ČPT 330
SPRÁVA O STAVE OCHRANY OSOBNÝCH ÚDAJOV ZA OBDOBIE
25. MÁJ 2019 až 31. DECEMBER 2019
Úrad na ochranu osobných údajov Slovenskej republiky
november, 2020
Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12
820 07 Bratislava 27
Elektronická verzia správy prístupná na
https://dataprotection.gov.sk/uoou/sk/content/vyrocne-spravy
IČO: 36064220
DIČ: 2021685985
Všetky práva vyhradené.
Reprodukovanie pre vzdelávacie
a nekomerčné účely povolené len s uvedením zdroja.
SPRÁVA O STAVE OCHRANY OSOBNÝCH ÚDAJOV ZA OBDOBIE 25. MÁJ 2019 až 31. DECEMBER 2019
Úrad na ochranu osobných údajov Slovenskej republiky v zmysle ustanovenia § 81 ods. 2 písm. k) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov predkladá Národnej rade Slovenskej republiky Správu o stave ochrany osobných údajov za obdobie 25. máj 2019 31. december 2019. Predkladaná správa poskytuje prehľad o činnosti Úradu v období, v ktorom Nariadenie i zákon boli etablované v povedomí prevádzkovateľov a ich sprostredkovateľov a tiež dotknutých osôb.
Najmä z dôvodu konzistentnosti s ostatnými európskymi dozornými orgánmi sa Úrad rozhodol prevziať model správ o stave ochrany osobných údajov zameraných na ucelené kalendárne roky. Napriek tomu, že sledované obdobie, na ktoré sa táto správa zameriava, je pomerne krátke, zahŕňa rozsiahle aktivity Úradu na domácej ako i medzinárodnej úrovni.
Na základe vyššie uvedeného ustanovenia predkladám Správu o stave ochrany osobných údajov za obdobie od 25. mája 2019 do 31. decembra 2019, ktorá bude po prerokovaní v Národnej rade Slovenskej republiky v zmysle zákona zverejnená na webovom sídle úradu (
www.dataprotection.gov.sk
) pre širokú verejnosť, poskytnutá médiám a predložená Európskemu
výboru pre ochranu údajov a Komisii.
Anna Vitteková
podpredsedníčka úradu
5
ZOZNAM POUŽÍVANÝCH SKRATIEK V SPRÁVE
úrad
Úrad na ochranu osobných údajov Slovenskej republiky
NR SR
Národná rada Slovenskej republiky
správa
Správa o stave ochrany osobných údajov za obdobie 25. máj 2018 až 24. máj 2019
zákon
zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
zákon č. 122/2013 Z. z.
zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z.
smernica 95/46
Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov
Nariadenie
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP)
smernica 2016/680
Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV
MPK
Medzirezortné pripomienkové konanie
Portál
Portál právnych predpisov Slov – Lex
smernica e-privacy
Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách)
návrh nariadenia e-privacy
Návrh NARIADENIE EURÓPSKEHO PARLAMENTU A RADY o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách)
6
Dohovor 108
Dohovor Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov
Nariadenie 2018/1725
zákon č. 211/2000 Z. z.
zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií)
EDPS
Európsky dozorný úradník pre ochranu údajov/ European Data Protection Supervisor
Európska únia
EK
Európska komisia
EHP
Európsky hospodársky priestor
EDPB
Európsky výbor pre ochranu údajov (European Data Protection Board) zriadený podľačl. 68 Nariadenia
7
OBSAH
8
9
1ÚVOD
1.1Cieľ správy o stave ochrany osobných údajov
V zmysle ustanovenia § 81 ods. 2 písm. k) zákona predkladá úrad NR SR Správu o stave ochrany osobných údajov za obdobie 25. máj 2019 31. december 2019. Ide o súhrn informácií o činnosti úradu a jeho zisteniach za sledované obdobie. Cieľom správy je zmapovať činnosť úradu a poukázať na najzásadnejšie zmeny a udalosti v oblasti ochrany osobných údajov.
Predkladaná správa je trinástou v histórii samostatnej Slovenskej republiky a jedenástou v histórii existencie samostatného úradu.
10
2POSTAVENIE, PERSONÁLNE ZABEZPEČENIE A ROZPOČET ÚRADU
2.1Postavenie úradu
Ochrana osobných údajov v Slovenskej republike je na základe zákona a Nariadenia zverená do pôsobnosti úradu. Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Pri výkone svojej pôsobnosti úrad postupuje nezávisle a pri plnení svojich úloh sa riadi ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Úrad je rozpočtovou organizáciou podľa ustanovenia § 21 ods.1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
2.2Personálne zabezpečenie úradu
2.2.1Verejné funkcie úradu
Na čele úradu je predseda, ktorého volí a odvoláva NR SR na návrh vlády Slovenskej republiky. Funkčné obdobie predsedu úradu je päť rokov. Funkciu predsedníčky úradu v sledovanom období zastávala Soňa Pőtheová, ktorá bola do funkcie zvolená NR SR dňa 14. mája 2015 uznesením Národnej rady Slovenskej republiky č. 1736/2015.
V čase neprítomnosti predsedu úradu ho zastupuje podpredseda, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Funkčné obdobie podpredsedu úradu je päť rokov. Funkciu podpredsedníčky úradu zastáva Anna Vitteková, ktorá bola s účinnosťou od 2. januára 2016 do funkcie vymenovaná vládou Slovenskej republiky uznesením č. 658/2015 zo dňa 2. decembra 2015.
2.2.2Personálna oblasť zamestnancov úradu
Zamestnanci úradu plnia odborné úlohy v zmysle zákona a Nariadenia a iné prevádzkové činnosti a povinnosti podľa všeobecne záväzných právnych predpisov. Ich zabezpečovanie si vyžaduje potrebný počet kvalifikovaných zamestnancov spôsobilých vykonávať odborné činnosti na expertnej úrovni. V podmienkach úradu, z pohľadu štruktúry zamestnancov, s výnimkou jedného zamestnanca, ktorý vykonáva prácu vo verejnom záujme, ostatní zamestnancami v štátnozamestnaneckom pomere. Výber zamestnancov a obsadzovanie voľných pracovných pozícií je realizované podľa zákonmi stanovených podmienok pre jednotlivé funkcie na základe výberových konaní.
K 25. máju 2019 mal úrad obsadených 49 miest, z toho
48 zamestnancov v štátnozamestnaneckom pomere,
1 zamestnanca vykonávajúceho práce vo verejnom záujme.
K 31. decembru 2019 mal úrad obsadených 50 miest, z toho
49 zamestnancov v štátnozamestnaneckom pomere,
1 zamestnanca vykonávajúceho práce vo verejnom záujme.
11
Priemerný vek zamestnancov
k 25.5.2019 bol 40,2 roku, pričom
u mužov bol 42,1 roku;
u žien 39,4 roku;
k 31.12.2019 bol 40,2 roku, pričom
u mužov bol 41,6 roku;
u žien 39,6 roku.
Prehľad o počte zamestnancov úradu
Skutočný stav zamestnancov úradu
Rok
Štátnozamestnanecký pomer
Výkon práce vo verejnom záujme
Spolu
k 25.5.2019
48
1
49
k 31.12.2019
49
1
50
Ochrana osobných údajov je od 25. mája 2018 vykonávaná podľa Nariadenia a zákona, ktoré priamo stanovujú úradu všetky jeho práva, povinnosti a kompetencie. Napriek nespornej dôležitosti činnosti úradu, ktorá sa odvíja od dôležitosti významu a hodnoty osobných údajov, ako zdroja informácií o fyzických osobách, počet zamestnancov úradu sa zásadne pozitívne nemení. Momentálny počet zamestnancov úradu nie je dostatočný v kontexte agendy, ktorú úrad zabezpečuje a ktorá stále stúpajúcu tendenciu, čo do objemu práce, ktorý pripadá na jedného zamestnanca. Pre správnu činnosť úradu a tiež s ohľadom na ľudské možnosti a snahu o vysokokvalitnú prácu zamestnancov je nevyhnutné, aby bol počet zamestnancov významne navýšený. Zaistí sa tak prerozdelenie práce a možnosť vyššej špecializácie jednotlivých zamestnancov, nakoľko teraz mnohí vykonávajú kumulované činnosti, z ktorých každá si vyžaduje plné sústredenie a pozornosť.
Úrad v súčasnosti ustanovený limit na 51 zamestnancov, pričom každoročne avizuje potrebu navýšenia ich počtu, teda zvýšenie uvedeného limitu maximálneho počtu zamestnancov minimálne o 25. Agenda úradu aj v kontexte povinností vyplývajúcich z Nariadenia neúmerne stúpla a stále sa zvyšuje. Na jedného zamestnanca v priemere pripadá cca 110 spisov (vecí) na vybavenie. Súčasná situácia je dlhodobo neudržateľná a nedostatok kvalifikovaných zamestnancov sa nevyhnutne prejavuje aj v kvalite práce, prípadne niekedy vyúsťuje aj do nemožnosti dodržania procesných lehôt. Pre naplnenie strategického smerovania činnosti úradu je nevyhnutné, aby sa navýšil počet zamestnancov, aby títo absolvovali a priebežne sa zúčastňovali potrebných vzdelávacích aktivít, rozširovali si svoje vedomosti a boli tak schopní popri odbornom raste reflektovať aj požiadavku digitalizácie verejnej a štátnej správy.
Úrad je nutné posilniť aj o expertov na informačné technológie, nakoľko stále viac spracovateľských činností prebieha elektronickou formou a je potrebné, aby sa tak v rámci konaní, ako aj kontrol vedel úrad na expertnej úrovni vyjadrovať k zisteniam pokiaľ ide o prevádzkovateľmi a sprostredkovateľmi využívané informačné technológie.
Úrad taktiež pociťuje nedostatok zamestnancov venujúcich sa legislatíve, a to tak v oblasti jej tvorby, ako aj jej pripomienkovania, nakoľko ide častokrát o zdĺhavý proces skúmania návrhu právneho predpisu, ktorý si vyžaduje vysokú pozornosť a sústredenie a je nevyhnutné, aby mal zamestnanec na takúto prácu dostatok času a vedomostí, a to nielen teoretických, ale aj praktických. Poddimenzovaná personálna stránka úradu sa prejavuje aj v tom ohľade, že úrad toho času nemôže vôbec pomýšľať na zriadenie detašovaných pracovísk, čím by bol bližšie aj k dotknutým osobám, prevádzkovateľom a sprostredkovateľom naprieč. Poddimenzovanie počtu
12
zamestnancov tiež vplyv na to, že nie je možné rozvíjať potrebnú špecializáciu vytváraním nových odborov, ktoré by od existujúcich prevzali a následne rozvinuli niektoré agendy na expertnú úroveň. Ako problematická sa javí aj veľmi obmedzená možnosť vzdelávania terajších zamestnancov a nemožnosť adekvátnymi platovými podmienkami získať a dlhodobo udržať erudovaných špecialistov, v dôsledku čoho úrad nie je v rovnocennej pozícii voči prevádzkovateľom a ich možnostiam, čo je v konečnom dôsledku vždy v neprospech dotknutej osoby. Z aplikačnej praxe úradu vyplýva akútna potreba vzniku minimálne dvoch detašovaných pracovísk, jedného na strednom a jedného na východnom Slovensku. Dôvodom potreby vzniku týchto pracovísk je, aby boli zamestnanci úradu bližšie dotknutým osobám aj z týchto oblastí Slovenska a tiež skutočnosť, že by sa takto zefektívnil výkon kontrol a podstatne by sa znížili náklady úradu na cestovanie zamestnancov z Bratislavy a tiež by úrad prispel k zvýšeniu zamestnanosti v týchto regiónoch, kde je stále dostatok kvalifikovaných ľudí, ktorí sa za prácou nemôžu, alebo nechcú sťahovať na západ Slovenska alebo priamo do Bratislavy.
2.3Rozpočet úradu
Úrad je rozpočtovou organizáciou, ktorá je svojimi príjmami a výdavkami naviazaná na štátny rozpočet prostredníctvom kapitoly Všeobecná pokladničná správa, ktorú spravuje Ministerstvo financií Slovenskej republiky.
Na rok 2019 bol pre úrad pôvodne schválený rozpočet vo výške 1.442.263,00 Eur, ktorý bol navýšený o valorizáciu v máji 2019 na sumu vo výške 1.561.419,00 Eur a v septembri 2019 bol navýšený rozpočet úradu na sumu vo výške 1.731.419,- Eur.
Čerpanie rozpočtu úradu k 31.12.2019 bolo vo výške 1.728.356,94 Eur, čo predstavuje 99,82% z celkového upraveného rozpočtu úradu na rok 2019.
13
Prehľad o rozpočte úradu za obdobie 1.6.2019 až 31.12.2019 v Eurách
Ukazovateľ
Schválený rozpočet k 1.1.2019
Upravený rozpočet k 1.6.2019
Upravený rozpočet k 31.12.2019
Čerpanie rozpočtu od 1.6.2019 do 31.12.2019
Čerpanie rozpočtu od 1.1.2019 do 31.12.2019
Mzdy, platy, služobné príjmy a OOV (610)
879 575,00
967 723,00
967 723,00
665 422,53
966 806,90
Poistné z miezd (620)
309 654,00
344 562,00
356 522,00
245 370,37
356 505,91
Tovary a služby (630)
237 034,00
233 134,00
361 204,00
225 498,24
359 101,34
Bežné transfery (640)
5 000,00
5 000,00
11 870,00
8 369,61
11 869,06
EKW02 (630) bežné výdavky
11 000,00
11 000,00
34 100,00
30 351,42
34 071,73
EKW02 kapitálové výdavky
0
0
0
0
0
Bežné výdavky spolu (600)
1 442 263,00
1 561 419,00
1 731 419,00
1 175 012,17
1 728 354,94
Kapitálové výdavky (700)
0
0
0
0
0
Obdobne, ako je potrebné navýšiť počet zamestnancov v kontexte navyšujúcej sa činnosti a zodpovednosti úradu, je potrebné zohľadniť nárast agendy a potreby materiálno - technického dovybavenia v rozpočte úradu. Nárast zaznamenal úrad v európskej a aj medzinárodnej agende, kde sa zamestnanci úradu priamo podieľajú a musia pravidelne zúčastňovať na zasadaniach expertných skupín Výboru a pracovných skupín Rady, ktorých predmetom dôležité usmernenia a dokumenty ovplyvňujúce činnosti úradu v mene Slovenskej republiky.
Úrad vykonáva činnosti vyplývajúce mu nielen z Nariadenia a zákona, ale aj iných osobitných predpisov, napríklad podľa NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ, Euratom) 2019/493 z 25. marca 2019, ktorým sa mení nariadenie (EÚ, Euratom) č. 1141/2014, pokiaľ ide o postup overovania porušovania pravidiel o ochrane osobných údajov v kontexte volieb do Európskeho parlamentu (pozrite
čl. 10a ods. 2 uvedeného nariadenia
). Ak úrad rozhodne
v konaní o ochrane osobných údajov, že fyzická alebo právnická osoba porušila príslušné pravidlá o ochrane osobných údajov, a ak z daného rozhodnutia vyplýva alebo ak iné opodstatnené dôvody domnievať sa, že porušenie súvisí s politickými činnosťami európskej politickej strany alebo európskej politickej nadácie v kontexte volieb do Európskeho parlamentu, tak rozhodnutie oznámi Úradu pre európske politické strany a nadácie.
14
3LEGISLATÍVNA ÚPRAVA OCHRANY OSOBNÝCH ÚDAJOV
3.1Medzirezortné pripomienkové konania všeobecne záväzných právnych predpisov
Úrad je orgán s celoslovenskou pôsobnosťou vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných ľudských práv a slobôd pri spracúvaní osobných údajov fyzických osôb. Úrad si plní svoju úlohu v oblasti dozoru nad spracúvaním osobných údajov aj tým, že dohliada a vyjadruje sa k textom návrhov zákonov a ostatných všeobecne záväzných právnych predpisov (materiály legislatívnej povahy) a tiež k textom nelegislatívnych materiálov (vízie, stratégie a pod.). Svoje vyjadrenia k návrhom formuluje prostredníctvom Portálu v rámci MPK. Cieľom pripomienok zo strany úradu je, aby najmä kvalita právnych predpisov, pokiaľ ide o úpravu spracúvania osobných údajov bola vysoká, aby následne prijatá právna úprava bola presná, jednoznačná, a to tak vo vzťahu k prevádzkovateľovi, ako aj vo vzťahu k dotknutej osobe, ktorej osobné údaje budú v praxi predmetom spracúvania.
V rámci sledovaného obdobia úrad uplatnil pripomienky k 19 z predložených materiálov. Spolu k nim uplatnil 78 pripomienok, pričom 51 z nich bolo zásadných.
Uplatňovanými pripomienkami žiadal napríklad úpravu zoznamu alebo rozsahu spracúvaných osobných údajov vo vzťahu k účelu spracúvania, úrad tiež často zásadne požadoval, aby v rámci návrhu právneho predpisu boli vyjasnené a spresnené zodpovednostné vzťahy spracúvania osobných údajov do spracúvania zapojených subjektov. Konkrétne znenie uplatnených pripomienok úradu je možné nájsť na
Portáli
s použitím filtra inštitúcií, ktoré pripomienku
uplatnili a s použitím filtra pripomienok (či ide o pripomienku organizácie označenú ako zásadná, alebo obyčajná).
3.2Metodické usmernenia
Úrad metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov, zvyšuje povedomie verejnosti v oblasti rizík a práv súvisiacich so spracúvaním osobných údajov a tiež zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach.
Osvedčenou formou usmerňovania prevádzkovateľov a sprostredkovateľov a informovania verejnosti, najmä dotknutých osôb sa na základe praxe úradu stali metodické usmernenia úradu a krátke ad hoc metodiky publikované na webovom sídle úradu. Úrad sa v rámci ním zverejnených metodík venuje otázkam a problematikám, ktoré v danom čase predmetom najväčšieho záujmu verejnosti.
Úrad samozrejme sleduje dianie v oblasti ochrany osobných údajov aj vo veci rozsudkov či Európskeho súdu pre ľudské práva alebo Súdneho dvora Európskej únie, kedy všetky relevantné rozhodnutia s dosahom na ochranu a spracúvanie osobných údajov publikuje na svojom webovom sídle v časti
Legislatíva a judikatúra
a o významných rozhodnutiach informuje aj formou krátkej
správy priamo v novinkách na svojom webovom sídle. Významným v sledovanom období bol Rozsudok o ukladaní cookies používateľov internetu.
Predmetom zverejňovania a nepriamo aj predmetom vzdelávania zainteresovaných subjektov je aj zverejňovanie informácií a usmernení vydaných EDPS a EDPB na webovom sídle úradu, ktorým je tiež potrebné venovať pozornosť.
15
Významnými v sledovanom období boli napríklad:
Úrad veľkú časť svojej metodickej činnosti zameral na pomoc dotknutým osobám, pričom primárne zameral svoju činnosť v sledovanom období na uplatňovanie práv dotknutých osôb v
Schengenskom informačnom systéme
, kde pripravil formuláre pre uplatnenie práv dotknutých
osôb aj v maďarskom jazyku, vo francúzštine a v rómskom jazyku.
16
4KOMUNIKÁCIA ÚRADU S VEREJNOSŤOU
4.1Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb
Problematika ochrany osobných údajov sa netýka len prevádzkovateľov alebo sprostredkovateľov, ktorí majú povinnosť aplikovať legislatívu ochrany osobných údajov v praxi. Dotýka sa aj ľudí, dotknutých osôb, majúcich otázky vyplývajúce zo situácií bežného života, súvisiace s ich osobnými údajmi a ich spracúvaním.
Prevádzkovatelia a sprostredkovatelia úradu najčastejšie adresujú otázky odborného charakteru súvisiace s ich povinnosťami vyplývajúcimi z Nariadenia a zákona, prípadne osobitných zákonov upravujúcich spracovateľské operácie.
Oproti poslednej Správe o stave ochrany osobných údajov badať pomerne razantný pokles otázok zo strany advokátskych kancelárií; tento pokles pripisujeme jednak dobe, po ktorú sa Nariadenie a zákon uplatňuje a tiež pomerne razantnému no nevyhnutnému prístupu úradu, kedy po negatívnych skúsenostiach dal najavo, že nie je možné od neho očakávať vypracúvanie celých prípadových štúdií k spracúvaniu osobných údajov, ktoré úradu mnohé advokátske kancelárie zasielali. Úrad tento zmenený postoj advokátskych kancelárií víta a samozrejme je pripravený im poskytnúť svoje vyjadrenie, no ku konkrétnym otázkam, nie k prípadu ako celku.
V sledovanom období roku 2019 úrad telefonicky konzultácie vo vyhradenom čase neposkytoval, nakoľko táto činnosť bola veľmi zaťažujúca a v rámci činností vykonávaných v kontexte Nariadenia sa zvýšil počet iných jeho aktivít, ktoré bolo potrebné zastrešiť. Napriek veľkej obľube telefonických konzultácií verejnosťou nebolo možné tieto v sledovanom období obnoviť aj napriek značnej snahe, nakoľko tieto konzultácie odbremeňovali úrad od inak zaslaných otázok verejnosti písomnou formou alebo elektronicky. V prípade navýšenia počtu zamestnancov je možné, že by úrad túto verejnosťou veľmi obľúbenú formu komunikácie obnovil, za súčasného stavu zamestnancov je to však nerealizovateľné.
Pokiaľ ide o písomné a elektronickou poštou doručené otázky verejnosti v sledovanom období zamestnanci úradu vybavili do 800 otázok.
4.2Komunikácia úradu s médiami
Za sledované obdobie sa záujem médií o ochranu osobných údajov mierne znížil, nakoľko tak Nariadenie aj zákon, prinášajúce nové pravidlá do oblasti ochrany osobných údajov neboli úplnou novinkou a postupne sa s nimi zžívali tak prevádzkovatelia, ako aj sprostredkovatelia. V sledovanom období úrad spolu poskytol 50 vyjadrení pre médiá (printové, rozhlasové a televíziu spolu). Predmetom otázok zo strany médií boli konkrétne problémy a „kauzy“ v ktorých bolo predmetom spracúvanie alebo ochrana osobných údajov, prípadne boli otázky novinárov smerované na špecifikáciu práv dotknutých osôb, ako ich správne uplatňovať a čoho všetkého je možné sa ako dotknutá osoba u prevádzkovateľa domáhať. Hlavne koncom mája a začiatkom júna sa mediálny záujem sústredil na zhrnutie prvého roka uplatňovania Nariadenia a zákona v praxi a skúseností úradu z tohto roka.
4.3Webové sídlo úradu a jeho návštevnosť
Webové sídlo úradu spĺňa podmienky a technické kritéria v zmysle Výnosu Ministerstva financií SR o štandardoch pre informačné systémy verejnej správy, reflektuje na novú legislatívnu úpravu v oblasti ochrany osobných údajov, a je postupne dopĺňané o nové funkcionality a aktuálne formuláre, metodiky a usmernenia. Úrad pri vzhľade a delení webového sídla vychádza aj z praxe
17
a snaží sa webové sídlo sprehľadňovať tak, aby bolo čo najviac užívateľsky prívetivé. V ostatnom sledovanom období sa úrad snažil skvalitniť najmä anglickú verziu, aby sa dotknuté osoby vedeli domôcť informácií aj ak neovládajú slovenský jazyk a tiež v kontexte toho, že úrad a Slovenská republika boli predmetom schengenského hodnotenia pokiaľ ide o ochranu osobných údajov, kedy predmetom záujmu hodnotiteľov bol aj prístup a poskytovanie informácií v anglickom jazyku.
Webová stránka úradu bola vyhľadávaná počas sledovaného obdobia celkovo 416 903 krát, a to najčastejšie prostredníctvom webových stránok a prehliadačov google.sk, google.com, bing.com, facebook.com.
4.4Webové sídlo úradu a nahlasovanie porušení ochrany osobných údajov cez určený formulár (nahlasovanie data breach)
Webové sídlo úradu je kľúčový zdroj informácií vzťahujúcich sa k ochrane osobných údajov. Zároveň je aj základnou službou podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Prevádzkovatelia a sprostredkovatelia musia zaistiť nepretržitú dôveryhodnosť, integritu, dostupnosť a odolnosť systémov a služieb spracovania a v pravidelných intervaloch posudzovať účinnosť zavedených technických a organizačných opatrení. Napriek tomu môže dôjsť (či vplyvom zámernej činnosti, nedbalosti, omylu alebo živelnej udalosti) k porušeniu zabezpečenia osobných údajov, ktoré vo svojom dôsledku môže znamenať náhodné alebo protiprávne zničenie, stratu, zmenu, neoprávnené poskytnutie alebo sprístupnenie, prenášaných, uložených alebo inak spracúvaných osobných údajov. Prevádzkovateľ povinnosť podľa čl. 33 Nariadenia alebo podľa § 40 zákona nahlásiť porušenie ochrany osobných údajov (tzv. „data breach“) úradu. Môže tak urobiť viacerými spôsobmi, pričom jedným z nich je možnosť využiť na splnenie tejto povinnosti na to určený formulár.
V sledovanom období bolo úradu nahlásených 70 porušení ochrany osobných údajov. Nahlásenie je povinnosťou pre prevádzkovateľov, nie pre dotknuté osoby. V prípadoch, kedy porušenie ochrany osobných údajov nahlásili dotknuté osoby, tieto tiež často uvádzali, že nahlásili porušenie z dôvodu, že prevádzkovateľ uviedol, že on ho nahlasovať nebude, lebo incident ním nebol vyhodnotený ako taký, ktorý je potrebné nahlasovať úradu. Radi by sme aj touto cestou apelovali na prevádzkovateľov, aby si svoje povinnosti plnili sami, nakoľko v prípade, ak úrad zistí, že došlo k porušeniu ochrany osobných údajov, ktoré nebolo nahlásené úradu a malo byť, to môže byť v prípadnom konaní o ochrane osobných údajov posúdené úradom ako priťažujúca okolnosť.
Najčastejšie sa porušenie ochrany osobných údajov v sledovanom období týkalo chybného doručenia písomnosti inej osobe, než ktorej malo byť (niekedy ide o jednotlivý prípad, niekedy niekoľko naraz), straty dokumentácie obsahujúcej osobné údaje, kybernetického útoku na prevádzkovateľa a krádeže materiálov obsahujúcich osobné údaje. Štatisticky najčastejšie nahlasujú porušenia ochrany osobných údajov prevádzkovatelia zo segmentu bánk a poisťovníctva, zdravotníckych služieb, energetického priemyslu, cestovného ruchu nasledujú štátne inštitúcie, mestá, školy a školské zariadenia.
18
5ZODPOVEDNÁ OSOBA
Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa zákona zodpovedá prevádzkovateľ. Prevádzkovateľ a sprostredkovateľ môže, prípadne musí v stanovených prípadoch (čl. 37 ods. 1 písm. a) c) Nariadenia, prípadne § 44 ods. 1 písm. a) c) zákona) výkonom dohľadu nad ochranou osobných údajov určiť zodpovednú osobu pričom je povinný ju nahlásiť úradu.
Prehľad počtu určených zodpovedných osôb nahlásených úradu
Zodpovedné osoby
Obdobie
Počet
Celkový počet nahlásených zodpovedných osôb
25.5.2019 až 31.12.2019
1881
Počet žiadostí, ktoré dotknuté osoby adresovali úradu, ako prevádzkovateľovi
V sledovanom období bola úradu, ako prevádzkovateľovi, doručená jedna žiadosť dotknutej osoby. Výsledkom vybavenia žiadosti zo strany úradu, ako prevádzkovateľa bolo zaslanie odpovede, že o nej žiadne osobné údaje nespracúva.
19
6SCHVAĽOVACIA A KONZULTAČNÁ ČINNOSŤ ÚRADU
6.1Predchádzajúca konzultácia
Podľa čl. 36 ods. 1 Nariadenia „Prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.“
Podľa čl. 35 ods. 5 Nariadenia „Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.“; k tzv. zoznamu spracovateľských operácií, ktoré nebudú podliehať posúdeniu vplyvu na ochranu osobných údajov (tzv. white list) Slovenská republika zatiaľ nepristúpila.
Podľa čl. 35 ods. 4 Nariadenia „Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.“; zoznam spracovateľských operácii, ktoré vždy podliehajú posúdeniu vplyvu Slovenská republika v zmysle uvedeného článku vypracovala (tzv. black list), je dostupný na webovom sídle úradu
Zoznam
spracovateľských operácií podliehajúcich posúdeniu vplyvu na ochranu osobných údajov
Slovenskej republiky
“. Tento zoznam spracovateľských operácií okrem iného slúži na spresnenie
čl. 35 ods. 1 Nariadenia a prevádzkovatelia, ktorí uvedené spracúvanie zamýšľajú uskutočniť v prípade, ak by nimi zamýšľané spracúvanie viedlo k vysokému riziku pre práva a slobody dotknutých osôb v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika, povinní vykonať s úradom predchádzajúcu konzultáciu.
Úradu v sledovanom období bola doručená jedna žiadosť o predchádzajúcu konzultáciu.
6.2Prenos osobných údajov
Voľný pohyb osobných údajov sa v rámci EHP zaručuje. Avšak pri prenose do krajín mimo EHP alebo medzinárodným organizáciám je potrebné dodržiavať dodatočné požiadavky na ochranu osobných údajov uvedené v Nariadení a smernici 2016/680. Aj keď niektoré nástroje na prenos osobných údajov podľa oboch právnych predpisov rovnaké, vždy je potrebné skúmať vecnú pôsobnosť použitého nástroja. Novinkou oproti predchádzajúcej právnej úprave je, že sa upravuje prenos aj medzinárodným organizáciám.
Prenosy môžeme rozdeliť do dvoch skupín:
prenos do tretích krajín (medzinárodnej organizácii) zaručujúcich primeranú úroveň ochrany,
prenos do tretích krajín (medzinárodnej organizácii) nezaručujúcich primeranú úroveň ochrany.
6.2.1Prenos do krajiny zaručujúcej primeranú úroveň ochrany osobných údajov
Pri prenose osobných údajov do tretích krajín sa rozlišuje, či ide o prenos osobných údajov do tretej krajiny zaručujúcej alebo nezaručujúcej primeranú úroveň ochrany osobných údajov. Status krajiny, ktorá zaručuje primeranú úroveň ochrany osobných údajov určuje EK svojím rozhodnutím. Je potrebné, aby tretia krajina zaisťovala z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, úroveň ochrany základných práv, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v právnom poriadku EÚ.
20
EK vydáva rozhodnutie o primeranosti zvlášť pre vecnú pôsobnosť Nariadenia a zvlášť pre vecnú pôsobnosť smernice 2016/680. Rozhodnutia o primeranosti, ktoré EK vydala v čase pôsobnosti zákona č. 122/2013 Z. z., zostávajú v platnosti pokiaľ ich EK nezmení, nenahradí alebo nezruší rozhodnutím prijatým podľa Nariadenia. Uvedené rozhodnutia sa vzťahujú len na prenos osobných údajov v rámci vecnej pôsobnosti Nariadenia, nie smernice 2016/680. Úrad zverejňuje rozhodnutia o primeranosti na svojom
webovom sídle.
V hodnotenom období EK nevydala žiadne rozhodnutie o primeranosti podľa Nariadenia ani podľa smernice 2016/680.
6.2.2Prenos do krajiny nezaručujúcej primeranú úroveň ochrany osobných údajov
Aj pri prenose do krajiny alebo medzinárodnej organizácii nezaručujúcej primeranú úroveň ochrany je potrebné rozlišovať medzi nástrojmi, ktoré ponúka Nariadenie a nástrojmi, ktoré ponúka smernica 2016/680.
6.2.2.1Prenos podľa Nariadenia
Pokiaľ EK nevydala rozhodnutie o primeranosti, prípadne rozhodnutie o primeranosti zrušila, prevádzkovateľ alebo sprostredkovateľ môže na prenos využiť ešte tieto inštitúty:
a)právne záväzný a vykonateľný nástroj medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi
V hodnotenom období nebol prijatý takýto nástroj.
b)záväzné vnútropodnikové pravidlá
V hodnotenom období neboli prijaté úradom žiadne záväzné vnútropodnikové pravidlá podľa Nariadenia.
c)štandardných doložiek o ochrane údajov, ktoré prijala EK
V hodnotenom období neboli prijaté žiadne štandardné doložky podľa Nariadenia.
d)štandardných doložiek o ochrane údajov, ktoré prijal dozorný orgán,
V hodnotenom období neboli prijaté žiadne štandardné doložky prijaté úradom podľa Nariadenia.
e)schválený kódex správania
V hodnotenom období neboli schválené žiadne kódexy.
f)schválený certifikačný mechanizmus
V hodnotenom období neboli schválené žiadne certifikačné mechanizmy.
g)zmluvné doložky
V hodnotenom období neboli schválené žiadne zmluvné doložky.
h)ustanovenia, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb
V hodnotenom období neboli schválené žiadne administratívne dojednania.
i)výnimky pre osobitné situácie podľa čl. 49 Nariadenia
j)ojedinelý prenos osobných údajov podľa čl. 49 ods. 1 druhý pododsek
21
6.2.2.2Prenos podľa smernice 2016/680
Ak neexistuje rozhodnutie o primeranosti, členské štáty stanovia, že sa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže uskutočniť za pomoci týchto nástrojov:
a)právne záväzný akt poskytujúci primerané záruky ochrany osobných údajov, alebo
b)prevádzkovateľ posúdil všetky okolnosti prenosu osobných údajov a dospel k záveru, že existujú primerané záruky ochrany osobných údajov,
c)výnimky pre osobitné situácie podľa § 76 zákona,
d)prenos príjemcom z tretej krajiny podľa § 77 zákona.
22
7KONTROLA
V období od začatia uplatňovania Nariadenia a zákona (tzn. od 25.05.2018) je úrad v rámci svojej pôsobnosti oprávnený vykonávať kontrolu spracúvania osobných údajov, kontrolu dodržiavania kódexu správania schváleného úradom podľa § 85, kontrolu súladu spracúvania osobných údajov s vydaným certifikátom podľa § 86 a kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie podľa § 87 a § 88 zákona. Na území Slovenskej republiky boli v hodnotenom období vykonávané len kontroly spracúvania osobných údajov.
Kontroly spracúvania osobných údajov vykonávané povereným kontrolným orgánom vždy zamerané na konkrétneho prevádzkovateľa alebo sprostredkovateľa a ich výsledky formulované v zázname o kontrole (ak nebolo zistené žiadne porušenie povinností pri spracúvaní osobných údajov) alebo v protokole o kontrole (ak boli zistené rozpory s požiadavkami všeobecne záväzných právnych predpisov). Výsledky kontrol formulované v protokole o kontrole iniciujú začatie konania o ochrane osobných údajov alebo využité ako podklad pre vydanie rozhodnutia v už prebiehajúcich konaniach.
7.1Kontroly začaté pred 25.05.2019
Z obdobia pred 25.05.2019 bolo do hodnoteného obdobia (od 25.05.2019 do 31.12.2019) prenesených 30 kontrol spracúvania osobných údajov, z ktorých v tomto období úrad ukončil 20. Kontrolovanými osobami boli v desiatich prípadoch obchodné spoločnosti (vrátane jedného neštátneho zdravotníckeho zriadenia), v troch prípadoch štátne orgány a v troch prípadoch obce; zvyšné kontroly boli zamerané na spracovateľské činnosti verejnoprávnej inštitúcie, poskytovateľa zdravotnej starostlivosti (štátna nemocnica), občianskeho združenia a príspevkovej organizácie zriadenej mestom (dom kultúry).
Vo vzťahu k dvom obchodným spoločnostiam a občianskemu združeniu nebolo zistené porušenie Nariadenia, v dôsledku čoho boli tieto kontroly ukončené záznamom o kontrole. Výkonom zvyšných 17 kontrol boli zistené rozpory s požiadavkami Nariadenia, v dôsledku čoho boli tieto kontroly ukončené protokolom o kontrole.
Zhrnutie štruktúry kontrolovaných osôb a výsledkov 20 ukončených kontrol:
Kontrolované osoby
Zistené nedostatky
(protokol o kontrole)
Bez zistených nedostatkov
(záznam o kontrole)
štátne orgány
3
0
verejnoprávna inštitúcia
1
0
obce
3
0
obchodné spoločnosti
8
2
štátne zdravotnícke zariadenie
1
0
občianske združenie
0
1
dom kultúry
1
0
7.1.1Zdravotná poisťovňa
Predmetom kontroly bolo podozrenie z neoprávneného spracúvania osobných údajov dotknutej osoby (v čase kontroly bývalého zamestnanca kontrolovanej osoby) vrátane údajov týkajúcich sa jej zdravia, a to na účel, na ktorý kontrolovaná osoba nebola oprávnená. Kontrolovanou osobou bol prevádzkovateľ, ktorý vo svojich informačných systémoch spracúva osobné údaje fyzických osôb na účely verejného zdravotného poistenia. V rámci predmetnej kontroly sa kontrolný orgán
23
zameral na konkrétny prípad neoprávneného overovania údajov o odbornom lekárskom vyšetrení zamestnanca jeho nadriadeným na pracovnoprávne účely a nadväzne na aktuálny stav priamo i nepriamo súvisiacich technických a organizačných opatrení prijatých prevádzkovateľom. Kontrolou opodstatnenosti prístupov zamestnancov prevádzkovateľa zaradených na útvare nákupu zdravotnej starostlivosti k údajom o zdraví dotknutých osôb (poistencov verejného zdravotného poistenia) bolo zistené, že prevádzkovateľ umožnil prístup k údajom o zdravotnej starostlivosti poskytnutej konkrétnemu poistencovi aj v prípadoch, v ktorých to nebolo nevyhnutné, čím spracúvané osobné údaje týkajúce sa zdravia nezabezpečil pred rizikom ich neoprávneného spracúvania. Pri pokrývaní rizík bezpečnostnými opatreniami sa prevádzkovateľ v dostatočnej miere nezaoberal ani špecifickou skupinou dotknutých osôb, ktoré jeho zamestnancami a súčasne jeho poistencami (napríklad formou osobitnej politiky zameranej na túto skupinu dotknutých osôb). Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.
7.1.2Poskytovateľ verejnej hromadnej dopravy
Predmetom kontroly bol postup kontrolovanej osoby pri spracúvaní osobných údajov cestujúcich revízormi, ako aj plnenie povinností pri spracúvaní osobných údajov prostredníctvom kamerových systémov vo vozidlách a v priestoroch zastávok mestskej hromadnej dopravy. V priebehu kontroly bolo zistené, že kontrolovaná osoba pri kontrole cestovných lístkov revízormi vyhotovuje audiozáznam, pričom v rámci kontroly cestovných lístkov dotknutým osobám pri získavaní ich osobných údajov neposkytuje vôbec alebo poskytuje v nedostatočnom rozsahu informácie vyžadované článkom 13 Nariadenia. Súčasne bolo zistené, že kontrolovaná osoba neprijala primerané technické bezpečnostné opatrenia na ochranu vyhotovených audiozáznamov (zásada integrity a dôvernosti) a nedodržiava ani lehotu ich uchovávania, ktorú sama určila (zásada minimalizácie uchovávania). V súvislosti so spracúvaním osobných údajov získavaných kamerami v priestoroch zastávok bol súčasne zistený rozpor so zásadou minimalizácie údajov, keďže rozsah monitorovaného priestoru výrazne presahoval priestor zastávok, čím dochádzalo k neoprávnenému zasahovaniu do práv a právom chránených záujmov dotknutých osôb bez ohľadu na to, či išlo o cestujúcich. Vo vzťahu k videosledovaniu neboli dotknutým osobám pri získavaní ich osobných údajov poskytované informácie vyžadované článkom 13 Nariadenia a vo vzťahu ku kamerovým záznamom bolo zistené prekročenie určenej doby ich uchovávania. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.
7.1.3Nebanková inštitúcia
Predmetná kontrola bola zameraná na súlad spracúvania osobných údajov s požiadavkami Nariadenia, konkrétne so zásadami spracúvania osobných údajov, s podmienkami zákonného spracúvania a podmienkami vyjadrenia súhlasu a na práva dotknutej osoby v súvislosti s poskytovaním a správou úveru. V priebehu kontroly bolo zistené, že jednotlivé dokumenty, ktorými kontrolovaná osoba poskytuje svojim klientom informácie týkajúce sa právneho základu spracúvania osobných údajov, nezrozumiteľné, netransparentné, a v niektorých častiach aj vzájomne si odporujúce. Vo vzťahu k súhlasu klientov so spracúvaním ich osobných údajov nebola splnená požiadavka jeho slobodného poskytnutia. Súčasne bolo zistené, že osobné údaje klientov uchovávané po dlhšiu dobu, ako je nevyhnutné na dosiahnutie sledovaného účelu spracúvania. Kontrolovaná osoba ďalej nepreukázala zákonnosť spracúvania osobných údajov o manželovi (manželke), o druhovi (družke) a o inej kontaktnej osobe. Pochybenia kontrolovanej osoby boli zistené aj pri plnení informačnej povinnosti, a to tak voči klientom, ako aj voči ručiteľom, kontaktným a iným dotknutým osobám. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.
24
7.1.4Neštátne zdravotnícke zariadenie
Predmetná kontrola bola zameraná na súlad spracúvania osobných údajov s požiadavkami všeobecného nariadenia o ochrane údajov, konkrétne so zásadami spracúvania osobných údajov, podmienkami zákonného spracúvania, podmienkami vyjadrenia súhlasu a podmienkami spracúvania osobitných kategórií osobných údajov, ako aj na poskytovanie informácií dotknutým osobám, na sprostredkovateľa, na spracúvanie osobných údajov na základe poverenia prevádzkovateľa alebo sprostredkovateľa a na určenie zodpovednej osoby. V priebehu kontroly bolo zistené, že spracúvanie osobných údajov, ktoré bolo založené na súhlase dotknutej osoby, nebolo transparentné, nakoľko dotknutej osobe neboli poskytnuté jednoznačné informácie o právnom základe spracúvania podľa účelu spracúvania a informácie o právach dotknutej osoby vrátane práva odvolať súhlas so spracúvaním osobných údajov. Súčasne bolo zistené, že dotknutá osoba nemala možnosť rozhodnúť sa, či udelí alebo neudelí súhlas s vyhotovovaním a následným využívaním fotodokumentácie. Kontrolovaná osoba zároveň na účel vybavovania objednávok a marketingové účely nepostupovala transparente tým, že dotknutej osobe neposkytovala informácie o dobe uchovávania osobných údajov a právach dotknutých osôb, resp. informácie, ktoré je kontrolovaná osoba povinná dotknutej osobe poskytnúť pri získavaní jej osobných údajov. Vo vzťahu k sprostredkovateľom kontrolovanej osoby bolo zistené, že jedna zo zmlúv neobsahovala všetky náležitosti ustanovené Nariadením. Pochybenia kontrolovanej osoby boli zistené aj v súvislosti s určením zodpovednej osoby. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.
7.1.5Štátny orgán
Kontrola štátneho orgánu iniciovaná podozrením z porušenia povinností pri spracúvaní osobných údajov bola zameraná na súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a podmienkami ich zákonného spracúvania, transparentnosť a spravodlivosť poskytovania informácií dotknutým osobám, ako aj na postup pri určení zodpovednej osoby. Kontrolovaná osoba v postavení orgánu verejnej moci spracúvala osobné údaje určených kontaktných osôb, ako aj osobné údaje ďalších dotknutých osôb, pričom nepreukázala, že pri spracúvaní týchto osobných údajov splnila niektorú z podmienok zákonného spracúvania podľa čl. 6 ods. 1 Nariadenia (zákonnosť spracúvania), v dôsledku čoho nepostupovala v súlade so zásadou zákonnosti, spravodlivosti a transparentnosti. Dokument, ktorým kontrolovaná osoba poskytovala svojim zamestnancom (dotknutým osobám) informácie súvisiace so spracúvaním ich osobných údajov, neobsahoval správne identifikačné údaje prevádzkovateľa a zároveň v ňom nebola uvedená informácia o práve odvolať súhlas so spracúvaním osobných údajov, v dôsledku čoho súvisiace postupy kontrolovanej osoby nezodpovedali dikcii čl. 13 Nariadenia (informácie poskytované dotknutým osobám pri získavaní ich osobných údajov), ergo zásade transparentnosti. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.
7.1.6Štátne zdravotnícke zariadenie
Kontrola iniciovaná podozrením z porušenia povinností pri spracúvaní osobných údajov bola zameraná najmä na súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov, podmienkami zákonného spracúvania, podmienkami vyjadrenia súhlasu a podmienkami spracúvania osobitných kategórií osobných údajov. Kontrolou bolo zistené porušenie zásady minimalizácie údajov tým, že kontrolovaná osoba v osobnom spise zamestnanca spracúvala aj osobné údaje, ktoré na dosiahnutie účelu spracúvania neboli nevyhnutné, ako aj tým, že na účel evidencie dochádzky zamestnancov spracúvala osobitnú kategóriu osobných údajov (biometrické údaje vo forme odtlačkov prstov). V priebehu kontroly bolo zistené aj porušenie zásady integrity a dôvernosti spočívajúce v tom, že kontrolovaná osoba vo vzťahu k niektorým účelom spracúvania
25
neprijala primerané technické a organizačné opatrenia, a zistené boli aj ďalšie pochybenia súvisiace so spracúvaním osobných údajov na účel ochrany majetku nemocnice a ochrany osôb a majetku osôb, ktoré sa v nemocnici oprávnene zdržiavali, na účel spracúvania informácií o dávkach ionizujúceho žiarenia, ktorým boli dotknuté osoby vystavené, ako aj pochybenia pri objednávaní a úhrade stravy pre zamestnancov. Pochybenie bolo zistené aj vo vzťahu k spracúvaniu osobných údajov na účel evidencie návštev pri ich jednorazovom vstupe do vybraných objektov kontrolovanej osoby, nakoľko kontrolovaná osoba nepreukázala, že jej oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby. Zistené porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov bolo premietnuté do protokolu o kontrole.
7.1.7Kamerové systémy
Z celkom 20 kontrol začatých pred 25.05.2019 a ukončených v sledovanom období bolo 8 kontrol zameraných na kamerové systémy. Z hľadiska podnetu na kontrolu bolo 5 kontrol vykonaných v rámci konania o ochrane osobných