SPRÁVA O STAVE OCHRANY OSOBNÝCH ÚDAJOV ZA OBDOBIE 25. MÁJ 2019 až 31. DECEMBER 2019

Úrad na ochranu osobných údajov Slovenskej republiky v zmysle ustanovenia § 81 ods. 2 písm. k) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov predkladá Národnej rade Slovenskej republiky Správu o stave ochrany osobných údajov za obdobie 25. máj 2019 až 31. december 2019. Predkladaná správa poskytuje prehľad o činnosti Úradu v období, v ktorom už Nariadenie i zákon boli etablované v povedomí prevádzkovateľov a ich sprostredkovateľov a tiež dotknutých osôb.

Najmä z dôvodu konzistentnosti s ostatnými európskymi dozornými orgánmi sa Úrad rozhodol prevziať model správ o stave ochrany osobných údajov zameraných na ucelené kalendárne roky. Napriek tomu, že sledované obdobie, na ktoré sa táto správa zameriava, je pomerne krátke, zahŕňa rozsiahle aktivity Úradu na domácej ako i medzinárodnej úrovni.

Na základe vyššie uvedeného ustanovenia predkladám Správu o stave ochrany osobných údajov za obdobie od 25. mája 2019 do 31. decembra 2019, ktorá bude po prerokovaní v Národnej rade Slovenskej republiky v zmysle zákona zverejnená na webovom sídle úradu (

www.dataprotection.gov.sk

) pre širokú verejnosť, poskytnutá médiám a predložená Európskemu

výboru pre ochranu údajov a Komisii.

Anna Vitteková

podpredsedníčka úradu

ZOZNAM POUŽÍVANÝCH SKRATIEK V SPRÁVE

úrad

Úrad na ochranu osobných údajov Slovenskej republiky

NR SR

Národná rada Slovenskej republiky

správa

Správa o stave ochrany osobných údajov za obdobie 25. máj 2018 až 24. máj 2019

zákon

zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

zákon č. 122/2013 Z. z.

zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z.

smernica 95/46

Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov

Nariadenie

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP)

smernica 2016/680

Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV

MPK

Medzirezortné pripomienkové konanie

Portál

Portál právnych predpisov Slov – Lex

smernica e-privacy

Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách)

návrh nariadenia e-privacy

Návrh NARIADENIE EURÓPSKEHO PARLAMENTU A RADY o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách)

Dohovor 108

Dohovor Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov

Nariadenie 2018/1725

Nariadenie Európskeho parlamentu a Rady (ES) č.

2018/1725 o ochrane fyzických osôb pri

spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe

takýchto údajov,

ktorým sa zrušuje

nariadenie (ES) č. 45/2001

rozhodnutie

č. 1247/2002/ES

zákon č. 211/2000 Z. z.

zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií)

EDPS

Európsky dozorný úradník pre ochranu údajov/ European Data Protection Supervisor

EÚ

Európska únia

Európska komisia

EHP

Európsky hospodársky priestor

EDPB

Európsky výbor pre ochranu údajov (European Data Protection Board) zriadený podľačl. 68 Nariadenia

OBSAH

ZOZNAM POUŽÍVANÝCH SKRATIEK V SPRÁVE...........................................................5

OBSAH.........................................................................................................................................7

1ÚVOD...................................................................................................................................9

1.1Cieľ správy o stave ochrany osobných údajov............................................................................9

2POSTAVENIE, PERSONÁLNE ZABEZPEČENIE A ROZPOČET ÚRADU..........10

2.1Postavenie úradu.......................................................................................................................10

2.2Personálne zabezpečenie úradu.................................................................................................10

2.2.1Verejné funkcie úradu...........................................................................................................10

2.2.2Personálna oblasť zamestnancov úradu................................................................................10

2.3Rozpočet úradu..........................................................................................................................12

3LEGISLATÍVNA ÚPRAVA OCHRANY OSOBNÝCH ÚDAJOV.............................14

3.1Medzirezortné pripomienkové konania všeobecne záväzných právnych predpisov.................14

3.2Metodické usmernenia..............................................................................................................14

4KOMUNIKÁCIA ÚRADU S VEREJNOSŤOU............................................................16

4.1Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb............................................16

4.2Komunikácia úradu s médiami..................................................................................................16

4.3Webové sídlo úradu a jeho návštevnosť...................................................................................16

4.4Webové sídlo úradu a nahlasovanie porušení ochrany osobných údajov cez určený formulár

(nahlasovanie data breach)........................................................................................................17

5ZODPOVEDNÁ OSOBA.................................................................................................18

6SCHVAĽOVACIA A KONZULTAČNÁ ČINNOSŤ ÚRADU....................................19

6.1Predchádzajúca konzultácia......................................................................................................19

6.2Prenos osobných údajov............................................................................................................19

6.2.1Prenos do krajiny zaručujúcej primeranú úroveň ochrany osobných údajov........................19

6.2.2Prenos do krajiny nezaručujúcej primeranú úroveň ochrany osobných údajov....................20

7KONTROLA.....................................................................................................................22

7.1Kontroly začaté pred 25.05.2019..............................................................................................22

7.1.1Zdravotná poisťovňa.............................................................................................................22

7.1.2Poskytovateľ verejnej hromadnej dopravy............................................................................23

7.1.3Nebanková inštitúcia.............................................................................................................23

7.1.4Neštátne zdravotnícke zariadenie..........................................................................................24

7.1.5Štátny orgán...........................................................................................................................24

7.1.6Štátne zdravotnícke zariadenie..............................................................................................24

7.1.7Kamerové systémy................................................................................................................25

7.2Kontroly začaté v hodnotenom období (25.05.2019 – 31.12.2019)..........................................25

7.2.1Plán kontrol - Schengenské acquis........................................................................................26

7.2.2Kontrola na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov...28

7.2.3Kontroly v rámci konania o ochrane osobných údajov.........................................................29

7.3ZÁVERY VYPLÝVAJÚCE Z KONTROLNEJ ČINNOSTI ÚRADU....................................29

8KONANIE O OCHRANE OSOBNÝCH ÚDAJOV......................................................30

9MECHANIZMUS SPOLUPRÁCE A KONZISTENTNOSTI.....................................33

9.1Mechanizmus spolupráce..........................................................................................................33

9.1.1Cezhraničné spracúvanie.......................................................................................................33

9.1.2Vzájomná pomoc...................................................................................................................34

9.1.3Spoločné operácie dozorných orgánov.................................................................................35

9.2Mechanizmus konzistentnosti...................................................................................................35

9.2.1Stanovisko EDPB..................................................................................................................35

9.2.2Riešenie sporov EDPB..........................................................................................................35

9.2.3Postup pre naliehavé prípady................................................................................................36

10SANKCIONOVANIE.......................................................................................................37

10.1Pokuta........................................................................................................................................37

10.2Poriadková pokuta.....................................................................................................................37

10.3Vybrané prípady z dozornej činnosti úradu..............................................................................38

10.3.1Odloženia..............................................................................................................................38

10.3.2Konania.................................................................................................................................40

11OPRAVNÉ PROSTRIEDKY A ROZHODOVANIE O NICH....................................43

12EURÓPSKY A MEDZINÁRODNÝ LEGISLATÍVNY BALÍK OCHRANY

OSOBNÝCH ÚDAJOV....................................................................................................44

12.1Legislatívny proces na úrovni EÚ.............................................................................................44

12.2Európsky výbor pre ochranu údajov.........................................................................................44

12.3Výbor zriadený podľa článku 93 Nariadenia............................................................................45

12.4Cezhraničná výmena údajov.....................................................................................................45

12.4.1Výbor pre koordinovaný dozor (CSC)..................................................................................46

12.5Schengenské hodnotenie...........................................................................................................46

12.6Konzultatívny výbor k Dohovoru 108......................................................................................46

13STRETNUTIA S PARTNERSKÝMI DOZORNÝMI ORGÁNMI A INÝMI

SUBJEKTAMI..................................................................................................................47

13.1Erasmus for public administration............................................................................................47

13.2EDPB BCR workshop...............................................................................................................47

13.3Data protection and competitiveness in the digital age.............................................................47

13.4EU Software and Cloud Suppliers Customer Council..............................................................47

13.5Konferencia MyData2019.........................................................................................................48

13.6European Privacy Law Scholars Conference (PLSC Europe)..................................................48

13.7Cybersec CEE – Securing the world´s digital data...................................................................48

13.8Workshop on ISO/IEC 27701 and GDPR certification............................................................48

13.9Cyberspace 2019.......................................................................................................................49

13.10European case handling workshop............................................................................................49

14ZHODNOTENIE STAVU OCHRANY OSOBNÝCH ÚDAJOV V SLEDOVANOM

OBDOBÍ............................................................................................................................50

1ÚVOD

1.1Cieľ správy o stave ochrany osobných údajov

V zmysle ustanovenia § 81 ods. 2 písm. k) zákona predkladá úrad NR SR Správu o stave ochrany osobných údajov za obdobie 25. máj 2019 až 31. december 2019. Ide o súhrn informácií o činnosti úradu a jeho zisteniach za sledované obdobie. Cieľom správy je zmapovať činnosť úradu a poukázať na najzásadnejšie zmeny a udalosti v oblasti ochrany osobných údajov.

Predkladaná správa je trinástou v histórii samostatnej Slovenskej republiky a jedenástou v histórii existencie samostatného úradu.

2POSTAVENIE, PERSONÁLNE ZABEZPEČENIE A ROZPOČET ÚRADU

2.1Postavenie úradu

Ochrana osobných údajov v Slovenskej republike je na základe zákona a Nariadenia zverená do pôsobnosti úradu. Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Pri výkone svojej pôsobnosti úrad postupuje nezávisle a pri plnení svojich úloh sa riadi ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Úrad je rozpočtovou organizáciou podľa ustanovenia § 21 ods.1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

2.2Personálne zabezpečenie úradu

2.2.1Verejné funkcie úradu

Na čele úradu je predseda, ktorého volí a odvoláva NR SR na návrh vlády Slovenskej republiky. Funkčné obdobie predsedu úradu je päť rokov. Funkciu predsedníčky úradu v sledovanom období zastávala Soňa Pőtheová, ktorá bola do funkcie zvolená NR SR dňa 14. mája 2015 uznesením Národnej rady Slovenskej republiky č. 1736/2015.

V čase neprítomnosti predsedu úradu ho zastupuje podpredseda, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Funkčné obdobie podpredsedu úradu je päť rokov. Funkciu podpredsedníčky úradu zastáva Anna Vitteková, ktorá bola s účinnosťou od 2. januára 2016 do funkcie vymenovaná vládou Slovenskej republiky uznesením č. 658/2015 zo dňa 2. decembra 2015.

2.2.2Personálna oblasť zamestnancov úradu

Zamestnanci úradu plnia odborné úlohy v zmysle zákona a Nariadenia a iné prevádzkové činnosti a povinnosti podľa všeobecne záväzných právnych predpisov. Ich zabezpečovanie si vyžaduje potrebný počet kvalifikovaných zamestnancov spôsobilých vykonávať odborné činnosti na expertnej úrovni. V podmienkach úradu, z pohľadu štruktúry zamestnancov, s výnimkou jedného zamestnanca, ktorý vykonáva prácu vo verejnom záujme, ostatní sú zamestnancami v štátnozamestnaneckom pomere. Výber zamestnancov a obsadzovanie voľných pracovných pozícií je realizované podľa zákonmi stanovených podmienok pre jednotlivé funkcie na základe výberových konaní.

K 25. máju 2019 mal úrad obsadených 49 miest, z toho

•48 zamestnancov v štátnozamestnaneckom pomere,

•1 zamestnanca vykonávajúceho práce vo verejnom záujme.

K 31. decembru 2019 mal úrad obsadených 50 miest, z toho

•49 zamestnancov v štátnozamestnaneckom pomere,

•1 zamestnanca vykonávajúceho práce vo verejnom záujme.

Priemerný vek zamestnancov

•k 25.5.2019 bol 40,2 roku, pričom

➢u mužov bol 42,1 roku;

➢u žien 39,4 roku;

•k 31.12.2019 bol 40,2 roku, pričom

➢u mužov bol 41,6 roku;

➢u žien 39,6 roku.

Prehľad o počte zamestnancov úradu

Skutočný stav zamestnancov úradu

Rok

Štátnozamestnanecký pomer

Výkon práce vo verejnom záujme

Spolu

k 25.5.2019

k 31.12.2019

Ochrana osobných údajov je od 25. mája 2018 vykonávaná podľa Nariadenia a zákona, ktoré priamo stanovujú úradu všetky jeho práva, povinnosti a kompetencie. Napriek nespornej dôležitosti činnosti úradu, ktorá sa odvíja od dôležitosti významu a hodnoty osobných údajov, ako zdroja informácií o fyzických osobách, počet zamestnancov úradu sa zásadne pozitívne nemení. Momentálny počet zamestnancov úradu nie je dostatočný v kontexte agendy, ktorú úrad zabezpečuje a ktorá má stále stúpajúcu tendenciu, čo do objemu práce, ktorý pripadá na jedného zamestnanca. Pre správnu činnosť úradu a tiež s ohľadom na ľudské možnosti a snahu o vysokokvalitnú prácu zamestnancov je nevyhnutné, aby bol počet zamestnancov významne navýšený. Zaistí sa tak prerozdelenie práce a možnosť vyššej špecializácie jednotlivých zamestnancov, nakoľko teraz mnohí vykonávajú kumulované činnosti, z ktorých každá si vyžaduje plné sústredenie a pozornosť.

Úrad má v súčasnosti ustanovený limit na 51 zamestnancov, pričom každoročne avizuje potrebu navýšenia ich počtu, teda zvýšenie uvedeného limitu maximálneho počtu zamestnancov minimálne o 25. Agenda úradu aj v kontexte povinností vyplývajúcich z Nariadenia neúmerne stúpla a stále sa zvyšuje. Na jedného zamestnanca v priemere pripadá cca 110 spisov (vecí) na vybavenie. Súčasná situácia je dlhodobo neudržateľná a nedostatok kvalifikovaných zamestnancov sa nevyhnutne prejavuje aj v kvalite práce, prípadne niekedy vyúsťuje aj do nemožnosti dodržania procesných lehôt. Pre naplnenie strategického smerovania činnosti úradu je nevyhnutné, aby sa navýšil počet zamestnancov, aby títo absolvovali a priebežne sa zúčastňovali potrebných vzdelávacích aktivít, rozširovali si svoje vedomosti a boli tak schopní popri odbornom raste reflektovať aj požiadavku digitalizácie verejnej a štátnej správy.

Úrad je nutné posilniť aj o expertov na informačné technológie, nakoľko stále viac spracovateľských činností prebieha elektronickou formou a je potrebné, aby sa tak v rámci konaní, ako aj kontrol vedel úrad na expertnej úrovni vyjadrovať k zisteniam pokiaľ ide o prevádzkovateľmi a sprostredkovateľmi využívané informačné technológie.

Úrad taktiež pociťuje nedostatok zamestnancov venujúcich sa legislatíve, a to tak v oblasti jej tvorby, ako aj jej pripomienkovania, nakoľko ide častokrát o zdĺhavý proces skúmania návrhu právneho predpisu, ktorý si vyžaduje vysokú pozornosť a sústredenie a je nevyhnutné, aby mal zamestnanec na takúto prácu dostatok času a vedomostí, a to nielen teoretických, ale aj praktických. Poddimenzovaná personálna stránka úradu sa prejavuje aj v tom ohľade, že úrad toho času nemôže vôbec pomýšľať na zriadenie detašovaných pracovísk, čím by bol bližšie aj k dotknutým osobám, prevádzkovateľom a sprostredkovateľom naprieč. Poddimenzovanie počtu

zamestnancov má tiež vplyv na to, že nie je možné rozvíjať potrebnú špecializáciu vytváraním nových odborov, ktoré by od existujúcich prevzali a následne rozvinuli niektoré agendy na expertnú úroveň. Ako problematická sa javí aj veľmi obmedzená možnosť vzdelávania terajších zamestnancov a nemožnosť adekvátnymi platovými podmienkami získať a dlhodobo udržať erudovaných špecialistov, v dôsledku čoho úrad nie je v rovnocennej pozícii voči prevádzkovateľom a ich možnostiam, čo je v konečnom dôsledku vždy v neprospech dotknutej osoby. Z aplikačnej praxe úradu vyplýva akútna potreba vzniku minimálne dvoch detašovaných pracovísk, jedného na strednom a jedného na východnom Slovensku. Dôvodom potreby vzniku týchto pracovísk je, aby boli zamestnanci úradu bližšie dotknutým osobám aj z týchto oblastí Slovenska a tiež skutočnosť, že by sa takto zefektívnil výkon kontrol a podstatne by sa znížili náklady úradu na cestovanie zamestnancov z Bratislavy a tiež by úrad prispel k zvýšeniu zamestnanosti v týchto regiónoch, kde je stále dostatok kvalifikovaných ľudí, ktorí sa za prácou nemôžu, alebo nechcú sťahovať na západ Slovenska alebo priamo do Bratislavy.

2.3Rozpočet úradu

Úrad je rozpočtovou organizáciou, ktorá je svojimi príjmami a výdavkami naviazaná na štátny rozpočet prostredníctvom kapitoly Všeobecná pokladničná správa, ktorú spravuje Ministerstvo financií Slovenskej republiky.

Na rok 2019 bol pre úrad pôvodne schválený rozpočet vo výške 1.442.263,00 Eur, ktorý bol navýšený o valorizáciu v máji 2019 na sumu vo výške 1.561.419,00 Eur a v septembri 2019 bol navýšený rozpočet úradu na sumu vo výške 1.731.419,- Eur.

Čerpanie rozpočtu úradu k 31.12.2019 bolo vo výške 1.728.356,94 Eur, čo predstavuje 99,82% z celkového upraveného rozpočtu úradu na rok 2019.

Prehľad o rozpočte úradu za obdobie 1.6.2019 až 31.12.2019 v Eurách

Ukazovateľ

Schválený rozpočet k 1.1.2019

Upravený rozpočet k 1.6.2019

Upravený rozpočet k 31.12.2019

Čerpanie rozpočtu od 1.6.2019 do 31.12.2019

Čerpanie rozpočtu od 1.1.2019 do 31.12.2019

Mzdy, platy, služobné príjmy a OOV (610)

879 575,00

967 723,00

665 422,53

966 806,90

Poistné z miezd (620)

309 654,00

344 562,00

356 522,00

245 370,37

356 505,91

Tovary a služby (630)

237 034,00

233 134,00

361 204,00

225 498,24

359 101,34

Bežné transfery (640)

5 000,00

11 870,00

8 369,61

11 869,06

EKW02 (630) bežné výdavky

11 000,00

34 100,00

30 351,42

34 071,73

EKW02 kapitálové výdavky

Bežné výdavky spolu (600)

1 442 263,00

1 561 419,00

1 731 419,00

1 175 012,17

1 728 354,94

Kapitálové výdavky (700)

Obdobne, ako je potrebné navýšiť počet zamestnancov v kontexte navyšujúcej sa činnosti a zodpovednosti úradu, je potrebné zohľadniť nárast agendy a potreby materiálno - technického dovybavenia v rozpočte úradu. Nárast zaznamenal úrad v európskej a aj medzinárodnej agende, kde sa zamestnanci úradu priamo podieľajú a musia pravidelne zúčastňovať na zasadaniach expertných skupín Výboru a pracovných skupín Rady, ktorých predmetom sú dôležité usmernenia a dokumenty ovplyvňujúce činnosti úradu v mene Slovenskej republiky.

Úrad vykonáva činnosti vyplývajúce mu nielen z Nariadenia a zákona, ale aj iných osobitných predpisov, napríklad podľa NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ, Euratom) 2019/493 z 25. marca 2019, ktorým sa mení nariadenie (EÚ, Euratom) č. 1141/2014, pokiaľ ide o postup overovania porušovania pravidiel o ochrane osobných údajov v kontexte volieb do Európskeho parlamentu (pozrite

čl. 10a ods. 2 uvedeného nariadenia

). Ak úrad rozhodne

v konaní o ochrane osobných údajov, že fyzická alebo právnická osoba porušila príslušné pravidlá o ochrane osobných údajov, a ak z daného rozhodnutia vyplýva alebo ak sú iné opodstatnené dôvody domnievať sa, že porušenie súvisí s politickými činnosťami európskej politickej strany alebo európskej politickej nadácie v kontexte volieb do Európskeho parlamentu, tak rozhodnutie oznámi Úradu pre európske politické strany a nadácie.

3LEGISLATÍVNA ÚPRAVA OCHRANY OSOBNÝCH ÚDAJOV

3.1Medzirezortné pripomienkové konania všeobecne záväzných právnych predpisov

Úrad je orgán s celoslovenskou pôsobnosťou vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných ľudských práv a slobôd pri spracúvaní osobných údajov fyzických osôb. Úrad si plní svoju úlohu v oblasti dozoru nad spracúvaním osobných údajov aj tým, že dohliada a vyjadruje sa k textom návrhov zákonov a ostatných všeobecne záväzných právnych predpisov (materiály legislatívnej povahy) a tiež k textom nelegislatívnych materiálov (vízie, stratégie a pod.). Svoje vyjadrenia k návrhom formuluje prostredníctvom Portálu v rámci MPK. Cieľom pripomienok zo strany úradu je, aby najmä kvalita právnych predpisov, pokiaľ ide o úpravu spracúvania osobných údajov bola vysoká, aby následne prijatá právna úprava bola presná, jednoznačná, a to tak vo vzťahu k prevádzkovateľovi, ako aj vo vzťahu k dotknutej osobe, ktorej osobné údaje budú v praxi predmetom spracúvania.

V rámci sledovaného obdobia úrad uplatnil pripomienky k 19 z predložených materiálov. Spolu k nim uplatnil 78 pripomienok, pričom 51 z nich bolo zásadných.

Uplatňovanými pripomienkami žiadal napríklad úpravu zoznamu alebo rozsahu spracúvaných osobných údajov vo vzťahu k účelu spracúvania, úrad tiež často zásadne požadoval, aby v rámci návrhu právneho predpisu boli vyjasnené a spresnené zodpovednostné vzťahy spracúvania osobných údajov do spracúvania zapojených subjektov. Konkrétne znenie uplatnených pripomienok úradu je možné nájsť na

Portáli

s použitím filtra inštitúcií, ktoré pripomienku

uplatnili a s použitím filtra pripomienok (či ide o pripomienku organizácie označenú ako zásadná, alebo obyčajná).

3.2Metodické usmernenia

Úrad metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov, zvyšuje povedomie verejnosti v oblasti rizík a práv súvisiacich so spracúvaním osobných údajov a tiež zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach.

Osvedčenou formou usmerňovania prevádzkovateľov a sprostredkovateľov a informovania verejnosti, najmä dotknutých osôb sa na základe praxe úradu stali metodické usmernenia úradu a krátke ad hoc metodiky publikované na webovom sídle úradu. Úrad sa v rámci ním zverejnených metodík venuje otázkam a problematikám, ktoré sú v danom čase predmetom najväčšieho záujmu verejnosti.

Úrad samozrejme sleduje dianie v oblasti ochrany osobných údajov aj vo veci rozsudkov či už Európskeho súdu pre ľudské práva alebo Súdneho dvora Európskej únie, kedy všetky relevantné rozhodnutia s dosahom na ochranu a spracúvanie osobných údajov publikuje na svojom webovom sídle v časti

Legislatíva a judikatúra

a o významných rozhodnutiach informuje aj formou krátkej

správy priamo v novinkách na svojom webovom sídle. Významným v sledovanom období bol Rozsudok o ukladaní cookies používateľov internetu.

Predmetom zverejňovania a nepriamo aj predmetom vzdelávania zainteresovaných subjektov je aj zverejňovanie informácií a usmernení vydaných EDPS a EDPB na webovom sídle úradu, ktorým je tiež potrebné venovať pozornosť.

Významnými v sledovanom období boli napríklad:

•usmernenie EDPB

k právu na zabudnutie vo vyhľadávačoch

;

•usmernenie EDPB

k špecificky navrhnutej a štandardnej ochrane údajov

;

•usmernenie EDPB k spracúvaniu

osobných údajov podľa čl. 6 ods. 1 písm. b) nariadenia

pri poskytovaní on-line služieb

Úrad veľkú časť svojej metodickej činnosti zameral na pomoc dotknutým osobám, pričom primárne zameral svoju činnosť v sledovanom období na uplatňovanie práv dotknutých osôb v

Schengenskom informačnom systéme

, kde pripravil formuláre pre uplatnenie práv dotknutých

osôb aj v maďarskom jazyku, vo francúzštine a v rómskom jazyku.

4KOMUNIKÁCIA ÚRADU S VEREJNOSŤOU

4.1Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb

Problematika ochrany osobných údajov sa netýka len prevádzkovateľov alebo sprostredkovateľov, ktorí majú povinnosť aplikovať legislatívu ochrany osobných údajov v praxi. Dotýka sa aj ľudí, dotknutých osôb, majúcich otázky vyplývajúce zo situácií bežného života, súvisiace s ich osobnými údajmi a ich spracúvaním.

Prevádzkovatelia a sprostredkovatelia úradu najčastejšie adresujú otázky odborného charakteru súvisiace s ich povinnosťami vyplývajúcimi z Nariadenia a zákona, prípadne osobitných zákonov upravujúcich spracovateľské operácie.

Oproti poslednej Správe o stave ochrany osobných údajov badať pomerne razantný pokles otázok zo strany advokátskych kancelárií; tento pokles pripisujeme jednak dobe, po ktorú sa už Nariadenie a zákon uplatňuje a tiež pomerne razantnému no nevyhnutnému prístupu úradu, kedy po negatívnych skúsenostiach dal najavo, že nie je možné od neho očakávať vypracúvanie celých prípadových štúdií k spracúvaniu osobných údajov, ktoré úradu mnohé advokátske kancelárie zasielali. Úrad tento zmenený postoj advokátskych kancelárií víta a samozrejme je pripravený im poskytnúť svoje vyjadrenie, no ku konkrétnym otázkam, nie k prípadu ako celku.

V sledovanom období roku 2019 už úrad telefonicky konzultácie vo vyhradenom čase neposkytoval, nakoľko táto činnosť bola veľmi zaťažujúca a v rámci činností vykonávaných v kontexte Nariadenia sa zvýšil počet iných jeho aktivít, ktoré bolo potrebné zastrešiť. Napriek veľkej obľube telefonických konzultácií verejnosťou nebolo možné tieto v sledovanom období obnoviť aj napriek značnej snahe, nakoľko tieto konzultácie odbremeňovali úrad od inak zaslaných otázok verejnosti písomnou formou alebo elektronicky. V prípade navýšenia počtu zamestnancov je možné, že by úrad túto verejnosťou veľmi obľúbenú formu komunikácie obnovil, za súčasného stavu zamestnancov je to však nerealizovateľné.

Pokiaľ ide o písomné a elektronickou poštou doručené otázky verejnosti v sledovanom období zamestnanci úradu vybavili do 800 otázok.

4.2Komunikácia úradu s médiami

Za sledované obdobie sa záujem médií o ochranu osobných údajov mierne znížil, nakoľko tak Nariadenie aj zákon, prinášajúce nové pravidlá do oblasti ochrany osobných údajov už neboli úplnou novinkou a postupne sa s nimi zžívali tak prevádzkovatelia, ako aj sprostredkovatelia. V sledovanom období úrad spolu poskytol 50 vyjadrení pre médiá (printové, rozhlasové a televíziu spolu). Predmetom otázok zo strany médií boli konkrétne problémy a „kauzy“ v ktorých bolo predmetom spracúvanie alebo ochrana osobných údajov, prípadne boli otázky novinárov smerované na špecifikáciu práv dotknutých osôb, ako ich správne uplatňovať a čoho všetkého je možné sa ako dotknutá osoba u prevádzkovateľa domáhať. Hlavne koncom mája a začiatkom júna sa mediálny záujem sústredil na zhrnutie prvého roka uplatňovania Nariadenia a zákona v praxi a skúseností úradu z tohto roka.

4.3Webové sídlo úradu a jeho návštevnosť

Webové sídlo úradu spĺňa podmienky a technické kritéria v zmysle Výnosu Ministerstva financií SR o štandardoch pre informačné systémy verejnej správy, reflektuje na novú legislatívnu úpravu v oblasti ochrany osobných údajov, a je postupne dopĺňané o nové funkcionality a aktuálne formuláre, metodiky a usmernenia. Úrad pri vzhľade a delení webového sídla vychádza aj z praxe

a snaží sa webové sídlo sprehľadňovať tak, aby bolo čo najviac užívateľsky prívetivé. V ostatnom sledovanom období sa úrad snažil skvalitniť najmä anglickú verziu, aby sa dotknuté osoby vedeli domôcť informácií aj ak neovládajú slovenský jazyk a tiež v kontexte toho, že úrad a Slovenská republika boli predmetom schengenského hodnotenia pokiaľ ide o ochranu osobných údajov, kedy predmetom záujmu hodnotiteľov bol aj prístup a poskytovanie informácií v anglickom jazyku.

Webová stránka úradu bola vyhľadávaná počas sledovaného obdobia celkovo 416 903 krát, a to najčastejšie prostredníctvom webových stránok a prehliadačov google.sk, google.com, bing.com, facebook.com.

4.4Webové sídlo úradu a nahlasovanie porušení ochrany osobných údajov cez určený formulár (nahlasovanie data breach)

Webové sídlo úradu je kľúčový zdroj informácií vzťahujúcich sa k ochrane osobných údajov. Zároveň je aj základnou službou podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Prevádzkovatelia a sprostredkovatelia musia zaistiť nepretržitú dôveryhodnosť, integritu, dostupnosť a odolnosť systémov a služieb spracovania a v pravidelných intervaloch posudzovať účinnosť zavedených technických a organizačných opatrení. Napriek tomu môže dôjsť (či už vplyvom zámernej činnosti, nedbalosti, omylu alebo živelnej udalosti) k porušeniu zabezpečenia osobných údajov, ktoré vo svojom dôsledku môže znamenať náhodné alebo protiprávne zničenie, stratu, zmenu, neoprávnené poskytnutie alebo sprístupnenie, prenášaných, uložených alebo inak spracúvaných osobných údajov. Prevádzkovateľ má povinnosť podľa čl. 33 Nariadenia alebo podľa § 40 zákona nahlásiť porušenie ochrany osobných údajov (tzv. „data breach“) úradu. Môže tak urobiť viacerými spôsobmi, pričom jedným z nich je možnosť využiť na splnenie tejto povinnosti na to určený formulár.

V sledovanom období bolo úradu nahlásených 70 porušení ochrany osobných údajov. Nahlásenie je povinnosťou pre prevádzkovateľov, nie pre dotknuté osoby. V prípadoch, kedy porušenie ochrany osobných údajov nahlásili dotknuté osoby, tieto tiež často uvádzali, že nahlásili porušenie z dôvodu, že prevádzkovateľ uviedol, že on ho nahlasovať nebude, lebo incident ním nebol vyhodnotený ako taký, ktorý je potrebné nahlasovať úradu. Radi by sme aj touto cestou apelovali na prevádzkovateľov, aby si svoje povinnosti plnili sami, nakoľko v prípade, ak úrad zistí, že došlo k porušeniu ochrany osobných údajov, ktoré nebolo nahlásené úradu a malo byť, to môže byť v prípadnom konaní o ochrane osobných údajov posúdené úradom ako priťažujúca okolnosť.

Najčastejšie sa porušenie ochrany osobných údajov v sledovanom období týkalo chybného doručenia písomnosti inej osobe, než ktorej malo byť (niekedy ide o jednotlivý prípad, niekedy niekoľko naraz), straty dokumentácie obsahujúcej osobné údaje, kybernetického útoku na prevádzkovateľa a krádeže materiálov obsahujúcich osobné údaje. Štatisticky najčastejšie nahlasujú porušenia ochrany osobných údajov prevádzkovatelia zo segmentu bánk a poisťovníctva, zdravotníckych služieb, energetického priemyslu, cestovného ruchu nasledujú štátne inštitúcie, mestá, školy a školské zariadenia.

5ZODPOVEDNÁ OSOBA

Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa zákona zodpovedá prevádzkovateľ. Prevádzkovateľ a sprostredkovateľ môže, prípadne musí v stanovených prípadoch (čl. 37 ods. 1 písm. a) až c) Nariadenia, prípadne § 44 ods. 1 písm. a) až c) zákona) výkonom dohľadu nad ochranou osobných údajov určiť zodpovednú osobu pričom je povinný ju nahlásiť úradu.

Prehľad počtu určených zodpovedných osôb nahlásených úradu

Zodpovedné osoby

Obdobie

Počet

Celkový počet nahlásených zodpovedných osôb

25.5.2019 až 31.12.2019

1881

Počet žiadostí, ktoré dotknuté osoby adresovali úradu, ako prevádzkovateľovi

V sledovanom období bola úradu, ako prevádzkovateľovi, doručená jedna žiadosť dotknutej osoby. Výsledkom vybavenia žiadosti zo strany úradu, ako prevádzkovateľa bolo zaslanie odpovede, že o nej žiadne osobné údaje nespracúva.

6SCHVAĽOVACIA A KONZULTAČNÁ ČINNOSŤ ÚRADU

6.1Predchádzajúca konzultácia

Podľa čl. 36 ods. 1 Nariadenia „Prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.“

Podľa čl. 35 ods. 5 Nariadenia „Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.“; k tzv. zoznamu spracovateľských operácií, ktoré nebudú podliehať posúdeniu vplyvu na ochranu osobných údajov (tzv. white list) Slovenská republika zatiaľ nepristúpila.

Podľa čl. 35 ods. 4 Nariadenia „Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.“; zoznam spracovateľských operácii, ktoré vždy podliehajú posúdeniu vplyvu Slovenská republika v zmysle uvedeného článku vypracovala (tzv. black list), je dostupný na webovom sídle úradu „

Zoznam

spracovateľských operácií podliehajúcich posúdeniu vplyvu na ochranu osobných údajov

Slovenskej republiky

“. Tento zoznam spracovateľských operácií okrem iného slúži na spresnenie

čl. 35 ods. 1 Nariadenia a prevádzkovatelia, ktorí uvedené spracúvanie zamýšľajú uskutočniť sú v prípade, ak by nimi zamýšľané spracúvanie viedlo k vysokému riziku pre práva a slobody dotknutých osôb v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika, povinní vykonať s úradom predchádzajúcu konzultáciu.

Úradu v sledovanom období bola doručená jedna žiadosť o predchádzajúcu konzultáciu.

6.2Prenos osobných údajov

Voľný pohyb osobných údajov sa v rámci EHP zaručuje. Avšak pri prenose do krajín mimo EHP alebo medzinárodným organizáciám je potrebné dodržiavať dodatočné požiadavky na ochranu osobných údajov uvedené v Nariadení a smernici 2016/680. Aj keď niektoré nástroje na prenos osobných údajov podľa oboch právnych predpisov sú rovnaké, vždy je potrebné skúmať vecnú pôsobnosť použitého nástroja. Novinkou oproti predchádzajúcej právnej úprave je, že sa upravuje prenos aj medzinárodným organizáciám.

Prenosy môžeme rozdeliť do dvoch skupín:

•prenos do tretích krajín (medzinárodnej organizácii) zaručujúcich primeranú úroveň ochrany,

•prenos do tretích krajín (medzinárodnej organizácii) nezaručujúcich primeranú úroveň ochrany.

6.2.1Prenos do krajiny zaručujúcej primeranú úroveň ochrany osobných údajov

Pri prenose osobných údajov do tretích krajín sa rozlišuje, či ide o prenos osobných údajov do tretej krajiny zaručujúcej alebo nezaručujúcej primeranú úroveň ochrany osobných údajov. Status krajiny, ktorá zaručuje primeranú úroveň ochrany osobných údajov určuje EK svojím rozhodnutím. Je potrebné, aby tretia krajina zaisťovala z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, úroveň ochrany základných práv, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v právnom poriadku EÚ.

EK vydáva rozhodnutie o primeranosti zvlášť pre vecnú pôsobnosť Nariadenia a zvlášť pre vecnú pôsobnosť smernice 2016/680. Rozhodnutia o primeranosti, ktoré EK vydala v čase pôsobnosti zákona č. 122/2013 Z. z., zostávajú v platnosti pokiaľ ich EK nezmení, nenahradí alebo nezruší rozhodnutím prijatým podľa Nariadenia. Uvedené rozhodnutia sa vzťahujú len na prenos osobných údajov v rámci vecnej pôsobnosti Nariadenia, nie smernice 2016/680. Úrad zverejňuje rozhodnutia o primeranosti na svojom

webovom sídle.

V hodnotenom období EK nevydala žiadne rozhodnutie o primeranosti podľa Nariadenia ani podľa smernice 2016/680.

6.2.2Prenos do krajiny nezaručujúcej primeranú úroveň ochrany osobných údajov

Aj pri prenose do krajiny alebo medzinárodnej organizácii nezaručujúcej primeranú úroveň ochrany je potrebné rozlišovať medzi nástrojmi, ktoré ponúka Nariadenie a nástrojmi, ktoré ponúka smernica 2016/680.

6.2.2.1Prenos podľa Nariadenia

Pokiaľ EK nevydala rozhodnutie o primeranosti, prípadne rozhodnutie o primeranosti zrušila, prevádzkovateľ alebo sprostredkovateľ môže na prenos využiť ešte tieto inštitúty:

a)právne záväzný a vykonateľný nástroj medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi

V hodnotenom období nebol prijatý takýto nástroj.

b)záväzné vnútropodnikové pravidlá

V hodnotenom období neboli prijaté úradom žiadne záväzné vnútropodnikové pravidlá podľa Nariadenia.

c)štandardných doložiek o ochrane údajov, ktoré prijala EK

V hodnotenom období neboli prijaté žiadne štandardné doložky podľa Nariadenia.

d)štandardných doložiek o ochrane údajov, ktoré prijal dozorný orgán,

V hodnotenom období neboli prijaté žiadne štandardné doložky prijaté úradom podľa Nariadenia.

e)schválený kódex správania

V hodnotenom období neboli schválené žiadne kódexy.

f)schválený certifikačný mechanizmus

V hodnotenom období neboli schválené žiadne certifikačné mechanizmy.

g)zmluvné doložky

V hodnotenom období neboli schválené žiadne zmluvné doložky.

h)ustanovenia, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb

V hodnotenom období neboli schválené žiadne administratívne dojednania.

i)výnimky pre osobitné situácie podľa čl. 49 Nariadenia

j)ojedinelý prenos osobných údajov podľa čl. 49 ods. 1 druhý pododsek

6.2.2.2Prenos podľa smernice 2016/680

Ak neexistuje rozhodnutie o primeranosti, členské štáty stanovia, že sa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže uskutočniť za pomoci týchto nástrojov:

a)právne záväzný akt poskytujúci primerané záruky ochrany osobných údajov, alebo

b)prevádzkovateľ posúdil všetky okolnosti prenosu osobných údajov a dospel k záveru, že existujú primerané záruky ochrany osobných údajov,

c)výnimky pre osobitné situácie podľa § 76 zákona,

d)prenos príjemcom z tretej krajiny podľa § 77 zákona.

7KONTROLA

V období od začatia uplatňovania Nariadenia a zákona (tzn. od 25.05.2018) je úrad v rámci svojej pôsobnosti oprávnený vykonávať kontrolu spracúvania osobných údajov, kontrolu dodržiavania kódexu správania schváleného úradom podľa § 85, kontrolu súladu spracúvania osobných údajov s vydaným certifikátom podľa § 86 a kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie podľa § 87 a § 88 zákona. Na území Slovenskej republiky boli v hodnotenom období vykonávané len kontroly spracúvania osobných údajov.

Kontroly spracúvania osobných údajov vykonávané povereným kontrolným orgánom sú vždy zamerané na konkrétneho prevádzkovateľa alebo sprostredkovateľa a ich výsledky sú formulované v zázname o kontrole (ak nebolo zistené žiadne porušenie povinností pri spracúvaní osobných údajov) alebo v protokole o kontrole (ak boli zistené rozpory s požiadavkami všeobecne záväzných právnych predpisov). Výsledky kontrol formulované v protokole o kontrole iniciujú začatie konania o ochrane osobných údajov alebo sú využité ako podklad pre vydanie rozhodnutia v už prebiehajúcich konaniach.

7.1Kontroly začaté pred 25.05.2019

Z obdobia pred 25.05.2019 bolo do hodnoteného obdobia (od 25.05.2019 do 31.12.2019) prenesených 30 kontrol spracúvania osobných údajov, z ktorých v tomto období úrad ukončil 20. Kontrolovanými osobami boli v desiatich prípadoch obchodné spoločnosti (vrátane jedného neštátneho zdravotníckeho zriadenia), v troch prípadoch štátne orgány a v troch prípadoch obce; zvyšné kontroly boli zamerané na spracovateľské činnosti verejnoprávnej inštitúcie, poskytovateľa zdravotnej starostlivosti (štátna nemocnica), občianskeho združenia a príspevkovej organizácie zriadenej mestom (dom kultúry).

Vo vzťahu k dvom obchodným spoločnostiam a občianskemu združeniu nebolo zistené porušenie Nariadenia, v dôsledku čoho boli tieto kontroly ukončené záznamom o kontrole. Výkonom zvyšných 17 kontrol boli zistené rozpory s požiadavkami Nariadenia, v dôsledku čoho boli tieto kontroly ukončené protokolom o kontrole.

Zhrnutie štruktúry kontrolovaných osôb a výsledkov 20 ukončených kontrol:

Kontrolované osoby

Zistené nedostatky

(protokol o kontrole)

Bez zistených nedostatkov

(záznam o kontrole)

štátne orgány

verejnoprávna inštitúcia

obce

obchodné spoločnosti

štátne zdravotnícke zariadenie

občianske združenie

dom kultúry

7.1.1Zdravotná poisťovňa

Predmetom kontroly bolo podozrenie z neoprávneného spracúvania osobných údajov dotknutej osoby (v čase kontroly už bývalého zamestnanca kontrolovanej osoby) vrátane údajov týkajúcich sa jej zdravia, a to na účel, na ktorý kontrolovaná osoba nebola oprávnená. Kontrolovanou osobou bol prevádzkovateľ, ktorý vo svojich informačných systémoch spracúva osobné údaje fyzických osôb na účely verejného zdravotného poistenia. V rámci predmetnej kontroly sa kontrolný orgán

zameral na konkrétny prípad neoprávneného overovania údajov o odbornom lekárskom vyšetrení zamestnanca jeho nadriadeným na pracovnoprávne účely a nadväzne na aktuálny stav priamo i nepriamo súvisiacich technických a organizačných opatrení prijatých prevádzkovateľom. Kontrolou opodstatnenosti prístupov zamestnancov prevádzkovateľa zaradených na útvare nákupu zdravotnej starostlivosti k údajom o zdraví dotknutých osôb (poistencov verejného zdravotného poistenia) bolo zistené, že prevádzkovateľ umožnil prístup k údajom o zdravotnej starostlivosti poskytnutej konkrétnemu poistencovi aj v prípadoch, v ktorých to nebolo nevyhnutné, čím spracúvané osobné údaje týkajúce sa zdravia nezabezpečil pred rizikom ich neoprávneného spracúvania. Pri pokrývaní rizík bezpečnostnými opatreniami sa prevádzkovateľ v dostatočnej miere nezaoberal ani špecifickou skupinou dotknutých osôb, ktoré sú jeho zamestnancami a súčasne jeho poistencami (napríklad formou osobitnej politiky zameranej na túto skupinu dotknutých osôb). Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.

7.1.2Poskytovateľ verejnej hromadnej dopravy

Predmetom kontroly bol postup kontrolovanej osoby pri spracúvaní osobných údajov cestujúcich revízormi, ako aj plnenie povinností pri spracúvaní osobných údajov prostredníctvom kamerových systémov vo vozidlách a v priestoroch zastávok mestskej hromadnej dopravy. V priebehu kontroly bolo zistené, že kontrolovaná osoba pri kontrole cestovných lístkov revízormi vyhotovuje audiozáznam, pričom v rámci kontroly cestovných lístkov dotknutým osobám pri získavaní ich osobných údajov neposkytuje vôbec alebo poskytuje v nedostatočnom rozsahu informácie vyžadované článkom 13 Nariadenia. Súčasne bolo zistené, že kontrolovaná osoba neprijala primerané technické bezpečnostné opatrenia na ochranu vyhotovených audiozáznamov (zásada integrity a dôvernosti) a nedodržiava ani lehotu ich uchovávania, ktorú sama určila (zásada minimalizácie uchovávania). V súvislosti so spracúvaním osobných údajov získavaných kamerami v priestoroch zastávok bol súčasne zistený rozpor so zásadou minimalizácie údajov, keďže rozsah monitorovaného priestoru výrazne presahoval priestor zastávok, čím dochádzalo k neoprávnenému zasahovaniu do práv a právom chránených záujmov dotknutých osôb bez ohľadu na to, či išlo o cestujúcich. Vo vzťahu k videosledovaniu neboli dotknutým osobám pri získavaní ich osobných údajov poskytované informácie vyžadované článkom 13 Nariadenia a vo vzťahu ku kamerovým záznamom bolo zistené prekročenie určenej doby ich uchovávania. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.

7.1.3Nebanková inštitúcia

Predmetná kontrola bola zameraná na súlad spracúvania osobných údajov s požiadavkami Nariadenia, konkrétne so zásadami spracúvania osobných údajov, s podmienkami zákonného spracúvania a podmienkami vyjadrenia súhlasu a na práva dotknutej osoby v súvislosti s poskytovaním a správou úveru. V priebehu kontroly bolo zistené, že jednotlivé dokumenty, ktorými kontrolovaná osoba poskytuje svojim klientom informácie týkajúce sa právneho základu spracúvania osobných údajov, sú nezrozumiteľné, netransparentné, a v niektorých častiach aj vzájomne si odporujúce. Vo vzťahu k súhlasu klientov so spracúvaním ich osobných údajov nebola splnená požiadavka jeho slobodného poskytnutia. Súčasne bolo zistené, že osobné údaje klientov sú uchovávané po dlhšiu dobu, ako je nevyhnutné na dosiahnutie sledovaného účelu spracúvania. Kontrolovaná osoba ďalej nepreukázala zákonnosť spracúvania osobných údajov o manželovi (manželke), o druhovi (družke) a o inej kontaktnej osobe. Pochybenia kontrolovanej osoby boli zistené aj pri plnení informačnej povinnosti, a to tak voči klientom, ako aj voči ručiteľom, kontaktným a iným dotknutým osobám. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.

7.1.4Neštátne zdravotnícke zariadenie

Predmetná kontrola bola zameraná na súlad spracúvania osobných údajov s požiadavkami všeobecného nariadenia o ochrane údajov, konkrétne so zásadami spracúvania osobných údajov, podmienkami zákonného spracúvania, podmienkami vyjadrenia súhlasu a podmienkami spracúvania osobitných kategórií osobných údajov, ako aj na poskytovanie informácií dotknutým osobám, na sprostredkovateľa, na spracúvanie osobných údajov na základe poverenia prevádzkovateľa alebo sprostredkovateľa a na určenie zodpovednej osoby. V priebehu kontroly bolo zistené, že spracúvanie osobných údajov, ktoré bolo založené na súhlase dotknutej osoby, nebolo transparentné, nakoľko dotknutej osobe neboli poskytnuté jednoznačné informácie o právnom základe spracúvania podľa účelu spracúvania a informácie o právach dotknutej osoby vrátane práva odvolať súhlas so spracúvaním osobných údajov. Súčasne bolo zistené, že dotknutá osoba nemala možnosť rozhodnúť sa, či udelí alebo neudelí súhlas s vyhotovovaním a následným využívaním fotodokumentácie. Kontrolovaná osoba zároveň na účel vybavovania objednávok a marketingové účely nepostupovala transparente tým, že dotknutej osobe neposkytovala informácie o dobe uchovávania osobných údajov a právach dotknutých osôb, resp. informácie, ktoré je kontrolovaná osoba povinná dotknutej osobe poskytnúť pri získavaní jej osobných údajov. Vo vzťahu k sprostredkovateľom kontrolovanej osoby bolo zistené, že jedna zo zmlúv neobsahovala všetky náležitosti ustanovené Nariadením. Pochybenia kontrolovanej osoby boli zistené aj v súvislosti s určením zodpovednej osoby. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.

7.1.5Štátny orgán

Kontrola štátneho orgánu iniciovaná podozrením z porušenia povinností pri spracúvaní osobných údajov bola zameraná na súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a podmienkami ich zákonného spracúvania, transparentnosť a spravodlivosť poskytovania informácií dotknutým osobám, ako aj na postup pri určení zodpovednej osoby. Kontrolovaná osoba v postavení orgánu verejnej moci spracúvala osobné údaje určených kontaktných osôb, ako aj osobné údaje ďalších dotknutých osôb, pričom nepreukázala, že pri spracúvaní týchto osobných údajov splnila niektorú z podmienok zákonného spracúvania podľa čl. 6 ods. 1 Nariadenia (zákonnosť spracúvania), v dôsledku čoho nepostupovala v súlade so zásadou zákonnosti, spravodlivosti a transparentnosti. Dokument, ktorým kontrolovaná osoba poskytovala svojim zamestnancom (dotknutým osobám) informácie súvisiace so spracúvaním ich osobných údajov, neobsahoval správne identifikačné údaje prevádzkovateľa a zároveň v ňom nebola uvedená informácia o práve odvolať súhlas so spracúvaním osobných údajov, v dôsledku čoho súvisiace postupy kontrolovanej osoby nezodpovedali dikcii čl. 13 Nariadenia (informácie poskytované dotknutým osobám pri získavaní ich osobných údajov), ergo zásade transparentnosti. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.

7.1.6Štátne zdravotnícke zariadenie

Kontrola iniciovaná podozrením z porušenia povinností pri spracúvaní osobných údajov bola zameraná najmä na súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov, podmienkami zákonného spracúvania, podmienkami vyjadrenia súhlasu a podmienkami spracúvania osobitných kategórií osobných údajov. Kontrolou bolo zistené porušenie zásady minimalizácie údajov tým, že kontrolovaná osoba v osobnom spise zamestnanca spracúvala aj osobné údaje, ktoré na dosiahnutie účelu spracúvania neboli nevyhnutné, ako aj tým, že na účel evidencie dochádzky zamestnancov spracúvala osobitnú kategóriu osobných údajov (biometrické údaje vo forme odtlačkov prstov). V priebehu kontroly bolo zistené aj porušenie zásady integrity a dôvernosti spočívajúce v tom, že kontrolovaná osoba vo vzťahu k niektorým účelom spracúvania

neprijala primerané technické a organizačné opatrenia, a zistené boli aj ďalšie pochybenia súvisiace so spracúvaním osobných údajov na účel ochrany majetku nemocnice a ochrany osôb a majetku osôb, ktoré sa v nemocnici oprávnene zdržiavali, na účel spracúvania informácií o dávkach ionizujúceho žiarenia, ktorým boli dotknuté osoby vystavené, ako aj pochybenia pri objednávaní a úhrade stravy pre zamestnancov. Pochybenie bolo zistené aj vo vzťahu k spracúvaniu osobných údajov na účel evidencie návštev pri ich jednorazovom vstupe do vybraných objektov kontrolovanej osoby, nakoľko kontrolovaná osoba nepreukázala, že jej oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.

7.1.7Kamerové systémy

Z celkom 20 kontrol začatých pred 25.05.2019 a ukončených v sledovanom období bolo 8 kontrol zameraných na kamerové systémy. Z hľadiska podnetu na kontrolu bolo 5 kontrol vykonaných v rámci konania o ochrane osobných údajov a 3 kontroly na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených Nariadením alebo zákonom. Predmet kontrol bol zameraný na zisťovanie reálneho stavu spracúvania osobných údajov s dôrazom na súlad spracovateľských činností s požiadavkami Nariadenia a zákona. Vo vzťahu k občianskemu združeniu nebolo zistené žiadne pochybenie (kontrola ukončená záznamom o kontrole). Nedostatok zistený kontrolou ústredného orgánu štátnej spočíval v nepreukázaní súladu so zákonom pri plnení povinnosti prevádzkovateľa poskytovať dotknutej osobe informácie pri získavaní jej osobných údajov. V ďalších dvoch prípadoch (mesto a obec) sa nedostatky týkali najmä neposkytnutia informácií dotknutým osobám, neprimeraného rozsahu monitorovaného priestoru, ako aj uchovávania videozáznamov po dobu dlhšiu ako je doba nevyhnutná na dosiahnutie stanoveného účelu spracúvania, čím došlo aj k porušeniu súvisiacich zásad spracúvania osobných údajov. Zistené bolo aj nesplnenie povinnosti určiť zodpovednú osobu na plnenie úloh vyplývajúcich z Nariadenia. V rámci štyroch kontrol zameraných na spracovateľské činnosti troch právnických osôb a jednej príspevkovej organizácie zriadenej mestom (dom kultúry) boli zistené nedostatky, ktoré sa týkali najmä nepreukázania splnenia podmienok zákonnosti spracúvania osobných údajov, poskytovania informácií dotknutým osobám v nedostatočnom rozsahu alebo nesprávnym spôsobom, neprimeraného rozsahu monitorovania kamerami a lehoty uchovávania videozáznamov. Nedostatky boli zistené aj vo vzťahu k povinnosti prijať primerané technické a organizačné bezpečnostné opatrenia a vo vzťahu k povinnosti vypracovať záznamy o spracovateľských činnostiach. Zistené nedostatky logicky kolidovali aj so súvisiacimi zásadami spracúvania osobných údajov. Zistené porušenia povinností prevádzkovateľov pri spracúvaní osobných údajov boli premietnuté do protokolov o kontrole.

7.2Kontroly začaté v hodnotenom období (25.05.2019 – 31.12.2019)

Kontroly spracúvania osobných údajov začaté po 25.05.2019 boli v hodnotenom období vykonávané v rámci konania o ochrane osobných údajov, na základe plánu kontrol, ako aj na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených Nariadením alebo zákonom. Ťažisko kontrol bolo zamerané na reálny stav spracúvania osobných údajov s akcentom na súlad spracovateľských činností s požiadavkami právnej regulácie reprezentovanej najmä Nariadením a zákonom. Pri kreácii plánu kontrol, ako aj pri výbere kontrol priebežne iniciovaných úradom na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov úrad čerpal najmä z vlastných skúseností získavaných pri plnení svojich úloh v oblasti dozoru.

Doručením oznámenia o kontrole kontrolovanej osobe úrad v hodnotenom období začal celkom 32 kontrol, z toho 12 na základe plánu kontrol, 12 na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov a 8 v rámci konania o ochrane osobných údajov. Kontrolovanou osobou bola vo všetkých prípadoch iná než fyzická osoba v postavení prevádzkovateľa (vrátane dvoch miest a jednej obce).

Z celkom 32 kontrol začatých v hodnotenom období bolo do 31.12.2019 ukončených 8 kontrol, z toho 2 kontroly protokolom o kontrole a zvyšných 6 kontrol, záznamom o kontrole. Z hľadiska podnetu na kontrolu boli 4 kontroly vykonané na základe plánu kontrol, 1 kontrola na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov a 3 kontroly v rámci konania o ochrane osobných údajov.

Z celkom 32 kontrol začatých v hodnotenom období bolo do nadchádzajúceho obdobia prenesených 24 kontrol.

kontroly ukončené protokolom

kontroly ukončené záznamom

neukončené kontroly

Štádium a výsledky 32 kontrol začatých po 24.05.2019

Zhrnutie výsledkov ukončených kontrol a štruktúry kontrolovaných osôb:

Kontrolované osoby

Zistené nedostatky

(protokol o kontrole)

Bez zistených nedostatkov

(záznam o kontrole)

štátne orgány

mestá a obce

fyzické osoby

V hodnotenom období bolo z pozície európskej komisie realizované tzv. „schengenské hodnotenie“ zamerané na plnenie úloh, ktoré Slovenskej republike vyplývajú zo Schengenského acquis. Predmetné hodnotenie s periodicitou raz za sedem rokov sa na úrad vzťahovalo priamo (hodnotenie plnenia úloh úradu v tejto oblasti) i nepriamo (súčinnosť poskytovaná úradom pri hodnotení dvoch ministerstiev).

7.2.1Plán kontrol - Schengenské acquis

Do plánu kontrol úrad pravidelne zaraďuje kontroly spracúvania osobných údajov zamerané na zabezpečovanie praktického výkonu schengenského acquis príslušnými orgánmi na území Slovenskej republiky, ako aj zastupiteľskými úradmi Slovenskej republiky v zahraničí.

Kontroly národnej časti Schengenského informačného systému druhej generácie (N.SIS II) prevádzkovanej Ministerstvom vnútra Slovenskej republiky a národnej časti Vízového informačného systému (N.VIS) prevádzkovanej Ministerstvom zahraničných vecí a európskych záležitostí Slovenskej republiky sú do plánu kontrol zaraďované na základe odporúčania vyplývajúceho z uznesenia vlády Slovenskej republiky č. 755 zo dňa 30. novembra 2011, ktorým

vláda schválila Schengenský akčný plán Slovenskej republiky ako prioritu vlády Slovenskej republiky. V súvislosti so zmenou národného prístupového bodu informačného systému Eurodac na verziu Eurodac II (2015) nadobudol prevádzkovateľ, ktorým je Ministerstvo vnútra Slovenskej republiky, nové kompetencie a povinnosti; v nadväznosti na uvedenú skutočnosť súčasne vznikla úradu povinnosť každoročne vykonať kontrolu spracúvania osobných údajov v národnom prístupovom bode Eurodac. Prijatím Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/794 z 11. mája 2016 o Agentúre Európskej únie pre spoluprácu v oblasti presadzovania práva (Europol), ktorým sa nahrádzajú a zrušujú rozhodnutia Rady 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV, vznikla úradu povinnosť pravidelne vykonávať kontrolu spracovateľskej činnosti národnej ústredne Europol alebo národného styčného dôstojníka Europol.

V národných častiach (subsystémoch) predmetných informačných systémov sú popri bežných (napríklad identifikačných) údajoch spracúvané aj osobitné kategórie osobných údajov, najmä biometrické údaje, údaje odhaľujúce rasový alebo etnický pôvod, ako aj osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku, teda osobné údaje spôsobilé výrazne zasiahnuť do práv a právom chránených záujmov dotknutých osôb.

V hodnotenom období bolo vykonaných 8 kontrol spracúvania osobných údajov dotknutých osôb, ktoré boli zamerané na 4 pracoviská prevádzkovateľa Ministerstva vnútra Slovenskej republiky, 3 pracoviská Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky a jedno pracovisko Kriminálneho úradu finančnej správy.

7.2.1.1Ministerstvo zahraničných vecí a európskych záležitostí Slovenskej republiky

Predmetom kontroly Národnej časti Vízového informačného systému boli spracovateľské činnosti konzulárneho odboru sekcie medzinárodnoprávnej, konzulárnej a krízového manažmentu Ministerstva zahraničných vecí a európskych záležitostí SR súvisiace s vydávaním schengenských víz, dodržiavanie zásad spracúvania osobných údajov s dôrazom na práva dotknutých osôb a bezpečnosť osobných údajov, ako aj spracovateľské činnosti dvoch konzulárnych pracovísk vybraných zastupiteľských úradov Slovenskej republiky súvisiace s vydávaním schengenských víz a dodržiavanie zásad spracúvania osobných údajov s dôrazom na práva dotknutých osôb a bezpečnosť osobných údajov. V hodnotenom období nebola ukončená žiadna z troch uvedených kontrol.

7.2.1.2Ministerstvo vnútra Slovenskej republiky

Predmetom kontroly národnej časti Schengenského informačného systému boli spracovateľské činnosti Národnej ústredne SIRENE v rámci plnenia úloh Policajného zboru SR na účely podľa Nariadenia Európskeho parlamentu a Rady (ES) č. 1987/2006 z 20. decembra 2006 o zriadení, prevádzke a využívaní Schengenského informačného systému druhej generácie, na základe ktorého sú spracúvané údaje o štátnych príslušníkoch tretích krajín v súvislosti s odoprením vstupu alebo pobytu, ako aj podľa Rozhodnutia Rady 2007/533/SVV z 12. júna 2007 o zriadení, prevádzke a využívaní Schengenského informačného systému druhej generácie, podľa ktorého sú spracúvané údaje o osobách a predmetoch v N.SIS II na účely diskrétneho sledovania alebo cielených kontrol. Kontrola bola ukončená záznamom o kontrole.

Predmetom kontroly automatizovaného európskeho systému identifikácie odtlačkov prstov (EURODAC) boli spracovateľské činnosti národného prístupového bodu EURODAC vykonávané podľa Nariadenia Európskeho parlamentu a Rady č. 603/2013 z 26. júna 2013 o zriadení systému EURODAC na porovnávanie odtlačkov prstov pre účinné uplatňovanie nariadenia (EÚ) č. 604/2013, ktorým sa ustanovujú kritériá a mechanizmy na určenie členského štátu

zodpovedného za posúdenie žiadosti o medzinárodnú ochranu podanej štátnym príslušníkom tretej krajiny alebo osobou bez štátnej príslušnosti v jednom z členských štátov, a o žiadostiach orgánov členských štátov na presadzovanie práva a Europolu o porovnanie s údajmi v systéme Eurodac na účely presadzovania práva a o zmene nariadenia (EÚ) č.1077/2011, ktorým sa zriaďuje Európska agentúra na prevádzkové riadenie rozsiahlych informačných systémov v priestore slobody, bezpečnosti a spravodlivosti (prepracované znenie) ako aj podľa Nariadenia Európskeho parlamentu a Rady č. 604/2013 z 26. júna 2013, ktorým sa stanovujú kritériá a mechanizmy na určenie členského štátu zodpovedného za posúdenie žiadosti o medzinárodnú ochranu podanej štátnym príslušníkom tretej krajiny alebo osobou bez štátnej príslušnosti v jednom z členských štátov (prepracované znenie). Kontrola bola ukončená záznamom o kontrole.

Predmetom kontroly styčného úradu Slovenskej republiky (Europol) v Haagu boli spracovateľské činnosti podľa Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/794 z 11. mája 2016 o Agentúre Európskej únie pre spoluprácu v oblasti presadzovania práva (Europol), ktorým sa nahrádzajú a zrušujú rozhodnutia Rady 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV, ako aj súlad spracúvania osobných údajov dotknutých osôb so zásadami spracúvania osobných údajov a podmienkami zákonného spracúvania s dôrazom na práva dotknutých osôb a bezpečnosť osobných údajov. Kontrola bola ukončená záznamom o kontrole.

Predmetom kontroly Národnej ústredne informácií o pasažieroch (NUIP) boli spracovateľské činnosti Národnej ústredne informácií o pasažieroch zriadenej v rámci transpozície smernice Európskeho parlamentu a Rady (EÚ) 2016/681 z 27. apríla 2016 o využívaní údajov zo záznamov o cestujúcich (PNR) na účely prevencie, odhaľovania, vyšetrovania a stíhania teroristických trestných činov a závažnej trestnej činnosti. Kontrola bola ukončená záznamom o kontrole.

7.2.1.3Kriminálny úrad finančnej správy

Predmetná kontrola bola zameraná na spracovateľské činnosti Kriminálneho úradu finančnej správy podľa Nariadenia Rady (ES) č. 515/97 z 13. mája 1997 o vzájomnej pomoci medzi správnymi orgánmi členských štátov a o spolupráci medzi správnymi orgánmi členských štátov a Komisiou pri zabezpečovaní riadneho uplatňovania predpisov o colných a poľnohospodárskych záležitostiach v znení neskorších predpisov a Rozhodnutia Rady 2009/917/SVV z 30. novembra 2009 o využívaní informačných technológií na colné účely, ako aj na súlad spracúvania osobných údajov dotknutých osôb so zásadami spracúvania osobných údajov a podmienkami zákonného spracúvania s dôrazom na práva dotknutých osôb a bezpečnosť osobných údajov. Uvedená kontrola nebola ukončená v hodnotenom období.

7.2.2Kontrola na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov

Kontrola bola zameraná na súlad spracúvania osobných údajov dotknutých osôb dochádzkovým systémom kontrolovanej osoby (mesto) so zásadami spracúvania osobných údajov, podmienkami zákonného spracúvania a obmedzeniami vzťahujúcimi sa na spracúvanie osobitných kategórií osobných údajov, ako aj na uplatňovanie práv dotknutých osôb, bezpečnosť osobných údajov a existenciu a obsah súvisiacich pokynov prevádzkovateľa adresovaných sprostredkovateľovi. Kontrolou bolo zistené, že dochádzkový systém pracuje na princípe pridelených kódov a priebežného vyhotovovania fotografie (teda nie na báze biometrických údajov); v súvislosti s predmetnou spracovateľskou činnosťou neboli zistené žiadne nedostatky pri spracúvaní osobných údajov dotknutých osôb. Kontrola bola ukončená záznamom o kontrole.

7.2.3Kontroly v rámci konania o ochrane osobných údajov

V hodnotenom období boli všetky 3 kontroly v rámci konania o ochrane osobných údajov zamerané na kamerové systémy prevádzkované fyzickými osobami. V jednom prípade neboli zistené žiadne rozpory s požiadavkami Nariadenia, v dôsledku čoho bola táto kontrola ukončená záznamom o kontrole. Výkonom ďalších 2 kontrol boli zistené nedostatky, ktoré spočívali najmä v neposkytnutí žiadnych, nepresných alebo neúplných informácií dotknutým osobám a nepreukázaní splnenia podmienok zákonnosti spracúvania osobných údajov. Pochybenia kontrolovaných osôb boli súčasne zistené vo vzťahu k uchovávaniu videozáznamov po dobu dlhšiu ako je doba nevyhnutná na dosiahnutie stanoveného účelu spracúvania, ako aj vo vzťahu k neprimeranému rozsahu monitorovaného priestoru, čím došlo k porušeniu súvisiacich zásad spracúvania osobných údajov (najmä zásada minimalizácie údajov a zásada minimalizácie uchovávania). Zistené porušenia povinností prevádzkovateľov pri spracúvaní osobných údajov boli premietnuté do protokolov o kontrole.

7.3ZÁVERY VYPLÝVAJÚCE Z KONTROLNEJ ČINNOSTI ÚRADU

Vo všeobecnosti je z výsledkov kontrol vykonávaných v hodnotenom období zrejmé úsilie prevádzkovateľov zabezpečiť dodržiavanie ustanovení Nariadenia a zákona, súčasne sú však dlhodobo identifikované kategórie prevádzkovateľov, ktorým je potrebné venovať zvýšenú pozornosť, a to z dôvodov objektívnych (veľký rozsah spracúvania osobných údajov, citlivosť spracúvaných osobných údajov, a podobne) i subjektívnych (najmä úmyselné alebo nedbanlivostné uprednostňovanie vlastných záujmov pred pravidlami spracúvania osobných údajov).

Dozornú činnosť úradu, ktorej základným poslaním je nepochybne aj preventívne pôsobenie na ochranu osobných údajov spracúvaných prevádzkovateľmi a ich sprostredkovateľmi, je už dlhodobo žiaduce podporiť ďalšími formami aktivít úradu, ktoré sú priamo úmerné jeho finančnej, materiálnej a personálnej situácii, ktorá v súčasnosti neumožňuje zavedenie a trvalé uplatňovanie sofistikovaných (najmä v oblasti informačných technológií) či iným spôsobom náročných postupov úradu zameraných na ochranu osobných údajov dotknutých osôb, teda nás všetkých. Základným predpokladom dosiahnutia súladu s požiadavkami Nariadenia a zákona je však aj všeobecné stotožnenie sa so zámerom, ktorý tieto právne predpisy formalizujú.

8KONANIE O OCHRANE OSOBNÝCH ÚDAJOV

Účelom konania o ochrane osobných údajov je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu ustanovení Nariadenia, prípadne zákona. V prípade zistenia nedostatkov, ak je to dôvodné a účelné, uložiť opatrenia na nápravu, prípadne pokutu. Na konanie o ochrane osobných údajov sa vzťahujú ustanovenia správneho poriadku.

Ak nie je daná kompetencia úradu na konanie a rozhodnutie vo veci má úrad povinnosť podanie postúpiť príslušnému správnemu orgánu.

V sledovanom období postúpil úrad celkovo 14 podaní inému, vecne príslušnému správnemu orgánu na konanie a rozhodnutie.

Právne predpisy v oblasti ochrany osobných údajov ukladajú úradu podanie v taxatívne stanovených prípadoch odložiť. Najčastejším dôvodom odloženia bola neopodstatnenosť podania, keď už z dôkazov predložených dotknutou osobou bolo zrejmé, že k porušeniu právnych predpisov v oblasti ochrany osobných údajov nedošlo.

V zmysle zákona musí byť v prípade, že nastane jeden z dôvodov na odloženie podania podanie odložené obligatórne.

V sledovanom období bolo celkovo odložených 138 podaní, z ktorých

•94 bolo odložených z dôvodu, že návrh bol zjavne neopodstatnený,

•6 z dôvodu, že vec, ktorej sa návrh týkal, prejednával súd alebo orgán činný v trestnom konaní,

•33 z dôvodu, že navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť,

•5 z dôvodu, že od udalosti ktorej sa návrh týkal, uplynuli v deň jeho doručenia viac ako tri roky.

Úrad, v rámci dozornej činnosti, vedie konanie o ochrane osobných údajov s cieľom ochrany práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov, pričom v ňom tiež skúma dodržiavanie povinností stanovených Nariadením a zákonom. Ak zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov, rozhodnutím, ak je to dôvodné a účelné, uloží prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie nedostatkov a príčin

ich vzniku, prípadne, v závislosti najmä od závažnosti zisteného porušenia uloží pokutu. V opačnom prípade konanie o ochrane osobných údajov zastaví.

Konanie o ochrane osobných údajov sa začína

•na návrh navrhovateľa,

•alebo z vlastnej iniciatívy úradu.

Konanie z vlastnej iniciatívy úradu sa začína

•na základe podnetu,

•na základe výsledkov kontroly, ktorou boli zistené nedostatky alebo

•na základe zistenia úradu z vlastnej činnosti o podozrení z porušenia právnych predpisov v oblasti ochrany osobných údajov, ako konanie začaté bez návrhu.

V sledovanom období začal úrad celkovo 71 správnych konaní, z ktorých

•43 bolo začatých na návrh dotknutej osoby,

•13 začatých na základe podnetu,

•8 začatých na základe výsledkov kontroly, ktorou boli zistené nedostatky a

•7 konaní viedol úrad z vlastnej iniciatívy na základe podozrenia z porušenia právnych predpisov v oblasti ochrany osobných údajov.

Prehľad spôsobov začatia konania v rámci sledovaného obdobia

Rok

Na základe

návrhu

Na základe

podnetu

Na základe

výsledkov kontroly

Z vlastnej

iniciatívy úradu

Od 25.5.2019 do

31.12.2019

Rozhodnutie úradu, ako správneho orgánu v prvom stupni v konaní o ochrane osobných údajov, vychádza zo spoľahlivo zisteného stavu veci. Na tento účel je úrad v konaní o ochrane osobných údajov oprávnený požadovať súčinnosť od kohokoľvek, pričom v hodnotenom období úrad žiadal o súčinnosť celkovo 381 krát. V konaní o ochrane osobných údajov sa vyskytli dva prípady kedy subjekt, od ktorého bola žiadaná súčinnosť na ňu nereagoval a úradu ani po vyzvaní na splnenie si povinnosti súčinnosť neposkytol (v daných prípadoch bolo voči subjektom iniciované konanie o pokute prípadne o poriadkovej pokute).

V súvislosti so zvyšovaním povedomia ochrany osobných údajov u verejnosti sa o prípady, resp. výsledky konaní zaujímali častokrát taktiež média. Inštitút právneho zastúpenia bol v hodnotenom období využitý v značnom počte prípadov, pričom výnimkou neboli ani prípady, kedy všetci účastníci konania boli zastúpení právnymi zástupcami.

Najčastejším predmetom konania o ochrane osobných údajov bolo skúmanie, či spracúvaním osobných údajov dotknutých osôb prostredníctvom kamier dochádzalo k porušovaniu právnych predpisov v oblasti ochrany osobných údajov.

Medzi najčastejšie porušenia patrilo spracúvanie osobných údajov v rozpore so zásadou zákonnosti kedy dochádzalo k spracúvaniu osobných údajov bez právneho základu, resp. v rozpore s právnym základom a spracúvanie v rozpore so zásadou integrity a dôvernosti, čo súviselo s neprijatím primeraných bezpečnostných opatrení.

V konaní o ochrane osobných údajov boli v hodnotenom období využívané viaceré dôkazové prostriedky umožňujúce zistenie skutočného stavu veci, pričom za daným účelom sa pri komplikovanejších veciach využívala kontrola priamo u prevádzkovateľa alebo sprostredkovateľa. Kontrola sa osvedčila ako účinný prostriedok pre zisťovanie skutočného a úplného stavu, najmä pri preverovaní kamier na mieste, kde umožnila spoľahlivo určiť spôsob a jednotlivé aspekty monitorovania a na základe toho následne posúdiť zásah do súkromia monitorovaných osôb. S cieľom zistenia skutočného stavu veci súvisí aj pomerne vysoký počet žiadostí o súčinnosť, prostredníctvom ktorých boli zabezpečované do spisových materiálov najmä listinné dôkazy. Dotknuté osoby podávali zväčša precizované návrhy obsahujúce všetky vyžadované náležitosti, pričom len v minimálnej miere ich bolo potrebné vyzývať na odstránenie nedostatkov podania.

Konanie o ochrane osobných údajov, ako typ správneho konania sa vyznačuje citlivosťou prejednávanej problematiky, ktorá sa týka dodržiavania a ochrany základných práv a slobôd v oblasti osobných údajov.

Konanie o ochrane osobných údajov je neverejným konaním, ktoré v sebe zahŕňa viacero osobitostí, ktoré dopĺňajú, resp. rozširujú právnu úpravu zákona č. 71/1967 Zb., prípadne tam kde je to potrebné vylučujú aplikáciu zákona č. 71/1967 Zb. Tieto špecifiká sú dôležité z hľadiska správneho uplatňovania ochrany osobných údajov, pričom úrad v rámci prvostupňového konania ich tam, kde to bolo vhodné a potrebné, zohľadňoval. Takýmto osobitným inštitútom v konaní o ochrane osobných údajov je napr. utajenie totožnosti navrhovateľa v prípadoch, v ktorých by mohlo dôjsť k porušeniu jeho práv a právom chránených záujmov (ako dotknutej osoby), prípadne negatívnemu konaniu zo strany prevádzkovateľa. Utajenie totožnosti navrhovateľa našlo svoje opodstatnenie a dotknuté osoby v záujme svojej ochrany ho v hodnotenom období využívali pri návrhoch, ktorými sa domáhali ochrany ich práv a právom chránených záujmov v súvislosti s výkonom ich povolania.

V sledovanom období sa prevádzkovatelia častokrát v priebehu konania o ochrane osobných údajov ešte pred vydaním meritórneho rozhodnutia snažili dobrovoľne odstrániť zistené nedostatky pri spracúvaní osobných údajov a prijať účinné mechanizmy k zabezpečeniu zákonného spracúvania osobných údajov. O prijatých a vykonaných opatreniach na odstránenie zistených nedostatkov účastníci konania úrad v uložených lehotách spravidla úrad informovali.

9MECHANIZMUS SPOLUPRÁCE A KONZISTENTNOSTI

Fungovanie vnútorného trhu si vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný, a to ani z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov, čo sa odzrkadľuje aj v ustanovení čl. 1 ods. 3 Nariadenia. Na uvedené Nariadenie reaguje zavedením mechanizmov spolupráce a konzistentnosti, aby bola zaručená konzistentná a obdobne vysoká úroveň ochrany osobných údajov v každom členskom štáte bez ohľadu na miesto bydliska dotknutej osoby.

9.1Mechanizmus spolupráce

Nariadenie upravuje spoluprácu medzi dozornými orgánmi navzájom, či už potreba vzájomnej spolupráce vznikne v rámci vyšetrovania konkrétneho podozrenia z porušenia ochrany osobných údajov alebo v rámci inej činnosti dozorného orgánu (napr. riešenie právnych otázok, poskytovanie konzultácií). Vzhľadom na to, že pravidlá spolupráce sú upravené priamo v Nariadení, nevyžaduje sa žiadne uzatváranie ďalších osobitných dohôd medzi členskými štátmi na tento účel.

9.1.1Cezhraničné spracúvanie

V zmysle čl. 55 Nariadenia každý dozorný orgán plní úlohy a vykonáva právomoci zverejnené Nariadením na území svojho štátu. Nariadenie však osobitne upravuje aj postup a príslušnosť v konaní pre cezhraničné spracúvanie osobných údajov. Cezhraničné spracúvanie je v zmysle čl. 4 bod 23 Nariadenia a) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo b) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte.

Nariadenie upravuje spoluprácu medzi dozornými orgánmi predovšetkým v súvislosti s mechanizmom jednotného kontaktného miesta (tzv. one-stop-shop) upraveného v čl. 56 ods. 1 Nariadenia, v zmysle ktorého je dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa oprávnený konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa, resp. sprostredkovateľa. Podľa čl. 56 ods. 2 Nariadenia, je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením Nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte. V súlade s čl. 4 bod 22 Nariadenia ostatné dozorné orgány budú pre toto spracúvanie v pozícií dotknutých dozorných orgánov, ak a) prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu; b) dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo c) sťažnosť sa podala na tento dozorný orgán.

Určovanie vedúceho dozorného orgánu a dotknutých orgánov sa uskutočňuje v systéme IMI (Internal Market Informational System - Informačný systém o vnútornom trhu), v rámci ktorého prebieha medzi jednotlivými dozornými orgánmi výmena informácií o konkrétnom spracúvaní a konkrétnom podozrení z porušenia ochrany osobných údajov, resp. pokiaľ sa vyšetrovanie začalo na základe sťažnosti dotknutej osoby, tak aj o obsahu tejto konkrétnej sťažnosti. Výmena informácií prebieha v anglickom jazyku.

V sledovanom období bolo úradu doručených v systéme IMI 450 notifikácií ohľadom určovania vedúceho a dotknutého dozorného orgánu. Úrad na základe starostlivého posúdenia každej jednej veci vyhodnotil, že je dotknutým dozorným orgánom v 94 prípadoch; najčastejšie z dôvodov, že predmetné spracúvanie osobných údajov podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby s pobytom na území Slovenskej republiky. Najčastejšie išlo o prevádzkovateľov sociálnych sietí, prevádzkovateľov poskytujúcich ubytovacie služby, letecké spoločnosti, rôzne e-shopy a online herne. V niektorých prípadoch bol úrad dotknutý aj z dôvodu, že prevádzkovateľ alebo sprostredkovateľ je usadený na území Slovenskej republiky, tzn. na území Slovenskej republiky má jednu alebo viac prevádzkarní. Pokiaľ úrad vyhodnotil, že je dotknutým dozorným orgánom, označil to v systéme IMI a prípad ďalej sledoval. V súlade s čl. 60 Nariadenia úrad mal podľa potreby možnosť vyjadrovať sa k žiadostiam vedúceho dozorného orgánu, k jeho postupu a k výsledkom vyšetrovania a tiež pripomienkovať návrh rozhodnutia. Pokiaľ by bol úrad dotknutým dozorným orgánom z dôvodu, že mu bola doručená sťažnosť, úrad by vystupoval ako kontaktný bod pre dotknutú osobu a oznamoval by jej rozhodnutie vedúceho dozorného orgánu.

Úradu bolo v sledovanom období doručených celkovo 21 podaní obsahujúcich prvky cezhraničného spracúvania (z toho 9 návrhov od dotknutých osôb, 8 podnetov a 4 oznámenia o porušení ochrany osobných údajov, tzv. data breach). Tieto podania boli doručené buď od zahraničných osôb alebo smerovali voči zahraničným prevádzkovateľom, medzi inými napríklad aj voči prevádzkovateľom usídleným v USA, Holandsku alebo Írsku. Úrad v rámci každého doručeného podania najprv preskúmal (tzv. predbežné preskúmanie sťažnosti), či predmet podania spĺňa podmienky cezhraničného spracúvania podľa čl. 4 bod 23 Nariadenia, resp. či bola splnená definícia podľa čl. 56 ods. 2 Nariadenia. Pokiaľ predmet podania zakladal dôvodné podozrenie z porušenia ochrany osobných údajov, úrad uvádzané tvrdenia preveroval aj v spolupráci s dozorným orgánom toho členského štátu, na území ktorého mal prevádzkovateľ hlavnú alebo jedinú prevádzkareň. V dvoch prípadoch úrad vložil doručené podania do systému IMI a ďalej ich riešil v spolupráci s dozornými orgánmi, ktorí boli pre dané spracúvanie vedúcim dozorným orgánom. Išlo o dozorné orgány Írska a Česka. Úrad bol v sledovanom období označený slovinským dozorným orgánom ako vedúci dozorný orgán, a to na základe miesta hlavného sídla prevádzkovateľa, nakoľko sťažnosť od slovinského občana smerovala voči prevádzkovateľovi usadenému v Slovenskej republike.

9.1.2Vzájomná pomoc

Úrad spolupracuje s inými dozornými orgánmi aj mimo mechanizmu one-stop-shop. Táto spolupráca prebieha taktiež v systéme IMI, ktorý umožňuje zasielanie konkrétnych žiadostí vybraným dozorným orgánom. Úrad však priebežne vybavuje aj emailové, resp. písomné žiadosti iných dozorných orgánov.

Za sledované obdobie úrad v systéme IMI prijal 18 žiadostí iných dozorných orgánov o spoluprácu v zmysle čl. 61 Nariadenia. Tri žiadosti prišli zhodne od poľského a talianskeho dozorného orgánu, Luxembursko a Írsko odoslalo po dve žiadosti o spoluprácu, Cyprus, Česko, Estónsko, Maďarsko, Lotyšsko, Litva, Malta a Nórsko doručili úradu v sledovanom období po jednej žiadosti. V predmetných žiadostiach dozorné orgány žiadali úrad o jeho právny názor predovšetkým ohľadom výkladu ustanovení Nariadenia. Žiadosti sa týkali napr. automatizovaného rozhodovania vrátane profilovania v súvislosti s vyhodnocovaním absencie zamestnancov na pracovisku, používania biometrického podpisu, doby uchovávania osobných údajov na základe oprávneného záujmu, úverových registrov, právneho názoru na výklad čl. 77 Nariadenia, úloh a povinností zodpovednej osoby, vzájomného súladu Nariadenia a vnútroštátnych predpisov na ochranu osobných údajov, zástupcu prevádzkovateľa, ktorý nie je usadený v Európskej únii, pozície

zodpovednej osoby pri konzultáciách počas prípravy návrhu legislatívneho opatrenia, výkladu čl. 55 ods. 3 Nariadenia. Niektoré dozorné orgány týmto spôsobom úrad informovali o doručenom oznámení porušenia ochrany osobných údajov alebo využili tento spôsob na konzultáciu konkrétneho prípadu pred spustením one-stop-shop mechanizmu.

Za sledované obdobie úrad v systéme IMI zaslal 4 žiadosti o spoluprácu v zmysle čl. 61 Nariadenia. Žiadosti sa týkali informácií o konkrétnych cezhraničných prípadoch, konzultácií jednotlivých prípadov alebo právneho názoru ostatných dozorných orgánov ohľadom výkladu Nariadenia. Úrad sa ostatných dozorných orgánov napríklad pýtal, či považujú spracúvanie čistého záznamu z registra trestov za spracúvanie podľa čl. 10 Nariadenia v prípade, keď sú záznamy z registra trestov potrebné na účely prijatia do zamestnania. Úrad takisto požiadal ostatné dozorné orgány o spoluprácu v súvislosti s otázkou týkajúcou sa náhrady škody medzi prevádzkovateľom a zodpovednou osobou, ktorá si neplnila úlohy vyplývajúce jej z Nariadenia. Úrad na vzájomnú spoluprácu s inými dozornými orgánmi používal aj iné formy komunikácie ako systém IMI (email, písomná a telefonická komunikácia), pri ktorých využíval kontakty nadobudnuté počas svojej činnosti, medzi inými aj kontakty nadobudnuté v rámci členstva v expertných skupinách Výboru.

9.1.3Spoločné operácie dozorných orgánov

V rámci mechanizmu spolupráce sa v zmysle čl. 62 Nariadenia môžu vykonať aj spoločné operácie dozorných orgánov v rátane spoločných vyšetrovaní a spoločných opatrení v oblasti presadzovania. V sledovanom období úrad neinicioval ani neprijal žiadosť o vykonanie takýchto spoločných operácií dozorných orgánov.

9.2Mechanizmus konzistentnosti

Dôležitým atribútom Nariadenia je jeho konzistentné uplatňovanie. Aby sa dosiahol tento cieľ, Nariadenie upravuje mechanizmus konzistentnosti, ktorý možno chápať ako spoluprácu medzi dozornými orgánmi EHP, a v relevantných prípadoch aj s EK.

9.2.1Stanovisko EDPB

Účelom článku 64 Nariadenia je, aby EDPB vydal stanovisko v prípadoch, keď príslušný dozorný orgán plánuje prijať konkrétne opatrenia. Na tento účel by dozorný orgán mal EDPB oznámiť svoj návrh rozhodnutia. Nariadenie upravuje prípady, kedy je dozorný orgán povinný žiadať EDPB o stanovisko (čl. 64 ods. 1 Nariadenia) a kedy má možnosť požiadať o stanovisko (čl. 64 ods. 2 Nariadenia). Úrad v hodnotenom období nepožiadal o stanovisko EDPB.

9.2.2Riešenie sporov EDPB

Riešenie sporov EDPB umožňuje prijať záväzné rozhodnutie na zabezpečenie konzistentného uplatňovania Nariadenia v týchto prípadoch:

•Relevantná odôvodnená námietka bola vznesená dotknutým dozorným orgánom alebo zamietnutá vedúcim dozorným orgánom (čl. 60 Nariadenia);

•Nesúhlas s určením vedúceho dozorného orgánu (čl. 56 Nariadenia);

•Absencia konzultácie EDPB (čl. 64 Nariadenia);

•Dozorný orgán nepostupoval podľa stanoviska EDPB (čl. 64 Nariadenia).

V hodnotenom období EDPB neriešil žiaden spor.

9.2.3Postup pre naliehavé prípady

Článok 66 Nariadenia upravuje mechanizmus postupu pre naliehavé prípady. Vo výnimočných prípadoch, keď sa dotknutý dozorný orgán domnieva, že je naliehavé chrániť práva a slobody dotknutých osôb, môže prijať dočasné opatrenia s právnymi účinkami na svojom území. Platnosť týchto opatrení nesmie časovo prekročiť tri mesiace. V tomto prípade je dotknutý dozorný orgán povinný informovať ostatné dozorné orgány, EDPB a EK.

Ak sa dozorný orgán domnieva, že je potrebné urýchlene prijať konečné opatrenia, môže požiadať EDPB o naliehavé stanovisko alebo o naliehavé záväzné rozhodnutie. Každý dozorný orgán môže od EDPB žiadať naliehavé stanovisko alebo záväzné rozhodnutie v prípadoch, keď príslušný dozorný orgán neprijal vhodné opatrenie a existuje naliehavá potreba konať. V hodnotenom období úrad neaplikoval tento článok.

10SANKCIONOVANIE

Sankciami za porušenie Nariadenia a zákona sú pokuta a poriadková pokuta. Sankcie sú v daných právnych normách upravené fakultatívne, tzn. že nie každé zistené porušenie sa automaticky musí skončiť uložením sankcie. Úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého prípadu. Úrad pri rozhodovaní o uložení pokuty a určení jej výšky zohľadňuje najmä povahu, závažnosť a trvanie porušenia, počet dotknutých osôb, rozsah škody, ak vznikla, prípadné zavinenie porušenia ochrany osobných údajov a opatrenia, ktoré boli prijaté na zmiernenie škody, ktorú dotknuté osoby utrpeli. Úrad taktiež prihliada na predchádzajúce porušenia ochrany osobných údajov, mieru spolupráce s úradom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia, kategóriu osobných údajov, ktorých sa porušenie týka a na spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel.

10.1Pokuta

V sledovanom období úrad za porušenie právnych predpisov v oblasti ochrany osobných údajov právoplatne uložil deväť pokút v súhrnnej výške 75 300,- eur. V sledovanom období vybral úrad na pokutách celkovo 94 238,- eur. Priemerná pokuta bola vo výške 8 367,- eur. Najnižšiu pokutu vo výške 500,- eur úrad uložil prevádzkovateľovi za neposkytnutie súčinnosti. Najvyššiu pokutu úrad právoplatne uložil vo výške 50 000,- eur prevádzkovateľovi za porušenie bezpečnosti spracúvania osobných údajov.

Prehľad uložených a vybratých pokút v sledovanom období

Sledované obdobie

Počet pokút

Celková výška právoplatne

uložených pokút v Eurách

Priemerná výška pokuty zaokrúhlená na celé Euro nahor

Celkovo vybraté na pokutách v Eurách

25.5.2019

až 31.12.2019

75 300

8 367

94 238

Pokuta, ako druh sankcie, plnila v hodnotenom období represívnu, ako aj preventívnu funkciu. Pri jej ukladaní úrad okrem iného zohľadňoval postavenie subjektu a jeho činnosť, ako aj možný dopad výšky pokuty na jeho ďalšiu existenciu. V súvislosti s ukladaním pokút počas hodnoteného obdobia1 za porušenie právnych predpisov v oblasti ochrany osobných údajov možno konštatovať, že uložené pokuty nemali likvidačné dopady.

10.2Poriadková pokuta

Poriadková pokuta slúži na zabezpečenie dôstojného a nerušeného priebehu dozornej činnosti úradu. Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa, ak marí výkon kontroly alebo ak nezabezpečí primerané podmienky na jej výkon. Úrad môže uložiť poriadkovú pokutu taktiež osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom, za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru. V sledovanom období uložil úrad štyri poriadkové pokuty v súhrnnej výške 4 000,- eur, z toho jednu vo výške 500,- eur za neposkytnutie súčinnosti a druhú vo výške 3 500,- eur v súvislosti s marením výkonu kontroly.

1 Ministerstvo financií Slovenskej republiky stanovilo úradu záväzný ukazovateľ pre výber pokút na rok 2019 vo výške 81 778,- Eur, pričom za celý rok 2019 úrad vybral na pokutách spolu 119 114,- Eur, teda stanovený ukazovateľ splnil nad rámec.

10.3Vybrané prípady z dozornej činnosti úradu

10.3.1Odloženia

10.3.1.1Nejasnosť žiadosti dotknutej osoby

Úrad posudzoval návrh navrhovateľa, podľa ktorého prevádzkovateľ porušil jeho právo na prístup k osobným údajom podľa čl. 15 Nariadenia tým, že v oznámení na základe jeho žiadosti mu neposkytol informácie o spracúvaní osobných údajov, ktoré žiadal. Úrad preskúmal žiadosť navrhovateľa a oznámenie prevádzkovateľa, ktorým ju vybavil, na základe čoho konštatoval, že žiadosť bola natoľko nejasná, že ak poskytnuté informácie nezodpovedali úplne intencii navrhovateľa, s ktorou sa na prevádzkovateľa obrátil, nie je možné spravodlivo usúdiť, že prevádzkovateľ tým porušil niektoré právo dotknutej osoby ustanovené v čl. 15 Nariadenia. Úrad z uvedených dôvodov návrh odložil podľa § 100 ods. 5 písm. a) zákona a navrhovateľa poučil, ako má práva podľa čl. 15 Nariadenia riadne uplatniť.

10.3.1.2Spracúvanie telefónneho čísla za účelom kontaktovania dotknutej osoby

Úradu boli doručené podania fyzických osôb, v ktorých žiadali napríklad preverenie telefónnych čísiel, z ktorých boli kontaktované za účelom ponúk rôznych tovarov a služieb alebo žiadali preveriť postup neidentifikovanej spoločnosti, ktorá ich telefonicky kontaktovala, pričom nemali vedomosť odkiaľ takáto spoločnosť získala ich telefónne číslo.

Úrad nedisponuje databázou telefónnych čísiel, v ktorých možno zistiť užívateľa telefónneho čísla. Úrad môže začať konanie voči prevádzkovateľovi alebo sprostredkovateľovi na základe riadne podaného návrhu dotknutej osoby, ktorý o. i. musí obsahovať aj označenie toho, proti komu návrh smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt a identifikačné číslo, ak bolo pridelené. Pri takýchto doručených podaniach úrad vyzval dotknutú osobu na podanie návrhu na začatie konania o ochrane osobných údajov zákonným spôsobom s predpísanými zákonnými náležitosťami. Dotknutá osoba v prípade podozrenia, že jej telefónne číslo akákoľvek spoločnosť získala bez jej vedomia a využíva ho ďalej, má právo na prístup k svojim osobným údajom, kedy na základe žiadosti zaslanej prevádzkovateľovi môže žiadať aj akékoľvek dostupné informácie o zdroji získania jej osobných údajov a môže si uplatniť aj ďalšie práva dotknutej osoby pri spracúvaní osobných údajov.

10.3.1.3Zverejnenie údajov o zatknutí v USA

V sledovanom období bolo úradu doručené podanie podávateľa, v ktorom uviedol, že prevádzkovateľ so sídlom v USA na svojej internetovej stránke opakovane zverejňuje jeho osobné údaje o jeho zatknutí v USA v roku 2011 spolu s jeho fotografiou. Podávateľ ďalej uviedol, že v minulosti žiadal prevádzkovateľa o odstránenie uvedených údajov, pričom mu za to mal aj zaplatiť, avšak informácie o jeho zatknutí mali byť opäť zverejnené.

S cieľom zabezpečiť, že fyzickým osobám nebude odopretá ochrana, na ktorú majú na základe Nariadenia nárok, by sa Nariadenie malo uplatňovať na spracúvanie osobných údajov dotknutých osôb nachádzajúcich sa v Únii vykonávané prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, ak spracovateľské činnosti súvisia s ponukou tovaru alebo služieb týmto dotknutým osobám bez ohľadu na to, či je to spojené s platbou. Aby bolo možné určiť, či takýto prevádzkovateľ alebo sprostredkovateľ ponúka tovar alebo služby dotknutým osobám nachádzajúcim sa v Únii, malo by sa zistiť, či je zrejmé, že prevádzkovateľ alebo sprostredkovateľ plánuje ponúkať služby dotknutým osobám v jednom alebo viacerých členských štátoch v Únii. Zatiaľ čo samotná dostupnosť webového sídla prevádzkovateľa, sprostredkovateľa alebo

poskytovateľa služieb informačnej spoločnosti v Únii, emailovej adresy či iných kontaktných údajov alebo použitie jazyka, ktorý sa všeobecne používa v tretej krajine, kde je prevádzkovateľ usadený, nie sú dostatočné na potvrdenie takého úmyslu, na základe faktorov, ako sú použitie jazyka alebo meny všeobecne používaných v jednom alebo viacerých členských štátov s možnosťou objednania tovaru a služieb v danom druhom jazyku alebo spomenutie zákazníkov alebo používateľov nachádzajúcich sa v Únii, môže byť zjavné, že prevádzkovateľ má v úmysle ponúkať tovar alebo služby dotknutým osobám v Únii.

Z obsahu a charakteru internetovej stránky prevádzkovateľa vyplývalo, že údaje o zatknutých osobách boli generované z verejne dostupných databáz v rámci USA, teda cieľom ani úmyslom prevádzkovateľa predmetnej stránky nebolo ponúkať tovar ani službu (či už bezplatnú alebo za peniaze) dotknutým osobám v rámci Európskej únie. Úrad po preskúmaní podania a internetovej stránky prevádzkovateľa konštatoval, že samotná dostupnosť internetovej stránky v Európskej únii, ani použitie jazyka, ktorý sa bežne používa v USA (angličtina) neboli dostatočné na určenie úmyslu ponúkať služby dotknutým osobám v Európskej únii, a teda samotná činnosť prevádzkovateľa internetovej stránky, ktorou bol zber a následné zverejňovanie údajov z verejne dostupných databáz USA, nebola dostačujúca na určenie teritoriálnej pôsobnosti Nariadenia.

Úrad následne informoval podávateľa, že v zmysle čl. 3 Nariadenia sa Nariadenie na predmet jeho podania nevzťahuje. Úrad podávateľa zároveň informoval, že týmto nie je dotknuté jeho právo kontaktovať príslušné orgány na ochranu osobných údajov v USA.

10.3.1.4Zasielanie obťažujúcich letákov spoločenstvu vlastníkov bytov

V sledovanom období riešil úrad podanie predsedníčky spoločenstva vlastníkov bytov voči spoločnosti so sídlom v inom členskom štáte. Predmetom podania bola jej sťažnosť na nevyžiadanú listovú poštu od spoločnosti, ktorá prostredníctvom letákov zasielala cenové ponuky na upratovacie služby do schránok spoločenstiev vlastníkov bytov a správcov. V podaní uviedla, že spoločnosť kontaktovala e-mailom, aby spoločenstvu vlastníkov bytov nezasielala nevyžiadanú poštu, pričom od spoločnosti mala dostať odpoveď, že má ich ponuky ignorovať.

Z dôkazov priložených k podaniu vyplývalo, že spoločnosť potvrdila zasielanie cenových ponúk na adresy spoločenstiev vlastníkov bytov a bytových družstiev a následne predsedníčku spoločenstva vlastníkov ubezpečila, že v systéme vyznačí vynechávanie jej adresy pre ďalšiu roznášku ponúk a ak nemá záujem o ich ponuku, môže ju ignorovať.

Konanie prevádzkovateľa vykazovalo znaky cezhraničného spracúvania osobných údajov podľa čl. 4 bod 23 Nariadenia, keďže v predmetnom prípade išlo o prevádzkovateľa usadeného v inom členskom štáte Európskej únie. Úrad podanie najprv preskúmal (tzv. predbežné preskúmanie sťažnosti), či predmet podania spĺňa podmienky cezhraničného spracúvania podľa čl. 4 bod 23 Nariadenia, resp. či bola splnená definícia podľa čl. 56 ods. 2 Nariadenia, v zmysle ktorého je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením Nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte. Na náklade predbežného posúdenia je úrad oprávnený následne určiť, či je v predmetnej veci dôvod na cezhraničnú spoluprácu.

Predsedníčka spoločenstva vlastníkov v danom prípade zastupovala spoločenstvo vlastníkov bytov – právnickú osobu, pričom spracúvanie osobných údajov, ktoré sa týka právnických osôb, a to najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby nespadá pod vecnú pôsobnosť Nariadenia.

Úrad v rámci predbežného posúdenia veci zistil, že v danom prípade nebola daná vecná pôsobnosť úradu alebo pôsobnosť dozorného orgánu iného členského štátu, pretože Nariadenie sa v zmysle čl. 1 ods. 2 Nariadenia vzťahuje na ochranu práv fyzických osôb, nie na ochranu práv právnických osôb – v danom prípade spoločenstvo vlastníkov bytov, preto úrad podnet vyhodnotil ako zjavne neopodstatnený, ktorý nezakladá dôvod na začatie konania a podnet v súlades § 100 ods. 5 písm. a) zákona odložil.

10.3.2Konania

10.3.2.1Zisťovanie prognózy ukončenia práceneschopnosti

Úrad viedol konanie o ochrane osobných údajov na základe návrhu, podľa ktorého prevádzkovateľ neoprávnene spracúval osobné údaje navrhovateľa týkajúce sa zdravia v tej súvislosti, že ako jeho zamestnávateľ požiadal ošetrujúceho lekára o prognózu, kedy očakáva ukončenie navrhovateľovej pracovnej neschopnosti. Prevádzkovateľ namietal, že nemal v úmysle získavať údaje o navrhovateľovom zdraví, ale iba informáciu o jeho návrate do práce z dôvodu organizácie pracovného procesu. Úrad konštatoval, že objektívne prevádzkovateľ žiadal o odbornú prognózu vývoja zdravotného stavu pacienta, ktorá je údaj týkajúci sa zdravia, patriaci do osobitnej kategórie osobných údajov podľa čl. 9 ods. 1 Nariadenia a postup prevádzkovateľa posúdil ako spracúvanie údajov o zdraví navrhovateľa, ktoré nespĺňa ani jednu podmienku zákonného spracúvania podľa čl. 6 ods. 1 Nariadenia a nespadá pod žiadnu výnimku zo zákazu spracúvania osobitných kategórií osobných údajov podľa čl. 9 ods. 2 Nariadenia, čím prevádzkovateľ porušil zásadu zákonnosti podľa čl. 5 ods. 1 písm. a) Nariadenia a zákaz spracúvania osobitných kategórií osobných údajov podľa čl. 9 ods. 1 Nariadenia. Úrad vzhľadom na okolnosti konkrétneho prípadu prevádzkovateľa podľa čl. 58 ods. 2 písm. b) Nariadenia napomenul, že uvedená operácia získavania osobných údajov týkajúcich sa zdravia porušila ustanovenia čl. 5 ods. 1 písm. a) a čl. 9 ods. 1 Nariadenia.

10.3.2.2Zverejnenie podobizní navrhovateľov

Úrad viedol konanie o ochrane osobných údajov na základe návrhu, ktorého predmetom bolo nezákonné zverejňovanie podobizní navrhovateľov, ku ktorému došlo tým, že prevádzkovateľ na účely podnikateľskej činnosti zverejňoval na svojej webovej stránke fotografie interiéru, v ktorom boli vystavené obrazové snímky navrhovateľov. Prevádzkovateľ namietal, že pri fotografovaní daného interiéru bol prítomný aj jeden z navrhovateľov, ktorý nevykonal žiadne úkony, aby ich snímky neboli súčasťou vyhotovenej fotografie; úrad s poukazom na čl. 5 ods. 2 a čl. 24 ods. 1 Nariadenia konštatoval, že je povinnosťou prevádzkovateľa, aby zabezpečil, že spracúvanie osobných údajov vykonáva v súlade s Nariadením a nemôže svoju zodpovednosť prenášať na navrhovateľov. Prevádzkovateľ tiež namietal povahu zverejnených podobizní ako osobných údajov z dôvodu ich zníženej kvality, pre ktorú podľa jeho tvrdení neboli navrhovatelia na zverejnenej fotografii identifikovateľní. Úrad po preskúmaní zverejnených podobizní konštatoval, že ide o fotografie tvárí, na ktorých sú zreteľné anatomické prvky špecifické pre fyzickú identitu jednotlivej osoby, na základe ktorých sú navrhovatelia identifikovateľní a ich snímky, ako boli prevádzkovateľom zverejnené, spĺňajú definičné znaky osobných údajov podľa čl. 4 ods. 1 Nariadenia. Úrad posúdil dané zverejňovanie podobizní navrhovateľov ako spracúvanie osobných údajov, ktoré nespĺňa ani jednu podmienku zákonného spracúvania podľa čl. 6 ods. 1 Nariadenia, čím prevádzkovateľ porušil zásadu zákonnosti podľa čl. 5 ods. 1 písm. a) Nariadenia, za čo vzhľadom na okolnosti konkrétneho prípadu uložil prevádzkovateľovi pokutu.

10.3.2.3Porušenie ochrany osobných údajov zaslaním phishingového e-mailu

Úrad prijal podanie, ktorým prevádzkovateľ oznámil porušenie ochrany osobných údajov kybernetickým útokom cez phishingový e-mail, následkom ktorého účet jedného zamestnanca prevádzkovateľa poslal e-maily mnohým interným a externým príjemcom. Okruhom dotknutých osôb mali byť aj zamestnanci prevádzkovateľa.

Prevádzkovateľ sa o danom incidente dozvedel nie z externého zdroja, ale na základe varovania svojho zriadeného bezpečnostného tímu. Útočník sa mal dostať aj k menám, priezviskám, pracovným telefónnym číslami a e-mailovým adresám. Úrad v predmetnej veci začal konanie voči prevádzkovateľovi a vec šetril v rámci písomnej súčinnosti. V priebehu konania mal úrad preukázané, že prevádzkovateľ mal pred vznikom bezpečnostného incidentu prijaté bezpečnostné opatrenia, ktoré považoval za primerané, avšak aj napriek tomu došlo k porušeniu ochrany osobných údajov v jeho prostrední. Prevádzkovateľ preukázal, že po zistení incidentu promptne prijal potrebné opatrenia, incident vyhodnotil ako porušenie ochrany osobných údajov, začal jeho šetrenie a oznámil to úradu ako dozornému orgánu. Úrad mal zistené, že zamestnanec bol v dobe incidentu školený aj v oblasti spracúvania osobných údajov a nejednalo sa o pochybenie spôsobené jeho postupom. Zodpovednosť za súlad aj so zásadou dôvernosti osobných údajov nesie prevádzkovateľ. Úrad v predmetnom konaní konštatoval porušenie zásady dôvernosti osobných údajov zamestnancov prevádzkovateľa, ktoré boli v dôsledku kybernetického útoku cez phishingový e-mail neoprávnene sprístupnené tretej osobe. Úrad prevádzkovateľovi neuložil nápravné opatrenia, nakoľko nedostatky boli odstránené a uloženie opatrení bolo v danom jednotlivom prípade neúčelné a nedôvodné. Úrad uložil prevádzkovateľovi pokutu.

10.3.2.4Neoprávnené zverejnenie osobných údajov v galérii fotografií inzerovanej ponuky

Úrad prijal podnet na začatie konania o ochrane osobných údajov vo veci zverejnenia časti návrhu na vklad do katastra s konkrétnymi menami dotknutých osôb a ich ďalšími osobnými údajmi ako dátum narodenia, rodné číslo a adresa v rámci realitnou kanceláriou ponúkaných nehnuteľností na predaj. Časť návrhu na vklad s osobnými údajmi fyzických osôb sa nachádzala vo zverejnenej fotogalérií k nehnuteľnosti.

Z dôvodu podozrenia z neoprávneného zverejnenia osobných údajov, najmä rodného čísla, ktoré sa ako všeobecne použiteľný identifikátor fyzickej osoby, zakazuje zverejňovať okrem prípadu, že ho zverejní sama dotknutá osoba, úrad začal voči realitnej kancelárii, ako prevádzkovateľovi, správne konanie. Úrad v predmetnej veci zhromažďoval podklady pre vydanie rozhodnutia formou písomnej súčinnosti. V priebehu konania bolo zistené, že zodpovedným za zverejnenie osobných údajov bol sprostredkovateľ realitnej kancelárie, ktorým bol realitný maklér. Úrad preto viedol konanie aj voči sprostredkovateľovi. Osobné údaje môže spracúvať sám prevádzkovateľ alebo spracúvanie v jeho mene môže vykonávať sprostredkovateľ. Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa ustanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Realitná kancelária úradu preukázala, že maklér ako sprostredkovateľ spracúva osobné údaje na základe uzatvorenej sprostredkovateľskej zmluvy a v danom prípade spracúval osobné údaje dotknutých osôb v rozsahu a za podmienok dojednaných v danej zmluve. Sprostredkovateľ sa okrem iného v zmluve zaviazal, že prijme také opatrenia, aby nemohlo dôjsť k neoprávnenému alebo náhodnému prístupu k osobným údajom, k ich zmene, zničeniu, strate, neoprávneným prenosom, k ich iného neoprávnenému spracovaniu, ako aj k inému zneužitiu osobných údajov.

Úrad mal preukázané, že sprostredkovateľ pri nahrávaní inzerátu zverejnil aj osobné údaje dotknutých osôb vrátane rodných čísiel v časti návrhu na vklad vo fotogalérií predávanej nehnuteľnosti, pričom k ich zverejneniu došlo omylom po dobu približne dvadsať minút. Zverejnením osobných údajov došlo k porušeniu bezpečnosti, tieto osobné údaje boli prístupné používateľom internetu. Úrad rozhodnutím konštatoval zo strany sprostredkovateľa porušenie zásady dôvernosti osobných údajov neoprávneným zverejnením na internete a porušenie zákazu zverejňovania rodného čísla dotknutých osôb. Vzhľadom na vykonanie bezprostrednej nápravy pochybenia z vlastnej iniciatívy sprostredkovateľa, úrad neuložil nápravné opatrenie na zabezpečenie odstránenia zistených nedostatkov. Úrad v konaní uložil za dané pochybenie sprostredkovateľovi pokutu.

10.3.2.5Zverejnenie kúpnej zmluvy

V sledovanom období viedol úrad na základe návrhu konanie o ochrane osobných údajov vo veci podozrenia z neoprávneného spracúvania osobných údajov, ku ktorému malo dôjsť zverejnením darovacej zmluvy obsahujúcej osobné údaje dotknutej osoby.

Prevádzkovateľ sa odvolával na zákon č. 211/2000 Z. z. Nakoľko prevádzkovateľ zverejnil osobné údaje nad rozsah, ktorý mu umožňoval predmetný osobitný zákon, úrad konštatoval porušenie zásady zákonnosti v zmysle čl. 5 ods. 1 písm. a) Nariadenia.

11OPRAVNÉ PROSTRIEDKY A ROZHODOVANIE O NICH

Voči rozhodnutiu úradu vo veci konania o ochrane osobných údajov, voči rozhodnutiu o uložení pokuty, ako aj voči rozhodnutiu o nesprístupnení informácie resp. rozhodnutiu o nesprístupnení informácie sčasti možno podať opravný prostriedok – rozklad, pričom sa subsidiárne uplatňujú ustanovenia o opravných prostriedkoch stanovené v správnom poriadku. O podaných opravných prostriedkoch rozhoduje predsedníčka úradu na základe odporúčaní rozkladovej komisie, pričom podávateľ rozkladu môže tento rozšíriť alebo doplniť o ďalší návrh alebo o ďalšie body v lehote určenej na podanie rozkladu.

Predsedníčke úradu bolo v sledovanom období predložených 36 rozkladov na rozhodnutie. V sledovanom období z nich rozhodla v 17 prípadoch ako odvolací orgán.

Z celkového počtu predložených rozkladov bolo 27 podaných proti rozhodnutiu o uložení pokuty, prípadne nimi bolo uložené aj opatrenie aj pokuta; z nich v sledovanom období bolo rozhodnutím vybavených 13 a z nich pokiaľ ide o výšku pokuty v 4 rozhodnutiach sa výška pokuty potvrdila, v 7 sa rozhodnutie prvostupňového orgánu zrušilo a vec sa vrátila na nové konanie a v 2 prípadoch sa prvostupňové rozhodnutie zmenilo, pokiaľ ide o výšku pokuty.

Z celkového počtu predložených rozkladov bolo 5 proti rozhodnutiu o zastavení konania, z nich v sledovanom období bolo rozhodnuté v 3 veciach pričom dva krát sa rozhodnutie prvostupňového orgánu potvrdilo a raz zrušilo.

Z celkového počtu predložených rozkladov bol 1 rozklad podaný proti rozhodnutiu o neuložení opatrenia a pokuty, ktorý bol v sledovanom období aj vybavený; predsedníčka úradu rozhodnutie prvostupňového orgánu potvrdila.

Z celkového počtu predložených rozkladov bol podaný 1 rozklad proti rozhodnutiu o uložení opatrenia, 1 rozklad bol podaný oneskorene a následne bol posúdený ako podnet na preskúmanie rozhodnutia o uložení opatrení na odstránenie zistených nedostatkov a príčin ich vzniku mimo odvolacieho konania a 1 rozklad smeroval proti rozhodnutiu o uložení opatrení a neuložení pokuty. Vo všetkých troch rozkladoch predsedníčka úradu rozhodla až v roku 2020.

Rozhodovanie v druhom stupni sa dotýka aj rozhodovacej činnosti úradu ako povinnej osoby podľa zákona č. 211/2000 Z. z., v ktorom úrad buď požadovanú informáciu sprístupní alebo vydá rozhodnutie o nesprístupnení informácie resp. rozhodnutie o nesprístupnení informácie sčasti. V sledovanom období nebol predsedníčke úradu doručený žiadny takýto rozklad.

Účastník správneho konania môže voči právoplatnému rozhodnutiu predsedníčky úradu podať žalobu o preskúmanie zákonnosti rozhodnutia. V rámci vecnej a miestnej príslušnosti tieto úrad prejednáva na Krajskom súde v Bratislave.

12EURÓPSKY A MEDZINÁRODNÝ LEGISLATÍVNY BALÍK OCHRANY OSOBNÝCH ÚDAJOV

12.1Legislatívny proces na úrovni EÚ

Po prijatí Nariadenia a smernice 2016/680 EK predložila dňa 10. januára 2017 návrh nariadenia o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách) s cieľom zabezpečiť súlad s jednotným prístupom k ochrane osobných údajov v celej EÚ. Návrh nariadenia e-privacy bude vo vzťahu k Nariadeniu lex specialis. Z tohto dôvodu je Úrad spolu-gestorom v legislatívnom procese prijímania návrhu nariadenia e-privacy na európskej úrovni.

Cieľom návrhu nariadenia e-privacy je zabezpečiť prísne pravidlá ochrany súkromia pre používateľov elektronických komunikačných služieb a rovnaké podmienky pre všetkých účastníkov trhu. Údajmi elektronických komunikácií sa rozumie ich obsah, ako napr. obsah súkromných správ, ale aj metaúdaje, ktoré zahŕňajú napr. volané čísla, navštívené internetové stránky, zemepisnú polohu, časové údaje volania alebo správy.

Európsky parlament prijal stanovisko k návrhu nariadenia e-privacy dňa 26. októbra 2017. Súbežne prebiehali rokovania zástupcov jednotlivých vlád v Rade EÚ, ktorá neprijala spoločnú dohodu o texte. Fínske predsedníctvo Rady EÚ predložilo na konci svojho mandátu v decembri 2019 správu o dosiahnutom pokroku. Táto správa poukazuje okrem iného na problematické – otvorené ustanovenia návrhu nariadenia e-privacy. Ide napríklad o určenie pôsobnosti návrhu nariadenia e-privacy a Nariadenia tak, aby toto prepojenie bolo technologicky neutrálne a súčasne jasné z právneho hľadiska; hranice medzi dôvodmi spracúvania elektronických komunikačných údajov a právom na súkromie vrátane dôvernosti komunikácie; začlenenie špecifických ustanovení o ochrane detí pred ich zneužívaním do návrhu nariadenia e- privacy alebo prijatie iného právneho aktu. Návrh nariadenia e-privacy zostáva predmetom pokračujúcich jednaní na pôde EÚ s cieľom dosiahnutia dohody o jeho texte v čo najskoršom možnom termíne.

12.2Európsky výbor pre ochranu údajov

EDPB je nezávislý orgán EÚ s právnou subjektivitou, ktorý prispieva ku konzistentnému uplatňovaniu pravidiel ochrany údajov v celom EHP a podporuje spoluprácu medzi orgánmi pre ochranu osobných údajov EHP.

EDPB zastupuje jeho predseda, ktorým je momentálne predsedníčka rakúskeho dozorného orgánu Andrea Jelinek. Pozostáva z vedúceho predstaviteľa jedného dozorného orgánu každého členského štátu EHP a EDPS. EK má právo zúčastňovať sa na činnosti a zasadnutiach výboru bez hlasovacieho práva.

EDPB pracuje v súlade s

rokovacím poriadkom

, ktorý bol v hodnotenom období menený trikrát.

Činnosť EDPB je rozdelená medzi 12 expertných podskupín, ktoré sú rozdelené tematicky. Napr. expertná skupina pre technológie, pokuty, spoluprácu, a iné. Tieto expertné podskupiny pracujú na dokumentoch, ktorými sa napomáha ku konzistentnému uplatňovaniu Nariadenia. Úrad sa zúčastňuje na práci 11 expertných podskupín osobnou účasťou, zasielaním písomných pripomienok, zúčastňovaním sa na video a telekonferenciách, prípadných súvisiacich workshopoch.

Dokumenty, na ktorých pracujú expertné podskupiny sa schvaľujú na plenárnom zasadnutí EDPB. V hodnotenom období sa konalo 6 zasadnutí a úrad sa zúčastnil všetkých.

Najväčším prínosom pre verejnosť je vydávanie usmernení EDPB k rôznym otázkam. V hodnotenom období vydal Výbor 5 usmernení, 2 po verejnej konzultácii a 3 na verejnú konzultáciu. Usmernenia (aj iné dokumenty) sú zverejňované na

webovej stránke

EDPB. Úrad na

svojej

webovej stránke

taktiež zverejňuje tieto usmernenia v slovenskom a anglickom jazyku.

Výbor prijíma podľa čl. 71 Nariadenia vypracúva vlastnú

výročnú správu

12.3Výbor zriadený podľa článku 93 Nariadenia

Podľa čl. 93 Nariadenia a čl. 53 smernice 2016/680 je EK oprávnená prijímať vykonávacie akty. Výbor podľa článku 93 Nariadenia sa schádza ad hoc podľa potreby. V hodnotenom období výbor nezasadal.

12.4Cezhraničná výmena údajov

EÚ vytvorila celý rad európskych rozsiahlych informačných systémov a agentúr, ktorých dohľad je zdieľaný medzi národnými orgánmi na ochranu údajov a EDPS. V záujme zabezpečenia vysokej a konzistentnej úrovne ochrany spolupracujú vnútroštátne orgány na ochranu údajov a dozorný úradník pri koordinácii dohľadu.

EDPS pre ochranu údajov je nezávislý dozorný orgán EÚ zodpovedný za zabezpečenie dodržiavania základných práv a slobôd fyzických osôb, a najmä ich práva na ochranu údajov zo strany inštitúcií a orgánov Únie. EDPS je zodpovedný za monitorovanie a zabezpečenie uplatňovania ustanovení nariadenia 2018/1725 a akýchkoľvek ďalších aktov Únie týkajúcich sa ochrany základných práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciou alebo orgánom Únie a za poradenstvo pre inštitúcie a orgány Únie a dotknuté osoby vo všetkých veciach týkajúcich sa spracúvania osobných údajov.

Vnútroštátne dozorné orgány a dozorný úradník spolupracujú s cieľom zabezpečiť koordinovaný dohľad. Na tento účel sa zástupcovia národných orgánov na ochranu údajov a dozorný úradník pravidelne stretávajú - spravidla dvakrát ročne - s cieľom diskutovať o spoločných otázkach týkajúcich sa dohľadu. Medzi činnosti patria okrem iného spoločné kontroly a vyšetrovania a práca na spoločnej metodike.

Ide konkrétne o tieto skupiny:

•Rada pre spoluprácu nad Europolom,

•

Spoločný dozorný orgán pre Colný informačný systém

•

Pracovná skupina SCG na koordináciu dozoru nad Schengenským informačným

systémom II

•

Pracovná skupina pre koordináciu dozoru nad Vízovým informačným systémom

•

Pracovná skupina pre koordináciu dozoru nad systémom Eurodac

Zástupca Úradu reprezentoval Slovenskú republiku v spoločných dozorných orgánoch a skupinách pre koordináciu dozoru pre Schengenský informačný systém II (SCG SIS II), vízový informačný systém (SCG VIS), Eurodac (SCG Eurodac) a vo Výbore pre koordinovaný dozor (CSC).

12.4.1Výbor pre koordinovaný dozor (CSC)

CSC mal svoje prvé stretnutie v decembri 2019. V článku 62 nariadenia 2018/1725 a iných legislatívnych aktoch práva Únie sa stanovuje, že koordinovaný dozor národných dozorných orgánov a Európskeho dozorného úradníka pre ochranu údajov prebieha v rámci EDPB. Na tento účel je zriadený výbor pre koordinovaný dozor.

CSC sa usiluje o dosiahnutie cieľov svojich zúčastnených orgánov, z ktorých každý koná v rozsahu svojich príslušných kompetencií a v rámci svojich povinností, s cieľom vymieňať si relevantné informácie, vzájomne si pomáhať pri vykonávaní auditov a kontrol, skúmať akékoľvek problémy spojené s interpretáciou alebo uplatňovaním nariadenia 2018/1725 a ostatných platných aktov Únie, zaoberať sa problémami s výkonom nezávislého dozoru alebo s uplatnením práv dotknutých osôb, a to v záujme hľadania harmonizovaných riešení na všetky problémy a zvyšovania povedomia o právach na ochranu osobných údajov.

Pôsobnosť CSC sa v súčasnosti vzťahuje na informačný systém o vnútornom trhu (IMI), Eurojust a nadchádzajúcu Európsku prokuratúru, ktorá sa očakáva v decembri 2020.

12.5Schengenské hodnotenie

V októbri 2019 sa uskutočnilo Schengenské hodnotenie Slovenskej republiky v oblasti ochrany osobných údajov. Tím európskych expertov vedený predsedom - zástupcom EK hodnotil stav ochrany osobných údajov Schengenského acquis v Slovenskej republike. Počas hodnotenia experti osobne navštívili Úrad, Úrad medzinárodnej policajnej spolupráce, Národnú ústredňu SIRENE, ale aj medzinárodné Letisko M. R Štefánika v Bratislave. Počas prezentácií bol expertom predstavený prístup k ochrane osobných údajov v pôsobnosti jednotlivých kontrolovaných štátnych orgánov, pričom experti mali možnosť klásť doplňujúce otázky k prezentovaným témam. Pri osobných návštevách inštitúcii mali experti možnosť vidieť ich fungovanie v praxi a detailnejšie vyhodnotiť podmienky ochrany osobných údajov v rámci Schengenského acquis na Slovensku. Spracovanie výsledkov Schengenského hodnotenia SR 2019 je ešte v procese, o riadne prijatých a schválených záveroch bude Slovenská republika informovaná prostredníctvom správy s výsledkami z hodnotenia.

12.6Konzultatívny výbor k Dohovoru 108

Konzultatívny výbor založený Radou Európy k Dohovoru 108 pozostáva zo zástupcov zmluvných strán dohovoru, ktorých dopĺňajú pozorovatelia z iných štátov (členov alebo nečlenov) a medzinárodných organizácií. Výbor je zodpovedný za interpretáciu ustanovení a za zlepšenie implementácie Dohovoru 108 a za zostavovanie správ, usmernení a usmerňujúcich zásad v takých oblastiach, ako sú zmluvné ustanovenia upravujúce ochranu údajov pri prenose osobných údajov tretím stranám, ktoré nezaručovali primeranú úroveň ochrany údajov alebo ochrany údajov s ohľadom na biometriu, profilovanie a automatické rozhodovanie či ochrany údajov v oblasti zdravia. Spomenuté oblasti sú len ukážkovou časťou náplne práce, ktorej sa výbor venuje. Stretnutí konzultatívneho výboru sa pravidelne zúčastňujú aj zástupcovia úradu, či už na plenárnych zasadnutiach alebo užších stretnutiach výboru.

Slovenská republika dňa 17.12.2019 pristúpila k Protokolu č. 223 k Dohovoru Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (Dohovor 108). Slovensko sa tak stalo 38. krajinou, ktorá tento dodatkový protokol podpísala. Protokol má za cieľ zmodernizovať pôvodný dokument v súlade s najnovšími poznatkami v oblasti vývoja techniky, umelej inteligencie a IT sektora všeobecne.

13STRETNUTIA S PARTNERSKÝMI DOZORNÝMI ORGÁNMI A INÝMI SUBJEKTAMI

13.1Erasmus for public administration

Zástupkyňa úradu sa v júli zúčastnila dvojtýždňového programu Erasmus for public administration, ktorý sa konal v Bruseli a Luxemburgu. Program bol zameraný na oboznámenie sa s úlohami a prácou všetkých inštitúcií EÚ ako aj poradných orgánov. Prínosnou bola prednáška zameraná na rozhodovací proces EÚ, ktorý je dôležitý pre lepšie pochopenie úloh úradu, ktorý sa podieľa nielen na tvorbe právnych predpisov EÚ, ale aj na ich aplikácii. Súčasťou programu bolo aj navštívenie Súdneho dvora EÚ spolu s prednáškou od generálnej advokátky pani Sharpston, ktorá zúčastnených previedla cyklom od podania žiadosti na Súdnom dvore EÚ až po prijatie konečného rozhodnutia. Taktiež vysvetlila význam stanovísk generálneho advokáta a úlohu, ktorú majú na súdnom dvore. Zástupkyňa sa zúčastnila aj simulovaného rozhodovania v Európskeho parlamentu v postavení poslancov európskeho parlamentu a to prostredníctvom návštevy Parlamentária, v ktorom sa aplikovali odprezentované informácie o rozhodovacom procese. Hra bola zameraná na prijatie dvoch smerníc – smernica o spoločnom potrubí cez celú EÚ a smernica o čipovaní. Po hre obdržali účastníci certifikáty. Najdôležitejšou časťou programu bol „job shadowing“, ktorý zástupkyňa absolvovala u EDPS, kde sa oboznámila s úlohami EDPS a zapojila sa do ich práce.

13.2EDPB BCR workshop

Zástupkyňa úradu sa v júni zúčastnila v Osle na workshope, ktorý bol zameraný na schvaľovanie záväzných vnútropodnikových pravidiel, na ktorom za zúčastnili dozorné orgány EHP. Predmetný workshop bol skvelou príležitosťou pre získanie kontaktov na zamestnancov dozorných orgánov iných členských krajín, ktorí s problematikou záväzných vnútropodnikových pravidiel pravidelne pracujú a majú bohaté niekoľkoročné skúsenosti s ich schvaľovaním. Workshop tiež slúžil na to, aby si členské štáty medzi sebou vymenili nadobudnuté skúsenosti a členským štátom, ktoré majú skúseností s procesom schvaľovania záväzných vnútropodnikových pravidiel menej alebo doposiaľ žiadne, odovzdali aspoň základné informácie a tipy „ako na to“ a na čo si dávať pri tomto procese pozor.

13.3Data protection and competitiveness in the digital age

Pod záštitou EDPS a BfDI (Der Bundesbeauftragte fűr den Datenschutz und die Informationsfreiheit) sa uskutočnila prednáška o ochrane osobných údajov a súťažení v digitálnom veku, na ktorej sa zúčastnila zástupkyňa úradu v júli 2019. Prednáška bola zameraná na nemecké rozhodnutie ohľadom Facebooku a zneužitia monopolného postavenia na trhu. V panelovej diskusii vystúpili s príspevkami predsedníčka CNIL, ICO, predseda federálnej NEM SA, EDPS a generálny tajomník EK. Diskusia bola zameraná na vzťah súťažného práva a práva na ochranu osobných údajov. V diskusii rečníci zdôraznili, že tento vzťah sa prehlbuje a to najmä preto, že odkedy bolo prijaté Nariadenie, ľudia sa viac zaujímajú o ochranu osobných údajov a preto sú schopní vidieť prepojenie aj s iným oblasťami.

13.4EU Software and Cloud Suppliers Customer Council

Zástupkyňa úradu sa v auguste 2019 zúčastnila prvého stretnutia tejto novej platformy, ktorá je organizovaná pod záštitou EDPS a holandského Ministerstva spravodlivosti. Cieľom stretnutí je vyvinúť spoločnú európsku spoluprácu pri uzatváraní zmlúv a licencií medzi štátnymi orgánmi (vrátane EU inštitúcií) a veľkými technickými gigantmi. Zástupcovia z Holandska predstavili vo

všeobecnosti zmluvné zmeny v časti ochrany osobných údajov, ktoré sa im podarilo vyjednať pri uzatváraní zmluvy o využívaní služieb Microsoftu pre holandské štátne orgány. Na základe týchto informácií a vedomostí, je možné pri uzatváraní podobných zmlúv postupovať aj v iných štátoch EÚ.

13.5Konferencia MyData2019

Zástupkyňa úradu sa v septembri zúčastnila v Helsinkách konferencie s názvom MyData2019. Nosnými témami konferencie boli správa údajov a prenosnosť, technológie zvyšujúce súkromie a dôveru, online identifikácia, kolektívne spravodajstvo - od vedy občanov po otvorené inovácie a blockchain. Konferencia sa konala vo viacerých paneloch a priniesla mnoho zaujímavých náhľadov na riešenie spracúvania osobných údajov za pomoci najmodernejších technológií a tiež otvorila mnohé témy týkajúce sa právnej stránky využívania moderných technológií na spracúvanie osobných údajov.

13.6European Privacy Law Scholars Conference (PLSC Europe)

Predsedníčka úradu sa spolu so zástupkyňou úradu zúčastnili v októbri konferencie PLSC Europe v Amsterdame. Počas dvoch intenzívnych dní sa na pôde Tilburskej univerzity vystriedalo niekoľko významných rečníkov z verejného sektora aj zo súkromnej sféry. 43 workshopov, na ktorým diskutovalo 130 registrovaných účastníkov boli zamerané na legislatívne úprav nariadenia a smernice e-privacy, reguláciu sociálnych médií vo svetle ochrany údajov, sloboda prejavu a mediálne zákony až po európsku demokraciu a slobodné voľby vo veku umelej inteligencie.

13.7Cybersec CEE – Securing the world´s digital data

Zástupkyne úradu sa v októbri 2019 zúčastnili Cybersec konferencie, ktorá sa konala v Katowiciach. Prostredníctvom tejto konferencie sa účastníčky oboznámili s vývojom najnovších trendov v oblasti technológii a ich vplyve na ochranu osobných údajov. Prednášajúci z celého sveta prezentovali najnovšie poznatky, pričom program konferencie bol rozdelený do niekoľkých panelov podľa tém. Zástupkyne tiež získali niekoľko dôležitých kontaktov na kolegov, ktorí pracujú v podobnom odvetví a ktorí sa zaujímajú o ochranu osobných údajov a kybernetickú bezpečnosť. Súčasťou konferencie bolo aj Expo - výstava konkrétnych projektov, ktorých autori prezentovali ich funkcie a približovali tak ich fungovanie v praxi. Tieto neoceniteľné poznatky majú širokospektrálne využitie pri fungovaní úradu, nakoľko tieto technické riešenia sa postupne dostávajú do praxe.

13.8Workshop on ISO/IEC 27701 and GDPR certification

Zástupca úradu sa v novembri 2019 zúčastnil v Bruseli Workshopu on ISO/IEC 27701 and GDPR certification, ktorý bol organizovaný pod záštitou Microsoft. Hlavné témy sa zameriavali na základné vysvetlenie normy ISO/IEC 27701:2019 (PIMS) a jej vzťah ku globálnej regulácii súkromia. V druhom bloku sa viedla diskusia k aplikácii pravidiel pre certifikačné a akreditačné kritériá podľa Nariadenia a dopad na podniky. Diskusia bola vedená pravidlami Chatham House (súbor pravidiel pre debaty a diskusné panely o kontroverzných záležitostiach tak, aby diskusia mohla byť otvorená, bez rizika, že diskutujúci budú postihnutí za to, čo v diskusii povedali.). Vzhľadom na krátkosť času a šírku témy neboli sumarizované závery. Účastníci workshopu boli tak z privátneho sektora (majoritne), ako aj z národných regulačných orgánov.

13.9Cyberspace 2019

Zástupkyňa úradu sa zúčastnila v novembri 2019 medzinárodnej konferencie s názvom Cyberspace, ktorá sa konala v Brne. Konferencia bola zameraná na témy ako cookies a online sledovanie, sloboda slova a žurnalizmus, smernica o otvorených údajoch a ďalšie. Ide o možnosť priamej výmeny názorov medzi vnímaním ochrany osobných údajov v akademickej oblasti, zástupcov súkromného sektora ako aj Úradu a iných štátnych orgánov. Viaceré prezentácie boli zamerané na výskumy v oblasti osobných údajov, napríklad o vlastníctve osobných údajov alebo problematických aspektoch smernice o otvorených údajov. Vďaka faktu, že sa táto konferencia koná na akademickej pôde je jej prínosom slobodná výmena názorov a argumentov účastníkov.

13.10European case handling workshop

Zástupkyňa úradu sa zúčastnila European case handling workshop, ktorý bol organizovaný po 31-krát v Bruseli pod záštitou EDPS a EDPB v novembri 2019. Na workshope sa zúčastnilo do 50 účastníkov. Workshop pozostával so 6 prezentácií a skupinových diskusií. Prednášajúci pripravili otázky alebo prípady k prezentácii, o ktorých sa po prezentácii diskutovalo. Účastníci boli rozdelení do 6 skupín, v rámci ktorých si vymieňali svoje názory a riešili prípady. Následne svoje závery účastníci odprezentovali ostatným skupinám.

14ZHODNOTENIE STAVU OCHRANY OSOBNÝCH ÚDAJOV V SLEDOVANOM OBDOBÍ

Napriek tomu, že obdobie, za ktoré sa táto Správa o stave ochrany osobných údajov predkladá je pomerne krátke, bolo veľmi bohaté na činnosť úradu vo všetkých smeroch, tak v počte konaní, kontrol a tiež v práci konkrétnych zamestnancov úradu, ktorí participovali na príprave metodík EDPB a aktívnou účasťou a zastupovaním úradu sa priamo podieľali na ich texte.

Uvedené metodiky - usmernenia sú veľmi dôležité k správnemu uplatňovaniu Nariadenia a jeho niekedy pomerne stručný text pretavujú do konkrétnych odporúčaní a príkladov, ako je potrebné na konkrétne články a ich praktické uplatňovanie v praxi nahliadať. S ohľadom na usmernenia vydávané a pripravované EDPB úrad mierne utlmil svoju vlastnú metodickú činnosť nakoľko nie je účelné, aby určitú oblasť spracúvania metodicky upravil Výbor a úrad súčasne, čo by mohlo viesť k ich vzájomnej nesúladnosti.

Opätovne možno v sledovanom období v rámci legislatívnej činnosti úradu priznať, že mnohé predkladané legislatívne materiály v rámci MPK nemajú potrebnú kvalitu, pokiaľ ide o ustanovenie spracúvania osobných údajov, sú nekonkrétne a je potrebné ich znenia spresňovať najmä pokiaľ ide o spracovateľské operácie s osobnými údajmi. Napriek tomu, že v sledovanom období úrad uplatnil pripomienky k 19 materiálom, tak počet uplatnených zásadných pripomienok svedčí o tom, že pri návrhu právnych noriem v kontexte ochrany osobných údajov a ich spracúvania je úloha úradu nezastupiteľná a predkladatelia legislatívnych materiálov majú stále v tejto oblasti nedostatky. Je však potrebné uviesť, že rok za rokom sa situácia postupne zlepšuje a úrad je predkladateľmi legislatívnych materiálov niekedy aj iniciatívne oslovený, aby s ním boli prediskutované niektoré otázky a nuansy budúceho návrhu legislatívneho materiálu. V rámci legislatívnej činnosti úradu je potrebné záverom uviesť, že tak kvalita predkladaného materiálu je veľmi dôležitá, no mnohokrát práve aj dôvodová správa k materiálu je veľmi podstatná, nakoľko objasňuje zámer predkladateľa, ktorý je nie vždy zrejmý z materiálu samotného.

Ochrana osobných údajov patrí medzi základné ľudské práva a slobody a je garantovaná Ústavou Slovenskej republiky, nie je to oblasť, ktorá by mala byť na okraji záujmu tak prevádzkovateľov, ako aj štátu, ktorý ju má garantovať. Tak pre súkromný, ako aj verejný sektor sú osobné údaje postupne cenným a niekedy jediným zdrojom zisťovania a skúmania na základe ktorého sa „nastavujú procesy“ ekonomického a sociálneho smerovania štátu, ale aj konkrétnych prevádzkovateľov. Osobné údaje sú tak už nielen tým, čo ľudí ako osoby identifikuje, ale sú aj zdrojom prognóz do budúcna, je preto potrebné, aby ich spracúvanie a chápanie nebolo degradované iba na úroveň zdroja „pre stanovenie ekonomických cieľov do budúcna“, ale boli stále chápané ako jedinečné identifikátory viažuce sa ku konkrétnej osobe, ktoré nie je možné bez stanovených pravidiel využívať na činnosti, na ktoré je to práve potrebné. Ich spracúvanie a v istom smere aj vyťažovanie musí mať svoje pravidlá, musí rešpektovať ich individualitu a nesmie skĺznuť do roviny „zdroja“, lebo tým primárne nie sú. Táto úloha vo všetkých smeroch je pre úrad stále citeľnejšia, nakoľko aj vzhľadom na zvyšujúcu sa mieru využívania smart technológií sa osobné údaje stávajú iba ich súčasťou a ich jedinečnosť sa postupne vytráca, tento nesprávny trend je potrebné zastaviť, nakoľko pri správnej kooperácii všetkých zúčastnených subjektov je možné, aby technológie napredovali a v rámci nich boli osobné údaje chránené a spracúvané v súlade s Nariadením a zákonom. Táto symbióza však vzniká postupne, a len za kooperácie všetkých zúčastnených strán.