ÚRAD NA OCHRANU OSOBNÝCH ÚDAJOV SLOVENSKEJ REPUBLIKY

___________________________________________________________________________

S p r á v a

o stave ochrany osobných údajov

za roky 2013 a 2014

Bratislava, august 2015

2

Správa o stave ochrany osobných údajov za roky 2013 a 2014

Dňa 14. mája 2015 som bola Národnou radou Slovenskej republiky zvolená do funkcie predsedníčky Úradu na ochranu osobných údajov Slovenskej republiky.

Podľa § 46 ods. 1 písm. t) zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (do 30. júna 2013 podľa § 38 ods. 1 písm. o) zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov) Úrad na ochranu osobných údajov Slovenskej republiky v rámci plnenia úloh pri výkone dozoru nad ochranou osobných údajov predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky.

V zmysle uvedeného predkladám Správu o stave ochrany osobných údajov za roky 2013 a 2014. Správa o stave ochrany osobných údajov za uvedené hodnotené obdobie bude po prerokovaní v Národnej rade Slovenskej republiky zverejnená na webovom sídle Úradu na ochranu osobných údajov Slovenskej republiky www.dataprotection.gov.sk a zároveň poskytnutá elektronickým a tlačovým médiám, ako aj verejnosti.

Soňa Pőtheová

predsedníčka úradu

3

Obsah

1 Úvod........................................................................................................................................6

1.1 Cieľ správy o stave ochrany osobných údajov.....................................................................6

1.2 Nadväznosť na Správu o stave ochrany osobných údajov za roky 2011 a 2012..................6

2 Postavenie, personálne zabezpečenie a rozpočet úradu.....................................................6

2.1 Postavenie úradu...................................................................................................................6

2.2 Personálne zabezpečenie úradu.............................................................................................7

2.2.1 Verejné funkcie úradu........................................................................................................7

2.2.2 Personálna oblasť zamestnancov úradu.............................................................................7

2.3 Rozpočet úradu.....................................................................................................................8

2.4 Projekt EÚ Pilot na úseku ochrany osobných údajov v Slovenskej republike...................10

3 Legislatívna úprava ochrany osobných údajov.................................................................10

3.1 Prijatie nového zákona o ochrane osobných údajov v roku 2013.......................................10

3.1.1 Legislatívny proces návrhu nového zákona a jeho priebeh v roku 2013.........................11

3.1.2 Vykonávacie predpisy a ich legislatívny proces v roku 2013..........................................12

3.1.2.1 Návrh vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení..........................12

3.1.2.2 Návrh vyhlášky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby

na výkon funkcie zodpovednej osoby...........................................................................13

3.2 Novela nového zákona o ochrane osobných údajov v roku 2014.......................................13

3.2.2 Novela vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení v roku 2014........14

3.3 Medzirezortné pripomienkové konania všeobecne záväzných predpisov..........................15

3.4 Príprava návrhu nariadenia v oblasti ochrany osobných údajov na európskej úrovni........15

3.4.1 Vývoj legislatívneho procesu návrhu nariadenia v Európskom parlamente....................16

3.4.2 Vývoj prerokovávania návrhu nariadenia v Rade Európskej únie...................................16

3.4.2.1 Prerokovávanie návrhu nariadenia v COREPER 2.......................................................17

3.4.2.2 Prerokovanie návrhu nariadenia v Rade pre spravodlivosť a vnútorné veci................18

3.4.2.3 Prerokovanie návrhu nariadenia na národnej úrovni....................................................18

3.5 Metodické usmernenia úradu..............................................................................................19

4 Komunikácia úradu s verejnosťou.....................................................................................19

4.1 Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb......................................19

4.2 Komunikácia úradu s médiami...........................................................................................21

4.3 Účasť úradu na odborných podujatiach..............................................................................21

4.4 Deň ochrany osobných údajov............................................................................................23

4.5 Webové sídlo úradu a jeho návštevnosť.............................................................................23

5 Zodpovedná osoba...............................................................................................................24

5.1 Postavenie, význam zodpovednej osoby a jej prínos v spoločnosti....................................24

5.2 Skúška fyzickej osoby na výkon funkcie zodpovednej osoby............................................25

5.3 Register zodpovedných osôb..............................................................................................26

6 Schvaľovacia činnosť úradu na úseku registrácií a cezhraničného prenosu

osobných údajov...................................................................................................................27

6.1 Oznamovacia povinnosť informačných systémov..............................................................27

6.2 Osobitná registrácia informačných systémov.....................................................................28

6.3 Cezhraničný prenos osobných údajov................................................................................30

4

7 Kontrola spracúvania osobných údajov............................................................................31

7.1 Zameranie a výsledky kontrol na základe ročného plánu...................................................32

7.1.1 Organizovaný cestovný ruch............................................................................................33

7.1.2 Poskytovatelia služieb informačnej spoločnosti, internetové obchody...........................34

7.1.3 Obchodné reťazce poskytujúce zákazníkom vernostné programy..................................35

7.1.4 Sprostredkovatelia zamestnania.......................................................................................36

7.1.5 Požičovne osobných motorových vozidiel......................................................................37

7.1.6 Alternatívni dodávatelia plynu a elektriny.......................................................................38

7.1.7 Finančné služby...............................................................................................................39

7.1.8 Oblasť sociálnych služieb................................................................................................40

7.1.9 Monitorovanie priestorov prístupných verejnosti............................................................41

7.1.10 Oblasť dopravy..............................................................................................................42

7.1.11 Spracúvanie biometrických údajov................................................................................42

7.2 Mimoriadne kontroly spracúvania osobných údajov podľa zákona o ochrane

osobných údajov.................................................................................................................43

7.3 Zistenia z kontroly spracúvania osobných údajov..............................................................43

8 Konanie o ochrane osobných údajov..................................................................................45

8.1 Prešetrovanie oznámení a podnetov podľa zákona č. 428/2002 Z. z. v číslach..................46

8.2 Konanie o ochrane osobných údajov podľa nového zákona v číslach...............................47

8.3 Poznatky k ochrane osobných údajov na základe konania o ochrane osobných údajov....49

9 Sankcionovanie za porušenie zákona o ochrane osobných údajov.................................50

9.1 Pokuta.................................................................................................................................50

9.2 Poriadková pokuta..............................................................................................................51

10 Vybrané prípady z dozornej činnosť úradu....................................................................52

10.1 Nevybavenie žiadosti dotknutej osoby.............................................................................52

10.2 Zverejňovanie súkromného telefónneho čísla na internetovej stránke prevádzkovateľa.52

10.3 Zverejnenie osobných údajov na sociálnej sieti Facebook...............................................53

10.4 Zverejňovanie osobných údajov bývalých študentov na webovom sídle ich strednej

školy..................................................................................................................................54

10.5 Spoločenstvo vlastníkov bytov.........................................................................................54

10.6 Neoprávnené spracúvanie osobných údajov poskytovateľom zdravotnej starostlivosti........56

10.7 Zverejnenie osobných údajov študentov...........................................................................57

10.8 Sprístupnenie časti zdravotnej dokumentácie poskytovateľom zdravotnej starostlivosti58

10.9 Poskytovanie finančných služieb formou lízingu.............................................................58

10.10 Poskytovateľ služieb informačnej spoločnosti, internetový obchod..............................60

10.11 Obchodovanie s databázou obsahujúcou osobné údaje..................................................61

10.12 Monitorovanie kamerovým systémom vlastníkmi bytov a nebytových priestorov........62

10.13 Monitorovanie priestoru prístupného verejnosti prostredníctvom live streamingu........63

10.14 Sprístupnenie osobných údajov poskytovateľom zdravotnej starostlivosti....................64

10.15 Neoprávnené sprístupnenie osobných údajov orgánom štátnej správy..........................65

10.16 Sprístupnenie rodného čísla v poštovom styku...............................................................66

10.17 Spracúvanie osobných údajov pri objasňovaní priestupkov...........................................67

10.18 Monitorovanie vyhotovovaním fotografií.......................................................................67

10.19 Spracúvanie osobných údajov v rámci depistážneho prieskumu....................................68

11 Opravné prostriedky a rozhodovanie o nich...................................................................69

5

12 Práva dotknutých osôb a ich obmedzenie v administratívnoprávnej,

občianskoprávnej a trestnoprávnej rovine......................................................................71

12.1 Obmedzenie práv dotknutých osôb podľa zákona o ochrane osobných údajov...............71

12.2 Ohlasovanie incidentov podľa zákona o elektronických komunikáciách.........................72

12.3 Ochrana osobnosti a súkromia v občiansko-právnej rovine.............................................72

12.4 Trestnoprávny aspekt ochrany osobných údajov..............................................................73

13 Schengenské acquis v oblasti ochrany osobných údajov................................................74

13.1 Schengenský akčný plán Slovenskej republiky (SAP SR) na úseku ochrany

osobných údajov...............................................................................................................74

13.2 Kontrola úradu vyplývajúca zo SAP SR...........................................................................75

13.2.1 Kontrola úradu na konzulárnych oddeleniach zastupiteľských úradov Slovenskej

republiky........................................................................................................................76

13.2.2 Kontrola úradu v Národnej ústredni SIRENE...............................................................76

13.2.3 Kriminálny úrad finančnej správy.................................................................................77

14 Ochrana osobných údajov vyplývajúca z medzinárodných aktov................................77

14.1 Pracovná skupina 29 (WP 29)...........................................................................................77

14.2 Výbor zriadený podľa článku 31 (WP 31)........................................................................78

14.3 Poradný výboru k Dohovoru 108......................................................................................78

14.4 Ad hoc výbor Rady Európy pre ochranu osobných údajov..............................................79

14.5 Dozorné orgány v oblasti presadzovania práva................................................................79

14.5.1 Spoločný dozorný orgán Europolu (JSB Europol)........................................................80

14.5.2 Spoločný dozorný orgán Schengenského informačného systému (SDO Schengen).....80

14.5.3 Spoločný dozorný orgán Colného informačného systému (SDO Customs)..................81

14.5.4 Pracovná skupina koordinácie dozoru nad Schengenským informačným

systémom II (SKD SIS II)..............................................................................................81

14.5.5 Pracovná skupina koordinácie dozoru pre Vízový informačný systém (SKD VIS)......82

14.5.6 Pracovná skupina koordinácie dozoru pre Eurodac (SKD Eurodac).............................82

14.5.7 Pracovná skupina koordinácie dozoru pre Informačný systém vnútorného

trhu (SKD IMI)..............................................................................................................83

15 Medzinárodné stretnutia s partnerskými orgánmi dozoru............................................83

15.1 Bilaterálne stretnutie s českým dozorným orgánom.........................................................83

15.2 Bilaterálne stretnutie s poľským dozorným orgánom.......................................................83

15.3 Konferencie dozorných orgánov strednej a východnej Európy........................................84

15.4 Jarné konferencie európskych dozorných orgánov na ochranu osobných údajov............84

15.5 Svetové konferencie komisárov pre ochranu osobných údajov a súkromia.....................85

15.6 Iné medzinárodné konferencie a semináre........................................................................85

16 Zhodnotenie stavu a odporúčania na ochranu osobných údajov v Slovenskej

republike za roky 2013 a 2014..........................................................................................86

6

1 Úvod

1.1 Cieľ správy o stave ochrany osobných údajov

Ochrana osobných údajov patrí medzi základné práva a slobody garantované Ústavou Slovenskej republiky. Podľa § 46 ods. 1 písm. t) zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z., ktorým sa mení a dopĺňa zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a ktorým sa mení zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov (ďalej len „zákon o ochrane osobných údajov“ alebo „nový zákon o ochrane osobných údajov“) Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) v rámci plnenia úloh pri výkone dozoru nad ochranou osobných údajov predkladá Národnej rade Slovenskej republiky v pravidelných intervaloch správy o stave ochrany osobných údajov. Správa o ochrane osobných údajov je vhodným nástrojom na informovanie laickej a odbornej verejnosti o vývoji, poznatkoch a celkovom stave ochrany osobných údajov v Slovenskej republike v hodnotenom období.

Cieľom tejto správy je poskytnúť bližší pohľad na oblasť ochrany osobných údajov za roky 2013 a 2014, informovať o zmenách, ktoré prebehli a odrazili sa na celkovom stave ochrany osobných údajov počas uvedeného obdobia.

1.2 Nadväznosť na Správu o stave ochrany osobných údajov za roky 2011 a 2012

Predkladaná správa je v poradí deviatou správou o stave ochrany osobných údajov v Slovenskej republike vydávanou od 1. marca 1998, kedy sa v tom čase platným zákonom č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch zaviedla povinnosť vypracovávať správy v dvojročnej periodicite.

Predchádzajúca ôsma správa sa týkala hodnoteného obdobia rokov 2011 a 2012. Bola predložená Národnej rade Slovenskej republiky v apríli 2013. Správu prerokoval Výbor pre ľudské práva a národnostné menšiny dňa 9. mája 2013 a hlasovaním pléna Národnej rady Slovenskej republiky bola dňa 29. mája 2013 vzatá na vedomie.

2 Postavenie, personálne zabezpečenie a rozpočet úradu

2.1 Postavenie úradu

Ochrana osobných údajov v Slovenskej republike je na základe zákona o ochrane osobných údajov (do 30. júna 2013 zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov) zverená do pôsobnosti úradu. Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Pri výkone svojej pôsobnosti úrad postupuje nezávisle a pri plnení svojich úloh sa riadi ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

7

2.2 Personálne zabezpečenie úradu

2.2.1 Verejné funkcie úradu

Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky.

V čase neprítomnosti predsedu úradu zastupuje podpredseda.

Na čele inšpektorov je vrchný inšpektor úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.

V hodnotenom období rokov 2013 a 2014 sa novým zákonom o ochrane osobných údajov od 1. júla 2013 prijala zmena podmienok vymenovávania a odvolávania inšpektorov úradu, ktorí vykonávajú kontrolu spracúvania osobných údajov podľa tohto zákona. Inšpektorov úradu vymenúva a odvoláva predseda úradu zo štátnych zamestnancov vykonávajúcich štátnu službu v úrade. Do 30. júna 2013 inšpektorov úradu vymenúvala a odvolávala vláda Slovenskej republiky na návrh predsedu úradu.

2.2.2 Personálna oblasť zamestnancov úradu

Zamestnanci úradu plnia odborné úlohy v zmysle zákona o ochrane osobných údajov (do 30. júna 2013 podľa zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov) a iné prevádzkové činnosti podľa iných všeobecne záväzných právnych predpisov. Ich zabezpečovanie si vyžaduje dostatočný počet kvalifikovaných zamestnancov spôsobilých vykonávať odborné činnosti na požadovanej úrovni. V podmienkach úradu, z pohľadu štruktúry zamestnancov, väčšinu tvoria zamestnanci v štátnozamestnaneckom pomere; v minimálnom počte sú zamestnanci pri výkone práce vo verejnom záujme. Výber zamestnancov a obsadzovanie voľných pracovných miest je realizované podľa zákonom stanovených podmienok pre jednotlivé skupiny zamestnancov.

V roku 2013 mal úrad k dispozícii plánovaný počet 43 pracovných miest a k 1. januáru 2013 schválené mzdové prostriedky vo výške 496 042 eur. V roku 2014 mal úrad plánovaný počet 43 pracovných miest a schválené mzdové prostriedky v rozpočte k 1. januáru 2014 v rovnakej výške ako v predchádzajúcom roku.

K 31. decembru 2013 mal úrad skutočne obsadených 38 pracovných miest, z toho 36 zamestnancov v štátnozamestnaneckom pomere a dvoch zamestnancov vykonávajúcich práce vo verejnom záujme. K 1. januáru 2014 mal úrad skutočne obsadených 38 miest, z toho 36 zamestnancov v štátnozamestnaneckom pomere (z toho jedna zamestnankyňa na rodičovskej dovolenke) a dvoch zamestnancov vykonávajúcich práce vo verejnom záujme.

Priemerný mesačný plat zamestnancov úradu v roku 2013 bol 1 010,868 eur. Priemerný plat zamestnancov v štátnozamestnaneckom pomere v tomto roku bol 1 025,597 eur a u zamestnancov vykonávajúcich práce vo verejnom záujme 745,75 eur. Priemerný mesačný plat zamestnancov úradu v roku 2014 bol 1 108,079 eur. Priemerný plat zamestnancov v štátnozamestnaneckom pomere v tomto roku bol 1 118,51 eur a u zamestnancov vykonávajúcich práce vo verejnom záujme 920,25 eur.

8

Priemerný vek zamestnancov úradu v roku 2013 bol 38 rokov, pričom u mužov bol priemerný vek 34,94 roku a u žien 42 rokov. Priemerný vek zamestnancov v roku 2014 bol 37 rokov, pričom u mužov bol priemerný vek 35,82 roku a u žien 38 rokov.

Úrad kládol dôraz na vzdelávanie zamestnancov, a preto im umožňoval prehlbovať si odbornú kvalifikáciu, prípadne si ju zvyšovať v súlade s potrebami úradu. V roku 2013 malo 94 % zamestnancov vysokoškolské vzdelanie, z toho vysokoškolské vzdelanie II. stupňa 89%, vysokoškolské vzdelanie I. stupňa 5%. V roku 2014 malo vysokoškolské vzdelanie 92 % zamestnancov, z toho vysokoškolské vzdelanie II. stupňa 84%, vysokoškolské vzdelanie I. stupňa 8%.

Prehľad o počte zamestnancov úradu k 31. decembru

Skutočný stav zamestnancov úradu

Rok

Plánovaný počet zamestnancov

Štátnozamestnanecký pomer

Výkon práce vo verejnom záujme

Spolu

2013

43

36

2

38

2014

43

36

2

38

Prehľad o ostatných personálnych údajoch k 31. decembru

Rok

Zamestnanci so zdravotným postihnutím

Zamestnanci pracujúci na dohodu mimo pracovného pomeru

Počet žien

Počet mužov

2013

1

3

21

17

2014

0

7

21

17

Prehľad o počte zamestnancov úradu podľa dosiahnutého vzdelania k 31. decembru

Rok

Stredoškolské

Vysokoškolské I. stupňa

Vysokoškolské II. stupňa

Spolu

2013

2

2

34

38

2014

3

3

32

38

2.3 Rozpočet úradu

Úrad je rozpočtovou organizáciou, ktorá je svojimi príjmami a výdavkami naviazaná na štátny rozpočet prostredníctvom kapitoly Všeobecná pokladničná správa. Rozpočtovú kapitolu Všeobecná pokladničná správa spravuje Ministerstvo financií Slovenskej republiky. Schválený rozpočet úradu v priebehu kalendárneho roka môže znížiť len Národná rada Slovenskej republiky.

9

Na rok 2013 bol pre úrad schválený rozpočet v celkovej výške 876 324 eur, čo bolo viac oproti roku 2012 o 191 405 eur (o 22 %). Do roku 2013 boli zároveň prenesené nevyužité kapitálové výdavky z predchádzajúceho obdobia v celkovej výške 46 150 eur.

V priebehu roku 2013 boli rozpočtovým opatrením presunuté finančné prostriedky vo výške 50 000 eur z položky 610 a 620 do kapitálových výdavkov. Po úpravách schválených Ministerstvom financií Slovenskej republiky dosiahol rozpočet celkovú výšku 826 324 eur.

Skutočné čerpanie rozpočtu k 31. decembru 2013 bolo 823 184,84 eur. Zároveň v priebehu roka 2013 bolo použitých 24 098,80 eur z položky kapitálových výdavkov. Nevyužité kapitálové výdavky v celkovej výške 71 880 eur boli prenesené do roku 2014.

Na rok 2014 bol pre úrad schválený rozpočet v celkovej výške 856 329 eur, čo bolo menej o 19 995 eur oproti predchádzajúcemu roku.

Na zvýšenie platov zamestnancov v súvislosti s uplatnením § 5 zákona č. 473/2013 Z. z. o štátnom rozpočte na rok 2014 a nariadeniami vlády Slovenskej republiky bol navýšený rozpočet úradu o 10 105 eur. Z dôvodu nových podmienok výkonu dozoru nad ochranou osobných údajov, ktoré nastali po legislatívnej zmene nového zákona o ochrane osobných údajov Ministerstvo financií Slovenskej republiky navýšilo rozpočet úradu v druhom polroku 2014 o 40 000 eur. V druhom polroku 2014 Ministerstvo financií Slovenskej republiky zároveň navýšilo rozpočet úradu v ekonomickej položke 637 037 o sumu 19 618 eur za účelom vrátenia správnych poplatkov tým subjektom, ktoré ich zaplatili bez právneho dôvodu. Rozpočtovým opatrením, schváleným Ministerstvom financií Slovenskej republiky, boli v rámci rozpočtu úradu presunuté finančné prostriedky z položky 610 na kapitálové výdavky vo výške 13 500 eur.

Po úpravách schválených Ministerstvom financií Slovenskej republiky dosiahol rozpočet na rok 2014 celkovú výšku 912 552 eur.

Skutočné čerpanie rozpočtu k 31. decembru 2014 bolo 911 880,61 eur. Zároveň v priebehu roka 2014 bolo použitých 37 930 eur z položky kapitálových výdavkov. Nevyužité kapitálové výdavky vo výške 46 500 eur boli presunuté do roku 2015.

Prehľad o rozpočte úradu na rok 2013 v eur

Ukazovateľ

Schválený rozpočet na rok 2013 k 1.1.2013

Upravený rozpočet

k 31.12.2013

Čerpanie

k 31.12.2013

Mzdy, platy, služobné príjmy a OOV (610)

496 042,00

448 042,00

447 654,19

Poistné z miezd (620)

184 455,00

167 819,96

167 626,71

Tovary a služby (630)

171 827,00

200 225,98

197 667,88

Bežné transfery (640)

24 000,00

10 236,06

10 236,06

Bežné výdavky spolu (600)

876 324,00

826 324,00

823 184,84

Kapitálové výdavky (700)

46 150,00

96 150,00

24 098,80

10

Prehľad o rozpočte úradu na rok 2014 v eur

Ukazovateľ

Schválený rozpočet na rok 2014 k 1.1.2014

Upravený rozpočet k 31.12.2014

Čerpanie

k 31.12.2014

Mzdy, platy, služobné príjmy a OOV (610)

496 042,00

470 176,00

469 669,05

Poistné z miezd (620)

182 824,00

174 309,76

174 309,76

Tovary a služby (630)

176 463,00

259 241,74

259 184,29

Bežné transfery (640)

1 000,00

8 824,50

8 717,51

Bežné výdavky spolu (600)

856 329,00

912 552,00

911 880,61

Kapitálové výdavky (700)

71 880,00

85 380,00

37 930,00

2.4 Projekt EÚ Pilot na úseku ochrany osobných údajov v Slovenskej republike

Projekt EÚ Pilot je nástrojom komunikácie Európskej komisie s participujúcimi členskými štátmi o problémoch nastoľujúcich otázky týkajúce sa súladu vnútroštátnych právnych predpisov s právnymi predpismi Európskej únie alebo správnej aplikácie práva Európskej únie. Ide o prvý krok v snahe o vyriešenie problémov, ktorým sa, ak je to možné, dá vyhnúť konaniu o porušení práva (tzv. infringement procedure).

Dňa 5. augusta 2011 bol Európskou komisiou v systéme EÚ Pilot zaregistrovaný prípad č. 2044/11/JUST týkajúci sa rozpočtových obmedzení a rozsahu nezávislosti úradu, ako vnútroštátneho dozorného orgánu zriadeného na zabezpečenie monitorovania aplikácie smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (ďalej len „smernica 95/46/ES“).

Prípad EÚ Pilot v oblasti ochrany osobných údajov v Slovenskej republike v hodnotenom období rokov 2013 a 2014 nebol ukončený a pokračuje aj v roku 2015. Kontaktným bodom na území Slovenskej republiky v systéme EÚ Pilot je Úrad vlády Slovenskej republiky.

3 Legislatívna úprava ochrany osobných údajov

3.1 Prijatie nového zákona o ochrane osobných údajov v roku 2013

Začiatkom hodnoteného obdobia roku 2013 bola ochrana osobných údajov upravená zákonom č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon č. 428/2002 Z. z.“). Tento zákon bol prijatý Národnou radou Slovenskej republiky dňa 3. júla 2002 a nadobudol účinnosť dňa 1. septembra 2002. Od roku 2002 bol zákon č. 428/2002 Z. z. novelizovaný štyrikrát, a to zákonmi č. 602/2003 Z. z., č. 576/2004 Z. z., č. 90/2005 Z. z. a č. 583/2008 Z. z. Posledný proces novelizácie tohto zákona bol začatý na základe Plánu legislatívnych úloh vlády Slovenskej republiky na rok 2011, avšak jeho legislatívny proces nevyústil do prijatia novely.

11

Na základe Plánu legislatívnych úloh vlády Slovenskej republiky na 2. polrok 2012 úrad pripravil nový návrh zákona o ochrane osobných údajov, ktorého prijatie bolo zavŕšené v prvej polovici roku 2013, s účinnosťou od 1. júla 2013. Návrh tohto zákona o ochrane osobných údajov si vyžiadala potreba dôslednej transpozície smernice 95/46/ES v kontexte pripomienok hodnotiacej misie Európskej komisie vyplývajúcich zo „Štruktúrovaného dialógu o ochrane osobných údajov“, záverov a odporúčaní hodnotenia správneho uplatňovania schengenského acquis v Slovenskej republike pre oblasť ochrany osobných údajov, ktoré sa uskutočnilo vo februári 2012 (tzv. schengenské hodnotenie), úloh obsiahnutých v Schengenskom akčnom pláne Slovenskej republiky a výsledkov analýzy zákona č. 428/2002 Z. z. z pohľadu aplikačnej praxe.

Návrh zákona si kládol za cieľ upraviť ochranu práv fyzických osôb pri spracúvaní osobných údajov, zásady ich spracúvania, bezpečnosť osobných údajov, cezhraničný prenos osobných údajov a registráciu informačných systémov osobných údajov (ďalej len „informačný systém“ alebo „informačné systémy“). V súlade so smernicou 95/46/ES upravil aj kompetencie a podmienky, za akých úrad vykonáva dozornú činnosť s pôsobnosťou na celom území Slovenskej republiky.

Prijatie nového zákona o ochrane osobných údajov poskytlo prehľadnejšiu úpravu práv a povinností osôb začlenených do procesu spracúvania osobných údajov a celkovo tým prispelo k zvýšeniu povedomia o tejto špecifickej oblasti. Posilnila sa právna istota nielen fyzických osôb - jednotlivcov pri ochrane osobných údajov a uplatňovaní ich práv, ale aj práva a povinnosti prevádzkovateľov a sprostredkovateľov, a rovnako sa upravili aj odchýlky potrebné v konaní podľa tohto zákona z dôvodu špecifického charakteru hmotnoprávnej úpravy v oblasti ochrany osobných údajov. Návrh zákona precizoval viaceré ustanovenia dovtedy platného zákona č. 428/2002 Z. z., čo viedlo k odstráneniu nejasností, ktoré sa vyskytovali v aplikačnej praxi. Novým zákonom o ochrane osobných údajov sa zároveň zaviedla prehľadnejšia úprava inštitútu prevádzkovateľa, sprostredkovateľa a ich vzájomného vzťahu, spresnili sa pravidlá, ktoré regulujú povinnosti a postupy pri určovaní oprávnenej osoby a nanovo sa upravili podmienky prenosu osobných údajov do tretích krajín s primeranou/bez primeranej úrovne ochrany osobných údajov, ako aj inštitút zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov, ktorý si z hľadiska aplikačnej praxe vyžadoval zvýšenie odbornosti v oblasti ochrany osobných údajov.

Nový zákon o ochrane osobných údajov si vyžiadal aj prípravu a vydanie dvoch vykonávacích predpisov, a to v oblasti úpravy rozsahu a dokumentácii bezpečnostných opatrení a podrobností o skúške fyzickej osoby na výkon funkcie zodpovednej osoby.

3.1.1 Legislatívny proces návrhu nového zákona a jeho priebeh v roku 2013

V druhom polroku 2012 bol návrh zákona o ochrane osobných údajov predmetom riadneho pripomienkového konania. K návrhu zákona bolo v rámci medzirezortného pripomienkového konania vznesených celkovo 778 pripomienok, z toho 197 zásadného charakteru. Úrad akceptoval 409 pripomienok, z toho 60 bolo zásadných. 125 pripomienok, z toho 37 zásadných, úrad akceptoval čiastočne a 244 pripomienok, z toho 100 zásadných neakceptoval. Po medzirezortnom pripomienkovom konaní a prerokovaní návrhu nového zákona o ochrane osobných údajov v poradných orgánoch vlády Slovenskej republiky, vláda Slovenskej republiky schválila jeho znenie dňa 9. januára 2013 uznesením č. 4 (ďalej aj „vládny návrh zákona“).

12

Vládny návrh zákona o ochrane osobných údajov, tlač 358, bol v Národnej rade Slovenskej republiky prerokovaný v prvom čítaní na 14. schôdzi Národnej rady Slovenskej republiky dňa 5. februára 2013. Po prerokovaní návrhu tohto zákona vo výboroch Národnej rady Slovenskej republiky bol dňa 19. marca 2013 na 16. schôdzi Národnej rady Slovenskej republiky prerokovaný v druhom a treťom čítaní, kedy Národná rada Slovenskej republiky schválila návrh nového zákona o ochrane osobných údajov a predložila ho do ďalšej fázy legislatívneho procesu, na podpis prezidentovi Slovenskej republiky.

Rozhodnutím prezidenta Slovenskej republiky zo dňa 5. apríla 2013 bol návrh zákona o ochrane osobných údajov vrátený s pripomienkami na opätovné rokovanie Národnej rade Slovenskej republiky, tlač 459. Hlavným dôvodom vrátenia návrhu zákona do Národnej rady Slovenskej republiky bola najmä požiadavka zmeny fakultatívneho ukladania pokút na obligatórne v zmysle smernice 95/46/ES. Vrátený návrh zákona o ochrane osobných údajov bol dňa 30. apríla 2013 na 18. schôdzi Národnej rady Slovenskej republiky opätovne prerokovaný v druhom čítaní a treťom čítaní, kedy Národná rada Slovenskej republiky schválila návrh tohto zákona v znení pripomienok prezidenta Slovenskej republiky.

Zákon o ochrane osobných údajov bol vyhlásený v Zbierke zákonov pod čiastkou 31, č. 122/2013. Platnosť nadobudol dňa 28. mája 2013 a účinnosť dňa 1. júla 2013.

3.1.2 Vykonávacie predpisy a ich legislatívny proces v roku 2013

3.1.2.1 Návrh vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení

Jednou zo základných povinností pri spracúvaní osobných údajov je dodržiavanie bezpečnosti. S cieľom bližšie upraviť tento inštitút, bol pripravený návrh Vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení. Predmetom návrhu vyhlášky bolo ustanoviť podrobnosti o rozsahu a dokumentácii bezpečnostných opatrení, ktoré sú prevádzkovateľ a sprostredkovateľ podľa zákona povinní prijať v závislosti od konkrétnych okolností spracúvania osobných údajov za účelom zabezpečenia ich primeranej ochrany. Hlavný cieľ návrhu vyhlášky tak predstavuje precizovanie jednotlivých procesov vyplývajúcich zo zákona a presnejšie vymedzenie rozsahu a náležitostí dokumentácie bezpečnostných opatrení. V prílohe vyhlášky bolo upravené zameranie jednotlivých technických, organizačných a personálnych bezpečnostných opatrení, čím sa docielilo posilnenie všeobecnej právnej istoty a zrozumiteľnosti.

Návrh Vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení bol predložený do medzirezortného pripomienkového konania dňa 18. marca 2013, v rámci ktorého bolo vznesených 81 pripomienok, z toho 4 zásadné. Úrad akceptoval 59 pripomienok, z toho 3 zásadné, 15 pripomienok akceptoval čiastočne a 10 pripomienok, z toho 1 zásadnú, neakceptoval. Dňa 21. mája 2013 a 17. júna 2013 bol návrh vyhlášky prerokovaný na rokovaní stálej pracovnej komisie Legislatívnej rady vlády Slovenskej republiky pre správne právo.

Vyhláška o rozsahu a dokumentácii bezpečnostných opatrení

bola vyhlásená v Zbierke zákonov pod čiastkou 40, č. 164/2013. Platnosť nadobudla dňa 26. júna 2013 a účinnosť dňa 1. júla 2013.

13

3.1.2.2 Návrh vyhlášky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby

Návrh Vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby si vyžiadala nová právna úprava v oblasti ochrany osobných údajov, ktorá sa dotkla aj inštitútu zodpovednej osoby. Vo všeobecnosti inštitút zodpovednej osoby svojím charakterom zásadne vplýva a zasahuje do procesu spracúvania osobných údajov, v dôsledku čoho vznikla potreba zvýšenia odbornej spôsobilosti zodpovednej osoby, pokiaľ sa má zaručiť plnohodnotné zabezpečovanie jej úloh v praxi a zvýšenie kvality ochrany osobných údajov. Preto sa pristúpilo k zmene podmienok na poverenie zodpovednej osoby, v rámci ktorých sa zaviedla skúška fyzickej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov.

Návrh vyhlášky upravil podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby. Fyzická osoba tak bude môcť byť poverená výkonom dohľadu nad ochranou osobných údajov až po úspešnom absolvovaní skúšky, ktorú zabezpečí úrad. V záujme zabezpečenia riadneho plnenia zákonných povinností pri dohľade nad ochranou osobných údajov a dosiahnutia predpokladanej právnej istoty, návrh vyhlášky upravil náležitosti a jednotlivé možnosti podávania žiadosti o vykonanie odbornej skúšky fyzickej osoby, spôsob oznamovania termínu skúšky, ako aj podrobnosti o spôsobe absolvovania skúšky formou písomného testu a vyhodnotenia skúšky.

Návrh Vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby bol predložený do medzirezortného pripomienkového konania dňa 18. marca 2013, v rámci ktorého bolo vznesených 73 pripomienok, z toho 2 zásadné. Úrad akceptoval 47 pripomienok, z toho 2 zásadné, 17 pripomienok úrad akceptoval čiastočne a 11 pripomienok neakceptoval. Dňa 21. mája 2013 a 17. júna 2013 bol návrh vyhlášky prerokovaný na rokovaní stálej pracovnej komisie Legislatívnej rady vlády Slovenskej republiky pre správne právo.

Vyhláška o rozsahu a dokumentácii bezpečnostných opatrení

bola vyhlásená v Zbierke zákonov pod čiastkou 40, č. 165/2013. Platnosť nadobudla dňa 26. júna 2013 a účinnosť dňa 1. júla 2013.

3.2 Novela nového zákona o ochrane osobných údajov v roku 2014

Potreba aplikačnej praxe si vyžiadala novelu zákona o ochrane osobných údajov. Účelom novely bolo zjednodušenie a zmiernenie niektorých požiadaviek kladených v rámci procesu spracúvania osobných údajov fyzických osôb na prevádzkovateľov a sprostredkovateľov. Hlavným cieľom novely bolo predovšetkým celkové zníženie administratívnej záťaže.

Jednu z najzásadnejších zmien predstavovala zmena obligatórnosti ukladania pokút a poriadkových pokút. V závislosti od jednotlivých typov povinností, ich podstaty a závažnosti ich porušení bolo ukladanie pokút a poriadkových pokút za porušenie povinností ustanovených zákonom o ochrane osobných údajov rozčlenené na fakultatívne a obligatórne. K zmierneniu dopadov z hľadiska správneho trestania došlo aj znížením hornej hranice

14

jednotlivých pokút a vypustením priameho sankcionovania oprávnenej osoby a zodpovednej osoby zo strany úradu.

Legislatívny proces návrhu novely zákona o ochrane osobných údajov bol realizovaný v skrátenom legislatívnom konaní. Vláda Slovenskej republiky prerokovala a schválila návrh novely zákona dňa 19. marca 2014 uznesením č. 142 a návrh na skrátené legislatívne konanie návrhu novely zákona dňa 19. marca 2014 uznesením č. 143.

Návrh novely zákona, tlač. 952 bol v Národnej rade Slovenskej republiky prerokovaný v prvom čítaní na 33. schôdzi Národnej rady Slovenskej republiky dňa 26. marca 2014. Po prerokovaní návrhu novely zákona vo výboroch Národnej rady Slovenskej republiky bol dňa 27. marca 2014 na 33. schôdzi Národnej rady Slovenskej republiky prerokovaný v druhom a treťom čítaní, kedy Národná rada Slovenskej republiky schválila návrh novely zákona a predložila ho do ďalšej fázy legislatívneho procesu, na podpis prezidentovi Slovenskej republiky. Aj v tomto prípade prezident Slovenskej republiky svojim rozhodnutím vrátil návrh novely zákona o ochrane osobných údajov s pripomienkou na opätovné prerokovanie Národnou radou Slovenskej republiky.

Rozhodnutím prezidenta Slovenskej republiky zo dňa 3. apríla 2014 bol návrh novely zákona o ochrane osobných údajov vrátený s pripomienkou na opätovné prerokovanie Národnou radou Slovenskej republiky, tlač. 958. Hlavným dôvodom vrátenia návrhu zákona do Národnej rady Slovenskej republiky bola najmä pochybnosť o súlade navrhovanej zmeny zákona o ochrane osobných údajov s Ústavou Slovenskej republiky a Dohovorom o ochrane ľudských práv a základných slobôd. Vrátený návrh novely zákona bol dňa 3. apríla 2014 na 33. schôdzi Národnej rady Slovenskej republiky opätovne prerokovaný v druhom čítaní a treťom čítaní, kedy Národná rada Slovenskej republiky schválila návrh novely tohto zákona v znení prijatej pripomienky prezidenta Slovenskej republiky.

Novela zákona o ochrane osobných údajov bola vyhlásená v Zbierke zákonov pod čiastkou 31, č. 84/2014. Platnosť nadobudla dňa 11. apríla 2013 a účinnosť dňa 15. apríla 2014.

3.1.2 Novela vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení v roku 2014

Prijatím novely zákona o ochrane osobných údajov vznikla potreba novelizovať aj vyhlášku o rozsahu a dokumentácii bezpečnostných opatrení. Hlavným cieľom návrhu novely vyhlášky bolo upraviť podrobnosti o rozsahu a dokumentácii bezpečnostných opatrení tak, aby reflektovali na zmeny prijaté v rámci zákonnej úpravy.

Návrh novely vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení bol predložený do medzirezortného pripomienkového konania v skrátenom legislatívnom konaní dňa 8. apríla 2014, v rámci ktorého bolo vznesených 42 pripomienok, z toho 4 zásadné. Úrad akceptoval 29 obyčajných pripomienok, 5 pripomienok, z toho 3 zásadné úrad akceptoval čiastočne a 8 pripomienok, z toho 1 zásadnú neakceptoval. Dňa 22. apríla 2014 a 24. apríla 2014 bol návrh novely vyhlášky prerokovaný na rokovaní stálej pracovnej komisie Legislatívnej rady vlády Slovenskej republiky pre správne právo.

15

Novela vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení

bola vyhlásená v Zbierke zákonov pod čiastkou 40, č. 117/2014. Platnosť nadobudla dňa 30. apríla 2014 a účinnosť dňa 1. mája 2014.

3.3 Medzirezortné pripomienkové konania všeobecne záväzných predpisov

Okrem vlastnej legislatívnej činnosti úradu, sa úrad podľa § 46 ods. 1 písm. r) zákona o ochrane osobných údajov vyjadruje aj k návrhom zákonov a ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov. V rámci výkonu dozoru nad ochranou osobných údajov úrad plní túto úlohu v rámci medzirezortného pripomienkového konania, kde sa podieľa na príprave právnych predpisov, ktoré sa stanú funkčnou súčasťou vyváženého, prehľadného a stabilného právneho poriadku Slovenskej republiky zlučiteľného s právom Európskej únie.

Pri každom navrhovanom materiáli úrad posudzoval jeho súlad so zákonom o ochrane osobných údajov tak, aby boli dodržiavané základné práva a slobody a minimalizovali sa zásahy osôb/subjektov do práva na ochranu osobných údajov a súkromia jednotlivcov. Za týmto účelom, všetky právne predpisy, ktoré svojim obsahom upravujú spracúvanie osobných údajov, musia spĺňať základné náležitosti, ktoré zákon o ochrane osobných údajov na ne kladie.

V roku 2013 úrad uplatnil pripomienky spolu k 42 materiálom a v roku 2014 spolu k 50 materiálom predloženým do medzirezortného pripomienkového konania, pričom spravidla bolo uplatnených viacero pripomienok (najmä zásadných) ku každému pripomienkovanému materiálu. Pripomienky sa týkali najmä požiadaviek na obsahové náležitosti osobitných zákonov z pohľadu ochrany osobných údajov, súladu vykonávacích predpisov s týmito osobitnými zákonmi a tiež zosúladenia použitej terminológie upravujúcej spracúvanie osobných údajov v pripomienkovaných materiáloch. Okrem týchto pripomienok bolo vo viacerých návrhoch právnych predpisov odporúčané rešpektovať aj zákonom stanovené zásady pri spracúvaní osobných údajov.

Po prijatí nového zákona o ochrane osobných údajov bolo potrebné zosúladiť jednotlivé právne predpisy tak, aby korešpondovali požiadavkám na úseku ochrany osobných údajov. Jedným z prvých novelizovaných zákonov bol zákon č. 586/2003 Z. z. o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov, zákon č. 182/1993 Z. z. o vlastníctve bytov a nebytových priestorov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov alebo zákon č. 516/2008 Z. z. o Audiovizuálnom fonde a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. A práve legislatívne prostredie je jedným z vhodných nástrojov nastavenia a zlepšenia ochrany osobných údajov tým, že dochádza k úprave a precizovaniu právnych predpisov. Potreba prijímania právnej úpravy a novelizácie existujúcich právnych predpisov bola a naďalej aj je jednou z najnáročnejších činností v záujme zachovania ľudských práv a slobôd.

3.4 Príprava návrhu nariadenia v oblasti ochrany osobných údajov na európskej úrovni

V hodnotenom období rokov 2013 a 2014 ochrana osobných údajov v Európskej únii bola naďalej jednou z najdiskutovanejších tém, najmä pokiaľ ide o prípravu a prijímanie

16

návrhu nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) (ďalej aj „návrh nariadenia“), ktorý nahradí doteraz platnú smernicu 95/46/ES.

3.4.1 Vývoj legislatívneho procesu návrhu nariadenia v Európskom parlamente

Návrh nariadenia bol do Európskeho parlamentu predložený dňa 25. januára 2012. Za gestorský výbor k návrhu nariadenia bol určený Výbor pre občianske slobody, spravodlivosť a vnútorné veci (výbor LIBE); k návrhu nariadenia boli požiadané o zaujatie stanoviska aj výbory ECON (Výbor pre hospodárske a menové veci), ITRE (Výbor Európskeho parlamentu pre priemysel, výskum, dopravu a energetiku), IMCO (Výbor Európskeho parlamentu pre vnútorný trh a ochranu spotrebiteľov), EMPL (Výbor pre zamestnanosť a sociálne veci) a JURI (Výbor pre právne veci). Výbor LIBE podporil návrh posilnenia ochrany osobných údajov spolu s unifikáciou právneho rámca na poli Európskej únie a zníženie administratívnej záťaže pre prevádzkovateľov. Výbor LIBE taktiež navrhol obmedzenie Európskej komisie na prijímanie implementačných aktov na základné minimum, posilnenie dôrazu na technologickú bezpečnosť spracúvania osobných údajov a uvítal posilnenie postavenia zodpovedných osôb. Výbor pri prerokúvaní návrhu všeobecného nariadenia o ochrane osobných údajov posúdil 3999 pripomienok vzťahujúcich sa najmä na všeobecné princípy spracúvania osobných údajov, právne základy, práva dotknutých osôb, povinnosti prevádzkovateľov a sprostredkovateľov, mechanizmus konzistentnosti a sankcie. Výbor v konečnom sumári zhodnotil, že ak návrh takýchto opatrení nájde podporu Európskeho parlamentu, Rady Európskej únie a Európskej komisie, prispeje k zlepšeniu postavenia dotknutých osôb, ako aj prevádzkovateľov a bude schopný odolať aj testu času.

Európsky parlament prerokoval návrh nariadenia v prvom čítaní v marci 2013. V rámci tohto štádia legislatívneho procesu bolo k návrhu nariadenia na pôde Európskeho parlamentu vznesených množstvo pripomienok. Návrhy na zmenu sa týkali prierezovo celého návrhu nariadenia, viaceré boli uplatnené voči úvodným ustanoveniam návrhu nariadenia vysvetľujúcich jeho záväzný text, ďalej voči základným princípom spracúvania, informačnej povinnosti prevádzkovateľov, právam dotknutých osôb, postaveniu národných dozorných orgánov a sankciám.

O prijatí návrhu nariadenia v prvom čítaní hlasoval Európsky parlament dňa 12. marca 2014. Týmto rozhodnutím Európsky parlament upevnil podporu reforme európskej ochrany osobných údajov a podporil jej architektúru a základné princípy. Európsky parlament požiadal Európsku komisiu o opätovné predloženie materiálu v prípade vykonania zmien alebo doplnenia textu a poveril svojho podpredsedu na postúpenie tejto pozície Rade Európskej únie, Európskej komisii a jednotlivým národným parlamentom.

3.4.2 Vývoj prerokovávania návrhu nariadenia v Rade Európskej únie

Na pôde Rady Európskej únie v hodnotenom období 2013 a 2014 prebiehali intenzívne rokovania k jednotlivým článkom návrhu nariadenia. Spolu s legislatívnym procesom návrhu nariadenia stúpali aj tlaky z rôznych strán na jeho, čo možno najrýchlejšie prijatie. Z týchto dôvodov, ako aj z dôvodov komplexnosti právnej úpravy návrhu nariadenia, ktorá zahŕňa veľké spektrum oblastí a náročnosti jednotlivých ustanovení, vzrastala aj

17

frekvencia rokovaní pracovnej skupiny DAPIX (z anglického Working Party on Information Exchange and Data Protection) na pôde Rady Európskej únie, ktoré boli nezriedka usporadúvané aj na týždennej báze.

Najčastejšou témou rokovaní pracovnej skupiny DAPIX v tomto období boli najmä kapitoly II (zásady a právny základ spracúvania osobných údajov, vrátane podmienok spracúvania osobitnej kategórie osobných údajov), III (práva dotknutých osôb, ktoré budú oproti právam stanoveným v smernici 95/46/ES posilnené a precizované, napríklad aj zavedením nových práv, ako práva byť zabudnutý alebo práva na prenosnosť), IV (základné povinnosť prevádzkovateľa a sprostredkovateľa, vrátane ustanovení upravujúcich ochranu osobných údajov „by design“ a „by default“, bezpečnosť spracúvania osobných údajov, oznamovaciu povinnosť v prípade porušenia ochrany osobných údajov, posudzovaní vplyvov, zodpovednej osoby, pravidiel správania sa, tzv. „codes of conduct“ a certifikácie) VI (postavenie a otázka nezávislosti dozorných orgánov, právomoci, úlohy a kompetencie dozorných orgánov a mechanizmus one-stop-shop; prijatie návrhu nariadenia prinesie požiadavku na personálne a finančné posilnenie dozorných orgánov) a VII (spolupráca, Európsky výbor pre ochranu osobných údajov a jeho úlohy). Najproblematickejšiu oblasť rokovaní pracovnej skupiny DAPIX predstavoval mechanizmus one-stop-shop, ktorý zásadným spôsobom mení systém fungovania ochrany osobných údajov a spolupráce dozorných orgánov jednotlivých členských štátov Európskej únie. Mechanizmus one-stop-shop by mal priniesť systém, kde spoločnosť pôsobiaca vo viacerých členských štátoch bude podliehať dozoru len jedného – hlavného dozorného orgánu, ktorý bude zodpovedný za výkon kontroly nad touto spoločnosťou. Tak isto by tento systém mal priniesť vyššiu mieru ochrany pre dotknuté osoby, ktoré sa budú môcť domáhať svojich práv prostredníctvom ich najbližšieho dozorného orgánu. S týmto systémom je však spojených viacero otázok, akými sú spolu-rozhodovací proces, opravné mechanizmy a zabezpečenie princípu blízkosti pre dotknuté osoby.

Ďalšou pracovnou skupinou, ktorá v hodnotenom období podľa potreby rokovala o návrhu nariadenia je Rada priateľov predsedníctva (Friends of the Presidency) zložená zo zástupcov jednotlivých členských štátov. Túto radu zvoláva predsedníctvo Rady Európskej únie, ak je potrebné vysporiadať sa s vysoko kvalifikovanou a často komplikovanou tematikou s ohľadom na jej multidisciplinárne aspekty.

3.4.2.1 Prerokovávanie návrhu nariadenia v COREPER 2

Výbor stálych zástupcov – COREPER I a II (z franc. Comité des Représentants Permanents) predstavuje jeden z najdôležitejších výborov Rady Európskej únie. Hlavnou úlohou Výboru stálych zástupcov je poskytovať asistenciu členským štátom pri príprave európskej legislatívy v rámci rokovaní Rady Európskej únie a pri udržiavaní kontaktov s ostatnými inštitúciami Európskej únie.

Návrh nariadenia bol v hodnotenom období v rámci Rady Európskej únie častým predmetom aj rokovaní na úrovni Výboru stálych zástupcov – COREPER II. COREPER II je zložený zo stálych predstaviteľov každého členského štátu. Do jeho kompetencie spadajú politicky a ekonomicky významnejšie časti agendy, ako napríklad zahraničné vzťahy, či inštitucionálne otázky. COREPER II taktiež pripravuje materiály na zasadnutia Rady Európskej únie, pričom úrad sa aktívne podieľa na príprave inštrukcií pre tento výbor. V hodnotenom období rokov 2013 a 2014 COREPER II zvýšil intenzitu rokovaní o téme

18

ochrany osobných údajov a v uplynulom období schválil čiastočný všeobecný prístup ku kapitole V (cezhraničný prenos osobných údajov) návrhu nariadenia, kapitole IV (povinnosti prevádzkovateľa) a v októbri roku 2014 kapitolu IX (špecifické režimy spracúvania). Úrad vypracoval na rokovania COREPER-u spolu 18 inštrukcií, po deväť v každom roku hodnoteného obdobia.

3.4.2.2 Prerokovanie návrhu nariadenia v Rade pre spravodlivosti a vnútorné veci

Rada pre spravodlivosť a vnútorné veci (Rada JHA), ktorá je zložená z ministrov vnútra alebo spravodlivosti jednotlivých členských štátov, sa návrhu nariadenia vo všeobecnosti venuje z pohľadu spolupráce, vypracovávania politík k cezhraničným prenosom, zabezpečovania základných ľudských práv, voľného pohybu občanov a boja proti počítačovej trestnej činnosti, organizovanému zločinu a terorizmu. Stretnutia Rady JHA sa konajú v pravidelných intervaloch raz za dva mesiace. Úrad celkovo na rokovania Rady JHA v hodnotenom období rokov 2013 a 2014 vypracoval sedem podkladových materiálov, ktorých témou bolo zaradenie verejného sektora do pôsobnosti návrhu všeobecného nariadenia o ochrane osobných údajov, mechanizmus one-stop-shop, práva dotknutých osôb, najmä s dôrazom na právo byť zabudnutý vo vzťahu k rozhodnutiu Súdneho dvora Európskej únie vo veci Google Spain, postavenie a záväznosť rozhodnutí Európskej dozornej rady na ochranu osobných údajov, cezhraničný prenos osobných údajov, pseudonymizácia údajov a profilovanie.

3.4.2.3 Prerokovanie návrhu nariadenia na národnej úrovni

Návrh nariadenia bol v hodnotenom období témou diskusií aj na národnej úrovni. Úrad v tomto období pri príprave stanovísk k jednotlivým kapitolám a článkom návrhu nariadenia spolupracoval aj s vybranými ministerstvami v závislosti od prerokúvanej problematiky.

Spolu s legislatívnym procesom návrhu Všeobecného nariadenia o ochrane osobných údajov, ktorý sa s postupom času zintenzívňoval, stúpalo aj povedomie slovenskej verejnosti o jeho príprave. Čoraz viac subjektov, tak z verejného, ako aj súkromného sektora si uvedomovalo dôležitosť tohto legislatívneho návrhu a jeho potenciál zmeniť pravidlá spracúvania osobných údajov v celej Európskej únii, Slovenskú republiku nevynímajúc. Aj preto úrad za týmto účelom zriadil a na webovom sídle zverejnil adresu elektronickej pošty, na ktorú bolo možné adresovať pripomienky, postrehy alebo návrhy. V hodnotenom období rokov 2013 a 2014 úrad taktiež obdŕžal niekoľko žiadostí o konzultáciu, prípadne o zohľadnenie pozície k pripravovanému návrhu; takúto možnosť využila napríklad Americká obchodná komora v Slovenskej republike alebo Federácia európskych národných asociácií vymáhania pohľadávok. Záujem týchto organizácií bol venovaný najmä kapitolám I (pôsobnosť a pojmy) a IV (povinnosti prevádzkovateľa).

Návrh Všeobecného nariadenia o ochrane osobných údajov si rovnako získal pozornosť aj zastupiteľských orgánov členských štátov Európskej únie zriadených na Slovensku. V tomto kontexte sa v hodnotenom období uskutočnili dve neformálne stretnutia s Veľvyslancami Belgického kráľovstva a Írska.

19

3.5 Metodické usmernenia úradu

Metodické usmerňovanie prevádzkovateľov a sprostredkovateľov je jednou z činností úradu vo vzťahu k verejnosti, ktorou úrad podľa § 64 ods. 1 písm. m) zákona o ochrane osobných údajov poskytuje pohľad na vybrané otázky pri spracúvaní osobných údajov a napomáha tak s výkladom jednotlivých ustanovení všeobecne záväzných právnych predpisov z pohľadu ochrany osobných údajov.

V druhom polroku 2013 (od účinnosti nového zákona o ochrane osobných údajov) úrad vydal celkovo šesť metodických usmernení. Tri metodické usmernenia boli zamerané na základné pojmy osobné údaje, osoby v procese spracúvania osobných údajov (dotknutá osoba, prevádzkovateľ, zástupca prevádzkovateľa, sprostredkovateľ, subdodávateľ, oprávnená osoba, tretia strana a príjemca) a informačný systém. Ich cieľom bolo vysvetliť ponímanie týchto základných pojmov v kontexte zákona o ochrane osobných údajov tak, aby poskytovali jednoduchšiu orientáciu a uplatňovanie v praxi. Ďalšie dôležité témy, ktoré rezonovali v priebehu roka 2013, a ku ktorým úrad prostredníctvom metodických usmernení zaujal postoj, boli kamerové informačné systémy vo vozidlách, cezhraničný prenos osobných údajov a spracúvanie biometrických údajov. Účelom týchto metodických usmernení bolo rozobrať jednotlivé otázky v rámci daných tém z hľadiska ochrany osobných údajov a vysvetliť, za akých podmienok je možné v týchto prípadoch pristúpiť k spracúvaniu osobných údajov v súlade so zákonom o ochrane osobných údajov.

V roku 2014 úrad vydal spolu tri metodické usmernenia. Vydávanie metodických usmernení sa rovnako aj v tomto roku nieslo v duchu aktuálne diskutovaných tém, ku ktorým úrad z hľadiska ochrany osobných údajov zaujal postoj. Jedno metodické usmernenie bolo zamerané na základný pojem účel spracúvania osobných údajov, jeho význam a pozíciu v rámci spracúvania osobných údajov, čím sa kontinuálne nadviazalo na predchádzajúci rok s cieľom vysvetliť ponímanie vybraných základných pojmov. Druhé a tretie metodické usmernenie sa obsahovo týkalo podmienok a postupu monitorovania priestoru prístupného verejnosti a záväzných vnútropodnikových pravidiel, ktoré sú jedným zo zákonne dostupných nástrojov na prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov.

Metodické usmernenia boli v hodnotenom období priebežne aktualizované. Tieto aktualizácie reflektovali na zmeny (novelizácie) právnych predpisov obsiahnutých v predmetných metodických usmerneniach, najmä zákona o ochrane osobných údajov.

4 Komunikácia úradu s verejnosťou

4.1 Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb

Problematika ochrany osobných údajov v sebe zahŕňa aj riešenie otázok odbornej a laickej verejnosti. Vymedzenie povinností v zákone a taktiež kontakt s úradom pri riešení konkrétnych aplikačných problémov, napomáhajú uvádzať do života ochranu osobných údajov fyzických osôb, ako jedno zo základných ľudských práv a tiež ako súčasť práva na ochranu súkromia jednotlivca.

V roku 2013 úrad poskytol spolu 2120 písomných vyjadrení verejnosti a v roku 2014 spolu 2135 písomných vyjadrení. Okruhy otázok sa týkali najmä týchto oblastí

20

a)úprava ochrany osobných údajov podľa nového zákona o ochrane osobných údajov; predmetom otázok bolo plnenie povinností prevádzkovateľov podľa nového zákona vrátane plynutia prechodných ustanovení na zosúladenie spracúvania osobných údajov,

b)spracúvanie osobných údajov v jednotlivých odvetviach (bankový sektor, telekomunikačné spoločnosti),

c)súhlas so spracúvaním osobných údajov, nevyhnutnosť jeho poskytnutia a forma,

d)zverejňovanie osobných údajov, najmä neplatičov v bytových domoch,

e)monitorovanie priestorov kamerovým systémom,

f)spracúvanie biometrických údajov, najmä na účely dochádzkového systému,

g)povinnosť registrácie (od 15. apríla 2014 oznamovacej povinnosti) a evidencie,

h)bezpečnosť spracúvania osobných údajov,

i)kopírovanie úradných dokladov, právny základ ich získavania a možnosť ich uchovávania,

j)povinnosti zodpovednej osoby, vrátane zmien zavedených novelou zákona o ochrane osobných údajov, ktoré sa dotkli poverenia zodpovednej osoby,

k)cezhraničný prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany,

l)oznamovanie protispoločenskej činnosti tzv. whistleblowing,

m)prístup k informáciám a osobným údajom, povinné zverejňovanie zmlúv, faktúr a objednávok podľa zákona o slobodnom prístupe k informáciám,

n)ďalšie zmeny vyplývajúce z novely zákona o ochrane osobných údajov, a pod.

Okrem písomných odpovedí poskytli zamestnanci úradu aj množstvo telefonických konzultácií a na požiadanie boli poskytnuté aj osobné konzultácie prevádzkovateľom a dotknutým osobám.

Počet zodpovedaných otázok v hodnotenom období rokov 2013 a 2014 má z pohľadu dlhodobejšieho časového horizontu značne rastúcu tendenciu (pozri graf nižšie). Po obsahovej stránke možno otázky verejnosti v porovnaní s predchádzajúcimi rokmi vnímať ako náročnejšie. Táto skutočnosť je prejavom vyššej úrovne povedomia dotknutých osôb o právach v oblasti ochrany osobných údajov, pokračujúcej informatizácie verejnej správy, ako aj narastajúcich požiadaviek zo strany subjektov zapojených do procesu spracúvania v dôsledku rýchleho spoločenského a technologického vývoja.

21

4.2 Komunikácia úradu s médiami

Osobné údaje a ich ochrana sa stáva čím ďalej tým viac témou príťažlivou aj pre médiá. Komunikáciou s médiami úrad reaguje na konkrétne otázky týkajúce sa ochrany osobných údajov, no zároveň sa svojimi príspevkami tiež snaží zvyšovať povedomie širokej verejnosti v tejto oblasti.

V roku 2013 úrad odpovedal na otázky printových a audiovizuálnych médií týkajúcich sa problematiky spracúvania a ochrany osobných údajov spolu 74 krát a v roku 2014 celkom 88 krát.

Otázky médií sa po oba roky dotýkali predovšetkým legislatívnych zmien zákona o ochrane osobných údajov a jeho novely. Práve tieto vzbudili značný mediálny záujem, ktorý rezonoval najmä v kontexte povinností, ktoré zo zákona o ochrane osobných údajov pre prevádzkovateľov vyplývajú.

Pokiaľ ide o otázky na konkrétne témy, médiá sa v týchto rokoch zaujímali o kamerové systémy v bytových domoch a autokamery a o podmienky ich prevádzkovania, zverejňovanie rodného čísla v Centrálnom registri zmlúv, zneužívanie osobných údajov v on-line zoznamovacích službách, dochádzkové biometrické systémy a ich používanie a nedodržanie bezpečnostných opatrení pri likvidácii osobných údajov.

Pozornosť zo strany médií bola venovaná tiež témam ako zverejňovanie osobných údajov jubilantov obecnými periodikami, fotopasce, čipovanie domácich zvierat, spracúvanie osobných údajov dopravnými podnikmi alebo nenáležitá likvidácia citlivých zdravotných osobných údajov a nakladanie s nimi. Otázky sa týkali aj aplikácie „práva byť zabudnutý“ v kontexte rozsudku vo veci C-131/12 Google Spain SL, Google Inc. proti Agencia Española de Protección de Datos a Mariovi Costejovi Gonzálezovi.

V hodnotenom období sa médiá zaujímali tiež aj o nedovolené sprístupňovanie osobných údajov exekútorom, či získavanie osobných údajov na účely marketingu a zákonnosť takéhoto získavania.

4.3 Účasť úradu na odborných podujatiach

V rokoch 2013 a 2014 sa zástupcovia úradu zúčastnili viacerých podujatí, kde prezentovali odborné problematiky z oblasti ochrany osobných údajov.

K najvýznamnejším podujatiam patrila aktívna účasť na medzinárodnom kongrese ITAPA, a to tak v roku 2013, ako aj 2014, na ktorom zástupcovia úradu prezentovali problematiku nového zákona o ochrane osobných údajov v kontexte informatizácie verejnej správy a poukázali aj na aktuálny stav a vývoj ochrany osobných údajov v európskom meradle vo vzťahu k príprave a prijímaniu návrhu všeobecného nariadenia o ochrane osobných údajov.

Úrad reprezentoval jeho zástupca tiež na akcii pod názvom Café Europa, ktorá sa konala začiatkom roka 2013 postupne vo viacerých mestách (Trenčín, Nitra, Košice, Banská Bystrica, Bratislava). Organizátorom podujatia bol Inštitút hospodárskej politiky a Európska komisia. Cieľom projektu bola verejná debata v prostredí kaviarní vo vybraných mestách

22

na všeobecné témy, akými bola ochrana osobných údajov, ale aj informácie o európskej reforme ochrany osobných údajov, či zneužívanie osobných údajov.

Zamestnanci úradu sa v septembri 2013 zúčastnili aj seminára, ktorý organizovalo Ministerstvo zahraničných vecí a európskych záležitostí Slovenskej republiky spolu s Ministerstvom hospodárstva Slovenskej republiky a Americkou obchodnou komorou. Predmetom seminára bolo oboznámenie sa s problematikou pripravovaného transatlantického obchodného partnerstva.

Prijatie nového zákona o ochrane osobných údajov vzbudilo záujem aj u profesijných komôr a organizácií, ktoré po jeho prijatí prejavili záujem dozvedieť sa o ňom viac. V tejto súvislosti zástupcovia úradu vykonali prezentáciu na tému zákona o ochrane osobných údajov pre Slovenskú komoru súkromnej bezpečnosti. Prevádzkovateľom z prostredia súkromnej bezpečnosti boli poskytnuté dôležité informácie o aplikácii ustanovení zákona v praxi.

V kontexte nového zákona o ochrane osobných údajov bol úrad oslovený, aby prezentoval bližšie povinnosti prevádzkovateľov e-shopov v kontexte ochrany osobných údajov. Za týmto účelom sa zamestnanci úradu zúčastnili a aktívne participovali na Okrúhlom stole, ktorý sa konal v novembri 2013 pod záštitou Slovenskej asociácie pre elektronický obchod.

Záujem o účasť úradu na rôznych podujatiach a fórach bol značný aj v roku 2014. Hneď v úvode roku 2014 sa úrad, ako spoluorganizátor so Slovenskou asociáciou pre informačnú bezpečnosť spolupodieľal na konferencii o informačnej bezpečnosti. Predmet konferencie bolo venovaný najmä aktuálnej téme ochrany osobných údajov, súčasnému stavu informačnej bezpečnosti na Slovensku, bezpečnostným aspektom elektronického občianskeho preukazu, vplyvu zmien ISO normy na systémy riadenia informačnej bezpečnosti, porovnaniu vlastností biometrického, klasického a digitálneho podpisu, ako aj ďalším významným témam.

Spracúvanie osobných údajov sa dotýka aj vlastníkov bytov a nebytových priestorov, ktorí tiež prejavili záujem o informácie ohľadom ochrany osobných údajov. Zástupca úradu začiatkom apríla 2014 na pozvanie Združenia správcov a užívateľov nehnuteľností vystúpil na každoročnej konferencii, ktorú organizujú s príspevkom na tému aplikácie zákona o ochrane osobných údajov v praxi správcov bytových domov.

Vecné, právne, administratívne a procesné zabezpečenie ochrany osobných údajov v podmienkach elektronizácie územnej samosprávy bolo predmetom akcie, ktorú organizovalo Data Centrum elektronizácie územnej samosprávy Slovenska v polovici marca 2014.

Ochranu osobných údajov je potrebné dodržiavať aj v prostredí cestovných kancelárií a hotelov. Vzhľadom na zmeny, ktoré priniesol zákon o ochrane osobných údajov v spracúvaní osobných údajov bol zástupca úradu pozvaný, aby aktívne informoval odbornú verejnosť v oblasti hotelierstva a cestovného ruchu. So svojimi príspevkami vystúpil na Jarnom stretnutí SACKA 2014, ktoré zastrešovala Slovenská asociácia cestovných kancelárií a cestovných agentúr. V podobnom duchu sa niesla aj konferencia ktorú zastrešoval, a ktorej hlavným organizátorom bol Zväz hotelov a reštaurácií Slovenskej republiky, HORECA konferencia a Jarné stretnutie hotelierov 2014 v máji 2014, na ktorom úrad tiež participoval.

23

Ochrane súkromia zamestnanca bola venovaná konferencia v novembri 2014. Bola organizovaná v rámci projektu Fridrich Ebert Stiftung, kancelária v Slovenskej republike, „Kultúra sveta práce“. Témy prezentované na konferencii išli naprieč celým spektrom právnych predpisov upravujúcich ochranu súkromia zamestnanca na pracovisku. Na konferencii aktívne participoval aj zástupca úradu s príspevkom zameraným na právo na ochranu osobných údajov zamestnanca, ako dotknutej osoby na pracovisku v spojitosti s právom na informácie a prístupom k osobným údajom.

Aspekty ochrany osobných údajov v zmluvných vzťahoch v IT prostredí boli predmetom konferencie „IT právo: zmluvy a zmluvné vzťahy v IT“, na ktorej s príspevkom vystúpil aj zástupca úradu.

4.4 Deň ochrany osobných údajov

Január každoročne patrí k mesiacom, kedy si pripomíname Deň ochrany osobných údajov; 28. január je dňom podpísania Dohovoru Rady Európy č. 108 o ochrane jednotlivca pri automatizovanom spracúvaní osobných údajov, ktorý bol podpísaný v roku 1981 v Štrasburgu. Tento deň bol za podpory Európskej komisie vyhlásený výborom ministrov Rady Európy za Deň ochrany osobných údajov. Úrad sa v tejto súvislosti každoročne snaží, aby tento deň prispel k popularizácii osobných údajov v rámci širokej verejnosti. V tomto duchu pripravil aj v rokoch 2013 a 2014 rôzne aktivity.

V roku 2013 úrad zrealizoval priamu komunikáciu s občanmi. Bola zriadená osobitná telefonická linka aj e-mailová adresa, na ktorej sa občania mohli pýtať svoje otázky týkajúce sa ochrany osobných údajov. Väčšina otázok bola zodpovedaná obratom, zložitejšie boli v krátkom časovom rozmedzí konzultované a zodpovedané. Akcia úradu bola nazvaná „Viem, či neviem si poradiť? Opýtajte sa úradu.“.

Pri príležitosti Dňa ochrany osobných údajov v roku 2014 úrad v spolupráci so Zastúpením Európskej komisie na Slovensku zorganizoval spoločný brífing pod názvom „Reforma európskych a slovenských pravidiel v oblasti ochrany osobných údajov“. Hosťom na brífingu bola aj pani Elaine Miller z Generálneho riaditeľstva Európskej Komisie pre spravodlivosť a spotrebiteľov. Hlavným cieľom brífingu bolo priblížiť laickej a odbornej verejnosti ochranu osobných údajov na slovenskej a európskej úrovni a poskytnúť pohľad na možný vývoj ochrany osobných údajov v Európskej únii.

4.5 Webové sídlo úradu a jeho návštevnosť

Webové sídlo je elektronickým prezentačným prostriedkom úradu. Pri jeho správe a priebežnom dopĺňaní a aktualizovaní úrad kládol dôraz najmä na vzájomné skĺbenie jednotlivých rovín, a to obsahovej, používateľského komfortu, grafického dizajnu a spôsobu navigácie návštevníkov stránky. Webové sídlo úradu spĺňa kritéria prístupnosti v zmysle zákona o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a v zmysle výnosu Ministerstva financií Slovenskej republiky o štandardoch pre informačné systémy verejnej správy.

24

V apríli v roku 2014 bola zo strany úradu vykonaná zmena redakčného systému webového sídla a aj následný redizajn a rozšírenie funkcionality. Od 1. júla 2013 je možné sa pomocou webového sídla prihlasovať sa skúšku fyzickej osoby na výkon funkcie zodpovednej osoby a od 1. septembra 2014 aj oznamovať informačné systémy v zmysle zákona o ochrane osobných údajov.

Na webovom sídle sa okrem povinne zverejňovaných informácií nachádzajú i informácie pre širokú verejnosť z oblasti pôsobnosti úradu a zákona o ochrane osobných údajov.

Webové sídlo úradu dosiahlo v roku 2013 približne 126 182 unikátnych návštev a stránka bola zobrazená približne 1 398 524 krát a v roku 2014 približne 144 478 unikátnych návštev a stránka bola zobrazená približne 2 048 345 krát. Oproti minulým obdobiam došlo k výraznému nárastu návštevnosti webového sídla úradu, a to z dôvodu prijatia nového zákona o ochrane osobných údajov účinného od 1. júla 2013, ako aj jeho novely účinnej od 15. apríla 2014.

5 Zodpovedná osoba

5.1 Postavenie, význam zodpovednej osoby a jej prínos v spoločnosti

Inštitút zodpovednej osoby je súčasťou právneho poriadku Slovenskej republiky od roku 1998. Cieľom zavedenia funkcie zodpovednej osoby bolo, aby sa u prevádzkovateľa zvýšila a udržiavala vyššia úroveň ochrany osobných údajov, ktorá bude korešpondovať s aktuálnym legislatívnym stavom v tejto oblasti. Najmä v čase, keď rozvoj informačných a komunikačných technológií veľmi rýchlo napreduje.

Zákon o ochrane osobných údajov prevzal inštitút zodpovednej osoby zo zákona č. 428/2002 Z. z. a upravil podmienky, podľa ktorých mal prevádzkovateľ povinnosť zodpovednú osobu poveriť. Do 30. júna 2013 bol prevádzkovateľ podľa zákona č. 428/2002 Z. z. povinný poveriť zodpovednú osobu, ak mal 5 a viac zamestnancov. Od 1. júla 2013 nový zákon o ochrane osobných údajov zaviedol povinnosť poverenia zodpovednej osoby, ak prevádzkovateľ mal 20 a viac oprávnených osôb; táto povinnosť sa novelou zákona o ochrane osobných údajov v roku 2014 upravila do fakultatívnej roviny, kedy sa prevádzkovateľ môže rozhodnúť, či výkonom dohľadu nad ochranou osobných údajov poverí zodpovednú osobu alebo nie.

Zodpovedná osoba svojím postavením a úlohami vplýva a zasahuje do celého procesu spracúvania osobných údajov. Z hľadiska zlepšovania kvality ochrany osobných údajov zákon o ochrane osobných údajov zaviedol požiadavku aj na zvýšenie odbornej spôsobilosti zodpovednej osoby tak, aby sa zaručil jej význam a plnohodnotné zabezpečovanie jej úloh v praxi. Preto sa pristúpilo k zmene podmienok na poverenie zodpovednej osoby, v rámci ktorých sa od 1. júla 2013 začalo vyžadovať aj úspešné absolvovanie skúšky fyzickej osoby zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov. Fyzická osoba tak môže byť poverená výkonom dohľadu nad ochranou osobných údajov až po úspešnom absolvovaní skúšky.

25

Hlavným cieľom zmien podmienok pri poverení zodpovednej osoby bolo zvýšenie povedomia v oblasti ochrany osobných údajov, čím sa zároveň zabezpečil obozretnejší a dôslednejší prístup pri plnení povinností podľa zákona o ochrane osobných údajov a v konečnom dôsledku aj Ústavou Slovenskej republiky garantované právo na ochranu súkromia a osobných údajov.

Od 1. júla 2013 sa novým zákonom zároveň posilnilo postavenie poverenej zodpovednej osoby, ktorá má, za účelom zodpovedného vykonávania funkcie zodpovednej osoby a plnenia zákonných úloh, právo vstupovať do informačných systémov. Prevádzkovateľ je povinný jej takýto prístup umožniť. Rozsah takéhoto prístupu je limitovaný nevyhnutnosťou a úlohami, ktoré v tejto súvislosti zabezpečuje.

Zodpovedná osoba má v procese spracúvania osobných údajov svoje nezastupiteľné miesto. Svojou činnosťou a odbornou starostlivosťou prispieva k napĺňaniu základných atribútov na úseku ochrany osobných údajov. Jej význam je obzvlášť dôležitý v tejto vyspelej spoločnosti, a to aj so zvyšujúcimi sa nárokmi na skĺbenie technického pokroku a vedomostí z oblasti ochrany osobných údajov.

5.2 Skúška fyzickej osoby na výkon funkcie zodpovednej osoby

Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov až po úspešnom absolvovaní skúšky. Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby zabezpečuje úrad bezplatne.

Účelom skúšky je zistiť, či fyzická osoba má potrebné odborné vedomosti na vykonávanie dohľadu nad ochranou osobných údajov. Skúška sa vykonáva zo znalostí všeobecne záväzných právnych predpisov upravujúcich oblasť ochrany osobných údajov. Konkrétny okruh otázok je uvedený v prílohe vyhlášky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby.

Skúška prebieha formou písomného testu, ktorý obsahuje 20 otázok. Za každú správne zodpovedanú otázku je možné získať jeden bod. Na vyznačenie odpovedí je stanovený limit 30 minút. Na úspešné absolvovanie skúšky je potrebné získať najmenej 15 bodov (tolerancia 5 nesprávnych odpovedí). Ak žiadateľ neuspeje, skúšku je možné absolvovať opakovane, najskôr po uplynutí 60 dní odo dňa konania predchádzajúcej neúspešnej skúšky. Na opakovaný termín je potrebné sa znova prihlásiť. Fyzická osoba, ktorá úspešne absolvovala skúšku nemá povinnosť ju absolvovať znova; pokiaľ však túto funkciu nevykonáva dlhšie ako dva roky, je potrebné absolvovať skúšku opätovne.

V hodnotenom období úrad vykonával skúšku nielen vo svojom sídle v Bratislave, ale aj v jednotlivých krajských mestách. Z celkového počtu 463 termínov skúšok, 131 z nich sa konalo mimo sídla úradu. Vychádzajúc aj zo štatistických údajov z registra zodpovedných osôb podľa časti 5.3 možno konštatovať, že fyzické osoby, ktoré sa prihlásili na skúšku, túto absolvovali nielen z dôvodu následného poverenia za zodpovednú osobu, ale aj v záujme overenia vlastných znalostí a zvýšenia odbornosti v oblasti ochrany osobných údajov.

Funkcia zodpovednej osoby rovnako našla uplatnenie v spoločnosti nielen ako agenda, ktorú zamestnanci plnili kumulovane s inými úlohami, ale aj ako profesionálna zodpovedná osoba, ako samostatná pracovná pozícia na trhu práce.

26

Štatistika v oblasti skúšok fyzických osôb na výkon funkcie zodpovednej osoby od 1.júla 2013 do 31.decembra 2013

Počet uchádzačov prihlásených na skúšku

2 005

Počet potvrdených žiadostí

1 892

Počet prítomných uchádzačov

1 734

Počet úspešne vykonaných skúšok

1 560

Počet neúspešne vykonaných skúšok

174

Počet termínov skúšok

240

Počet termínov skúšok uskutočnených v sídle úradu (Bratislava)

207

Počet termínov skúšok uskutočnených mimo sídla úradu

33

Štatistika v oblasti skúšok fyzických osôb na výkon funkcie zodpovednej osoby od 1.januára 2014 do 31.decembra 2014

Počet uchádzačov prihlásených na skúšku

5 409

Počet potvrdených žiadostí

4 955

Počet prítomných uchádzačov

4 653

Počet úspešne vykonaných skúšok

4 128

Počet neúspešne vykonaných skúšok

525

Počet termínov skúšok

354

Počet termínov skúšok uskutočnených v sídle úradu (Bratislava)

256

Počet termínov skúšok uskutočnených mimo sídla úradu

98

5.3 Register zodpovedných osôb

Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa zákona o ochrane osobných údajov vo všeobecnosti zodpovedá prevádzkovateľ. Prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených osôb, môže výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby podľa časti 5.1 a 5.2, ktoré dohliadajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.

Za účelom zabezpečovania úloh na úseku ochrany osobných údajov úrad vedie register zodpovedných osôb. Podľa zákona č. 428/2002 Z. z. od 1. januára 2013 do 30. júna 2013 úrad evidoval 258 zodpovedných osôb nahlásených jednotlivými prevádzkovateľmi. Podľa nového zákona o ochrane osobných údajov od 1. júla 2013 do 31. decembra 2014 úrad evidoval spolu 4 468 nových oznámení o poverení zodpovednej osoby alebo jej zmene.

27

Prehľad o počte zodpovedných osôb nahlásených úradu podľa zákona č. 428/2002 Z. z.

Rok

1. polrok 2013

Spolu

Počet

258

44 824

Prehľad o počte zodpovedných osôb nahlásených úradu podľa nového zákona o ochrane osobných údajov

Rok

2. polrok 2013

2014

Spolu

Počet

489

3979

4468

6 Schvaľovacia činnosť úradu na úseku registrácií a cezhraničného prenosu osobných údajov

6.1 Oznamovacia povinnosť informačných systémov

Ochrana osobných údajov podľa zákona o ochrane osobných údajov sa vzťahuje na všetky informačné systémy osobných údajov. Zákon o ochrane osobných údajov v šiestej hlave druhej časti vymedzuje, na ktoré informačné systémy sa vzťahuje oznamovacia povinnosť, osobitná registrácia, resp. povinnosť vedenia evidencie. Oznamovacej povinnosti, ako jednej zo základných povinností prevádzkovateľa pred začatím spracúvania osobných údajov, podliehajú všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania, pričom zákon o ochrane osobných údajov taxatívne vymenúva, na ktoré informačné systémy sa oznamovacia povinnosť nevzťahuje. Podmienky, ako aj postup pri oznamovacej povinnosti upravujú znenia § 34 až § 36 zákona o ochrane osobných údajov.

Do 15. apríla 2014 bola oznamovacia povinnosť v zákone o ochrane osobných údajov známa ako registrácia informačných systémov. Jej zmenou sa znížila najmä administratívna náročnosť u prevádzkovateľov, ktorým táto povinnosť podľa zákona o ochrane osobných údajov vznikla. Zaviedol sa nový spôsob plnenia tejto povinnosti, a to prostredníctvom online elektronického formulára dostupného na webovom sídle úradu. Zároveň sa zrušila poplatková povinnosť za oznámenie informačného systému alebo jeho zmeny.

V roku 2013 bolo úradu doručených 84 žiadostí o registráciu podľa zákona č. 428/2002 Z. z., z ktorých podliehalo tejto povinnosti 18 informačných systémov. Po prijatí nového zákona o ochrane osobných údajov oznámili prevádzkovatelia úradu spolu 600 informačných systémov, z ktorých oznamovacej povinnosti podliehalo 295 informačných systémov. V roku 2014 oznámili prevádzkovatelia úradu spolu 11369 informačných systémov, z ktorých oznamovacej povinnosti podliehalo 7717 informačných systémov. Najčastejším typom prevádzkovateľov, ktorí v hodnotenom období 2013 a 2014 oznamovali úradu informačné systémy boli e-shopy, lekárne, realitné a cestovné kancelárie. Najčastejšie oznamovanými informačnými systémami boli informačné systémy, v ktorých sa spracúvali osobné údaje o klientoch prevádzkovateľa, osobné údaje na účely marketingu a osobné údaje klientov za účelom poskytovania bonusov a zliav formou vernostného programu.

28

Prehľad o počte registrácii informačných systémov podľa zákona č. 428/2002 Z. z.

Registrácia informačných systémov podľa zákona č. 428/2002 Z. z.

Rok

Počet doručených registrácii informačných systémov

Počet vydaných potvrdení o registrácii informačných systémov

Počet informačných systémov, ktoré nepodliehali registrácii

1. polrok 2013

84

18

66

Prehľad o počte oznámených informačných systémov podľa nového zákona o ochrane osobných údajov

Oznámenia (do 15. apríla 2014 registrácia) informačných systémov podľa zákona č. 122/2013 Z. z.

Rok

Počet doručených oznámení informačných systémov

Počet vydaných potvrdení s pridelením identifikačných čísiel informačných systémov

Počet informačných systémov, ktoré nepodliehali oznamovacej povinnosti

2. polrok 2013

600

295

305

2014

11369

7717

3652

Spolu

11969

8012

3957

6.2 Osobitná registrácia informačných systémov

Podmienky, ako aj postup pri osobitnej registrácii informačných systémov, upravujú ustanovenia § 37 až § 41 zákona o ochrane osobných údajov. Osobitnej registrácii podlieha informačný systém za podmienok taxatívne vymedzených zákonom o ochrane osobných údajov. Ide o prípady, kde spracúvanie osobných údajov dotknutých osôb je citlivejšie z hľadiska zásahov do ich súkromia a je potrebné individuálne skúmať mieru nebezpečenstva porušenia práv a slobôd dotknutých osôb. Osobitná registrácia podlieha poplatkovej povinnosti podľa zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov.

V roku 2013 bolo úradu doručených celkovo 16 žiadostí o osobitnú registráciu informačných systémov podľa zákona č. 428/2002 Z. z. a 39 žiadostí o osobitnú registráciu informačných systémov podľa nového zákona o ochrane osobných údajov. Po posúdení zákonných predpokladov a miery rizika spracúvania osobných údajov v týchto informačných systémoch, došlo zo strany úradu podľa zákona č. 428/2002 Z. z. k vydaniu potvrdenia o osobitnej registrácii v 4 prípadoch a podľa nového zákona o ochrane osobných údajov v 25 prípadoch. V roku 2014 bolo úradu doručených celkovo 598 žiadostí o osobitnú registráciu, pričom úrad aj v tomto období starostlivo posudzoval zákonnosť a dopad spracúvania

29

osobných údajov na dotknuté osoby v týchto informačných systémoch; k vydaniu potvrdenia o osobitnej registrácii došlo v 126 prípadoch. Najčastejšie prihlasovanými informačnými systémami na osobitnú registráciu v hodnotenom období 2013 a 2014 boli informačné systémy, ktorých účelom bol whistleblowing alebo spracúvanie biometrických osobných údajov, napríklad odtlačok prsta alebo geometria dlane, za účelom evidencie dochádzky alebo vstupu do vymedzených priestorov.

Osobitná registrácia informačných systémov si v hodnotenom období zachovala svoj štandard z hľadiska posudzovania situácií, kedy je potrebné prihlásiť informačný systém na osobitnú registráciu. V roku 2014 sa novelou zákona o ochrane osobných údajov zaviedla zmena v rámci podmienok osobitnej registrácie, ak sa osobné údaje spracúvajú na účely ochrany práv a právom chránených záujmov prevádzkovateľa alebo tretej strany podľa § 10 ods. 3 písm. g) zákona o ochrane osobných údajov. Takýto informačný systém je potrebné oznámiť (časť 6.1), pričom úrad môže rozhodnúť, že podlieha osobitnej registrácii a je potrebné ho posúdiť v rámci osobitnej registrácie z dôvodu zvýšenej miery nebezpečenstva porušenia práv a slobôd dotknutých osôb. Ide o prípady, kedy pri spracúvaní osobných údajov prevažuje ochrana práv a právom chránených záujmov prevádzkovateľa alebo tretej strany nad základnými právami a slobodami dotknutých osôb. Práve z toho dôvodu úrad prostredníctvom osobitnej registrácie sa zaoberá najmä zákonnosťou, primeranosťou, nevyhnutnosťou, účelom a rozsahom zásahov do súkromia dotknutých osôb. S ohľadom na jednotlivé aspekty a špecifiká každého spracúvania, sa uvedené požiadavky v súlade so zákonom o ochrane osobných údajov posudzujú pre konkrétny prípad individuálne. Potreba posudzovania informačných systémov v rámci osobitnej registrácie sa v hodnotenom období dotýkala najmä monitorovania priestorov, ktoré nie sú prístupné verejnosti prostredníctvom kamerových systémov, najmä na účely ochrany majetku prevádzkovateľa a whistleblowing.

Osobitná registrácia je jedným z nástrojov na dodržiavanie zákonov pri spracúvaní osobných údajov z pohľadu zachovania ľudských práv garantovaných Ústavou Slovenskej republiky. Berúc do úvahy administratívnu a finančnú náročnosť, úrad aj z vyššie uvedeného dôvodu novým zákonom o ochrane osobných údajov zrušil staré osobitné registrácie podľa zákona č. 428/2002 Z. z. za účelom zosúladenia reálneho stavu s novou právnou úpravou v záujme predchádzania porušovania práv a slobôd dotknutých osôb v oblasti ich ochrany osobných údajov a súkromia.

Prehľad o počte osobitne registrovaných informačných systémov podľa zákona č. 428/2002 Z. z.

Osobitná registrácia informačných systémov podľa zákona č. 428/2013 Z. z.

Rok

Počet doručených žiadostí o osobitnú registráciu informačných systémov

Počet vydaných potvrdení o osobitnej registrácii informačných systémov

Počet neudelených osobitných registrácií informačných systémov

Počet zastavených konaní o osobitnej registrácii informačných systémov

1. polrok 2013

16

4

6

6

30

Prehľad o počte oznámených informačných systémov podľa nového zákona o ochrane osobných údajov

Osobitná registrácia informačných systémov podľa zákona č. 122/2013 Z. z.

Rok

Počet doručených žiadostí o osobitnú registráciu informačných systémov

Počet vydaných potvrdení o osobitnej registrácii informačných systémov

Počet neudelených osobitných registrácií informačných systémov

Počet zastavených konaní o osobitnej registrácii informačných systémov

2. polrok 2013

39

25

5

9

2014

598

126

3

469

Spolu

637

151

8

478

6.3 Cezhraničný prenos osobných údajov

Cezhraničný prenos osobných údajov je dôležitou súčasťou spracúvania osobných údajov v podmienkach čoraz častejšej cezhraničnej spolupráce spojenej s nevyhnutou výmenou informácií, vrátane osobných údajov.

Zákon o ochrane osobných údajov vo všeobecnosti stanovuje podmienky prenosu osobných údajov do členských štátov Európskej únie, štátov, ktoré sú zmluvnou stranou Dohody o Európskom hospodárskom priestore, ako aj tretích krajín, ktoré zaručujú/nezaručujú primeranú úroveň ochrany osobných údajov. Status krajiny, ktorá zaručuje primeranú úroveň ochrany osobných údajov určuje Európska komisia rozhodnutím. Pri posudzovaní takejto primeranosti ochrany osobných údajov sa skúma úroveň miestnej legislatívy, a to existencia príslušných právnych aktov, vymožiteľnosť práva dotknutou osobou, povinnosti prevádzkovateľa, ako aj zásady spracúvania osobných údajov. V oblasti inštitucionálnej sa skúma postavenie nezávislej národnej dozornej autority, jej právomoci a kompetencie. Zákon o ochrane osobných údajov rovnako vymedzuje prípady, kedy je prevádzkovateľ povinný pred začatím s cezhraničným prenosom osobných údajov požiadať úrad o súhlas.

V hodnotenom období od 1. januára 2013 do 30. júna 2013 úrad podľa zákona č. 428/2002 Z. z. vydal 31 súhlasov s cezhraničným prenosom osobných údajov. Od 1. júla 2013 do 31. decembra 2014 úrad podľa nového zákona o ochrane osobných údajov nevydal žiaden súhlas s cezhraničným prenosom osobných údajov.

Pokiaľ ide o status krajiny, ktorá zaručuje primeranú úroveň ochrany osobných údajov, v rokoch 2013 a 2014 nedošlo zo strany Európskej komisie k schváleniu primeranosti úrovne ochrany osobných pre žiadnu tretiu krajinu.

Cezhraničný prenos osobných údajov predstavuje citlivú spracovateľskú operáciu s osobnými údajmi, pri ktorej sa osobné údaje dostávajú mimo územia Slovenskej republiky. Na rozdiel od právnej úpravy zákona č. 428/2002 Z. z., problematika cezhraničného prenosu prešla podstatnou zmenou, ktorá reflektuje nielen na postoj medzinárodných dokumentov,

31

ale aj na vývoj spoločenských vzťahov. Úprava v novom zákone o ochrane osobných údajov zaviedla flexibilnejší systém cezhraničného prenosu a najmä pri prenose do tretích krajín umožnila prevádzkovateľom vo vyššej miere využívať štandardizované záruky ochrany súkromia a osobných údajov v podobe štandardných zmluvných doložiek a záväzných vnútropodnikových pravidiel.

Rovnako sa znížila administratívna záťaž v prípadoch, kedy je potrebné žiadať úrad o súhlas s cezhraničným prenosom osobných údajov. Prevádzkovatelia si tak vedia vo svojich podmienkach samostatne zabezpečiť súlad s požiadavkami zákona o ochrane osobných údajov, čo sa odzrkadlilo aj na počte žiadostí o súhlas s cezhraničným prenosom osobných údajov.

Prehľad o počte súhlasov s cezhraničným prenosom osobných údajov

2013

Rok

1. polrok

2. polrok

2014

Počet súhlasov s cezhraničným prenosom

31

0

0

7 Kontrola spracúvania osobných údajov

Kontrolu spracúvania osobných údajov upravuje druhá hlava tretej časti zákona o ochrane osobných údajov. Od 1. júla 2013 nový zákon o ochrane osobných údajov nanovo upravil spôsob a podmienky výkonu kontroly spracúvania osobných údajov, ktoré nahradili právny inštitút kontrolnej činnosti, ako súčasti prešetrovania oznámení a podnetov podľa zákona č. 428/2002 Z. z. Proces kontroly bol odčlenený od procesu konania. Prešetrovanie oznámení a podnetov bolo podľa zákona č. 428/2002 Z. z. spojené spoločne s výkonom kontrol. Novo nastavené pravidlá výkonu kontroly lepšie reflektujú na požiadavku nestrannosti kontrolného orgánu a jeho nezávislosti pri formulovaní kontrolných zistení.

Kontrolu spracúvania osobných údajov realizuje úrad prostredníctvom kontrolného orgánu. Úrad vykonáva riadnu kontrolu na základe ročného plánu kontrol alebo mimoriadnu kontrolu na základe podozrenia z porušovania povinností pri spracúvaní osobných údajov ustanovených zákonom alebo v rámci konania o ochrane osobných údajov. Kontrolu dodržiavania povinností pri spracúvaní osobných údajov ustanovených zákonom o ochrane osobných údajov vykonáva kontrolný orgán na základe písomného poverenia u prevádzkovateľa alebo sprostredkovateľa.

Kontrolné zistenia sú formulované v zázname alebo v protokole o kontrole. Ak úrad pri výkone kontroly nezistí porušenie povinnosti prevádzkovateľa pri spracúvaní osobných údajov, vypracuje záznam o kontrole. V prípade zistených nedostatkov pri spracúvaní osobných údajov prevádzkovateľom, úrad vypracuje protokol o kontrole. Výsledky kontroly slúžia ako podklad pre konanie o ochrane osobných údajov.

32

7.1 Zameranie a výsledky kontrol na základe ročného plánu

Kontrolná činnosť úradu bola v hodnotenom období rokov 2013 a 2014 zameraná na zistenie súladu spracúvania osobných údajov so zákonom č. 428/2002 Z. z., novým zákonom o ochrane osobných údajov a so všeobecne záväznými právnymi predpismi a medzinárodnými dokumentmi, ktorými je Slovenská republika viazaná. Do plánu kontrol boli vybrané oblasti z verejného i súkromného sektora.

Kontrolná činnosť úradu bola do 30. júna 2013 vykonávaná na základe Plánu kontrolnej činnosti na kalendárny rok 2013 (ďalej len „ročný plán kontrol“). Účelom ročného plánu kontrol bolo určenie hlavných zámerov, úloh a kontrolných aktivít smerujúcich na zabezpečenie účinného výkonu kontrolnej činnosti a pôsobnosti úradu upravenej zákonom č. 428/2002 Z. z.

Od 1. júla 2013 úrad začal vykonávať riadne kontroly na základe ročného plánu kontrol podľa nového zákona o ochrane osobných údajov a jeho dvoch vykonávacích predpisov. S ohľadom na túto skutočnosť pristúpil úrad k uzatvoreniu a vyhodnoteniu ročného plánu kontrol, v súlade s ktorým vykonával kontrolnú činnosť podľa zákona č. 428/2002 Z. z. Na ostávajúce obdobie roku 2013 spracoval úrad Plán kontrol na 2. polrok 2013, ktorý zohľadňoval aktuálnu situáciu a potenciálne problémy pri aplikácii ustanovení zákona o ochrane osobných údajov. Zároveň zohľadnil prechodné ustanovenia, počas ktorých boli prevádzkovatelia povinní zosúladiť spracúvanie osobných údajov so zákonom o ochrane osobných údajov.

V roku 2014 vykonával úrad riadne kontroly na základe Plánu kontrol na rok 2014.

Prehľad o počte kontrol vykonávaných na základe ročného plánu kontrol

2013

Rok

1. polrok

2. polrok

2014

Počet kontrol

45

49

70

Novela zákona o ochrane osobných údajov v roku 2014 priniesla zásadné zmeny v oblastiach, na ktoré úrad kládol dôraz pri príprave plánu kontrol. Zmeny sa dotkli najmä prijatých bezpečnostných opatrení a ich rozsahu, poučenia oprávnenej osoby, povinnosti poveriť osobu zodpovednú za výkon dohľadu nad ochranou osobných údajov, registrácie informačných systémov, kopírovania a skenovania úradných dokladov pri uzatváraní pracovno-právneho alebo obdobného vzťahu a uplynutia prechodného obdobia na zosúladenie zmluvy medzi prevádzkovateľom a sprostredkovateľom.

Berúc do úvahy zmeny v zákone o ochrane osobných údajov, úrad pri výkone kontrol a vyhodnocovaní kontrolných zistení v primeranej miere prihliadal na novelizované ustanovenia zákona o ochrane osobných údajov.

33

Kontroly boli v hodnotenom období zamerané na spracúvanie osobných údajov prevádzkovateľmi v oblastiach, ktoré svojou činnosťou pokrývali verejnú správu, ako aj súkromný sektor. Kontroly boli zamerané najmä na prevádzkovateľov, ktorí vytvárajú informačné systémy obsahujúce osobné údaje o značnom množstve dotknutých osôb alebo na prevádzkovateľov, ktorí spracúvajú osobné údaje o dotknutých osobách vo veľkom rozsahu, vrátane osobitnej kategórie osobných údajov.

Pri výbere cieľových oblastí úrad čerpal zo svojich skúseností z predchádzajúceho obdobia a poznatkov z dozornej činnosti. Opakovane sa zameral na kontroly internetových obchodov a na kontroly poskytovateľov finančných služieb. Pri ich výbere úrad kládol dôraz na pokrytie čo najširšej skupiny prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutých osôb v súvislosti s ich podnikateľskou činnosťou. Každá z vybraných oblastí bola špecifická z hľadiska počtu dotknutých osôb, o ktorých prevádzkovateľ spracúva osobné údaje a/alebo z hľadiska rozsahu spracúvaných osobných údajov, so zreteľom na vytvorenie podmienok spracúvania osobných údajov, zabezpečujúcich práva dotknutých osôb.

7.1.1 Organizovaný cestovný ruch

Úrad sa zameral na spracúvanie osobných údajov v informačných systémoch prevádzkovateľov, vykonávajúcich svoju činnosť v oblasti organizovaného cestovného ruchu. V hodnotenom období vykonal spolu 8 kontrol spracúvania osobných údajov.

Cestovné kancelárie pri výkone svojej činnosti vytvárajú informačné systémy, ktoré obsahujú osobné údaje dotknutých osôb vrátane osobitnej kategórie osobných údajov. Cestovné kancelárie, ktoré organizujú zájazdy mimo územia Slovenskej republiky, spracúvajú osobné údaje o dotknutých osobách aj na kópiách úradných dokladov, vyhotovovaných za účelom zabezpečenia služieb súvisiacich s organizovaním zájazdu a zabezpečujú klientom služby súvisiace s vízovou povinnosťou pri vstupe do cieľovej krajiny.

Zo zisťovania Štatistického úradu Slovenskej republiky vyplynulo, že v roku 2013 v rámci organizovaného cestovného ruchu vycestovalo mimo územie Slovenskej republiky spolu 561 148 občanov Slovenskej republiky. Z toho približne 172 000 občanov vycestovalo do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov. Uvedené nasvedčuje spracúvaniu osobných údajov v informačných systémoch cestovných kancelárií v rozsahu hodnom osobitného zreteľa.

Cestovné kancelárie boli predmetom dozornej činnosti úradu aj v roku 2012. Dozorná činnosť bola zameraná na zisťovanie administratívnych postupov podľa zákona č. 428/2002 Z. z., pri uzatváraní zmlúv o obstaraní zájazdu. Vo všetkých 5 prípadoch úrad identifikoval porušenie ustanovení uvedeného zákona, najmä pri spracúvaní osobných údajov na iný než vymedzený účel. Vychádzajúc z uvedeného, úrad zaradil do plánu kontrol oblasť organizovaného cestovného ruchu, s akcentom na dôraznejšie presadzovanie ochrany osobných údajov pri ich prenosoch mimo územia Európskej únie.

V hodnotenom období rokov 2013 a 2014 prevádzkovatelia najčastejšie porušovali ustanovenia zákona o ochrane osobných údajov pri plnení informačnej povinnosti podľa § 15 ods. 1 zákona o ochrane osobných údajov. Pri získavaní osobných údajov neposkytovali dotknutým osobám informácie najmä o sprostredkovateľovi, účeloch spracúvania osobných údajov a o zozname osobných údajoch nevyhnutných na dosiahnutie stanoveného účelu.

34

Vo všetkých prípadoch si prevádzkovatelia neplnili povinnosť poučiť oprávnené osoby (sprievodcov) o ich právach a povinnostiach pri spracúvaní osobných údajov. Sprievodcovia zabezpečovali služby v oblasti cestovného ruchu pre prevádzkovateľa priamo v cieľovej destinácii, pričom spracúvali osobné údaje o klientoch cestovnej kancelárie.

Úrad kontrolami identifikoval systematické porušovanie povinnosti prevádzkovateľov pri uzatváraní písomnej zmluvy so sprostredkovateľom podľa § 8 ods. 3 a 4 zákona o ochrane osobných údajov. Cestovné kancelárie pri akvizícii svojich klientov spolupracujú s desiatkami províznych predajcov, tzv. cestovnými agentúrami. Vo väčšine prípadoch prevádzkovatelia disponovali štandardnou obchodnou zmluvou, ktorá neupravovala podmienky a účel spracúvania osobných údajov. V prípadoch, kedy prevádzkovatelia uzavreli zmluvu, na základe ktorej poverili sprostredkovateľa spracúvaním osobných údajov dotknutých osôb, zmluva neobsahovala všetky povinné náležitosti podľa § 8 ods. 4 zákona o ochrane osobných údajov. Zmluvné dojednania boli spravidla formálne, podmienky spracúvania osobných údajov upravovali minimálne alebo vôbec.

Prevádzkovatelia často postupovali v rozpore s § 17 ods. 1 zákona o ochrane osobných údajov, keď vo svojich podmienkach nezabezpečili bezodkladnú likvidáciu tých osobných údajov dotknutých osôb, ktorých účel spracúvania skončil. V jednom prípade úrad identifikoval spracúvanie osobných údajov o všetkých klientoch prevádzkovateľa systematicky od jeho vzniku, viac ako 20 rokov. Prevádzkovatelia pri svojej činnosti veľmi často využívajú fotografie vyhotovené v priebehu zájazdu sprievodcom, ktoré následne zverejňujú na svojom webovom sídle alebo na sociálnej sieti. Súčasťou záberov na fotografiách sú mnohokrát klienti prevádzkovateľa. Vo väčšine prípadov úrad konštatoval, že prevádzkovatelia nedisponovali súhlasom dotknutej osoby so zverejnením jej fotografie.

Kontrolami úrad identifikoval, že všetci prevádzkovatelia si plnili povinnosť prijať primerané bezpečnostné opatrenia zodpovedajúce spracúvaniu osobných údajov dotknutých osôb. Kontrolami bolo zároveň zistené, že prevádzkovatelia postupovali v súlade so zákonom o ochrane osobných údajov pri cezhraničnom prenose osobných údajov klientov a zamestnancov do tretích krajín nezaručujúcich primeranú úroveň ochrany. Prevádzkovatelia vo všetkých prípadoch vykonávali prenos osobných údajov v rozsahu nevyhnutnom na zabezpečenie služieb v cieľovej destinácii.

7.1.2 Poskytovatelia služieb informačnej spoločnosti, internetové obchody

Úrad sa zameral na preverenie bezpečnosti a zákonnosti spracúvania osobných údajov poskytovateľmi služieb informačnej spoločnosti (ďalej len „internetový obchod“) podľa zákona č. 22/2004 Z. z. o elektronickom obchode a o zmene a doplnení zákona č. 128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení zákona č. 284/2002 Z. z. V hodnotenom období úrad vykonal spolu 18 kontrol spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľov, z toho 8 kontrol v 2. polroku 2013 a 10 kontrol v roku 2014.

V súvislosti s narastajúcim počtom internetových obchodov, narastá aj počet dotknutých osôb, o ktorých sú osobné údaje v informačných systémoch spracúvané. Prevádzkovatelia, ktorí predávajú tovar a poskytujú služby prostredníctvom internetových obchodov, spracúvajú osobné údaje dotknutých osôb nevyhnutné na plnenie zmluvy, v ktorej

35

dotknutá osoba vystupuje ako jedna zo zmluvných strán. Osobné údaje získavajú prevádzkovatelia prostredníctvom webových stránok, elektronickej pošty a telefonicky. Zároveň prevádzkovatelia spracúvajú osobné údaje dotknutých osôb na účely propagácie svojej činnosti (marketing) a poskytovania rôznych zliav a benefitov (tzv. vernostné programy). Stále častejšie orientujú svoje marketingové aktivity na sociálne siete a hodnotiace portály (tzv. porovnávače cien). Pri získavaní osobných údajov je preto potrebné klásť zvýšený dôraz na plnenie informačnej povinnosti, ktorú si prevádzkovatelia obvykle plnia formou všeobecných obchodných podmienok a na získavanie súhlasu dotknutých osôb osobitne na rôzne účely.

V súvislosti s nadobudnutím účinnosti nového zákona o ochrane osobných údajov boli u prevádzkovateľov v roku 2013 identifikované najmä porušenia povinnosti prihlásiť informačný systém na registráciu a viesť evidenciu o informačných systémoch, ktoré nepodliehajú registrácii alebo osobitnej registrácii.

Prevádzkovatelia najčastejšie porušovali ustanovenia zákona o ochrane osobných údajov pri plnení informačnej povinnosti podľa § 15 ods. 1 zákona o ochrane osobných údajov. Pri získavaní osobných údajov neposkytovali dotknutým osobám informácie najmä o sprostredkovateľovi, rôznych účeloch spracúvania osobných údajov a o zozname osobných údajov nevyhnutných na dosiahnutie stanoveného účelu. Prevádzkovatelia v hodnotenom období porušovali povinnosti pri uzatvorení písomnej zmluvy so sprostredkovateľom podľa § 8 ods. 3 a 4 zákona o ochrane osobných údajov.

Úrad v roku 2014 kontrolami identifikoval dodržiavanie povinnosti prevádzkovateľov získavať osobné údaje dotknutých osôb na rôzne účely samostatne v súlade so zákonom o ochrane osobných údajov. Porušovanie tejto povinnosti bolo u prevádzkovateľov v značnej miere identifikované v roku 2013, keď získavali osobné údaje dotknutých osôb na účel kúpy a predaja tovaru (zmluvný vzťah) a následne tieto osobné údaje využívali na účel marketingu alebo vernostného programu, pričom nedisponovali súhlasom dotknutej osoby.

7.1.3 Obchodné reťazce poskytujúce zákazníkom vernostné programy

Úrad sa zameral na preverenie zákonného využívania osobných údajov na účely poskytovania tzv. vernostných programov, ktoré v súčasnosti tvoria významnú a pomerne bežnú obchodnú praktiku, najmä pri maloobchodnom predaji tovarov a služieb. V roku 2014 úrad vykonal spolu 20 kontrol spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľov.

Vernostné programy poskytujú svojim klientom prevádzkovatelia z rôznych oblastí. Frekventovanými sú prevádzkovatelia internetových obchodov, obchodných reťazcov, čerpacích staníc a cestovných kancelárií. Na druhej strane sú prevádzkovatelia zameriavajúci sa na realizáciu vernostných programov pre svojich klientov (právnické osoby) formou dodania rôznych vernostných kariet a zároveň poskytujúci dotknutým osobám personalizované vernostné karty vo svojom mene. Prevádzkovatelia získavajú osobné údaje prostredníctvom webových stránok, elektronickej pošty, telefonicky alebo vyplnením písomnej žiadosti. Zároveň prevádzkovatelia spracúvajú osobné údaje na účely propagácie svojej činnosti. Vernostné programy sú často spájané s marketingom, cieleným na určitú špecifickú skupinu osôb podľa pohlavia a veku. Hodné osobitného zreteľa je spájanie vernostných programov s organizovaním spotrebiteľských súťaží, pričom často dochádza

36

k súčasnému získavaniu súhlasu dotknutých osôb aj na zverejňovanie osobných údajov bez možnosti zverejnenie odmietnuť. Pri získavaní osobných údajov je potrebné klásť zvýšený dôraz na plnenie informačnej povinnosti, ktorú si prevádzkovatelia obvykle plnia formou všeobecných obchodných podmienok a na získavanie súhlasu dotknutých osôb osobitne na rôzne účely.

Prevádzkovatelia najčastejšie porušovali ustanovenia zákona o ochrane osobných údajov pri plnení informačnej povinnosti podľa § 15 ods. 1 zákona o ochrane osobných údajov a spracúvali osobné údaje dotknutých osôb v rozsahu, ktorý nezodpovedal účelu a nebol nevyhnutný na jeho dosiahnutie (zásada proporcionality) podľa § 6 ods. 2 písm. d) zákona o ochrane osobných údajov. Prevádzkovatelia pri získavaní osobných údajov neposkytli dotknutým osobám informácie najmä o rôznych účeloch spracúvania osobných údajov a o osobných údajoch nevyhnutných na dosiahnutie stanoveného účelu. Dotknuté osoby často nemali možnosť vyjadriť súhlas so spracúvaním svojich osobných údajov na rôzne účely osobitne. Súhlasom so všeobecnými obchodnými podmienkami súhlasili zároveň so spracúvaním osobných údajov napríklad na účely marketingu nesúvisiaceho priamo s vernostným programom, na účely organizovania spotrebiteľských súťaží bez ich bližšej špecifikácie, na zverejňovanie osobných údajov, ako aj na poskytovanie osobných údajov tretím stranám, bez uvedenia účelu ich spracúvania a uvedenia informácii o tretej strane. Dotknuté osoby nemali možnosť takéto spracúvanie osobných údajov odmietnuť, čím dochádzalo k podmieňovaniu poskytnutia benefitu z vernostného programu, získaním súhlasu na spracúvanie osobných údajov na iný než vymedzený účel.

7.1.4 Sprostredkovatelia zamestnania

Úrad sa zameral na zákonnosť spracúvania osobných údajov uchádzačov o zamestnanie prevádzkovateľmi, ktorí sú oprávnení na sprostredkovanie zamestnania za úhradu podľa zákona č. 5/2004 Z. z. o službách zamestnanosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o zamestnanosti“) v nadväznosti na zákon o ochrane osobných údajov. Zoznam oprávnených prevádzkovateľov zverejňuje na svojom webovom sídle Ústredie práce, sociálnych vecí a rodiny Slovenskej republiky (ďalej len „ústredie“). V roku 2014 úrad vykonal spolu 6 kontrol spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľov.

Sprostredkovanie zamestnania za úhradu je stále frekventovanejším spôsobom výberu vhodných zamestnancov, ktorý je využívaný zamestnávateľmi v čoraz vyššej miere. Uchádzači o zamestnanie tak prichádzajú primárne do kontaktu so sprostredkovateľom zamestnania, ktorému poskytujú osobné údaje prostredníctvom životopisu a v prípade úspešného absolvovania výberu aj osobné údaje potrebné pre uzatvorenie pracovno-právneho vzťahu. Prevádzkovatelia spracúvajú osobné údaje dotknutých osôb nevyhnutných na plnenie zmluvy, v ktorej vystupuje dotknutá osoba, ako jedna zo zmluvných strán alebo na plnenie predzmluvných vzťahov s dotknutou osobou za účelom uzatvorenia pracovno-právneho vzťahu. Zároveň spracúvajú osobné údaje o uchádzačoch o zamestnanie, ktorým sprostredkovali zamestnanie za úhradu na základe osobitného zákona (zákon o zamestnanosti) pri plnení povinnosti poskytovať ich zoznam ústrediu. Prevádzkovatelia spracúvajú aj osobné údaje o uchádzačoch na základe ich súhlasu za účelom ich zaradenia do databázy bez priamej reakcie na konkrétnu ponuku.

37

Prevádzkovatelia, ktorí sú oprávnení na sprostredkovanie zamestnania za úhradu spracúvajú osobné údaje dotknutých osôb, vrátane osobitnej kategórie osobných údajov, na základe kumulácie troch právnych základov, pričom musia obzvlášť dbať na plnenie informačnej povinnosti voči dotknutým osobám.

Proces vyhodnocovania podkladov a spracúvania výsledkov kontroly bol ovplyvnený komplikovanou aplikáciou relevantných ustanovení zákona o zamestnanosti v nadväznosti na ustanovenia zákona o ochrane osobných údajov.

Kontrolami bolo identifikované u všetkých prevádzkovateľov dodržiavanie povinnosti prijať primerané bezpečnostné opatrenia, zodpovedajúce podmienkam spracúvania osobných údajov. Všetci prevádzkovatelia kládli dôraz na dodržiavanie základných povinností formulovaných v § 6 ods. 2 zákona o ochrane osobných údajov. Polovica kontrolovaných prevádzkovateľov spracúvala osobné údaje dotknutých osôb v súlade so zákonom o ochrane osobných údajov a kontroly boli ukončené záznamom o kontrole.

Prevádzkovatelia si najčastejšie neplnili povinnosť viesť evidenciu o informačnom systéme podľa § 43 ods. 1 zákona o ochrane osobných údajov. Rozdielne postupy prevádzkovateľov boli často identifikované pri aplikácii § 17 ods. 1 v spojení s § 6 ods. 2 písm. h) zákona o ochrane osobných údajov, podľa ktorých je prevádzkovateľ povinný bez zbytočného odkladu zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil. Prevádzkovatelia spracúvali osobné údaje o uchádzačoch na základe ich súhlasu, za účelom ich zaradenia do databázy bez priamej reakcie na konkrétnu ponuku. Po zaradení uchádzačov do databázy spracúvali prevádzkovatelia osobné údaje aj po skončení platnosti súhlasu alebo získavali súhlas a spracúvali osobné údaje uchádzačov po dobu, ktorá nezodpovedala reálnej požiadavke umiestnenia uchádzača na trhu práce. Prevádzkovatelia ďalej nevyvíjali žiadne aktivity smerujúce k umiestneniu uchádzača na trhu práce.

7.1.5 Požičovne osobných motorových vozidiel

Úrad sa zameral na zákonné spracúvanie osobných údajov dotknutých osôb prevádzkovateľmi požičovní osobných automobilov. V roku 2014 úrad vykonal spolu 5 kontrol spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľov.

Rozvoj cestovného ruchu v Slovenskej republike je spojený aj s nárastom služieb, poskytovaných v oblasti prenajímania motorových vozidiel fyzickým osobám. Zároveň prenájom motorových vozidiel využívajú aj právnické osoby, pričom do informačného systému poskytujú osobné údaje svojich zamestnancov. Požičovne osobných automobilov spravidla využívajú centrálny rezervačný systém, spájajúci jednotlivé pobočky v Slovenskej republike alebo pobočky v rámci materskej spoločnosti. Pobočky sídlia v rôznych krajinách sveta, vrátane tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov. Väčšinový podiel na slovenskom trhu majú nadnárodné spoločnosti, poskytujúce svoje služby v rámci celej Európskej únie a vo veľkej časti tretích krajín. Firemná politika, vrátane ochrany osobných údajov, je riešená v podmienkach domovskej krajiny, ktorá často sídli v tretej krajine, ktorá nezaručuje primeranú úroveň ochrany osobných údajov. Prevádzkovatelia spracúvajú osobné údaje dotknutých osôb nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba, ako jedna zo zmluvných strán alebo na plnenie predzmluvných vzťahov s dotknutou osobou pri uzatváraní zmlúv o prenájme motorového vozidla. Zároveň spracúvajú

38

osobné údaje o vodičoch, ktorí nevystupujú ako jedna zo zmluvných strán na základe ich súhlasu.

Prevádzkovatelia spracúvajú značný rozsah osobných údajov, vrátane osobitnej kategórie osobných údajov. Súčasťou zmluvného vzťahu sú kópie úradných dokladov, ktoré sú prevádzkovatelia oprávnení spracúvať výlučne na základe písomne udeleného súhlasu dotknutej osoby. Časť osobných údajov získavajú prevádzkovatelia prostredníctvom centrálneho rezervačného systému, webovej stránky alebo priamo pri uzatváraní zmluvného vzťahu.

Pri získavaní osobných údajov je potrebné klásť zvýšený dôraz na plnenie informačnej povinnosti, ktorú si prevádzkovatelia obvykle plnia formou všeobecných obchodných podmienok alebo informáciou na webových stránkach a na získavanie písomného súhlasu dotknutých osôb so spracúvaním kópií úradných dokladov. Spracúvanie osobitnej kategórie osobných údajov (napríklad rodné číslo, fotografia, informácia o národnosti) kladie zvýšené nároky na prevádzkovateľov pri vytváraní podmienok spracúvania osobných údajov tak, aby neobmedzili právo dotknutej osoby.

Prevádzkovatelia najčastejšie porušovali ustanovenia zákona o ochrane osobných údajov pri plnení informačnej povinnosti podľa § 15 ods. 1 zákona o ochrane osobných údajov. Prevádzkovatelia nedostatočne alebo vôbec neposkytovali dotknutým osobám informácie podľa zákona o ochrane osobných údajov. Prevádzkovatelia často spracúvali osobné údaje dotknutých osôb na kópiách úradných dokladov v rozpore s § 15 ods. 6 zákona o ochrane osobných údajov. Prevádzkovatelia vyhotovovali kópie úradných dokladov bez súhlasu dotknutých osôb, kópie úradných dokladov vyhotovovali ako súčasť zmluvného vzťahu. Všetci prevádzkovatelia spracúvali osobné údaje dotknutých osôb v rozsahu nevyhnutnom na dosiahnutie účelu a mali prijaté primerané bezpečnostné opatrenia zodpovedajúce podmienkam spracúvania osobných údajov.

7.1.6 Alternatívni dodávatelia plynu a elektriny

Úrad sa zameral na spracúvanie osobných údajov prevádzkovateľmi poskytujúcimi služby podľa zákona č. 276/2001 Z. z. o regulácii v sieťových odvetviach a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a podľa zákona č. 656/2004 Z. z. o energetike a o zmene niektorých zákonov. V roku 2014 úrad vykonal spolu 10 kontrol spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľov.

Prevádzkovatelia, ktorí zabezpečujú služby dodávky plynu a elektriny na základe zmluvy o združenej dodávke, spracúvajú osobné údaje o klientoch podľa osobitného zákona. Povinnosťou prevádzkovateľov je zároveň viesť evidenciu o zraniteľných odberateľoch, ktorú sú povinní poskytnúť Úradu pre reguláciu sieťových odvetví. Na slovenskom trhu pôsobí v súčasnosti cca 20 dodávateľov plynu pre domácnosti a cca 49 dodávateľov elektrickej energie pre domácnosti. Títo prevádzkovatelia vykonávajú svoju činnosť na základe rozhodnutia Úradu pre reguláciu sieťových odvetví.

Prevádzkovatelia spracúvajú osobné údaje v databázach klientov, ktoré sú vytvárané na základe osobitného zákona. Berúc do úvahy počet dotknutých osôb, o ktorých sa osobné údaje v podmienkach prevádzkovateľov spracúvajú, v spojení s informáciami o zraniteľných odberateľoch, je potrebné venovať zvýšenú pozornosť spracúvaniu osobných údajov

39

dotknutých osôb v nadväznosti na plnenie zmluvných vzťahov. Osobitný dôraz si vyžaduje spracúvanie rodného čísla, ktoré na tento účel prevádzkovatelia nie sú oprávnení spracúvať.

Prevádzkovatelia najčastejšie porušovali ustanovenia zákona o ochrane osobných údajov pri plnení informačnej povinnosti podľa § 15 ods. 1 zákona o ochrane osobných údajov a spracúvanie osobných údajov dotknutých osôb v rozsahu, ktorý nezodpovedal účelu a nebol nevyhnutný na jeho dosiahnutie (zásada proporcionality) podľa § 6 ods. 2 písm. d) zákona o ochrane osobných údajov v spojení s nedodržaním povinnosti prevádzkovateľa určiť podmienky spracúvania osobných údajov tak, aby neboli obmedzené práva dotknutej osoby podľa uvedeného zákona. Prevádzkovatelia spracúvali rodné čísla dotknutých osôb v rozpore s osobitným zákonom, ktorý upravuje účel spracúvania osobných údajov, okruh dotknutých osôb aj zoznam osobných údajov. Prevádzkovatelia si v prevažnej miere neplnili povinnosť viesť evidenciu o informačnom systéme podľa § 43 ods. 1 zákona o ochrane osobných údajov a v jednom prípade si prevádzkovateľ nesplnil povinnosť prijať bezpečnostné opatrenia vo forme bezpečnostného projektu podľa § 19 ods. 2 zákona o ochrane osobných údajov.

7.1.7 Finančné služby

Úrad sa v hodnotenom období zameral na prevádzkovateľov pôsobiacich v sektore finančných služieb medzi poskytovateľmi služieb v oblasti finančného poradenstva a sprostredkovania podľa zákona č. 186/2009 Z. z. o finančnom sprostredkovaní a finančnom poradenstve a o zmene a doplnení niektorých zákonov, lízingovými spoločnosťami a nebankovými subjektmi poskytujúcimi spotrebiteľské úvery podľa zákona č. 129/2010 Z. z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov. V hodnotenom období úrad vykonal spolu 31 kontrol spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľov.

Prevádzkovatelia spracúvajú osobné údaje dotknutých osôb nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán alebo na plnenie predzmluvných vzťahov s dotknutou osobou za účelom uzatvorenia zmluvy o poskytnutí spotrebného úveru alebo lízingovej zmluvy. Zároveň spracúvajú osobné údaje na účely preverenia bonity klienta v bankových a nebankových registroch na základe súhlasu dotknutej osoby.

Vo svojich informačných systémoch spracúvajú značný rozsah osobných údajov, vrátane osobitnej kategórie osobných údajov, ktoré využívajú primárne na preverenie bonity klienta pred samotným uzatvorením zmluvného vzťahu. Na účel preverenia bonity spracúvajú prevádzkovatelia osobné údaje, ktoré vytvárajú o klientoch kompletný sociálno-ekonomický status. Informačné systémy obsahujú osobné údaje o veľkom počte dotknutých osôb v spojení so značným rozsahom spracúvaných osobných údajov, vrátane kópií úradných dokladov. Práve bonita klienta a jeho platobná disciplína sú informácie v centre záujmu prevádzkovateľov. S tým priamo súvisí vytváranie tzv. black listov, ktoré prevádzkovateľom slúžia na rýchlu orientáciu bez nutnosti využívať oficiálne bankové a nebankové registre.

Prevádzkovatelia najčastejšie porušovali ustanovenia zákona o ochrane osobných údajov pri plnení informačnej povinnosti podľa § 15 ods. 1 zákona o ochrane osobných údajov a pri spracúvaní osobných údajov podľa § 11 ods. 3 zákona o ochrane osobných údajov tým, že podmieňovali uzatvorenie zmluvného vzťahu získaním súhlasu dotknutej

40

osoby so spracúvaním jej osobných údajov na účely nesúvisiace s pôvodným účelom (uzatvorenie zmluvného vzťahu – finančný lízing) a v nadväznosti na spracúvanie osobných údajov v rozpore s § 6 ods. 2 písm. c) zákona o ochrane osobných údajov tým, že získavali osobné údaje pod zámienkou iného účelu spracúvania.

Prevádzkovatelia pri získavaní osobných údajov neposkytli dotknutým osobám informácie najmä o sprostredkovateľoch, rôznych účeloch spracúvania osobných údajov a o zozname osobných údajoch nevyhnutných na dosiahnutie stanoveného účelu. Dotknuté osoby nemali možnosť vyjadriť súhlas so spracúvaním svojich osobných údajov na rôzne účely osobitne. Súhlasom so všeobecnými obchodnými podmienkami, ktoré tvorili neoddeliteľnú súčasť uzatvorenej zmluvy, súhlasili dotknuté osoby zároveň so spracúvaním osobných údajov na účely marketingu, ako aj na poskytovanie osobných údajov tretím stranám, bez uvedenia účelu ich spracúvania a uvedenia povinných informácií o tretej strane. Prevádzkovatelia inkorporáciou súhlasov do zmluvy určili také podmienky spracúvania osobných údajov, ktoré obmedzovali práva dotknutých osôb.

Prevádzkovatelia si v minimálnej miere neplnili povinnosť viesť evidenciu o informačnom systéme podľa § 43 ods. 1 zákona o ochrane osobných údajov, povinnosť prijať primerané technické a bezpečnostné opatrenia vo vzťahu k zisteným podmienkam spracúvania osobných údajov podľa § 19 ods. 1 zákona o ochrane osobných údajov a oznamovaciu povinnosť podľa § 34 ods. 1 zákona o ochrane osobných údajov.

7.1.8 Oblasť sociálnych služieb

Úrad v roku 2013 preveroval zákonnosť spracúvania osobných údajov poskytovateľmi sociálnych služieb podľa zákona č. 448/2008 Z. z. o sociálnych službách a o zmene a doplnení zákona č.

455/1991 Zb.

o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov. V hodnotenom období úrad vykonal spolu 13 kontrol spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľov.

Prevádzkovatelia, ktorí poskytujú sociálne služby spracúvajú osobné údaje o dotknutých osobách podľa osobitných zákonov. Vo svojich informačných systémoch spracúvajú značný rozsah osobných údajov, vrátane osobitných kategórií osobných údajov týkajúcich sa napríklad zdravotného stavu klienta. Okrem sociálnych služieb poskytujú aj zdravotnú starostlivosť. Informačné systémy obsahujú osobné údaje o veľkom počte dotknutých osôb v spojení so značným rozsahom spracúvaných osobných údajov, vrátane kópií úradných dokladov. Klienti sú v mnohých prípadoch zbavení svojprávnosti. V informačných systémoch sú tiež spracúvané osobné údaje o rodinných príslušníkoch a zákonných zástupcoch. Ide o informačné systémy, v ktorých sú spracúvané osobné údaje o značnom množstve dotknutých osôb v spojení so spracúvaním veľkého rozsahu osobných údajov, vrátane osobitných kategórií osobných údajov.

Kontrolami vykonanými v 1. polroku 2013 úrad identifikoval porušovanie povinnosti prevádzkovateľa poučiť oprávnené osoby o právach a povinnostiach a o zodpovednosti za ich porušenie a viesť evidenciu o informačných systémoch osobných údajov podľa zákona č. 428/2002 Z. z.

V 2. polroku 2013 úrad vykonanými kontrolami najčastejšie identifikoval spracúvanie osobných údajov dotknutých osôb v rozsahu, ktorý nezodpovedal účelu a nebol nevyhnutný

41

na jeho dosiahnutie (zásada proporcionality) podľa § 6 ods. 2 písm. d) zákona o ochrane osobných údajov v spojení s nedodržaním povinnosti prevádzkovateľa určiť podmienky spracúvania osobných údajov tak, aby neboli obmedzené práva dotknutej osoby podľa uvedeného zákona. Prevádzkovatelia spracúvali osobné údaje dotknutých osôb – rodinných príslušníkov klientov v rozpore s osobitným zákonom upravujúcim účel spracúvania osobných údajov, okruh dotknutých osôb, ako aj zoznam osobných údajov. Spracúvané osobné údaje o rodinných príslušníkoch v takom rozsahu neboli nevyhnutné na dosiahnutie účelu poskytnutia sociálnej služby.

Prevádzkovatelia si zväčša neplnili povinnosť viesť evidenciu o informačnom systéme podľa § 43 ods. 1 zákona o ochrane osobných údajov, povinnosť prijať primerané technické a bezpečnostné opatrenia vo vzťahu k zisteným podmienkam spracúvania osobných údajov podľa § 19 ods. 1 zákona o ochrane osobných údajov a oznamovaciu povinnosť podľa § 34 ods. 1 zákona o ochrane osobných údajov.

7.1.9 Monitorovanie priestorov prístupných verejnosti

Úrad v roku 2013 preveroval zákonnosť spracúvania osobných údajov dotknutých osôb pri monitorovaní priestorov prístupných verejnosti kamerovým informačným systémom. V hodnotenom období úrad vykonal spolu 22 kontrol spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľov.

Prevádzkovatelia sú oprávnení chrániť svoje práva a zároveň musia rešpektovať práva dotknutých osôb pohybujúcich sa v monitorovanom priestore. Na tento účel sú povinní zvážiť nevyhnutnosť monitorovania priestoru vo vzťahu k primeranému zásahu do práva na súkromie dotknutých osôb. Rastúci záujem o využívanie kamerových informačných systémov sa prejavil najmä v počte fyzických osôb, ktoré využívajú monitorovanie na ochranu svojho súkromného majetku.

Fyzické osoby monitorujúce priestory prístupné verejnosti disponovali v roku 2013 minimálnym povedomím o potrebe chrániť spracúvané osobné údaje v zmysle zákona č. 428/2002 Z. z. a následne nového zákona o ochrane osobných údajov. Prejavilo sa to najmä porušovaním povinnosti prijať primerané bezpečnostné opatrenia vo vzťahu k ochrane spracúvaných osobných údajov, poučiť oprávnené osoby o právach a povinnostiach a o zodpovednosti za ich porušenie a viesť evidenciu o informačných systémoch. Prevádzkovatelia zároveň porušovali povinnosť zreteľne označiť monitorovaný priestor.

Po nadobudnutí účinnosti nového zákona o ochrane osobných údajov úrad pokračoval v preverovaní zákonnosti spracúvania osobných údajov dotknutých osôb pri monitorovaní priestorov prístupných verejnosti.

Oproti 1. polroku 2013 sa zvýšilo povedomie prevádzkovateľov, ktorí preukázali snahu zabezpečiť súlad spracúvania osobných údajov so zákonom o ochrane osobných údajov tým, že disponovali potrebnou písomnou dokumentáciou, ktorá však vykazovala formálne nedostatky. Prevádzkovatelia disponovali poučeniami oprávnených osôb o právach a povinnostiach a o zodpovednosti za ich porušenie, ktoré neobsahovali náležitosti podľa § 21 zákona o ochrane osobných údajov a viedli evidenciu o informačných systémoch. Len v jednom prípade úrad identifikoval porušenie povinnosti prevádzkovateľa prijať

42

primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov dotknutých osôb.

7.1.10 Oblasť dopravy

Úrad v 1. polroku 2013 preveroval podľa zákona č. 428/2002 Z. z. spracúvanie osobných údajov dopravnými podnikmi s dôrazom na rozsah a právny základ spracúvaných osobných údajov pasažierov bez platného cestovného lístka a používanie čipovej karty.

Dopravné podniky spracúvajú osobné údaje cestujúcich na čipových kartách, ktoré sú vydávané ako predplatný cestovný lístok. Čipová karta obsahuje údaje o predplatnom cestovnom lístku a osobné údaje pasažiera. V mnohých prípadoch je takáto čipová karta vybavená fotografiou cestujúceho. Pri kontrole cestovných lístkov, vykonávanej oprávnenými osobami, dochádza k verifikácii čipovej karty, jej platnosti a oprávnenia držiteľa čipovú kartu využívať.

Vo vzťahu k predmetu kontroly úrad identifikoval súlad spracúvania osobných údajov dopravnými podnikmi pri poskytovaní predplatných cestovných lístkov v spojení s vykonávaním kontroly cestujúcich.

Úrad v jednom prípade identifikoval spracúvanie osobných údajov dotknutých osôb monitorovaním priestoru prístupného verejnosti v rozpore s § 10 ods. 7 zákona č. 428/2002 Z. z. Prevádzkovateľ si nesplnil povinnosť riadne označiť priestor prístupný verejnosti a zároveň spracúval osobné údaje dotknutých osôb v rozsahu, ktorý nebol nevyhnutný na dosiahnutie účelu podľa § 6 ods. 1 písm. d) zákona č. 428/2002 Z. z.

7.1.11 Spracúvanie biometrických údajov

Úrad v 1. polroku 2013 preveroval podľa zákona č. 428/2002 Z. z. dodržiavanie povinností prevádzkovateľov pri spracúvaní biometrických osobných údajov, s dôrazom na právny základ spracúvania osobných údajov, prijatie primeraných bezpečnostných opatrení zodpovedajúcich spôsobu spracúvania a povinnosti disponovať potvrdením o osobitnej registrácii informačného systému pred začatím spracúvania osobných údajov.

Spracúvanie biometrických osobných údajov kladie na prevádzkovateľov povinnosť vo zvýšenej miere dbať na ochranu osobných údajov tak, aby zabezpečili osobné údaje pred ich zneužitím alebo neoprávneným nakladaním. Prevádzkovateľ je povinný prijať primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov dotknutých osôb.

Podľa zákona č. 428/2002 Z. z. bolo možné spracúvať biometrické osobné údaje len za podmienok ustanovených osobitným zákonom, ak to prevádzkovateľovi vyplývalo výslovne zo zákona alebo na spracúvanie dala písomný súhlas dotknutá osoba. Prevádzkovatelia, u ktorých boli vykonané kontroly mohli spracúvať biometrické osobné údaje len na základe úradom vydaného potvrdenia o osobitnej registrácii, na účely evidencie alebo identifikácie vstupu do citlivých, osobitne chránených objektov, vyhradených priestorov alebo prístupu do technických zariadení alebo prístrojov s vysokou mierou rizika.

43

Vykonanými kontrolami úrad identifikoval spracúvanie biometrických osobných údajov v informačných systémoch prevádzkovateľa v rozpore s § 8 ods. 4 v spojení s § 9 ods. 3 zákona č. 428/2002 Z. z., keď prevádzkovatelia spracúvali biometrické osobné údaje dotknutých osôb, pričom úrad nepožiadali o osobitnú registráciu informačného systému podľa § 27 zákona č. 428/2002 Z. z. U dvoch prevádzkovateľov úrad identifikoval spracúvanie biometrických osobných údajov na základe úradom vydaného potvrdenia o osobitnej registrácii, pričom prevádzkovatelia spracúvali biometrické osobné údaje v rozpore s podmienkami a účelom spracúvania, na základe ktorých bolo potvrdenie o osobitnej registrácii vydané.

7.2 Mimoriadne kontroly spracúvania osobných údajov podľa zákona o ochrane osobných údajov

Úrad vykonával mimoriadne kontroly spracúvania osobných údajov v rámci konania o ochrane osobných údajov alebo na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov podľa nového zákona o ochrane osobných údajov.

V hodnotenom období od 1. júla 2013 do 31. decembra 2014 úrad vykonal spolu 118 mimoriadnych kontrol spracúvania osobných údajov v informačných systémoch prevádzkovateľov. V rámci konania o ochrane osobných údajov úrad vykonal 82 kontrol a na základe podozrenia z porušenia povinností prevádzkovateľa pri spracúvaní osobných údajov úrad vykonal 36 kontrol spracúvania osobných údajov. Kontrolné zistenia boli podkladom pre vypracovanie 52 záznamov o kontrole a 58 protokolov o kontrole.

Podkladom pre vykonanie mimoriadnych kontrol, na základe podozrenia z porušenia povinností, boli v uvedenom hodnotenom období poznatky úradu z dozornej činnosti, medializované prípady a podnety osôb, ktoré neboli návrhom na začatie konania alebo podnetom na začatie konania bez návrhu.

Prehľad o počte mimoriadnych kontrol podľa nového zákona o ochrane osobných údajov

Rok

Mimoriadne kontroly v rámci konania

Mimoriadne kontroly na základe podozrenia

Mimoriadne kontroly ukončené záznamom

Mimoriadne kontroly ukončené protokolom

2. polrok 2013

33

15

20

28

2014

50

20

33

35

7.3 Zistenia z kontroly spracúvania osobných údajov

Úrad v hodnotenom období vykonal kontroly podľa zákona o ochrane osobných údajov, ktoré boli ovplyvnené prechodnými ustanoveniami, ako aj novelou zákona o ochrane osobných údajov, ktorá priniesla zmeny v rámci povinností prevádzkovateľov pri spracúvaní osobných údajov. Najmä v 2. polroku 2013 bolo vyhodnocovanie kontrolných zistení výrazne ovplyvnené plnením povinností prevádzkovateľa súčasne podľa zákona č. 428/2002 Z. z.

44

a zákona o ochrane osobných údajov. Berúc do úvahy zmeny v zákone o ochrane osobných údajov, úrad pri výkone kontrol a vyhodnocovaní kontrolných zistení v primeranej miere prihliadal na novelizované ustanovenia zákona o ochrane osobných údajov.

Kontrolné zistenia, pri výkone riadnych kontrol vo všetkých oblastiach súkromného sektora, smerovali prevažne k porušovaniu povinností prevádzkovateľom pri plnení informačnej povinnosti voči dotknutým osobám v spojení so spracúvaním osobných údajov dotknutých osôb na iný, než pôvodný účel. Posudzovanie zákonného spracúvania osobných údajov dotknutých osôb sa ako najnáročnejšie ukázalo v oblasti finančných služieb. Nová právna úprava zákona o spotrebiteľských úveroch v spojení so zákonom č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane pred legalizáciou príjmov z trestnej činnosti“) vytvorila priestor pre špekulatívnu aplikáciu niektorých ustanovení uvedených zákonov. Problematickou sa javila najmä aplikácia ustanovení zákona o ochrane pred legalizáciou príjmov z trestnej činnosti, upravujúca spracúvanie osobných údajov dotknutých osôb bez ich súhlasu, vo vzťahu k povinnosti prevádzkovateľov postupovať voči každému klientovi s odbornou starostlivosťou, najmä pri poskytovaní osobných údajov, za účelom preverenia bonity klienta na základe jeho súhlasu. V záujme zvýšenia právnej istoty pri aplikácii ustanovení uvedených zákonov v spojení so zákonom o ochrane osobných údajov požiadal úrad o spoluprácu Národnú banku Slovenska. Zhodnotenie kontrol po jednotlivých oblastiach vykonaných na základe ročného plánu je uvedené v časti 7.1 správy.

Mimoriadne kontroly spracúvania osobných údajov smerovali do všetkých oblastí verejného aj súkromného sektora. Najviac kontrol smerovalo voči prevádzkovateľom spracúvajúcim osobné údaje dotknutých osôb monitorovaním priestoru prístupného verejnosti. Tieto kontroly tvorili až 43% všetkých mimoriadnych kontrol vykonaných v hodnotenom období. Približne rovnakým pomerom smerovali podozrenia z porušovania ustanovení zákona voči fyzickým osobám, ako aj právnickým osobám. Úrad vykonanými kontrolami zistil, že viac ako polovica prevádzkovateľov spracúvala osobné údaje dotknutých osôb monitorovaním priestoru prístupného verejnosti v súlade so zákonom o ochrane osobných údajov. Porušenia ustanovení zákona boli identifikované prevažne u fyzických osôb, ktoré najčastejšie porušovali povinnosť prijať primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov a monitorovali verejný priestor v rozsahu, ktorý nebol nevyhnutný na dosiahnutie účelu.

Frekventovanou oblasťou, voči ktorej smerovali podozrenia z porušovania ustanovení zákona o ochrane osobných údajov, bola územná samospráva. Subjekty územnej samosprávy sú na základe zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov (ďalej len „zákon o slobode informácií“) povinné zverejňovať zmluvy. V súvislosti s touto povinnosťou úrad preveroval zverejňovanie osobných údajov, vrátane osobitnej kategórie osobných údajov – rodného čísla. K zverejneniu osobných údajov v rozpore so zákonom o ochrane osobných údajov došlo vo všetkých prípadoch nedostatočným prijatím primeraných bezpečnostných opatrení v súvislosti s postupom prevádzkovateľov pri anonymizácii osobných údajov na povinne zverejňovaných zmluvách.

V hodnotenom období smerovali mimoriadne kontroly aj voči subjektom v oblasti zdravotníctva na základe podozrenia z nedodržiavania bezpečnostných opatrení pri spracúvaní osobných údajov pacientov. Prevádzkovatelia spracúvali osobné údaje dotknutých osôb

45

(pacientov) spôsobom, ktorý nezaručoval primeranú bezpečnosť spracúvaných osobných údajov. Poskytovatelia zdravotnej starostlivosti využívali na uskladnenie časti zdravotnej dokumentácie priestory nevyhovujúce bezpečnostným štandardom. Umožnili tak prístup osôb, ktoré neboli oprávnené na oboznamovanie sa s osobnými údajmi pacientov k ich citlivým údajom, vrátane informácií o zdravotnom stave.

Ťažisko kontrolných zistení sa oproti roku 2013 presunulo do oblasti dodržiavania základných povinností prevádzkovateľa formulovaných v § 6 zákona o ochrane osobných údajov s dôrazom na určenie podmienok spracúvania osobných údajov tak, aby neboli obmedzené práva dotknutých osôb. Vnímanie ochrany osobných údajov prevádzkovateľmi ako formálne dodržiavanie zákona o ochrane osobných údajov sa tak prejavilo najmä pri poskytovaní informácií dotknutým osobám v rozsahu, ktorý neumožňoval dotknutým osobám v dostatočnej miere prístup k všetkým informáciám. Následkom bolo spracúvanie osobných údajov dotknutých osôb prevádzkovateľmi v rozsahu, ktorý nebol nevyhnutný na splnenie účelu spracúvania a podmieňovanie uzatvorenia zmluvného vzťahu získaním súhlasu dotknutých osôb na iný, než pôvodný účel. Kontrolné zistenia najčastejšie smerovali voči prevádzkovateľom monitorujúcim priestory prístupné verejnosti, prevádzkovateľom poskytujúcim finančné služby, vernostné programy, poskytovateľom služieb informačnej spoločnosti (internetovým obchodom) a orgánom územnej samosprávy.

Na základe porušení identifikovaných v hodnotenom období môže úrad konštatovať rastúce úsilie prevádzkovateľov zabezpečiť dodržiavanie ustanovení zákona o ochrane osobných údajov. Oproti roku 2013 prevádzkovatelia vo všetkých oblastiach dbali predovšetkým o formálne zabezpečenie ochrany osobných údajov, najmä dokumentovaním prijatých bezpečnostných opatrení, v minimálnej miere porušovali ustanovenia zákona o ochrane osobných údajov pri poučení oprávnených osôb a plnili si povinnosť registrácie informačných systémov a následne aj povinnosť oznámiť úradu informačné systémy osobných údajov.

Vychádzajúc z identifikovaných porušení zákona o ochrane osobných údajov je potrebné naďalej venovať zvýšenú pozornosť prevádzkovateľom, ktorí pri svojej činnosti spracúvajú osobné údaje dotknutých osôb na rôzne účely spôsobom, ktorý môže obmedziť ich práva v súvislosti s udeľovaním súhlasu dotknutých osôb na spracúvanie osobných údajov. Zároveň, oblasť poskytovania finančných služieb, je s ohľadom na opakujúce sa porušenia najmä pri získavaní osobných údajov spoločne na rôzne účely v spojení s povinnosťou určiť podmienky spracúvania osobných údajov tak, aby neboli obmedzené práva dotknutej osoby, oblasťou hodnou osobitného zreteľa.

Rastúce úsilie prevádzkovateľov zabezpečiť dodržiavanie ustanovení zákona o ochrane osobných údajov potvrdzuje, že kontroly spracúvania osobných údajov sú účinným a efektívnym praktickým nástrojom usmerňovania prevádzkovateľov a sprostredkovateľov o ich povinnostiach vyplývajúcich zo zákona o ochrane osobných údajov.

8 Konanie o ochrane osobných údajov

Konanie o ochrane osobných údajov je upravené v tretej hlave tretej časti zákona o ochrane osobných údajov. Od 1. júla 2013 nový zákon o ochrane osobných údajov nanovo upravil spôsob a podmienky konania o ochrane osobných údajov, ktorého účelom je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb

46

pri spracúvaní ich osobných údajov a v prípade zistenia nedostatkov, uložiť opatrenia na nápravu.

Do 30. júna 2013 bolo konanie začlenené do prešetrovania oznámení a podnetov podľa zákona č. 428/2002 Z. z., súčasťou ktorého bola aj kontrolná činnosť úradu. Novým zákonom o ochrane osobných údajov sa kontrola spracúvania osobných údajov odčlenila od konania a nanovo sa zaviedli procesné postupy pre jednotlivé inštitúty, ktoré z hľadiska transparentnosti a právnej istoty reflektujú na postavenie a činnosť kontrolného orgánu a správneho orgánu v prvom stupni pri objasňovaní skutkového stavu. Z pohľadu konania o ochrane osobných údajov sú výsledky kontroly spracúvania osobných údajov podkladom pre rozhodnutie vo veci, ako aj pre konanie o uložení pokuty alebo poriadkovej pokuty.

Úrad, v rámci dozornej činnosti, vedie konanie o ochrane osobných údajov s cieľom ochrany práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov, pričom v ňom taktiež zisťuje dodržiavanie povinností podľa zákona o ochrane osobných údajov. Ak zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov, rozhodnutím uloží prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie nedostatkov a príčin ich vzniku. V opačnom prípade konanie o ochrane osobných údajov zastaví.

8.1 Prešetrovanie oznámení a podnetov podľa zákona č. 428/2002 Z. z. v číslach

Prešetrovanie oznámení a podnetov fyzických osôb a právnických osôb tvorilo podstatnú časť činnosti úradu vo vzťahu k občanom a podieľaní sa na ochrane ich práv podľa zákona č. 428/2002 Z. z. v 1. polroku 2013. V danom období úrad vykonával prešetrovanie oznámení a podnetov podľa hmotnoprávnych a procesných pravidiel ustanovených týmto zákonom, ktoré reflektovali na podania týkajúce sa podozrenia z porušovania povinností alebo podmienok pri spracúvaní osobných údajov vyplývajúcich zo zákona.

Podľa zákona č. 428/2002 Z. z. úrad prijal v 1. polroku 2013 spolu 210 oznámení a podnetov, z toho 120 oznámení od fyzických osôb domáhajúcich sa ochrany práv a právom chránených záujmov. Od iných subjektov, ktoré oznamovali úradu podozrenie z porušenia zákona o ochrane osobných údajov, úrad prijal 21 podnetov. Z vlastnej iniciatívy úradu bolo voči prevádzkovateľom informačných systémov začatých ďalších 69 konaní.

Na odstránenie a nápravu zistených nedostatkov úrad vydal spolu 74 opatrení. Z celkového počtu 210 prešetrovaných oznámení a podnetov z podozrenia z porušenia zákona č. 428/2002 Z. z. si právo písomne podať námietky proti opatreniu v zákonnej lehote uplatnilo 12 prevádzkovateľov. Úrad vyhovel námietkam 3 prevádzkovateľov a zrušil opatrenia na odstránenie a nápravu zistených nedostatkov. Námietkam 2 prevádzkovateľov úrad vyhovel čiastočne. Námietkam 6 prevádzkovateľov úrad nevyhovel a opatrenia na odstránenie a nápravu zistených nedostatkov potvrdil. Jeden prevádzkovateľ podal námietku po uplynutí zákonom stanovenej lehoty.

Z celkového počtu 141 prešetrovaných oznámení a podnetov z podozrenia z porušenia zákona č. 428/2002 Z. z. si právo podať v tej istej veci opakované oznámenie v lehote 30 dní uplatnilo 6 oznamovateľov. V piatich prípadoch úrad opakované oznámenie v súlade so zákonom č. 428/2002 Z. z. odložil, nakoľko neobsahovalo nové skutočnosti. V jednom

47

prípade úrad opakované oznámenie odložil, nakoľko vec, ktorej sa oznámenie týkalo, nepatrila do pôsobnosti úradu.

Prehľad o počte jednotlivých činností v rámci výkonu kontrol a prešetrovania oznámení a podnetov podľa zákona č. 428/2002 Z. z. účinného v 1. polroku 2013

8.2 Konanie o ochrane osobných údajov podľa nového zákona v číslach

Konanie o ochrane osobných údajov sa začína na návrh navrhovateľa alebo z vlastnej iniciatívy úradu. Konanie z vlastnej iniciatívy úradu sa začína na základe podnetu podľa § 63 ods. 5 zákona o ochrane osobných údajov, na základe výsledkov kontroly podľa § 60 ods. 2 v spojitosti s § 63 ods. 7 zákona o ochrane osobných údajov, ktorou boli zistené nedostatky alebo na základe zistenia úradu z vlastnej činnosti o podozrení z porušenia zákona o ochrane osobných údajov, ako konanie začaté bez návrhu.

V hodnotenom období od 1. júla 2013 až do 31. decembra 2014 viedol úrad celkovo 309 konaní o ochrane osobných údajov, z ktorých 146 bolo začatých na návrh dotknutej osoby, 67 začatých na základe podnetu, 50 začatých na základe výsledkov kontroly, ktorou boli zistené nedostatky a 46 konaní viedol úrad z vlastnej iniciatívy na základe podozrenia z porušenia zákona. V 2. polroku 2013 začal úrad konanie o ochrane osobných údajov na základe návrhu v 40 prípadoch, na základe podnetu v 13 prípadoch, z toho v 12 prípadoch z vlastnej iniciatívy úradu a na základe výsledkov kontroly v 1 prípade. V roku 2014 začal úrad konanie o ochrane osobných údajov na základe návrhu v 106 prípadoch, na základe podnetu v 54 prípadoch, z toho v 34 prípadoch z vlastnej iniciatívy úradu a na základe výsledkov kontroly v 49 prípadoch.

Názov činnosti

Počet

Prešetrovanie oznámení od fyzických osôb

120

Prešetrovanie podnetov od iných subjektov

21

Konanie ex offo – konania začaté na základe rozhodnutia úradu z rôznych podnetov

69

Preverenie stavu dodržiavania administratívnych postupov u prevádzkovateľov a sprostredkovateľov

81

Vydanie opatrení na odstránenie nedostatkov

74

Odporúčania pre prevádzkovateľov o opatreniach na zabezpečenie ochrany osobných údajov v informačných systémoch

7

48

Prehľad spôsobov začatia konania o ochrane osobných údajov podľa zákona o ochrane osobných údajov

Spôsoby začatia konania o ochrane osobných údajov

Rok

Na základe návrhu

Na základe podnetu

Na základe výsledkov kontroly

Z vlastnej iniciatívy úradu

2. polrok 2013

40

13

1

12

2014

106

54

49

34

Spolu

146

67

50

46

Ak úrad v konaní o ochrane osobných údajov zistí porušenie práv navrhovateľa, fyzickej osoby v konaní bez návrhu alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom, uloží rozhodnutím prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku, inak konanie o ochrane osobných údajov zastaví. Z celkového počtu 309 vedených konaní o ochrane osobných údajov bolo v 108 prípadoch zistené porušenie zákona o ochrane osobných údajov, v 76 prípadoch porušenie zákona zistené nebolo a 125 konaní nebolo ku koncu roka 2014 ukončených.

Ak úrad zistí, že nie je príslušný na rozhodovanie, postúpi podanie bez meškania príslušnému orgánu. V hodnotenom období od 1. júla 2013 až do 31. decembra 2013 úrad postúpil 4 podania inému, vecne príslušnému správnemu orgánu na konanie a rozhodnutie, pričom v roku 2014 postúpil celkovo 15 podaní.

Rozhodnutie úradu, ako správneho orgánu v prvom stupni v konaní o ochrane osobných údajov, vychádza zo spoľahlivo zisteného stavu veci. Na tento účel je úrad v konaní o ochrane osobných údajov oprávnený požadovať súčinnosť od kohokoľvek, pričom v hodnotenom období od 1. júla 2013 až do 31. decembra 2014 úrad žiadal o súčinnosť celkovo 234 krát. V konaní o ochrane osobných údajov sa vyskytol jeden prípad kedy osoba, od ktorej bola žiadaná súčinnosť na ňu nereagovala a úradu ani po vyzvaní na splnenie si povinnosti v zmysle § 74 ods. 1 zákona o ochrane osobných údajov túto súčinnosť neposkytla. Z daného dôvodu začal úrad voči tejto osobe konanie o uložení pokuty, nakoľko neposkytla úradu požadovanú súčinnosť pri výkone dozoru. Tento relatívne nízky počet žiadostí o súčinnosť súvisel najmä s postupne rastúcim povedomím ľudí o ochrane ich osobných údajoch, ako aj so zodpovedným prístupom účastníkov konania ku konaniu o ochrane osobných údajov; tento fakt potvrdzuje aj rešpektovanie a plnenie uložených opatrení zo strany prevádzkovateľa alebo sprostredkovateľa v lehote stanovenej úradom, o čom sú zo zákona následne povinní informovať úrad.

V súvislosti so zvyšovaním povedomia ochrany osobných údajov medzi ľuďmi a s tým súvisiacim uspokojovaním tohto dopytu sa o prípady, resp. výsledky konaní zaujímajú média stále intenzívnejšie. V 12 prípadoch bola vec, prejednávaná na úrade, medializovaná. Inštitút právneho zastúpenia bol v hodnotenom období využitý v 15 prípadoch, kde sa účastník konania nechal zastupovať právnym zástupcom.

49

Úrad je povinný rozhodnúť vo veci v procesnej lehote 60 dní odo dňa začatia konania, pričom túto lehotu možno primerane predĺžiť. Úrad vydal v konaní o ochrane osobných údajov rozhodnutie v priemernej lehote 70,53 dní.

Najčastejším predmetom konania o ochrane osobných údajov bolo preskúmanie, či spracúvaním osobných údajov dotknutých osôb v informačnom systéme, súčasťou ktorého boli kamery, nedochádzalo k porušovaniu ustanovení zákona o ochrane osobných údajov. A medzi najčastejšie porušenia zákona o ochrane osobných údajov patrilo spracúvanie osobných údajov bez právneho základu a neoprávnené zverejňovanie všeobecne použiteľného identifikátora ustanoveného osobitným zákonom (rodné číslo).

8.3 Poznatky k ochrane osobných údajov na základe konania o ochrane osobných údajov

Konanie o ochrane osobných údajov v hodnotenom období prešlo najmä procesnou zmenou, pokiaľ ide o zákonom ustanovený postup a nástroje, ktoré umožňujú úradu zistiť skutkový stav a vec riadne a efektívne vybaviť. Zmenu podporuje aj skutočnosť, že úrad, ako správny orgán nie je v konaní o ochrane osobných údajov viazaný len návrhmi účastníkov, ale pri rozhodovaní musí vychádzať zo spoľahlivo zisteného stavu veci.

Konanie o ochrane osobných údajov vnieslo zmeny do práv a povinností účastníkov konania, kladúc zvýšený dôraz na vzájomnú spoluprácu medzi úradom a účastníkmi konania. V hodnotenom období podávali najmä fyzické osoby kvalifikovanejšie podania a prejavovali zvýšený záujem o ochranu svojich osobných údajov a súkromia.

Konanie o ochrane osobných údajov, ako typ správneho konania sa vyznačuje citlivosťou prejednávanej problematiky, ktorá sa dotýka dodržiavania a ochrany základných práv a slobôd v oblasti spracúvania osobných údajov. Konanie o ochrane osobných údajov je neverejným konaním, ktoré v sebe zahŕňa viacero osobitostí, ktoré dopĺňajú, resp. rozširujú právnu úpravu zákona č. 71/1967 Zb., prípadne tam kde je to potrebné vylučujú aplikáciu zákona č. 71/1967 Zb. Tieto špecifiká sú dôležité z hľadiska správneho uplatňovania ochrany osobných údajov, pričom úrad v rámci prvostupňového konania ich tam, kde to bolo vhodné a potrebné, zohľadňoval.

Takýmto osobitným inštitútom v konaní o ochrane osobných údajov je utajenie totožnosti navrhovateľa v prípadoch, v ktorých by mohlo dôjsť k porušeniu jeho práv a právom chránených záujmov (ako dotknutej osoby), prípadne negatívnemu konaniu zo strany prevádzkovateľa. Utajenie totožnosti navrhovateľa našlo svoje opodstatnenie a dotknuté osoby v záujme svojej ochrany ho v hodnotenom období využívali napríklad pri návrhoch, ktorými sa domáhali ochrany ich práv a právom chránených záujmoch pri monitorovaní kamerovým systémom.

Účinnosťou nového zákona o ochrane osobných údajov sa ďalej kontrola spracúvania osobných údajov odčlenila od konania o ochrane osobných údajov a jej výsledky sa stali podkladom pre rozhodnutie vo veci, konania o uložení pokuty alebo poriadkovej pokuty. Výsledky kontroly rovnako umožňujú úradu začať konanie o ochrane osobných údajov z vlastnej iniciatívy. V konaní o ochrane osobných údajov sa inštitút kontroly spracúvania osobných údajov v hodnotenom období od 1. júla 2013 osvedčil ako účinný prostriedok pre zisťovanie skutkového stavu priamo u prevádzkovateľa alebo sprostredkovateľa, najmä

50

pri preverovaní kamerových informačných systémov na mieste, kde umožnila spoľahlivo určiť spôsob a jednotlivé aspekty monitorovania a na základe toho posúdiť zásah do súkromia monitorovaných osôb.

Ďalším štandardným nástrojom na získanie podkladov potrebných pre rozhodnutie vo veci bolo predloženie listín potrebných na vykonanie dôkazov. V tejto súvislosti, ako aj v záujme riadneho zisťovania skutkového stavu, prvostupňový orgán úradu v rámci konania o ochrane osobných údajov využíval aj inštitút súčinnosti, ktorý umožňuje úradu zodpovedne si plniť jeho poslanie a zabezpečiť tak ochranu osobných údajov v zákonom požadovanom rozsahu. Najmä účastníci konania poskytovali požadovanú súčinnosť a prevádzkovatelia vo zvýšenej miere prejavovali snahu odstrániť zistené nedostatky pri spracúvaní osobných údajov ešte v procese konania a prijať tak účinné mechanizmy k zabezpečeniu zákonného spracúvania osobných údajov dotknutých osôb. Úrad v konaní o ochrane osobných údajov v hodnotenom období využíval aj ostatné prostriedky dokazovania, ktoré zákon č. 71/1967 Zb. poskytuje, ako napríklad ústne pojednávanie alebo ohliadka.

Obdobne, ako pri kontrole spracúvania osobných údajov, aj v rámci konania o ochrane osobných údajov úrad, ako správny orgán najmä v 2. polroku 2013 pri posudzovaní skutkového stavu, ukladaní opatrení na nápravu a sankcií zohľadňoval plynúce prechodné ustanovenia.

Z pohľadu konania o ochrane osobných údajov možno nový zákon o ochrane osobných údajov považovať za pozitívnu zmenu, ktorá umožňuje osobám účinne sa brániť v prípade, ak majú podozrenie, že ich osobné údaje sa neoprávnene spracúvajú a naplniť tak jeden z hlavných účelov zákona o ochrane osobných údajov.

9 Sankcionovanie za porušenie zákona o ochrane osobných údajov

9.1 Pokuta

Konanie o uložení pokuty, ako samostatné správne konanie, vedie úrad na základe zistenia porušenia zákona z úradnej povinnosti. Pri ukladaní pokuty a určovaní jej výšky prihliada úrad najmä na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a na mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.

Podľa zákona č. 428/2002 Z. z. úrad v 1. polroku 2013 uložil spolu 9 pokút v súhrnnej výške 22 360 eur. Priemerná pokuta uložená podľa zákona č. 428/2002 Z. z. bola vo výške 2 484,4 eur. Najnižšiu pokutu vo výške 1 660 eur, úrad uložil prevádzkovateľovi v pôsobnosti územnej samosprávy za poskytnutie osobných údajov dotknutých osôb bez ich súhlasu, pri sprístupňovaní informácie podľa zákona o slobode informácií. Najvyššiu pokutu úrad uložil vo výške 4 000 eur dvom prevádzkovateľom, za porušenie povinnosti prihlásiť informačný systém, v ktorom boli spracúvané biometrické osobné údaje na osobitnú registráciu a za porušenie povinnosti prijať primerané bezpečnostné opatrenia zodpovedajúce podmienkam spracúvania osobných údajov, v spojení s porušením viacerých povinností pri poučení oprávnenej osoby, poverení zodpovednej osoby, vedení evidencie o informačnom systéme a spracúvaní osobných údajov dotknutých osôb v rozsahu, ktorý nebol nevyhnutný na dosiahnutie účelu.

51

Podľa nového zákona o ochrane osobných údajov úrad v 2. polroku 2013 viedol dve konania o pokute, pričom uložil pokuty v súhrnnej výške 300 eur. V oboch prípadoch boli pokuty uložené fyzickým osobám za neposkytnutie požadovanej súčinnosti pri výkone dozoru a za poskytnutie nepravdivých osobných údajov do informačného systému osobných údajov.

Novelou zákona o ochrane osobných údajov v roku 2014 bola zrušená generálna obligatórnosť ukladania pokút za akékoľvek porušenie ustanovení zákona o ochrane osobných údajov. Obligatórnosť ukladania pokút ostala zachovaná len za najzávažnejšie porušenia zákona o ochrane osobných údajov. V ostatných prípadoch sa zaviedla fakultatívnosť pokút, pričom pri ich ukladaní úrad zohľadňuje najmä závažnosť, čas trvania a následky protiprávneho konania a mieru ohrozenia súkromného a rodinného života dotknutých osôb.

V roku 2014 viedol úrad spolu 41 konaní o uložení pokuty a uložil pokuty v súhrnnej výške 44 500 eur. Priemerná pokuta za rok 2014 bola vo výške 1 085,4 eur. Najnižšiu pokutu vo výške 300 eur úrad uložil za porušenie povinnosti viesť evidenciu informačného systému. Najvyššie pokuty úrad uložil vo výške 5 000 eur trom prevádzkovateľom, pre viaceré porušenia; porušenie povinnosti prihlásiť informačný systém, v ktorom boli spracúvané biometrické osobné údaje na osobitnú registráciu, spracúvanie osobných údajov dotknutých osôb spôsobom, ktorý nezodpovedal účelu v spojení so spracúvaním osobných údajov dotknutých osôb bez ich súhlasu a za porušenie povinnosti prevádzkovateľa uzatvoriť so sprostredkovateľom písomnú zmluvu o spracúvaní osobných údajov pred začatím ich spracúvania. Prevádzkovatelia požiadali v 4 prípadoch o možnosť platiť uloženú pokutu v splátkach. S prihliadnutím na odôvodnenosť úrad žiadostiam prevádzkovateľov vyhovel.

Pokuta, ako druh sankcie, plnila v hodnotenom období predovšetkým preventívnu funkciu. Pri jej ukladaní úrad zohľadňoval viacero faktorov, medzi inými aj dopad výšky pokuty na prevádzkovateľa a prechodné ustanovenia, ktoré počas hodnoteného obdobia plynuli v dôsledku prijatia nového zákona o ochrane osobných údajov.

V súvislosti s ukladaním pokút počas hodnoteného obdobia za porušenie zákona možno konštatovať, že obavy prevádzkovateľov z nového zákona o ochrane osobných údajov neboli naplnené a uložené pokuty nemali likvidačné dopady.

9.2 Poriadková pokuta

Poriadkovú pokutu, ktorá slúži na zabezpečenie dôstojného a nerušeného priebehu kontrolnej činnosti úradu, resp. ako sankcia za nesplnenie niektorých povinností uložených v konaní o ochrane osobných údajov, uložil úrad v roku 2013 dvakrát v súhrnnej výške 500 eur a roku 2014 jedenkrát vo výške 300 eur.

Vo všetkých troch prípadoch bola poriadková pokuta uložená z dôvodu marenia výkonu kontroly zo strany kontrolovanej osoby.

52

10 Vybrané prípady z dozornej činnosť úradu

10.1 Nevybavenie žiadosti dotknutej osoby

Úrad v roku 2013 podľa nového zákona o ochrane osobných údajov viedol konanie na základe návrhu dotknutej osoby, vo veci podozrenia z porušenia práv dotknutej osoby pri uplatnení práva dotknutej osoby podľa § 28 zákona o ochrane osobných údajov.

Dotknutá osoba požiadala zdravotnú poisťovňu v súlade s § 28 zákona o ochrane osobných údajov o informácie v rozsahu § 15 ods. 1 písm. e) bod 3 zákona o ochrane osobných údajov, podľa ktorého má dotknutá osoba právo na informácie o tretích stranách, ktorým boli poskytnuté jej osobné údaje v priebehu spracúvania osobných údajov prevádzkovateľom. Dotknutá osoba ďalej žiadala o poskytnutie informácie, aké osobné údaje a v akom rozsahu boli tretím stranám poskytnuté. Podľa vyjadrenia dotknutej osoby, prevádzkovateľom jej neboli poskytnuté informácie v požadovanom rozsahu. Prevádzkovateľ odpovedal dotknutej osobe v zákonom stanovenej lehote elektronicky, bez zaručeného elektronického podpisu.

Podľa zákona o ochrane osobných údajov má dotknutá osoba na základe písomnej žiadosti právo vyžadovať, vo všeobecne zrozumiteľnej forme, informácie o spracúvaní osobných údajov v informačnom systéme v rozsahu podľa § 15 ods. 1 písm. a) až e) druhý až šiesty bod, tzn. v rozsahu informačnej povinnosti, ktorú si je prevádzkovateľ povinný plniť pri získavaní osobných údajov. Dotknutá osoba má právo vedieť najmä, či prevádzkovateľ o nej osobné údaje spracúva, informácie o zdroji, z ktorého prevádzkovateľ získal jej osobné údaje, zoznam spracúvaných osobných údajov, opravu nesprávnych, neúplných alebo neaktuálnych osobných údajov, ich likvidáciu v prípadoch vymedzených zákonom a blokovanie osobných údajov. Prevádzkovateľ je povinný písomne vybaviť žiadosť dotknutej osoby podľa § 29 ods. 3 zákona najneskôr do 30 dní odo dňa doručenia žiadosti.

Na základe informácií, podkladov a dôkazov, sústredených v priebehu konania o ochrane osobných údajov úrad zistil, že prevádzkovateľ porušil § 28 ods. 1 v nadväznosti na § 29 ods. 3 zákona o ochrane osobných údajov tým, že na riadne uplatnenú žiadosť dotknutej osoby neposkytol informácie o tretích stranách, ktorým boli osobné údaje dotknutej osoby poskytnuté a žiadosť dotknutej osoby nevybavil písomne.

Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku a nariadil prevádzkovateľovi písomne vybaviť žiadosť dotknutej osoby a prijať v podmienkach prevádzkovateľa opatrenia vedúce k riadnemu vybaveniu každej žiadosti dotknutej osoby písomne a v rozsahu a lehote ustanovenej zákonom o ochrane osobných údajov. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote. Úrad uložil prevádzkovateľovi sankciu za porušenie zákona o ochrane osobných údajov.

10.2 Zverejňovanie súkromného telefónneho čísla na internetovej stránke prevádzkovateľa

Úrad v roku 2013 podľa nového zákona o ochrane osobných údajov viedol konanie na základe návrhu dotknutej osoby, vo veci podozrenia z neoprávneného spracúvania osobných údajov dotknutej osoby zverejnením jej súkromného telefónneho čísla na webovom sídle prevádzkovateľa, medzi kontaktnými údajmi zamestnancov.

53

Dotknutá osoba si uplatnila právo dotknutej osoby podľa § 28 zákona o ochrane osobných údajov a požiadala prevádzkovateľa o likvidáciu jej osobných údajov zverejnených na webovom sídle prevádzkovateľa.

Podľa § 12 ods. 3 zákona o ochrane osobných údajov prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

Prevádzkovateľ je ďalej povinný prijať primerané bezpečnostné opatrenia zodpovedajúce podmienkam spracúvania osobných údajov, smerujúce k zabezpečeniu ich zákonného spracúvania.

Na základe informácií, podkladov a dôkazov, sústredených v priebehu konania o ochrane osobných údajov úrad zistil, že prevádzkovateľ pri zverejňovaní osobných údajov zamestnancov v rozsahu § 13 ods. 2 zákona o ochrane osobných údajov, zverejnil aj súkromné telefónne číslo dotknutej osoby. Súkromné telefónne číslo bolo do zoznamu poskytnuté priamym nadriadeným dotknutej osoby, bez úmyslu narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby. Prevádzkovateľ pri zverejňovaní osobných údajov neprijal primerané bezpečnostné opatrenia a osobné údaje dotknutej osoby v rozsahu jej súkromného telefónneho čísla zverejnil bez právneho základu, v rozpore s § 12 ods. 3 zákona o ochrane osobných údajov.

Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku a nariadil prevádzkovateľovi prijať primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, s cieľom zabezpečiť postup pri zverejňovaní osobných údajov dotknutých osôb na webovom sídle prevádzkovateľa. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote.

10.3 Zverejnenie osobných údajov na sociálnej sieti Facebook

Úrad v roku 2013 podľa nového zákona o ochrane osobných údajov na základe návrhu dotknutej osoby preveroval podozrenie z neoprávneného zverejnenia osobných údajov dotknutej osoby na sociálnej sieti. Dotknutej osobe známa fyzická osoba mala na sociálnej sieti vytvoriť profil, obsahujúci osobné údaje dotknutej osoby, vrátane fotografií a hanlivého textu. Dotknutá osoba na takéto zverejnenie jej osobných údajov súhlas nedala.

Zákon o ochrane osobných údajov sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme. Zákon o ochrane osobných údajov sa vzťahuje na každého, kto osobné údaje spracúva, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie.

54

Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene.

Preskúmaním informácií, podkladov a dôkazov sústredených pri preverovaní predmetnej veci úrad zistil, že fyzická osoba proti ktorej návrh smeroval, nespracúvala osobné údaje dotknutej osoby v informačnom systéme ako prevádzkovateľ. Na konanie fyzickej osoby sa v tomto prípade nevzťahovala pôsobnosť zákona o ochrane osobných údajov.

Podľa § 12 ods. 5 zákona o ochrane osobných údajov ten, kto má v úmysle zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; zverejnenie osobných údajov nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby. Fyzické osoby sa môžu domáhať ochrany proti zásahu do práva na ochranu osobnosti a súkromia na príslušnom súde.

Úrad na základe zistených skutočností konštatoval, že na zverejnenie osobných údajov o dotknutej osobe na sociálnej sieti sa nevzťahuje pôsobnosť zákona o ochrane osobných údajov a návrh na začatie konania o ochrane osobných údajov odložil.

10.4 Zverejňovanie osobných údajov bývalých študentov na webovom sídle ich strednej školy

Úrad v roku 2014 podľa nového zákona o ochrane osobných údajov viedol konanie o ochrane osobných údajov z vlastnej iniciatívy, vo veci podozrenia z neoprávneného zverejňovania osobných údajov absolventov strednej školy na jej webovom sídle. Na webovom sídle boli zverejňované svadobné oznámenia a oznámenia o ukončení štúdia zasielané absolventmi strednej školy. Zverejňované boli osobné údaje v rozsahu meno, priezvisko, adresa, názov vysokej školy a titul, prípadne aj fotografia.

Na základe informácií, podkladov a dôkazov sústredených v priebehu konania o ochrane osobných údajov úrad zistil, že prevádzkovateľ pri zverejňovaní osobných údajov bol povinný postupovať podľa § 11 zákona o ochrane osobných údajov, podľa ktorého je prevádzkovateľ oprávnený spracúvať osobné údaje na základe súhlasu dotknutej osoby. Prevádzkovateľ je povinný úradu hodnoverne preukázať poskytnutie súhlasu dotknutou osobou. Prevádzkovateľ riadne a hodnoverne v priebehu konania preukázal, že disponuje súhlasmi všetkých dotknutých osôb, o ktorých osobné údaje na svojom webovom sídle zverejňoval.

Na základe skutočností zistených v rámci konania o ochrane osobných údajov úrad konštatoval, že nezistil porušenie povinnosti prevádzkovateľa pri spracúvaní osobných údajov dotknutých osôb ich zverejňovaním na webovom sídle a konanie začaté z vlastnej iniciatívy zastavil.

10.5 Spoločenstvo vlastníkov bytov

Úrad v roku 2014 podľa nového zákona o ochrane osobných údajov viedol konanie na základe návrhu dotknutej osoby, vo veci podozrenia z neoprávneného zverejňovania osobných údajov spoločenstvom vlastníkov bytov a nebytových priestorov.

55

Prevádzkovateľ v súvislosti s vykonávaním ročného vyúčtovania úhrad za plnenia, umiestňoval listiny označované ako „podklady pre ročné zúčtovanie“ na výveskách v spoločných priestoroch spravovaného bytového domu. Listiny obsahovali údaje o počte osôb v jednotlivých bytoch, o spotrebe vody, tepla a teplej úžitkovej vody, priamo priradené k fyzickým osobám, ktorých sa týkajú, určených menom a priezviskom. Podľa vyjadrenia prevádzkovateľa si týmto spôsobom plnil svoju informačnú povinnosť voči vlastníkom bytov a nebytových priestorov, ktorá mu vyplýva so zákona č. 182/1993 Z. z. o vlastníctve bytov a nebytových priestorov v znení neskorších predpisov (ďalej len „zákon č. 182/1993 Z. z.“). Podľa vyjadrenia prevádzkovateľa informácie o spotrebe nie je možné považovať za osobný údaj a meno spolu s priezviskom sú zverejňované samotnými obyvateľmi bytového domu na schránkach a menovkách umiestnených na dverách. Zároveň prevádzkovateľ tvrdil, že priestory v bytovom dome nepovažuje za priestor prístupný verejnosti, vzhľadom na uzamykanie vstupných dverí do bytového domu.

Zverejňovaním osobných údajov sa rozumie publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste.

Podľa § 4 ods. 3 písm. j) zákona o ochrane osobných údajov na účely tohto zákona sa rozumie priestorom prístupným verejnosti priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon.

Na základe informácií, podkladov a dôkazov sústredených v priebehu konania o ochrane osobných údajov úrad zistil, že spoločné priestory bytového domu boli priestorom prístupným verejnosti aj napriek tomu, že pri vstupe do priestorov bytového domu existovali obmedzenia, ktoré v tomto konkrétnom prípade ale netvorili prekážku, ktorá by mala vplyv na voľný pohyb iných osôb v danom priestore. Z uvedeného dôvodu informácie umiestnené v spoločných priestoroch bytového domu boli prístupné tak vlastníkom bytov a nebytových priestorov, ako aj iným osobám, pohybujúcim sa v spoločných priestoroch bytového domu.

Úrad konštatoval, že údaje o počte osôb, spotrebe vody, tepla a teplej úžitkovej vody sa týkajú priamo vlastníkov bytov, ako dotknutých osôb, pričom tieto údaje obsahovali informácie o pomeroch a správaní dotknutých osôb. Prevádzkovateľ zverejňoval údaje o počte osôb v jednotlivých bytoch, spotrebe vody, tepla a teplej úžitkovej vody priradené určitým vlastníkom bytov, ktorých sa týkali bez toho, aby ho na zverejňovanie týchto osobných údajov oprávňoval zákon č. 182/1993 Z. z. alebo zákon o ochrane osobných údajov. Preskúmaním zmluvy o spoločenstve vlastníkov bytov a nebytových priestorov úrad zistil, že táto neobsahovala dojednania oprávňujúce prevádzkovateľa zverejňovať osobné údaje dotknutých osôb v uvedenom rozsahu. Prevádzkovateľ zároveň nedisponoval spôsobilým súhlasom dotknutých osôb na zverejňovanie ich osobných údajov. Na základe uvedeného úrad konštatoval, že prevádzkovateľ porušil ustanovenie § 6 ods. 2 písm. c) zákona o ochrane osobných údajov, keď zverejnením predmetných osobných údajov vykonával spracovateľskú operáciu s osobnými údajmi, ktorá nezodpovedala účelu spracúvania osobných údajov a nebola nevyhnutná ani potrebná na jeho dosiahnutie. Úrad konštatoval porušenie ustanovenia § 9 ods. 1 zákona o ochrane osobných údajov, v zmysle ktorého môže

56

prevádzkovateľ spracúvať osobné údaje len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení zákona o ochrane osobných údajov alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby.

Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku a nariadil prevádzkovateľovi oboznamovať vlastníkov bytov a nebytových priestorov v spravovanom bytovom dome s podkladmi pre vyúčtovanie úhrad za plnenia spôsobom, pri ktorom nebude dochádzať k zverejňovaniu osobných údajov vlastníkov bytov. Prevádzkovateľ podal v zákonom stanovenej lehote rozklad voči rozhodnutiu o uložení opatrení. Úrad opätovne posúdil všetky podklady a dôkazy sústredené v priebehu konania a rozhodnutím o rozklade zamietol opravný prostriedok podaný prevádzkovateľom a potvrdil rozhodnutie o opatreniach na nápravu zistených nedostatkov. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote.

10.6 Neoprávnené spracúvanie osobných údajov poskytovateľom zdravotnej starostlivosti

Úrad v roku 2014 podľa nového zákona o ochrane osobných údajov viedol konanie na základe podnetu právnickej osoby, vo veci podozrenia z neoprávneného spracúvania osobných údajov poskytovateľom zdravotnej starostlivosti.

Predmetom prešetrovania bolo spracúvanie osobných údajov prevádzkovateľom, ktorému v rámci prerozdelenia zdravotného obvodu bola pridelená časť pacientov, vrátane zdravotnej dokumentácie. Samosprávny kraj, v súlade so zákonom č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 576/2004 Z. z.“) prerozdelil zdravotnú dokumentáciu po zosnulom poskytovateľovi zdravotnej starostlivosti. Jednotlivým poskytovateľom zdravotnej starostlivosti bola prerozdelená každému jednotlivo len časť pacientov. Prevádzkovateľ však disponoval zoznamom všetkých pacientov z prerozdelenej databázy, vrátane ich zdravotných záznamov vedených v elektronickej podobe.

Podľa § 9 ods. 1 zákona o ochrane osobných údajov prevádzkovateľ môže spracúvať osobné údaje len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republiky viazaná, ustanovení tohto zákona alebo osobitného zákona alebo na základe súhlasu dotknutej osoby. Poskytovateľ zdravotnej starostlivosti spracúva osobné údaje dotknutých osôb na účel vedenia zdravotnej dokumentácie podľa zákona č. 576/2004 Z. z.

Na základe informácií, podkladov a dôkazov sústredených v priebehu konania o ochrane osobných údajov úrad zistil, že prevádzkovateľ odkúpil počítač z pozostalosti po nebohom poskytovateľovi zdravotnej starostlivosti, ktorý obsahoval kompletnú databázu jeho pacientov. Prevádzkovateľ tak získal osobné údaje aj tých dotknutých osôb, ktorým neposkytoval zdravotnú starostlivosť a ich osobné údaje tak spracúval bez zákonného oprávnenia.

Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku a zakázal prevádzkovateľovi spracúvať v informačnom systéme osobné údaje, v rozsahu vedenej zdravotnej dokumentácie tých dotknutých osôb, ktorým prevádzkovateľ

57

neposkytoval zdravotnú starostlivosť. Úrad prevádzkovateľovi nariadil tieto osobné údaje zlikvidovať. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote. Úrad uložil prevádzkovateľovi sankciu za porušenie zákona o ochrane osobných údajov.

10.7 Zverejnenie osobných údajov študentov

Na základe medializovanej informácie vykonal úrad v roku 2014 mimoriadnu kontrolu spracúvania osobných údajov v rámci konania o ochrane osobných údajov. Prevádzkovateľ pri plnení povinností vyplývajúcich zo zákona o slobode informácií, zverejnil povinne zverejňovanú poistnú zmluvu v Centrálnom registri zmlúv spôsobom, ktorý umožnil prístup k osobným údajom študentov, vrátane osobitnej kategórie osobných údajov.

Úrad sa zameral na preverenie bezpečnosti spracúvania osobných údajov prevádzkovateľom, s dôrazom na prijatie primeraných bezpečnostných opatrení v súvislosti s postupom oprávnených osôb pri zverejňovaní povinne zverejňovaných zmlúv podľa zákona o slobode informácií.

Prevádzkovateľ pred zverejnením poistnej zmluvy, vrátane jej príloh zabezpečil anonymizáciu osobných údajov študentov spôsobom, ktorý umožňoval ich prečítanie, po prevedení súboru do iného formátu. Oprávnená osoba, zabezpečujúca anonymizáciu osobných údajov zvolila spôsob anonymizácie osobných údajov, ktorý nezabezpečil ich trvalé elektronické vymazanie.

Po upozornení prevádzkovateľa dotknutou osobou na skutočnosť, že v Centrálnom registri zmlúv sa nachádza dokument, z ktorého je možné identifikovať osobné údaje dotknutých osôb, vrátane rodných čísel, adries a čísel dokladov totožnosti, prevádzkovateľ okamžite zabezpečil stiahnutie dokumentu z Centrálneho registra zmlúv a výmenu za korektne anonymizovaný dokument. Zároveň prevádzkovateľ obratom zabezpečil odstránenie indexácie predmetného dokumentu a prijal opatrenia na zamedzenie jeho preberania pomocou vyhľadávača Google.

Úrad kontrolou identifikoval porušenie povinnosti prevádzkovateľa prijať primerané bezpečnostné opatrenia podľa § 19 ods. 1 zákona o ochrane osobných údajov. Prevádzkovateľ vo svojej pôsobnosti nemal prijaté primerané bezpečnostné opatrenia v podobe jasných a zreteľných postupov pri zverejňovaní povinne zverejňovaných zmlúv obsahujúcich osobné údaje dotknutých osôb, vrátane poučení oprávnených osôb o podmienkach spracúvania osobných údajov.

Prevádzkovateľ obratom po zistení bezpečnostného incidentu prijal opatrenia a preškolil všetky oprávnené osoby o postupoch pri spracúvaní osobných údajov, s dôrazom na anonymizáciu osobných údajov pred ich zverejnením. Všetky oprávnené osoby boli opätovne poučené v súlade so zákonom o ochrane osobných údajov. Prevádzkovateľ obratom podnikol všetky dostupné kroky na zmiernenie dopadov bezpečnostného incidentu pre dotknuté osoby a prijal opatrenia na zamedzenie bezpečnostného incidentu v budúcnosti.

Úrad neuložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov z dôvodu ich odstránenia ešte v priebehu konania. Úrad uložil prevádzkovateľovi sankciu za porušenie zákona o ochrane osobných údajov.

58

10.8 Sprístupnenie časti zdravotnej dokumentácie poskytovateľom zdravotnej starostlivosti

Na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov prevádzkovateľom, vykonal úrad v roku 2014 mimoriadnu kontrolu spracúvania osobných údajov. Z obsahu podania vyplynulo podozrenie z uchovávania RTG snímok pacientov spoločne s lekárskymi správami vo voľne prístupnej chodbe čakárne, jednej z kliník prevádzkovateľa.

Úrad sa zameral na preverenie bezpečnosti spracúvania osobných údajov prevádzkovateľom, s dôrazom na prijatie primeraných bezpečnostných opatrení v súvislosti s postupom oprávnených osôb pri manipulácii so zdravotnou dokumentáciou. V záujme riadneho zabezpečenia výkonu kontroly, s ohľadom na možné zmarenie účelu kontroly, úrad oznámenie o kontrole vykonal pri jej začatí.

Preverením na mieste výkonu kontroly úrad verifikoval, že v priestoroch čakárne sa nachádzali skrine, ktoré neboli uzamykateľné, voľne prístupné police, v ktorých boli uskladnené RTG snímky v papierových obaloch, s uvedením mena, priezviska a dátumu narodenia pacienta. Spolu s RTG snímkami sa v obaloch nachádzali aj lekárske správy, obsahujúce osobitné kategórie osobných údajov, a to informácie o zdravotnom stave pacienta, diagnózu a rodné číslo. Ku všetkým dokumentom bol voľný prístup osôb, pohybujúcich sa v uvedenom priestore v ordinačných hodinách. Zároveň úrad zistil, že predmetné zložky pacientov sú aktuálne a sú súčasťou zdravotnej dokumentácie vedenej prevádzkovateľom.

Úrad kontrolou identifikoval porušenie povinnosti prevádzkovateľa prijať primerané bezpečnostné opatrenia podľa § 19 ods. 1 zákona o ochrane osobných údajov. Prevádzkovateľ vo svojej pôsobnosti nezabezpečil praktickú aplikáciu prijatých bezpečnostných opatrení vrátane postupov pri vedení zdravotnej dokumentácie, spracovaných v bezpečnostnom projekte. Následkom bolo spracúvanie osobných údajov dotknutých osôb, vrátane osobitných kategórií osobných údajov spôsobom, ktorý umožnil ich sprístupnenie neoprávneným osobám. Prevádzkovateľ ešte pred ukončením kontroly bezodkladne zabezpečil bezpečné uloženie časti zdravotnej dokumentácie pacientov.

Na základe výsledkov kontroly úrad začal konanie o ochrane osobných údajov. Úrad neuložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov z dôvodu ich odstránenia ešte v priebehu konania. Úrad uložil prevádzkovateľovi sankciu za porušenie zákona o ochrane osobných údajov.

10.9 Poskytovanie finančných služieb formou lízingu

Na základe ročného plánu kontrol vykonal úrad v roku 2014 riadnu kontrolu spracúvania osobných údajov u prevádzkovateľa poskytujúceho finančné služby formou lízingu.

Úrad sa zameral na preverenie povinností prevádzkovateľa pri spracúvaní osobných údajov o klientoch s dôrazom na plnenie informačnej povinnosti, prijatie primeraných bezpečnostných opatrení zodpovedajúcich podmienkam spracúvania osobných údajov dotknutých osôb v informačných systémoch prevádzkovateľa a spracúvanie osobných údajov

59

dotknutých osôb v súlade so zásadami spracúvania osobných údajov. Preverením na mieste výkonu kontroly úrad zistil, že prevádzkovateľ spracúval osobné údaje dotknutých osôb nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán alebo na plnenie predzmluvných vzťahov s dotknutou osobou na účel uzatvorenia zmluvy o finančnom lízingu. Prevádzkovateľ zároveň spracúval osobné údaje na účel preverenia bonity klienta v nebankovom registri, na účel marketingu a na účel identifikácie klienta aj po ukončení zmluvného vzťahu, s cieľom ponuky výhodnejších budúcich zmluvných podmienok (forma tzv. vernostného programu). Na tieto účely prevádzkovateľ spracúval osobné údaje na základe súhlasu dotknutej osoby.

Súčasťou uzatváranej zmluvy o finančnom lízingu boli aj všeobecné obchodné podmienky, ktorými si prevádzkovateľ zároveň plnil informačnú povinnosť podľa zákona o ochrane osobných údajov. Posúdením uzatvorených zmlúv úrad zistil, že prevádzkovateľ si neplnil povinnosť informovať dotknuté osoby (klientov) o dobrovoľnosti poskytnúť osobné údaje, ktoré prevádzkovateľ získaval na základe súhlasu dotknutej osoby. Zároveň prevádzkovateľ získaval súhlas dotknutých osôb jeho inkorporovaním do všeobecných obchodných podmienok. Týmto spôsobom získaval súhlas na poskytnutie osobných údajov nebankovému registru, na spracúvanie osobných údajov vo vernostnom programe a na získavanie osobných údajov kopírovaním a skenovaním úradných dokladov. Predmetné súhlasy boli inkorporované do všeobecných zmluvných podmienok, ktoré tvorili neoddeliteľnú súčasť zmluvy o finančnom lízingu. Dotknutá osoba nemala možnosť odmietnuť udeliť súhlas so spracúvaním svojich osobných údajov bez zamarenia možnosti uzatvoriť zmluvu. Prevádzkovateľ bol povinný pri získavaní osobných údajov na účel uzatvorenia zmluvy o finančnom lízingu postupovať tak, aby dotknutej osobe umožnil vyjadriť svoj súhlas s každým účelom samostatne tak, aby získanie súhlasu dotknutej osoby nebolo podmienené uzatvorením zmluvného vzťahu.

Úrad kontrolou identifikoval porušenie informačnej povinnosti prevádzkovateľa podľa § 15 ods. 2 písm. e) bod 2 zákona o ochrane osobných údajov tým, že prevádzkovateľ pri získavaní osobných údajov neposkytol dotknutej osobe také informácie, ktoré s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov boli potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov. Prevádzkovateľ porušil povinnosť pri spracúvaní osobných údajov podľa § 11 ods. 3 zákona o ochrane osobných údajov tým, že podmieňoval uzatvorenie zmluvného vzťahu získaním súhlasu dotknutej osoby so spracúvaním jej osobných údajov na účely nesúvisiace s pôvodným účelom (uzatvorenie zmluvy o finančnom lízingu), v nadväznosti na § 6 ods. 2 písm. c) zákona o ochrane osobných údajov tým, že získaval osobné údaje pod zámienkou iného účelu spracúvania. Úrad zároveň konštatoval, že kontrolovaná osoba spracúvala osobné údaje v rozsahu nevyhnutnom na dosiahnutie účelu, ktorým bolo uzatvorenie zmluvy o finančnom lízingu a prijala primerané bezpečnostné opatrenia zodpovedajúce podmienkam spracúvania osobných údajov.

Na základe výsledkov kontroly úrad začal konanie o ochrane osobných údajov. Úrad neuložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov z dôvodu ich odstránenia ešte v priebehu konania. Úrad uložil prevádzkovateľovi sankciu za porušenie zákona o ochrane osobných údajov.

60

10.10 Poskytovateľ služieb informačnej spoločnosti, internetový obchod

Na základe ročného plánu kontrol vykonal úrad v roku 2014 riadnu kontrolu spracúvania osobných údajov u prevádzkovateľa poskytujúceho služby informačnej spoločnosti.

Úrad sa zameral na preverenie bezpečnosti a zákonnosti spracúvania osobných údajov s dôrazom na plnenie povinností prevádzkovateľa pri poverení sprostredkovateľa spracúvaním osobných údajov dotknutých osôb a plnenie informačnej povinnosti. Kontrolou úrad zistil, že prevádzkovateľ spracúval osobné údaje dotknutých osôb nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán alebo na plnenie predzmluvných vzťahov s dotknutou osobou na účel kúpy a predaja tovaru v internetovom obchode. Zároveň spracúval osobné údaje na účel vernostného programu. Dotknutá osoba mohla nákup uskutočniť výlučne prostredníctvom registrácie na webovej stránke. Vykonaním registrácie a uskutočnením nákupu bola dotknutá osoba automaticky zaradená do vernostného programu, bez možnosti odmietnuť spracúvanie jej osobných údajov na tento účel. Prevádzkovateľ poskytoval osobné údaje dotknutých osôb aj tretím stranám, na účely súvisiace s hodnotením spokojnosti s nákupom v internetovom obchode.

Informačnú povinnosť si prevádzkovateľ plnil prostredníctvom všeobecných obchodných podmienok, zverejnených na webovej stránke internetového obchodu. Posúdením všeobecných obchodných podmienok, registračného formuláru a podmienok, za ktorých mohla dotknutá osoba uskutočniť nákup v internetovom obchode úrad zistil, že prevádzkovateľ si neplnil povinnosť informovať dotknuté osoby (klientov) o tretej strane, ktorej poskytoval osobné údaje ani o dobrovoľnosti takýto súhlas poskytnúť. Prevádzkovateľ získaval osobné údaje na účel vernostného programu pod zámienkou iného účelu, uskutočnenia nákupu tovaru v internetovom obchode, pričom od dotknutých osôb nezískaval súhlas na spracúvanie osobných údajov na účel zaradenia do vernostného programu. Dotknutá osoba nemala možnosť odmietnuť udeliť súhlas so spracúvaním svojich osobných údajov bez zmarenia možnosti uzatvoriť zmluvu o kúpe tovaru. Prevádzkovateľ bol povinný pri získavaní osobných údajov na účel uzatvorenia zmluvy postupovať tak, aby dotknutej osobe umožnil vyjadriť svoj súhlas alebo nesúhlas tak, aby získanie súhlasu dotknutej osoby nebolo podmienené uzatvorením zmluvného vzťahu. Prevádzkovateľ spracúval osobné údaje dotknutých osôb prostredníctvom sprostredkovateľa, s ktorým nemal uzatvorenú písomnú zmluvu o spracúvaní osobných údajov v súlade so zákonom o ochrane osobných údajov.

Úrad kontrolou identifikoval porušenie informačnej povinnosti prevádzkovateľa podľa § 15 ods. 2 písm. e) bod 2 a 3 zákona o ochrane osobných údajov tým, že prevádzkovateľ pri získavaní osobných údajov neposkytol dotknutej osobe také informácie, ktoré s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov boli potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov. Prevádzkovateľ porušil povinnosť pri spracúvaní osobných údajov podľa § 11 ods. 3 zákona o ochrane osobných údajov tým, že podmieňoval uzatvorenie zmluvného vzťahu získaním súhlasu dotknutej osoby so spracúvaním jej osobných údajov na účely nesúvisiace s pôvodným účelom (uzatvorenie zmluvy o kúpe a predaji tovaru), v nadväznosti na § 6 ods. 2 písm. c) zákona o ochrane osobných údajov tým, že získaval osobné údaje pod zámienkou iného účelu spracúvania. Prevádzkovateľ postupoval v rozpore s § 8 ods. 3 zákona o ochrane osobných údajov, keď so sprostredkovateľom nemal uzatvorenú písomnú zmluvu o spracúvaní osobných údajov dotknutých osôb. Úrad zároveň konštatoval,

61

že kontrolovaná osoba spracúvala osobné údaje v rozsahu nevyhnutnom na dosiahnutie účelu a mala riadne poučené oprávnené osoby.

Na základe výsledkov kontroly úrad začal konanie o ochrane osobných údajov. Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku a nariadil prevádzkovateľovi uzatvoriť zmluvu so sprostredkovateľom, spracúvať osobné údaje dotknutých osôb na účel vernostného programu a poskytovať osobné údaje tretej strane len so súhlasom dotknutých osôb poskytnutým v súlade s § 11 zákona o ochrane osobných údajov a riadne si plniť informačnú povinnosť. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote.

10.11 Obchodovanie s databázou obsahujúcou osobné údaje

Na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov prevádzkovateľom, vykonal úrad v roku 2014 mimoriadnu kontrolu spracúvania osobných údajov. Podnet smeroval voči prevádzkovateľovi, ktorí mal spracúvať osobné údaje dotknutých osôb, získané podľa zákona o slobode informácií od povinných osôb, na účely obchodovania s databázou.

Úrad sa zameral na preverenie právneho základu spracúvania osobných údajov dotknutých osôb a zákonnosti ich následného poskytnutia tretím stranám. Preverením na mieste výkonu kontroly úrad zistil, že prevádzkovateľ získaval osobné údaje o dotknutých osobách, ktoré si plnili svoje povinnosti podľa osobitných zákonov voči mestu alebo obci. Prevádzkovateľ, podľa zákona o slobode informácií, žiadal povinné osoby (mestá a obce) o poskytnutie osobných údajov o osobách, ktoré požiadali o vydanie povolenia podľa osobitného zákona. Získané osobné údaje následne doplnil o ďalšie osobné údaje, prístupné z verejne dostupných databáz, napr. katastrálny portál. Takto vytvorenú databázu obsahujúcu osobné údaje dotknutých osôb v rozsahu, meno, priezvisko, trvalé bydlisko, dátum narodenia, a rozsah povolenia vydaného podľa osobitného zákona, prevádzkovateľ ponúkal na predaj právnickým osobám, podnikajúcim v súvisiacich oblastiach.

Úrad kontrolou zistil, že prevádzkovateľ vytvoril informačný systém osobných údajov s cieľom jeho odpredania tretím stranám na marketingové účely. Osobné údaje dotknutých osôb môže prevádzkovateľ spracúvať len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení zákona o ochrane osobných údajov alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby. V tomto prípade mohol prevádzkovateľ spracúvať a odpredať databázu obsahujúcu osobné údaje dotknutých osôb, t. j. poskytnúť osobné údaje len so súhlasom dotknutých osôb. Prevádzkovateľ spracúval osobné údaje v rozpore s § 9 ods. 1 v spojení s § 11 ods. 1 zákona o ochrane osobných údajov. Úrad zároveň konštatoval, že prevádzkovateľ spracúval osobné údaje dotknutých osôb, získané podľa zákona o slobode informácií, v rozpore s dobrými mravmi, keď zneužil inštitút zákona o slobode informácií zavedený na účel otvorenosti verejnej správy, na vytvorenie informačného systému s cieľom obchodovať s takto získanými osobnými údajmi. Prevádzkovateľ spracúval osobné údaje v rozpore s § 6 písm. i) zákona o ochrane osobných údajov.

Na základe výsledkov kontroly, úrad začal konanie o ochrane osobných údajov a uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku prevádzkovateľovi zakázal spracúvať osobné údaje dotknutých osôb v informačnom systéme

62

vytvorenom z informácií poskytnutých povinnými osobami podľa zákona o slobode informácií, ktorého účelom bolo obchodovanie s databázou a nariadil zlikvidovať osobné údaje spracúvané v rozpore so zákonom o ochrane osobných údajov. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote.

10.12 Monitorovanie kamerovým systémom vlastníkmi bytov a nebytových priestorov

Na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov prevádzkovateľom, vykonal úrad v roku 2014 mimoriadnu kontrolu spracúvania osobných údajov u prevádzkovateľa, ktorým boli vlastníci bytov a nebytových priestorov.

Podozrenie z porušenia povinností prevádzkovateľa pri spracúvaní osobných údajov smerovalo k neoprávnenému monitorovaniu okien a balkónov susedného bytového domu. Úrad sa zameral na preverenie stavu spracúvania osobných údajov pri monitorovaní priestoru prístupného verejnosti kamerovým systémom.

Podľa § 15 ods. 7 zákona o ochrane osobných údajov možno priestor prístupný verejnosti monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný; monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.

Vykonanou kontrolou úrad zistil, že prevádzkovateľ spracúva osobné údaje dotknutých osôb monitorovaním priestoru prístupného verejnosti na účel ochrany majetku a bezpečnosti, najmä z dôvodu vandalizmu. Kamerový systém bol inštalovaný v bytovom dome a priestor bol monitorovaný prostredníctvom štyroch kamier. Prevádzkovateľ monitoroval zadný vchod do bytového domu, schody vedúce ku hlavnému vchodu, vrátane časti parkoviska a verejného chodníka, vonkajšiu časť hlavného vchodu a priľahlý priestor, spoločný dvor v časti, kde sa nachádzal stojan na bicykle, vestibul hlavného vchodu, interiér výťahu a strechu bytového domu. S ohľadom na monitorovaný priestor úrad konštatoval, že okrem strechy bytového domu, ide o monitorovanie priestoru prístupného verejnosti. Podľa vyjadrenia kontrolovanej osoby bolo monitorovanie zavedené zo súhlasom všetkých vlastníkov bytov a nebytových priestorov.

Úrad vykonanou kontrolou identifikoval porušenie § 15 ods. 7 zákona o ochrane osobných údajov tým, že prevádzkovateľ riadne neoznačil monitorovaný priestor pri každom vstupe. Piktogram s informáciou, že dotknutá osoba sa nachádza v monitorovanom priestore bol umiestnený na hlavnom vchode. Vzhľadom na skutočnosť, že prevádzkovateľ monitoroval aj časť verejnej komunikácie, parkoviska a zadný dvor, bol povinný zreteľne označiť monitorovaný priestor pri každom vstupe. Posúdením rozsahu monitorovaného priestoru úrad konštatoval súlad spracúvania osobných údajov s § 6 ods. 2 písm. d) zákona o ochrane osobných údajov. Prevádzkovateľ monitoroval priestor prístupný verejnosti v rozsahu, ktorý bol nevyhnutný na dosiahnutie stanoveného účelu. Prevádzkovateľ si zároveň plnil povinnosť prijať primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, poučil oprávnené osoby o ich právach a povinnostiach a viedol evidenciu o informačnom systéme.

63

Vo vzťahu k monitorovaniu strechy bytového domu úrad konštatoval, že nejde o priestor prístupný verejnosti, vzhľadom na obmedzený a zabezpečený prístup. Prevádzkovateľ zaviedol monitorovanie priestoru strechy z dôvodu bezpečnosti a hroziaceho nebezpečenstva požiaru. Orientácia bytového domu umožňovala znečisťovanie a poškodzovanie strechy ohorkami z cigariet a sklom, ktoré na strechu hádzali obyvatelia susedného bytového domu. Na streche boli zároveň umiestnené solárne konektory, ktoré prevádzkovateľ týmto spôsobom zabezpečil. Prevádzkovateľ nastavil kameru umiestnenú na streche spôsobom, ktorý umožňoval monitorovať balkóny a okná susedného bytového domu.

Zákon o ochrane osobných údajov umožňuje prevádzkovateľovi monitorovať priestor za účelom ochrany svojich práv a právom chránených záujmov podľa § 10 ods. 3 písm. g) zákona o ochrane osobných údajov. Prevádzkovateľ je povinný pri takomto monitorovaní dbať o to, aby nedochádzalo k neprimeranému zásahu do súkromia dotknutých osôb. Zároveň je povinný takýto informačný systém oznámiť úradu. Prevádzkovateľ si túto povinnosť nesplnil.

Prevádzkovateľ ešte v priebehu kontroly odstránil zistené nedostatky, zreteľne označil priestor prístupný verejnosti piktogramom pri každom vstupe do monitorovaného priestoru a zmenil rozsah monitorovaného priestoru strechy bytového domu tak, aby nedochádzalo k zásahu do súkromia dotknutých osôb. Úrad neuložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov z dôvodu ich odstránenia ešte v priebehu konania.

10.13 Monitorovanie priestoru prístupného verejnosti prostredníctvom live streamingu

V rámci konania o ochrane osobných údajov vykonal úrad v roku 2014 mimoriadnu kontrolu spracúvania osobných údajov prevádzkovateľom monitorujúcim priestor prístupný verejnosti. Prevádzkovateľ spracúval osobné údaje podľa § 15 ods. 7 zákona o ochrane osobných údajov prostredníctvom kamerového systému s centrálnym ovládacím pultom na vrátnici administratívnej budovy, ktorý nevyhotovoval záznam z monitorovania priestorov prístupných verejnosti.

Úrad sa zameral na dodržiavanie zákonnosti a podmienok prevádzky kamerového systému. Podozrenie z porušenia povinností poukazovalo na nedodržiavanie ustanovení zákona o ochrane osobných údajov pri spracúvaní osobných údajov, s dôrazom na bezpečnosť spracúvaných osobných údajov.

Podľa § 15 ods. 7 zákona o ochrane osobných údajov možno priestor prístupný verejnosti monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný; monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.

Prevádzkovateľ monitoroval okrem súkromného pozemku aj značnú časť verejnej komunikácie susediacej so súkromným pozemkom a administratívnou budovou

64

prevádzkovateľa. Prostredníctvom kamerového systému nedochádzalo k vyhotovovaniu záznamov z monitorovania, ale k zobrazovaniu osobných údajov vo forme tzv. live streamingu v kvalite umožňujúcej spoľahlivú identifikáciu dotknutej osoby.

Prevádzkovateľ počas celého výkonu kontroly tvrdil, že v danej súvislosti nevytvoril informačný systém a ani nespracúval osobné údaje dotknutých osôb. Prevádzkovateľ vychádzal z domnienky, že za spracúvanie osobných údajov monitorovaním priestoru prístupného verejnosti je možné považovať len ich uchovávanie na hmotnom nosiči.

Na základe identifikovaných skutočností úrad konštatoval, že prevádzkovateľ spracúval osobné údaje dotknutých osôb monitorovaním priestoru prístupného verejnosti prehliadaním obrazových informácií týkajúcich sa konkrétnych fyzických osôb a ich konania v monitorovanom priestore oprávnenou osobou a využitie takto získaných informácií na účely ochranu majetku. Na základe týchto spracovateľských operácií môže prevádzkovateľ získať osobné údaje dotknutej osoby v súvislosti s jej zodpovednosťou za škodu spôsobenú na majetku prevádzkovateľa. Nezaznamenávanie obrazových informácií týkajúcich sa identifikovanej alebo identifikovateľnej fyzickej osoby nemá vplyv na skutočnosť, že prevádzkovateľ spracúva osobné údaje na vopred stanovený účel pomocou riadne vymedzených prostriedkov spracúvania osobných údajov.

Úrad vykonanou kontrolou zistil, že prevádzkovateľ si vo vzťahu k spracúvaniu osobných údajov monitorovaním priestoru prístupného verejnosti splnil povinnosť zreteľne označiť monitorovaný priestor v súlade s § 15 ods. 7 zákona o ochrane osobných údajov. Prevádzkovateľ však neviedol evidenciu o informačnom systéme, nepoučil oprávnené osoby o ich právach a povinnostiach a neprijal primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov. Prevádzkovateľ konal v rozpore s § 19 ods. 1, § 21 a § 43 ods. 1 zákona o ochrane osobných údajov.

Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku a nariadil prevádzkovateľovi prijať primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, poučiť oprávnené osoby a viesť evidenciu o informačnom systéme osobných údajov. Prevádzkovateľ podal v zákonom stanovenej lehote rozklad voči rozhodnutiu o uložení opatrení. Úrad opätovne posúdil všetky podklady a dôkazy sústredené v priebehu konania a rozhodnutím o rozklade, zamietol opravný prostriedok podaný prevádzkovateľom a potvrdil rozhodnutie o opatreniach na nápravu zistených nedostatkov. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote.

10.14 Sprístupnenie osobných údajov poskytovateľom zdravotnej starostlivosti

Na základe medializovanej informácie začal úrad v roku 2013 podľa nového zákona o ochrane osobných údajov konanie z vlastnej iniciatívy a následne vykonal mimoriadnu kontrolu spracúvania osobných údajov v rámci konania o ochrane osobných údajov. Prevádzkovateľ pri poskytovaní zdravotnej starostlivosti mal prostredníctvom lístkov s poučením pred odborným vyšetrením sprístupniť informácie o zdravotnom stave pacientov, uvedené na druhej strane lístka.

Úrad sa zameral na preverenie okolností neoprávneného sprístupnenia osobných údajov pacientov v priestoroch čakárne prevádzkovateľa v nadväznosti na plnenie povinností vyplývajúcich prevádzkovateľovi zo zákona o ochrane osobných údajov.

65

Úrad v priebehu kontroly zistil, že kontrolovaná osoba prijala primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov a svoje oprávnené osoby poučila o právach a povinnostiach zdravotníckeho pracovníka pri spracúvaní osobných údajov. Vo vzťahu k neoprávnenému sprístupneniu osobných údajov pacientov úrad zistil, že k bezpečnostnému incidentu došlo v dôsledku zlyhania ľudského faktora, resp. tento incident bol motivovaný snahou zdravotnej sestry znížiť administratívne náklady ambulancie využitím prázdnych zadných strán listín, ktoré na predných stranách obsahovali osobné údaje pacientov.

Prevádzkovateľ spracúval osobné údaje na základe osobitného zákona č. 576/2004 Z. z., ktorý ustanovuje účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov. Prevádzkovateľ môže osobné údaje spracúvať len v rozsahu a spôsobom, ktorý ustanovuje tento osobitný zákon. Spracúvané osobné údaje možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak zákon o ochrane osobných údajov neustanovuje inak. Sprístupňovanie osobných údajov pacientov z ich zdravotnej dokumentácie iným pacientom však zákon č. 576/2004 Z. z. neumožňuje. V nadväznosti na zistené skutočnosti úrad konštatoval porušenie § 10 ods. 2 zákona o ochrane osobných údajov.

Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku a nariadil prevádzkovateľovi prijať opatrenia s cieľom zabezpečiť spracúvanie osobných údajov dotknutých osôb (pacientov) pri vedení zdravotnej dokumentácie v súlade s § 10 ods. 2 zákona o ochrane osobných údajov. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote. Úrad uložil prevádzkovateľovi sankciu za porušenie zákona o ochrane osobných údajov.

10.15 Neoprávnené sprístupnenie osobných údajov orgánom štátnej správy

Na základe medializovanej informácie vykonal úrad v roku 2014 mimoriadnu kontrolu spracúvania osobných údajov v rámci konania o ochrane osobných údajov. Prevádzkovateľ, orgán štátnej správy, umiestnil nedostatočne znehodnotené listiny obsahujúce osobné údaje dotknutých osôb do nádob určených na zber komunálneho odpadu.

Úrad sa zameral na dodržiavanie zákonnosti a podmienok spracúvania osobných údajov dotknutých osôb v informačnom systéme osobných údajov prevádzkovateľa s dôrazom na prijaté bezpečnostné opatrenia zodpovedajúce podmienkam spracúvania osobných údajov a likvidáciu listinných nosičov osobných údajov.

Prevádzkovateľ sa v súvislosti s bezpečnostným incidentom pri likvidácii osobných údajov vyjadril, že tento bol zavinený nesprávnym postupom oprávnenej osoby pri likvidácií nepotrebných dokumentov obsahujúcich osobné údaje dotknutých osôb, pričom nešlo o veľký počet týchto dokumentov. Zároveň sa vyjadril, že štandardný postup likvidácie nepotrebných dokumentov je realizovaný ich sústreďovaním do uzamknutého zberného kontajnera umiestneného vo vnútorných priestoroch prevádzkovateľa a ich následnou hromadnou skartáciou.

66

Prevádzkovateľ predložil prijaté bezpečnostné opatrenia vo forme bezpečnostného projektu na ochranu osobných údajov, ktorý bol vypracovaný podľa zákona č. 428/2002 Z. z., na ktorý sa v danom čase vzťahovali ešte prechodné ustanovenia podľa § 76 ods. 7 zákona o ochrane osobných údajov. Berúc do úvahy okolnosti bezpečnostného incidentu úrad konštatoval, že prevádzkovateľ neprijal primerané bezpečnostné opatrenia na zamedzenie vzniku bezpečnostného incidentu, keď nevedel hodnoverne preukázať, že s postupmi upravenými v bezpečnostnom projekte riadne oboznámil oprávnené osoby. Úrad ďalej konštatoval, že prevádzkovateľ si nesplnil povinnosť poučiť oprávnené osoby o ich právach a povinnostiach.

Úrad neuložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov z dôvodu ich odstránenia ešte v priebehu konania; prevádzkovateľ prijal primerané bezpečnostné opatrenia zodpovedajúce podmienkam spracúvania osobných údajov a opätovne poučil oprávnené osoby o ich právach a povinnostiach ešte v priebehu konania.

10.16 Sprístupnenie rodného čísla v poštovom styku

Úrad v 1. polroku 2013 prešetroval podľa zákona č. 428/2002 Z. z. oznámenie dotknutej osoby smerujúce voči prevádzkovateľovi, ktorý zastupoval klientov v colnom konaní a zároveň vykonával poštový platobný styk a poskytoval univerzálne poštové služby. Dotknutá osoba namietala uvedenie rodného čísla spolu s adresou na doručenej poštovej zásielke.

Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor (rodné číslo) ustanovený osobitným zákonom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania, t. j. ak by nepoužitím rodného čísla došlo alebo mohlo dôjsť k vážnym chybám pri spracúvaní osobných údajov zámenou fyzických osôb, a to najmä v informačných systémoch, v ktorých sú spracúvané osobitné kategórie osobných údajov.

Prešetrovaním predmetnej veci úrad zistil, že prevádzkovateľ spracúva rodné čísla dotknutých osôb za účelom zastupovania v colnom konaní podľa zákona č. 199/2004 Z. z. colný zákon a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, ktorý fyzickej osobe ukladá povinnosť uviesť na účely colného konania svoje rodné číslo.

Prevádzkovateľ spracúval osobné údaje dotknutých osôb v informačnom systéme, ktorý bol prioritne nastavený na spracúvanie údajov o právnických osobách. V prípade, že deklarantom v colnom konaní bola fyzická osoba, prevádzkovateľ zapísal rodné číslo do položky DIČ (daňové identifikačné číslo). Pri následnom spracúvaní bolo rodné číslo dotknutej osoby spolu s jej doručovacou adresou automaticky generované aj na písomnom potvrdení o úhrade a vložené do obálky opatrenej okienkom z priehľadnej fólie tak, že pod doručovacou adresou figurovala informácia o DIČ, v rámci ktorej bolo uvedené rodné číslo dotknutej osoby.

Uvádzaním rodných čísel dotknutých osôb na písomnom potvrdení o úhrade spracúval prevádzkovateľ osobné údaje dotknutých osôb v rozpore s § 6 ods. 1 písm. e) zákona č. 428/2002 Z. z., keď nezabezpečil, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené. Sprístupnením rodného čísla dotknutých osôb oprávneným osobám v rámci poštového styku, vystavil prevádzkovateľ

67

dotknuté osoby zvýšenému riziku zneužitia spracúvaných osobných údajov. Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku, zakázal prevádzkovateľovi spracúvať rodné číslo dotknutých osôb v poštovom styku a nariadil prevádzkovateľovi prijať technické opatrenia pri generovaní písomného potvrdenia o úhrade tak, aby nedochádzalo automaticky k uvedeniu rodného čísla pri adrese dotknutej osoby. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote.

10.17 Spracúvanie osobných údajov pri objasňovaní priestupkov

Úrad v 1. polroku 2013 preveroval podľa zákona č. 428/2002 Z. z. oznámenie dotknutej osoby smerujúce voči mestu ako prevádzkovateľovi, v ktorého pôsobnosti vykonáva svoju činnosť obecná polícia. Predmetom oznámenia bolo vyhotovenie fotografie dotknutej osoby pri dokumentovaní dopravného priestupku.

Prešetrovaním predmetnej veci úrad zistil, že príslušníci obecnej polície pri dokumentovaní dopravného priestupku vyhotovili fotografiu motorového vozidla, v blízkosti ktorého sa v čase dokumentovania priestupku zdržiavala aj dotknutá osoba (priestupca), ktorá sa na výzvu príslušníkov mestskej polície odmietla od vozidla vzdialiť.

Spracúvať osobitné kategórie osobných údajov dotknutých osôb možno len za podmienok ustanovených osobitným zákonom alebo so súhlasom dotknutej osoby. Činnosť obecnej polície, jej organizáciu, práva a povinnosti upravuje zákon č. 564/1991 Zb. o obecnej polícii v znení neskorších predpisov, ktorý vo vzťahu k spracúvaniu osobitnej kategórie osobných údajov vyhotovovaním fotografií fyzických osôb páchajúcich priestupky neoprávňuje vyhotovovať fotografie dotknutých osôb bez ich súhlasu.

Preverením stavu spracúvania osobných údajov u prevádzkovateľa úrad zistil, že pri objasňovaní priestupkov nedochádzalo prevádzkovateľom k systematickému spracúvaniu osobných údajov dotknutých osôb na fotografiách za podmienok stanovených zákonom č. 428/2002 Z. z.

V danom prípade úrad šetrením zistil, že k spracúvaniu osobných údajov dotknutej osoby na fotografii dokumentujúcej dopravný priestupok došlo v intencii § 2a zákona č. 428/2002 Z. z., podľa ktorého sa tento zákon nevzťahuje na ochranu osobných údajov, ktoré boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.

10.18 Monitorovanie vyhotovovaním fotografií

Na základe oznámenia dotknutej osoby úrad v 1. polroku 2013 prešetroval podľa zákona č. 428/2002 Z. z. monitorovanie osôb, dopravných prostriedkov a pracovných strojov na súkromnom pozemku oznamovateľa, smerujúce voči mestu ako prevádzkovateľovi, v ktorého pôsobnosti vykonáva svoju činnosť obecná polícia.

Prevádzkovateľ vyhotovovanie fotodokumentácie o dianí na súkromnom pozemku oznamovateľa odôvodňoval plnením úloh vyplývajúcich z osobitných zákonov, najmä zákona

68

č. 564/1991 Zb. o obecnej polícii v znení neskorších predpisov, ale aj zákona o priestupkoch, stavebného zákona a iných všeobecne záväzných právnych predpisov.

Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa podľa § 8 ods. 1 zákona č. 428/2002 Z. z. zakazuje. Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov upravuje § 9 zákona č. 428/2002 Z. z. Spracúvať osobitnú kategóriu osobných údajov dotknutých osôb vyhotovovaním ich fotografií mohol prevádzkovateľ na základe ich písomného súhlasu alebo ak také spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých osôb. Zákony, na ktoré sa prevádzkovateľ odvolával, však vo vzťahu k vyhotovovaniu fotografií osôb bez ich súhlasu nenadobúdajú postavenie osobitných zákonov, resp. prevádzkovateľa neoprávňovali vyhotovovať fotografie bez súhlasu dotknutých osôb. Prevádzkovateľ spracúval osobné údaje dotknutých osôb na fotografiách v rozpore s § 9 zákona č. 428/2002 Z. z.

Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku, zakázal prevádzkovateľovi spracúvať osobitnú kategóriu osobných údajov dotknutých osôb vyhotovovaní ich fotografií a nariadil prevádzkovateľovi prijať opatrenia smerujúce k zamedzeniu takého konania osobami plniacimi povinnosti podľa zákona č. 564/1991 Zb. o obecnej polícii v znení neskorších predpisov. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote.

10.19 Spracúvanie osobných údajov v rámci depistážneho prieskumu

V konaní začatom z vlastnej iniciatívy úrad v 1. polroku 2013 prešetroval podľa zákona č. 428/2002 Z. z. medializovanú informáciu súvisiacu so spracúvaním osobných údajov v celoslovenskom depistážnom prieskume výskytu problémového správania sa a učenia žiakov základných škôl, sociálne znevýhodnených žiakov, žiakov so zdravotným znevýhodnením a nadaných žiakov, ktorý bol uskutočnený prevádzkovateľom v rámci národného projektu Komplexný systém prevencie a ovplyvňovania sociálno-patologických javov v školskom prostredí.

Prešetrovaním veci úrad zistil, že prevádzkovateľ nespracúval osobné údaje získané depistážnym prieskumom ako anonymizované v zmysle § 4 ods. 1 písm. k) zákona č. 428/2002 Z. z., teda upravené do takej formy, v ktorej ich nemožno priradiť dotknutej osobe, ktorej sa týkajú. Žiak bol v depistážnom prieskume označený jednoznačným a nezameniteľným číselným kódom, pod ktorým bol paralelne evidovaný v depistážnom dotazníku a v mennom zozname žiakov zaradených do depistáže, ktorý zostáva archivovaný u riaditeľa školy. Nakoľko depistážne dotazníky obsahovali identifikáciu školy a triedy, umožňovali, na základe menného zoznamu žiakov zaradených do depistáže, priradiť dotknutú osobu k spracúvaným údajom.

Depistážny dotazník obsahoval údaje, ktoré školy o žiakoch a ich zákonných zástupcoch spracúvali na základe zákona č. 245/2008 Z. z. o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. Dotazník tiež obsahoval charakteristiky osobnosti žiaka, ktoré nie sú obsahom pedagogickej dokumentácie,

69

ako i údaje o žiakoch a ich zákonných zástupcoch, ktoré školy podľa školského zákona neboli oprávnené systematicky spracúvať.

Poskytnúť osobné údaje z informačného systému, spracúvané na základe osobitného zákona, možno, len ak osobitný zákon ustanovuje účel poskytovania, zoznam osobných údajov, ktoré možno poskytnúť ako aj tretie strany, ktorým sa osobné údaje poskytujú. Školský zákon, ako osobitný zákon vo vzťahu k spracúvaniu osobných údajov žiakov a ich zákonných zástupcov, neupravuje podmienky poskytnutia osobných údajov dotknutých osôb na účel depistážneho prieskumu. Osobné údaje dotknutých osôb boli školami poskytnuté prevádzkovateľovi v rozpore s ustanovením § 7 ods. 3 zákona č. 428/2002 Z. z.

Charakteristiky osobnosti žiaka, ktoré nie sú obsahom pedagogickej dokumentácie, ako i údaje o žiakoch a ich zákonných zástupcoch, ktoré školy spracúvali nad rámec školského zákona, boli spracúvané ako poznatky triednych učiteľov získané o žiakoch a ich zákonných zástupcoch v procese výchovy a vzdelávania. Prevádzkovateľ tak zaradil do depistážneho prieskumu osobné údaje získané od inej osoby (triedneho učiteľa) v rozpore s ustanovením § 7 ods. 5 zákona č. 428/2002 Z. z. podľa ktorého osobné údaje o dotknutej osobe možno získať od inej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby.

Úrad uložil prevádzkovateľovi opatrenie na nápravu zistených nedostatkov a príčin ich vzniku a nariadil prevádzkovateľovi upraviť osobné údaje získané a spracúvané na účel depistážneho prieskumu do takej podoby, v ktorej ich nemožno priradiť dotknutým osobám, ktorých sa týkajú. Prevádzkovateľ splnil uložené opatrenia v stanovenej lehote.

Aj na základe vyššie uvedených prípadov možno konštatovať, že úrad využíval zákonné prostriedky pri výkone dozoru nad ochranou osobných údajov; napríklad pri výkone kontroly poskytoval vysvetlenie prevádzkovateľom tak, aby tam, kde to bolo možné, boli namieste odstránené nedostatky, čím sa dopomohlo k spracúvaniu osobných údajov v súlade so zákonom. Obdobne úrad postupoval pri ukladaní pokút za porušenie zákona; tam, kde to zákon o ochrane osobných údajov umožňoval, úrad posudzoval a zohľadňoval všetky okolnosti odôvodňujúce obligatórne, resp. fakultatívne uloženie pokuty.

11 Opravné prostriedky a rozhodovanie o nich

Legislatívna zmena zákona o ochrane osobných údajov v roku 2013 sa dotkla aj procesného postupu vybavovania opravných prostriedkov, nie však vo vzťahu k možnosti ich využitia.

V prvom polroku 2013 zákonným prostriedkom na nápravu a zosúladenie spracúvania osobných údajov prevádzkovateľom alebo sprostredkovateľom s právnym stavom vyplývajúcim zo zákona č. 428/2002 Z. z. bolo opatrenie. Ak úrad zistil porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom zo strany prevádzkovateľa alebo sprostredkovateľa, rozhodnutím uložil, aby prevádzkovateľ alebo sprostredkovateľ v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku. Prevádzkovateľ alebo sprostredkovateľ bol zároveň povinný informovať úrad o splnení uložených opatrení v úradom určenej lehote. Za porušenie povinností ustanovených zákon č. 428/2002 Z. z. bol úrad oprávnený uložiť aj pokutu.

70

Ukladanie pokút úrad vykonával diferencovane, podľa závažnosti, času trvania a následkov protiprávneho konania.

Podľa zákona č. 428/2002 Z. z. predsedníčka úradu, ako odvolací orgán, rozhodovala o 10 podaných námietkach voči opatreniu, troch podaných rozkladoch voči rozhodnutiu o pokute a jednému podanému rozkladu voči rozhodnutiu o poriadkovej pokute. S poukazom na prechodné ustanovenie nového zákona o ochrane osobných údajov, podľa ktorého konania začaté pred dňom nadobudnutia účinnosti nového zákona o ochrane osobných údajov, sa dokončia podľa doterajších predpisov, v roku 2014 predsedníčka úradu rozhodovala ešte o dvoch podaných námietkach voči opatreniu podľa zákona č. 428/2002 Z. z. V roku 2013 predsedníčka úradu v piatich uvedených prípadoch podané námietky zamietla a rozhodnutie úradu v prvom stupni potvrdila, v dvoch prípadoch rozhodnutie zmenila a v ďalších dvoch zrušila. Rozkladom voči uloženiu pokuty podľa zákona č. 428/2002 Z. z. vyhovela vo všetkých prípadoch a rozhodnutie prvostupňového orgánu zrušila. V roku 2014 predsedníčka úradu vyhovela jednej podanej námietke dotknutého subjektu podľa zákona č. 428/2002 Z. z. a vec vrátila na ďalšie konanie a v druhom prípade podané námietky zamietla a rozhodnutie úradu v prvom stupni potvrdila.

Od 1. júla 2013 sa účinnosťou nového zákona o ochrane osobných údajov v konaní o ochrane osobných údajov zaviedla subsidiárna aplikácia správneho poriadku. Konanie o ochrane osobných údajov, ako jeden z možných nástrojov na zistenie, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov, umožňuje úradu zjednať nápravu formou uloženia opatrení na nápravu a v závislosti od typu porušenia zákona uložiť aj sankciu (obligatórnu alebo fakultatívnu). Výška sankcie sa odvíja od závažnosti, času trvania a následkov protiprávneho konania, opakovania takéhoto konania, miery ohrozenia súkromného a rodinného života a od počtu dotknutých osôb.

Podľa nového zákona o ochrane osobných údajov predsedníčka úradu, ako odvolací orgán, v hodnotenom období rozhodovala o 14 podaných rozkladoch proti rozhodnutiam vydaných v konaní o ochrane osobných údajov, ôsmych rozkladoch proti rozhodnutiam o uložení pokuty a jednom odvolaní proti rozhodnutiu o uložení poriadkovej pokuty. V konaní o ochrane osobných údajov predsedníčka úradu potvrdila osem rozhodnutí a šesť zrušila a vrátila na ďalšie konanie. V konaní o pokute potvrdila štyri rozhodnutia a štyri zrušila a vrátila na ďalšie konanie a v prípade poriadkovej pokuty, rozhodnutie v prvom stupni potvrdila.

Rozhodovanie v druhom stupni sa okrem konania o ochrane osobných údajov a konania o pokute (poriadkovej pokute) dotýka aj rozhodovacej činnosti úradu v konaní o osobitnej registrácii informačného systému. V rámci rozhodovacej činnosti v oblasti osobitných registrácií boli úradu doručené tri odvolania proti rozhodnutiam o neudelení osobitnej registrácie a proti rozhodnutiam o zastavení konania o osobitnej registrácii, pričom vo všetkých prípadoch predsedníčka úradu, ako odvolací orgán, zrušila rozhodnutia a veci vrátila na ďalšie konanie.

71

12 Práva dotknutých osôb a ich obmedzenie v administratívnoprávnej, občianskoprávnej a trestnoprávnej rovine

12.1 Obmedzenie práv dotknutých osôb podľa zákona o ochrane osobných údajov

Zákon o ochrane osobných údajov definuje dotknutú osobu ako fyzickú osobu, ktorej sa osobné údaje týkajú. Dotknutá osoba má na základe písomnej žiadosti u prevádzkovateľa právo najmä na prístup k spracúvaným osobným údajom a právo namietať spracúvanie osobných údajov. Účelom ustanovenia § 28 zákona o ochrane osobných údajov upravujúceho práva dotknutých osôb je poskytnúť dotknutým osobám najmä potrebnú ochranu a zaručiť im práva, ktoré im, ako dotknutým osobám pri spracúvaní ich osobných údajov prináležia. Prevádzkovateľ je povinný vybaviť žiadosť dotknutej osoby písomnou formou v zákonom určenej 30 dňovej lehote.

Prevádzkovateľ môže obmedziť právo dotknutej osoby (nevyhovieť jej žiadosti), len v prípade, ak si uplatnila svoje právo na opravu alebo likvidáciu svojich nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania a svoje právo na likvidáciu osobných údajov, ktorých účel spracúvania sa skončil. Obmedzenie týchto práv dotknutej osoby je možné, len ak to vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb. Obmedzenie práva dotknutej osoby je prevádzkovateľ povinný bez zbytočného odkladu písomne oznámiť dotknutej osobe, ako aj úradu.

Úrad eviduje doručené písomné oznámenia prevádzkovateľov o obmedzení práv (nevyhovenie žiadosti) dotknutých osôb. Každé oznámenie o obmedzení práva dotknutej osoby úrad preskúmava a posudzuje vo vzťahu k tomu, či prevádzkovateľ obmedzil právo dotknutej osoby v súlade so zákonom.

Úrad v roku 2013 zaevidoval 108 oznámení o obmedzení práv dotknutých osôb a v roku 2014 zaevidoval 210 oznámení o obmedzení práv dotknutých osôb.

Dotknuté osoby si svoje práva v zmysle zákona o ochrane osobných údajov najčastejšie uplatňovali u prevádzkovateľov, ktorí sú poskytovateľmi spotrebiteľského financovania (úverové produkty), splátkového predaja, ale aj u bánk a poisťovní.

Najčastejšie dochádzalo k obmedzovaniu práv dotknutých osôb z dôvodu aplikácie ustanovení osobitných zákonov, ako napríklad zákon č. 483/2001 Z. z. o bankách v znení neskorších predpisov, podľa ktorého je banka povinná uschovávať údaje a kópie dokladov o preukázaní totožnosti klienta najmenej päť rokov od ukončenia obchodu. Ak si dotknuté osoby uplatňujú právo na likvidáciu svojich osobných údajov z dôvodu, že napríklad už prestali byť klientom banky a účel spracúvania sa skončil, banka nemôže takejto požiadavke dotknutej osoby vyhovieť a jej práva musí obmedziť (osobné údaje nemôže zlikvidovať z dôvodu povinnosti päť ročnej archivácie). Ďalšími takýmito osobitnými zákonmi, ktoré upravujú osobitné lehoty uloženia sú napríklad zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov a zákona č. 431/2002 Z. z. o účtovníctve v znení neskorších predpisov.

Počet oznámení o obmedzení práv dotknutých osôb doručených dotknutým osobám a zároveň úradu na vedomie zo strany prevádzkovateľov má rastúcu tendenciu. Tento trend korešponduje stúpajúcemu charakteru otázok verejnosti (pozri časť 4.1), najmä zo strany

72

dotknutých osôb, ktoré sa čoraz viac zaujímajú o to, kto spracúva ich osobné údaje, čo sa s nimi deje počas celého procesu ich spracúvania a snažia sa zabrániť neoprávnenému spracúvaniu ich osobných údajov, resp. spracúvaniu na iný účel, než na ktorý poskytli svoje osobné údaje.

12.2 Ohlasovanie incidentov podľa zákona o elektronických komunikáciách

Osobitnú úpravu v rámci oznamovacej povinnosti ustanovuje zákon o elektronických komunikáciách. Oznamovacia povinnosť sa podľa § 56 ods. 5 a 6 zákona o elektronických komunikáciách vzťahuje na porušenie ochrany osobných údajov podnikmi, ktoré poskytujú verejné služby. Takéto porušenie je podnik povinný bezodkladne oznámiť Úradu pre reguláciu elektronických komunikácií a poštových služieb.

Zákon o elektronických komunikáciách v tejto súvislosti upravuje jednotlivé práva a povinnosti s ohľadom na plnenie oznamovacej povinnosti a zabezpečenia ochrany súkromia a osobných údajov. Spolu so zákonom o ochrane osobných údajov určujú hranice kompetencií úradu, ako štátneho orgánu s celoslovenskou pôsobnosťou vykonávajúceho nezávislý dozor nad ochranou osobných údajov a Úradu pre reguláciu elektronických komunikácií a poštových služieb, ako regulačného úradu pre oblasť elektronických komunikácií vykonávajúceho dohľad v rozsahu určenom zákonom o elektronických komunikáciách. Spolupráca úradov za účelom ochrany osobných údajov na úseku elektronických komunikácií je z hľadiska ich pôsobnosti a kompetencií potrebná.

V hodnotenom období úrad oslovil Úrad pre reguláciu elektronických komunikácií a poštových služieb vo veci plnenia povinnosti oznamovať porušenie ochrany osobných údajov podľa zákona o elektronických komunikáciách. Za porušenie ochrany osobných údajov podľa tohto zákona Úrad pre reguláciu elektronických komunikácií a poštových služieb považoval porušenie bezpečnosti, ktoré malo za následok náhodné alebo nezákonné zničenie, stratu, zmenu, nedovolené zverejnenie alebo sprístupnenie osobných údajov, ktoré sa prenášajú, ukladajú alebo inak spracúvajú v súvislosti s poskytovaním verejne dostupnej komunikačnej služby.

V roku 2014 Úrad pre reguláciu elektronických komunikácií a poštových služieb prijal dve oznámenia o porušení ochrany osobných údajov; predmetom jeho dohľadu bolo hodnotenie kvality poskytovaných služieb účastníkom zo strany podnikov, integrity a bezpečnosti sietí a služieb.

12.3 Ochrana osobnosti a súkromia v občiansko-právnej rovine

Ochrana osobnosti a súkromia človeka má v právnom poriadku Slovenskej republiky svoje nezastupiteľné miesto. Ich ochranu pred neoprávnenými zásahmi priznávajú aj právne predpisy patriace do občianskoprávnej roviny, najmä zákon č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov (ďalej len „Občiansky zákonník“) alebo Zákonník práce.

Ochrana osobnosti a súkromia sa zaručuje nielen vo vzťahu k orgánom verejnej moci, ale aj pred neoprávneným zasahovaním fyzických osôb a právnických osôb do súkromného a rodinného života iných osôb. Fyzická osoba, ktorej bolo neoprávnene zasiahnuté do práva

73

na ochranu jej osobnosti, môže podľa Občianskeho zákonníka uplatniť prostriedky osobnostno-právnej ochrany na príslušnom súde.

V hodnotenom období úrad oslovil Ministerstvo spravodlivosti Slovenskej republiky vo veci súdnych sporov týkajúcich sa ochrany osobnosti, osobných údajov a súkromia jednotlivcov. V rámci súdnej agendy v oblasti občianskoprávnych nárokov bolo vo všeobecnosti v rokoch 2013 a 2014 spolu právoplatne skončených 711 vecí; v roku 2013 išlo o 231 vecí a v roku 2014 to bolo 480 vecí. Pokiaľ ide o veci týkajúce sa priamo ochrany osobných údajov a súkromia jednotlivcov, súdy v roku 2013 právoplatne ukončili 49 vecí a v roku 2014 právoplatne ukončili 40 vecí.

12.4 Trestnoprávny aspekt ochrany osobných údajov

Ochrana osobných údajov predstavuje problematiku, ktorá je prierezovo pokrývaná právnym poriadkom Slovenskej republiky vo všetkých oblastiach spoločenského života, vrátane páchania trestných činov na úseku ochrany osobných údajov. Z pohľadu trestno-právnej roviny ide najmä o trestný čin poškodenia a zneužitia záznamu na nosiči informácií podľa § 247 zákona č. 300/2005 Z. z. Trestný zákon v znení neskorších predpisov (ďalej len „Trestný zákon“) a trestný čin neoprávneného nakladania s osobnými údajmi podľa § 374 Trestného zákona. Prešetrovanie a skúmanie, či došlo k naplneniu skutkovej podstaty uvedených trestných činov patrí do kompetencie orgánov činných v trestnom konaní.

V hodnotenom období úrad oslovil Ministerstvo vnútra Slovenskej republiky a Generálnu prokuratúru Slovenskej republiky vo veci páchania trestnej činnosti na úseku ochrany osobných údajov jednotlivcov.

Pri trestnom čine poškodenia a zneužitia záznamu na nosiči informácií podľa § 247 Trestného zákona bol v roku 2013 prokurátormi vykonávaný dozor nad dodržiavaním zákonnosti v prípravnom konaní v 40 trestných veciach, pričom v 14 z nich bolo vznesené obvinenie celkovo 14 páchateľom. V roku 2014 bol u tohto trestného činu vykonávaný dozor v prípravnom konaní v 33 trestných veciach, z toho nebolo vznesené obvinenie žiadnej osobe.

Z pohľadu páchania trestnej činnosti poškodenia a zneužitia záznamu na nosiči informácií príslušníkmi Policajného zboru, tento nebol v rokoch 2013 a 2014 zaznamenaný. Pokiaľ ide o občanov Slovenskej republiky, trestný čin poškodenia a zneužitia záznamu na nosiči informácií bol Policajným zborom v roku 2013 zistený celkovo v 40 prípadoch, z toho 11 bolo objasnených. V roku 2014 bol zistený v 16 prípadoch a v 5 bol objasnený.

Pri trestnom čine neoprávneného nakladania s osobnými údajmi podľa § 374 Trestného zákona bol v roku 2013 prokurátormi vykonávaný dozor nad dodržiavaním zákonnosti v prípravnom konaní v 93 trestných veciach, z toho bolo vznesené obvinenie v 18 prípadoch, trestne stíhaných bolo 18 osôb. V roku 2014 bol u tohto trestného činu vykonávaný dozor v prípravnom konaní v 50 trestných veciach, v ktorých bolo vznesené obvinenie v 9 veciach, pričom trestne stíhaných bolo 9 osôb.

Z pohľadu páchania trestného činu neoprávneného nakladania s osobnými údajmi príslušníkmi Policajného zboru, v roku 2013 išlo o 4 prípady, pričom poškodených bolo celkovo 33 osôb. V roku 2014 išlo o 1 prípad, kde poškodená bola jedna osoba. Pokiaľ ide o občanov Slovenskej republiky, trestný čin neoprávneného nakladania s osobnými údajmi

74

bol Policajným zborom v roku 2013 zistený spolu v 19 prípadoch, z toho 3 boli objasnené. V roku 2014 bol zistený v 24 prípadoch, z toho len v jednom prípade bol objasnený.

13 Schengenské acquis v oblasti ochrany osobných údajov

13.1 Schengenský akčný plán Slovenskej republiky (SAP SR) na úseku ochrany osobných údajov

Slovenská republika je súčasťou spoločného schengenského priestoru na základe rozhodnutia Rady Európskej únie zo dňa 6. decembra 2007 o úplnom uplatňovaní schengenského acquis v Českej republike, Estónskej republike, Lotyšskej republike, Litovskej republike, Maďarskej republike, Maltskej republike, Poľskej republike, Slovinskej republike a Slovenskej republike (2007/801/ES). Členstvo v spoločnom schengenskom priestore je založené na udržiavaní vzájomnej dôvery a spolupráce medzi členskými štátmi, aby dokázali plniť svoje záväzky, a tým sa spoločne podieľali na ochrane tohto priestoru.

Dňom vstupu Slovenskej republiky do spoločného schengenského priestoru boli zrušené kontroly na tzv. vnútornej hranici, teda s členskými krajinami schengenského priestoru (Poľsko, Česká republika, Rakúsko a Maďarsko) a vonkajšou hranicou schengenského priestoru sa stala štátna hranica Slovenskej republiky s Ukrajinou a tri medzinárodné letiská (Letisko M. R. Štefánika Bratislava, Letisko Košice a Letisko Poprad – Tatry). Vstupom Slovenskej republiky do schengenského priestoru sa neskončila povinnosť dbať na správnu implementáciu schengenského acquis, ktoré bolo overené v Slovenskej republike v priebehu schengenských hodnotení uskutočnených v rokoch 2005 až 2007. Naopak, Slovenská republika bola a naďalej je povinná ho rozvíjať, a to s ohľadom na legislatívny, politický a technický vývoj v tejto oblasti.

Základným strategickým národným dokumentom Slovenskej republiky pre oblasť schengenskej spolupráce je Schengenský akčný plán Slovenskej republiky (SAP SR), ktorý pripravilo Ministerstvo vnútra Slovenskej republiky za účelom správneho uplatňovania schengenského acquis v Slovenskej republike. Účelom SAP SR je identifikovať existujúce nedostatky v implementácii schengenského acquis a vytýčiť ciele a konkrétne opatrenia smerujúce k ich odstráneniu. Za obdobie členstva Slovenskej republiky v spoločnom schengenskom priestore boli vykonané periodické hodnotenia v rokoch 2012 a 2013 podľa vopred schváleného päťročného plánu.

Jednou z hodnotených oblastí uplatňovania shcengenského asquis je aj oblasť ochrany osobných údajov, na ktorú kladie právo Európskej únie veľký dôraz. Súčasťou dôrazu na ochranu osobných údajov je aj zabezpečenie záruk nezávislosti dozorného orgánu, a to ako z hľadiska formálnej pôsobnosti stanovenej právnym poriadkom, tak z hľadiska reálneho výkonu tejto pôsobnosti, pre ktorú je nevyhnutné dostatočné personálne obsadenie a finančné zabezpečenie. V tejto súvislosti boli v rámci SAP SR sformulované úlohy, ktoré bolo potrebné aj na úseku ochrany osobných údajov splniť, a ktoré je potrebné plniť priebežne každý rok.

Dňa 30. novembra 2011 vláda Slovenskej republiky uznesením č. 755 schválila SAP SR, ktorým v bode B.2. uložila povinnosť ministrovi vnútra Slovenskej republiky predložiť v termíne do 31. mája 2012 Správu o plnení opatrení vyplývajúcich zo SAP SR. SAP SR sa pravidelne vyhodnocuje, aktualizuje a dopĺňa najmä s dôrazom na výsledky jednotlivých

75

hodnotení. Dňa 9. januára 2013 vláda Slovenskej republiky schválila správu o plnení opatrení vyplývajúcich zo SAP SR a 1. aktualizáciu SAP SR. Dňa 7. marca 2013 vláda SR schválila 2. aktualizované znenie SAP SR a vzala na vedomie správu o plnení opatrení vyplývajúcich z 1. aktualizovaného znenia SAP SR. Dňa 15. januára 2014 vláda Slovenskej republiky schválila 3. aktualizované znenie SAP SR a vzala na vedomie správu o plnení opatrení vyplývajúcich z 2. aktualizovaného znenia SAP SR.

Plnenie úloh, ako aj ďalšie postupy boli priebežne v zmysle aktualizácií SAP SR vykonávané v spolupráci s Ministerstvom vnútra Slovenskej republiky a Generálnou prokuratúrou Slovenskej republiky. Vo vzťahu k úradu sa jednalo najmä o

a)zabezpečenie spolupráce vnútroštátneho dozorného orgánu (úradu) s ostatnými dozornými orgánmi v rozsahu potrebnom na výkon ich povinností a jeho účasť na zasadnutiach Spoločného dozorného orgánu pre Schengen,

b)vykonanie kontroly v národnej ústredni SIRENE (v gescii JSA Schengen) zameranej na súlad spracúvania osobných údajov v Schengenskom informačnom systéme s príslušným právnym rámcom, ako aj na aplikáciu postupov pri vkladaní záznamov do Schengenského informačného systému,

c)vypracovanie a vykonávanie koncepcie (plánu) inšpekcií vrátane inšpekcií konzulárnych úradov zameraných na dodržiavanie pravidiel ochrany a bezpečnosti údajov,

d)prijatie legislatívnych úprav, ktoré budú garantovať posilnenie nezávislosti vnútroštátneho dozorného orgánu od výkonnej moci a

e)zabezpečenie vnútroštátnemu dozornému orgánu (úradu) potrebné ľudské, finančné a logistické zdroje na výkon svojich právomocí.

Národná ústredňa SIRENE zasiela úradu dvakrát ročne správy o počte žiadostí dotknutých osôb o prístup k osobným údajom a o výmaz, resp. opravu osobných údajov. Kontrola v Národnej ústredni SIRENE bola vykonaná úradom za účasti zodpovedných osôb Ministerstva vnútra Slovenskej republiky a bola ukončená záznamom o vykonaní kontroly. Úrad v roku 2013 vykonal kontrolu v Národnej ústredni SIRENE podľa plánu kontrol vypracovaného v súlade s predmetným opatrením.

Úrad pripravuje na každý kalendárny rok plán kontrol, v rámci ktorého vykonáva kontrolu konzulárnych úradov so zameraním na dodržiavanie pravidiel ochrany a bezpečnosti údajov. Tieto kontroly sú taktiež koordinované s požiadavkami pracovnej skupiny zriadenej podľa článku 29 smernice Európskeho parlamentu a Rady 95/46/ES, ako aj s požiadavkami Spoločného dozorného orgánu (SDO) pre Schengenský informačný systém a SDO pre vízový informačný systém.

13.2 Kontrola úradu vyplývajúca zo SAP SR

Úrad preveroval stav spracúvania osobných údajov v informačných systémoch, pomocou ktorých sa zabezpečuje praktické vykonávanie schengenského acquis na území Slovenskej republiky. Úrad v hodnotenom období vykonal spolu 7 kontrol prevádzkovateľov, spracúvajúcich osobné údaje dotknutých osôb v národných častiach týchto informačných systémov.

Kontroly národnej časti Schengenského informačného systému druhej generácie (N.SIS.II) a národnej časti Vízového informačného systému (VIS) sú do plánu kontrol

76

zaraďované na základe odporúčania vyplývajúceho z uznesenia vlády Slovenskej republiky č. 755 zo dňa 30. novembra 2011, ktorým vláda schválila Schengenský akčný plán Slovenskej republiky ako prioritu vlády Slovenskej republiky. Na zabezpečenie kontrolných aktivít navrhnutých spoločnými dozornými orgánmi bola do tejto časti plánu kontrol zaradená aj kontrola časti automatizovaného informačného systému na colné účely (CIS).

Úrad kládol dôraz na bezpečnosť spracúvaných osobných údajov prijatím primeraných technických, organizačných a personálnych opatrení. V národných častiach predmetných informačných systémov spracúvajú prevádzkovatelia osobné údaje, vrátane osobitnej kategórie osobných údajov, napríklad biometrické osobné údaje, údaje o rasovom alebo etnickom pôvode a osobné údaje o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť. Vo všetkých prípadoch úrad konštatoval súlad spracúvania osobných údajov dotknutých osôb, v národných častiach kontrolovaných informačných systémov, so zákonom o ochrane osobných údajov.

Identifikácia súladu spracúvania osobných údajov vo všetkých kontrolovaných národných častiach informačných systémov nasvedčuje dôležitosti, akú kladú jednotlivé rezorty na správnu implementáciu schengenského acquis, s dôrazom na bezpečnosť spracúvania osobných údajov.

13.2.1 Kontrola úradu na konzulárnych oddeleniach zastupiteľských úradov Slovenskej republiky

V hodnotenom období úrad vykonal spolu 4 kontroly spracúvania osobných údajov u prevádzkovateľa Ministerstvo zahraničných vecí a európskych záležitostí Slovenskej republiky, na konzulárnom oddelení Veľvyslanectva Slovenskej republiky Bosna a Hercegovina, Generálnom konzuláte Slovenskej republiky v Užhorode, Veľvyslanectva Slovenskej republiky v Skopje a Veľvyslanectva Slovenskej republiky Belehrade.

Kontrola národnej časti Vízového informačného systému na zastupiteľskom úrade v Belehrade bola vykonaná aj v roku 2007. Kontrolou nebolo zistené porušenie ustanovení zákona. Berúc do úvahy zmeny v oblasti bezpečnosti, ktorými jednotlivé zastupiteľstvá prešli v súvislosti so vstupom Slovenskej republiky do schengenského priestoru, v spojení s pôsobnosťou zastupiteľského úradu v citlivej oblasti Balkánu, úrad zaradil zastupiteľský úrad v Belehrade do plánu kontrol.

Úrad vo všetkých prípadoch konštatoval súlad spracúvania osobných údajov so všeobecne záväznými právnymi predpismi.

13.2.2 Kontrola úradu v Národnej ústredni SIRENE

Úrad na základe plnenia úloh vyplývajúcich zo Schengenského akčného plánu Slovenskej republiky vykonal v hodnotenom období rokov 2013 a 2014 dve kontroly Národnej ústredne SIRENE začlenenej do organizačnej štruktúry Úradu medzinárodnej spolupráce Prezídia Policajného zboru.

Kontroly boli zamerané na súlad spracúvania osobných údajov v národnej časti Schengenského informačného systému druhej generácie (N.SIS II), ku ktorému sa Slovenská

77

republika pripojila dňa 9. apríla 2013 s príslušným právnym rámcom, ktorým sa vykonáva Schengenská dohoda, kontrolu aplikácie postupov v súvislosti s vkladaním záznamov do N.SIS II a na bezpečnosť spracúvania osobných údajov dotknutých osôb podľa Schengenského katalógu odporúčaní a najlepších postupov.

Úrad preveroval aj rozsah osobných údajov spracúvaných o osobách hľadaných v súvislosti so zatknutím na účel ich odovzdania alebo vydania, čl. 24 Nariadenia Európskeho parlamentu a Rady č. 1987/2006, na základe ktorého sú spracúvané údaje o štátnych príslušníkoch tretích krajín v súvislosti s odoprením vstupu alebo pobytu, ako aj podľa čl. 36 Rozhodnutia Rady 2007/533/SVV, podľa ktorého sú spracúvané údaje o osobách a predmetoch na účely diskrétneho sledovania alebo cielených kontrol.

Kontrolou postupov Národnej ústredne SIRENE úrad konštatoval súlad spracúvania osobných údajov so všeobecne záväznými právnymi predpismi.

13.2.3 Kriminálny úrad finančnej správy

Úrad na základe koncepcie kontrolných aktivít vymedzených Spoločným colným orgánom pre colné veci (JSA CUSTOMS) a Dozornou koordinačnou skupinou pre colný informačný systém (CSG CIS) vykonal kontrolu spracúvania osobných údajov dotknutých osôb v častiach CIS.

Kontrolou postupov Kriminálneho úradu finančnej správy úrad konštatoval súlad spracúvania osobných údajov so všeobecne záväznými právnymi predpismi.

14 Ochrana osobných údajov vyplývajúca z medzinárodných aktov

14.1 Pracovná skupina 29 (WP 29)

Pracovná skupina 29 alebo A29WP (z angl. Article 29 Working Party) je zriadená podľa článku 29 smernice 95/46/ES. Členmi pracovnej skupiny sú čelní predstavitelia dozorných úradov pre ochranu osobných údajov členských štátov Európskej únie, Európskeho hospodárskeho priestoru, zástupca Európskej komisie a Európsky dozorný úradník pre ochranu osobných údajov (EDPS).

Pracovná skupina 29 je oficiálnym poradným orgánom Európskej komisie pre oblasť ochrany osobných údajov a hlavným fórom pre danú oblasť v rámci Európskej únie. Pracovná skupina 29 bola zriadená na dosiahnutie najmä týchto základných cieľov

a)poskytovať odborné stanoviská na úrovni členských štátov pre Európsku komisiu týkajúce sa otázok ochrany osobných údajov,

b)podporiť jednotné uplatňovanie všeobecných zásad smerníc súvisiacich s ochranou osobných údajov vo všetkých členských štátoch Európskej únie, prostredníctvom spolupráce medzi národnými dozornými orgánmi pre ochranu osobných údajov,

c)poskytovať Európskej komisii poradenstvo týkajúce sa akýchkoľvek opatrení Spoločenstva, ktoré ovplyvňujú práva a slobody osôb vo vzťahu k spracúvaniu osobných údajov a z toho plynúcej ochrany súkromia ľudí.

78

Pracovná skupina článku 29 vydáva stanoviská k právnym aktom Európskej únie a medzinárodným zmluvám, ktoré sa týkajú spracúvania osobných údajov, prijíma odborné stanoviská a odporúčania, ak pri spracúvaní údajov vzniknú situácie, ktoré vnútroštátna legislatíva členských štátov Európskej únie nepredpokladá, ak dochádza k porušovaniu práv dotknutých osôb pri spracovávaní ich osobných údajov. Taktiež vydáva odporúčania národným dozorným orgánom na ochranu osobných údajov k jednotnej implementácii článkov smernice 95/46/ES.

V hodnotenom období rokov 2013 a 2014 v rámci pracovnej skupiny článku 29 aktívne pôsobilo osem špecializovaných podskupín. Úlohou týchto podskupín je príprava stanovísk a pracovných dokumentov k jednotlivým oblastiam spracúvania osobných údajov. Z dôvodu šetrenia finančných prostriedkov sa v hodnotenom období úrad nezúčastňoval stretnutí podskupín a do ich činnosti sa zapájal buď zasielaním písomných podkladov alebo v rámci písomného konania.

V roku 2013 sa uskutočnilo päť plenárnych zasadnutí pracovnej skupiny článku 29, z ktorých sa úrad zúčastnil štyroch. Podobne to bolo aj v roku 2014, kedy sa uskutočnilo päť plenárnych zasadnutí, ale úrad sa z dôvodu plnenia iných úloh zúčastnil iba štyroch plenárnych zasadnutí pracovnej skupiny článku 29.

V roku 2013 pracovná skupina článku 29 prijala sedem odporúčacích stanovísk, dva pracovné dokumenty a jedny vysvetlivky k záväzným vnútropodnikovým pravidlám prevádzkovateľa. V roku 2014 pracovná skupina 29 prijala deväť odporúčacích stanovísk, dva pracovné dokumenty, päť prehlásení a jedny vysvetlivky k uplatňovaniu rozhodnutia Európskeho súdneho dvora v kauze Google vs. Mario Costeja Gonzáles. V uvedených dokumentoch sa pracovná skupiny článku 29 venovala napríklad záväzným vnútropodnikovým pravidlám, účelu spracovania osobných údajov, spracúvaniu osobných údajov na účely ochrany práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, rozhodnutiam Európskeho súdneho dvora alebo spracúvaniu osobných údajov IT technológiami, ako aplikáciami pre mobilné telefóny, internetom vecí. Uvedené dokumenty sú zverejnené na webovej stránke pracovnej skupiny.

14.2 Výbor zriadený podľa článku 31 (WP 31)

Výbor na ochranu osôb s ohľadom na spracúvanie ich osobných údajov je zriadený podľa čl. 31 smernice 95/46/ES. Tento výbor je poradným orgánom Európskej komisie a je zložený zo zástupcov členských štátov Európskej únie. Jeho funkciou je asistovať Európskej komisii pri realizácii jej opatrení. Výbor schvaľuje alebo dáva výhrady k návrhom dokumentov Európskej komisie a to predovšetkým tých, ktoré súvisia s cezhraničným prenosom osobných údajov. Výbor sa schádza ad hoc podľa potreby, väčšinou raz za rok.

Úrad sa v hodnotenom období rokovaní tohto výboru nezúčastnil. Na rokovanie výboru, ktoré sa uskutočnilo v roku 2013 však pripravil inštrukciu.

14.3 Poradný výboru k Dohovoru 108

Poradný výbor Rady Európy k Dohovoru o ochrane jednotlivcov s ohľadom na automatické spracovanie osobných údajov (Dohovor 108) sa stretáva na spoločných

79

rokovaniach spravidla jeden až dva krát za rok. Na stretnutiach formuluje stanoviská, resp. odporúčania pre krajiny Dohovoru 108, týkajúce sa aktuálnych alebo sporných otázok spojených so spracúvaním osobných údajov. Odporúčania, resp. predbežné stanoviská sú prijímané na plenárnym zasadaniach Poradného výboru Dohovoru 108 alebo v písomnom konaní prostredníctvom elektronickej pošty. V predchádzajúcom období sa Poradný výbor venoval hlavne modernizácii Dohovoru 108.

V hodnotenom období rokov 2013 a 2014 sa úrad zúčastnil oboch plenárnych zasadnutí Poradného výboru, ako aj troch zasadnutí Úradu poradného výboru 108 – dvoch v roku 2013 a jedného v roku 2014. Úrad poradného výboru funguje ako podporná pracovná skupina, ktorá pripravuje dokumenty na prijatie plenárnym zasadnutím Poradného výboru k Dohovoru 108.

14.4 Ad hoc výbor Rady Európy pre ochranu osobných údajov

Rada Európy vytvorila v roku 2013 ad hoc výbor pre ochranu osobných údajov (CAHDATA). Účelom zriadenia výboru CAHDATA bolo ukončenie diskusie o modernizácii Dohovoru 108 a predloženie konečného návrhu Výboru ministrov. Cieľom modernizácie Dohovoru 108 je prijať právny nástroj, ktorý by bol schopný riešiť otázku ochrany osobných údajov na medzinárodnej úrovni pri súčasnom vývoji informačných komunikačných technológií. Napriek snahe niektorých delegácií o konkretizáciu jednotlivých ustanovení, znenie zostáva vo všeobecnej rovine, aby bol vytvorený priestor pre zmluvné strany upraviť jednotlivé ustanovenia Dohovoru 108 v národnej legislatíve.

V hodnotenom období sa uskutočnili tri plenárne zasadnutia výboru CAHDATA. Úrad sa zúčastnil dvoch plenárnych zasadnutí. Posledné, tretie plenárne zasadnutie CAHDATA schválilo návrh modernizácie Dohovoru 108, ktoré bolo v súčasnosti predložené Výboru ministrov Rady Európy na schválenie. Do rokovaní o modernizácii Dohovoru 108 vstúpila aj Európska komisia, ktorá požadovala od dozorných orgánov na ochranu osobných údajov v jednotlivých členských štátoch podporu pre svoje návrhy a jednotný postoj. Na zasadaniach sa zúčastňovali okrem zástupcov členských krajín Európskej únie aj zástupcovia tretích krajín, napríklad USA, alebo Rusko, ako aj zástupcovia Červeného kríža. V roku 2014 sa uskutočnilo posledné stretnutie tohto ad hoc výboru, nakoľko cieľ jeho zriadenia bol naplnený.

14.5 Dozorné orgány v oblasti presadzovania práva

Presadzovanie práva v Európskej únii predstavuje špecifickú oblasť uplatňovania komunitárneho práva a národnej legislatívy. Týka sa vzájomnej spolupráce a výmeny informácií medzi orgánmi činnými v trestnom konaní (osobitne polície, justičných orgánov, colných orgánov a pod.). Vzájomná spolupráca a výmena informácií sa uskutočňuje na národnej aj medzinárodnej úrovni.

Základom na zriadenie príslušných inštitúcií, ako aj podporných nástrojov umožňujúcich spracúvanie a výmenu informácií v rámci informačných systémov spoločenstva sú najmä medzinárodné právne nástroje ako Dohovor o Europole, Dohovor o Schengenskom informačnom systéme, Dohovor o používaní informačných technológií na colné účely a ďalšie.

80

Výkon dozoru nad ochranou osobných údajov spracúvaných v takýchto informačných systémoch vykonávajú v úzkej súčinnosti buď spoločné dozorné orgány zriadené Európskou komisiou a jej orgánmi alebo skupiny pre koordináciu dozoru zriadené EDPS. Zástupcovia úradu reprezentovali Slovenskú republiku v spoločných dozorných orgánoch pre Europol, Schengen a Customs. Ďalej sa zúčastnili rokovaní skupín koordinácie dozoru pre Schengenský informačný systém II. generácie, vízový informačný systém, colný informačný systém EURODAC a taktiež pracovnej skupiny pre informačný systém vnútorného trhu (IMI).

14.5.1 Spoločný dozorný orgán Europolu (JSB Europol)

Európsky policajný úrad (Europol) bol zriadený na základe Zmluvy o Európskej únii zo dňa 7. februára 1992, v spojitosti s Dohovorom o zriadení Európskeho policajného úradu (dohovor o Europole), ktorý bol vypracovaný na základe článku K.3 Zmluvy o Európskej únii.

Z dôvodu dozoru nad spracúvaním osobných údajov Europolom bol v zmysle článku 34 Rozhodnutia Rady č. 2009/371/SVV o zriadení Európskeho policajného úradu zriadený spoločný dozorný orgán (JSB Europol). Cieľom vzniku spoločného dozorného orgánu bolo poskytnúť členským štátom platformu pre vzájomnú spoluprácu, komunikáciu a koordináciu ich činností. Dozorný orgán je zložený najviac z dvoch členov alebo zástupcov – s prípadnou pomocou náhradníkov – každého nezávislého národného dozorného orgánu, ktorí majú potrebnú kvalifikáciu a príslušný členský štát ich vymenoval na obdobie piatich rokov. Každá delegácia má pri hlasovaní jeden hlas.

V hodnotenom období 2013 a 2014 sa úrad zúčastnil spolu šiestich zasadnutí. Hlavným zameraním jednotlivých stretnutí JSB Europol bola výmena osobných údajov medzi EÚ a USA; problematika mala súvis najmä s odhalením sledovacích programov spravodajských agentúr USA. Projekt však narážal na rozdiely v národných legislatívach, hlavne v kompetenciách dozorných orgánov pre ochranu osobných údajov. Mnoho z nich, tak ako aj úrad, totiž nemá kompetenciu na kontrolu spracúvania osobných údajov spravodajskými agentúrami.

14.5.2 Spoločný dozorný orgán Schengenského informačného systému (SDO Schengen)

Spoločný dozorný orgán pre Schengenský informačný systém (SDO Schengen) bol zriadený v zmysle Dohovoru, ktorým sa vykonáva Schengenská dohoda z 15. júna 1985 uzavretá medzi vládami štátov hospodárskej únie Beneluxu, Nemeckej spolkovej republiky a Francúzskej republiky o postupnom zrušení kontrol na ich spoločných hraniciach. Slovenská republika vstúpila do Schengenského priestoru dňom 21. decembra 2007, čím na seba prevzala zodpovednosť za ochranu vonkajších hraníc tohto priestoru pred nelegálnym vstupom, resp. vstupom nežiaducich alebo nebezpečných osôb.

V hodnotenom období SDO Schengen zasadal iba v roku 2013. V roku 2014 ho nahradila Pracovná skupina pre koordináciu dozoru nad Schengenským informačným systémom II. generácie (SKD SIS II). Úrad sa zúčastnil oboch rokovaní a aktívne pristúpil

81

k záverečnej fáze činnosti tohto orgánu. (k tomu pozri bod 14.5.4 – Pracovná skupina koordinácie dozoru nad SIS II).

14.5.3 Spoločný dozorný orgán Colného informačného systému (SDO Customs)

SDO Customs bol zriadený v súlade s Dohovorom Neapol II o vzájomnej pomoci a spolupráci medzi colnými správami, ktorý umožňuje vnútroštátnym colným správam predchádzať a odhaľovať porušenie ustanovení colných predpisov a pomáha im pri stíhaní a trestaní prípadov porušenia predpisov bez toho, aby bola dotknutá právomoc Spoločenstva v oblasti colnej únie.

V záujme rýchlej výmeny informácií v tejto oblasti bol zriadený centralizovaný Colný informačný systém (CIS), ktorý spravuje Európska Komisia, a je prístupný prostredníctvom terminálov v každom členskom štáte, v Európskej Komisii, Europole a Eurojuste. CIS spolupracuje s podpornými informačnými systémami Ciginfo, Marinfo, Yachtinfo a FIDE.

V roku 2013 sa uskutočnili tri stretnutia SDO Customs a v roku 2014 dve stretnutia. Úrad sa zúčastnil troch stretnutí SDO Customs v roku 2013 a v rokou 2014 sa z dôvodu šetrenia finančných prostriedkov nezúčastnil ani jedného z dvoch uskutočnených stretnutí. Hlavnými bodmi rokovania SDO Customs boli otázky prístupu zodpovedných orgánov k osobným údajom a možnosti zneužitia osobných údajov. Tieto sa však pri vykonaných kontrolách nepotvrdili.

14.5.4 Pracovná skupina koordinácie dozoru nad Schengenským informačným systémom II (SKD SIS II)

SIS II je informačný systém, ktorý umožňuje príslušníkom určených bezpečnostných zložiek členských krajín pristupovať k údajom o pátraní po osobách a veciach, ktoré boli do Schengenského informačného systému vložené ktoroukoľvek členskou krajinou a v konkrétnych prípadoch adekvátne na takéto záznamy reagovať. Skladá sa z troch zložiek: centrálneho systému, vnútroštátnych systémov štátov schengenského priestoru a komunikačnej infraštruktúry medzi centrálnym systémom a vnútroštátnymi systémami.

SKD SIS II patrí do skupiny pracovných skupín zriadených EDPS. Tento druh pracovných skupín nahradil niektoré, už zriadené pracovné skupiny (SDO Schengen). Zámerom je podriadenie dozoru nad ochranou osobných údajov spracúvaných európskymi orgánmi zodpovednému úradu, ktorým je v tomto prípade EDPS.

SKD SIS II bola zriadená v súlade s článkom 46 nariadenia Európskeho parlamentu a Rady 1987/2006 z 20. decembra 2006 o zriadení, prevádzke a využívaní Schengenského informačného systému druhej generácie (SIS II) a článku 62 rozhodnutia Rady 2007/533/SVV z 12. júna 2007 o zriadení, prevádzke a využívaní Schengenského informačného systému druhej generácie (SIS II). V hodnotenom období sa SKD SIS II stretla štyri krát, pričom úrad sa zúčastnil troch stretnutí. S ohľadom na zriadenie pracovnej skupiny v hodnotenom období, jej hlavnou náplňou bolo najmä schválenie rokovacieho poriadku a nastavenie činností pracovnej skupiny na nasledujúce obdobie.

82

14.5.5 Pracovná skupina koordinácie dozoru pre Vízový informačný systém (SKD VIS)

Ďalšou pracovnou skupinou, ktorá patrí do skupiny pracovných skupín zriadených EDPS je SKD VIS. VIS je informačný systém, ktorý slúži predovšetkým vízovým orgánom pre účely posudzovania žiadostí týkajúcich sa víz, pre účely konzultácie s inými členskými štátmi, ako aj orgánom zodpovedným za výkon hraničných kontrol resp. kontrol vykonávaných na území členských štátov pre účely overenia držiteľa víz alebo pravosti samotných víz.

Ako aj v ostatných prípadoch, úlohou tejto skupiny je koordinácia výkonu dozoru nad spracúvaním osobných údajov na národnej úrovni. SKD VIS bola zriadená v súlade s článkom 43 nariadenia Európskeho parlamentu a Rady (ES) č. 767/2008 z 9. júla 2008 o vízovom informačnom systéme (VIS) a výmene údajov o krátkodobých vízach medzi členskými štátmi (nariadenie o VIS). V hodnotenom období sa úrad zúčastnil štyroch rokovaní SKD VIS, po dve každý rok.

Na základe odporúčaní z plenárnych rokovaní SKD VIS úrad vykonal v roku 2013 kontrolu spracúvania osobných údajov na zastupiteľskom úrade Slovenskej republiky na Ukrajine a v roku 2014 na zastupiteľskom úrade Slovenskej republiky v Macedónsku a v Srbsku. O týchto kontrolách zástupca úradu referoval na zasadnutiach pracovnej skupiny VIS.

14.5.6 Pracovná skupina koordinácie dozoru pre Eurodac (SKD Eurodac)

Systém Eurodac bol zriadený nariadením Rady (ES) č. 2725/2000, ktoré sa týka zriadenia systému „Eurodac“ na porovnávanie odtlačkov prstov pre účinné uplatňovanie Dublinského dohovoru. V roku 2013 bolo prijaté nariadenie Európskeho parlamentu a Rady (EÚ) č. 603/2013 o zriadení systému Eurodac na porovnávanie odtlačkov prstov, ktorým sa s účinnosťou od 20. júla 2015 zrušuje uvedené nariadenie z roku 2000.

Eurodac je centralizovaný, automatizovaný identifikačný systém, ktorý obsahuje údaje o odtlačkoch prstov žiadateľov o víza z tretích krajín. Účelom systému, ktorý je v prevádzke od januára 2003, je napomáhať členským štátom EÚ pri určení, ktorý členský štát by podľa Dublinského nariadenia mal byť zodpovedný za posúdenie určitej žiadosti o azyl.

Zasadania SKD Eurodac zvoláva EDPS, ktorý zároveň v zmysle nariadenia Európskeho parlamentu a Rady č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov vykonáva dohľad nad centrálnou časťou systému a koordinuje činnosť národných dozorných orgánov.

V hodnotenom období rokov 2013 a 2014 sa úrad zúčastnil štyroch zasadnutí SKD Eurodac, na ktorých obhajoval pozíciu Slovenskej republiky k pracovným dokumentom a stanoviskám skupiny pre Eurodac.

83

14.5.7 Pracovná skupina koordinácie dozoru pre Informačný systém vnútorného trhu (SKD IMI)

Účelom SKD IMI je koordinácia a výkon dozoru nad spracúvaním osobných údajov v informačnom systéme pre vnútorný trh. V roku 2014 sa uskutočnilo prvé plenárne zasadanie SKD IMI, ktoré inicioval EDPS, a ktorého sa zúčastnil aj úrad. Vzhľadom na to, že sa jednalo o úvodné stretnutie, SKD IMI prerokovala a schválila rokovací poriadok a ústredné orgány.

Na základe tohto rokovania úrad inicioval stretnutie so zástupcami Ministerstva hospodárstva Slovenskej republiky za účelom oboznámenia sa s podmienkami spracúvania osobných údajov v tomto informačnom systéme na národnej úrovni. Systém napomáha orgánom členských štátov k rýchlejšej výmene informácií (validácii) o diplomoch a oprávneniach žiadateľov o zamestnanie alebo podnikateľov, predovšetkým lekárov a zdravotných pracovníkov. Európska komisia predpokladá jeho rozšírenie na všetky oblasti.

15 Medzinárodné stretnutia s partnerskými orgánmi dozoru

Spolupráca dozorných orgánov a príslušných inštitúcií pre oblasť ochrany osobných údajov vychádza zo smernice 95/46/ES, v dôsledku čoho predstavuje ďalšiu z hlavných aktivít úradu vo vzťahu k zahraničiu. Práve spolupráca a výmena odborných informácií medzi dozornými orgánmi je jednou z kľúčových aktivít, ktorej cieľom je napomáhať jednotlivým dozorným orgánom kvalitnejšie zabezpečovať úlohy na úseku ochrany osobných údajov vo svojom členskom štáte.

15.1 Bilaterálne stretnutie s českým dozorným orgánom

V roku 2013 sa uskutočnilo bilaterálne stretnutie s Úradom na ochranu osobných údajov Českej republiky. Počas stretnutia sa oba dozorné orgány informovali o národnej legislatíve a poznatkoch z vybraných oblastí ochrany osobných údajov. Prehĺbenie vzájomnej spolupráce bolo potvrdené podpísaním memoranda o vzájomnej spolupráci v oblasti ochrany osobných údajov. Bilaterálna spolupráca s českým dozorným orgánom pokračovala aj v roku 2014. Na tomto stretnutí dozorné orgány vzájomne konzultovali postupy výkonu kontroly v konkrétnych prípadoch. Úrady si ďalej vymieňali názory na aktuálne témy ako je napríklad používanie kamerových systémov v bytových domov a v dopravných prostriedkoch. Na rokovaní sa diskutovalo aj o kontrole dodržiavania ochrany osobných údajov pri nahrávaní telefonických rozhovorov, o tzv. mystery shoppingu a o spracúvaní osobných údajov o futbalových fanúšikoch získavaných počas futbalových zápasov.

Bilaterálne stretnutie s českým dozorným orgánom potvrdilo, že napriek určitým rozdielom v národných legislatívach, existuje mnoho rovnakých otázok, ktoré je možné riešiť spoločným a koordinovaným postupom oboch dozorných orgánov.

15.2 Bilaterálne stretnutie s poľským dozorným orgánom

Úrad v roku 2014 nadviazal na skúsenosti z bilaterálnej spolupráce s českým dozorným orgánom a pozitívne reagoval na žiadosť partnerského dozorného orgánu z Poľska. Stretnutie s poľským úradom malo podobný charakter ako stretnutie s českým dozorným

84

orgánom. Partneri sa vzájomne informovali o organizačných záležitostiach, oprávneniach, pracovných postupoch a možnej synergii pri výkone kontroly na národnej úrovni. Generálny inšpektor poľského dozorného orgánu zároveň informoval zástupcov slovenského úradu o prebiehajúcom schvaľovaní novely poľského zákona o ochrane osobných údajov, pri návrhu ktorého sa poľský dozorný orgán inšpiroval slovenským zákonom najmä v rozsahu ustanovení o zodpovednej osobe. Zástupcovia slovenského dozorného orgánu informovali o praktických skúsenostiach s uplatňovaním tohto inštitútu, predovšetkým vo vzťahu k vykonávaniu skúšok. Zástupcovia dozorných orgánov ďalej diskutovali aj o skúsenostiach s výkonom dozoru nad spracúvaním osobných údajov v informačných systémoch. Dozorné orgány sa dohodli na pokračovaní spolupráce a hľadaní možností výkonu spoločných kontrol.

15.3 Konferencie dozorných orgánov strednej a východnej Európy

Konferencia dozorných orgánov na ochranu osobných údajov strednej a východnej Európy predstavuje regionálne fórum, kde si zamestnanci dozorných úradov každoročne vymieňajú skúsenosti v oblastiach špecifických pre krajiny strednej a východnej Európy. Konferencie sa zúčastňujú hlavne delegácie z krajín Bulharska, Chorvátska, Česka, Estónska, Litvy, Lotyšska, Maďarska, Macedónska, Slovenska, Poľska, Rumunska.

V rokoch 2013 a 2014 sa úrad zúčastnil konferencií, ktoré sa konali v roku 2013 v Belehrade, Srbsko a v roku 2014 v Skopje, Macedónsko.

Účastníci konferencie v roku 2013 rozoberali témy používania osobných údajov na analýzu rizík, zabezpečenie ochrany údajov, cezhraničné prenosy údajov a problematiku biometrických údajov. Zároveň sa analyzovali rôzne prístupy k statusu nezávislosti dozorných orgánov na ochranu osobných údajov zo zúčastnených krajín.

Stretnutie v roku 2014 bolo zamerané najmä na modernizáciu európskej legislatívy o ochrane osobných údajov, tzv. big data, video monitoring, otázky ochrany osobných údajov počas volieb a práva ochrany spotrebiteľa. Zástupca úradu prezentoval zmenu slovenského zákona o ochrane osobných údajov a aktuálne skúsenosti úradu s implementáciu tejto zmeny.

15.4 Jarné konferencie európskych dozorných orgánov na ochranu osobných údajov

Jarné konferencie európskych dozorných orgánov na ochranu osobných údajov sa uskutočňujú pravidelne vždy v inej krajine už niekoľko rokov. Zúčastňujú sa ich splnomocnenci na ochranu osobných údajov členských štátov Európskej únie a Rady Európy. Prítomní sú aj zástupcovia Európskej komisie, Európskej únie a orgánov presadzovania práva, ako aj spoločných dozorných orgánov na ochranu osobných údajov Európskej únie a Rady Európy. Konferencie sa končia prijatím série významných dokumentov a využívajú prácu svojich podskupín, ktoré sú zamerané na konkrétne problémy spoločného záujmu.

V rokoch 2013 a 2014 sa zástupcovia úradu zúčastnili oboch jarných konferencií, ktoré sa uskutočnili v 2013 v Lisabone a v roku 2014 v Štrasburgu, Francúzsko.

Zástupcovia jednotlivých krajín na konferencii v roku 2013 rozoberali otázku vylepšenia ochrany osobných údajov na základe doterajších praktických skúsenosti

85

a existujúceho právneho rámca. Následná diskusia sa týkala prebiehajúcej modernizácie Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (Dohovor 108) a reformy ochrany osobných údajov v rámci Európskej únie. Účastníci sa zhodli, že ak nebude dostatočne chránené súkromie, ohrozené budú aj iné základné ľudské práva, ako je napríklad zákaz diskriminácie, právo slobodného pohybu, sloboda vyjadrovania a samotná ľudská dôstojnosť.

Účelom konferencie v roku 2014 bolo najmä zhodnotenie stavu európskej a medzinárodnej spolupráce v oblasti ochrany osobných údajov. Počas konferencie zástupcovia jednotlivých krajín hľadali možnosti ďalšieho posilnenia spolupráce, a súčasne aké sú očakávania vo vývoji ochrany osobných údajov v budúcnosti. Z diskusie vyplynulo, že dozorné orgány očakávajú reálnu spoluprácu a výmenu informácií pri prešetrovaní možných porušení ochrany osobných údajov. Na konferencii bola zároveň od zástupcov Agentúry pre základné práva Európskej únie (FRA) predstavená aj príručka k európskej legislatíve o ochrane osobných údajov.

15.5 Svetové konferencie komisárov pre ochranu osobných údajov a súkromia

Celosvetové konferencie komisárov pre ochranu osobných údajov a súkromia sa uskutočňujú raz ročne. Konferencie sú platformou na výmenu informácií a najlepších skúseností pre všetky svetové orgány dozoru nad ochranou osobných údajov. Ich cieľom je posilniť medzinárodnú spoluprácu medzi dozornými orgánmi, identifikovať najhlavnejšie problémy v oblasti ochrany osobných údajov a vytýčiť smerovanie v strednodobom až dlhodobom horizonte.

V roku 2013 sa svetová konferencia uskutočnila vo Varšave, Poľsko a v roku 2014 v Balaclave, Maurícius. Napriek významu týchto konferencií pre odborný rast a posun stavu ochrany osobných údajov v Slovenskej republike sa úrad z dôvodu úsporného princípu týchto konferencií nezúčastnil.

15.6 Iné medzinárodné konferencie a semináre

V hodnotenom období rokov 2013 a 2014 sa úrad zúčastňoval aj ďalších podujatí organizovaných zahraničnými partnermi. Jedným z podujatí bol aj Case handlig workshop. Ide o každoročné podujatie na ktorom sa stretávajú a vymieňajú si svoje postrehy z aplikačnej praxe dozorné orgány Európy. Cieľom je ich vzájomná interakcia a vymieňanie si skúseností a tiež prehlbovanie vzájomnej spolupráce. V roku 2013 sa case handling workshop konal v Sarajeve, Bosna a Hercegovina a v roku 2014 v Skopje, Macedónsko. Zástupca úradu na podujatí prezentoval zmeny, ktoré prinieslo prijatie nového zákona o ochrane osobných údajov.

V roku 2014 sa úrad prvý krát zúčastnil konferencie organizovanej v rámci projektu PHAEDRA. PHAEDRA je skratkou z anglického výrazu „Zlepšovanie praktickej a užitočnej spolupráce medzi dozornými orgánmi pre ochranu osobných údajov“. Konferencia sa niesla v duchu presadzovania súkromia – poučenie zo súčasného uplatňovania a perspektívy do budúcnosti a bola zameraná na výmenu skúseností s praktickou spoluprácou v oblasti ochrany osobných údajov. Na konferencii taktiež vystúpil zástupca úradu s príspevkom

86

na tému biometria v kontexte rozdielnych právnych prístupov v členských štátoch. Príspevok sa stretol s pozitívnou odozvou ostatných zúčastnených dozorných orgánov.

Úrad participoval aj na seminári Európskej komisie o bezpilotných lietadlách. Konferencia sa konala v roku 2014 v Bruseli, kde organizátorom bolo Generálne riaditeľstvo Európskej komisie pre priemysel a podnikanie (DG ENTR). Porovnávaním členských štátov Európskej únie z pohľadu ochrany osobných údajov pri používaní bezpilotných lietadiel počas konferencie bolo zistené, že Slovensko spolu s krajinami ako napríklad Maďarsko, Grécko, Chorvátsko, Estónsko nemá primeranú právnu úpravu, ktorá by riešila túto problematiku. Na druhej strane napríklad Taliansko, Rakúsko a iné krajiny už majú primeranú legislatívu zavedenú do praxe.

16 Zhodnotenie stavu a odporúčania na ochranu osobných údajov v Slovenskej republike za roky 2013 a 2014

Ochrana osobných údajov prešla v hodnotenom období rokov 2013 a 2014 dôležitým vývojom na európskej úrovni, ako aj v podmienkach Slovenskej republiky. Je to oblasť, v ktorej neustále dochádza k zvyšovaniu povedomia verejnosti, najmä pokiaľ ide o dodržiavanie práv na ochranu osobných údajov a súkromia jednotlivcov a záujmu na zákonnom a bezpečnom spracúvaní ich osobných údajov. Ochrana osobných údajov si tak vybudovala svoje miesto v rámci uplatňovania základných práv a slobôd, ktoré je v dôsledku vývoja spoločenských vzťahov a rozmachu informačných technológií nanajvýš potrebné.

Vo všeobecnosti možno skonštatovať, že práve vývoj spoločenských vzťahov a rozmach informačných a komunikačných technológií sa podpísali pod značný posun a vnímanie existencie legislatívnej úpravy v oblasti ochrany osobných údajov. A práve otázky vývoja a aplikácie ochrany osobných údajov v jednotlivých oblastiach spoločenského života najviac rezonovali v hodnotenom období rokov 2013 a 2014. Počas tohto obdobia prebiehali dôležité legislatívne zmeny, ktoré mali za cieľ reflektovať na nové výzvy a požiadavky, ktoré ovplyvnili spôsob spracúvania a prenosu čoraz väčšieho množstva osobných údajov, ako aj prístupu k nim.

Na európskej úrovni ochrana osobných údajov predstavovala jednu z hlavných priorít, čo sa odzrkadlilo najmä na intenzite prípravy a prijímania návrhu nového nariadenia. Rada Európskej únie, Európska Komisia a Európsky parlament v hodnotenom období naplno diskutovali ohľadom vytvorenia nového, konzistentného a modernizovaného právneho rámca v oblasti ochrany osobných údajov, ktorý bude poskytovať dostatočné záruky ochrany a potrebnú právnu istotu pri spracúvaní osobných údajov; návrh nariadenia predpokladá zvýšenie ochrany osobných údajov, vrátane ich ochrany v internetovom prostredí, čomu bude zodpovedať nastavenie práv a povinností pri spracúvaní osobných údajov, ktoré bude potrebné v prechodnom období zosúladiť a zaviesť do praxe. Návrh nariadenia bude mať rovnako dopad aj na potrebu personálneho a finančného posilnenia dozorných orgánov. Jednotlivé rokovania potvrdzujú, že problematika ochrany osobných údajov je preto silnou témou, v dôsledku čoho pôjde o politickú prioritu na európskej úrovni aj v nasledujúcom období, v ktorom sa predpokladá prijatie návrhu nariadenia a jeho zavedenie do praxe.

V podmienkach Slovenskej republiky bol v hodnotenom období prijatý nový zákon o ochrane osobných údajov, ktorého legislatívny proces bol začatý ešte v roku 2012. Novým

87

zákonom úrad nadviazal na európske smerovanie a zvyšujúce sa požiadavky na ochranu osobných údajov a súkromia jednotlivcov pri spracúvaní ich osobných údajov. V nadväznosti na to boli postupne upravované aj osobitné zákony zakotvujúce spracúvanie osobných údajov v konkrétnych podmienkach a oblastiach spoločenského života. Úprava a novelizácia osobitných zákonov je však proces, ktorý si vyžaduje dlhšie časové obdobie, a preto zosúlaďovanie príslušných právnych predpisov so zákonom o ochrane osobných údajov bude realizované priebežne, v závislosti od legislatívneho procesu aj v nadchádzajúcom období.

Po prijatí nového zákona o ochrane osobných údajov sa dotknuté osoby, ako aj prevádzkovatelia začali intenzívnejšie zaujímať o ochranu svojich osobných údajov a zabezpečenie ich primeranej ochrany. Výsledky kontrolnej činnosti, konania o ochrane osobných údajov a množstvo otázok verejnosti ohľadom aplikácie zákona o ochrane osobných údajov za roky 2013 a 2014 poukazujú na to, že spoločnosť si vyžiadala vyšší štandard ochrany osobných údajov. To vyplynulo najmä zo zvyšovania povedomia verejnosti o existencii práva na ochranu osobných údajov a jej záujmu na zákonnom a predovšetkým bezpečnom spracúvaní osobných údajov. Rovnako aj jednotlivé podania verejnosti boli v hodnotenom období na vyššej kvalitatívnej úrovni. A práve aj tieto okolnosti mali vplyv na rastúcu opatrnosť pri ochrane a spracúvaní osobných údajov. Znalosti laickej i odbornej verejnosti v oblasti ochrany osobných údajov rástli úmerne ich záujmu o túto problematiku; je však potrebné jej i naďalej venovať dostatočnú pozornosť, najmä z dôvodu preventívnej funkcie. Doterajšia aplikačná prax totiž ukazovala, že ani odborne vyškolené osoby, mnohokrát neboli dostatočným prvkom, ktorý by napomohol k zákonom požadovanej ochrane. Preto informovanie verejnosti o správnej aplikácii zákona o ochrane osobných údajov možno vnímať ako prvý krok k plneniu si povinností na úseku ochrany osobných údajov a k uplatňovaniu si svojich práv v každodennom živote.

Skutočnosť, že zákon o ochrane osobných údajov sa z hľadiska garantovania základných práv a slobôd v rámci odbornej verejnosti stretáva s pozitívnymi ohlasmi aj v zahraničí nasvedčuje, že to bol krok správnym smerom. Tento fakt potvrdila aj Svetová banka vo svojej správe, podľa ktorej pozitívne kvitovala nový zákon o ochrane osobných údajov.

Je zrejmé, že ochrana osobných údajov v Slovenskej republiky v hodnotenom období rokov 2013 a 2014 aj prostredníctvom novej legislatívy a jej uplatňovania v praxi pozdvihla úroveň a zaviedla nový štandard ochrany osobných údajov, nakoľko nie je možné, aby sa poľavilo z požiadaviek, ktoré sa v oblasti ochrany osobných údajov v rámci Európskej únie kladú. Osobné údaje majú byť v bezpečí a základné práva na ochranu osobných údajov a súkromia, ako ľudské práva, sa majú dodržiavať. Za týmto účelom možno formulovať nasledovné odporúčania.

1.Štátna správa

Štátna správa predstavuje jednu z foriem základných činností štátu. Je preto potrebné dbať a venovať zvýšenú pozornosť najmä konzultáciám s úradom ešte pri príprave tých projektov a právnych predpisov, kde sa predpokladá zavedenie alebo zmena súčasne platnej úpravy spracúvania a ochrany osobných údajov v jednotlivých oblastiach spoločenského života, prípadne ak sa predpokladajú dopady a iné zásahy do práva na ochranu osobných údajov a súkromia jednotlivcov.

88

V širšom poňatí, celkovo vo vzťahu k orgánom verejnej moci je zároveň potrebné zdôrazniť nevyhnutnosť zabezpečiť potrebnú ochranu osobných údajov, ktoré majú jednotlivé orgány pri výkone svojej pôsobnosti k dispozícii za účelom plnenia ich úloh. Bezpečnosť je nanajvýš žiaduca pri jednotlivých informačných systémoch osobných údajov (či už centralizovaných alebo decentralizovaných), kde sa sústreďuje veľké množstvo osobných údajov, vrátane citlivých osobných údajov.

2.Podnikateľská sféra

Podnikateľská sféra je dôležitou súčasťou napĺňania ústavného práva na ochranu osobných údajov a súkromia jednotlivcov. Pri získavaní a spracúvaní osobných údajov v podnikateľskom prostredí je potrebné dbať najmä na plnenie informačnej povinnosti pri získavaní osobných údajov od dotknutých osôb a bezpečnosť ich spracúvania. S otázkou bezpečnosti je úzko spätá aj dôvera jednotlivcov smerujúca k očakávaniam pri spracúvaní ich osobných údajov v rámci zákonných noriem, spoločných hodnôt a dobrých mravov. Bez dôvery nemožno hovoriť o napredovaní ochrany osobných údajov v súkromnom sektore, a teda ani o rozvoji využívania toho, čo nám súčasnosť poskytuje. Záujem na vybudovaní si dôvery jednotlivcov pri zákonnom a bezpečnom spracúvaní ich osobných údajov by tak mal predstavovať jednu z priorít podnikateľského prostredia pri nakladaní s osobnými údajmi v rámci výkonu ich činnosti.

3.Dotknuté osoby

Dotknuté osoby a ich osobné údaje sú cenným zdrojom informácií. Ochrana osobných údajov nie je len otázkou štátnej regulácie a predchádzania únikom, zneužitiu, či neoprávnenej manipulácii s osobnými údajmi na strane prevádzkovateľov, ale aj otázkou vnímania a samotného prístupu jednotlivcov k ich osobným údajom, súkromnému životu a osobnej integrite.

Je preto vhodné, ak dotknuté osoby sú nanajvýš obozretné pri ochrane svojich osobných údajov, vrátane svojich osobných dokladov. Zároveň je potrebné venovať zvýšenú pozornosť komu, aké a na základe čoho (akej požiadavky) dotknuté osoby poskytnú svoje osobné údaje, ďalej aby aktívne chránili svoje osobné údaje, napríklad pred ich zverejňovaním, informovali sa o spracúvaní ich osobných údajov a nezabúdali na práva, ktoré dotknutým osobám zákon o ochrane osobných údajov v tejto súvislosti priznáva.

4.Všeobecne - záver

Osobné údaje predstavujú významné aktívum v dnešnej spoločnosti. Je preto dôležité chrániť a chrániť si osobné údaje a súkromie. Osobitný dôraz je v tejto súvislosti nevyhnutné klásť na ochranu detí v digitálnom prostredí, kde je potrebné apelovať najmä na detí a rodičov, aby dôsledne zvažovali dopady pri zverejňovaní osobných údajov (vrátane fotografi) skôr, ako ich publikujú na sociálnych sieťach, alebo budú využívať iné ponuky služieb informačnej spoločnosti určené deťom.

„Osobné údaje sú kľúčom k nášmu súkromiu.“