieho piliera (spravodlivosť a vnútorné záleţitosti) v Európskej únii

predstavuje špecifickú oblasť uplatňovania komunitárneho práva a národnej legislatívy. Týka

sa oblasti vzájomnej spolupráce a výmeny informácií medzi orgánmi činnými v trestnom

konaní – osobitne polície, justičných orgánov, colných orgánov a pod., a to tak na

medzinárodnej ako aj na národných úrovniach.

Medzinárodné právne nástroje (Dohovor o Europole, Dohovor o Schengenskom

informačnom systéme, Dohovor o pouţívaní informačných technológií na colné účely

a ďalšie, boli základom na zriadenie príslušných inštitúcií ako aj podporných nástrojov

umoţňujúcich spracovanie a výmenu informácií v rámci informačných systémov

spoločenstva.

Výkon dozoru v týchto informačných systémoch pri spracúvaní osobných údajov

vykonávajú v úzkej súčinnosti spoločné dozorné autority. Zástupcovia Úradu reprezentujú

Slovenskú republiku v troch spoločných dozorných orgánoch – JSB Europol, JSA Schengen

a JSA Customs. V rokoch 2009 a 2010 sa uskutočnili po štyri rokovania spoločných

dozorných orgánov.

4.4.1. Spoločný dozorný orgán Europolu (JSB Europol).

Zriadenie Európskeho policajného úradu (Europol) bolo odsúhlasené v Zmluve o

Európskej únii zo 7. februára 1992 a realizované prostredníctvom dohovoru opierajúceho sa o

článok K.3 Zmluvy o Európskej únii o zriadení Európskeho policajného úradu („dohovor o

Europole“). Spoločný dozorný orgán na preverovanie činnosti v Europole bol zriadený

v zmysle článku 24 dohovoru.

Rozhodnutím Rady zo 6. apríla 2009 o zriadení Európskeho policajného úradu

(Europol) (2009/371/SVV) sa nahrádzajú ustanovenia Dohovoru o zriadení Európskeho

policajného úradu (dohovor o Europole). Rámcové rozhodnutie Rady o ochrane osobných

údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach sa bude

uplatňovať na prenos osobných údajov členskými štátmi Europolu. Uvedené rámcové

rozhodnutie neovplyvní príslušný súbor ustanovení o ochrane údajov v tomto rozhodnutí,

ktoré obsahuje osobitné ustanovenia o ochrane osobných údajov a podrobnejšie upravuje tieto

otázky z dôvodu ich osobitného charakteru, ako aj funkcií a právomocí Europolu.

22

Dohoda medzi EÚ a USA o sprístupňovaní údajov obsiahnutých vo finančných

platobných správach (SWIFT Society for Worldwide Interbank Financial

-

Telecommunication) Ministerstvu financií Spojených štátov (United States Treasury

Department) na účely uskutočňovania programu na sledovanie financovania terorizmu (TFTP

– Terrorist Finance Tracking Programme) obsahuje článok, podľa ktorého sa všetky

doţiadania z americkej strany v kópii zasielajú Europolu.

Hlavnými súčasnými nástrojmi Europolu sú Informačný systém Europolu a analytické

pracovné súbory.

Podľa článku 33 Rozhodnutia Rady kaţdý členský štát určí národný dozorný orgán,

ktorý v súlade s jeho vnútroštátnym právom nezávisle monitoruje oprávnenosť vkladania a

vyhľadávania osobných údajov, ako aj poskytovania týchto údajov Europolu príslušnými

členskými štátmi a skúma, či takéto konanie nepoškodzuje práva dotknutých osôb.

Podľa článku 34 Rozhodnutia Rady sa zriaďuje nezávislý spoločný dozorný orgán,

ktorý v súlade s týmto rozhodnutím dozerá na činnosť Europolu s cieľom zabezpečiť, aby pri

uchovávaní, spracúvaní a vyuţívaní údajov, ktoré má Europol k dispozícii, nedochádzalo k

porušovaniu práv jednotlivcov. Spoločný dozorný orgán okrem toho monitoruje oprávnenosť

poskytovania údajov pochádzajúcich z Europolu. Spoločný dozorný orgán pozostáva najviac

z dvoch členov alebo zástupcov – s prípadnou pomocou náhradníkov – kaţdého nezávislého

národného dozorného orgánu, ktorí majú potrebnú kvalifikáciu a príslušný členský štát ich

vymenoval na obdobie piatich rokov. Kaţdá delegácia má pri hlasovaní jeden hlas.

V hodnotenom období sa uskutočnilo osem rokovaní Spoločného dozorného orgánu

Europol (SDO Europol). Kľúčovými oblasťami práce SDO Europolu v uplynulom roku boli:

Pripomienky a stanoviská k právnym aktom EÚ/ES a k dokumentom súvisiacich s činnosťou

Europolu najmä k:

– Rámcovému Rozhodnutiu Rady o Europole, ktoré nadobudlo účinnosť 1. 1. 2010,

– Zmluve medzi EÚ a USA o Programe na sledovanie financovania terorizmu (TFTP-2),

– Postaveniu SDO Europol vzhľadom k zmenám, ktoré prináša Lisabonská zmluva,

– Koncepčným dokumentom Europolu menovite k Stratégii Europolu na roky 2010-2014,

– Správe Europolu o úrovni ochrany OÚ v Izraeli, Ruskej Federácii, Monaku,

Macedónsku a Kolumbii, s ktorými Europol hodlá uzavrieť zmluvy o vzájomnej

výmene informácií,

– Interným dokumentom týkajúcim sa praktickej činnosti Europolu napríklad Aplikácie

zásad dostupnosti údajov, kontroly spracúvania osobných údajov zamestnancov

Europolu,

– Návrhu zmien vo vykonávacích pravidlách (príkazov na otváranie analytických

pracovných súborov).

Kontrola spracúvania údajov v informačných systémoch Europolu.

Predmetom pravidelnej koordinovanej inšpekcie SDO Europolu vykonanej v ústredí v Haagu

boli:

– kontrola vybraných analytických súborov a obsahu informačného systému Europolu,

– kontrola technickej a bezpečnostnej infraštruktúry (politiky, auditné záznamy,

bezpečnosť sietí), projekty SIENA a OASIS,

– kontrola prístupu Europolu do SIS,

– kontrola výmeny údajov medzi Europolom a tretími krajinami, s ktorými nemá Europol

uzatvorenú zmluvu o spolupráci,

– kontrola plnenia odporúčaní prijatých na základe kontroly vykonanej v roku 2009 a pod.

V nadväznosti na zistenia kontrolnej skupiny v Haagu vykonali vybrané národné

23

dozorné orgány (aj ÚOOÚ SR) kontroly záznamov vloţených členskými štátmi

v národnej jednotke Europolu.

Riešenie sťaţností dotknutých osôb:

Odvolací výbor SDO Europol v hodnotenom období prerokúval sťaţnosti občanov

tretích krajín vo veci uplatňovania práva dotknutej osoby na prístup k údajom spracúvaných

Europolom. Dve sťaţnosti, podané v Nemecku, národná dozorná autorita posúdila ako

opodstatnené a vydala Europolu opatrenia na zmenu stanoviska. Závery nemeckej dozornej

autority potvrdilo plénum (odvolací výbor). Ďalšia sťaţnosť bola podaná v Španielsku. Prípad

sa skomplikoval a nemohol byť uzavretý v dôsledku nejednoznačnej identifikácie sťaţovateľa

v báze dát Europolu (4 - rôzne aliasy). Spravodajca (zástupca španielskej DPA) potvrdil

zámer, po zistení jednoznačnej identifikácie sťaţovateľa, predloţiť na budúcej porade

odvolacieho výboru konečné stanovisko.

4.4.2. Spoločný dozorný orgán schengenského informačného systému (SDO Schengen)

Spoločný dozorný orgán schengenského informačného systému (SDO Schengen) bol

zriadený v zmysle Dohovoru, ktorým sa vykonáva Schengenská dohoda z 15. júna 1985

uzavretá medzi vládami štátov hospodárskej únie Beneluxu, Nemeckej spolkovej republiky a

Francúzskej republiky o postupnom zrušení kontrol na ich spoločných hraniciach. K tejto

Dohode neskôr pristúpili ďalšie krajiny Európskej únie. Slovenská republika vstúpila do

Schengenského priestoru dňom 21. 12. 2007.

Okrem dohovoru, ktorým sa vykonáva Schengenská dohoda, aj článok 60 ods. 1 prvá

veta Rozhodnutia Rady z 12. júna 2007 o zriadení, prevádzke a vyuţívaní Schengenského

informačného systému druhej generácie (2007/533/SVV) zaväzuje kaţdý členský štát, aby

nezávislý orgán („vnútroštátny dozorný orgán“) nezávisle monitoroval zákonnosť spracúvania

osobných údajov SIS II na svojom území a ich prenos z ich územia, ako aj výmenu a ďalšie

spracúvanie doplňujúcich informácií.

V sledovanom období sa uskutočnilo osem pracovných stretnutí SDO Schengen.

Aktivity, ktoré tento orgán zabezpečoval v súčinnosti s národnými dozornými úradmi sa

týkali nasledovných oblastí:

– analýzy, hodnotenia a presadzovania princípov ochrany osobných údajov v nových

právnych nástrojoch upravujúcich prevádzku a vyuţívanie Schengenského informačného

systému druhej generácie, vo vykonávacích predpisoch (v príručke SIRENE) a rozhodnutí

Rady o migrácii dát zo SIS I + do SIS II,

– vypracovanie harmonizovaných návrhov spoločných riešení existujúcich problémov pri

uplatňovaní alebo výklade ustanovení schengenského dohovoru počas prevádzky SIS. V tejto

súvislosti boli vykonané koordinované prieskumy a kontroly uplatňovania článkov 96, 97, 98,

99 a 111 Dohovoru o SIS v národných ústredniach SIRENE, na základe ktorých SDO

Schengen formuloval spoločné stanoviská a usmernenia pri uplatňovaní citovaných článkov

Dohovoru,

– príprava informačnej kampane v súvislosti so spustením prevádzky Schengenského

informačného systému druhej generácie (v spolupráci s WP 29),

– vypracovanie a zverejnenie správy o činnosti SDO Schengen za obdobie december 2005 aţ

december 2008,

– prerokovanie koncepčných materiálov súvisiacich s vývojom SIS II, budúcimi aktivitami

SDO Schengen (Lisabonská zmluva), prístupom Europolu k údajom SIS a formulovanie

pripomienok,

24

– prerokovanie a poskytnutie národným dozorným orgánom stanovisko k správnej

interpretácii článku 45, upravujúceho povinnosti ubytovacích zariadení v súvislosti

s ubytovaním cudzích štátnych príslušníkov,

– vypracovanie harmonizovaného sprievodcu uplatňovania práv dotknutých osôb na prístup

k informáciám o osobných údajoch uchovávaných v SIS,

– koordinovanie harmonizovanej kontroly zameranej na uplatňovanie článkov 95, 96 a 99

Schengenského dohovoru príslušnými orgánmi na národnej úrovni,

– formulovanie svojho stanoviska kompetentným orgánom Slovenskej republiky k otázkam

plnenia zmluvných záväzkov Slovenska v oblasti ochrany osobných údajov.

4.4.3. Spoločný dozorný orgán Colného informačného systému (SDO Customs)

Dohovor Neapol II o vzájomnej pomoci a spolupráci medzi colnými správami má

umoţniť vnútroštátnym colným správam predísť a odhaliť porušenie ustanovení

vnútroštátnych colných predpisov a pomôcť im pri stíhaní a trestaní prípadov porušenia

týchto predpisov Spoločenstva bez toho, aby bola dotknutá právomoc Spoločenstva v oblasti

colnej únie.

Ako doplnok k dohovoru Neapol II sa dohovorom o CIS zavádza Colný informačný

systém (CIS), ktorý slúţi na pomoc pri prevencii, vyšetrovaní a stíhaní závaţných porušení

vnútroštátnych právnych predpisov prostredníctvom rýchleho šírenia informácií, čím sa

zvyšuje účinnosť spolupráce medzi colnými orgánmi členských štátov.

Informačný systém CIS je centralizovaný, spravuje ho Komisia, a je prístupný

prostredníctvom terminálov v kaţdom členskom štáte a v Komisii, Europole a Eurojuste.

Obsahuje osobné údaje s ohľadom na komodity, spôsoby dopravy, podniky, osoby a zadrţané

alebo zabavené tovary a hotovosť. Osobné údaje zahŕňajú mená a prezývky, dátum a miesto

narodenia, štátnu príslušnosť, pohlavie, fyzické črty, doklady totoţnosti, adresy, záznamy o

násilných činoch, dôvod vloţenia údajov do CIS, navrhované opatrenia a údaje o evidencii

dopravných prostriedkov.

Podľa článku 24 Rozhodnutia Rady z 30. novembra 2009 o vyuţívaní informačných

technológií na colné účely (2009/917/SVV) zaväzuje kaţdý členský štát, aby určil jeden alebo

viacero vnútroštátnych dozorných orgánov zodpovedných za ochranu osobných údajov s

cieľom vykonávať nezávislý dohľad nad údajmi vloţenými do colného informačného systému

v súlade s rámcovým rozhodnutím 2008/977/SVV.

V sledovanom období sa uskutočnilo osem rokovaní Spoločného dozorného orgánu

CIS. Funkciu predsedu SDO CIS od júna 2007 vykonáva zástupca Úradu na ochranu

osobných údajov SR. Aktivity SDO CIS v hodnotenom období boli v súlade s plánom

činnosti a týkali nasledovných oblastí:

– celoplošnej kontroly informačnej bezpečnosti v národných jednotkách CIS s vyuţitím samo

hodnotiacich bezpečnostných dotazníkov v 27 štátoch EÚ, koordinovanej SDO CIS,

– prípravy spoločnej kontroly CIS v roku 2011 s Európskym dozorným úradníkom (ďalej len

„EDPS“),

– budúcich činností SDO CIS v dôsledku zmien, ktoré prináša nová právna úprava

(Rozhodnutie rady 2009/917 SVV o vyuţívaní informačných technológií na colné účely),

– prípravy rokovaní a následné rokovania s EDPS o novom modeli koordinovaného dozoru

nad CIS, na ktorom sa budú podieľať EDPS a SDO CIS (kaţdá inštitúcia v rámci svojich

kompetencií),

– vypracovania písomných pripomienok a stanovísk k prevádzkovej príručke FIDE

(identifikačnej databázy colných spisov),

25

– prípadnej revízie rokovacieho poriadku SDO CIS v dôsledku nového právneho rámca

aplikovaného na spracúvanie osobných údajov v podmienkach CIS (Rámcového rozhodnutia

rady 2009/977 SVV o ochrane osobných údajov v rámci policajnej a justičnej spolupráce

v trestných veciach.

4.4.4. Pracovná skupina pre políciu a spravodlivosť (WPPJ)

Pracovná skupina bola zriadená na základe Cyperskej deklarácie z roku 2007 za účelom

monitorovania aktivít III. piliera. Táto pracovná skupina rokovala v priebehu roka 2009

päťkrát. Počas uvedených rokovaní sa zaoberala:

- analýzou, vypracovaním stanovísk a uplatnením pripomienok k legislatívnym aktom

Rady, najmä k rámcovému rozhodnutiu Rady o ochrane osobných údajov v rámci

policajnej a justičnej spolupráce v trestných veciach, rozhodnutiu Rady o posilnení

cezhraničnej spolupráce v boji proti terorizmu a organizovanému cezhraničnému zločinu

(Prümská zmluva), k rámcovému rozhodnutiu Rady o Europole, prístupu orgánov

presadzujúcich právo k Eurodac-u, k zmluve medzi EÚ a USA týkajúcej sa údajov

cestujúcich leteckých spoločností (PNR), dopadu Lisabonskej zmluvy na právne akty

upravujúce spracúvanie osobných údajov v treťom pilieri, spoločného dokumentu WP 29

a WPPJ o budúcich trendoch v oblasti ochrany údajov a pod.,

- prieskumom, zameraným na hodnotenie bilaterálnych zmlúv o policajnej spolupráci

uzatvorených medzi členskými štátmi a tretími krajinami a následné vypracovanie

jednotnej štandardnej štruktúry a náleţitostí bilaterálnych zmlúv (manuál),

-

katalógom ochrany dát o spolupráci a dozore národných DPA v orgánoch presadzujúcich

právo,

- prieskumom zameraným na implementáciu zásad z Dohovoru RE o počítačovej

kriminalite do národnej legislatívy členských štátov EÚ,

- vyuţívaním nových IT pri identifikácii jednotlivcov orgánmi presadzujúcimi právo.

V roku 2010 sa uskutočnili tri porady pracovnej skupiny. Tak ako po minulé roky, aj

v roku 2010 sa činnosť pracovnej skupiny zamerala na:

- monitorovanie a aktívne zasahovanie do procesu prípravy a schvaľovania právnych

predpisov EÚ v úzkej spolupráci s pracovnou skupinou zriadenou podľa čl. 29 Smernice

95/46. Konkrétne išlo o poskytovanie pripomienok stanovísk Rade, parlamentnému

výboru LIBE najmä k rámcovému rozhodnutiu Rady o ochrane osobných údajov v rámci

policajnej a justičnej spolupráce v trestných veciach, rozhodnutiu Rady o posilnení

cezhraničnej spolupráce v boji proti terorizmu a organizovanému cezhraničnému zločinu

(Prümská zmluva), k rámcovému rozhodnutiu Rady o Europole, prístupu orgánov

presadzujúcich právo k Eurodac-u, k zmluve medzi EÚ a USA týkajúcej sa údajov

cestujúcich leteckých spoločností (PNR), Zmluvy medzi EÚ a USA týkajúcej sa programu

na sledovanie financovania terorizmu (TFTP-2) a dopadu Lisabonskej zmluvy na právne

akty upravujúce spracúvanie osobných údajov v treťom pilieri.

- vypracovanie odporúčaní, metodických pomôcok a postupov pre prácu policajných

a súdnych orgánov (Politika dozoru v oblasti policajnej súdnej spolupráce zaloţenej na

analýze rizík vykonanej národnými dozornými orgánmi, Odporúčanie pre aplikáciu zásad

z Dohovoru RE o počítačovej kriminalite do národnej legislatívy, Vzorových zmluvných

podmienok ako súčasti dvojstranných zmlúv s tretími štátmi, prieskum spracúvania

analýzy DNA príslušnými orgánmi na národnej úrovni a ich vzájomná cezhraničná

výmena s vyuţitím siete Interpolu).

26

4.4.5. Koordinačné porady pracovnej skupiny pre Eurodac

Systém Eurodac bol zavedený nariadením (ES) č. 2725/2000, ktoré sa týka zriadenia

systému „Eurodac“ na porovnávanie odtlačkov prstov pre účinné uplatňovanie Dublinského

dohovoru.

Eurodac je centralizovaný, automatizovaný identifikačný systém, ktorý obsahuje údaje

o odtlačkoch prstov niektorých občanov tretích krajín. Účelom systému, ktorý je v prevádzke

od januára 2003, je pomôcť pri určení, ktorý členský štát by podľa Dublinského nariadenia

mal byť zodpovedný za posúdenie určitej ţiadosti o azyl.

Aj podľa znenia článku 10 pripravovaného Rozhodnutia Rady o moţnosti orgánov

členských štátov na presadzovanie práva a Europolu poţiadať o porovnanie s údajmi v

systéme Eurodac na účely presadzovania práva, ochrana osobných údajov, monitorovanie

zákonnosti spracovania osobných údajov členským štátom podľa tohto rozhodnutia, vrátane

ich prenosu do a zo systému Eurodac, vykonávajú príslušné vnútroštátne orgány určené podľa

rámcového rozhodnutia 2008/977/SVV.

Koordinačné porady k systému Eurodac zvoláva Európsky dozorný úradník (ďalej len

„EDPS“), ktorý zároveň v zmysle nariadenia Európskeho parlamentu a Rady č. 45/2001

vykonáva dohľad nad centrálnou časťou systému a koordinuje činnosť národných dozorných

orgánov.

V hodnotenom období sa uskutočnilo šesť koordinačných porád. Predmetom

koordinačných porád boli nasledovné témy:

- informácie o legislatívnych aktivitách EDPS k návrhom nariadení EP a Rady o Eurodacu

a Dublinskom informačnom systéme,

- implementačné problémy súvisiace s vyuţívaním systému Eurodac a siete Dublinet

(otázky vymazávania dát súvisiacich so zmenou postavenia ţiadateľa o azyl, špeciálne

vyhľadávanie – súvisiace s uplatňovaním práva dotknutej osoby, bezpečnostná previerka

siete s-TESTA, informácie z prieskumu o pouţívaní siete Dublinet národnými orgánmi

a pod.),

- prípravy a vydanie správy z druhej koordinovanej inšpekcie/prieskumu zameraného na

poskytovanie informácií ţiadateľom o azyl a postupov aplikovaných na národných

pracoviskách Eurodacu pri zisťovaní veku maloletých ţiadateľov o azyl,

- správa o činnosti koordinačnej pracovnej skupiny pre Eurodac za roky 2008/2009.

- vývoj legislatívy upravujúcej spracúvanie údajov v systéme Eurodac (obmedzenia

prístupu iných orgánov presadzujúcich právo),

- prerokúvanie a schválenie správy o činnosti pracovnej skupiny pre dozor nad Eurodacom

za roky 2008/09. Predmetná správa obsahuje výsledky z koordinovaných kontrol na

národnej úrovni,

- odsúhlasenie pracovného programu na roky 2010/2011,

- koordinovaná kontrola predčasného vymazávania záznamov – usmernenie pre národné

dozorné orgány,

- situácia v oblasti špeciálneho vyhľadávania (informácie z národných pracovísk).

4.4.6. Expertná schengenská hodnotiaca pracovná skupina (Sch-Eval)

V súlade s harmonogramom prác na rok 2009 pripraveným Európskou komisiou

a Stálym výborom pre hodnotenie schengenských štátov, expertná skupina Sch-Eval vykonala

previerku uplatňovania zásad pri spracúvaní osobných údajov v SIS schengenskými štátmi

ako sú Nemecko, Francúzsko, Belgicko, Holandsko a Luxemburg a previerku pripravenosti

na implementáciu Schengenského acquis za oblasť ochrany osobných údajov v kandidátskych

krajinách – Bulharsku a Rumunsku.

Zistenia a odporúčania z kontrol sformulované v hodnotiacich správach odhalili na

strane jednej rezervy pri praktickom uplatňovaní Dohovoru o SIS, na strane druhej

27

zodpovedný prístup hodnotených kandidátskych krajín a snahu o splnenie kritérií

poţadovaných na vstup do Schengenského priestoru. Záverečné hodnotiace správy boli

predloţené pracovnej skupine pre SIS/SIRENE a na schválenie Rade.

V súlade s plánom kontrol schengenských štátov vypracovaným Stálym výborom pre

Schengenské hodnotenia v roku 2010 sa vykonala vo februári kontrola uplatňovania

Schengenského acquis v oblasti ochrany osobných údajov v Rakúsku, Taliansku a Grécku.

Zistenia a odporúčania z kontrol sformulované v hodnotiacich správach odhalili rezervy

pri praktickom uplatňovaní Schengenského dohovoru, v prípade Rakúska to bola finančná

a personálna nezávislosť národnej dozornej autority na ochranu osobných údajov. Uvedeným

problémom sa zrejme bude zaoberať aj Súdny dvor Európskej únie. Záverečné hodnotiace

správy boli predloţené pracovnej skupine pre SIS/SIRENE a na schválenie Rade EÚ.

4.4.7. Aktivity na národnej úrovni

Činnosti, ktoré zabezpečoval referát zahraničných vzťahov na národnej úrovni sa odvíjali

od úloh (vyššie uvedených) spoločných dozorných orgánov (SDO Europol, SDO Schengen

a SDO Customs) ako aj od národného Schengenského akčného plánu na roky 2008/09. Týkali

sa konzultácií, kontrol a prieskumov na národnej ústredni Europolu, národnej ústredni

Schengenského informačného systému, úradu SIRENE, Colného kriminálneho úradu,

konzulárnych oddelení zastupiteľských úradov Slovenskej republiky v tretích krajinách,

Úradu hraničnej a cudzineckej polície a Migračného úradu ministerstva vnútra. Išlo o:

-

previerku kvality údajov poskytnutých národnou ústredňou Europolu v súvislosti

s kontrolou analytických pracovných súborov vykonanou Spoločným dozorným orgánom

v roku 2009 v ústredni Europolu v Haagu,

-

konzultácie a prieskumy na úrade SIRENE k uplatňovaniu článkov 97, 98 a 100

Dohovoru o SIS v praxi,

kontrolu Úradu hraničnej a cudzineckej polície a jeho vysunutých pracovísk (letiská

a pozemné hraničné priechody) a Migračného úradu MV SR zameranej na súlad

spracúvania osobných údajov so zákonom 428/2002 Z. z. o ochrane osobných údajov

v znení neskorších predpisov ako aj osobitných zákonov a príslušných právnych aktov

Európskeho spoločenstva a Európskej únie upravujúcich činnosť týchto orgánov,

kontrolu uplatňovania bezpečnostnej politiky na Colnej správe SR, (v súvislosti s

overovaním samo - hodnotiacich dotazníkov o informačnej bezpečnosti),

konzultácie a súčinnosť pri rekonštrukcii častí internetových stránok Ministerstva vnútra

SR a Ministerstva zahraničných vecí SR zameraných na informovanie verejnosti o politike

ochrany osobných údajov týmito prevádzkovateľmi a uplatňovanie práv dotknutých osôb,

kontroly spracovania osobných údajov pri vydávaní schengenských víz na konzulárnych

oddeleniach zastupiteľských úradov v tretích krajinách ako aj kontrolu plnenia uloţených

opatrení na pracoviskách, kde sa kontroly vykonali v rokoch 2008/09.

-

spoluprácu s MV SR pri zostavovaní Schengenského akčného plánu (SAP) na rok 2010

a odpočte plnenia úloh za rok 2009.

V roku 2009 bol Úrad poţiadaný v zastúpení advokátom z Talianska (štyrikrát)

a jedenkrát z Rumunska o výmaz osobných údajov fyzických osôb zo Schengenského

informačného systému. Úrad poţiadavky postúpil na vybavenie úradu SIRENE.

V roku 2010 boli aktivity referátu zahraničných vzťahov v predmetnej oblasti

orientované na nasledujúce konzultačné a kontrolne činnosti:

Schengenský informačný systém - Národná ústredňa SIRENE

28

a) Konzultácie a súčinnosť s úradom SIRENE a partnerskými dozornými úradmi EÚ pri

uplatňovaní práv dotknutých osôb (občanov tretích krajín nachádzajúcich sa na území

iných Schengenských štátov) podľa čl. 109 a 111 a 114 Schengenského dohovoru.

b) Koordinované kontroly plnenia článku 95 (Európsky zatýkací rozkaz) a článku 99

(pátranie po osobách podliehajúcich zvláštnemu reţimu alebo cielenej kontrole)

Schengenského dohovoru v gescii Spoločnej dozornej autority pre Schengen. Kontrola

sa zamerala tak na právny rámec a procedurálne postupy vykonávania Európskeho

zatykača (zákon č. 403/2004 Z. z. o európskom zatýkacom rozkaze v znení neskorších

predpisov) ako aj na praktické činnosti pracovníkov SIRENE (súlad s príručkou

SIRENE a interných aktov Ministerstva vnútra SR).

c) Kontrola bezpečnosti spracúvania údajov v N-SIS v súlade s poţiadavkami uvedenými

v čl. 118 Schegenského dohovoru a § 15 a § 16 zákona č. 428/2002 Z. z. vo

Výpočtovom stredisku Ministerstva vnútra SR.

Úrad medzinárodnej policajnej spolupráce Prezídia policajného zboru, pracovisko N-SIS

Vypracovanie dotazníka za oblasť Ochrana údajov pre misiu Sch-Eval, ktorá bude

hodnotiť národnú časť Schengenského informačného systému v roku 2012.

Prezídium Policajného zboru, Úrad medzinárodnej policajnej spolupráce - Národná ústredňa

Europolu

Kontrola prevádzkovateľa zameraná na zabezpečenie kvality a aktuálnosti údajov

v nadväznosti na zistenia z kontroly vykonanej spoločným dozorným orgánom pre

Europol v ústredí Europolu v marci 2010 v Haagu (v súlade s článkom 8 ods.4

Rozhodnutia Rady 2009/371/SVV o zriadení Európskeho policajného úradu).

Harmonizácia národnej legislatívy s právom EÚ

Súčinnosť s dotknutými rezortmi (Ministerstvo vnútra SR, Ministerstvo obrany SR,

Ministerstvo financií SR , Ministerstvo spravodlivosti SR a Generálnou prokuratúrou)

pri transpozícii ustanovení RR 2008/977/SVV o ochrane osobných údajov pri

policajnej a justičnej spolupráci v trestných veciach (plnenie záväzkov SR voči EÚ).

4.4.8. Úlohy vyplývajúce zo Schengenského akčného plánu (SAP)

Centrálnym orgánom zodpovedným za implementáciu a aplikáciu schengenského

acquis a schengenských štandardov je Ministerstvo vnútra SR. Orgánom zodpovedným za

koordináciu činností ústredných orgánov štátnej správy v oblasti ochrany osobných údajov je

Úrad na ochranu osobných údajov SR (ÚOOÚ).

V rámci hodnotiaceho procesu súvisiaceho so vstupom Slovenskej republiky do

Schengenského priestoru bola prvá etapa hodnotenia upriamená na oblasť ochrany osobných

údajov. Otázky misie Sch-Eval boli orientované najmä na postavenie a kompetencie Úradu na

ochranu osobných údajov SR, ktoré súvisia s príslušnými ustanoveniami v medzinárodných

právnych aktoch, ktoré ustanovujú poţiadavku úplnej nezávislosti výkonu činností národnej

dozornej autority pre ochranu osobných údajov. Hodnotiaca misia skúmala nezávislosť úradu

od výkonnej moci najmä v oblasti inštitucionálnej, personálnej, rozpočtovej ako aj

primeranosti finančných zdrojov na činnosť Úradu.

Hodnotiaca misia Sch-Eval vo svojej správe z 3. marca 2006 (6898/06) okrem iného

konštatovala: „Hoci ÚOOÚ vykonáva dozor nad ochranou osobných údajov nezávisle,

existujú pochybnosti ohľadom nezávislého postavenia úradu. Prostredníctvom Zákona

č. 428/2002 Z. z. mali zákonodarcovia v úmysle udeliť Úradu status nezávislého úradu

v súlade s medzinárodnými štandardmi a poţiadavkami. Avšak, Ústavný súd Slovenskej

republiky vyslovene potvrdil, ţe udelenie nezávislého postavenia vládnemu orgánu podľa

nariadenia s platnosťou zákona, bez toho, aby takéto udelenie bolo zaloţené na ústave

Slovenskej republiky a podporované ústavou Slovenskej republiky, vyústi do nezrovnalosti

29

medzi zákonom a ústavou (PL. US 17/96. Rozhodnutie Ústavného súdu Slovenskej republiky

z 24. februára 1998). ÚOOÚ má len obmedzenú rozpočtovú autonómiu, nakoľko Úrad

predkladá svoj návrh ako súčasť kapitoly úradu vlády. Čiţe, návrh v prvom rade podlieha

všeobecným rozpočtovým pravidlám vlády a aţ potom je predloţený parlamentu na

zváţenie.“

Správu o plnení opatrení zo Schengenského akčného plánu SR na roky 2008 – 2009 za

rok 2008 prijala vláda SR uznesením č. 217/2009 na rokovaní č. 143/2009 zo dňa 18. 3. 2009,

v ktorej je okrem iného uvedené: „Slovenská republika počas schengenských hodnotení

v rokoch 2006 a 2007 preukázala, ţe splnila všetky poţiadavky vyplývajúce zo

schengenského acquis. V správach o hodnotení jednotlivých oblastí schengenského

hodnotenia však bola zároveň vyzvaná pokračovať v ďalšom skvalitňovaní a napredovaní

plnenia úloh vyplývajúcich zo schengenského acquis. Na základe skutočnosti, ţe bude SR

opätovne hodnotená v roku 2012 alebo 2013, nemôţe poľaviť v implementácii schengenského

acquis. Schengenský akčný plán SR a jeho pravidelné vyhodnocovanie patria medzi hlavné

nástroje na dosiahnutie uvedeného cieľa.“

Ministerstvo vnútra SR predloţilo 25. 2. 2010 do medzirezortného pripomienkovania

Správu o plnení opatrení zo Schengenského akčného plánu Slovenskej republiky na roky

2008 – 2009 za rok 2009 ako iniciatívny materiál súvisiaci so záverečným vyhodnotením

splnenia opatrení Schengenského akčnému plánu Slovenskej republiky na roky 2008 – 2009,

schváleného uznesením vlády Slovenskej republiky č. 163 z 12. marca 2008. Predloţený

materiál pozostáva zo stručného vyhodnotenia plnenia všetkých opatrení k 31. decembru

2009. Opatrenia, ktoré boli k 31. decembru 2008 vyhodnotené ako splnené v „Správe o plnení

opatrení zo Schengenského akčného plánu Slovenskej republiky na roky 2008 – 2009 za rok

2008“ schválenej uznesením vlády Slovenskej republiky č. 217 z 18. marca 2009 uţ nie sú

predmetom vyhodnocovania tohto materiálu.

ÚOOÚ k vyhodnoteniu plnenia SAP za rok 2009 uplatnil zásadnú pripomienku

k plneniu opatrenia č. 84 - Zvýšenie počtu pracovných miest o štyri miesta na ÚOOÚ, pretoţe

neboli splnené deklarované záväzky SR v oblasti trvalého finančného zabezpečenia ÚOOÚ.

Rozpočtové prostriedky ÚOOÚ sa od roku 2008 neustále zniţujú. Ministerstvo

financií SR (ako správca kapitoly „Všeobecná pokladničná správa“, súčasťou ktorej je aj

program „0A0 – Ochrana osobných údajov“ – rozpočet ÚOOÚ), napriek námietkam pri

návrhu záväzných rozpočtových ukazovateľov pri zostavovaní Návrhu rozpočtu verejnej

správy na roky 2010, 2011 a 2012 zníţilo ÚOOÚ počet štátnozamestnaneckých miest zo 43

na 35, pričom finančné prostriedky boli zníţené o 27 percent, z úrovne rozpočtu roku 2008

tak, ţe vystačia na financovanie miezd pre 35 zamestnancov ÚOOÚ SR len na desať (10)

kalendárnych mesiacov v roku 2010 a následne aj na roky 2011 a 2012. Predmetná situácia

má priamy negatívny dopad nielen na plnenie úloh SAP (Opatrenia č. 120 a 131) ale aj na

reálne plnenie ostatných zákonom stanovených úloh ÚOOÚ. Chýbajúce finančné prostriedky

boli na konci roka 2010 riešené rozpočtovým opatrením na úkor kapitálových výdavkov

ÚOOÚ.

Ministerstvo financií SR ako správca rozpočtovej kapitoly Všeobecná pokladničná

správa, ktorej súčasťou je aj rozpočet ÚOOÚ predloţilo Vláde SR na schválenie rozpočet

úradu pre 35 zamestnancov na rok 2011 vo výške 684 349,- EUR, ktorý je o 30 percent niţší

ako rozpočet Úradu v roku 2009, ktorý bol vo výške 945 828,- EUR. Napriek námietkam

ÚOOÚ aj v parlamentnom výbore, Národná rada SR takto navrhnutý rozpočet ÚOOÚ pre rok

2011 schválila. Schválené rozpočtové finančné zdroje vystačia na činnosť ÚOOÚ len na

deväť mesiacov roku 2011.

Úrad povaţuje takto jednostranne realizovaný proces zostavovania ukazovateľov

rozpočtu orgánom štátnej správy Ministerstvom financií SR v rozpore s princípom úplnej

30

nezávislosti národnej dozornej autority, a to v oblasti finančnej a personálnej, s dopadom na

organizačnú štruktúru Úradu a v konečnom dôsledku za anulovanie realizovaných opatrení

vyplývajúcich z odporúčaní hodnotiacich misii Sch-Eval pre oblasť ochrany osobných údajov

v Slovenskej republike.

Predmetná situácia má negatívny dopad na plnenie úloh vyplývajúcich z Lisabonskej

zmluvy a ďalších medzinárodných dohovorov, ale aj na plnenie ostatných zákonom

stanovených úloh Úradu. Zotrvanie na tomto stave bude mať nepredvídateľné dôsledky aj v

súvislosti s periodickým hodnotením ochrany osobných údajov v Slovenskej republike

schengenskou hodnotiacou misiou (Sch-Eval) v roku 2012.

4.5. Medzinárodné konferencie splnomocnencov na ochranu osobných

údajov a súkromia¹

Kaţdoročnej Medzinárodnej konferencie splnomocnencov na ochranu osobných

údajov a súkromia sa okrem splnomocnencov z národných a regionálnych dozorných úradov

na ochranu osobných údajov a súkromia rôznych kontinentov, zúčastňujú aj iní experti z tejto

oblasti. Je to celosvetová konferencia a má širší záber ako Jarná konferencia európskych

splnomocnencov na ochranu osobných údajov.

Úrad sa zúčastnil iba jednej konferencie a to 31. medzinárodnej konferencie

splnomocnencov na ochranu osobných údajov a súkromia Madride v novembri 2009. Na tejto

konferencii bola prijatá Madridská rezolúcia – k medzinárodným normám týkajúcim sa

ochrany osobných údajov a súkromia. Na 32. medzinárodnú konferenciu v Izraeli v októbri

2010 Úrad nemohol vyslať zástupcu z dôvodu nedostatku finančných prostriedkov.

4.6. Jarné konferencie európskych dozorných orgánov na ochranu

osobných údajov

Zúčastňujú sa ich splnomocnenci na ochranu osobných údajov členských štátov EÚ a

Rady Európy. Prítomní sú aj zástupcovia Európskej komisie, EÚ a tretieho piliera, ako aj

spoločných dozorných orgánov na ochranu osobných údajov EÚ a Rady Európy. Konferencia

sa tradične končí prijatím série významných dokumentov a vyuţíva prácu svojich podskupín,

ktoré sú zamerané na konkrétne problémy spoločného záujmu. Napríklad pracovná skupina

pre políciu a spravodlivosť pripravuje materiály k otázkam tretieho piliera, so zreteľom na ich

prijatie na zasadnutí Európskej konferencie. Jej pracovná skupina medzinárodných

workšopov spracovania podaní je fórom pre výmenu informácií a pre zdieľanie skúseností v

prípade vybavovania sťaţností. V rokoch 2009 a 2010 sa predseda a ďalší zamestnanci Úradu

zúčastnili nasledovných konferencií:

o

apríl 2009 – Edinburgh. Prijaté dokumenty :

. Deklarácia o riadení a budúcnosti pre oblasť ochrany osobných údajov

v Európe²

. Rezolúcia o bilaterálnych a multilaterálnych zmluvách uzavretých medzi

európskymi štátmi a tretími krajinami v oblasti policajnej a súdnej

spolupráce v trestných veciach³

¹International Conference of Data Protection and Privacy Commissioners

²Declaration on leadership and the future of data protection in Europe, adopted on 23 April 2009

3

Resolution on bilateral and multilateral agreements beween European states and third countries in the

area of police and judicia co-operation in criminal matters, adopted on 23 April 2009

31

. Budúcnosť workšopov k riešeniu prípadov⁴

apríl 2010 – Praha. Prijaté dokumenty:

o

. Rezolúcia o predpokladanej dohode medzi Európskou úniou a Spojenými

štátmi americkými k normám pre ochranu údajov v oblasti policajnej a

súdnej spolupráce v trestných veciach⁵

. Rezolúcia o budúcom vývoji ochrany osobných údajov a súkromia⁶

. Rezolúcia o pouţívaní telesných skenerov na účely bezpečnosti letísk⁷

. Rezolúcia o zriadení spoločných akcií na zvyšovanie povedomia a

vzdelávania mladých ľudí na európskej a medzinárodnej úrovni⁸

4.7. Stretnutia splnomocnencov na ochranu osobných údajov strednej a

východnej Európy

Je to regionálne fórum, kde si pracovníci dozorných úradov na ochranu osobných

údajov vymieňajú skúsenosti v oblastiach špecifických pre krajiny strednej a východnej

Európy. Konferencie sa zúčastňujú delegácie z krajín: Bulharsko, Chorvátsko, Česko,

Estónsko, Litva, Lotyšsko, Maďarsko, Macedónsko, Slovensko, Poľsko, Rumunsko.

máj 2010 – Sopoty

5. Lisabonská zmluva

Lisabonská zmluva, ktorou sa mení a dopĺňa Zmluva o Európskej únii a Zmluva

o zaloţení Európskeho spoločenstva, nadobudla platnosť 1. 12. 2009. Podľa Článku 6 Zmluvy

o Európskej únii Charta základných práv Európskej únie má rovnakú právnu silu ako zmluvy.

Lisabonskou zmluvou sa zrušila predchádzajúca pilierová štruktúra Európskej únie

a vo všetkých politikách únie sa zaviedol nový a komplexný právny základ ochrany osobných

údajov.

Podľa článku 16 Zmluvy o fungovaní Európskej únie:

1. Kaţdý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

2. Európsky parlament a Rada v súlade s riadnym legislatívnym postupom ustanovia pravidlá,

ktoré sa vzťahujú na ochranu fyzických osôb, pokiaľ ide o spracúvanie osobných údajov

inštitúciami, orgánmi, úradmi a agentúrami Únie, ako aj členskými štátmi pri výkone činností,

ktoré patria do rozsahu pôsobnosti práva Únie, a pravidlá, ktoré sa vzťahujú na voľný pohyb

takýchto údajov. Dodrţiavanie týchto pravidiel podlieha kontrole nezávislých orgánov.

Pravidlami prijatými na základe tohto článku nie sú dotknuté osobitné pravidlá

ustanovené v článku 39 Zmluvy o Európskej únii. „Článok 39 - V súlade s článkom 16

Zmluvy o fungovaní Európskej únie a odchylne od jeho odseku 2 Rada prijme rozhodnutie

⁴The future of the case handling workshops, document adopted on 23 April 2009

⁵Resolution on the envisaged agreement between the European Union and the United States of America

on data protection standards in the area of police and judicial co-operation in criminal matters

⁶Resolution on future development of data protection and privacy

⁷Resolution on the use of body scanners for airport security purposes

8

Resolution on the set up of joint actions of awareness and education of youngsters at a European and

international level

32

ustanovujúce pravidlá, ktoré sa vzťahujú na ochranu fyzických osôb, pokiaľ ide o spracúvanie

osobných údajov členskými štátmi pri výkone činností, ktoré patria do rozsahu pôsobnosti

tejto kapitoly, a pravidlá, ktoré sa vzťahujú na voľný pohyb takýchto údajov. Dodrţiavanie

týchto pravidiel podlieha kontrole nezávislých orgánov.“

Na tomto základe a s ohľadom na Chartu základných práv EÚ sa v oznámení Komisie

o Štokholmskom programe a Štokholmskom akčnom pláne zdôraznila potreba komplexného

systému ochrany s cieľom posilniť pozíciu EÚ v oblasti ochrany osobných údajov

jednotlivcov v súvislosti so všetkými politikami EÚ vrátane presadzovania práva

a predchádzania trestnej činnosti.

V prípade, ţe členský štát pri vykonávaní práva Únie základné práva nedodrţiava,

Komisia má ako stráţca zmlúv vlastnú právomoc, prostredníctvom ktorej sa môţe pokúsiť

toto porušenie ukončiť, a v prípade potreby môţe vec postúpiť Súdnemu dvoru (ţaloba

o nesplnení povinnosti).

5.1. Analýza vplyvov Lisabonskej zmluvy

Vláda Slovenskej republiky v zmysle plnenia úlohy B.1. z Uznesenia vlády č. 60/2008

z 23. januára 2008 na svojom rokovaní č.101/2008, 18. 6. 2008, v rámci g. bodu programu

rokovania vzala na vedomie Analýzu vplyvov Lisabonskej zmluvy na právny poriadok

Slovenskej republiky v pôsobnosti jednotlivých rezortov v prípade jej vstupu do platnosti.

Obsahom predmetnej analýzy bol zoznam právnych predpisov (aj s odôvodnením),

ktoré v súvislosti so vstupom Lisabonskej zmluvy do platnosti bude potrebné novelizovať. Pre

oblasť ochrany osobných údajov podľa tejto analýzy bude nutné novelizovať nasledujúce

právne akty:

5.1.1. Zákon č. 460/1992 Zb. Ústava Slovenskej republiky

Slovenská republika ako jeden z členských štátov Európskej únie bola povinná

zosúladiť svoj právny poriadok v oblasti ochrany osobných údajov s právnym poriadkom

Európskej únie. Základným dokumentom platným pre oblasť ochrany osobných údajov je

Smernica Európskeho parlamentu a Rady 95/46/EC o ochrane jednotlivcov pri spracúvaní

osobných údajov a voľnom pohybe údajov. Podľa čl. 1 ods. 1 cit. smernice sa členské štáty

Európskej únie zaväzujú „chrániť základné práva a slobody fyzických osôb pri spracúvaní

osobných údajov, najmä ich právo na súkromie.“ Čl. 28 smernice 95/46/EC členským štátom

Európskej únie ukladá povinnosť zriadiť národnú dozornú autoritu, ktorá „koná pri výkone

zverených úloh úplne nezávisle“.

Od 1. januára 2001 pre Slovenskú republiku nadobudol platnosť Dohovor Rady

Európy 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov s

dodatkami (Oznámenie Ministerstva zahraničných vecí SR č. 49/2001Z. z.). Cieľom tohto

dohovoru je rozšíriť záruky práv a základných slobôd pre kaţdého, najmä práva na

rešpektovanie súkromia vzhľadom na zvyšujúci sa cezhraničný tok osobných údajov, ktoré sú

predmetom spracovania.

Od 1. júla 2004 pre Slovenskú republiku nadobudol platnosť Dodatkový protokol

k Dohovoru Rady Európy 108 týkajúci sa orgánov dozoru a cezhraničných tokov údajov

(Oznámenie Ministerstva zahraničných vecí SR č. 20/2005 Z. z.). Národná rada Slovenskej

republiky vyslovila súhlas s Dodatkovým protokolom uznesením č. 2136 zo 17. mája 2002 a

rozhodla, ţe ide o medzinárodnú zmluvu podľa čl. 7 ods. 5 Ústavy Slovenskej republiky,

ktorá má prednosť pred zákonmi. V preambule Dodatkového protokolu sa konštatuje, ţe len

„dozorné orgány vykonávajúce svoje funkcie úplne nezávisle, sú prvkom účinnej ochrany

osôb pri spracovaní ich osobných údajov a zabezpečení účinnej ochrany ľudských práv a

základných slobôd, najmä práva na súkromie“. Z čl. 1 ods. 3 Dodatkového protokolu

33

výslovne vyplýva, ţe „Dozorné orgány vykonávajú svoje funkcie úplne nezávisle“. Z čl. 1

ods. 4 Dodatkového protokolu ďalej vyplýva, ţe „Proti rozhodnutiam dozorných orgánov,

ktoré viedli k sťaţnostiam, sa moţno odvolať na súdoch“.

Lisabonská zmluva prináša zmenu v tom, ţe poţaduje pre orgány dozoru nad

ochranou osobných údajov nezávislosť nielen pri výkone ich funkcií, ale aby boli nezávislé v

tom najširšom slova zmysle. Lisabonská zmluva v čl. 16 Zmluvy o fungovaní Európskej únie

a čl. 39 Zmluvy o Európskej únii ukladá členským štátom povinnosť zaručiť, ţe dodrţiavanie

pravidiel vzťahujúcich sa na ochranu fyzických osôb, pokiaľ ide o spracúvanie ich osobných

údajov, bude podliehať kontrole nezávislého orgánu.

Komisia Európskych spoločenstiev sa uţ problémom úplnej nezávislosti národnej

dozornej autority v minulosti zaoberala napr. „Ţaloba podaná 22. Novembra 2007 – Komisia

Európskych spoločenstiev proti Spolková republika Nemecko (vec C-518/07).“

Súdny dvor (Veľká komora) vo svojom rozsudku z 9. marca 2010 vo veci

„Nesplnenie povinnosti členským štátom – Smernica 95/46/EHS – Ochrana fyzických

osôb pri spracovaní osobných údajov a voľný pohyb týchto údajov – Článok 28 ods. 1 –

Vnútroštátne dozorné orgány – Nezávislosť – Správny dohľad vykonávaný týmito orgánmi“,

vyhovel ţalobe Komisii Európskych spoločenstiev. Súdny dvor v rámci svojej analýzy

k predmetnému rozsudku konštatoval:

„Záruka nezávislosti vnútroštátnych dozorných orgánov má zabezpečiť účinnosť

a spoľahlivosť dohľadu nad dodrţiavaním právnych predpisov v oblasti ochrany fyzických

osôb pri spracovaní osobných údajov a musí byť vykladaná vo svetle tohto cieľa. Táto záruka

nebola vytvorená preto, aby uvedeným orgánom ako takým a ich úradníkom priznala osobitné

postavenie, ale bola vytvorená s cieľom posilniť ochranu osôb a subjektov dotknutých ich

rozhodnutiami. Z toho vyplýva, ţe pri vykonávaní svojich úloh musia dozorné orgány konať

objektívne a nestranne. Na tento účel musia byť oslobodené od akéhokoľvek vonkajšieho

vplyvu, vrátane priameho či nepriameho vplyvu štátu alebo spolkových krajín, a teda nielen

od vplyvu kontrolovaných subjektov.“

„Článok 28 ods. 1 druhý pod odsek smernice 95/46 sa má vykladať v tom zmysle, ţe

dozorným orgánom povereným dohľadom nad spracovaním osobných údajov v neverejnom

sektore musí byť priznaná nezávislosť, ktorá im umoţní vykonávať ich úlohy bez vonkajšieho

vplyvu. Táto nezávislosť vylučuje nielen akýkoľvek vplyv zo strany kontrolovaných

subjektov, ale aj akýkoľvek príkaz a iný priamy alebo nepriamy vonkajší vplyv, ktorý by

mohol spochybniť vykonávanie úloh uvedenými orgánmi, ktoré spočívajú v zabezpečení

spravodlivej rovnováhy medzi ochranou základného práva na súkromie a voľným pohybom

osobných údajov.“

Orgánom, ktorý v rámci právneho poriadku Slovenskej republiky vykonáva dozor nad

ochranou osobných údajov, je Úrad na ochranu osobných údajov Slovenskej republiky. Úrad

bol zriadený zákonom č. 428/2002 Z. z. o ochrane osobných údajov k 1. septembru 2002.

Inštitút nezávislého výkonu dozoru nad ochranou osobných údajov predpokladá aj zákon

č. 428/2002 Z. z.. Podľa § 33 ods. 2 citovaného zákona „Úrad ako štátny orgán vykonáva

dozor nad ochranou osobných údajov nezávisle a podieľa sa na ochrane základných práv

a slobôd fyzických osôb pri spracúvaní ich osobných údajov.“ Predmetné ustanovenie zákona

však nedôsledne transponuje čl. 28 Smernice 95/46/EC a čl. 1 ods. 3 Dodatkového protokolu

k Dohovoru RE 108.

Pristúpenie Slovenskej republiky k Lisabonskej zmluve nastoľuje poţiadavku

kreovania Úradu na ochranu osobných údajov Slovenskej republiky v Ústave Slovenskej

republiky. Nezávislosť národnej dozornej autorite sa poţaduje priznať v takom rozsahu, ako

34

má v súčasnosti v Slovenskej republike napríklad Najvyšší kontrolný úrad Slovenskej

republiky, Verejný ochranca práv alebo Generálna prokuratúra Slovenskej republiky.

5.1.2. Zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších

predpisov

Lisabonská zmluva, ktorou sa mení a dopĺňa Zmluva o Európskej únii a Zmluva

o zaloţení Európskeho spoločenstva, nadobudla pre Slovenskú republiku platnosť dňom

1. 12. 2009. Podľa oznámenia Ministerstva zahraničných vecí Slovenskej republiky v Zbierke

zákonov č. 486/2009 Národná rada Slovenskej republiky vyslovila súhlas s ratifikáciou

zmluvy svojim uznesením č. 809 z 10. apríla 2008 a rozhodla, ţe ide o medzinárodnú zmluvu

podľa čl. 7 odsek 5 Ústavy Slovenskej republiky, ktorá má prednosť pred zákonmi.

Na zabezpečenie úplnej nezávislosti národnej dozornej autority pre oblasť ochrany

osobných údajov Úrad navrhuje zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení

neskorších predpisov a ďalšie zákony, doplniť o ustanovenia obsahujúce jednoznačné

vyčlenenie Úradu ako nezávislého štátneho orgánu v štruktúre štátnych orgánov, doplniť

ustanovenia o správcovstve rozpočtovej kapitoly Úradu, doplniť ustanovenia o platových

a ostatných náleţitostiach verejných funkcionárov Úradu, doplniť ustanovenia obsahujúce

charakteristiku platových tried štátnych zamestnancov Úradu a platové tarify štátnych

zamestnancov Úradu.

6. Inšpekčná činnosť a vybavovanie oznámení

6.1. Útvar inšpekcie ochrany osobných údajov

Útvar inšpekcie ochrany osobných údajov uskutočňuje výkon nezávislého dozoru nad

ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb

pri spracúvaní ich osobných údajov.

Aktivity útvaru inšpekcie sú zamerané najmä na inšpekčnú činnosť ochrany osobných

údajov vrátane kontrol informačných systémov u prevádzkovateľov a sprostredkovateľov.

Ďalej na prešetrovanie oznámení dotknutých osôb, iných fyzických osôb, ktoré tvrdia, ţe boli

priamo dotknuté vo svojich právach ustanovených zákonom o ochrane osobných údajov

a podnetov podaných na úrad právnickými a inými fyzickými osobami.

Útvar inšpekcie sa zároveň podieľa na koordinácii spolupráce s orgánmi Európskej

únie, medzinárodnými inštitúciami a úradmi na ochranu osobných údajov v zahraničí.

Výkon odborných činností zabezpečujú inšpektori a odbor prešetrovania oznámení

a analýz. Plnenie odborných úloh útvaru inšpekcie v hodnotenom období zabezpečoval

vrchný inšpektor, dvaja inšpektori, vedúca odboru prešetrovania oznámení a analýz a deväť

odborných pracovníkov; od mája 2010 osem odborných pracovníkov.

Tak ako po minulé roky aj v hodnotenom období útvar inšpekcie, odbor prešetrovania

oznámení a analýz, plnil nielen úlohy, ktoré mu boli priebeţne prideľované (prešetrovanie

oznámení podaných na Úrad oznamovateľmi), ale aj úlohy, ktoré mu vyplynuli z interných

plánov práce vypracovaných na roky 2009 a 2010.

35

Plány činnosti odboru prešetrovania oznámení a analýz zahŕňali pre kaţdého analytika

odboru minimálne štyri konania ex offo, dve dlhodobé úlohy, ktoré analytik plnil priebeţne,

ako aj konkrétne úlohy, ktoré boli analytikovi pridelené vrchným inšpektorom, zamerané na

15 podaní vysvetlení u prevádzkovateľov a účasti minimálne na piatich kontrolách.

Plány pracovnej činnosti inšpektorov boli zamerané najmä na kontroly vopred

špecifikovaných cieľových skupín prevádzkovateľov určených vrchným inšpektorom a na

analýzu kvality stavu spracúvania osobných údajov v ich informačných systémoch.

Pokračovalo sa v plnení úloh, ktoré vyplývajú Úradu zo Schengenského akčného plánu

Slovenskej republiky. Ďalej to boli aktivity týkajúce sa účasti na pracovných stretnutiach

orgánov dozoru, stretnutia inšpektorov v Bruseli a stretnutia inšpektorov českého

a slovenského úradu v Luhačoviciach.

6.2. Výkon dozoru nad ochranou osobných údajov v číslach

Dotknuté osoby, resp. iné fyzické osoby, ktoré tvrdili, ţe došlo k porušeniu ich práv

a právom chránených záujmov podali v roku 2009 priamo na Úrad 108 oznámení a v roku

2010 121 oznámení. Ďalších 36 oznámení v roku 2009 podali na Úrad iné subjekty, ktoré

Úradu oznamovali podozrenie z porušenia zákona o ochrane osobných údajov a v roku 2010

to bolo 35 oznámení. V hodnotenom období teda Úrad súhrnne prešetril 300 oznámení. Na

základe rozhodnutia vrchného inšpektora ex offo bolo voči prevádzkovateľom informačných

systémov v hodnotenom období začatých ďalších 249 konaní. Celkovo teda útvar inšpekcie

v rokoch 2009 a 2010 riešil 549 podnetov.

Z týchto podnetov 339 smerovalo voči subjektom z privátneho sektoru, 103 voči

prevádzkovateľom z oblasti verejnej správy, resp. voči iným orgánom verejnej moci, v 58

prípadoch Úrad prešetril podnety, ktoré smerovali voči samospráve, 40 prípadov sa týkalo

občianskych zdruţení, nadácií, politických strán, resp. hnutí a štátom uznaných cirkví alebo

náboţenských spoločností, v 9 prípadoch bola riešená verejnoprávna inštitúcia.

Útvar inšpekcie za súčinnosti odboru prešetrovania oznámení a analýz v hodnotenom

období vykonal 232 kontrol

a

145 podaní vysvetlení u prevádzkovateľov

a sprostredkovateľov informačných systémov. Na odstránenie zistených nedostatkov a na

nápravu bolo v súlade s § 46 ods. 1 písm. b) zákona č.428/2002 Z. z. o ochrane osobných

údajov v platnom znení vydaných 305 opatrení. Právo námietky voči vydaným opatreniam

vyuţilo 16 prevádzkovateľov. Námietky boli riešené v druhom stupni, v dvoch prípadoch boli

akceptované, v dvoch prípadoch čiastočne akceptované a v ostatných prípadoch boli

zamietnuté. Zostávajúcich 289 prevádzkovateľov rešpektovalo názor Úradu ako vo veci

rozhodol, čo je viac ako 94 percent.

Právo zverejniť porušenie zákona prevádzkovateľom v súlade s § 48 zákona

č. 428/2002 Z. z. uplatnil Úrad v hodnotenom období len v jednom prípade, keď vrchný

inšpektor konal voči obci Vlachy. V predmetnom prípade na úradných tabuliach obce Vlachy

boli neoprávnene, bez vedomia a súhlasu dotknutých osôb, zverejnené osobné údaje občanov,

ktoré poskytli obci Vlachy v súvislosti s ich ţiadosťami o sprístupnenie informácií podľa

zákona o slobodnom prístupe k informáciám.

V roku 2009 Úrad uloţil devätnásť pokút v úhrnnej výške 27 446, 19 eur. Sankcie sa

pohybovali spravidla na dolnej hranici moţnej sadzby. V roku 2010 Úrad uloţil dvadsaťjeden

pokút v úhrnnej výške 60 578 eur. Za hodnotené obdobie Úrad teda uloţil štyridsať pokút (čo

je o sto percent viac ako v rokoch 2007-2008) v úhrnnej výške 88 024, 19 eur. Z toho

dvadsaťdva pokút bolo včas uhradených, v deviatich prípadoch bol voči rozhodnutiu o pokute

podaný rozklad a desať pokút je vymáhaných exekučne.

36

Útvar inšpekcie z 264 oznámení podaných na Úrad v rokoch 2009 a 2010 dotknutými

osobami vo veci podozrenia z porušenia práv dotknutých osôb, resp. inými osobami, ktoré

tvrdili, ţe došlo k porušeniu ich práv, ukončil 228 prípadov. Z toho bolo 181 oznámení

vybavených v základnej zákonnej lehote do 60 dní (§ 45 ods. 12 prvá veta zákona č. 428/2002

Z. z.), čo činí cca 69 percent. Dlhšie prešetrovanie ostatných vybavovaných oznámení bolo

spôsobené najmä nutnou konzultáciou predmetnej veci s inými orgánmi, nevyhnutným

výkonom kontroly informačného systému u prevádzkovateľa, náročnejším získavaním

dôkazového materiálu alebo poţiadavkou na poskytnutie súčinnosti zo strany samotného

oznamovateľa. Z 288 vybavených oznámení bolo 113 podaní vyhodnotených ako

neopodstatnených.

Oznamovateľ má právo v zákonnej tridsaťdňovej lehote podať na Úrad voči výsledku

o prešetrení oznámenia opakované oznámenie. Z 288 oznamovateľov, ktorých oznámenia boli

v hodnotenom období Úradom vybavené , podali voči týmto vybaveným oznámeniam na

Úrad opakované oznámenia dvanásti oznamovatelia. V jedenástich prípadoch Úrad

opakované oznámenia v súlade so zákonom odloţil, nakoľko neobsahovali nové skutočnosti,

jedno opakované oznámenie preskúmal vrchný inšpektor úradu a riešil ho vydaním

vysvetľujúceho stanoviska. Zostávajúcich 276 oznamovateľov, ktorých podania boli Úradom

vybavené, rešpektovalo názor Úradu ako vo veci rozhodol, čo je viac ako 95 percent.

V prípadoch, v ktorých ide o podozrenie zo spáchania trestného činu, Úrad podáva

návrh orgánom činným v trestnom konaní na začatie trestného stíhania. Útvar inšpekcie

v rokoch 2009 a 2010 inicioval štyri oznámenia orgánom činným v trestnom konaní.

Prehľad údajov je uvedený v tabuľke č.2.

Tabuľka č.2:

Útvar inšpekcie – Odbor prešetrovania oznámení a analýz 2009-2010

Názov činnosti

2009

2010

2009-10 spolu

108

121

229

Prešetrovanie oznámení od fyzických

osôb

36

35

71

Prešetrovanie podnetov od iných

subjektov

128

121

249

Konanie ex offo – konania začaté na

základe rozhodnutia Úradu z rôznych

podnetov

72

73

145

Preverenie stavu dodržiavania

administratívnych postupov

u prevádzkovateľov

a sprostredkovateľov

107

161

19

125

144

21

232

305

40

Kontroly informačných systémov

prevádzkovateľov a sprostredkovateľov

Vydanie opatrení na odstránenie

nedostatkov

Správne konania k vydaniu rozhodnutia

o uložení sankcie

19 vo výške 21 vo výške

Uloženie pokút

27.446,19 €

60.578 €

88.024 €

37

6.3. Celoslovenské kontrolné akcie Úradu

6.3.1. Kontrola spracúvania osobných údajov u poskytovateľoch satelitnej a káblovej

televízie.

Na základe rozhodnutia vrchného inšpektora boli v roku 2010 vykonané kontroly

spracúvania osobných údajov u troch vybraných prevádzkovateľov poskytujúcich sluţby

satelitnej a káblovej televízie, počas ktorých boli zistené viaceré porušenia zákona

č. 428/2002 Z. z. Prevaţne išlo o absenciu evidencie informačných systémov, resp. vedenie

neúplnej evidencie informačných systémov, získavanie osobných údajov kopírovaním,

skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií bez

právneho podkladu, nekonkrétne a všeobecné poučenia oprávnených osôb o právach,

povinnostiach ustanovených zákonom č. 428/2002 Z. z. a zodpovednosti za ich porušenie.

U jedného z kontrolovaných prevádzkovateľov bolo zistené ţe v rozpore s § 7 ods. 3

a 4 písm. b) zákona č. 428/2002 Z. z. sa v osobných spisoch zamestnancov nachádza

„Prehlásenie o súhlase zamestnanca“ so spracúvaním osobných údajov v súvislosti s jeho

pracovným pomerom. Oproti tomu chýbalo poskytnutie informácií dotknutej osobe od

prevádzkovateľa podľa § 10 ods. 1 zákona č. 428/2002 Z. z. najmä o účele spracúvania

osobných údajov, poučenie o dobrovoľnosti alebo povinnosti poskytnúť poţadované osobné

údaje. Ak sa dotknutá osoba sama rozhoduje poskytnúť svoje osobné údaje, prevádzkovateľ

jej oznámi, na základe akého právneho podkladu mieni spracúvať jej osobné údaje. Ak

dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z osobitného zákona,

prevádzkovateľ oznámi dotknutej osobe zákon, ktorý jej túto povinnosť ukladá a upovedomí

ju o následkoch odmietnutia tejto povinnosti. Ak sa predpokladá alebo je zrejmé, ţe osobné

údaje sa poskytnú tretím stranám, tak prevádzkovateľ dotknutej osobe oznámi okruh

príjemcov. Ak sa predpokladá alebo je zrejmé, ţe budú osobné údaje sprístupnené tretím

krajinám a uskutoční sa prenos osobných údajov do týchto krajín, prevádzkovateľ tak isto

poučí o existencii práv dotknutú osobu.

Kontrolou Všeobecných obchodných podmienok (ďalej len „VOP“) bolo zistené, ţe

prevádzkovateľ v ţiadosti o registráciu, ktorá bola zverejnená aj na jeho webovom sídle

vyţadoval a získaval od dotknutých osôb údaje nad rámec, ktorý mu umoţňoval § 55 ods. 1

písm. b) a § 57 ods. 2 zákona č. 610/2003 Z. z. o elektronických komunikáciách v znení

neskorších predpisov.

U tohto a aj ďalších kontrolovaných prevádzkovateľov bolo kontrolou zmlúv na

poskytovanie sluţby (ktorých súčasťou boli VOP) zistené, ţe uţívateľ (podpisom zmluvy)

dával distribútorovi a príslušnému prevádzkovateľovi, v zmysle ustanovení príslušného

zákona o ochrane osobných údajov, výslovný súhlas na spracúvanie osobných údajov

v súvislosti s plnením predmetu tejto zmluvy.

V týchto prípadoch bol súhlas na spracúvanie osobných údajov vyţadovaný v rozpore

s § 7 ods. 4 písm. b) zákona č .428/2002 Z. z., nakoľko ak spracúvanie osobných údajov je

nevyhnuté na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných

strán, je moţné osobné údaje spracúvať bez súhlasu.

Prevádzkovateľ je však povinný dotknutým osobám, od ktorých mieni získať osobné

údaje, bez vyzvania poskytnúť a vopred oznámiť informácie podľa § 10 ods. 1 zákona

č. 428/2002 Z. z., čo tieto zmluvy a VOP neobsahovali napriek tomu, ţe túto povinnosť

38

ukladá prevádzkovateľovi aj § 57 ods. 5 zákona č. 610/2003 Z. z. Okrem toho bolo zistené, ţe

prevádzkovateľ takto získaval osobné údaje dotknutých osôb, okrem poskytnutia sluţby, aj na

marketingové účely.

6.3.2. Rezort zdravotníctva

Na základe skúseností z uplynulých rokov, kedy útvar inšpekcie riešil viacero oznámení

dotknutých osôb, ktoré smerovali voči prevádzkovateľom z radov poskytovateľov zdravotnej

starostlivosti, vrchný inšpektor zaradil do plánu úloh na roky 2009 a 2010 aj celoslovenské

kontrolné akcie zamerané na rezort zdravotníctva.

V uvedenom období útvar inšpekcie v rámci výkonu dozoru uskutočnil rad kontrol

z vlastnej iniciatívy s cieľom celoplošne preveriť, či prevádzkovatelia v rezorte zdravotníctva

dodrţiavajú ustanovenia zákona č. 428/2002 Z. z. pri spracúvaní osobných údajov dotknutých

osôb, t.j. pacientov.

V sledovanom období sa uskutočnilo 30 kontrol v 27 mestách Slovenska u 30

prevádzkovateľov z radov štátnych aj neštátnych zdravotníckych zariadení, ustanovených

zákonom č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych

pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých

zákonov v znení neskorších predpisov a zákonom č. 538/2005 Z. z. o prírodných liečivých

vodách, prírodných liečebných kúpeľoch, kúpeľných miestach a prírodných minerálnych vodách

a o zmene a doplnení niektorých zákonov.

Dozorná činnosť bola zameraná na spracúvanie osobných údajov gynekologicko-

pôrodníckymi klinikami a oddeleniami nemocníc a kúpeľnými zariadeniami.

6.3.3. Pôrodnice

V minulých rokoch útvar inšpekcie riešil rad oznámení, týkajúcich sa úniku kontaktných

osobných údajov rodinných príslušníkov z gynekologicko-pôrodnických kliník a oddelení

nemocníc (telefónne čísla otcov novorodencov). V roku 2010 boli vykonané kontroly u 24

vybraných prevádzkovateľov spomedzi 56 existujúcich v celej SR. Kontrolná činnosť sa

realizovala v 22 mestách Slovenska tak, aby boli zastúpené všetky kraje v SR.

Prevádzkovatelia zvyčajne spracúvajú osobné údaje v niekoľkých informačných

systémoch: o svojich zamestnancoch, o pacientoch, kde sú spracúvané osobné údaje ich

rodinných príslušníkov, údaje zaznamenané z monitorovania verejne prístupného priestoru

kamerami, o čitateľoch kniţnice, kde okrem osobných údajov zamestnancov sa spracúvajú

osobné údaje externých čitateľov.

Útvar inšpekcie sa pri výkone kontrol informačných systémov o pacientoch zameral

najmä na zoznam získavaných osobných údajov blízkych osôb rodičiek. Preveroval aplikácie

organizačných, technických a personálnych opatrení na ochranu osobných údajov pred ich

neoprávneným sprístupnením tak, ţe sa zameral na rozsah oprávnení a rozsah povolených

činností jednotlivých oprávnených osôb, rozsah ich zodpovednosti, existenciu/neexistenciu

moţnosti identifikácie a autentizácie oprávnených osôb pri prístupe do informačného

39

systému, ako aj na výkon kontrolných činností zameraných na dodrţiavanie bezpečnosti

informačného systému zo strany prevádzkovateľov.

Kontrolami sa zistilo, ţe v informačných systémoch o pacientoch sa spracúvajú osobné

údaje blízkych osôb akým je manţel, príp. rodičia v rozsahu meno, priezvisko, adresa, resp.

meno, priezvisko a telefonický kontakt. Právny dôvod vyplýva z ustanovenia § 41 zákona

č. 576/2004 Z. z. o zdravotnej starostlivosti v znení neskorších predpisov, ktoré ukladá

poskytovateľom zdravotnej starostlivosti povinnosť bezodkladne oznámiť úmrtie dotknutej

osoby v zdravotníckom zariadení jej blízkym osobám. Vzhľadom na tento účel spracúvania

osobných údajov Úrad vyhodnotil uvedený rozsah osobných údajov za zodpovedajúci účelu

spracúvania podľa § 6 ods. 1 písm. d) cit. zákona.

Úrad následne preveroval ochranu spracúvaných osobných údajov podľa ustanovenia §

15 ods. 2 písm. a) v nadväznosti na § 16 zákona o ochrane osobných údajov, nakoľko

informačné systémy o pacientoch boli prevádzkované v sieti s prístupom na verejnú

počítačovú sieť. Úrad preveroval moţnosť úniku osobných údajov o blízkych osobách

z informačných systémov o pacientoch a preveroval aj práva prístupu jednotlivých

oprávnených osôb v zmysle § 16 ods. 6 písm. b) a c) zákona č. 428/2002 Z. z, ako aj ich

poučenia podľa § 17. V tejto oblasti všetky kontrolované subjekty prijali opatrenia na ochranu

osobných údajov, a teda sa preverovala primeranosť týchto opatrení.

Viaceré kontrolované subjekty neprijali primerané opatrenia na ochranu osobných

údajov v zmysle § 16 ods. 6 písm. d) a e) zákona č. 428/2002 Z. z. Najčastejšie pochybenia sa

vyskytli pri prevádzkovaní kamerových systémov. Týkali sa absencie vedenia evidencie

o informačnom systéme v zmysle § 29 ods. 1 cit. zákona, resp. absencie smernice na ochranu

osobných údajov podľa § 16 ods. 6 zákona č. 428/2002 Z. z.

6.3.4. Kúpeľné zariadenia

V rokoch 2009 a 2010 útvar inšpekcie zrealizoval výkon dozoru uskutočnením

hĺbkových kontrol šiestich prevádzkovateľov – poskytovateľov kúpeľnej starostlivosti.

Poskytovatelia kúpeľnej starostlivosti spracúvajú osobné údaje o kúpeľných hosťoch

v dvoch informačných systémoch, a to v informačnom systéme zameranom na spracúvanie

osobných údajov pacientov a v informačnom systéme o ubytovaných hosťoch.

Účel spracúvania osobných údajov v informačnom systéme o pacientoch, ako aj zoznam

osobných údajov, ktoré sú prevádzkovatelia tohto typu oprávnení spracúvať, ustanovuje

osobitný zákon č. 576/2004 Z. z. o zdravotnej starostlivosti, sluţbách súvisiacich s poskytovaním

zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Prevádzkovatelia dôsledne postupujú podľa tohto osobitného zákona, a teda dodrţiavajú

ustanovenie § 6 ods. 1 písm. d) zákona č. 428/2002 Z. z., t. j. spracúvajú len také osobné údaje,

ktoré svojim rozsahom a obsahom zodpovedajú účelu ich spracúvania.

Preto sa útvar inšpekcie pri kontrole informačných systémov o pacientoch zameral najmä

na preverovanie bezpečnosti spracúvaných osobných údajov, t. j. na dodrţiavanie ustanovení

§ 15 ods. 1, § 15 ods. 2 písm. a) a písm. b) v nadväznosti na § 16, ako aj § 17 zákona

č. 428/2002 Z. z. Z vybraných šiestich prevádzkovateľov sa zistilo u troch, ţe dôsledne

nezabezpečili vypracovanie bezpečnostného projektu, a teda nemali ani z neho vyplývajúce

smernice na ochranu osobných údajov aplikované v praxi.

40

Účel spracúvania osobných údajov v informačnom systéme o ubytovaných hosťoch,

ako aj zoznam osobných údajov, ustanovuje tieţ osobitný zákon č. 253/1998 Z. z. o hlásení

pobytu občanov Slovenskej republiky a registri obyvateľov Slovenskej republiky v znení

neskorších predpisov. Podľa tohto zákona prevádzkovatelia poskytujúci ubytovanie môţu vo

svojom informačnom systéme spracúvať meno, priezvisko, adresu bydliska, číslo občianskeho

preukazu alebo číslo pasu.

Preto boli kontroly zamerané na preverovanie dodrţiavania ustanovení § 6 ods. 1 písm.

c) aţ písm. i) zákona č. 428/2002 Z. z., určujúce zásady spracúvania osobných údajov,

nakoľko tieto ustanovenia sú povinní dodrţiavať všetci prevádzkovatelia.

Útvar inšpekcie na základe kontrol zistil, ţe najčastejším pochybením bolo spracúvanie

osobných údajov v rozpore s § 6 ods. písm. i) v nadväznosti na § 8 ods. 2 zákona č. 428/2002

Z. z. a § 6 ods. 1 písm. d) zákona č. 428/2002 Z. z., pretoţe kontrolovaní prevádzkovatelia

v tomto informačnom systéme spracúvali aj osobné údaje ako rodné číslo, pohlavie, rodinný

stav, telefónne číslo, sociálny štatút a zdravotná indikácia.

Ďalej bolo zistené, ţe zo šiestich kontrolovaných prevádzkovateľov, štyria spracúvali

osobné údaje získané na základe monitorovania verejne prístupného priestoru kamerovým

systémom. Kamerové systémy boli umiestnené vo vestibuloch resp. vstupných halách kúpeľných

domov. Tieto informačné systémy spôsobom spracúvania osobných údajov zodpovedali

podmienkam vymedzeným v ustanovení § 15 ods. 2 písm. b) zákona č. 428/2002 Z. z., t. j. boli

v nich spracúvané osobitné kategórie osobných údajov, ktoré boli zaznamenávané na

personálnom počítači bez prístupu na verejnú počítačovú sieť. Prevádzkovatelia v súlade s § 10

ods. 7 zákona č. 428/2002 Z. z. označili vstupné priestory svojich objektov ako monitorované.

K porušeniu zákona č. 428/2002 Z. z. došlo u dvoch prevádzkovateľov, pretoţe

nepostupovali podľa § 15 ods. 2 písm. b) zákona č. 428/2002 Z. z., nakoľko nemali vypracované

bezpečnostné smernice na ochranu osobných údajov spracúvaných v tomto type informačného

systému a náleţite nepoučili oprávnené osoby podľa § 17 cit. zákona, ktoré vykonávali

spracovateľské operácie s takto získanými osobnými údajmi.

Nakoľko konania v rezorte zdravotníctva mali preventívny charakter, Úrad

opatreniami uloţil prevádzkovateľom odstrániť zistené nedostatky a nepristúpil k udeleniu

sankcií.

6.3.5. Kontroly u prevádzkovateľov, ktorých predmetom činnosti sú geodetické

a kartografické služby

V roku 2010 boli vykonané kontroly spracúvania osobných údajov u piatich

prevádzkovateľov, ktorých predmetom činnosti sú geodetické a kartografické sluţby.

U všetkých kontrolovaných prevádzkovateľov boli zistené porušenia zákona

č. 428/2002 Z. z., ktoré sa týkali najmä nedostatkov pri získavaní osobných údajov

zamestnancov kopírovaním úradných dokladov v rozpore s § 10 ods. 6 zákona č. 428/2002

Z. z., ďalej pri vyţadovaní súhlasu na spracúvanie osobných údajov nevyhnutných na

uzatvorenie zmluvy v rozpore s § 7 ods. 4 písm. b) zákona č. 428/2002 Z. z., tieţ

neposkytovaním dostatočných informácií pri získavaní osobných údajov od dotknutých osôb

podľa § 10 ods. 1 zákona č. 428/2002 Z. z., nedostatočného poučenia oprávnených osôb

prevádzkovateľa v rozpore s § 17 zákona č. 428/2002 Z. z., nezdokumentovania prijatých

41

technických, personálnych a organizačných opatrení vo forme bezpečnostného projektu, čím

bol porušený § 15 ods. 1 a ods. 2 písm. a) zákona č. 428/2002 Z. z. a neúplnej evidencie

informačných systémov v rozpore s § 30 zákona č. 428/2002 Z. z.

6.3.6. Spracúvanie biometrických údajov na účely kontroly vstupu do objektov

a evidencie dochádzky.

V rokoch 2009 a 2010 boli do plánu práce útvaru inšpekcie zaradené kontroly

zamerané na prevádzkovateľov, ktorí vyuţívajú odtlačky prstov zamestnancov na účely

kontroly vstupu do objektov a evidencie dochádzky aj do takých objektov, ktoré

nezodpovedajú kritériám uvedeným v § 9 ods. 3 zákona č. 428/2002 Z. z.

Vykonaných bolo šesť kontrol a v piatich prípadoch bolo zistené, ţe prevádzkovatelia

spracúvali biometrické údaje – odtlačky prstov zamestnancov na účely kontroly dochádzky do

zamestnania, čo Úrad vyhodnotil ako neprimerané spracúvanie osobných údajov vo vzťahu

k rozsahu a účelu ich spracúvania.

Na základe vypracovaných protokolov o kontrole boli prevádzkovateľom podľa § 46

ods. 1 písm. b) zákona č. 428/2002 Z. z. vydané opatrenia z dôvodu porušenia § 8 ods. 4, § 16

ods. 1, § 29 a § 30 zákona č. 428/2002 Z. z. Prevádzkovateľom bolo uloţené, bezodkladne po

nadobudnutí právoplatnosti tohto opatrenia, skončiť spracúvanie biometrických údajov –

odtlačkov prstov dotknutých osôb v informačnom systéme, kontroly dochádzky a vstupu do

priestorov prevádzkovateľa.

Jeden z kontrolovaných prevádzkovateľov voči vydanému opatreniu podal námietky,

v ktorých uvádzal najmä ţe:

„Zákon č. 428/2002 Z. z. v § 4 ods. 1 písm. n) bližšie špecifikuje, čo sa rozumie pod

pojmom biometrický údaj (biometrickým údajom je osobný údaj fyzickej osoby, na základe

ktorého je jednoznačne a nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane,

analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny). V zákone však už

nie je explicitne uvedené, čo sa rozumie pod pojmom odtlačok prsta fyzickej osoby.

Predkladateľ námietky má za to, že pri definovaní pojmu sa musí vychádzať zo všeobecnej

definície z kriminalistickej praxe, kde sa pod odtlačkom prsta rozumie obraz papilárnych línií

prsta vrátane charakteristických zmien (markant) zaznamenaných na vhodnom nosiči

a určený pre ďalšie použitie. Pri odtlačkoch prstov uschovávaných týmto spôsobom je

nespochybniteľné, že ide o biometrický údaj fyzickej osoby. V tomto prípade je povinnosť

prevádzkovateľa postupovať obligatórne podľa § 8 ods.4 prípadne podľa § 9 ods. 3

predmetného zákona“.

Prevádzkovateľ v námietkach ďalej uviedol, ţe, „Systém na kontrolu dochádzky, ktorý

v súčasnej dobe využíva, v žiadnom prípade nepoužíva a neuchováva „úplné biometrické

údaje“ teda odtlačky prstov zamestnancov v zmysle definície podľa § 4 ods. 1 písm. n) zákona

č. 428/2002 Z. z. Systém na kontrolu dochádzky do zamestnania len vytvorí šablónu, ktorá je

redukciou úplného odtlačku prsta, ktorá je následné „hashovaním“ uložená v systému

a následne táto získaná šablóna slúži na identifikáciu pri príchode do zamestnania

konkrétneho zamestnanca. Systém dostatočným spôsobom zaručuje uchovanie anonymity

fyzickej osoby – zamestnanca. Hashovaním dôjde k vytvoreniu číselného kódu, ktorého spätná

rekonštrukcia na biometrický údaj – odtlačok prsta nie je možná. Dochádzkový systém, ktorý

42

predkladateľ námietky používa, nesníma zamestnancom biometrické údaje a teda

k identifikácii takýmto spôsobom nedochádza.

Prevádzkovateľ teda v námietkach polemizoval o pojme odtlačok prsta fyzickej osoby

a tvrdil, ţe o biometrický údaj fyzickej osoby ide len pri spracúvaní obrazu odtlačku prsta.

V prvom rade je nespochybniteľné, ţe prevádzkovateľ musel získať odtlačok prsta

konkrétnej fyzickej (dotknutej) osoby, aby vytvoril biometrickú šablónu, ktorú ďalej pouţíva

na identifikáciu osoby, tzn., ţe získal (spracúva) biometrický údaj dotknutej osoby – odtlačok

jej prsta.

Na základe získaného odtlačku prsta dotknutej osoby (biometrického údaja) pri tzv.

zápise, biometrický systém vyberie z biometrických dát špecifické rysy pre jednotlivca

a vytvorí biometrickú šablónu – číselný kód priradený ku konkrétnej osobe, ktorý sa

uchováva.

Fakt, ţe dôjde hashovaním k vytvoreniu číselného kódu, ktorého spätná rekonštrukcia

na biometrický údaj – odtlačok prsta – nie je moţná, nie je z pohľadu zákona relevantný.

Hashovaním získaných údajov zo snímača odtlačkov prstov dôjde len k zmene formy, v ktorej

sú tieto údaje uloţené v systéme. Pri priloţení prsta k snímaču dôjde k identifikácii osoby,

ktorej prst bol nasnímaný, pretoţe systém ju jednoznačne identifikuje, či uţ na účely

identifikácie pri vstupe alebo na účely dochádzky. Taktieţ kaţdý hashovaný údaj (dátový

súbor) odtlačku prsta fyzickej osoby (zamestnanca prevádzkovateľa) je v systéme previazaný

s ostatnými osobnými údajmi spracúvanými v informačnom systéme o tejto fyzickej osobe

(kvôli dochádzke zamestnanca alebo identifikácie pri jeho vstupe), preto nie je správne

tvrdenie prevádzkovateľa, ţe „systém dostatočným spôsobom zaručuje uchovanie anonymity

fyzickej osoby“.

To, ţe sa biometrické dáta (odtlačky prsta) nespracúvajú vo forme obrazu, ale vo

forme šablóny (hashované údaje), z ktorej nemôţe byť prevedená rekonštrukcia hrubých

(pôvodných) dát, nie je z pohľadu definície biometrického údaja podľa § 4 ods. 1 písm. n)

zákona č. 428/2002 Z. z. relevantné, pretoţe v zmysle definície je fyzická osoba, ktorá

poskytla svoj biometrický údaj do systému jednoznačne určiteľná, bez ohľadu na to, v akej

forme je jej údaj (odtlačok prsta) uloţený v systéme (dátový súbor s hashovaným údajom),

pretoţe systém na základe porovnania uloţenej šablóny (hashovaných údajov) s hashovaným

údajom priloţeného prsta fyzickú osobu určí (identifikuje). A tieţ, v rámci tohto procesu nie

je podstatné, či systém uchová scan odtlačku prsta (prítomnosť hrubých údajov v systéme) pri

verifikácii v dočasnom priestore vloţeného systému a po extrahovaní šablóny znakov sa

vymaţe a prekryje, pretoţe biometrický údaj (hashované údaje o odtlačku prsta) sa v systéme

uţ nachádza.

Podstatné nie je to, či prevádzkovateľ po vytvorení biometrickej šablóny odtlačky

prstov zlikviduje alebo ďalej uchováva (nemoţno vylúčiť zlyhanie systému a potreby obnoviť

biometrické šablóny, čo opäť bez „originálnych“ odtlačkov nie je moţné).

Podstatné je, ţe prevádzkovateľ na účely kontroly vstupu do objektu získa (t. j.

spracúva – § 4 ods. 1 písm. a) zákona č. 428/2002 Z. z.) odtlačok prsta – biometrický údaj

konkrétnej fyzickej osoby. V tomto prípade bezpochyby dochádza k spracúvaniu

biometrických údajov.

43

Prevádzkovateľ ďalej v námietkach tvrdil, ţe „O zavedení nového spôsobu dochádzky

boli dotknuté osoby – zamestnanci vopred informovaní a zároveň udelili súhlas na

spracovanie ich osobných údajov na účely dochádzky a prístupov zamestnancov do

vyhradených priestorov zamestnávateľa. Súhlas je uloţený v osobnom spise zamestnanca“.

Vzhľadom k tomu, ţe ţiadny osobitný zákon tomuto prevádzkovateľovi neumoţňuje

spracúvať biometrické údaje v zmysle § 8 ods. 4 zákona č. 428/2002 Z. z., je prípadný súhlas

dotknutých osôb k spracúvaniu biometrických údajov právne irelevantný.

Prevádzkovateľ tieţ nepreukázal, ţe objekt, ktorý mal takýmto kontrolným systémom

zabezpečený, je moţno povaţovať za citlivý osobitne chránený objekt, vyhradený priestor

alebo technické zariadenia s vysokou mierou rizika, tak ako to predpokladá ustanovenie § 9

ods. 3 zákona č. 428/2002 Z. z.

Medzi základné povinnosti prevádzkovateľa patrí zabezpečiť, aby sa spracúvali len

také osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu spracúvania a sú

nevyhnutné na jeho dosiahnutie. Účel – kontrola dochádzky a vstupov, predchádzanie

porušovaniu pracovnej disciplíny sa dá dosiahnuť iným vhodným spôsobom, ktorý nevyuţíva

osobitné kategórie osobných údajov, a ktorý nezasahuje do základných ľudských práv

a slobôd získavaním biometrických údajov – odtlačkov prstov. Navyše prevádzkovateľ

takýmto spôsobom vlastne riešil pracovnú disciplínu svojich zamestnancov, ktorí, ako priznal,

sa pri autentizácií dochádzky správajú nepoctivo. Potvrdil tak, ţe skutočným dôvodom

vyuţívania tohto systému je účel, ktorý sa dá dosiahnuť aj iným vhodným prostriedkom, ako

je napr. kamerový systém, pohovor so zamestnancami alebo iné opatrenia vyplývajúce zo

Zákonníka práce a pod.

6.3.7. Kontroly spracúvania osobných údajov u prevádzkovateľov, ktorí poskytujú

„Zákaznícke karty“

V roku 2010 boli vykonané kontroly spracúvania osobných údajov u dvoch

prevádzkovateľov, ktorí pouţívajú tzv. „zákaznícke karty“.

Nedostatky boli zistené najmä v súvislosti s poverením zodpovednej osoby poverenej

výkonom dohľadu nad spracúvaním osobných údajov, v nedostatočne vedenej evidencii

informačných systémov, v nedostatočne zdokumentovaných a prijatých technických,

organizačných a personálnych opatreniach podľa § 16 ods. 6 zákona č. 428/2002 Z. z. Ďalej

to bolo vyţadovanie súhlasu na spracúvanie osobných údajov od dotknutých osôb na

prihláške k zákazníckej karte, čo je v rozpore s § 7 ods. 4 písm. b) zákona č. 428/2002 Z. z.,

získavanie osobných údajov na rôzne účely (marketing) v rozpore s § 6 ods. 1 písm. e) zákona

č. 428/2002 Z. z., tieţ monitorovanie priestorov prístupných verejnosti, ktoré neboli zreteľne

označené ako monitorované, čím bol porušený § 10 ods. 7 zákona č. 428/2002 Z. z.,

neposkytnutie úplných informácií v rozsahu uvedenom v § 10 ods. 1 zákona č. 428(2002 Z. z.

dotknutým osobám pri získavaní ich osobných údajov, ako aj získavanie kópií úradných

dokladov od zákazníkov a zamestnancov v rozpore s § 10 ods. 6 zákona č. 428/2002 Z. z.

44

6.3.8. Kontroly spracúvania osobných údajov u prevádzkovateľov zaoberajúcich sa

vydavateľskou činnosťou

V roku 2010 bolo vykonaných päť kontrol spracúvania osobných údajov u vybraných

prevádzkovateľov zaoberajúcich sa vydavateľskou činnosťou, ktorí spracúvajú osobné údaje

autorov a zamestnancov.

Nedostatky boli zistené u všetkých kontrolovaných prevádzkovateľov. Išlo najmä o

nekonkrétne a všeobecné poučenia oprávnených osôb o právach a povinnostiach

ustanovených zákonom č. 428/2002 Z. z., o zodpovednosť za ich porušenie, o neúplne vedenú

evidencii informačných systémov, neúplné bezpečnostné smernice, ktoré neobsahovali všetky

náleţitosti § 16 ods. 6 písm. d) a zákona č. 428/2002 Z. z., o získavanie kópií úradných

dokladov od zamestnancov v rozpore s § 10 ods. 6 zákona č. 428/2002 Z. z., o nezískavanie

osobných údajov dotknutých osôb na rozdielne účely osobitne (marketing) v rozpore s § 6

ods. 1 písm. e) zákona č. 428/2002 Z. z.

6.3.9. Internetoví predajcovia

V poslednom čase sa zvýšil záujem fyzických osôb o nakupovanie prostredníctvom

internetu, s ktorým súvisí aj poskytovanie osobných údajov na účel zmluvného vzťahu medzi

predávajúcim a kupujúcim. Z tohto dôvodu boli v roku 2010 do plánu výkonu dozoru

zaradené kontroly prevádzkovateľov z radov internetových predajcov. Vybraných bolo

šestnásť prevádzkovateľov v jedenástich mestách v SR tak, aby boli zastúpené všetky

slovenské kraje. Kontroly sa uskutočnili u prevádzkovateľov v Bratislave, Komárne,

Košiciach, Prešove, Roţňave, Trnave, Nitre, Ţiari nad Hronom, Banskej Bystrici, Martine a v

Bojniciach.

Cieľom hĺbkových kontrol bolo preverenie dodrţiavania ustanovení zákona o ochrane

osobných údajov s dôrazom na vedenie evidencie, rozsah získavaných a spracúvaných

osobných údajov v jednotlivých informačných systémoch prevádzkovateľov vzhľadom

k účelu ich spracúvania, poskytovanie informácií dotknutým osobám pri získavaní ich

osobných údajov o všetkých okolnostiach spracúvania ich osobných údajov, bezpečnosť

a ochrana osobných údajov, písomné poverenie zodpovednej osoby, ak mal prevádzkovateľ

viac ako päť zamestnancov.

Výkonom dozornej činnosti útvar inšpekcie zistil, ţe 90 percent prevádzkovateľov

nezamestnáva taký počet fyzických osôb, aby podľa § 19 ods. 2 zákona č. 428/2002 Z. z. mali

povinnosť písomne poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných

údajov.

K najčastejším pochybeniam pri spracúvaní osobných údajov prevádzkovateľmi z radov

internetových predajcov dochádzalo pri uplatňovaní ustanovenia § 10 ods. 1 zákona

č. 428/2002 Z. z. Podľa § 10 ods. 1 zákona č. 428/2002 Z. z. je prevádzkovateľ povinný pri

získavaní osobných údajov dotknutú osobu vopred a bez vyzvania informovať o všetkých

okolnostiach spracúvania jej osobných údajov, ktoré sú pre dotknutú osobu potrebné

s ohľadom na zaručenie jej práv a právom chránených záujmov, najmä právo byť

informovaná o podmienkach spracúvania jej osobných údajov. Medzi takéto informácie patrí,

45

o. i., aj informácia o tom, ţe v mene prevádzkovateľa spracúva osobné údaje

sprostredkovateľ.

Internetoví predajcovia často realizujú doručovanie objednaného tovaru nielen

prostredníctvom Slovenskej pošty, ale aj súkromných kuriérskych sluţieb, ktorým na tento

účel – rovnako ako Slovenskej pošte, prevádzkovateľ poskytne osobné údaje dotknutej osoby,

aby zabezpečil doručenie objednaného tovaru.

Z § 10 ods. 1 písm. b) cit. zákona vyplýva, ţe dotknutá osoba musí byť o tejto

skutočnosti informovaná. Rovnako pri získavaní osobných údajov musí byť dotknutá osoba

informovaná o svojich právach, ktoré sú zakotvené v § 20 zákona č. 428/2002 Z. z., medzi

ktoré patrí napr. právo na opravu nesprávnych a neaktuálnych osobných údajov, právo na

odpis spracúvaných osobných údajov, právo na informácie o stave spracúvania osobných

údajov a ďalšie práva.

Výkonom dozoru u vybraných internetových predajcov sa zistilo, ţe prevádzkovatelia

na svojich internetových stránkach, resp. v obchodných podmienkach uverejnených na týchto

stránkach, dostatočne alebo vôbec neinformovali dotknuté osoby o všetkých okolnostiach

spracúvania ich osobných údajov. Často tu absentovala informácia o tom, ţe osobné údaje

v mene prevádzkovateľa spracúva sprostredkovateľ a úplne chýbala informácia o právach

dotknutej osoby. Prevádzkovatelia teda svojim konaním porušili ustanovenie § 10 ods. 1

zákona č. 428/2002 Z. z. pri spracúvaní osobných údajov svojich klientov.

Prevádzkovatelia porušovali zákon o ochrane osobných údajov aj tým, ţe získavali

osobné údaje na účel plnenia kúpno-predajnej zmluvy, ktoré zároveň pouţívali aj na

marketingové účely. K porušovaniu ustanovenia § 6 ods. 1 písm. e) zákona č. 428/2002 Z. z.

dochádzalo tak, ţe záujemca o nákup tovaru sa musel najskôr zaregistrovať a aţ potom mohol

prehliadať ponuku tovaru a príp. si ho objednať, pričom osobné údaje poskytnuté na účel

registrácie sa vyuţívali na marketingové účely. Dotknutá osoba v niektorých prípadoch síce

mohla zakliknúť/nezakliknúť súhlas s pouţívaním osobných údajov na marketing, ale bez

súhlasu sa v mnohých prípadoch nedalo zaregistrovať a bez registrácie tovar objednať.

V niektorých prípadoch bol tento súhlas na web stránke prevádzkovateľa uţ zakliknutý

vopred.

Nakoľko konania mali preventívny charakter, útvar inšpekcie opatreniami uloţil

prevádzkovateľom odstrániť zistené nedostatky a nepristúpil k udeleniu sankcií.

6.3.10. Personálne agentúry

Na základe plánov dozornej činnosti na roky 2009 a 2010 útvar inšpekcie vykonal 16

kontrol personálnych agentúr, ktorých hlavným zameraním bolo zistiť, ako títo

prevádzkovatelia uplatňujú § 10 ods. 1 zákona č. 428/2002 Z. z. v praxi. Z realizovaných 16

kontrol dve boli vykonané u takých prevádzkovateľov, ktorí poskytujú webový priestor pre

uchádzačov o zamestnanie, a teda osobné údaje okrem uchovávania a sprístupňovania iným

spôsobom nespracúvajú (napr. poskytovanie moţnému zamestnávateľovi).

Okrem uvedeného útvar inšpekcie preveroval: právny dôvod získavania osobných

údajov, súlad rozsahu osobných údajov a účelu ich spracúvania, zabezpečovanie správnosti,

úplnosti a aktuálnosti spracúvaných osobných údajov, povinnosť likvidácie osobných údajov

po skončení účelu ich spracúvania, prijaté technické, organizačné a personálne opatrenia na

46

ochranu osobných údajov, vrátane opatrení na zníţenie rizika ľudského faktora pri spracúvaní

osobných údajov poučením oprávnených osôb.

V trinástich prípadoch sa zistilo, ţe prevádzkovatelia získavali osobné údaje na

základe nesprávne určeného právneho dôvodu, ktorým bol súhlas dotknutej osoby podľa § 7

ods. 1 zákona č. 428/2002 Z. z., namiesto zavedenia predzmluvných opatrení na ţiadosť

dotknutej osoby podľa § 7 ods. 4 písm. b) zákona č. 428/2002 Z. z.

Vo všetkých týchto trinástich prešetrovaných prípadoch agentúry realizovali

predzmluvné opatrenia na ţiadosť dotknutej osoby tým, ţe prevádzkovatelia vyberali zo

svojho informačného systému vhodných kandidátov, ktorých ponúkali svojim klientom na

voľné pracovné pozície. Na základe takto vymedzeného právneho základu prevádzkovatelia

vyţadovali súhlas so spracúvaním osobných údajov na stanovenú dobu dva roky aţ dobu

neurčitú, pričom v niektorých prípadoch v rámci vnútorných smerníc lehotu upravovali na

rok, o čom však dotknuté osoby na web stránkach alebo vo všeobecných zmluvných

podmienkach neinformovali.

Niektorí prevádzkovatelia nezabezpečili aktualizáciu osobných údajov podľa § 6 ods.

1 písm. f) zákona č. 428/2002 Z. z. a získané osobné údaje dlhodobo uchovávali

v automatizovanej aj neautomatizovanej podobe bez toho, aby vedeli preukázať, ţe dotknutá

osoba je stále záujemcom o prácu, a teda ţe sú osobné údaje stále aktuálne.

Jedinými personálnymi agentúrami, ktoré sú oprávnené získavať osobné údaje

dotknutých osôb s ich súhlasom podľa § 7 ods. 1 cit. zákona, sú tie, ktoré poskytujú priestor

záujemcom o prácu na svojom serveri na uloţenie ţivotopisov a moţnosť zamestnávateľom

priamo vyhľadávať v takejto databáze umiestnenej na serveri prevádzkovateľa cez internetové

rozhranie. Takéto agentúry, na rozdiel od ostatných, nevykonávajú „predvýberové“ konania

pre svojich klientov – t. j. zamestnávateľov, a osobné údaje okrem sprístupňovania vo

vymedzenej lehote a uchovávania počas danej lehoty (zvyčajne 3 mesiace) inak nespracúvajú.

V uvedených prípadoch sa preverovalo najmä prijatie opatrení na ochranu osobných údajov

zodpovedajúce typu osobných údajov a spôsobu ich spracúvania v zmysle § 15 ods. 1 alebo 2

písm. a) zákona č. 428/2002 Z. z. v nadväznosti na § 16.

Vo všetkých šestnástich prípadoch sa zistilo, ţe prevádzkovatelia pri získavaní

osobných údajov nepostupovali v súlade s § 10 ods. 1 písm. d) zákona č. 428/2002 Z. z.,

nakoľko na internetových stránkach, ktoré zabezpečovali prvý kontakt s dotknutými osobami,

tieto neinformovali o ich právach garantovaných im zákonom č. 428/2002 Z. z. v ustanovení §

20. U niekoľkých prevádzkovateľov sa zistila absencia opatrení na ochranu osobných údajov

vypracovaných formou bezpečnostného projektu v zmysle § 15 ods. 2 písm. a) zákona

č. 428/2002 Z. z., nakoľko títo spracúvali osobné údaje týkajúce sa zdravia dotknutých osôb

(handicapovaní záujemcovia o prácu), resp. odhaľujúce ich rasový a etnický pôvod

(fotografie).

Úrad na základe kontrol zistil, ţe dvaja prevádzkovatelia získavali osobné údaje

kopírovaním úradných dokladov, a to občianskych preukazov a výpisov z registra trestov.

Získavaním osobných údajov kopírovaním úradných dokladov prevádzkovatelia postupovali

v rozpore s § 10 ods. 6 zákona č. 428/2002 Z. z., nakoľko získanie osobných údajov

obsiahnutých na týchto úradných dokladoch ich kopírovaním nebolo nevyhnutné na

dosiahnutie účelu, a ţiadny osobitný zákon tomuto typu prevádzkovateľa neumoţňoval

získavať osobné údaje z úradných dokladov ich kopírovaním bez súhlasu dotknutej osoby.

47

6.3.11. Cestovné kancelárie

V rámci plánu úloh na rok 2009 boli riešené aj cestovné kancelárie. Za účelom zistenia

situácie v spracúvaní osobných údajov a dodrţiavania ustanovení zákona o ochrane osobných

údajov sa útvar inšpekcie zameral na päť najvýznamnejších cestovných agentúr. Útvar

inšpekcie v tejto súvislosti preveroval: právny základ získavania osobných údajov v zmysle §

7 zákona č. 428/2002 Z. z., rozsah osobných údajov vzhľadom k účelu ich spracúvania podľa

§ 6 ods. 1 písm. d) cit. zákona, sprostredkovateľské zmluvy a ich náleţitosti v zmysle § 5 ods.

2 zákona č. 428/2002 Z. z., povinnosť likvidácie osobných údajov po skončení účelu ich

spracúvania podľa § 13 ods. 1 zákona č. 428/2002 Z. z., poskytovanie informácií dotknutým

osobám pri získavaní osobných údajov o všetkých okolnostiach ich spracúvania podľa § 10

ods. 1 zákona č. 428/2002 Z. z., prijatie technických, organizačných a personálnych opatrení

na ochranu osobných údajov podľa § 15 a § 16 cit. zákona, vrátane opatrení na zníţenie

rizika ľudského faktora pri spracúvaní osobných údajov poučením oprávnených osôb

v rozsahu § 17 zákona č. 428/2002 Z. z.

Kontroly preukázali, ţe štyri z piatich preverovaných cestovných kancelárií zosúladili

spracúvanie osobných údajov s ustanoveniami § 6 ods. 1 písm. d), s § 13 ods. 3 písm. a) a s §

15 ods. 1 zákona č. 428/2002 Z. z., nakoľko tieto cestovné kancelárie v informačných

systémoch o klientoch – účastníkoch zájazdu, nespracúvali ţiadne osobitné kategórie

osobných údajov. V súvislosti s dodrţiavaním ustanovení § 10 ods. 1 cit. zákona sa u

niektorých prevádzkovateľov preukázalo, ţe nepostupovali v súlade s ustanovením § 10 ods.

1 písm. d) zákona č. 428/2002 Z. z., nakoľko nedostatočne informovali dotknuté osoby o ich

právach ustanovených v § 20 zákona o ochrane osobných údajov.

U všetkých piatich prešetrovaných prevádzkovateľov bol správne určený právny

základ spracúvania osobných údajov podľa § 7 ods. 4 písm. b) zákona č. 428/2002 Z. z.

Osobné údaje plnoletých rodinných príslušníkov boli poskytované objednávateľmi zájazdov

do informačného systému cestovných kancelárii na základe písomného súhlasu plnoletých

účastníkov zájazdu, a teda v súlade s § 7 ods. 5 zákona č. 428/2002 Z. z.

Kontroly preukázali, ţe všetci prevádzkovatelia získavali osobné údaje dotknutých

osôb aj prostredníctvom sprostredkovateľov, ktorých písomné zmluvy boli tieţ predmetom

kontrol. V dvoch prípadoch sa zistilo, ţe zmluvy neboli vypracované podľa § 5 ods. 2 zákona

č. 428/2002 Z. z., nakoľko neurčovali sprostredkovateľom rozsah spracúvaných osobných

údajov a podmienky ich spracúvania.

Na základe kontrol sa zistilo, ţe jedna cestovná kancelária neprijala primerané

bezpečnostné opatrenia na ochranu osobných údajov podľa § 15 ods. 2 písm. a) zákona

č. 428/2002 Z. z. v nadväznosti na § 16 zákona č. 428/2002 Z. z. Táto cestovná kancelária

získavala osobné údaje na základe monitorovania verejne prístupného priestoru kamerovým

systémom, avšak v rozpore s § 10 ods. 7, § 13 ods. 7 a § 15 ods. 2 písm. b) zákona č.

428/2002 Z. z., nakoľko verejne prístupný priestor kancelárie nebol označený ako

monitorovaný, takto získané záznamy boli uchovávané viac ako 7 dní a prevádzkovateľ nemal

vypracované bezpečnostné smernice na ochranu takto získaných osobných údajov v rozsahu §

16 ods. 6 zákona č. 428/2002 Z. z.

48

6.3.12. Kontroly v rámci integrovaného záchranného systému.

Útvar inšpekcie v hodnotenom období vykonal aj kontroly zamerané na spracúvanie

osobných údajov osôb pri záchranných akciách, zaistenie bezpečnosti ich údajov, manipuláciu

s týmito údajmi a poučenie oprávnených osôb, ktoré sa zúčastňujú na záchranných akciách

a prichádzajú do styku s osobnými údajmi zachraňovaných osôb.

Moţno konštatovať, ţe vykonanými kontrolami u týchto prevádzkovateľov neboli

zistené nedostatky pri spracúvaní osobných údajov a porušovanie zákona č. 428/2002 Z. z.

Všetci kontrolovaní prevádzkovatelia pristupujú k plneniu si povinností na úseku ochrany

osobných údajov v zmysle zákona č. 428/2002 Z. z. s plnou zodpovednosťou.

6.3.13. Centrá voľného času

Útvar inšpekcie pri výkone dozoru nad ochranou osobných údajov sa v roku 2009

zaoberal aj preverovaním rozsahu a spôsobu spracúvania osobných údajov prevádzkovateľmi

– centrami voľného času. Na základe konaní u 8 náhodne vybraných centrách voľného času z

celého Slovenska moţno konštatovať, ţe u preverovaných prevádzkovateľov neboli zistené

zásadné nedostatky pri dodrţiavaní zákona o ochrane osobných údajov.

Základné východiská, na základe ktorých centrá voľného času spracúvajú osobné

údaje dotknutých osôb:

-

informačný systém personalistika a mzdy – osobné údaje sa spracúvajú na základe

pracovnej zmluvy, Zákonníka práce, zákona o výkone práce vo verejnom záujme, daňových

zákonov, zákona o sociálnom poistení, zákona o zdravotnom poistení, ...

-

informačné systémy, v ktorých sa spracúvajú osobné údaje na základe osobitného zákona,

(školského zákona) na účely súvisiace s činnosťou vyplývajúcou zo školského zákona, napr.:

výchovno-vzdelávacia činnosť, záujmová činnosť, rekreačná činnosť.

Podľa zistení väčšina preverovaných prevádzkovateľov pri vedení evidencie

o informačných systémoch podľa § 29 ods. 1 zákona č. 428/2002 Z. z. nesprávne viedla

o viacerých informačných systémoch len jednu evidenciu (najmä o informačnom systéme

Personalistika a mzdy spolu s informačným systémom vedeným na účel evidencie detí

a mládeţe, ktoré navštevujú záujmové útvary).

Podľa zistení útvaru inšpekcie centrá voľného času spracúvajú o deťoch a mládeţi

navštevujúcich záujmové útvary väčšinou osobné údaje v rozsahu: meno, priezvisko, dátum

narodenia, adresa, škola a trieda, meno, priezvisko a kontakt na rodičov. Prostredníctvom

prihlášok na rekreačnú činnosť sa získava aj rodné číslo a pri nástupe detí na rekreáciu rodičia

odovzdávajú prehlásenie o zdravotnom stave dieťaťa. Všetky tieto údaje centrá spracúvajú na

základe osobitného zákona (§ 11 ods. 7 školského zákona), proti ich rozsahu niet čo namietať.

V uvedených dvoch informačných systémoch sa spracúva odlišný rozsah a v podstate odlišný

je aj účel spracúvania osobných údajov, preto Úrad odporučil zaviesť pre kaţdú túto činnosť

evidenciu osobitne.

49

6.3.14. Bezpečnosť spracúvania osobných údajov na webových serveroch

Útvar inšpekcie v rámci preventívnej činnosti a priebeţného sledovania stavu ochrany

osobných údajov sa v rokoch 2009 a 2010 zameral na preskúmanie základného zabezpečenia

webových stránok bánk, poisťovní a niektorých zoznamovacích serverov. Analyzované boli

webové stránky internetbankingu a pouţívateľských účtov vybraných prevádzkovateľov. Na

analýzu boli pouţité niektoré automatizované softvérové programy slúţiace na analýzu

sieťových sluţieb. Pouţitá bola aj analýza manuálna. Analýza bola zameraná hlavne na

odhaľovanie slabých miest v zabezpečení operačného systému, zabezpečení a konfigurácii

webových serverov, pouţitých metód šifrovania a pouţitých aplikácií. Analýza

bezpečnostných hrozieb webových serverov poskytla prehľad tých zraniteľností a slabín,

ktoré je moţné jednoducho zistiť aj zo vzdialeného počítačového systému.

Výsledkom analýzy bol zoznam pouţitých operačných systémov, aplikácií a ich verzií,

šifrovacích metód, prípadne objavených zraniteľností. Z analýzy vyplynulo, ţe niektorí

prevádzkovatelia nevenujú dostatočnú pozornosť, resp. podceňujú zabezpečenie webových

serverov, prostredníctvom ktorých sa pouţívatelia (klienti) prihlasujú do svojich účtov.

Slabiny neboli objavené na webových serveroch internetbankingu. O bezpečnosť týchto

serverov sa banky obzvlášť starajú, čo je pochopiteľné z dôvodu, ţe zneuţitím, resp.

neoprávneným prístupom do pouţívateľských účtov klientov bánk by mohli vzniknúť

klientom, ale aj bankám finančné škody.

Najčastejšie sa vyskytujúcimi zraniteľnosťami boli neaktualizované verzie operačných

systémov (napr. Linux, Windows), webových http serverov (napr. Apache, Microsoft IIS), ich

aplikačných modulov (napr. PHP), slabých šifrovacích aplikácií a XSS (cross-site scripting).

Niektoré z objavených zraniteľností boli kritické, čo znamená, ţe potenciálny útočník by ich

zneuţitím mohol získať prístup do systému a tým aj k osobným údajom pouţívateľov.

Podľa § 15 ods. 1 zákona č. 428/2002 Z. z. za bezpečnosť osobných údajov zodpovedá

prevádzkovateľ a sprostredkovateľ tým, ţe ich chráni pred náhodným ako aj nezákonným

poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením

ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme

primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania,

pričom berie do úvahy najmä pouţité technické prostriedky, rozsah moţných rizík, ktoré

môţu narušiť bezpečnosť alebo funkčnosť informačného systému a dôvernosť a dôleţitosť

spracúvaných osobných údajov.

Útvar inšpekcie na základe zistených skutočností vykonal

u

niektorých

prevádzkovateľov kontrolu spracúvania osobných údajov zameranú na bezpečnosť

spracúvania osobných údajov na webových serveroch a konštatoval, ţe prevádzkovatelia

nezabezpečili ochranu osobných údajov svojich klientov (pouţívateľov) pred nedovoleným

prístupom, pretoţe nevzali do úvahy pouţiteľné technické prostriedky (napr. dostupné a len

bezpečné šifrovacie protokoly, dostupné aktualizácie operačných systémov a aplikácií),

rozsah moţných rizík, ktoré môţu narušiť bezpečnosť alebo funkčnosť informačného systému

(slabé šifrovacie protokoly, o ktorých sú známe bezpečnostné slabiny, neaktualizované

aplikácie), dôvernosť a dôleţitosť spracúvaných osobných údajov.

Prevádzkovateľom, u ktorých bolo zistené porušenie ustanovenia § 15 ods. 1 zákona

č. 428/2002 Z. z., vydal úrad opatrenie na odstránenie nedostatkov, napr. vypnutie podpory

zastaraných šifrovacích protokolov, ktoré sú známe bezpečnostnými rizikami a je ich moţné

kompromitovať, a ktoré neboli vzhľadom na stav počítačovej techniky bezpečné.

50

Jeden z prevádzkovateľov k zisteným nedostatkom na svojom webovom serveri

uviedol, ţe aktualizácie aplikácií nevykonával kvôli tomu, ţe by sa tým mohla obmedziť

funkcionalita webu pre pouţívateľov (klientov) a tieţ preto, ţe podporoval aj staršie

šifrovacie protokoly z dôvodu, ţe niektorým pouţívateľom by nebolo moţné webové stránky

pouţívať, ak sa pripájajú prostredníctvom starších webových prehliadačov, v ktorých nie je

podpora novších šifrovacích protokolov.

Úrad však takúto argumentáciu neprijal. Stav techniky a informatizácia spoločnosti

a povedomia o bezpečnosti medzi obyvateľstvom neustále rastie, a preto vypnutie podpory

zastaraných komunikačných protokolov na strane servera by mohlo postihnúť nemoţnosťou

sa pripojiť k serveru len minimum klientov. Z pohľadu bezpečnosti šifrovacích metód

a algoritmov v súčasnosti moţno konštatovať, ţe prakticky neexistuje absolútne bezpečná

šifra, ktorá by sa nedala kompromitovať pri pouţití veľkej výpočtovej kapacity a počas

dlhého časového úseku. Prevádzkovateľ sa však musí snaţiť čo najviac minimalizovať riziko

narušenia bezpečnosti informačného systému a dôvernosti spracúvaných osobných údajov.

Podobne to platí aj pri pouţívaní neaktualizovaných aplikácií na verejne prístupných

webových serveroch.

V súvislosti s vyuţitím zraniteľnosti verejne dostupných webových serverov prešetril

útvar inšpekcie aj prípad, v ktorom počítačový útočník pod prezývkou „Igigi“ koncom roka

2009 kompromitoval niekoľko počítačových databáz prostredníctvom objavených chýb na

webových serveroch niekoľkých prevádzkovateľov, resp. ich sprostredkovateľov. Útočník

vyuţil na získanie databázových dát najmä útok „SQL injection“, ktorý je zaloţený na vyuţití

programátorských chýb vo webových aplikáciách, ktoré umoţňujú neautorizovaný prístup do

databázy posielaním špeciálne upravených reťazcov do webovej aplikácie. Väčšina

prevádzkovateľov, resp. sprostredkovateľov prijala po incidente adekvátne opatrenia na

zabezpečenie webových serverov, aby sa podobné incidenty v budúcnosti neopakovali.

6.4. Špeciálne akcie Úradu

6.4.1. Akcie vykonané v súvislosti so vstupom Slovenskej republiky do Schengenského

priestoru.

V rámci plnenia úloh vyplývajúcich zo Schengenského akčného plánu Slovenskej

republiky na roky 2008 - 2009 úrad preveroval v roku 2009 vybrané zastupiteľské úrady SR

v zahraničí, ktorých cieľom bolo zistiť dodrţiavanie ustanovení zákona č. 428/2002 Z. z.,

postup týkajúci sa vydávania Schengenských víz, ako aj plnenie poţiadaviek uvedených

v Schengenskom katalógu (odporúčania a najlepšie skúsenosti) pri vydávaní víz. V máji 2009

boli vykonané previerky na konzulárnych oddeleniach zastupiteľských úradov v Dubline a

Londýne.

V dňoch 20. októbra - 11. decembra 2009 bola vykonaná previerka na Úrade hraničnej

a cudzineckej polície MV SR, oddelení hraničnej kontroly PZ Bratislava Ruţinov – Letisko,

oddelení koordinácie prevádzky IS ÚHCP, oddelení hraničnej kontroly PZ Vyšné Nemecké,

oddelení hraničnej kontroly Letisko Košice, Letisko Poprad a Riaditeľstve hraničnej polície

Sobrance.

51

V dňoch 24. novembra - 22. decembra 2009 bola vykonaná previerka na Migračnom

úrade MV SR a v Pobytovom tábore Rohovce, zameraná na spracúvanie osobných údajov –

ţiadateľov o poskytnutie azylu.

V

septembri 2010 bola vykonaná opakovaná previerka u prevádzkovateľa:

Ministerstvo vnútra SR Prezídium Policajného zboru, Úrad medzinárodnej

–

Policajnej spolupráce, Národná ústredňa SIRENE, ktorá bola zameraná na spracúvanie

osobných údajov v súvislosti s uplatňovaním článku 95 Schengenského dohovoru na národnej

úrovni pri vydávaní a uplatňovaní európskeho zatýkacieho rozkazu.

V

októbri 2010 bola vykonaná previerka spracúvania osobných údajov

u prevádzkovateľa: Ministerstvo vnútra SR, Sekcia informatiky, telekomunikácií

a bezpečnosti, Výpočtové stredisko MV SR Banská Bystrica, ktorá bola zameraná na

previerku bezpečnosti spracúvania osobných údajov dotknutých osôb v Národnej časti

Schengenského informačného systému.

6.5. Spolupráca útvaru inšpekcie s orgánmi dozoru v zahraničí

6.5.1. Workshop inšpektorov v Bruseli

18. - 19. marca 2010 sa v Bruseli uskutočnil jarný workshop inšpektorov zameraný na

viacero tém:

– Zodpovednosť za zverejňovanie osobných údajov na web stránkach,

– Špecializované archívy a slobodný prístup k informáciám,

– Osobné údaje v sektore zdravotníctva,

– Direkt marketing,

– Elektronické cestovné karty vo verejnej doprave,

– Elektronické nástroje na zabezpečenie platenia diaľničných poplatkov.

Inšpektorka Úradu k téme „Osobné údaje v sektore zdravotníctva“ prezentovala

skúsenosti útvaru inšpekcie pri riešení oznámení týkajúcich sa zneuţitia osobných údajov

v oblasti verejného zdravotného poistenia.

6.5.2. Dvojstranné stretnutie českého a slovenského úradu na ochranu osobných

údajov

Pracovníci útvaru inšpekcie a ďalší zamestnanci úradu sa zúčastnili stretnutia

inšpektorov v dňoch 8. a 9. novembra 2010 v Luhačoviciach, ktoré organizoval český úrad na

ochranu osobných údajov. Nosnými témami boli najmä:

– praktické skúsenosti z aplikácie povinností prevádzkovateľov v oblasti zákazníckych kariet,

– poznatky z výkonu dozoru útvaru inšpekcie v oblasti činnosti súkromných bezpečnostných

agentúr; mimo iné, s ohľadom na existujúci zákon o súkromných bezpečnostných sluţbách

v SR a očakávaný nový zákon v ČR,

– moţnosti realizácie spoločne zameraných kontrolných aktivít s ohľadom na aktuálne

problémy v oblasti ochrany osobných údajov v roku 2011.

52

6.6. Prešetrovanie oznámení a podnetov

6.6.1. Zverejnenie menného zoznamu zamestnancov – platiteľov ročného zúčtovania

poistného na nástenke

Predmetom oznámenia bolo zverejnenie osobných údajov dotknutých osôb na

nástenke – menného zoznamu zamestnancov (zoznam platiteľov ročného zúčtovania

poistenia) prevádzkovateľa, ktorých mzda prekročila čiastku 1.868,25 €. Nástenka umiestnená

na chodbe prevádzkovateľa bola, podľa vyjadrenia oznamovateľa, dostupná všetkým

zamestnancom organizácie a klientom.

Podľa § 4 ods. 1 písm. d) zákona č. 428/2002 Z. z. zverejňovaním osobných údajov je

napr. ich uverejnenie alebo vystavenie na verejnosti umiestnením na úradnej tabuli alebo na

inom verejne prístupnom mieste. Vzhľadom na cit. ustanovenie zákona č. 428/2002 Z. z. je

nástenka na chodbe inštitúcie, kde má prístup ktokoľvek, verejne prístupným miestom.

Spracúvané osobné údaje o dotknutej osobe moţno z informačného systému

poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel

poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré moţno

poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú,

prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú (§ 7 ods. 3 zákon č. 428/2002

Z. z.).

Osobitným zákonom v oblasti zdravotného poistenia je zákon č. 580/2004 Z. z.

o zdravotnom poistení v znení neskorších predpisov (ďalej len „zákon č. 580/2004 Z. z.“).

Podľa § 19 ods. 10 zákona č. 580/2002 Z. z. je zamestnávateľ, ktorý vykonáva ročné

zúčtovanie poistného za zamestnanca, povinný písomne oznámiť ostatným platiteľom

poistného za poistenca výšku ich nedoplatku alebo preplatku do konca apríla kalendárneho

roka, v ktorom sa ročné zúčtovanie vykonáva.

Osobitný zákon ustanovuje prevádzkovateľovi ako zamestnávateľovi oznamovaciu

povinnosť - oznámiť platiteľom výšku preplatku alebo nedoplatku na poistnom. Podľa § 6

ods. 1 písm. e) zákona č. 428/2002 Z. z. je prevádzkovateľ povinný zabezpečiť, aby sa osobné

údaje vyuţívali výlučne spôsobom, ktorý zodpovedá účelu ich spracúvania. Táto

oznamovacia povinnosť prevádzkovateľa/zamestnávateľa podľa osobitného zákona, a to § 19

ods. 10 zákona č. 580/2004 Z. z., nie je zverejňovaním osobných údajov, nakoľko tento účel

moţno dosiahnuť iným spôsobom (napr. ústnym/písomným upozornením zamestnanca,

doručeným mu osobne).

Kontrolou sa zistilo a preukázalo, ţe oznámenie o povinnosti podať ročné zúčtovanie

zdravotného poistenia zamestnancov, ktorých mzda prekročila čiastku 1868,25 € spolu s ich

menným zoznamom obsahujúcim meno a priezvisko spolu s uvedením ich ekonomickej

identity (mzda presiahla hore uvedenú čiastku) na nástenku v organizácii vyvesila

zodpovedná osoba prevádzkovateľa/zamestnávateľa.

Konanie zodpovednej osoby sa posudzovalo ako nesúlad s ustanovením § 18 ods. 2

zákona č. 428/2002 Z. z. – porušenie mlčanlivosti. K uvedenému došlo s vedomím a

súhlasom prevádzkovateľa, a preto sa uvedený postup kvalifikoval ako rozpor s ustanovením

§ 6 ods. 1 písme. e) zákona č. 429/2002 Z. z., a tým aj s ustanovením § 7 cit. zákona.

53

6.6.2. Neoprávnené spracúvanie osobných údajov sprostredkovateľom poistného

V posledných rokoch sa Úrad veľmi často zaoberal neoprávneným prepoisťovaním

poistencov. Jedným z takýchto prípadov bolo aj oznámenie dotknutej osoby, v ktorom tvrdila,

ţe ju a celú jej rodinu poisťovacia agentka bez jej vedomia prepoistila do inej zdravotnej

poisťovne.

Pri kontrole útvar inšpekcie zistil, ţe poisťovacia agentka bola oprávnenou osobou

istej zdravotnej poisťovne, ktorá s ňou mala uzatvorenú dohodu o prácach vykonávajúcich

mimo pracovného pomeru, konkrétne dohodu o pracovnej činnosti, na základe ktorej

získavala poistencov verejného zdravotného poistenia pre zdravotnú poisťovňu. Poisťovacia

agentka však porušila uzatvorenú dohodu (v ustanovení bodu 4 tejto dohody bolo okrem

iného uvedené, ţe zamestnanec ako oprávnená osoba sa zaväzuje vykonávať dohodnutú prácu

osobne, zodpovedne a riadne ...).

V tomto konkrétnom prípade došlo k pochybeniu tým, ţe osobné údaje oznamovateľa

a jeho rodinných príslušníkov boli získané treťou osobou – t.j. ďalším sprostredkovateľom,

ktorého si poisťovacia agentka najala a potom (podľa jej tvrdenia) v dobrej viere vykazovala

ako poistencov zdravotnej poisťovne. Aţ spätne sa dozvedela, ţe bola uvedená do omylu,

nakoľko jej oznamovateľ a ani jeho rodinní príslušníci k uzatvoreniu poistenia v prospech

zdravotnej poisťovne súhlas nedali.

6.6.3. Zverejňovanie osobných údajov pri verejných dražbách.

V hodnotenom období útvar inšpekcie riešil zverejnenie osobných údajov dotknutých

osôb – vlastníkov bytov na verejne prístupných miestach predmetného bytového domu v

súvislosti s verejnou draţbou. Konkrétne, správca domu zvolal schôdzu vlastníkov bytov, na

ktorej sa malo rozhodnúť o dobrovoľnej draţbe dvoch bytov. Na pozvánke, ktorá bola

vyvesená vo vchode domu, ako aj vo výťahu, boli uvedené osobné údaje vlastníkov bytov,

ktoré mali byť predmetom prerokovania návrhu dobrovoľnej draţby – v rozsahu meno,

priezvisko, akademický titul, bydlisko a číslo bytu.

Prevádzkovateľ pri kontrole prehlásil, ţe postupoval podľa zákona č. 182/1993 Z. z.

o vlastníctve bytov a nebytových priestorov v znení neskorších predpisov a zákona

č. 527/2002 Z. z. o dobrovoľných draţbách v znení neskorších predpisov.

V danom prípade došlo zo strany prevádzkovateľa k nesprávnej aplikácii zákona

o dobrovoľných draţbách vo vzťahu k zákonu č. 428/2002 Z. z.

Spoločenstvá vlastníkov bytov, resp. správcovia majú moţnosť voči chronickým

neplatičom vyuţiť aj inštitút dobrovoľných draţieb. Na uskutočnenie draţby nie je potrebné

súdne rozhodnutie, pretoţe sa môţe realizovať na podnet oprávnených subjektov ako záloţné

právo na neplatiča.

Čo sa týka samotnej dobrovoľnej draţby a jej oznámenia vo verejných priestoroch

domu, resp. samotného návrhu na dobrovoľnú draţbu podľa § 4 zákona o dobrovoľných

draţbách, osoby a veci musia byť označované spôsobom vylučujúcim ich zámenu. Podľa § 11

ods. 4 a 5 zákona o dobrovoľných draţbách, ak je predmetom draţby byt, dom, či iná

nehnuteľnosť, draţobník je povinný najmenej 15 dní pred konaním draţby zverejniť

oznámenie o draţbe alebo oznámenie o opakovanej draţbe na úradnej tabuli obce, ...

Draţobník umiestni na predmet draţby podľa odseku 4 (byt, dom, ...) označenie podľa

prílohy. Zároveň v tejto lehote na viditeľné miesto na predmet draţby umiestni oznámenie

54

o draţbe alebo oznámenie o opakovanej draţbe. Vlastník predmetu draţby je povinný strpieť

umiestnenie takéhoto označenia.

Podľa § 17 ods. 5 písm. e) zákona o dobrovoľných draţbách v lehotách ustanovených

v odsekoch 2 aţ 4 zašle draţobník oznámenie o draţbe, ak je predmetom draţby

spoluvlastnícky podiel k veci, ostatným spoluvlastníkom k tejto veci oznámeným

navrhovateľom draţby (§ 16 ods. 3 - ak navrhovateľom draţby je záloţný veriteľ, zmluva o

vykonaní draţby musí ďalej obsahovať dôvod konania draţby a meno, priezvisko, trvalý

pobyt vlastníka predmetu draţby, ak je fyzickou osobou;).

Podľa odseku 6 uvedeného paragrafu, ak sa má doručiť oznámenie o draţbe

podielovým spoluvlastníkom v bytovom dome alebo spoločenstvu vlastníkov bytov alebo

správcovi bytového domu, draţobník môţe oznámenie o draţbe doručiť aj jeho vyvesením na

obvyklom mieste v spoločných priestoroch bytového domu. Spoločenstvo vlastníkov bytov

alebo správca bytového domu sú povinní na ţiadosť draţobníka bezodkladne a bezodplatne

oznámenie o draţbe vyvesiť v spoločných priestoroch bytového domu, kde sa predmet draţby

nachádza.

Nesprávna aplikácia zákona zo strany prevádzkovateľa bola v tom, ţe zákon

o dobrovoľných draţbách upravuje postup a informovanie na verejne prístupnom mieste, resp.

na mieste obvyklom pre konanie draţby a nie informovanie o tom, čo rozhodnutiu

o dobrovoľnej draţbe predchádza – teda v danom prípade pozvánka vlastníkov bytov na

schôdzu, na ktorej sa bude len rozhodovať o dobrovoľnej draţbe.

Vzhľadom k tomu, ţe týmto spôsobom boli na verejne prístupnom mieste zverejnené

osobné údaje dotknutých osôb v rozsahu meno priezvisko, titul, adresa a informácia o návrhu

na dobrovoľnú draţbu (ekonomická identita), prevádzkovateľ porušil § 6 ods. 1 písm. i) a § 7

ods. 3 zákona č. 428/2002 Z. z.

Prevádzkovateľ je povinný spracúvať osobné údaje v súlade s dobrými mravmi

a konať spôsobom, ktorý neodporuje zákonu ani iným všeobecne záväzným predpisom a ani

ich neobchádza. Spracúvané osobné údaje o dotknutej osobe moţno z informačného systému

poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel

poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré moţno

poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú,

prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje

inak. Úrad vyhodnotil oznámenie ako opodstatnené.

6.6.4. Zavedenie kontrolného mechanizmu na sledovanie zamestnanca počas

pracovnej doby bez predchádzajúceho písomného upozornenia

V oznámení doručenom Úradu sa uvádzalo, ţe u prevádzkovateľa (zamestnávateľa)

bola vykonaná kontrola vyuţitia informačných technológií na pracovisku, na všetkých

pracovných staniciach vo vlastníctve zamestnávateľa. Oznamovateľ ďalej uviedol, ţe je

presvedčený, ţe došlo k porušeniu jeho práv, keďţe zamestnávateľ mu dopredu neoznámil, ţe

jeho práca na PC (e-mail, internet) bude monitorovaná. Výsledkom tejto internej kontroly

bolo zníţenie jeho mzdy. Oznamovateľ ďalej uviedol, ţe zamestnávateľ nevydal internú

smernicu ohľadom vyuţívania internetu (zavedenia kontrolného mechanizmu na pracovisku).

Podľa Čl. 11 Zákonníka práce môţe zamestnávateľ o zamestnancovi zhromaţďovať

len osobné údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami zamestnanca a

údaje, ktoré môţu byť významné z hľadiska práce, ktorú zamestnanec má vykonávať,

55

vykonáva alebo vykonával. Zamestnávateľ nesmie bez váţnych dôvodov spočívajúcich v

osobitnej povahe činností zamestnávateľa narúšať súkromie zamestnanca na pracovisku a v

spoločných priestoroch zamestnávateľa tým, ţe ho sleduje bez toho, aby ho na to upozornil,

alebo kontroluje listové zásielky adresované zamestnancovi ako súkromnej osobe. Ak má

zamestnávateľ zavedený kontrolný mechanizmus, je povinný informovať zamestnanca o

rozsahu kontroly a spôsoboch jej uskutočňovania.

Podľa § 6 ods. 1 písm. i) zákona č. 428/2002 Z. z. je prevádzkovateľ povinný

spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje

tomuto zákonu ani iným všeobecne záväzným právnym predpisom a ani ich neobchádza.

Úrad vykonal kontrolu informačného systému u prevádzkovateľa. Následne bolo

zistené, ţe kontrola vyuţitia informačných technológií bola vykonávaná u oznamovateľa bez

jeho predchádzajúceho upozornenia, čo bolo primárne v rozpore s Čl. 11 Zákonníka práce

a následne v rozpore s ustanovením § 6 ods. 1 písm. i) zákona č. 428/2002 Z. z. Získavanie

ďalších osobných údajov, ktoré nesúvisia s kvalifikáciou a profesionálnymi skúsenosťami

nebolo potvrdené. Oznámenie bolo Úradom následne odstúpené príslušnému inšpektorátu

práce.

6.6.5. Vyžadovanie rodného čísla a rodného mena do informačného systému „Kniha

ubytovaných“ v ubytovacom zariadení

Útvar inšpekcie riešil v hodnotenom období oznámenie, v ktorom oznamovateľ

upozorňoval na neoprávnené spracúvanie resp. získavanie osobných údajov, a to rodného

čísla a rodného mena do tzv. „Knihy ubytovaných“, ktorú je povinné viesť ubytovacie

zariadenie podľa zákona č. 253/1998 Z. z. o hlásení pobytu občanov Slovenskej republiky a

registri obyvateľov Slovenskej republiky.

Podľa § 7 ods. 3 zákona č. 428/2002 Z. z. sa súhlas podľa § 7 ods. 1 zákona

č. 428/2002 Z. z. nevyţaduje, ak sa osobné údaje spracúvajú na základe osobitného zákona,

ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých osôb.

Spracúvané osobné údaje o dotknutej osobe moţno z informačného systému poskytnúť,

sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania,

sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré moţno poskytnúť,

sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne

okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak.

Vzhľadom na cit. ustanovenie § 7 ods. 3 zákona č. 428/2002 Z. z. je prevádzkovateľ

oprávnený získavať do „Knihy ubytovaných“ len ten zoznam osobných údajov, ktorý

ustanovuje osobitný zákon č. 253/1998 Z. z. Podľa § 24 ods. 1 zákona č. 253/1998 Z. z. sú

fyzické osoby a právnické osoby, ktoré poskytujú sluţby na základe zmluvy o ubytovaní,

povinné viesť knihu ubytovaných, ktorá obsahuje údaje ako je meno a priezvisko

ubytovaného, číslo občianskeho preukazu alebo cestovného dokladu, adresu trvalého pobytu a

dobu ubytovania.

Na základe týchto skutočností útvar inšpekcie vykonal kontrolu informačného systému

u prevádzkovateľa, vo veci podozrenia z porušovania ustanovení zákona č. 428/2002 Z. z.

Kontrolou informačného systému sa potvrdilo neoprávnené spracúvanie osobných údajov,

56

čím došlo k porušeniu ustanovenia § 6 ods. 1 písm. d) a i) zákona č. 428/2002 Z. z.

v nadväznosti na ustanovenie § 7 ods. 3 zákona č. 428/2002 Z. z.

6.6.6. Získavanie osobných údajov nad rámec účelu a bez písomného poverenia

sprostredkovateľa prevádzkovateľom

Dotknutá osoba vo svojom oznámení uviedla, ţe v rámci akcie v celoslovenskej sieti

na predaj vstupeniek, si zakúpila jednodňové skipasy pre celú rodinu. Predajca od nej ţiadal

osobné údaje v rozsahu meno, priezvisko, trvalé bydlisko, dátum narodenia, tel. kontakt,

e-mail, číslo preukazu totoţnosti, a tieţ meno, priezvisko a dátum narodenia rodinných

príslušníkov. Na otázku, či je povinná poskytnúť tieto údaje, jej bolo oznámené, ţe bez toho

jej nebudú skipasy vydané. Následne sa informovala na kontaktnej linke predajcu, kde

namiesto objasnenia dôvodu získavania vyššie uvedeného rozsahu osobných údajov jej bolo

odporučené obrátiť sa na Úrad.

Útvar inšpekcie vykonal u predajcu skipasov kontrolu (ten je v zmysle zákona

č.428/2002 Z. z. sprostredkovateľom), ako aj v lyţiarskom stredisku u prevádzkovateľa, kde

sa predávané skipasy dali vyuţiť. Kontrolami bolo zistené, ţe predajca ako sprostredkovateľ

získal osobné údaje dotknutých osôb v rozpore so zákonom o ochrane osobných údajov,

pretoţe v zmluve uzavretej medzi ním a prevádzkovateľom v lyţiarskom stredisku nebol

uvedený rozsah alebo zoznam osobných údajov, ktoré mal predajca pri predaji skipasov

získať od dotknutých osôb. Predajca sa bránil tým, ţe získavanie osobných údajov od

zákazníkov bolo dohodnuté s prevádzkovateľom ústne. Prevádzkovateľ zas uviedol, ţe od

predajcu (sprostredkovateľa) neţiadal, aby pri predaji jednodňových skipasov vyţadoval od

kupujúcich akékoľvek osobné údaje.

Podľa zákona č. 428/2002 Z. z., ak prevádzkovateľ poverí sprostredkovateľa

získavaním osobných údajov, musí tak urobiť písomne. V poverení bude uvedené aké osobné

údaje má získavať, akým spôsobom ich má spracúvať a tieţ, ţe má dohliadať na to, aby

sprostredkovateľ spracúvané osobné údaje chránil takým spôsobom, aby nedochádzalo ani

k náhodnému prístupu, sprístupneniu, k neprípustnému spracúvaniu týchto osobných údajov.

Informovať dotknuté osoby v rozsahu uvedenom v § 10 ods. 1 zákona č. 428/2002 Z. z.,

najmä o tom, na aký účel sa budú spracúvať osobné údaje, o dobrovoľnosti alebo povinnosti

poskytnúť poţadované osobné údaje a o existencii práv dotknutej osoby je povinný

prevádzkovateľ aj sprostredkovateľ. Ak osobné údaje získava pre prevádzkovateľa

sprostredkovateľ, túto povinnosť má sprostredkovateľ uţ pri získavaní týchto osobných

údajov.

Úrad vydal Opatrenie, ktorým uloţil sprostredkovateľovi bezodkladne zlikvidovať

osobné údaje, ktoré získal pri predaji jednodňových skipasov.

6.6.7. Údaje z evidencie motorových vozidiel

Oznámenie dotknutej osoby smerujúce proti dvom prevádzkovateľom informačných

systémov (mesto a podnikateľ) spočívalo v podozrení z nezákonného spracúvania osobných

údajov, ku ktorému malo dochádzať v súvislosti s parkovaním motorových vozidiel na území

mesta. Súčasťou oznámenia bola informácia o tom, ţe podnikateľ v zákonom stanovenej

57

lehote (30 dní) nereagoval na ţiadosť, ktorou sa oznamovateľ na základe podľa § 20 zákona

č. 428/2002 Z. z. domáhal odpisu spracúvaných osobných údajov, informácií o stave ich

spracúvania a informácií o zdroji, z ktorého ich získal.

Podmienky státia v zóne s dopravným obmedzením boli v meste stanovené všeobecne

záväzným nariadením mesta. Mesto (prenajímateľ) a nájomca (podnikateľ) uzavreli zmluvu

o nájme parkovacích miest. Parkovací poriadok podnikateľa tvoril prílohu zmluvy a

upravoval podmienky parkovania na parkovacích miestach. Podnikateľ prostredníctvom

mesta získaval z policajných evidencií údaje o drţiteľoch motorových vozidiel, ktorí

nezaplatili parkovné za státie v zóne. Takto získané údaje podnikateľ vyuţíval na úkony

smerujúce k úhrade parkovného a tzv. doplatku.

Kontrolou bolo zistené, ţe mesto (v rozsahu podľa poţiadaviek podnikateľa)

opakovane poţadovalo od Policajného zboru údaje o drţiteľoch alebo vlastníkoch

motorových vozidiel identifikovaných typom vozidla a jeho evidenčným číslom. V kaţdej

ţiadosti bol uvedený rozsah údajov poţadovaných z evidencie motorových vozidiel (meno,

priezvisko a trvalý pobyt alebo názov a sídlo drţiteľa vozidla), účel, na ktorý sú tieto údaje

poţadované (zistenie drţiteľa vozidla, ktorý porušil všeobecne záväzné nariadenia mesta)

a právny podklad ţiadosti (§ 113 zákona č. 8/2009 Z. z.).

Poskytovanie údajov z evidencie motorových vozidiel mestu bolo teda realizované na

základe osobitného zákona, konkrétne na základe § 113 ods. 1 posledná veta zákona č. 8/2009

Z. z., kde je ustanovené, ţe informácie z evidencie vozidiel sa poskytujú aj iným štátnym

orgánom a orgánom územnej samosprávy v rozsahu ich pôsobnosti. Získané údaje však neboli

ďalej spracúvané v konaniach o priestupkoch, ale boli poskytované podnikateľovi.

Podľa § 113 ods. 6 zákona č. 8/2009 Z. z. osoba, ktorej sa informácia s osobnými

údajmi z evidencie vozidiel poskytla, smie takú informáciu pouţiť len na účely, na ktoré ju

ţiadala, a musí zabezpečiť jej ochranu pred zneuţitím a pred jej sprístupnením neoprávnenej

osobe. Mesto poţadovalo od Policajného zboru poskytnutie údajov z evidencie motorových

vozidiel na účel zistenia drţiteľa vozidla, ktorý porušil všeobecne záväzné nariadenie mesta.

V príslušnom všeobecne záväznom nariadení je uvedené, ţe za jeho porušenie môţe byť

priestupcovi uloţená pokuta, na uloţenie ktorej je oprávnené mesto. Mesto však pokuty za

porušenie predmetného všeobecne záväzného nariadenia neukladalo, ale osobné údaje

drţiteľov motorových vozidiel poskytovalo podnikateľovi, ktorý vo vlastnom mene a na

vlastný účet od takto zistených drţiteľov motorových vozidiel vymáhal nezaplatené parkovné

a tzv. doplatok. Poskytovaním osobných údajov pochádzajúcich z evidencií Policajného zboru

podnikateľovi dochádzalo k porušovaniu zákona.

Útvar inšpekcie sa zaoberal aj bezvýslednou ţiadosťou oznamovateľa adresovanou

podnikateľovi, rezultujúcou z § 20 zákona č. 428/2002 Z. z. V uvedenej veci Úrad

konštatoval, ţe podnikateľ nesplnil ani svoju povinnosť vyplývajúcu z § 21 zákona

č. 428/2002 Z. z., nakoľko na ţiadosť, ktorou sa oznamovateľ domáhal informácií o stave

spracúvania svojich osobných údajov, o zdroji ich získania a o ich odpis, do okamihu začatia

kontroly nereagoval. A to napriek tomu, ţe uvedená ţiadosť mu bola preukázateľne doručená.

Kaţdá dotknutá osoba, ktorej osobné údaje sú na území Slovenskej republiky spracúvané

v informačnom systéme prevádzkovateľa, sa môţe na základe ustanovení § 20 zákona

č. 428/2002 Z. z. doţadovať svojich práv a tejto skutočnosti zodpovedá rozsah povinností

prevádzkovateľa ustanovených v § 21 a 22 zákona č. 428/2002 Z. z.

Úrad bezodkladne uloţil obom prevádzkovateľom informačných systémov opatrenia

na odstránenie zistených nedostatkov, s ktorými sa mesto i podnikateľ vyrovnali riadne

58

a včas. Nadväzne bola kaţdému z uvedených prevádzkovateľov uloţená sankcia vo forme

pokuty.

6.6.8. Čierny pasažier

Predmetom oznámenia smerujúceho proti mestskej polícii bolo podozrenie z porušenia

zákona č. 428/2002 Z. z., ku ktorému malo dôjsť tým, ţe mestský policajt overoval totoţnosť

oznamovateľa, pričom prostredníctvom vysielačky osobné údaje oznamovateľa overoval u

operačného dôstojníka v nadväznosti na to, ţe takto zistené informácie o totoţnosti boli na

základe písomnej ţiadosti oznámené dopravnému podniku mesta na účel vymáhania

cestovného a úhrady. Z kontextu oznámenia vyplývalo, ţe oznamovateľ sa pri ceste

prostriedkom mestskej hromadnej dopravy nevedel preukázať platným cestovným lístkom,

oprávnenej osobe (revízorovi) dopravného podniku mesta neposkytol svoje osobné údaje

nevyhnutné na vymáhanie cestovného a úhrady a totoţnosť oznamovateľa bola napokon

zisťovaná privolaným príslušníkom mestskej polície.

Postupy dopravného podniku mesta sústredené v jeho Prepravnom poriadku

vyplývajú, okrem iného, zo zákona č. 168/1996 Z. z., ktorý v § 11 ustanovuje povinnosti

cestujúcich. Podľa § 11 ods. 1 písm. d) cit. zákona je cestujúci povinný zaplatiť cestovné a na

výzvu revízora sa preukázať platným cestovným lístkom. Ak sa cestujúci pri kontrole nemôţe

preukázať platným cestovným lístkom, je povinný zaplatiť úhradu alebo poskytnúť osobné

údaje potrebné na vymáhanie cestovného v rozsahu meno a priezvisko, dátum narodenia,

rodné číslo, adresa trvalého bydliska a číslo preukazu totoţnosti. Podľa § 11 ods. 1 písm. e) je

cestujúci povinný strpieť zistenie totoţnosti privolaným príslušníkom Policajného zboru, ak

pri kontrole jej preukázanie odmietne. Dopravný podnik mesta aplikuje § 7 ods. 3 zákona

č. 428/2002 Z. z., pričom platí, ţe na spracúvanie osobných údajov cestujúcich, ktorí pri

kontrole nemali platný cestovný lístok a na mieste ani nezaplatili zmluvnú úhradu, nevyţaduje

sa súhlas dotknutých osôb, nakoľko ich osobné údaje sú spracúvané na základe osobitného

zákona, ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých

osôb. Postup dopravného podniku mesta pri výkone kontroly prostredníctvom revízorov je

teda upravený osobitným zákonom a neocitá sa v kolízii so zákonom č. 428/2002 Z. z.

Z dikcie § 11 ods. 1 písm. e) zákona č. 168/1996 Z. z., vyplýva, ţe cestujúci je

povinný strpieť zistenie totoţnosti privolaným príslušníkom Policajného zboru a to v prípade,

ak pri kontrole odmietne preukázať sa. Dopravca je oprávnený, aby v odôvodnenom prípade –

prostredníctvom svojho zamestnanca povereného výkonom kontroly, zistenie totoţnosti

cestujúceho od Policajného zboru vyţadoval. Súčasne je aj Policajný zbor oprávnený takejto

poţiadavke vyhovieť.

Policajný zbor na spracúvanie osobných údajov o cestujúcich, ktorí nemali v čase

kontroly platný cestovný lístok a následne nezaplatili zmluvnú úhradu, nevyţaduje ich

(dotknutých osôb) súhlas, pretoţe podľa § 7 ods. 3 zákona č. 428/2002 Z. z. sa súhlas

dotknutej osoby nevyţaduje vtedy, ak sa osobné údaje spracúvajú na základe osobitného

zákona, ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých

osôb.

Obdobne rodné číslo ako osobitná kategória osobných údajov, ktoré je na tieto účely

získavané, je spracúvané v súlade s § 9 ods. 1 písm. a) zákona č. 428/2002 Z. z., nakoľko jeho

spracúvanie vyţaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel ich

spracúvania a okruh dotknutých osôb.

59

Z rovnakého ustanovenia zákona č. 428/2002 Z. z. vyplýva, ţe spracúvané osobné

údaje o dotknutej osobe moţno z informačného systému poskytnúť, sprístupniť alebo

zverejniť, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo

zverejňovania, zoznam osobných údajov, ktoré moţno poskytnúť, sprístupniť alebo zverejniť,

ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa

osobné údaje sprístupňujú.

Privolaný príslušník Policajného zboru by teda v takomto prípade pri spracúvaní

osobných údajov oznamovateľa nepochybil, a to ani pri získavaní osobných údajov

oznamovateľa a ich overovaní v evidencii obyvateľov (napr. prostredníctvom operačného

dôstojníka), ani pri ich následnom poskytnutí dopravnému podniku mesta.

V oznámení však bolo uvedené, ţe na účel zistenia totoţnosti oznamovateľa nebol

privolaný príslušník Policajného zboru, ale príslušník mestskej polície, pričom osobné údaje

oznamovateľa sa v evidencii priestupkov mestskej polície nenachádzali, ako aj to, ţe osobné

údaje, ktoré oznamovateľ uviedol príslušníkovi mestskej polície, boli (na základe písomnej

ţiadosti dopravného podniku mesta) poskytnuté dopravnému podniku mesta pre potreby

právneho vymáhania cestovného.

Z uvedených skutočností vyplýva, ţe príslušník mestskej polície spracúval osobné

údaje oznamovateľa bez právneho podkladu, nakoľko nemohol postupovať podľa § 11 ods. 1

písm. e) zákona č. 168/1996 Z. z. o cestnej doprave v znení neskorších predpisov (predmetné

ustanovenie sa vzťahuje na príslušníkov Policajného zboru), pričom nešlo o riešenie

priestupku, ale o poţiadavku preukázať totoţnosť.

6.6.9. Únik údajov z informačného systému prevádzkovateľa

Úradu bolo doručené oznámenie vo veci podozrenia z porušenia zákona č. 428/2002

Z. z., ku ktorému malo dôjsť zo strany prevádzkovateľa tým, ţe osobné údaje zamestnancov

právnických osôb zriadených prevádzkovateľom boli sprístupnené neoprávneným osobám.

Tvrdenia uvedené v oznámení boli podopreté dôkazom v podobe nosiča údajov (kompaktný

disk) priloţeného k oznámeniu a obsahujúceho pracovné zmluvy a súvisiace dokumenty.

Na základe priamej komparácie dôkazov poskytnutých oznamovateľom s obsahom

informačného systému prevádzkovateľa bolo preukázané, ţe osobné údaje oznamovateľa

a osobné údaje ďalších zamestnancov právnických osôb zriadených prevádzkovateľom

skutočne pochádzajú z informačného systému, v ktorom prevádzkovateľ spracúva osobné

údaje zamestnancov ním zriadených právnických osôb. To potvrdilo, ţe tieto osobné údaje

boli bez právneho podkladu sprístupnené minimálne jednej neoprávnenej osobe

(oznamovateľovi). Vo vzťahu k dokumentom pracovnoprávnej povahy bolo zistené, ţe

obsahujú osobné údaje dotknutých osôb v rozsahu titul, meno, priezvisko, dátum narodenia,

adresa trvalého bydliska, zamestnávateľ, zastávaná pracovná funkcia a mzdové podmienky.

Porovnaním súborov uloţených na nosiči údajov (elektronická forma) s náhodne vybranými

dokumentmi z informačného systému prevádzkovateľa (listinná forma) bolo zistené, ţe

osobné údaje v súboroch na nosiči údajov a osobné údaje na listinách tvoriacich súčasť

informačného systému prevádzkovateľa sú totoţné (identické) v rozsahu titul, meno,

priezvisko, dátum narodenia, adresa trvalého bydliska, zamestnávateľ a zastávaná pracovná

funkcia.

Rozsah a štruktúra dokumentov na nosiči údajov, ako aj údaje o ich autoroch

60

(vlastnosti dokumentu) jednoznačne preukázali, ţe dokumenty na nosiči údajov pochádzajú

z informačného systému prevádzkovateľa. Prevádzkovateľ sa nevedel vyjadriť k tomu, akým

spôsobom sa jeho dokumenty v elektronickej forme dostali do rúk oznamovateľa.

V priebehu konania bolo súčasne preukázané, ţe osobné údaje zamestnancov

prevádzkovateľa (konkrétne osobné údaje radiacich pracovníkov právnických osôb

zriadených prevádzkovateľom) pochádzajú z konkrétneho osobného počítača zamestnanca

prevádzkovateľa, ktorý bol o právach a povinnostiach vyplývajúcich zo zákona č. 428/2002

Z. z. a o zodpovednosti za ich porušenie poučený, aby nedochádzalo k únikom osobných

údajov z informačného systému prevádzkovateľa.

Na základe podkladov poskytnutých oznamovateľom, ako aj na základe dôkazov

získaných v priebehu konania Úrad konštatoval, ţe oprávnená osoba (zamestnanec)

prevádzkovateľa umoţnila prístup do informačného systému prevádzkovateľa neznámej

osobe, ktorá následne neoprávnene získala osobné údaje dotknutých osôb.

Uvedeným konaním sa oprávnená osoba prevádzkovateľa dopustila správneho deliktu

podľa § 49 ods. 5 písm. c) zákona č. 428/2002 Z. z. Sprístupnenie osobných údajov

z informačného systému prevádzkovateľa neoprávnenej osobe malo vo vzťahu k poškodeným

dotknutým osobám ireverzibilnú povahu a jeho následok nebolo moţné napraviť opatreniami

na odstránenie zistených nedostatkov. Nakoľko neoprávnené nakladanie s osobnými údajmi

(nedbanlivým sprístupnením neoprávnenej osobe) bolo preukázané konkrétnej oprávnenej

osobe prevádzkovateľa, sankcia vo forme pokuty nebola uloţená prevádzkovateľovi, ktorý

v priebehu konania preukázal, ţe si svoje povinnosti splnil riadne a včas, ale priamo jeho

oprávnenej osobe (zamestnancovi).

6.6.10. Vymáhanie leasingových splátok

Oznámenie s podozrením na porušenie zákona č. 428/2002 Z. z., ktorého sa mala

dopustiť akciová spoločnosť, ktorá poskytuje leasing motorových vozidiel spočívalo v tom, ţe

prevádzkovateľ v postavení veriteľa sa v dôsledku neuhradenia troch leasingových splátok

obrátil na inkasnú spoločnosť, ktorej zástupcovia mali kontaktovať oznamovateľa. Mali

pritom disponovať dokladmi súvisiacimi s leasingom (splátkový kalendár a leasingová

zmluva), teda dokladmi s osobnými údajmi oznamovateľa. Vo vozidle zástupcov inkasnej

spoločnosti sa mali nachádzať aj leasingové zmluvy a splátkové kalendáre ďalších dlţníkov.

Na základe skutočností obsiahnutých v oznámení, Úrad vyzval k súčinnosti

prevádzkovateľa informačného systému, ako aj jeho sprostredkovateľa - inkasnú spoločnosť.

Z vyjadrení prevádzkovateľa a jeho sprostredkovateľa vyplývalo, ţe postup sprostredkovateľa

rezultoval z mandátnej zmluvy uzavretej medzi prevádzkovateľom a sprostredkovateľom,

pričom prevádzkovateľ dal svojmu sprostredkovateľovi príkaz na vymáhanie pohľadávky na

základe Zmluvy o autoúvere, podpísaním ktorej oznamovateľ vyjadril aj súhlas so

spracúvaním svojich osobných údajov v prípade vymáhania pohľadávky, vrátane ich

poskytnutia sprostredkovateľovi.

Úrad konštatoval, ţe súhlas oznamovateľa so spracúvaním osobných údajov v prípade

vymáhania pohľadávky prevádzkovateľ ani nepotreboval, nakoľko na také spracúvanie ho

oprávňuje dikcia § 7 ods. 4 písm. b) zákona č. 428/2002 Z. z., podľa ktorého sa súhlas

dotknutej osoby nevyţaduje, ak spracúvanie osobných údajov je nevyhnutné na plnenie

zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán. Naproti tomu

informácie, ktoré mal prevádzkovateľ dotknutej osobe poskytnúť podľa § 10 ods. 1 zákona

61

č. 428/2002 Z. z., neboli jej poskytnuté v poţadovanom rozsahu.

6.6.11. Sprístupňovanie údajov podľa zákona o slobode informácií

Útvar inšpekcie prešetril podnet oznamovateľa, ktorý uviedol, ţe ţiadal mestský úrad

o sprístupnenie informácií podľa zákona č. 211/2000 Z. z. o slobodnom prístupe

k informáciám a domnieval sa, ţe mestský úrad porušil zákon č. 428/2002 Z. z. o ochrane

osobných údajov tým, ţe mu sprístupnil dokumenty s chránenými osobnými údajmi vrátane

rodného čísla osôb, ktoré odkúpili od mesta nejaký hnuteľný majetok, a ktorých evidencia sa

vedie u prevádzkovateľa v zošite, ku ktorému mal mať zrejme prístup ktokoľvek. Oznámenie

doloţil kópiami dokumentov, ktoré mu zaslal prevádzkovateľ.

Útvar inšpekcie vykonal u prevádzkovateľa kontrolu spracúvania osobných údajov

s dôrazom na preverenie skutočností uvedených v oznámení. Bolo zistené, ţe prevádzkovateľ

zaslal oznamovateľovi list, ktorého prílohou boli fotokópie niekoľkých strán z knihy majetku.

Sprístupnené fotokópie obsahovali osobné údaje v rozsahu meno manţela, jeho rodné číslo

príp. dátum narodenia, meno manţelky, jej rodné číslo príp. dátum narodenia, bydlisko

a údaje týkajúce sa kupovaného/predávaného majetku. Na poskytnutých fotokópiách bola

väčšia časť rodných čísiel zatretá, avšak v niektorých prípadoch tak, ţe rodné čísla boli

čitateľné a časť rodných čísiel nebola zatretá vôbec. Ostatné osobné údaje zostali čitateľné.

Podľa § 15 ods. 1 zákona č. 428/2002 Z. z. za bezpečnosť osobných údajov zodpovedá

prevádzkovateľ a sprostredkovateľ tým, ţe ich chráni pred náhodným ako aj nezákonným

poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením

ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme

primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania,

pričom berie do úvahy najmä pouţité technické prostriedky, rozsah moţných rizík, ktoré sú

spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému a dôvernosť a

dôleţitosť spracúvaných osobných údajov.

Podľa § 9 ods. 2 zákona o slobode informácií informácie o osobných údajoch fyzickej

osoby, ktoré sú spracúvané v informačnom systéme za podmienok ustanovených zákonom

(zákon č. 428/2002 Z. z.), povinná osoba sprístupní len vtedy, ak to ustanovuje zákon alebo

na základe predchádzajúceho písomného súhlasu dotknutej osoby.

Podľa § 6 ods. 1 písm. i) zákona č. 428/2002 Z. z. spracúvať osobné údaje v súlade s

dobrými mravmi a konať spôsobom, ktorý neodporuje tomuto zákonu ani iným všeobecne

záväzným právnym predpisom a ani ich neobchádza; súhlas dotknutej osoby si nesmie

prevádzkovateľ vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu,

sluţby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi

zákonom.

Vykonaná kontrola ukázala, ţe prevádzkovateľ nedostatočne vymazal rodné čísla na

poskytnutých fotokópiách, tieto fotokópie pred odoslaním oznamovateľovi neskontroloval,

čím došlo k sprístupneniu osobných údajov, vrátane rodných čísiel, neoprávnenej osobe.

Týmto bol porušený § 15 ods. 1 zákona č. 428/2002 Z. z. Okrem toho podľa § 9 ods. 2 zákona

o slobode informácií, prevádzkovateľ nemal sprístupniť osobné údaje fyzických osôb, ktoré

sú spracúvané v informačnom systéme prevádzkovateľa, pretoţe ţiadny zákon neustanovoval

62

pre prevádzkovateľa podmienky sprístupnenia a prevádzkovateľ nedisponoval písomnými

súhlasmi dotknutých osôb.

6.6.12. Cirkev v postavení prevádzkovateľa

Jednou z citlivých oblastí nevyhnutne spojených so spracúvaním osobných údajov je

pôsobenie štátom registrovaných cirkví a náboţenských spoločností na území Slovenskej

republiky. V uvedenej intencii útvar inšpekcie analyzoval rozsah spracúvaných osobných

údajov, okruh dotknutých osôb a právny základ samotného spracúvania. S ohľadom na

skutočnosť, ţe v súčasnosti na území Slovenskej republiky pôsobí celkom 18 registrovaných

cirkví a náboţenských spoločností, boli na uvedený účel vybrané normy súvisiace

s Katolíckou cirkvou v Slovenskej republike (ďalej len „Katolícka cirkev“), konkrétne

Základná zmluva medzi Slovenskou republikou a Svätou stolicou zo dňa 18. decembra 2000

(ďalej len „Vatikánska zmluva“) a národná legislatíva reprezentovaná najmä Ústavou

Slovenskej republiky č. 460/1992 Zb. v znení neskorších ústavných zákonov (ďalej len

„Ústava“) a zákonom č. 428/2002 Z. z.

Vatikánska zmluva v čl. 2 ods. 1 ustanovuje, ţe Slovenská republika uznáva právo

Katolíckej cirkvi a jej členov na slobodné a nezávislé pôsobenie, ktoré zahŕňa najmä verejné

vyznávanie, hlásanie a uskutočňovanie katolíckej viery, slobodu pri plnení poslania

Katolíckej cirkvi, vykonávanie jej kompetencií ustanovených kánonickým právom,

vykonávanie vlastníckeho práva k jej finančným a materiálnym prostriedkom a spravovanie

jej vnútorných vecí. Podľa čl. 2 ods. 2 Vatikánskej zmluvy Svätá stolica ako zmluvná strana

garantuje, ţe Katolícka cirkev vyuţije všetky vhodné prostriedky na mravné formovanie

obyvateľov Slovenskej republiky v prospech spoločného dobra podľa princípov katolíckej

náuky v súlade s právnym poriadkom Slovenskej republiky. Právo Katolíckej cirkvi a jej

členov na slobodné a nezávislé pôsobenie, ktoré zahŕňa najmä slobodu pri plnení poslania

Katolíckej cirkvi, vykonávanie jej kompetencií ustanovených kánonickým právom

a spravovanie jej vnútorných vecí. Vatikánska zmluva bliţšie špecifikuje napríklad v čl. 6

(výlučné právo Svätej stolice obsadzovať hierarchicky usporiadané úrady podľa kánonického

práva). Dodrţiavaním právneho poriadku Slovenskej republiky je činnosť Katolíckej cirkvi

podmienená napríklad pri aplikácii čl. 13 Vatikánskej zmluvy (zriaďovanie, správa

a vyuţívanie základných a stredných škôl, vysokých škôl a školských zariadení, aj keď sa tak

deje na základe kánonického práva) alebo čl. 10 (spolupráca so štátnymi orgánmi pri

uzatváraní manţelstva formou cirkevného obradu, teda podľa kánonického práva) a osobitnou

medzinárodnou zmluvou je podmienené napríklad právo Katolíckej cirkvi vykonávať

pastoračnú sluţbu v ozbrojených silách a policajných zboroch (čl. 14 Vatikánskej zmluvy).

Podľa čl. 1 Ústavy je Slovenská republika zvrchovaný, demokratický a právny štát,

ktorý sa neviaţe na nijakú ideológiu ani náboţenstvo. Slovenská republika súčasne uznáva a

dodrţiava všeobecné pravidlá medzinárodného práva, medzinárodné zmluvy, ktorými je

viazaná, a svoje ďalšie medzinárodné záväzky (napr. Vatikánska zmluva). Ochrana osobných

údajov i sloboda náboţenského vyznania a viery sa podľa Ústavy spoločne a nerozdielne

zaručujú ako základné ľudské práva a slobody.

Podľa čl. 22 ods. 1 a 2 Ústavy sa zaručuje ochrana osobných údajov a nikto nesmie

porušiť listové tajomstvo ani tajomstvo iných písomností a záznamov bez ohľadu na spôsob

ich uchovávania.

Podľa čl. 24 ods. 1 a 2 Ústavy sa zaručujú sloboda myslenia, svedomia, náboţenského

vyznania a viery, pričom kaţdý má právo slobodne prejavovať svoje náboţenstvo alebo vieru

a súčasne má kaţdý právo byť bez náboţenského vyznania.

63

Podľa čl. 24 ods. 3 a 4 Ústavy cirkvi a náboţenské spoločnosti spravujú svoje

záleţitosti samy a podmienky výkonu ich práv moţno obmedziť iba zákonom, ak ide

o opatrenie nevyhnutné v demokratickej spoločnosti na ochranu verejného poriadku, zdravia

a mravnosti alebo práv a slobôd iných.

Garantom dodrţiavania práv a slobôd v oblasti spracúvania osobných údajov

dotknutých fyzických osôb prevádzkovateľmi informačných systémov je zákon č. 428/2002

Z. z. V uvedenej intencii subjekty Katolíckej cirkvi podľa § 4 ods. 2 zákona č. 428/2002 Z. z.

nadobúdajú postavenie prevádzkovateľa informačného systému a na tomto základe sú

povinné dodrţiavať povinnosti prevádzkovateľa ustanovené v zákone č. 428/2002 Z. z., najmä

povinnosti podľa § 6 ods. 1 písm. a), c) a i), tzn. povinnosť pred začatím spracúvania

osobných údajov jednoznačne a konkrétne vymedziť účel spracúvania osobných údajov, ktorý

nesmie byť v rozpore s Ústavou, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami,

ktorými je Slovenská republika viazaná. Ďalej získavať osobné údaje výlučne na vymedzený

alebo ustanovený účel, spracúvať osobné údaje v súlade s dobrými mravmi a konať

spôsobom, ktorý neodporuje zákonu č. 428/2002 Z. z. ani iným všeobecne záväzným

právnym predpisom.

Zákon č. 428/2002 Z. z. vymedzuje osobitné kategórie osobných údajov (§ 8)

a výnimky z obmedzení pri ich spracúvaní (§ 9). Podľa § 8 ods. 1 zákona č. 428/2002 Z. z. sa

spracúvanie osobných údajov, ktoré odhaľujú náboţenskú vieru alebo svetonázor, zakazuje.

Uvedený zákaz podľa § 9 ods. 1 zákona č. 428/2002 Z. z. neplatí, ak dotknutá osoba dala

písomný súhlas na ich spracúvanie alebo ak podľa § 9 ods. 1 písm. c) zákona č. 428/2002 Z.

z. spracúvanie vykonáva v rámci oprávnenej činnosti štátom uznaná cirkev alebo náboţenská

spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú

s nimi, vzhľadom na ich ciele, v pravidelnom styku, osobné údaje slúţia výlučne pre ich

vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného súhlasu dotknutej osoby.

Prevádzkovateľ teda musí disponovať písomným súhlasom dotknutej osoby alebo dotknutá

osoba musí byť členom Katolíckej cirkvi (prípadne osobou, ktorá je s cirkvou vzhľadom na

jej ciele v pravidelnom styku). V ostatných prípadoch sa spracúvanie osobných údajov bez

právneho podkladu ocitá v priamom rozpore s vyššie uvedeným zákazom, resp. v rozpore s §

8 ods. 1 zákona č. 428/2002 Z. z.

V súvislosti so získavaním osobných údajov je ţiaduce uviesť aj povinnosti

prevádzkovateľa (cirkvi) ustanovené v § 10 ods. 1 písm. d) bod 2 a 7 zákona č. 428/2002 Z.

z., podľa ktorých je prevádzkovateľ, ktorý mieni získať od dotknutej osoby jej osobné údaje,

povinný najneskôr pri ich získavaní informovať dotknutú osobu a bez vyzvania jej vopred

oznámiť informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti spracúvania

osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených

záujmov, najmä poučenie o dobrovoľnosti alebo povinnosti poskytnúť poţadované osobné

údaje a poučenie o existencii práv dotknutej osoby.

Dotknuté osoby je na účel analýzy ţiaduce rozdeliť do troch nasledujúcich okruhov:

a) dotknuté osoby, ktoré vo vnútornej štruktúre prevádzkovateľa pôsobia ako duchovní alebo

ako iní zamestnanci, teda osoby, ktorých osobné údaje sú spracúvané v informačnom

systéme „zamestnanci“,

b) dotknuté osoby, ktoré sú príslušníkmi cirkvi, teda osoby, ktorých osobné údaje sú

spracúvané v informačnom systéme „veriaci“,

c) dotknuté osoby, ktoré nie sú príslušníkmi cirkvi, teda osoby, ktorých osobné údaje moţno

spracúvať len na základe ich predchádzajúceho súhlasu alebo na základe zákona (zákon

č. 428/2002 Z. z., alebo osobitný zákon), pričom platí, ţe na zákaz spracúvania ich

64

osobných údajov osobitnej kategórie, ustanovený v § 8 ods. 1 zákona č. 428/2002 Z. z., sa

nevzťahuje výnimka podľa § 9 ods. 1 písm. c) zákona č. 428/2002 Z. z.

Osobné údaje v informačnom systéme „zamestnanci“ sú spracúvané na základe

príslušných zákonov (napríklad pracovné zmluvy uzatvorené medzi prevádzkovateľom

a duchovnými na základe Zákonníka práce) a v úzkej väzbe na príslušné ustanovenia

kánonického práva.

Osobné údaje v informačnom systéme „veriaci“ sú spracúvané najmä na základe

predchádzajúceho súhlasu dotknutej osoby, resp. jej zákonného zástupcu, spojeného so

vstupom dotknutej osoby do cirkvi, a na osobitnú kategóriu osobných údajov (údaj

o náboţenskej viere alebo svetonázore) sa vzťahuje výnimka podľa § 9 ods. 1 písm. c) zákona

č. 428/2002 Z. z.

Z pohľadu ochrany osobných údajov sa v tejto súvislosti ako rizikový javí posledný,

tretí okruh dotknutých osôb, ktoré moţno zahrnúť pod termíny „inoveriaci“ a „neveriaci“.

Uvedený okruh dotknutých osôb sa dostáva do kontaktu s cirkvou napríklad pri rôznych

cirkevných obradoch (svedok ţenícha alebo nevesty).

Vo vzťahu k ochrane osobných údajov osobitnej kategórie (údaje o príslušnosti ku

konkrétnej cirkvi alebo o inom svetonázore) je teda zrejmé, ţe na dotknuté osoby, ktoré nie sú

príslušníkmi Katolíckej cirkvi a súčasne nedali súhlas na spracúvanie osobných údajov

o svojej príslušnosti k inej cirkvi, resp. o inom svetonázore, sa vzťahuje ochrana zakotvená v

čl. 16 ods. 4 Listiny základných práv a slobôd (obmedzenie výkonu práv cirkví

a náboţenských spoločností) a nadväzne aj v národnej právnej úprave (Ústava a § 8 ods. 1

zákona č. 428/2002 Z. z.), resp. riziko kolízie medzi úkonmi cirkvi a príslušnými

ustanoveniami zákona č. 428/2002 Z. z. smeruje najmä k okruhu dotknutých osôb, ktorý

moţno vymedziť pojmami „inoveriaci“ a „neveriaci“, a k situáciám, v ktorých tieto osoby

z rôznych dôvodov prichádzajú do styku s cirkvou.

V rámci preventívneho zámeru a na základe analýzy potenciálnych rizík útvar

inšpekcie v rokoch 2008 aţ 2010 viedol z vlastnej iniciatívy konania voči 7

prevádzkovateľom informačných systémov, ktorí reprezentujú rôzne cirkvi. Konania

zamerané na subjekty niţšej hierarchickej úrovne (napr. farnosť) vedené voči zástupcom troch

cirkví boli ukončené vydaním opatrení na odstránenie zistených nedostatkov v nasledujúcom

rozsahu (zistené nedostatky boli vo všetkých troch prípadoch identické):

a) absencia evidencií informačných systémov podľa § 29 a 30 zákona č. 428/2002 Z. z.,

b) absencia poučenia oprávnených osôb prevádzkovateľa podľa § 17 zákona č. 428/2002 Z.

z. o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich

porušenie;

c) absencia bezpečnostných smerníc o ochrane osobných údajov podľa § 15 ods. 2 písm. b)

zákona č. 428/2002 Z. z.,

d) rozpor medzi spracúvaním údajov o vierovyznaní alebo svetonázore s ustanoveniami § 8

ods. 1 a § 9 ods. 1 zákona č. 428/2002 Z. z. (s výnimkou prípadov, v ktorých vie

prevádzkovateľ Úradu kedykoľvek na jeho ţiadosť preukázať, ţe získanie súhlasu

dotknutých osôb je objektívne nemoţné alebo by si to vyţiadalo neúmerne vysoké

náklady a mimoriadne úsilie).

Konania zamerané na subjekty vyššej hierarchickej úrovne (napr. diecéza), vedené

voči zástupcom štyroch cirkví, boli ukončené vydaním troch opatrení na odstránenie

zistených nedostatkov v nasledujúcom rozsahu (zistené nedostatky neboli identické):

65

a) absencia evidencie informačného systému podľa § 29 a 30 zákona č. 428/2002 Z. z.,

b) absencia poučenia oprávnených osôb prevádzkovateľa podľa § 17 zákona č. 428/2002 Z.

z. o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich

porušenie,

c) absencia písomne poverenej zodpovednej osoby podľa § 19 zákona č. 428/2002 Z. z.,

d) absencia bezpečnostného projektu, resp. dokumentácie podľa § 15 ods. 2 písm. a), alebo

b) zákona č. 428/2002 Z. z.

Na základe zovšeobecnených výsledkov analýzy právneho podkladu spracúvania

osobných údajov z pozície cirkví a náboţenských spoločností, ako aj na základe výsledkov

konaní Úradu zameraných na spracúvanie osobných údajov cirkvami, Úrad všetkým štátom

registrovaným cirkvám a náboţenským spoločnostiam podľa § 38 ods. 1 písm. b) zákona

č. 428/2002 Z. z. odporučil opatrenia na zabezpečenie ochrany osobných údajov

v informačných systémoch prevádzkovateľa.

S ohľadom na rozsiahlosť informačných systémov prevádzkovaných cirkvami

a náboţenskými spoločnosťami a na skutočnosť, ţe v sledovanom období boli Úradu

doručené len dve oznámenia smerujúce voči týmto prevádzkovateľom (obe boli posúdené ako

opodstatnené), Úrad konštatuje, ţe stav ochrany spracúvaných osobných údajov je na

prijateľnej úrovni a vydaním odporúčania adresovaného všetkým štátom registrovaným

cirkvám a náboţenským spoločnostiam vyjadril záujem o to, aby situácia v oblasti, ktorú

nemoţno nenazvať citlivou, zostala zachovaná.

7. Internetová stránka Úradu – www.dataprotection.gov.sk

K významným aktivitám Úradu patrí prevádzkovanie internetovej stránky ako moderného

elektronického prezentačného nástroja. Pri jej návrhu ako aj v priebehu jej realizácie sa kládol

dôraz na vzájomné skĺbenie jednotlivých rovín, a to obsahovej, pouţívateľského komfortu,

grafického dizajnu a spôsobu navigácie návštevníkov stránky a správy internetovej stránky

Úradu. Stránka sa snaţí spĺňať všetky kritéria prístupnosti v zmysle § 13 zákona č. 275/2006

Z. z. o informačných systémoch verejnej správy a v zmysle výnosu z 8. septembra 2008 č.

MF/013261/2008-132. V závere roka 2010 sa stránka doplnila o novú funkcionalitu, ktorou je

Really Simple Sindication (RSS) kanál.

7.1. Vymedzenie obsahu internetovej stránky Úradu

Obsahom internetovej stránky Úradu sú informácie, ktoré:

 zodpovedajú poţiadavkám na informácie ako povinnosti podľa § 5 zákona č. 211/2000

Z. z., ktoré sa týkajú orgánov štátnej správy, územnej samosprávy a verejnoprávnych

organizácií,

 vyplývajú z postavenia a úloh, ktoré Úrad zo zákona plní voči verejnosti,

 sú určené odbornej verejnosti, najmä prevádzkovateľom informačných systémov

 sú poskytované partnerským a medzinárodným organizáciám so sídlom v zahraničí,

 monitorujú situáciu v oblasti ochrany osobných údajov v zahraničí.

66

7.2. Návštevnosť webového sídla

Stránka dosahuje priemerne 2716. nových návštevníkov za mesiac. Pre ilustráciu je v ďalšom

texte zobrazený vybraný úsek od 1. 4. 2010 do 31. 12. 2010.

67

Denná vyťaţenosť servera:

Týţdenná vyťaţenosť stránky:

68

Hodinová vyťaţenosť

stránky:

Zloţenie návštevníkov:

8. Komunikácia s médiami ako nástroj informovania verejnosti

V roku 2009 a 2010 Úrad reagoval na otázky prostredníctvom printových

a audiovizuálnych médií celkovo 89 krát, z toho denníky a časopisy 35 krát, televízie 34 krát

a rozhlas 20 krát.

V roku 2009 sa otázky týkali problémov a to: zneuţitia osobných údajov - konkrétne

rodného čísla, snímania kamerovým systémom, vyţiadania osobných údajov od čiernych

pasaţierov revízorom a políciou, ochrany a rizík zneuţitia, monitoringu zamestnancov

v súvislosti so zákonom vo Fínsku, nevyţiadaných zásielok od direktmarketingových firiem,

neplatičov a moţnosti nahliadania do dokumentácie bytových domov, dochádzkového

systému a fotografie z web - kamery, poskytnutia osobných údajov vymáhačskej firme

lízingovou spoločnosťou.

Otázky sa týkali aj rodného čísla na poštovej zásielke od Všeobecnej zdravotnej

poisťovne, ochrany súkromia v súvislosti s vyuţívaním čipov, nahrávania účastníkov pri

dopravnej nehode a policajta pri zastavení, odtlačkov prstov pri evidencii dochádzky, plánu

ministerstva zdravotníctva pri vypracovaní analýzy dodrţiavania zákona o ochrane os. údajov,

ďalej podvodného mailu, zoznamu deviantov, adopcie dieťaťa, ako aj Akčného plánu na

predchádzanie rasizmu, diskriminácie.. pre roky 2009-11

69

V roku 2010 to boli otázky k problémom: zneuţitie osobných údajov, monitorovanie

kamerovým systémom na školách, ochrana osobnosti na internete, ochrana a riziká zneuţitia,

zber dát spoločnosťou Google pre Street View, sprístupňovanie a zverejňovanie zoznamov pri

prideľovaní obecných bytov mestskými časťami mesta, krádeţ identity a sociálne siete,

sledovanie zamestnancov zamestnávateľmi, preberanie preukazov s osobnými údajmi

stráţnou sluţbou, informácie o pokute pre mesto Trenčín, uvádzanie rodného čísla na

faktúrach mestským úradom.,

Otázky sa ďalej týkali oprávnenosti postupov policajtov pri beţnej cestnej kontrole,

zaradenia dátumu narodenia na petičných hárkoch, ochrany pred svojvoľným narábaním

s osobnými údajmi telemarketingovými a distribútorskými firmami, zverejňovania galérie

revízorov MHD na Facebooku, zverejnenia osobných údajov tisícov poistencov na web-

stránke Všeobecnej zdravotnej poisťovne, zverejnenia zoznamov pedofilov ako aj rizík

zneuţiteľnosti osobných údajov.

8.1. Ďalšie aktivity Úradu ako súčasť propagácie

Január patril uţ tradične 4. a 5. ročníku medzinárodného Dňa ochrany osobných

údajov. Pri tejto príleţitosti sa uskutočnil v dňoch 28. a 30. januára 2009 rozhovor

s pracovníkmi Úradu v relácii Slovenskej televízie FOKUS. v ktorej boli zodpovedané aj

otázky divákov reagujúcich na ţivé vysielanie. Odpovede na nezodpovedané otázky

v televíznych reláciách ako aj na ďalšie otázky zasielané občanmi cez e -mailovú poštu boli

následne uvedené na web-stránke Úradu pod názvom „Fórum otázok a odpovedí“.

V roku 2010 bol pri príleţitosti medzinárodného Dňa ochrany osobných údajov

odvysielaný 27. januára 2010 rozhovor s vrchným inšpektorom Úradu v Slovenskom

rozhlase. Ďalšou aktivitou bola tlačová beseda 28. januára 2010 na tému „Vieme ochrániť

osobné údaje pre naše súkromie i bezpečie detí?“. Podujatie bolo organizované spolu so

zdruţením eSlovensko a Mestom Bratislava. Rozhovory s účastníkmi besedy zaznamenali

televízia Markíza, STV a Slovenský rozhlas.

Z ďalších aktivít: v roku 2009 bol v regionálnom časopise Vajnorské vidzení

zverejnený rozhovor s predsedom Úradu o poslaní úradu, legislatíve, o citlivých údajoch,

o praktických radách ako prispieť k vlastnej ochrane a kam sa obrátiť pri podozrení, ţe

dochádza k porušeniu práv alebo nezákonnému postupu, ako aj o rizikách pri podcenení

obozretnosti.

Začiatkom februára sa zúčastnil zástupca Úradu okrúhleho stola, ktorý je súčasťou

projektu „bezpečne na internete“ organizovaného spoločnosťou Microsoft.

Bol tieţ uskutočnený rozhovor pre Slovenský rozhlas, zameraný na praktické situácie

občanov, resp. poslucháčov v súvislosti s ochranou osobných údajov.

Vo februári bol realizovaný na objednávku Úradu uţ tradičný prieskum verejnej

mienky Štatistickým úradom SR a pouţitý ako súčasť Správy.

Koncom mája 2009 bola predloţená v elektronickej i tlačenej podobe Správa o stave

ochrany osobných údajov za obdobie 2007-2008 do Národnej rady SR a koncom júna vzatá

na vedomie. Následne bola realizovaná tlač Správy v slovenskej a anglickej verzii a popri tom

aj tlač letáku so základnými informáciami o právach občanov, povinnostiach

prevádzkovateľov, o Úrade, spolupráci a základných dokumentoch.

V septembri 2009 pri príleţitosti návštevy Petra Hustinxa, európskeho inšpektora pre

ochranu údajov, bolo zorganizované stretnutie hosťa s pracovníkmi Úradu, následne

s predsedom a členmi Výboru NR SR pre ľudské práva, národnosti a postavenie ţien a na

záver tlačová beseda pre novinárov na pôde parlamentu.

70

V októbri 2009 bola na návšteve Úradu redaktorka tlačového oddelenia českého

Úradu, ktorá následne zverejnila v českom bulletine článok o slovenskom Úrade.

V roku 2010 – február – účasť na okrúhlom stole na tému „Ochrana súkromia na

internete“ organizovanom spoločnosťou Microsoft.

Počas stretnutie zástupcov českého a slovenského úradu na ochranu osobných údajov

v novembri 2010 v Luhačoviciach bol realizovaný aj rozhovor predsedov oboch úradov pre

české regionálne noviny.

Úrad pokračoval v spolupráci so zdruţením www.zodpovedne.sk, ktoré je zamerané

na ochranu detí a mládeţe proti hrozbám vyplývajúcim z pouţívania mobilov a sociálnych

sietí. Z ďalších činností to bolo zhrnutie a výber medzinárodných dokumentov pre zaradenie

na internetovú stránku Úradu

9. Záver

Spoločenský vývoj určuje vţdy niekoľko dominujúcich faktorov, ktoré svojim

významom a nezastaviteľným tempom pôsobia na všetky oblasti ţivota spoločnosti

a zásadným spôsobom určujú smer rozvoja. K nim patria aj informačné technológie, ktoré

podliehajú takmer kaţdodenným zmenám.

Svetová komunikačná sieť – Internet, ako jedna z nespočetných moţností vyuţívania

informačných technológií, rozšírila obzory pre ľudstvo a otvorila dvere k rýchlejšiemu

a lepšiemu spoznávaniu, k vzájomnej komunikácii a zbliţovaniu ľudí naprieč nesmiernym

vzdialenostiam. I po mnohých rokoch nás to udivuje, očarúva a nadchýna. Toto nadšenie

spolu s ilúziou bezpečia v intimite nášho bytu či kancelárie nás zvádza i k neopatrnosti. Často

ale nepoznáme alebo si neuvedomujeme zraniteľnosť týchto technických vymoţeností a

neradi pripúšťame riziká a nepriaznivé dôsledky, ktoré môţu narušiť naše súkromie. Musíme

však počítať s prípadnými váţnymi následkami pri nesprávnom technickom pouţití, či

neobozretnom správaní sa na internete.

Uvaţujúc v širších súvislostiach – nekalými úmyslami a zneuţívaním internetu moţno

znefunkčniť informačné systémy i v rámci silných komunít či štátov.

Podobným rizikám je vystavená i oblasť spracúvania osobných údajov, ktorá je

realizovaná prevaţne uţ automatizovaným spôsobom. Pohyb a prenos údajov dnes nezriedka

prekračuje hranice štátov a hoci sú pritom vyuţívané rôzne technické riešenia a aplikácie,

občas dochádza k zlyhaniu niektorých článkov ochrany. Najčastejšie však ľudského faktora.

Je potrebné tieţ spomenúť, ţe právna úprava týchto vzťahov, ktorá je povolaná vniesť

čo najväčší poriadok do oblasti spracúvania a ochrany osobných údajov, spravidla do značnej

miery zaostáva za veľmi dynamickým rozvojom informačných technológií. Vznikajú tak isté

nepokryté miesta, ktoré môţu byť spravidla ľahko zneuţiteľné. Je preto veľmi dôleţité, aby

právna úprava, či uţ medzinárodná alebo národná, bola čo najkomplexnejšia, najprecíznejšia

a priebeţne aktualizovaná. Mohla by tak prispieť k snahám vyhnúť sa zľahčovaniu si

povinností a plnení úloh a tým aj podceňovaniu významu ochrany osobných údajov vôbec.

Nie je preto na mieste bagatelizovať túto problematiku a jej opodstatnenosť. Ţiaľ,

takéto postoje totiţ zisťujeme v náznakoch pri kontrolnej činnosti, ale aj z rôznych názorov či

návrhov. Prejavilo sa to tieţ v niektorých pripomienkach k návrhu zmeny zákona o ochrane

osobných údajov, ktorý Úrad predloţil v decembri 2010, pričom dochádzalo aj k snahe

o značné skrátenie a zjednodušenie zmeny návrhu tohto zákona.

Zdokonaľovanie právnej úpravy je preto jedným zo základných prostriedkov, ktoré

napomáhajú účinne pôsobiť na stále bezpečnejšie spracúvanie osobných údajov fyzických

71

osôb. Popri tom nemôţeme púšťať zo zreteľa ani hľadanie rovnováhy medzi záujmom

dotknutých osôb a odôvodnenými záujmami spracovateľských subjektov. Podobne musíme

dbať aj na vyváţenosť medzi ochranou osobných údajov na jednej strane a rešpektovaním

úloh štátnych orgánov pri zabezpečovaní poriadku a bezpečnosti.

Znamená to veľkú výzvu pre Úrad a všetky zainteresované subjekty. To všetko ako

celok je však predovšetkým právnym a morálnym záväzkom všetkých vyššie menovaných

subjektov vo vzťahu k občanom, o ktorých súkromie a bezpečnosť v konečnom dôsledku ide.

Za dôleţité v nastávajúcom období povaţujeme tieţ plnenie úloh Úradu stanovených

zákonom a vyplývajúcich aj z medzinárodných dohôd. Chceme zintenzívniť tieţ naše aktivity

v oblasti zvyšovania právneho povedomia a informovanosti prevádzkovateľov i širokej

odbornej a laickej verejnosti a najmä mladých ľudí so zreteľom na pouţívanie internetu. Tieţ

dať opäť priestor pre zodpovedanie otázok občanov a ďalších subjektov ako aj pre

konzultácie.

Z hľadiska zvyšovania odbornosti sa od Úradu v nastávajúcom dvojročnom období

očakáva usporiadanie stretnutia splnomocnencov úradov na ochranu osobných údajov štátov

Strednej a Východnej Európy alebo Európskej konferencie splnomocnencov úradov pre

ochranu osobných údajov. Sú to aktivity, ktoré členské štáty zabezpečujú striedavo.

Plnenie všetkých úloh a aktivít však bude závisieť od úrovne finančného zabezpečenia

Úradu, ktoré by bolo schopné garantovať, okrem iného, aj dobudovanie personálneho

obsadenia. Tento nedostatok v poslednom období vyplýval z obmedzeného a stále sa

zniţujúceho rozpočtu Úradu.

I touto cestou chcem upriamiť pozornosť relevantných a zodpovedných štátnych

orgánov na tento veľmi váţny, doteraz značne podceňovaný problém.

Keďţe Správu, ktorá mapuje obdobie od 1. januára 2009 do 31. decembra 2010,

predkládame do Národnej rady SR vţdy s istým niekoľkomesačným časovým posunom,

musím uviesť aj niektoré aktuálne informácie a skutočnosti, ktoré priniesol ďalší vývoj. Ţiaľ,

sú to poľutovaniahodné negatíva.

Následkom neustáleho a v poslednom období veľmi razantného zniţovania rozpočtu

Úradu (o takmer 30 percent) na návrh Ministerstva financií SR, za akceptácie vlády

a Národnej rady SR, Úrad napriek svojim nespočetným zúfalým a bezvýsledným pokusom

tento trend odvrátiť, podľahol tomuto tlaku. Bol nakoniec nútený upustiť od personálneho

dobudovania, ba naopak, aby nezostal bez finančného pokrytia svojej činnosti na posledné tri

mesiace, musel prepustiť niekoľkých zamestnancov a niektorí kľúčoví zamestnanci sami

z Úradu odišli.

Týmto nastala situácia, ţe Úrad pre nedostatočné finančné zabezpečenie a personálne

obsadenie nie je schopný plniť všetky zákonom stanovené a z medzinárodných dohôd

vyplývajúce úlohy a povinnosti. Ide okrem iného o kontrolu Schengenského informačného

systému, prípravu ďalšej kontrolnej misie SR v rámci Sch-Eval, vnútroštátne kontroly

prevádzkovateľov informačných systémov, okrem kontrol vykonávaných na základe

oznámení dotknutých osôb, povinnú účasť v pracovných skupinách EÚ, zriadených podľa

článku 29 a 31, Smernice 95/46/ES ako Europol, Schengen, ďalej o spoluprácu s rezortmi

a zahraničnými partnerskými úradmi, workšopy, konferencie a ďalšie.

Ţiadam preto vládu SR a Národnú radu SR, vzhľadom k svojej zodpovednosti za danú

oblasť, aby bezodkladne učinili opatrenia na zabezpečenie týchto neodkladných úloh, ktoré

napriek viacerým upozorneniam, neurobili.

72

10. Zoznam skratiek

ADAMS

databáza ponúkajúca texty nariadení, technických dokumentov a správ -

Agencywide Documents Access and Management System

konzultačná firma Association of Executive Search Consultants, ktorá

vypracúva profesionálne smernice a praktiky pre podnikateľov aj štátnu

správu

AESC

API

Advanced Passenger Information – základné údaje o cestujúcich pred

odletom

CEEC

krajiny strednej a východnej Európy – Central and East European

Countries

CJPD

projektová skupina na ochranu údajov – Project Group on Data Protection

CNSA

kontaktná sieť úradov bojujúcich proti spamu - Contact Network of Spam

enforcement Authorities

DNA

DSS

kyselina deoxyribonukleová

Dôchodková správcovská spoločnosť

EDPS

Európsky splnomocnenec na ochranu osobných údajov - European Data

Protection Commissioner

EP

ES

Európsky parlament

Európske spoločenstvo – do 1. 11. 1993 Európske hospodárske

spoločenstvo EHS

EÚ

Európska únia

Eurodac

Európska databáza odtlačkov prstov, navrhnutá výhradne pre potreby

identifikácie ţiadateľov o azyl.

Europol

a Eurojust

Agentúry pre policajnú (Europol) a súdnu (Eurojust) spoluprácu v oblasti

trestnej činnosti

FEDMA

Federácia európskeho priameho a interaktívneho marketingu – Federation

of European Direct and Interactive Marketing

jazyk hypertextového značkovania – HyperText Markup Language

hardware

HTML

HW

IFISI

Medzinárodné fórum pre stratégie a investície do informačných

a komunikačných technológií – International Forum of ICT Strategies and

Investment

IP

internetový protokol

IS

informačný systém

ITU

Medzinárodná telekomunikačná únia – International Telecommunication

Union

IWG DPT

Medzinárodná pracovná skupina pre ochranu osobných údajov v

telekomunikáciách – International Working Group Data Protection in

Telecommunications

JSA

Spoločný dozorný úrad – Joint Supervisory Authority

JSB

Spoločný dozorný orgán – Joint Supervisory Body

Mestská hromadná doprava

MHD

MMS

MV SR

MZV

Sluţba multimediálnych správ - Multimedial Messages Service

Ministerstvo vnútra SR

Ministerstvo zahraničných vecí SR

73

NR SR

OBSE

OECD

OR PZ

Národná rada Slovenskej republiky

Organizácia pre bezpečnosť a spoluprácu v Európe

Organizácia pre hospodársku spoluprácu a rozvoj

Okresné riaditeľstvo policajného zboru

PET

PNR

PRIVIREAL

technológia zvýšenia ochrany súkromia – Privacy Enhancing Technology

osobné identifikačné číslo – Personal Identification Number

Záznam mena (osobných údajov) cestujúceho – Passenger Name Record

projekt Privacy In Research Ethics And Law

PZ

Policajný zbor

Rada Európy

RE

RFID

Technológia rádiofrekvenčnej identifikácie – Radio Frequency

Identification technology

RTG

Röntgen

SAP

Schengenský akčný plán

SIRENE

pracovisko pre medzinárodnú výmenu informácií zo systémov

Schengenského informačného systému (SIS) – Supplementary Information

Request at the National Entries

SIS

Schengenský informačný systém

SPAM, aj spam nevyţiadaná správa – je spôsob zneuţívania elektronickej komunikácie,

najmä e-mailu na rozosielanie nevyţiadaných správ

SW

software

SWIFT

Spoločnosť pre celosvetovú medzibankovú finančnú telekomunikáciu –

Society for Worldwide Interbank Financial Telecommunication

T-PD

Konzultatívny výbor k Dohovoru 108 RE – Consultative Committee of the

Convention for the Protection of Individuals with regard to Automatic

Processing of Personal Data

T-PD-BUR

Kancelária Konzultatívneho výboru k Dohovoru 108 RE – Bureau of the

Consultative Committee of the Convention for the Protection of

Individuals with regard to Automatic Processing of Personal Data

Úrad medzinárodnej policajnej spolupráce Prezídia policajného zboru SR

ÚMPS PPZ SR

ÚOOÚ SR

Úrad

Úrad na ochranu osobných údajov SR

Úrad na ochranu osobných údajov Slovenskej republiky

Výbor 31

Výbor pre ochranu osobných údajov zriadeného podľa článku 31 smernice

95/46/ES

VZN

všeobecne záväzné nariadenie

WHOIS

"WHOIS" server slúţi na overovanie dostupnosti domén a na

zverejňovanie informácií o nich

Working Party

Pracovná skupina zriadená podľa článku 29 smernice 95/46/ES

29, resp. A29WP

74

10.1.Ostatné skrátenia:

Správa

Správa o stave ochrany osobných údajov za obdobie január

2009 aţ december 2010

hodnotené obdobie

Zákon č. 428/2002 Z. z.

Od 1. januára 2009 do 31. decembra 2010

zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení

neskorších predpisov

Zákon č. 52/1998 Z. z.

zákon č. 52/1998 Z. z. o ochrane osobných údajov

v informačných systémoch v znení zákona č. 241/2001 Z. z.

dohovor Rady Európy č. 108 o ochrane jednotlivcov

pri automatizovanom spracovaní osobných údajov v znení

dodatkov (oznámenie Ministerstva zahraničných vecí SR

č. 49/2001 Z. z.)

Dohovor RE 108

smernica 95/46/ES

smernica Európskeho parlamentu a Rady 95/46/ES o ochrane

jednotlivcov pri spracúvaní osobných údajov a voľnom

pohybe týchto údajov

smernica 2002/58/ES

smernica Európskeho parlamentu a Rady 2002/58/ES

týkajúca sa spracovávania osobných údajov a ochrany

súkromia v sektore elektronických komunikácií (smernica

o súkromí a elektronických komunikáciách)

zákon č. 90/2005 Z. z., ktorým sa mení a dopĺňa zákon

č. 428/2002 Z. z. o ochrane osobných údajov v znení

neskorších predpisov

Euronovela

Zákon č. 135/1982 Zb.

Zákon č. 372/1990 Zb.

Zákon č. 162/1993 Z. z.

Zákon č. 351/1997 Z. z.

Zákon č. 195/1998 Z. z.

Zákon č. 195/2000 Z. z.

Zákon č. 211/2000 Z. z.

zákon č. 135/1982 Zb. o hlásení a evidencii pobytu občanov

v znení zákona č. 441/2001 Z. z.

zákon č. 372/1990 Zb. o priestupkoch v znení neskorších

predpisov

zákon č. 162/1993 Z. z. o občianskych preukazoch v znení

neskorších predpisov

zákon 351/1997 Z. z. Branný zákon v znení neskorších

predpisov

zákon č. 195/1998 Z. z. o sociálnej pomoci v znení

neskorších predpisov

zákon č. 195/2000 Z. z. o telekomunikáciách v znení zákona

č. 308/2000 Z. z.

zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám

a o zmene a doplnení niektorých zákonov (zákon o slobode

informácií)

Zákon č. 312/2001 Z. z.

Zákon č. 320/2002 Z. z.

Zákon č. 553/2002 Z. z.

zákon č. 312/2001 Z. z. o štátnej sluţbe a o zmene a doplnení

niektorých zákonov

zákon č. 320/2002 Z. z. o brannej povinnosti v znení

neskorších predpisov

zákon č. 553/2002 Z. z. o sprístupnení dokumentov

o činnosti bezpečnostných zloţiek štátu 1939 – 1989

a o zaloţení Ústavu pamäti národa a o doplnení niektorých

zákonov (zákon o pamäti národa)

Zákon č. 610/2003 Z. z.

zákon č. 610/2003 Z. z. o elektronických komunikáciách

v znení neskorších predpisov

75

11. Príloha – Organizačná štruktúra Úradu

76