SPRÁVA O STAVE OCHRANY OSOBNÝCH ÚDAJOV ZA ROK 2021

Úrad na ochranu osobných údajov Slovenskej republiky v zmysle ustanovenia § 81 ods. 2 písm. k) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 221/2019 Z. z. predkladá Národnej rade Slovenskej republiky Správu o stave ochrany osobných údajov za rok 2021. Predkladaná správa je prehľadom o činnosti úradu v sledovanom období.

Podľa čl. 59 Nariadenia „Každý dozorný orgán vypracuje výročnú správu o svojich činnostiach, ktorá môže zahŕňať zoznam typov oznámených porušení a typov prijatých opatrení v súlade s článkom 58 ods. 2. Uvedené správy sa predkladajú národnému parlamentu, vláde a iným orgánom určeným právom členského štátu. Správy sa sprístupnia verejnosti, Komisii a výboru.“.

Uvedené ustanovenie sa premietlo do § 81 ods. 2 písm. k) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 221/2019 Z. z. „Úrad predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za rok; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle a poskytuje ju Európskemu výboru pre ochranu údajov a Komisii.“, na základe ktorého predkladám v mene úradu túto správu Národnej rade Slovenskej republiky. Po jej prerokovaní v Národnej rade Slovenskej republiky bude zverejnená na webovom sídle úradu pre širokú verejnosť a k dispozícii médiám a tiež predložená Európskemu výboru pre ochranu údajov a Komisii.

JUDr. Anna Vitteková

podpredsedníčka úradu

ZOZNAM POUŽÍVANÝCH SKRATIEK

úrad

Úrad na ochranu osobných údajov Slovenskej republiky

NR SR

Národná rada Slovenskej republiky

správa

Správa o stave ochrany osobných údajov za rok 2021

zákon

zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 221/2019 Z. z.

Nariadenie

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP)

smernica 2016/680

Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV

MPK

Medzirezortné pripomienkové konanie

Portál

Portál právnych predpisov Slov – Lex

smernica e-privacy

Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách)

návrh nariadenia e-privacy

Návrh NARIADENIA EURÓPSKEHO PARLAMENTU A RADY o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách)

Dohovor 108

Dohovor Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov

Nariadenie 2018/1725

Nariadenie Európskeho parlamentu a Rady (ES) č.

2018/1725 o ochrane fyzických osôb pri

spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe

takýchto údajov,

ktorým sa zrušuje

nariadenie (ES) č. 45/2001

rozhodnutie

č. 1247/2002/ES

zákon č. 211/2000 Z. z.

zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií)

EDPS

Európsky dozorný úradník pre ochranu údajov/ European Data Protection Supervisor

EÚ

Európska únia

Európska komisia

EHP

Európsky hospodársky priestor

EDPB

Európsky výbor pre ochranu údajov (European Data Protection Board) zriadený podľačl. 68 Nariadenia

OBSAH

ZOZNAM POUŽÍVANÝCH SKRATIEK................................................................................5

OBSAH.........................................................................................................................................7

1ÚVOD...................................................................................................................................9

1.1Cieľ správy..................................................................................................................................9

2POSTAVENIE, PERSONÁLNE ZABEZPEČENIE A ROZPOČET ÚRADU..........11

2.1Postavenie úradu.......................................................................................................................11

2.2Personálne zabezpečenie úradu.................................................................................................11

2.2.1Verejné funkcie úradu...........................................................................................................11

2.2.2Personálna oblasť zamestnancov úradu................................................................................11

2.3Rozpočet úradu..........................................................................................................................13

3LEGISLATÍVNA ÚPRAVA OCHRANY OSOBNÝCH ÚDAJOV.............................16

3.1Medzirezortné pripomienkové konania.....................................................................................16

3.2Metodické usmernenia a informácie.........................................................................................17

4KOMUNIKÁCIA ÚRADU S VEREJNOSŤOU............................................................20

4.1Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb............................................20

4.2Poskytovanie informácií na základe žiadostí o sprístupnenie informácií podľa zákona

č. 211/2000 Z. z.........................................................................................................................20

4.3Komunikácia úradu s médiami..................................................................................................21

4.4Webové sídlo úradu a jeho návštevnosť...................................................................................21

4.5Webové sídlo úradu a nahlasovanie porušení ochrany osobných údajov.................................21

4.6Projekt - 311071Z328 Elektronizácia služieb Úradu na ochranu osobných údajov SR...........23

5ZODPOVEDNÁ OSOBA.................................................................................................24

6SCHVAĽOVACIA A KONZULTAČNÁ ČINNOSŤ ÚRADU....................................25

6.1Predchádzajúca konzultácia......................................................................................................25

6.2Prenos osobných údajov............................................................................................................25

6.2.1Prenos do krajiny zaručujúcej primeranú úroveň ochrany osobných údajov........................25

6.2.2Prenos do krajiny nezaručujúcej primeranú úroveň ochrany osobných údajov....................26

7KONTROLY.....................................................................................................................28

7.1Kontroly evidované v roku 2021...............................................................................................28

7.2Kontroly ukončené v roku 2021................................................................................................28

7.3Výber z kontrol ukončených v roku 2021.................................................................................32

7.3.1Kontroly spracúvania osobných údajov v informačných systémoch, pomocou ktorých sa

zabezpečuje praktické vykonávanie schengenského „acquis“..............................................32

7.3.2Spracúvanie osobných údajov lekárňou................................................................................32

7.3.3Spracúvanie osobných údajov stanicou technickej kontroly.................................................32

7.3.4Spracúvanie osobných údajov zdravotníckym zariadením...................................................33

7.3.5Spracúvanie osobných údajov kamerovým systémom mesta...............................................34

7.3.6Spracúvanie osobných údajov na účely vydania rezidentských parkovacích kariet.............34

7.3.7Monitorovanie stolov v zariadení rýchleho občerstvenia.....................................................34

7.3.8Monitorovanie verejne prístupných priestorov štátnou inštitúciou.......................................35

7.4Závery........................................................................................................................................35

8KONANIE O OCHRANE OSOBNÝCH ÚDAJOV......................................................36

9MECHANIZMUS SPOLUPRÁCE A KONZISTENSTNOSTI...................................38

9.1Mechanizmus spolupráce..........................................................................................................38

9.1.1Cezhraničné spracúvanie.......................................................................................................38

9.1.2Vzájomná pomoc...................................................................................................................39

9.1.3Spoločné operácie dozorných orgánov.................................................................................40

9.2Mechanizmus konzistentnosti...................................................................................................40

9.2.1Stanovisko EDPB..................................................................................................................40

9.2.2Riešenie sporov EDPB..........................................................................................................41

9.2.3Postup pre naliehavé prípady................................................................................................41

10SANKCIONOVANIE.......................................................................................................42

10.1Pokuta........................................................................................................................................42

10.2Poriadková pokuta.....................................................................................................................43

10.3Vybrané prípady z dozornej činnosti úradu..............................................................................43

10.3.1Odloženia..............................................................................................................................43

10.3.2Konania.................................................................................................................................44

11OPRAVNÉ PROSTRIEDKY A ROZHODOVANIE O NICH....................................48

12SŤAŽNOSTI PODĽA ZÁKONA O SŤAŽNOSTIACH...............................................49

13EURÓPSKY A MEDZINÁRODNÝ LEGISLATÍVNY BALÍK OCHRANY

OSOBNÝCH ÚDAJOV....................................................................................................50

13.1Legislatívny proces na úrovni EÚ.............................................................................................50

13.2Európsky výbor pre ochranu údajov.........................................................................................51

13.3Rozsiahle informačné systémy a orgány, úrady a agentúry Únie.............................................51

13.4Schengenské hodnotenie...........................................................................................................52

13.5Konzultatívny výbor k Dohovoru 108......................................................................................52

14STRETNUTIA S PARTNERSKÝMI DOZORNÝMI ORGÁNMI, KONFERENCIE

A WORKSHOPY..............................................................................................................54

14.1Challenges of international data transfer from the perspective of the Convention 108+ and

GDPR........................................................................................................................................54

14.2PL&B 34th Annual International Conference...........................................................................54

14.3Qubit Conference Prague 2021.................................................................................................54

14.4Privacy Conference 2021..........................................................................................................54

14.5Konference GDPR 2021............................................................................................................54

14.6Global Privacy Assembly Conference 2021.............................................................................55

14.7Privacy in video games: the darkest of patterns........................................................................55

14.8GDPR a zákon o ochrane osobných údajov 2021.....................................................................55

15ZHODNOTENIE STAVU OCHRANY OSOBNÝCH ÚDAJOV V SLEDOVANOM

OBDOBÍ............................................................................................................................57

1ÚVOD

1.1Cieľ správy

Cieľom tejto správy je podať štatistické ukazovatele z činnosti úradu, no predovšetkým poskytnúť ucelený obraz o stave ochrany osobných údajov v rámci Slovenskej republiky a tiež poukázať na činnosť úradu v medzinárodnom a európskom meradle. Nemenej dôležitým je tiež popísanie faktického stavu úradu s ohľadom na jeho personálne, materiálne a finančné zabezpečenie, aké v sledovanom období bolo a čo na základe uvedených ukazovateľov je potrebné a vhodné zmeniť.

Nariadením Európska únia vymedzila dozorným orgánom jednotlivých členských krajín unifikovaný rozsah ich pôsobnosti, ktorý odôvodnila potrebou účinnej ochrany práv jednotlivcov pri spracúvaní ich osobných údajov v dôsledku čoho od jednotlivých dozorných orgánov očakáva, že budú tento cieľ systematicky napĺňať, a to za nevyhnutnej podpory štátu. Uvedeným skutočnostiam, žiaľ dodnes nezodpovedá ani personálny potenciál, ani finančné krytie aktivít úradu. V situácií, kedy snaha o dôsledné plnenie úloh úradu naráža na absenciu podmienok, ktoré by mu to umožňovali, je nemožné dosiahnuť úroveň dozoru nad ochranou osobných údajov, ku ktorej je Slovenská republika zaviazaná. Na výrazne nepriaznivú situáciu úradu významnou mierou vplýva aj skutočnosť, že úrad v rámci štátneho rozpočtu doposiaľ nedisponuje vlastnou rozpočtovou kapitolou, v dôsledku čoho je pri každej žiadosti o odstránenie príkreho rozporu medzi rozsahom a náročnosťou zverených úloh konfrontovaný s výškou uložených pokút, ktoré sú len vedľajším efektom jeho poslania.

Nedostatok zamestnancov sa na personál úradu premieta v podobe jeho enormnej zaťaženosti, ktorú neodstránila ani kumulácia funkcií organizačných útvarov či kumulácia funkcií niektorých zamestnancov. Uvedené skutočnosti v spojení s už štandardnými problémami pri zabezpečovaní primeraného finančného ohodnotenia a neraz aj pri zabezpečovaní samotných miezd sa prejavujú dezilúziou, vyhorením, či odchodom zamestnancov úradu do komerčnej sféry alebo prijatím lukratívnej ponuky od iných orgánov štátnej správy. Tu je dôležité poukázať na to, že fluktuácia zamestnancov je pre úrad devastačná, nakoľko oboznámenie sa s problematikou ochrany osobných údajov je bez ohľadu na vzdelanie nového zamestnanca proces, ktorý netrvá niekoľko týždňov či mesiacov. Aktuálny stav a funkčnosť úradu preto nemožno (bez použitia eufemizmov) vystihnúť inak než slovami „pred kolapsom“.

V novembri roku 2019 sa uskutočnilo Schengenské hodnotenie Slovenskej republiky, ktorého súčasť tvorilo aj hodnotenie Slovenskej republiky v oblasti ochrany osobných údajov. Podľa záverov hodnotenia nám Európska únia odporúča navýšiť personálne a rozpočtové zabezpečenie úradu.

Opätovne poukazujem na závery najnovšieho hodnotenia, podľa ktorých nám Európska únia okrem iného odporučila navýšiť personálne a rozpočtové zabezpečenie úradu. Slovenská republika by mala Úradu na ochranu osobných údajov Slovenskej republiky:

-zabezpečiť, aby sa v záujme zvýšenia výkonností a efektívnosti orgánu pre ochranu osobných údajov ďalej zvyšoval jeho rozpočet a počet zamestnancov,

-zaistiť, aby bola tá časť celkového štátneho rozpočtu, ktorá je určená len pre orgán pre ochranu osobných údajov, jasne viditeľná, aby sa zaručilo, že orgán pre ochranu osobných údajov má samostatný verejný rozpočet,

-zabezpečiť, aby sa národná rada v rámci rozpočtového postupu oboznámila so stanoviskom orgánu pre ochranu osobných údajov, pokiaľ ide o jeho rozpočtové potreby,

ako aj o rokovaniach o rozpočte, ktoré orgán pre ochranu osobných údajov viedol s ministerstvom financií,

-prijať opatrenia s cieľom zabezpečiť, aby ministerstvo financií nemohlo dávať do vzájomnej súvislosti rozpočet a sumu pokút, ktoré má orgán pre ochranu osobných údajov vybrať, pretože by to mohlo mať vplyv na povahu a určovanie priorít orgánu pre ochranu osobných údajov a ovplyvniť tak jeho nezávislosť. Malo by sa zaručiť, že rozpočet orgánu pre ochranu osobných údajov nebude možné počas kalendárneho roka znížiť, ak orgán pre ochranu osobných údajov nevyberie odhadovanú výšku pokút v plnom rozsahu.

Nakoľko splnenie vyššie uvedených odporúčaní je základnou premisou celého procesu Schengenského hodnotenia, považujem za nevyhnutné na tieto náležitosti aj dnes opakovane upriamiť pozornosť. Mám za to, že odďaľovanie riešenia môže mať pre Slovenskú republiku a aj fungovanie samotného úradu neblahé dôsledky vo forme konaní vedených voči Slovenskej republike zo strany Európskej komisie, čím by sa výrazne negatívne ovplyvnilo vnímanie fungovania právneho štátu u nás. Zároveň sme v situácií, kedy ak nedôjde k rýchlym efektívnym krokom, čaká nás rozklad štruktúr úradu tak, že poskytovanie ochrany dotknutým osobám, ako aj plnenie ostatných úloh zostane dlhodobo nepokryté.

V priamom kontraste s vyššie uvedeným nás Ministerstvo financií Slovenskej republiky požiadalo, aby sa úrad vysporiadal s požiadavkou znižovania stavov zamestnancov naprieč štátnou správou, a to 10% v zmysle Uznesenia vlády č. 649 zo dňa 14. októbra 2020. V podmienkach úradu to predstavovalo päť zamestnancov. Úrad už v tejto dobe bol výrazne personálne poddimenzovaný, pričom momentálny stav počtu zamestnancov, po nutnom znížení stavov zamestnancov je alarmujúco nedostatočný pre riadne plnenie úloh úradu a jeho celoštátnych kompetencií. Situácia na úrade je v súčasnosti kritická, nakoľko zamestnanci úradu musia kumulatívne zastávať viac než jednu funkciu, vzhľadom na nedostatočný počet zamestnancov. Úrad je dnes konfrontovaný odchodmi expertov, ktorí odchádzajú za lepšími podmienkami nielen do súkromnej sféry, ale aj na iné miesta štátnej správe, kde im vedia ponúknuť výrazne lepšie podmienky.

Nad rámec vyššie uvedeného aktuálnu situáciu zhoršuje nevyriešený nedostatočný finančný rozpočet úradu, s ktorým sa snažíme dlhodobo vysporiadať. Okrem toho, že sa nám znížil počet zamestnancov, v kontraste so závermi hodnotenia spomínanými vyššie, zároveň sú zamestnanci úradu nedostatočne motivovaní za svoju odbornosť a spravovanie širokej škály agendy na národnej, či medzinárodnej úrovni už štandardne nad rámec svojho pracovného času. V súčasnosti v mladom kolektíve je častokrát aj jedným z dôvodu odchodu zamestnankýň nástup na materskú a následne na rodičovskú dovolenku.

Vzhľadom na vyššie uvedené a tým, že došlo k zníženiu počtu zamestnancov úradu, znamená nesplnenie, resp. vážnu kolíziu so závermi expertného teamu Schengenského hodnotenia Slovenskej republiky 2019 v oblasti ochrany osobných údajov, ktoré doteraz nemáme naplnené ani v jednom vyššie uvedenom bode.

Záverom uvádzam, že pri nesplnení povinnosti vyplývajúcej z práva Európskej únie, hrozí členskému štátu konanie o porušení povinností, ktoré iniciuje Európska komisia podľa článku 258 a nasl. Zmluvy o fungovaní Európskej únie. V prípade preukázania, že štát si nesplní svoju povinnosť, ktorú mu právo EÚ uložilo, hrozia členskému štátu peňažné sankcie s možnosťou uloženia paušálnej pokuty až do doby, kedy bude stav v členskom štáte zodpovedať stavu vyžadovaného právom EÚ.

2POSTAVENIE, PERSONÁLNE ZABEZPEČENIE A ROZPOČET ÚRADU

2.1Postavenie úradu

Ochrana osobných údajov v Slovenskej republike je na základe zákona a Nariadenia zverená do pôsobnosti úradu. Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Pri výkone svojej pôsobnosti úrad postupuje nezávisle a pri plnení svojich úloh sa riadi ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Úrad je rozpočtovou organizáciou podľa ustanovenia § 21 ods.1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

2.2Personálne zabezpečenie úradu

2.2.1Verejné funkcie úradu

Na čele úradu je predseda, ktorého volí a odvoláva NR SR na návrh vlády Slovenskej republiky. Funkčné obdobie predsedu úradu je päť rokov. Funkciu predsedníčky úradu zastávala Soňa Pőtheová, ktorá bola do funkcie zvolená NR SR dňa 14. mája 2015 na základe výsledku hlasovania poslancov NR SR (uznesenie Národnej rady Slovenskej republiky č. 1736/2015). Na základe vládneho návrhu na jej odvolanie z funkcie, ktorý bol NR SR doručený dňa 27.04.2020 (

čpt. 74

)

bola dňa 29.04.2020 na základe

výsledku hlasovania poslancov NR SR

o návrhu na jej odvolanie

zo svojej funkcie odvolaná (

Uznesenie NR SR č. CRD-852/2020 z 29. apríla 2020

). Vedenia úradu

sa následne v zmysle zákona ujala podpredsedníčka úradu.

Funkciu podpredsedníčky úradu zastáva Anna Vitteková, ktorá bola s účinnosťou od 2. januára 2016 do funkcie vymenovaná vládou Slovenskej republiky uznesením č. 658/2015 zo dňa 2. decembra 2015. V súvislosti s odvolaním predsedníčky úradu po celý rok 2021 úrad viedla podpredsedníčka úradu.

2.2.2Personálna oblasť zamestnancov úradu

Zamestnanci úradu plnia vysoko odborné úlohy v zmysle zákona a Nariadenia a iné prevádzkové činnosti a povinnosti podľa všeobecne záväzných právnych predpisov. Ich zabezpečovanie si vyžaduje potrebný počet kvalifikovaných zamestnancov spôsobilých vykonávať odborné činnosti na expertnej úrovni, pričom je nevyhnutné aj zohľadnenie potrebnej miery zastupiteľnosti. V podmienkach úradu, z pohľadu štruktúry zamestnancov, boli v roku 2021 všetci zamestnanci zamestnancami v štátnozamestnaneckom pomere. Výber zamestnancov a obsadzovanie voľných štátnozamestnaneckých pozícií je realizované podľa zákonmi stanovených podmienok pre jednotlivé funkcie výlučne na základe výberových konaní, ktoré úrad zverejňuje na ústrednom portáli verejných služieb.

K 31. decembru 2021 mal úrad obsadených 45 miest, z toho

•45 zamestnancov v štátnozamestnaneckom pomere.

Priemerný vek zamestnancov

•k 01.01.2021 bol 41,67 roku, pričom

➢u mužov bol 42,54 roku;

➢u žien 41,30 roku;

•k 31.12.2021 bol 41,29 roku, pričom

➢u mužov bol 41,79 roku;

➢u žien 41,04 roku.

Prehľad o počte zamestnancov úradu

Skutočný stav zamestnancov úradu

Rok

Štátnozamestnanecký pomer

Výkon práce vo verejnom záujme

Spolu

k 01.01.2021

k 31.12.2021

Ochrana osobných údajov je od 25. mája 2018 vykonávaná v zmysle Nariadenia a zákona, ktoré priamo stanovujú úradu všetky jeho práva, povinnosti a kompetencie. Napriek nespornej dôležitosti činnosti úradu, ktorá sa odvíja od dôležitosti významu a hodnoty osobných údajov, ako zdroja informácií o fyzických osobách, limit zamestnancov úradu na rok 2021 bol úradu znížený na 461 oproti limitu zamestnancov úradu z roku 2020, ktorý predstavoval 51 zamestnancov.

Stanovený limit zamestnancov v roku 2021 nebol dostatočný v kontexte agendy, ktorú úrad zabezpečuje a ktorá má stále stúpajúcu tendenciu, čo do objemu práce pripadajúcej na jedného zamestnanca. Pre správnu činnosť úradu a tiež s ohľadom na ľudské možnosti a snahu o vysokokvalitnú prácu zamestnancov je nevyhnutné, aby bol počet zamestnancov významne navýšený minimálne o 30 zamestnancov. Zaistí sa tak prerozdelenie práce a možnosť vyššej špecializácie jednotlivých zamestnancov, nakoľko teraz mnohí vykonávajú kumulované činnosti, z ktorých každá si vyžaduje plné sústredenie a pozornosť.

Agenda úradu aj v kontexte povinností vyplývajúcich z Nariadenia neúmerne stúpla a má neustále rastúci trend. Súčasná situácia je dlhodobo neudržateľná a nedostatok kvalifikovaných zamestnancov sa nevyhnutne prejavuje aj v kvalite práce, prípadne vyúsťuje aj do nemožnosti dodržania procesných lehôt. Pre naplnenie strategického smerovania činnosti úradu je nevyhnutné, aby sa navýšil počet zamestnancov, aby títo absolvovali a priebežne sa zúčastňovali potrebných vzdelávacích aktivít, rozširovali si svoje vedomosti a boli tak schopní popri odbornom raste reflektovať aj požiadavku digitalizácie verejnej a štátnej správy.

Úrad je nutné posilniť aj o expertov na informačné technológie, nakoľko stále viac spracovateľských činností prebieha elektronickou formou a je potrebné, aby sa tak v rámci konaní, ako aj kontrol vedel úrad na expertnej úrovni vyjadrovať k zisteniam pokiaľ ide o prevádzkovateľmi a sprostredkovateľmi využívané informačné technológie.

Úrad taktiež pociťuje nedostatok zamestnancov venujúcich sa legislatíve, a to tak v oblasti jej tvorby, ako aj jej pripomienkovania, nakoľko ide o zdĺhavý proces skúmania predloženého návrhu právneho predpisu, či nelegislatívneho návrhu, ktorý si vyžaduje vysokú pozornosť a sústredenie a je nevyhnutné, aby mal zamestnanec na takúto prácu dostatok času a vedomostí, a to nielen teoretických, ale aj praktických. Poddimenzovaná personálna stránka úradu sa prejavuje aj v tom

1 Zníženie limitu počtu zamestnancov úradu nastalo na základe prerokovania a schválenia materiálu „

Návrh rozpočtu

verejnej správy na roky 2021 až 2023

“, číslo materiálu: UV-22129/2020; na základe ktorého bolo prijaté

Uznesenie

vlády SR č. 649/2020 zo 14/10/2020

. Povinné zohľadnenie zníženia stavu zamestnancov v podmienkach úradu

znamenalo úbytok 5 zamestnancov.

ohľade, že úrad toho času nemôže vôbec pomýšľať na zriadenie detašovaných pracovísk, čím by bol bližšie aj k dotknutým osobám, prevádzkovateľom a sprostredkovateľom.

Poddimenzovanie počtu zamestnancov má tiež vplyv na to, že nie je možné rozvíjať potrebnú špecializáciu vytváraním nových odborov, ktoré by od existujúcich prevzali a následne rozvinuli niektoré agendy na expertnú úroveň. Považujeme za obzvlášť potrebné, aby bolo zamestnancom úradu umožňované potrebné vzdelávanie, ktoré bude mať pozitívny dopad na výkon ich činností, tak pokiaľ ide rýchlosť, no najmä odbornosť.

Ako problematická sa javí nemožnosť adekvátnymi platovými podmienkami získať a dlhodobo udržať erudovaných špecialistov, v dôsledku čoho úrad nie je v rovnocennej pozícii voči prevádzkovateľom a ich možnostiam, čo je v konečnom dôsledku vždy v neprospech dotknutej osoby. Z aplikačnej praxe úradu vyplýva akútna potreba vzniku minimálne dvoch detašovaných pracovísk, jedného na strednom a jedného na východnom Slovensku. Dôvodom potreby vzniku týchto pracovísk je, aby boli zamestnanci úradu bližšie dotknutým osobám aj z týchto oblastí Slovenska a tiež skutočnosť, že by sa takto zefektívnil výkon kontrol a podstatne by sa znížili náklady úradu na cestovanie zamestnancov z Bratislavy; úrad by tiež prispel k zvýšeniu zamestnanosti v týchto regiónoch, kde je stále dostatok kvalifikovaných ľudí, ktorí sa za prácou nemôžu, alebo sa nechcú sťahovať.

2.3Rozpočet úradu

Úrad je rozpočtovou organizáciou, ktorá je svojimi príjmami a výdavkami naviazaná na štátny rozpočet prostredníctvom kapitoly Všeobecná pokladničná správa, ktorú spravuje Ministerstvo financií Slovenskej republiky.

Na rok 2021 bol pre úrad pôvodne schválený rozpočet vo výške 1.727.539,00 Eur. V priebehu roka bol navýšený rozpočet úradu na výšku 1.738.043,75 Eur.

Čerpanie rozpočtu úradu k 31.12.2021 bolo vo výške 1.737.952.97 Eur, čo predstavuje 99,99% z celkového upraveného rozpočtu úradu na rok 2021.

Prehľad o rozpočte úradu za obdobie 01.01.2021 – 31.12.2021 v Eurách

Ukazovateľ

Schválený rozpočet k 1.1.2021

Upravený rozpočet k 31.12.2021

Čerpanie rozpočtu od 1.1.2021 do 31.12.2021

Mzdy, platy, služobné príjmy a OOV (610)

966.701,00

1.027.244,00

1.027.241,52

Poistné z miezd (620)

352.088,00

381.559,70

Tovary a služby (630)

374.750,00

298.316,52

298.230,38

Bežné transfery (640)

8.500,00

5.423,53

0EK0W02 (630) bežné výdavky

25.500,00

25.497,84

Bežné výdavky spolu (600)

1.727.539,00

1.738.043,75

1.737.952,97

Kapitálové výdavky (700)

0EK0W02 kapitálové výdavky (710)

Výdavky celkom

1.727.539,00

1.738.043,75

1.737.952,97

Obdobne, ako je potrebné navýšiť počet zamestnancov v kontexte navyšujúcej sa činnosti a zodpovednosti úradu, je potrebné zohľadniť nárast agendy a potreby materiálno - technického dovybavenia v rozpočte úradu. Nárast zaznamenal úrad v európskej a aj medzinárodnej agende, kde sa zamestnanci úradu priamo podieľajú a musia pravidelne zúčastňovať na zasadaniach expertných skupín Výboru a pracovných skupín Rady, ktorých predmetom sú dôležité usmernenia a dokumenty ovplyvňujúce činnosti úradu v mene Slovenskej republiky.

Úrad vykonáva činnosti vyplývajúce mu nielen z Nariadenia a zákona, ale aj iných osobitných predpisov, napríklad podľa NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ, Euratom) 2019/493 z 25. marca 2019, ktorým sa mení nariadenie (EÚ, Euratom) č. 1141/2014, pokiaľ ide o postup overovania porušovania pravidiel o ochrane osobných údajov v kontexte volieb do Európskeho parlamentu (pozrite

čl. 10a ods. 2 uvedeného nariadenia

). Ak úrad rozhodne

v konaní o ochrane osobných údajov, že fyzická alebo právnická osoba porušila príslušné pravidlá o ochrane osobných údajov, a ak z daného rozhodnutia vyplýva alebo ak sú iné opodstatnené

dôvody domnievať sa, že porušenie súvisí s politickými činnosťami európskej politickej strany alebo európskej politickej nadácie v kontexte volieb do Európskeho parlamentu, tak rozhodnutie oznámi Úradu pre európske politické strany a nadácie.

3LEGISLATÍVNA ÚPRAVA OCHRANY OSOBNÝCH ÚDAJOV

3.1Medzirezortné pripomienkové konania

Úrad je orgán štátnej správy s celoslovenskou pôsobnosťou vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných ľudských práv a slobôd pri spracúvaní osobných údajov fyzických osôb. Úrad si plní svoju úlohu v oblasti dozoru nad spracúvaním osobných údajov aj tým, že dohliada a vyjadruje sa k textom návrhov zákonov a ostatných všeobecne záväzných právnych predpisov (materiály legislatívnej povahy) a tiež k textom nelegislatívnych materiálov (vízie, stratégie a pod.). Svoje vyjadrenia k návrhom formuluje prostredníctvom Portálu v rámci MPK. Cieľom uplatňovaných pripomienok zo strany úradu je, aby najmä kvalita právnych predpisov, pokiaľ ide o úpravu spracúvania osobných údajov bola vysoká, aby následne prijatá právna úprava bola presná, jednoznačná, a to tak vo vzťahu k prevádzkovateľovi, ako aj vo vzťahu k dotknutej osobe, ktorej osobné údaje budú v praxi predmetom spracúvania.

V rámci sledovaného obdobia úrad uplatnil pripomienky k 89 materiálom zo všetkých predložených do MPK (bez ohľadu na to, či šlo o materiál legislatívnej aj nelegislatívnej povahy). Spolu úrad uplatnil 439 pripomienok, pričom 337 z nich bolo zásadných.

Uplatňovanými pripomienkami sa úrad vždy snaží o skvalitnenie právneho predpisu, prípadne o upozornenie na potrebu ochrany a rešpektovania legislatívy týkajúcej sa spracúvania osobných údajov, ak je predmetom pripomienkovania nelegislatívny materiál, napríklad koncepcia, ktorá má do budúcna byť podkladom pre tvorbu právnych predpisov, či plnenie stanovených cieľov.

Menšie nedostatky právnych predpisov je možné korigovať obyčajnými pripomienkami, ktoré v zásade správnu formuláciu ustanovenia precizujú, alebo upravia do podoby, ktorá, pokiaľ ide o spracúvanie, je správna.

Podstatu pripomienkovacej činnosti úradu tvoria zásadné pripomienky, ktorými sa poukazuje na viac, či menej zásadné nedostatky právnych noriem, ktoré je potrebné doplniť, či prepracovať. V sledovanom období mnoho zásadných pripomienok úradu smerovalo ku gestorom ohľadom určenia a spresnenia účelu, pre ktorý majú byť osobné údaje spracúvané, nakoľko účely boli formulované veľmi všeobecne, alebo úplne absentovali, čo z hľadiska právnej istoty a vykonateľnosti právnej normy v praxi by určite spôsobovalo problémy a bolo v neprospech dotknutej osoby. Pripomienky sa tiež týkali rozsahu osobných údajov, ktoré majú byť spracúvané, nakoľko často predkladateľ neuviedol konkrétne údaje, a tieto často nedokázal vymedziť ani v priebehu rozporového konania, čo kolidovalo aj so zásadou minimalizácie údajov. Inou často sa opakujúcou zásadnou pripomienkou bola pripomienka požadujúca vypustenie určitých navrhovaných ustanovení, nakoľko nimi navrhované spracúvanie v kontexte účelu šlo nad rámec nevyhnutnosti a potrebnosti. V prípade takýchto pripomienok sa často stávalo, že úrad od gestora ani na rozporovom konaní nedostal uspokojivú odpoveď, prečo je rozsiahle spracúvanie potrebné, prípadne z čoho vyplýva a čo sa ním má dosiahnuť. V niekoľkých prípadoch bol rozpor vysvetlením odstránený a formulácia spoločne upravená. Iným, stále častejšie sa opakujúcim pripomienkovaným nedostatkom zo strany úradu je obsahovo nedostatočná dôvodová správa, najmä jej osobitná časť, kedy najmä v ustanoveniach týkajúcich sa spracúvania osobných údajov absentujú dôvody a príčiny navrhovanej úpravy, vysvetlenia zo strany navrhovateľa zákona. Odôvodnenia v dôvodovej správe bývajú často všeobecné, uvedené jednou vetou, z ktorej nie je zrejmé, prečo sa spracúvanie požaduje, a prečo je nevyhnutné v uvedenom rozsahu. Veľmi často sa opakujúcou pripomienkou je absencia vnútorných odkazov na iné osobitné zákony, ktoré spresňujú a dopĺňajú samotný účel spracúvania osobných údajov v zmysle právnej agendy, ktorej

sa môže spracúvanie týkať, prípadne odkazujú na ustanovenie iného zákona, kde je ustanovený rozsah alebo zoznam spracúvaných osobných údajov na ustanovený účel. V neposlednom rade sa úrad v rámci pripomienkovaných materiálov stretol tiež s nedostatočnou úpravou obmedzenia práv dotknutých osôb pre účely vyplývajúce z konkrétneho predloženého návrhu.

V sledovanom období mala na tvorbu legislatívy a spôsob jej prijímania naďalej vplyv aj pandémia ochorenia COVID-19, ktorá, z pohľadu legislatívy a podľa názoru úradu sa odrazila na jej kvalite skôr negatívne, nakoľko mnohé legislatívne normy boli prijímané v skrátenom legislatívnom konaní, bez pripomienkovania. Úrad nespochybňuje, že ochrana ľudského života je prvoradá, no pri jej legislatívnom nastavení v zmysle zamedzenia šíreniu ochorenia COVID-19 by mali byť prijímané zásadné legislatívne úpravy tak, aby boli súladné aj s legislatívou upravujúcou iné základné ľudské práva, aby tak nevznikali v praxi situácie, kedy si právne normy navzájom konkurujú, či kolidujú.

S ďalšími nedostatkami, s ktorými sa úrad v rámci svojej pripomienkovacej činnosti stretol bola skutočnosť, že bolo niekoľkokrát opomenuté rozporové konanie k zásadným pripomienkam, ktoré si úrad uplatnil a o prijatí ako aj záverečnej forme (či boli pripomienky akceptované alebo nie) sa dozvedel až zo znenia predpisu vyhláseného v Zbierke zákonov.

Konkrétne znenia uplatnených pripomienok úradu je možné vyhľadať na

Portáli

s použitím filtra

inštitúcií a s použitím filtra pripomienok (či ide o pripomienku organizácie označenú ako zásadná, alebo obyčajná).

3.2Metodické usmernenia a informácie

Úrad metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov, zvyšuje povedomie verejnosti v oblasti rizík a práv súvisiacich so spracúvaním osobných údajov a tiež zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach. Osvedčenou formou usmerňovania prevádzkovateľov a sprostredkovateľov a informovania verejnosti, najmä dotknutých osôb sa na základe praxe úradu stali metodické usmernenia úradu a krátke ad hoc metodiky publikované na webovom sídle úradu, venované otázkam a problematikám, ktoré sú v danom čase predmetom záujmu verejnosti alebo je potrebné o nich informovať.

Úrad okrem iného využíva webové sídlo na informovanie o aktuálnych udalostiach týkajúcich sa ochrany osobných údajov. V sledovanom období úrad zverejnil informácie, týkajúce sa napríklad:

•Slovenský preklad Príručky o európskych právnych prepisoch v oblasti ochrany osobných údajov (2018) [zverejnené 24.06.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/slovensky-preklad-prirucky-o-europskych-

pravnych-predpisoch-v-oblasti-ochrany-udajov

]

•Vyhlásenie skupiny T-PD Rady Európy k vakcinácií, dokladoch a ochrane osobných údajov [zverejnené 12.05.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/vyhlasenie-skupiny-t-pd-rady-europy-k-

vakcinacii-dokladoch-ochrane-osobnych-udajov

]

•Výbor ministrov Rady Európy prijal Odporúčania o ochrane jednotlivcov v súvislosti s automatizovaným spracúvaním osobných údajov v kontexte profilovania [zverejnené 10.11.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/odporucania-o-ochrane-jednotlivcov-v-

suvislosti-s-automatizovanym-spracuvanim-osobnych

]

•Európska komisia prijala 04.06.2021 štandardné zmluvné doložky medzi

prevádzkovateľmi podľa čl. 28 ods. 7 všeobecného nariadenia o ochrane údajov [zverejnené 07.06.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/standardne-zmluvne-dolozky-medzi-

prevadzkovatelmi-sprostredkovatelmi-sprostredkovatelska

]

•Európska komisia prijala 04.06.2021 modernizované štandardné zmluvné doložky pre prenos osobných údajov do tretích krajín podľa čl. 46 ods. 2 písm. c) všeobecného nariadenia o ochrane osobných údajov [zverejnené 07.06.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/standardne-zmluvne-dolozky-pre-prenos-

osobnych-udajov-do-tretich-krajin

]

•Európska komisia prijala dňa 28.06.2021 dve rozhodnutia o primeranosti pre Spojené kráľovstvo [zverejnené 11.10.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/rozhodnutia-o-primeranosti-pre-spojene-

kralovstvo-na-ucely-prenosu-osobnych-udajov

]

•

Súťaž

– návrh ikon na plnenie informačnej povinnosti prevádzkovateľa

Úrad samozrejme sleduje dianie v oblasti ochrany osobných údajov aj vo veci rozsudkov Európskeho súdu pre ľudské práva alebo Súdneho dvora Európskej únie. Všetky relevantné rozhodnutia s dosahom na ochranu a spracúvanie osobných údajov publikuje na svojom webovom sídle v časti

Legislatíva a judikatúra

. O významných rozhodnutiach informuje aj formou krátkej

správy priamo v novinkách na svojom webovom sídle.

V sledovanom období úrad zverejnil informáciu ohľadom rozhodnutia Súdneho dvora Európskej Únie:

•Rozhodnutie SD EÚ vo veci Facebook Ireland a i. [zverejnené 16.06.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/rozhodnutie-sd-eu-vo-veci-

facebook-ireland-i

]

•Rozhodnutie SD EÚ vo veci M.I.C.M [zverejnené 17.06.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/rozhodnutie-sd-eu-vo-veci-micm

]

•Rozhodnutie SD EÚ vo veci Latvijas Republikas Saeima (Pokutové body) [zverejnené 25.06.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/rozhodnutie-sd-eu-vo-veci-latvijas-

republikas-saeima-pokutove-body

]

Predmetom zverejňovania a nepriamo aj formou vzdelávania, tak prevádzkovateľov, sprostredkovateľov, ako aj dotknutých osôb je zverejňovanie informácií a usmernení vydaných EDPS a EDPB na webovom sídle úradu.

V sledovanom období boli na webovom sídle úradu zverejnené nasledovné usmernenia a iné dokumenty EDPB, o ktorých úrad informoval:

•usmernenia EDPB o spracúvaní osobných údajov v prepojených vozidlách [zverejnené 15.03.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/usmernenia-o-spracuvani-osobnych-

udajov-v-prepojenych-vozidlach

]

•usmernenia EDPB k relevantnej a odôvodnenej námietke [zverejnené 16.03.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/usmernenia-k-

relevantnej-odovodnenej-namietke

]

•usmernenia EDPB o zacielení na užívateľov sociálnych médií [zverejnené 22.04.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/usmernenia-o-

zacieleni-na-uzivatelov-socialnych-medii

]

•usmernenia EDPB k pojmom prevádzkovateľ a sprostredkovateľ [zverejnené 14.07.2021,

dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/usmernenia-k-

pojmom-prevadzkovatel-sprostredkovatel

]

•usmernenia EDPB k virtuálnym hlasovým asistentom [zverejnené 14.07.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/usmernenia-k-virtualnym-

hlasovym-asistentom

]

•usmernenia EDPB o obmedzeniach podľa čl. 23 všeobecného nariadenia o ochrane údajov [zverejnené 20.10.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/usmernenia-o-obmedzeniach-podla-cl-23-

vseobecneho-nariadenia-o-ochrane-udajov

]

•usmernenia EDPB o príkladoch oznámení porušenia ochrany osobných údajov [zverejnené 04.01.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/usmernenia-o-prikladoch-oznameni-

porusenia-ochrany-osobnych-udajov

]

•

Odporúčania o právnom základe pre uchovávanie údajov o kreditných kartách

výlučne na

účely uľahčenia ďalších online transakcií

4KOMUNIKÁCIA ÚRADU S VEREJNOSŤOU

4.1Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb

Problematika ochrany osobných údajov sa netýka len prevádzkovateľov alebo sprostredkovateľov, ktorí majú povinnosť aplikovať legislatívu ochrany osobných údajov v praxi, ale aj ľudí, konkrétnych fyzických osôb - dotknutých osôb, majúcich otázky vyplývajúce zo situácií bežného života, súvisiace s ich osobnými údajmi a ich spracúvaním. V sledovanom období, s ohľadom na pandémiu prevládali stále otázky týkajúce sa spracúvania osobných údajov o zdraví, merania teploty, spracúvania údajov o zdraví detí v školách a škôlkach, preukazovanie sa zamestnancov v zamestnaní. V súvislosti s touto témou, časť otázok sme odkázali na Národné centrum zdravotníckych informácií. Opätovne pomerne veľkú časť otázok tvorili otázky spojené so spracúvaním osobných údajov v bytových domoch a s inštaláciu kamier v bytových domoch. Na úrad sa obracalo mnoho prevádzkovateľov, s tým aké povinnosti im vyplývajú v súvislosti s prevádzkovaním ich internetovej stránky. Následne medzi časté otázky patria práva dotknutých osôb, výmaz údajov z bankového registra, resp. z nebankového registra, takisto otázky spojené s pojmom „Zodpovedná osoba“. Počas sledovaného obdobia úrad zaznamenal vysoký dopyt advokátskych kancelárií s otázkami v oblasti ochrany osobných údajov, ktoré nevedia zodpovedať svojim klientom.

Prevádzkovatelia a sprostredkovatelia úradu najčastejšie adresujú otázky odborného charakteru súvisiace s ich povinnosťami vyplývajúcimi z Nariadenia a zákona, prípadne osobitných zákonov upravujúcich spracovateľské operácie. Nakoľko aj obce a mestá sú prevádzkovateľmi, niekoľko z nich sa obrátilo na úrad v spojitosti či už s testovaním, alebo adresovali otázky úradu najmä ohľadom ich postavenia v procese testovania, či plnenia si informačnej povinnosti voči dotknutým osobám alebo možnosti, či nemožnosti použitia obecných, či mestom prevádzkovaných kamier na účely monitorovania hustoty osôb pred testovacím miestom.

Zamestnanci úradu vybavili v sledovanom období 685 otázok, pričom je potrebné zohľadniť, že evidencia je vedená na písomnosť, nie počet položených otázok v nej, teda skutočne bolo vybavených niekoľkonásobne viac otázok verejnosti.

4.2Poskytovanie informácií na základe žiadostí o sprístupnenie informácií podľa zákona č. 211/2000 Z. z.

Jednou z možností prístupu verejnosti k informáciám je aj možnosť podať žiadosť v zmysle zákona č. 211/2000 Z. z. Úrad, ako povinná osoba, tieto žiadosti vyhodnotí a v zmysle zákona č. 211/2000 Z. z. vybaví.

V roku 2021 bolo úradu doručených 228 žiadostí o sprístupnenie informácií. Z tohto celkového počtu úrad v 50 prípadoch žiadosť vybavil tak, že požadovanú informáciu sprístupnil, v 44 prípadoch vydal rozhodnutie o nesprístupnení informácie sčasti a zároveň sprístupnil informácie, ktoré mohli byť sprístupnené, v 40 prípadoch úrad vydal rozhodnutie o nesprístupnení informácie, v 30 prípadoch podané žiadosti odložil, nakoľko neboli v lehote uvedenej vo výzve na doplnenie doplnené. V 48 prípadoch postúpila kancelária úradu, ako príslušný odbor na vybavovanie žiadosti inému príslušnému odboru úradu na vybavenie, nakoľko z ich obsahu vyplývalo, že nie sú žiadosťou o sprístupnenie informácie, ale napríklad otázkou verejnosti, resp. niektoré postúpil na vybavenie inej povinnej osobe, do ktorej kompetencie na základe posúdenia ich obsahu patrili.

4.3 Komunikácia úradu s médiami

Predmetom otázok zo strany médií boli konkrétne problémy a „kauzy“ v ktorých bolo predmetom spracúvanie alebo ochrana osobných údajov, prípadne boli otázky novinárov smerované na špecifikáciu práv dotknutých osôb, ako ich správne uplatňovať a čoho všetkého je možné sa ako dotknutá osoba u prevádzkovateľa domáhať. Druhým rokom pretrvávali otázky spracúvania a ochrany osobných údajov v spojitosti s pandémiou, a následnými opatreniami a povinnosťami, ktoré mali súvis so spracúvaním osobných údajov fyzických osôb, najmä, pokiaľ boli predmetom spracúvania údaje týkajúce sa zdravia. Tiež veľký záujem médií vzbudili opakované bezpečnostné incidenty týkajúce sa Národného centra zdravotníckych informácií. Následne sa média zaujímali o kauzu spojenú s predvolebnou anketou hnutia OĽANO.

Úrad v sledovanom období pripomenul občanom nasledovné dni:

•Deň ochrany osobných údajov 2021 [zverejnené 28.01.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/den-ochrany-osobnych-udajov-28-januar-

2021

]

•Druhý februárový utorok je Medzinárodný deň bezpečnejšieho internetu [zverejnené 02.02.2021, dostupné na tomto odkaze

https://dataprotection.gov.sk/uoou/sk/content/druhy-februarovy-utorok-je-

medzinarodny-den-bezpecnejsieho-internetu

]

•3. výročie uplatňovania všeobecného nariadenia o ochrane údajov (GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov v praxi (25.05.2018 až 25.05.2021)

4.4Webové sídlo úradu a jeho návštevnosť

Webové sídlo úradu spĺňa podmienky a technické kritéria v zmysle Výnosu Ministerstva financií SR o štandardoch pre informačné systémy verejnej správy, reflektuje na novú legislatívnu úpravu v oblasti ochrany osobných údajov, a je postupne dopĺňané o nové funkcionality a aktuálne formuláre, metodiky a usmernenia. Úrad pri vzhľade a delení webového sídla vychádza aj z praxe a snaží sa webové sídlo sprehľadňovať tak, aby bolo čo najviac užívateľsky prívetivé. V ostatnom sledovanom období sa úrad snažil skvalitniť a doplniť najmä anglickú verziu, aby sa dotknuté osoby vedeli domôcť informácií aj ak neovládajú slovenský jazyk a tiež v kontexte toho, že úrad a Slovenská republika boli predmetom schengenského hodnotenia pokiaľ ide o ochranu osobných údajov, kedy predmetom záujmu hodnotiteľov bol aj prístup a poskytovanie informácií v anglickom jazyku, prípadne v inom cudzom jazyku, či jazyku národnostnej menšiny.

Webová stránka úradu bola vyhľadávaná počas sledovaného obdobia celkovo 698 926 krát.

4.5Webové sídlo úradu a nahlasovanie porušení ochrany osobných údajov

Webové sídlo úradu je kľúčový zdroj informácií vzťahujúcich sa k ochrane osobných údajov. Zároveň je aj základnou službou podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Prevádzkovatelia a sprostredkovatelia musia zaistiť nepretržitú dôveryhodnosť, integritu, dostupnosť a odolnosť systémov a služieb spracovania a v pravidelných intervaloch posudzovať účinnosť zavedených technických a organizačných opatrení. Napriek tomu môže dôjsť (či už vplyvom zámernej činnosti, nedbalosti, omylu alebo živelnej udalosti) k porušeniu zabezpečenia osobných údajov, ktoré vo svojom dôsledku môže znamenať náhodné alebo protiprávne zničenie, stratu, zmenu, neoprávnené poskytnutie alebo sprístupnenie, prenášaných, uložených alebo inak spracúvaných osobných údajov.

Prevádzkovateľ má povinnosť podľa čl. 33 Nariadenia alebo podľa § 40 zákona nahlásiť porušenie ochrany osobných údajov (tzv. „data breach“) úradu. Môže tak vo vzťahu k úradu urobiť viacerými spôsobmi, pričom jedným z nich, odporúčaným, je možnosť využiť na splnenie tejto povinnosti na to určený

formulár

, zverejnený na webovom sídle úradu, ktorý bol začiatkom

sledovaného obdobia precizovaný tak, aby sa úrad na základe jeho podrobností a odpovedí v ňom uvedených dozvedel všetky potrebné informácie, aby vedel nahlásené porušenie ochrany osobných údajov čo najlepšie posúdiť.

V sledovanom období bolo úradu formálne nahlásených 165 porušení ochrany osobných údajov (všetkými určenými spôsobmi). Po skúmaní a vyhodnotení z uvedeného počtu bolo možné ako porušenie ochrany osobných údajov skutočne označiť 137 nahlásení. Zvyšných 28 nahlásení predstavovalo zväčša inú agendu úradu, ako napríklad návrh na začatie konania, neopodstatnenú sťažnosť podanú bez relevantných údajov alebo inú písomnosť, ktorá nespĺňala náležitosti porušenia ochrany osobných údajov v zmysle čl. 33 Nariadenia. V grafickom a štatistickom znázornení bola zaradená do skupiny podnet.

Označenia riadkov

Počet z Druh incidentu

Neoprávnené poskytnutie/sprístupnenie

Kybernetický útok

PODNET

Neoprávnené spracovanie

Strata dokumentácie

Krádež, vlámanie

technická chyba/chyby v konfiguráciách/nedodržanie riadenia zmien

IMI

Celkový súčet

165

Neoprávnené poskytnutie/sprístupnenie

Kybernetický útok

PODNET

Neoprávnené spracovanie

Strata dokumentácie

Krádež, vlámanie

technická chyba/chyby v konfiguráciách/nedodržanie riadenia zmien

IMI

Prehľad DB za rok 2021 podľa druhu incidentu

4.6Projekt - 311071Z328 Elektronizácia služieb Úradu na ochranu osobných údajov SR

Úrad v roku 2021 zahájil aktivity v rámci Projektu úradu 311071Z328 Elektronizácia služieb Úradu na ochranu osobných údajov SR.

Cieľom projektu je vybudovanie komplexného informačného systému, ktorý bude efektívne elektronicky podporovať procesy úradu. Projekt zavádza a optimalizuje automatizáciu procesov, čo zefektívni vykonávanie agendy zamestnancami úradu pri ich činnosti a uľahčí komunikáciu externým subjektom s úradom, občanom, podnikateľom, iným štátnym orgánom, prevádzkovateľom a iným.

5ZODPOVEDNÁ OSOBA

Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa Nariadenia a zákona zodpovedá prevádzkovateľ. Prevádzkovateľ a sprostredkovateľ môže, prípadne musí v stanovených prípadoch (čl. 37 ods. 1 písm. a) až c) Nariadenia, prípadne § 44 ods. 1 písm. a) až c) zákona) výkonom dohľadu nad ochranou osobných údajov určiť zodpovednú osobu pričom je povinný ju nahlásiť úradu.

Prehľad počtu určených zodpovedných osôb nahlásených úradu

Zodpovedné osoby

Obdobie

Počet

Celkový počet nahlásených zodpovedných osôb

01.01.2021 až 31.12.2021

1244

Počet žiadostí, ktoré dotknuté osoby adresovali úradu, ako prevádzkovateľovi

V sledovanom období úradu boli úradu doručené 4 žiadosti dotknutých osôb. Vo všetkých prípadoch si dotknuté osoby uplatnili právo na prístup k ich osobným údajom. V troch prípadoch boli dotknutým osobám zaslané informácie podľa čl. 15 Nariadenia spolu s požadovanými fotokópiami ich osobných údajov. V jednom prípade si dotknutá osoba uplatnila žiadosť dotknutej osoby na prístup k jej osobným údajom emailom. Email obsahoval iba priezvisko dotknutej osoby (t.j. neobsahoval žiadny verifikačný prvok). Navyše z neho nebolo zrejmé, v akom rozsahu si dotknutá osoba právo podľa čl. 15 Nariadenia uplatnila. Dotknutá osoba bola v zmysle čl. 12 ods. 6 Nariadenia emailom požiadaná o doplnenie jej korešpondenčnej adresy a podpisu ako verifikačného prvku (resp. zaručeného elektronického podpisu v prípade zaslania v elektronickej podobe). Dotknutá osoba požadované informácie nedoplnila. Vzhľadom na uvedené, najmä na skutočnosť, že o totožnosti dotknutej osoby bolo možné mať pochybnosti, nakoľko jej totožnosť nebola riadne overená a skutočnosť, že v súvislosti s vybavením žiadosti (zaslaním osobných údajov v akomkoľvek rozsahu) by bolo spojené riziko neoprávneného poskytnutia týchto údajov inej osobe, žiadosť dotknutej osoby nebola vybavená.

6SCHVAĽOVACIA A KONZULTAČNÁ ČINNOSŤ ÚRADU

6.1Predchádzajúca konzultácia

Podľa čl. 36 ods. 1 Nariadenia „Prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.“

Podľa čl. 35 ods. 5 Nariadenia „Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru; k tzv. zoznamu spracovateľských operácií, ktoré nebudú podliehať posúdeniu vplyvu na ochranu osobných údajov (tzv. white list) Slovenská republika zatiaľ nepristúpila.

Podľa čl. 35 ods. 4 Nariadenia „Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68; zoznam spracovateľských operácii, ktoré vždy podliehajú posúdeniu vplyvu Slovenská republika v zmysle uvedeného článku vypracovala (tzv. black list), ktorý je dostupný na webovom sídle úradu „

Zoznam spracovateľských operácií podliehajúcich posúdeniu vplyvu na ochranu osobných

údajov Slovenskej republiky

“. Tento zoznam spracovateľských operácií okrem iného slúži na

spresnenie čl. 35 ods. 1 Nariadenia a prevádzkovatelia, ktorí uvedené spracúvanie zamýšľajú uskutočniť sú v prípade, ak by nimi zamýšľané spracúvanie viedlo k vysokému riziku pre práva a slobody dotknutých osôb v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika, sú povinní vykonať s úradom predchádzajúcu konzultáciu.

6.2Prenos osobných údajov

Voľný pohyb osobných údajov sa v rámci EHP zaručuje. Avšak pri prenose do krajín mimo EHP alebo medzinárodným organizáciám je potrebné dodržiavať dodatočné požiadavky na ochranu osobných údajov uvedené v Nariadení a smernici 2016/680. Aj keď niektoré nástroje na prenos osobných údajov podľa oboch právnych predpisov sú rovnaké, vždy je potrebné skúmať vecnú pôsobnosť použitého nástroja.

Prenosy môžeme rozdeliť do dvoch skupín:

•prenos do tretích krajín (medzinárodnej organizácii) zaručujúcich primeranú úroveň ochrany,

•prenos do tretích krajín (medzinárodnej organizácii) nezaručujúcich primeranú úroveň ochrany.

6.2.1Prenos do krajiny zaručujúcej primeranú úroveň ochrany osobných údajov

Pri prenose osobných údajov do tretích krajín sa rozlišuje, či ide o prenos osobných údajov do tretej krajiny zaručujúcej alebo nezaručujúcej primeranú úroveň ochrany osobných údajov. Status krajiny, ktorá zaručuje primeranú úroveň ochrany osobných údajov určuje EK svojím rozhodnutím. Je potrebné, aby tretia krajina zaisťovala z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, úroveň ochrany základných práv, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v právnom poriadku EÚ.

EK vydáva rozhodnutie o primeranosti osobitne pre vecnú pôsobnosť Nariadenia a osobitne pre vecnú pôsobnosť smernice 2016/680. Rozhodnutia o primeranosti, ktoré EK vydala v čase pôsobnosti zákona č. 122/2013 Z. z., zostávajú v platnosti pokiaľ ich EK nezmení, nenahradí alebo nezruší rozhodnutím prijatým podľa Nariadenia. Uvedené rozhodnutia sa vzťahujú len na prenos osobných údajov v rámci vecnej pôsobnosti Nariadenia, nie smernice 2016/680. Úrad zverejňuje rozhodnutia o primeranosti na svojom

webovom sídle.

V hodnotenom období EK vydala rozhodnutie o primeranosti

•pre Spojené kráľovstvo podľa Nariadenia –

Vykonávacie rozhodnutie Komisie (EÚ)

2021/1772 z 28. júna 2021 podľa nariadenia Európskeho parlamentu a Rady (EÚ)

2016/679 o primeranej ochrane osobných údajov Spojeným kráľovstvom [oznámené pod

číslom C(2021) 4800] (Text s významom pre EHP)

•pre Spojené kráľovstvo podľa smernice 2016/680 –

Vykonávacie rozhodnutie Komisie

(EÚ) 2021/1773 z 28. júna 2021 podľa smernice Európskeho parlamentu a Rady (EÚ)

2016/680 o primeranej ochrane osobných údajov Spojeným kráľovstvom [oznámené pod

číslom C(2021) 4801]

•a pre Južnú Kóreu podľa Nariadenia (toho času ešte nebolo publikované v Úradnom vestníku EÚ -

Vykonávacie rozhodnutie Komisie (EÚ) 2022/254 zo 17. decembra 2021

podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o primeranej ochrane

osobných údajov zo strany Kórejskej republiky na základe zákona o ochrane osobných

informácií [oznámené pod číslom C(2021) 9316]

6.2.2Prenos do krajiny nezaručujúcej primeranú úroveň ochrany osobných údajov

Aj pri prenose do krajiny alebo medzinárodnej organizácii nezaručujúcej primeranú úroveň ochrany je potrebné rozlišovať medzi nástrojmi, ktoré ponúka Nariadenie a nástrojmi, ktoré ponúka smernica 2016/680.

6.2.2.1Prenos podľa Nariadenia

Pokiaľ EK nevydala rozhodnutie o primeranosti, prípadne rozhodnutie o primeranosti zrušila, prevádzkovateľ alebo sprostredkovateľ môže na prenos využiť ešte tieto inštitúty:

a)právne záväzný a vykonateľný nástroj medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi

V hodnotenom období nebol prijatý takýto nástroj.

b)záväzné vnútropodnikové pravidlá

V hodnotenom období neboli prijaté úradom žiadne záväzné vnútropodnikové pravidlá podľa Nariadenia.

c)štandardné doložky o ochrane údajov, ktoré prijala EK

V hodnotenom období boli prijaté štandardné doložky podľa Nariadenia, –

Vykonávacie

rozhodnutie Komisie (EÚ) 2021/914 zo 4. júna 2021 o štandardných zmluvných doložkách pre

prenos osobných údajov do tretích krajín podľa nariadenia Európskeho parlamentu a Rady (EÚ)

2016/679 (Text s významom pre EHP)

– ktoré pokrývajú prenos v týchto situáciách:

•prevádzkovateľ v EÚ – prevádzkovateľ v tretej krajine

•prevádzkovateľ v EÚ – sprostredkovateľ v tretej krajine

•sprostredkovateľ v EÚ – sprostredkovateľ v tretej krajine

•sprostredkovateľ v EÚ – prevádzkovateľ v tretej krajine.

d)Štandardné doložky o ochrane údajov, ktoré prijal dozorný orgán

V hodnotenom období neboli úradom prijaté žiadne štandardné doložky podľa Nariadenia.

e)schválený kódex správania

V hodnotenom období neboli schválené úradom žiadne kódexy.

f)schválený certifikačný mechanizmus

V hodnotenom období neboli schválené úradom žiadne certifikačné mechanizmy.

g)zmluvné doložky

V hodnotenom období neboli schválené úradom žiadne zmluvné doložky.

h)ustanovenia, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb

V hodnotenom období neboli schválené úradom žiadne administratívne dojednania.

i)výnimky pre osobitné situácie podľa čl. 49 Nariadenia

j)ojedinelý prenos osobných údajov podľa čl. 49 ods. 1 druhý pododsek

6.2.2.2Prenos podľa smernice 2016/680

Ak neexistuje rozhodnutie o primeranosti, členské štáty stanovia, že sa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže uskutočniť za pomoci týchto nástrojov:

a)právne záväzný akt poskytujúci primerané záruky ochrany osobných údajov, alebo

b)prevádzkovateľ posúdil všetky okolnosti prenosu osobných údajov a dospel k záveru, že existujú primerané záruky ochrany osobných údajov,

c)výnimky pre osobitné situácie podľa § 76 zákona,

d)prenos príjemcom z tretej krajiny podľa § 77 zákona.

7KONTROLY

Kontroly spracúvania osobných údajov realizované z pozície úradu v postavení dozorného orgánu sú zameriavané na prevádzkovateľov a sprostredkovateľov, ktorí sú pri spracúvaní osobných údajov povinní dodržiavať zásady ustanovené Nariadením a zákonom, ako aj na práva, právom chránené záujmy a slobody dotknutých osôb, ktorých osobné údaje sú predmetom spracúvania.

Výsledky kontrol vykonávaných povereným kontrolným orgánom sú formulované v zázname o kontrole (ak nebolo zistené žiadne porušenie povinností pri spracúvaní osobných údajov) alebo v protokole o kontrole (ak boli zistené rozpory s požiadavkami všeobecne záväzných právnych predpisov). Výsledky kontrol formulované v protokole o kontrole iniciujú začatie konania o ochrane osobných údajov alebo sú využité ako podklad pre vydanie rozhodnutia v už prebiehajúcich konaniach o ochrane osobných údajov.

V roku 2021 (ďalej aj „hodnotené obdobie“) bola kontrolná činnosť úradu výrazne ovplyvňovaná nepriaznivými podmienkami vyplývajúcimi z aktuálnej pandemickej situácie, a to priamo (v záujme ochrany života a zdravia fyzických osôb reprezentujúcich subjekty spracúvajúce osobné údaje, ako aj v záujme ochrany života a zdravia zamestnancov úradu) i nepriamo (uzávery ubytovacích a reštauračných zariadení, zamestnávateľmi aplikovaný režim práce z domácnosti, a podobne).

7.1Kontroly evidované v roku 2021

V priebehu roku 2021 úrad zaevidoval 59 nových kontrol spracúvania osobných údajov. Z uvedeného počtu bolo v tom istom roku ukončených 18 kontrol a 41 kontrol (v rôznom procesnom štádiu kontroly) bolo prenesených do roku 2022.

Z celkového počtu 59 kontrol bolo v roku 2021 evidovaných 10 kontrol na základe plánu kontrol, 42 kontrol v rámci konaní o ochrane osobných údajov a 7 kontrol na základe podozrení z porušenia povinností pri spracúvaní osobných údajov.

Štruktúra podnetov na kontroly evidované v roku 2021:

Na základe plánu kontrol

V rámci konania

Na základe podozrenia

Počet kontrol

7.2Kontroly ukončené v roku 2021

V období od 01.01.2021 do 31.12.2021 bolo ukončených 61 kontrol, z ktorých 19 bolo začatých (oznámených kontrolovanej osobe) v roku 2021 a 42 v predchádzajúcom období. Z celkového počtu (61) kontrol ukončených v roku 2021 bolo 26 kontrol ukončených protokolom o kontrole (prípady, v ktorých bolo zistené porušenie povinností pri spracúvaní osobných údajov) a 35 kontrol záznamom o kontrole (prípady, v ktorých porušenie povinností pri spracúvaní osobných

údajov zistené nebolo).

Štruktúra výsledkov kontrol ukončených v roku 2021:

Počet kontrol

Ukončené protokolom

Ukončené záznamom

Kontroly začaté do 31.12.2020

Kontroly začaté v roku 2021

Spolu

Z celkového počtu (61) kontrol ukončených v roku 2021 boli kontrolovanou osobou v 24 prípadoch fyzické osoby, vo zvyšných 37 prípadoch iné než fyzické osoby:

fyzická osoba, 24, 39%

iná než fyzická osoba, 37, 61%

Kontrolovaná osoba

Z celkového počtu (61) kontrol ukončených v roku 2021 bolo 38 kontrol zameraných výhradne na kamerové systémy:

zameranie na kamerový systém, 38, 62%

iné zameranie, 23, 38%

Zameranie kontroly

Kontroly spracúvania osobných údajov ukončené v hodnotenom období boli vykonávané v rámci konania o ochrane osobných údajov, na základe plánu kontrol, ako aj na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených Nariadením alebo zákonom.

Pri kreácii plánu kontrol, ako aj pri kontrolách priebežne iniciovaných úradom na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov úrad čerpal najmä z vlastných skúseností získavaných pri plnení svojich úloh v oblasti dozoru. Ťažisko uvedených kontrol bolo zameriavané na reálny stav spracúvania osobných údajov s akcentom na súlad spracovateľských činností s požiadavkami právnej regulácie reprezentovanej najmä Nariadením a zákonom. Kontroly vykonávané v rámci konania o ochrane osobných údajov boli zameriavané najmä na skutočnosti uvedené v žiadosti správneho orgánu úradu.

Štruktúra podnetov na kontroly ukončené v roku 2021:

Na základe plánu kontrol

V rámci konania

Na základe podozenia

Počet kontrol

Predmetom 61 kontrol ukončených v roku 2021 boli v 10 prípadoch spracovateľské činnosti štátnych orgánov a organizácií, v 4 prípadoch spracovateľské činnosti zdravotníckych zariadení, v 4 prípadoch spracovateľské činnosti orgánov územnej samosprávy (mestá a obce), v 3 prípadoch spracovateľské činnosti bánk, v 2 prípadoch spracovateľské činnosti mobilných operátorov a vo zvyšných 14 prípadoch spracovateľské činnosti iných právnických osôb. V roku 2021 boli kontroly spracúvania osobných údajov zamerané aj na spracovateľské činnosti 24 fyzických osôb.

V rámci 61 kontrol ukončených v roku 2021 nebolo v 35 prípadoch zistené porušenie Nariadenia alebo zákona, v dôsledku čoho boli tieto kontroly ukončené záznamom o kontrole. Výkonom zvyšných 26 kontrol boli zistené rozpory s požiadavkami Nariadenia, v dôsledku čoho boli tieto kontroly ukončené protokolom o kontrole.

Štruktúra kontrolovaných osôb a výsledkov 61 kontrol ukončených v roku 2021:

Kontrolované osoby

Zistené nedostatky

(protokol o kontrole)

Bez zistených nedostatkov

(záznam o kontrole)

štátne orgány a organizácie

orgány územnej samosprávy

Banky

mobilní operátori

zdravotnícke zariadenia

iné právnické osoby

fyzické osoby

Spolu

Kontroly vykonávané v rámci konania o ochrane osobných údajov boli zameriavané najmä na skutočnosti uvedené v žiadosti správneho orgánu úradu.

V rámci 26 kontrol, ktoré boli v roku 2021 ukončené protokolom o kontrole, boli zistené porušenia nasledujúcich ustanovení Nariadenia:

článok 5/1/d

článok 7

článok 9

článok 14

článok 15

článok 29

článok 30

článok 37

článok 28

článok 12

článok 35

článok 6

článok 32

článok 5/1/f

článok 5/2

článok 5/1/e

článok 5/1/c

článok 13

článok 5/1/a

Z grafického prehľadu o zistených porušeniach ustanovení Nariadenia je zrejmé, že najčastejšie (viac než 5x) bolo v protokoloch o kontrole konštatované nedodržanie zásad spracúvania osobných údajov a nesprávne, neúplné alebo žiadne poskytovanie informácií dotknutým osobám pri získavaní ich osobných údajov.

7.3Výber z kontrol ukončených v roku 2021

7.3.1Kontroly spracúvania osobných údajov v informačných systémoch, pomocou ktorých sa zabezpečuje praktické vykonávanie schengenského „acquis“

Do plánu kontrol úrad pravidelne zaraďuje kontroly spracúvania osobných údajov v informačných systémoch, pomocou ktorých sa zabezpečuje praktické vykonávanie schengenského „acquis“ príslušnými orgánmi na území Slovenskej republiky, ako aj zastupiteľskými úradmi Slovenskej republiky v zahraničí. V roku 2021 boli ukončené 4 kontroly začaté v roku 2020 (Národná ústredňa Europol, Kriminalistický a expertízny ústav Policajného zboru, hraničný priechod a výpočtové stredisko Ministerstva vnútra) a 2 kontroly začaté v roku 2021 (obvodné oddelenie Policajného zboru a Kriminalistický a expertízny ústav Policajného zboru). Všetky kontroly boli ukončené záznamom o kontrole, nedostatky neboli zistené.

7.3.2Spracúvanie osobných údajov lekárňou

V súvislosti s oznámeným porušením ochrany osobných údajov bola vykonaná kontrola zameraná na zdravotnícke zariadenie poskytujúce lekárenskú starostlivosť. Bezpečnostný incident sa odvíjal od krádeže vlámaním, ku ktorej došlo v nočných hodinách v priestoroch lekárne prevádzkovanej kontrolovanou osobou. Okrem finančnej hotovosti uloženej v mincovníkoch registračných pokladníc boli odcudzené aj elektronické preukazy zdravotníckych pracovníkov niekoľkých zamestnancov kontrolovanej osoby a papierové lístky obsahujúce mená, priezviská a rodné čísla zákazníkov. Vo vzťahu k odcudzeným elektronickým preukazom zdravotníckych pracovníkov určeným na identifikáciu a autorizáciu pri vstupe do systému elektronického zdravotníctva (eZdravie) a na elektronické podpisovanie dokumentov kontrolovaná osoba bezodkladne požiadala Národné centrum zdravotníckych informácií o zablokovanie odcudzených a vydanie nových preukazov. Odcudzené lístky s menami, priezviskami a rodnými číslami zákazníkov mali vyhotoviť dvaja zamestnanci kontrolovanej osoby na účel zjednodušenia výberu liekov predpísaných ich rodinným príslušníkom. Kontrolný orgán na základe informácií a dôkazov získaných v priebehu kontroly konštatoval, že kontrolovaná osoba neprijala primerané bezpečnostné opatrenia zodpovedajúce existujúcim rizikám, najmä technické opatrenia na zabezpečenie budovy a organizačné opatrenia spočívajúce v poučení zamestnancov oprávnených spracúvať osobné údaje dotknutých osôb (pacientov). Predmetnou kontrolou zistené nedostatky boli následne premietnuté do protokolu o kontrole.

7.3.3Spracúvanie osobných údajov stanicou technickej kontroly

Kontrola vykonaná na základe plánu kontrol bola zameraná na spracúvanie osobných údajov stanicou technickej kontroly (STK) pri overovaní technickej spôsobilosti vozidiel na prevádzku v cestnej premávke, tzn. v súvislosti s výkonom technickej kontroly. Osobné údaje držiteľov motorových vozidiel na účely dohodnutia termínu vykonania technickej kontroly (tzv. predzmluvné vzťahy) získava STK prostredníctvom online formulára zverejneného na svojom webovom sídle a to v rozsahu: meno a priezvisko žiadateľa, evidenčné číslo vozidla, telefonický a e-mailový kontakt. Pri samotnom výkone technickej kontroly spracúva (získava) osobné údaje odborne spôsobilá osoba – technik, ktorému je technická kontrola vozidla pridelená. Celkové podmienky vykonávania technických kontrol, vrátane stanoveného rozsahu spracúvaných osobných údajov a to aj prostredníctvom monitorovacích záznamových zariadení (kamerových systémov), ktorými sú monitorované kontrolné linky STK, upravuje zákon o prevádzke vozidiel v cestnej premávke. Uvedený zákon určuje aj podmienky prevádzky celoštátneho informačného systému technických kontrol, ktorý je prevádzkovaný poverenou službou technickej kontroly podľa § 70 ods. 4 tohto zákona. Oprávnení technici STK zaznamenávajú výkon technickej kontroly do celoštátneho informačného systému vytvorením

elektronického protokolu pre každú technickú kontrolu. Pri kontrole úrad kládol dôraz na poskytovanie transparentných informácií dotknutým osobám, rozsah spracúvaných osobných údajov, bezpečnosť spracúvania a prítomnosť ďalšieho subjektu podieľajúceho sa na spracúvaní osobných údajov. V záujme dodržiavania zásad spracúvania osobných údajov je povinnosťou prevádzkovateľa jasne a transparentne informovať dotknutú osobu o spracovateľských operáciách a dôvodoch, ktoré prevádzkovateľa oprávňujú konkrétne spracovateľské operácie vykonať. Kontrolovaná osoba poskytovala dotknutým osobám informácie zmätočne, pričom do informácií začlenila aj súhlasy dotknutých osôb, ktoré neboli na spracúvanie potrebné a súčasne nespĺňali podmienky slobodne udeleného súhlasu. Kontrolovaná osoba okrem zákonom určeného monitorovacieho zariadenia so záznamom mala inštalovaný vlastný kamerový systém, ktorý prevádzkovala na účely oprávnených záujmov bez toho, aby pred jeho spustením vykonala tzv. test proporcionality. Prevádzkou uvedeného kamerového systému bez vopred vykonaného testu proporcionality kontrolovaná osoba postupovala v rozpore so zásadou zákonnosti podľa článku 5 ods. 1 písm. a) Nariadenia. Kontrolou boli zistené tiež nedostatky pri stanovení lehoty uchovávania kamerových záznamov, nakoľko kontrolovaná osoba stanovila neprimerane dlhú 10 dňovú lehotu ich uchovávania, čím sa dostala do rozporu so zásadou minimalizácie uchovávania údajov podľa článku 5 ods. 1 písm. c) Nariadenia. Pri hodnotení úrovne bezpečnosti bolo zistené, že kontrolovaná osoba nemala vypracované záznamy o spracovateľských činnostiach. Kontrolou boli zistené aj terminologické nepresnosti v zmluvách o spracúvaní osobných údajov, ktoré neboli spôsobené kontrolovanou osobou, nakoľko predmetné zmluvy vyhotovuje prevádzkovateľ celoštátneho informačného systému pre všetky STK. Kontrola bola ukončená protokolom o kontrole.

7.3.4Spracúvanie osobných údajov zdravotníckym zariadením

Na základe oznámenia dotknutej osoby, ktorej bola v minulosti zo strany kontrolovaného zdravotníckeho zariadenia poskytovaná zdravotná starostlivosť, sa úrad zaoberal podozrením, že osobné údaje tejto dotknutej osoby neboli spracúvané v súlade so zásadou integrity a dôvernosti podľa článku 5 ods. 1 písm. f) Nariadenia, nakoľko malo dôjsť k strate časti zdravotnej dokumentácie. Zodpovednosť za bezpečné uchovávanie zdravotnej dokumentácie vyplýva poskytovateľovi zdravotnej starostlivosti zo zákona o zdravotnej starostlivosti a ako prevádzkovateľovi spracúvajúcemu osobné údaje týkajúce sa zdravia pacientov aj z Nariadenia. Na vykonanie kontroly, v rámci ktorej by bolo možné oboznamovať sa s údajmi o zdraví dotknutej osoby v súvislosti s preverovaním straty časti jej zdravotnej dokumentácie, bolo potrebné disponovať písomným súhlasom tejto dotknutej osoby. Pri kontrole bol využitý aj inštitút súčinnosti, v rámci ktorého poskytli orgány činné v trestnom konaní znalecké posudky, ktoré sa okrem iného vyjadrovali aj k skutočnosti, či je zdravotná dokumentácia týkajúca sa zdravotného výkonu poskytnutého v kontrolovanom zdravotníckom zariadení úplná. Kontrola sa zaoberala výlučne vedením zdravotnej dokumentácie ako neoddeliteľnej súčasti poskytovania zdravotnej starostlivosti v zmysle jej uchovávania, ktorú kontrolovaná osoba ako poskytovateľ zdravotnej starostlivosti mala povinnosť uchovávať 20 rokov od posledného poskytnutia zdravotnej starostlivosti. Kontrolou bol v súvislosti so spracúvaním osobných údajov v zdravotnej dokumentácii minimálne u jednej osoby zistený rozpor so zásadou integrity a dôvernosti, nakoľko súbor osobných údajov tvoriaci zdravotnú dokumentáciu dotknutej osoby nebol spracúvaný spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením a to prostredníctvom primeraných technických a organizačných opatrení. Kontrolou boli zistené aj ďalšie nedostatky v súvislosti s povinnosťou kontrolovanej osoby vykonať posúdene vplyvu na ochranu osobných údajov, keď kontrolovaná osoba neposudzovala nutnosť a primeranosť spracovateľských operácií vo vzťahu k účelu a nezaoberala sa posúdením rizík pre práva a slobody dotknutých osôb, čo do značnej miery súviselo so slabou úrovňou reakcie kontrolovanej osoby na novú legislatívu platnú pre oblasť ochrany osobných údajov. Kontrolovaná osoba vo vzťahu

k informáciám poskytovaným dotknutým osobám prostredníctvom svojho webového sídla súčasne neposkytovala úplné, jasné a zrozumiteľné informácie, keďže neuviedla informáciu o účele (poskytovanie zdravotnej starostlivosti ako základná činnosť zdravotníckeho zariadenia) a právnom základe spracúvania osobných údajov (spracúvanie osobných údajov vyplýva poskytovateľovi zdravotnej starostlivosti zo zákona). Predmetnou kontrolou zistené nedostatky boli následne premietnuté do protokolu o kontrole.

7.3.5Spracúvanie osobných údajov kamerovým systémom mesta

Kontrola kamerového systému mesta iniciovaná podozrením z porušovania povinností pri spracúvaní osobných údajov bola zameraná na povinnosti prevádzkovateľa pri monitorovaní priestorov prístupných verejnosti. Výkonom kontroly bolo zistené, že prevádzkovateľ pri spracúvaní osobných údajov dotknutých osôb na účel ochrany majetku a zaistenia bezpečnosti občanov a návštevníkov mesta postupoval v rozpore so zásadou minimalizácie uchovávania podľa článku 5 ods. 1 písm. e) Nariadenia tým, že uchovával osobné údaje dotknutých osôb po dobu dlhšiu ako bola doba nevyhnutná na dosiahnutie sledovaného účelu. Kontrolou bolo ďalej zistené, že prevádzkovateľ postupoval v rozpore so zásadou minimalizácie údajov podľa článku 5 ods. 1 písm. c) Nariadenia tým, že niektorými kamerami monitoroval priestor nad rozsah nevyhnutný na dosiahnutie účelu spracúvania. Vo vzťahu k informáciám poskytovaným dotknutým osobám pri získavaní ich osobných údajov bol kontrolným orgánom konštatovaný súlad s požiadavkami Nariadenia. Nedostatky zistené v priebehu kontroly boli následne premietnuté do protokolu o kontrole.

7.3.6Spracúvanie osobných údajov na účely vydania rezidentských parkovacích kariet

Na základe podozrenia z porušovania povinností pri spracúvaní osobných údajov úrad vykonal kontrolu spracovateľských činností prevádzkovateľa povereného prevádzkovaním parkovacích plôch mesta (mestskej časti). V priebehu kontroly bolo zistené, že kontrolovaná osoba na základe žiadosti vydáva osobám s trvalým pobytom v mestskej časti tzv. rezidentské parkovacie karty (RPK), pričom na účel vydania RPK vyžaduje od dotknutých osôb (žiadateľov) osobné údaje v rozsahu: meno, priezvisko, adresa trvalého bydliska, číslo bytu, telefonický kontakt, e-mail a evidenčné číslo vozidla, na ktoré žiadateľ požaduje vydanie RPK. Spolu so žiadosťou o vydanie RPK kontrolovaná osoba vyžaduje zaslať kópiu Osvedčenia o evidencii vozidla (časť I.), doklad preukazujúci vzťah žiadateľa k bytu (list vlastníctva, nájomná zmluva alebo iný doklad) a potvrdenie o trvalom pobyte vydané príslušnou mestskou časťou (v prípade prvej žiadosti alebo zmeny trvalého pobytu). V minulosti vyžadovala kontrolovaná osoba od žiadateľa aj zaslanie fotokópie preukazu totožnosti. Kontrolný orgán na základe informácií a dôkazov získaných v priebehu kontroly konštatoval, že kontrolovaná osoba dostala do rozporu so zásadou minimalizácie osobných údajov podľa článku 5 ods. 1 písm. c) Nariadenia, nakoľko mala údaje o trvalom pobyte a čísle bytu overovať prostredníctvom príslušnej mestskej časti (zmluvný záväzok mestskej časti) a len v prípade, ak mestská časť niektorým údajom nedisponuje, by mala na účely prevencie pred zneužívaním RPK od dotknutej osoby požadovať doklad preukazujúci vzťah žiadateľa k bytu. Výkonom kontroly bolo súčasne zistené porušenie článku 14 Nariadenia tým, že kontrolovaná osoba neinformovala dotknuté osoby o získavaní osobných údajov z informačných systémov príslušnej mestskej časti. Kontrola bola ukončená protokolom o kontrole.

7.3.7Monitorovanie stolov v zariadení rýchleho občerstvenia

Kontrolou spracovateľských činností subjektu podnikajúceho v oblasti poskytovania služieb rýchleho občerstvenia, ktorú úrad vykonal na základe podnetu dotknutej osoby, bolo zistené nežiaduce monitorovanie stolov, pri ktorých zákazníci konzumovali jedlá a nápoje. Kontrolný

orgán konštatoval, že zistená skutočnosť koliduje so zásadou minimalizácie údajov podľa článku 5 ods. 1 písm. c) Nariadenia. Kontrolovaná osoba súčasne nepreukázala, že monitorovanie je nevyhnutné na účely jej oprávnených záujmov kontrolovanej osoby, resp. nepreukázala, že jej oprávnené záujmy pri takomto spracúvaní prevažujú nad záujmami alebo základnými právami a slobodami dotknutých osôb (zákazníkov). Vzhľadom na zistené nedostatky pri spracúvaní osobných údajov kontrolovanou osobou bola kontrola ukončená protokolom o kontrole.

7.3.8Monitorovanie verejne prístupných priestorov štátnou inštitúciou

Kontrola bola vykonaná na základe podnetu poukazujúceho na kamerový systém prevádzkovaný ústredným orgánom štátnej správy. Kontrolou bolo zistené, že spracúvanie osobných údajov kamerovým systémom je v konkrétnom prípade zamerané na ochranu majetku štátu v správe kontrolovanej osoby a na ochranu života, zdravia a bezpečnosti zamestnancov a návštevníkov, resp. je kontrolovanou považované za nevyhnutné na účely oprávnených záujmov, ktoré kontrolovaná osoba sleduje. Nevyhnutnosťou spracúvania osobných údajov a podmienkou prevahy svojich záujmov nad záujmami alebo základnými právami a slobodami dotknutej osoby sa kontrolovaná osoba zaoberala v teste proporcionality, kde identifikovala svoj oprávnený záujem, posúdila jeho legitímnosť, nevyhnutnosť a vhodnosť, a následne posúdila jeho proporcionalitu vo vzťahu k základným právam a slobodám dotknutých osôb. Zdôvodnenia uvedené v teste proporcionality úrad akceptoval ako dostatočné. Prostredníctvom kamerového systému bol monitorovaný vstupný priestor do objektu kontrolovanej osoby a bezprostredné okolie budovy (parkovisko a vjazd pre vozidlá). Kontrolovaná osoba mala nastavenú lehotu uchovávania osobných údajov kamerovým systémom na 72 hodín a záznamy zo všetkých kamier boli následne premazávané. Pri kontrole boli preverené aj zábery jednotlivých kamier - v prípade kamery monitorujúcej vjazd pre vozidlá bolo kontrolou zistené, že kontrolovaná osoba okrem svojho vjazdu pre vozidlá monitoruje aj časť verejného chodníka, teda priestor, ktorého monitorovanie nie je nevyhnutné na naplnenie stanoveného účelu spracúvania osobných údajov. Na základe zisteného rozporu so zásadou minimalizácie údajov podľa článku 5 ods. 1 písm. c) Nariadenia bola kontrola ukončená protokolom o kontrole.

7.4Závery

Napriek priebežne modifikovaným zákazom a obmedzeniam súvisiacim s pandémiou ochorenia COVID-19 bola v hodnotenom období udržaná štandardná úroveň kontrolnej činnosti úradu. Identifikovaná však bola zvyšujúca sa zaťaženosť kontrolami kamerových systémov, ktoré sú vo významnej miere prevádzkované fyzickými osobami – jednotlivcami v ich obydliach, pričom ochrana práv monitorovaných dotknutých osôb sa v týchto prípadoch neraz prelína so susedskými či inými spormi.

8KONANIE O OCHRANE OSOBNÝCH ÚDAJOV

Účelom konania o ochrane osobných údajov je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu ustanovení Nariadenia, prípadne zákona, a v prípade zistenia nedostatkov, ak je to dôvodné a účelné, uložiť opatrenia na nápravu, prípadne pokutu. Na konanie o ochrane osobných údajov sa vzťahujú ustanovenia správneho poriadku.

Ak nie je daná kompetencia úradu na konanie a rozhodnutie vo veci má úrad povinnosť podanie postúpiť príslušnému správnemu orgánu. V sledovanom období postúpil úrad celkovo 49 podaní inému, vecne príslušnému správnemu orgánu na konanie a rozhodnutie.

Právne predpisy v oblasti ochrany osobných údajov umožňujú úradu podanie v taxatívne stanovených prípadoch odložiť. K odloženiu podania musel úrad pristúpiť v prípade jeho neopodstatnenosti, v prípade, ak vec, ktorej sa podanie týkalo prejednával orgán činný v trestnom konaní, v prípade, ak podávateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nebolo možné vec vybaviť a v prípade, ak od udalosti, ktorej sa podanie týkalo, uplynul v deň jeho doručenia čas dlhší ako tri roky. Najčastejším dôvodom odloženia bola neopodstatnenosť podania, keď už z dôkazov predložených najmä dotknutou osobou bolo zrejmé, že k porušeniu právnych predpisov v oblasti ochrany osobných údajov nedošlo. V sledovanom období bolo celkovo odložených 306 podaní.

Úrad, v rámci dozornej činnosti, vedie konanie o ochrane osobných údajov s cieľom ochrany práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov, pričom v ňom taktiež skúma dodržiavanie povinností stanovených Nariadením a zákonom. Ak zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov, rozhodnutím, ak je to dôvodné a účelné, uloží prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie nedostatkov a príčin ich vzniku, prípadne mu v závislosti najmä od závažnosti zisteného porušenia uloží pokutu. V opačnom prípade konanie o ochrane osobných údajov zastaví.

Konanie o ochrane osobných údajov sa začína na návrh navrhovateľa alebo z vlastnej iniciatívy úradu. Konanie z vlastnej iniciatívy úradu sa začína na základe podnetu, na základe výsledkov kontroly, ktorou boli zistené nedostatky alebo na základe zistenia úradu z vlastnej činnosti o podozrení z porušenia právnych predpisov v oblasti ochrany osobných údajov, ako konanie začaté bez návrhu.

V sledovanom období začal úrad celkovo 218 správnych konaní, z ktorých 135 bolo začatých na návrh dotknutej osoby, 43 začatých na základe podnetu, 19 začatých na základe výsledkov kontroly, ktorou boli zistené nedostatky a 21 konaní viedol úrad z vlastnej iniciatívy na základe podozrenia z porušenia právnych predpisov v oblasti ochrany osobných údajov.

Prehľad spôsobov začatia konania v rámci sledovaného obdobia

Rok

Na základe

návrhu

Na základe

podnetu

Na základe

výsledkov kontroly

Z vlastnej

iniciatívy úradu

2021

135

Rozhodnutie úradu, ako správneho orgánu v prvom stupni v konaní o ochrane osobných údajov, vychádza zo spoľahlivo zisteného stavu veci. Na tento účel je úrad v konaní o ochrane osobných údajov oprávnený požadovať súčinnosť od kohokoľvek, pričom v hodnotenom období úrad žiadal

o súčinnosť celkovo 967 krát. V konaní o ochrane osobných údajov sa vyskytli dva prípady kedy subjekt, od ktorého bola žiadaná súčinnosť na ňu nereagoval a úradu ani po vyzvaní na splnenie si povinnosti súčinnosť neposkytol (v daných prípadoch bolo voči subjektom iniciované konanie o pokute prípadne o poriadkovej pokute).

V súvislosti so zvyšovaním povedomia ochrany osobných údajov u verejnosti sa o prípady, resp. výsledky konaní zaujímali častokrát taktiež média. Inštitút právneho zastúpenia bol v hodnotenom období využitý v značnom počte prípadov, pričom výnimkou neboli ani prípady, kedy všetci účastníci konania boli zastúpení právnymi zástupcami.

Najčastejším predmetom konania o ochrane osobných údajov bolo preskúmanie, či spracúvaním osobných údajov dotknutých osôb v informačnom systéme, súčasťou ktorého boli kamery, nedochádzalo k porušovaniu právnych predpisov v oblasti ochrany osobných údajov.

Medzi najčastejšie porušenia patrilo spracúvanie osobných údajov v rozpore so zásadou zákonnosti, kedy dochádzalo k spracúvaniu osobných údajov bez právneho základu, resp. v rozpore s právnym základom a spracúvanie v rozpore so zásadou integrity a dôvernosti, čo súviselo s neprijatím primeraných bezpečnostných opatrení.

9MECHANIZMUS SPOLUPRÁCE A KONZISTENSTNOSTI

Fungovanie vnútorného trhu si vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný, a to ani z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov, čo sa odzrkadľuje aj v ustanovení čl. 1 ods. 3 Nariadenia. Na uvedené Nariadenie reaguje zavedením mechanizmov spolupráce a konzistentnosti, aby bola zaručená konzistentná a obdobne vysoká úroveň ochrany osobných údajov v každom členskom štáte bez ohľadu na miesto bydliska dotknutej osoby.

9.1Mechanizmus spolupráce

Nariadenie upravuje spoluprácu medzi dozornými orgánmi navzájom, či už potreba vzájomnej spolupráce vznikne v rámci vyšetrovania konkrétneho podozrenia z porušenia ochrany osobných údajov alebo v rámci inej činnosti dozorného orgánu (napr. riešenie právnych otázok, poskytovanie konzultácií). Vzhľadom na to, že pravidlá spolupráce sú upravené priamo v Nariadení, nevyžaduje sa žiadne uzatváranie ďalších osobitných dohôd medzi členskými štátmi na tento účel.

9.1.1Cezhraničné spracúvanie

V zmysle čl. 55 Nariadenia každý dozorný orgán plní úlohy a vykonáva právomoci zverejnené Nariadením na území svojho štátu. Nariadenie však osobitne upravuje aj postup a príslušnosť v konaní pre cezhraničné spracúvanie osobných údajov. Cezhraničné spracúvanie je v zmysle čl. 4 bod 23 Nariadenia a) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo b) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte.

Nariadenie upravuje spoluprácu medzi dozornými orgánmi predovšetkým v súvislosti s mechanizmom jednotného kontaktného miesta (tzv. one-stop-shop) upraveného v čl. 56 ods. 1 Nariadenia, v zmysle ktorého je dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa oprávnený konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa, resp. sprostredkovateľa. Podľa čl. 56 ods. 2 Nariadenia, je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením Nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte. V súlade s čl. 4 bod 22 Nariadenia ostatné dozorné orgány budú pre toto spracúvanie v pozícií dotknutých dozorných orgánov, ak a) prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu; b) dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo c) sťažnosť sa podala na tento dozorný orgán.

Určovanie vedúceho dozorného orgánu a dotknutých orgánov sa uskutočňuje v systéme IMI (Internal Market Informational System - Informačný systém o vnútornom trhu), v rámci ktorého prebieha medzi jednotlivými dozornými orgánmi výmena informácií o konkrétnom spracúvaní a konkrétnom podozrení z porušenia ochrany osobných údajov, resp. pokiaľ sa vyšetrovanie začalo na základe sťažnosti dotknutej osoby, tak aj o obsahu tejto konkrétnej sťažnosti. Výmena informácií prebieha v anglickom jazyku.

V sledovanom období bolo úradu doručených v systéme IMI 1071 notifikácií ohľadom určovania vedúceho a dotknutého dozorného orgánu. Na základe starostlivého posúdenia každej jednej veci úrad vyhodnotil, že je dotknutým dozorným orgánom v 184 prípadoch; najčastejšie z dôvodov, že predmetné spracúvanie osobných údajov podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby s pobytom na území Slovenskej republiky. Najčastejšie išlo o prevádzkovateľov sociálnych sietí, rôzne letecké spoločnosti, prevádzkovateľov poskytujúcich online hry, rôzne e-shopy, atď. V niektorých prípadoch bol úrad dotknutý aj z dôvodu, že prevádzkovateľ alebo sprostredkovateľ je usadený na území Slovenskej republiky, tzn. na území Slovenskej republiky má jednu alebo viac prevádzkarní. Pokiaľ úrad vyhodnotil, že je dotknutým dozorným orgánom, označil to v systéme IMI a prípad ďalej sledoval. V súlade s čl. 60 Nariadenia úrad mal podľa potreby možnosť vyjadrovať sa k žiadostiam vedúceho dozorného orgánu, k jeho postupu a k výsledkom vyšetrovania a tiež pripomienkovať návrhy rozhodnutí. Ak je úrad dotknutým dozorným orgánom z dôvodu, že mu bola doručená sťažnosť, úrad vystupuje ako kontaktný bod pre dotknutú osobu a oznamuje jej rozhodnutie vedúceho dozorného orgánu.

Úradu bolo v sledovanom období doručených celkovo 31 podaní obsahujúcich prvky cezhraničného spracúvania a 13 oznámení o porušení ochrany osobných údajov, tzv. data breach. Tieto podania boli doručené buď od zahraničných osôb, alebo smerovali voči zahraničným prevádzkovateľom, medzi inými napríklad aj voči prevádzkovateľom usídleným v Belgicku, Rakúsku, Českej republike alebo Írsku. Úrad v rámci každého doručeného podania najprv preskúmal (tzv. predbežné preskúmanie sťažnosti), či predmet podania spĺňa náležitosti návrhu, resp. podnetu podľa § 100 ods. 3 zákona č. 18/2018 Z. z. a takisto či spĺňa podmienky cezhraničného spracúvania podľa čl. 4 bod 23 Nariadenia, resp. či bola splnená definícia podľa čl. 56 ods. 2 Nariadenia. Úrad v predmetných podaniach zisťoval aj svoju vecnú pôsobnosť, pričom 6 podaní úrad postúpil na vybavenie inému správnemu orgánu. Pokiaľ predmet podania zakladal dôvodné podozrenie z porušenia ochrany osobných údajov, úrad uvádzané tvrdenia preveroval aj v spolupráci s dozorným orgánom toho členského štátu, na území ktorého mal prevádzkovateľ hlavnú alebo jedinú prevádzkareň. V 8 prípadoch úrad doručené podania predložil do systému IMI a ďalej ich riešil v spolupráci s dozornými orgánmi, ktorí boli pre dané spracúvanie vedúcim dozorným orgánom. Úrad uvedené sťažnosti postúpil prostredníctvom systému IMI dozornému orgánu Belgicka, Rakúska, dve sťažnosti postúpil do Českej republiky, a štyri sťažnosti úrad postúpil írskemu dozornému orgánu. Úrad bol v sledovanom období označený ako vedúci dozorný orgán v 3 prípadoch, to na základe miesta hlavného sídla prevádzkovateľa, pričom tieto sťažnosti boli úradu postúpené prostredníctvom systému IMI dozornými orgánmi Maďarska, Litvy a Španielska.

9.1.2Vzájomná pomoc

Úrad spolupracuje s inými dozornými orgánmi aj mimo mechanizmu one-stop-shop. Táto spolupráca prebieha taktiež v systéme IMI, ktorý umožňuje zasielanie konkrétnych žiadostí vybraným dozorným orgánom. Úrad však priebežne vybavuje aj emailové, resp. písomné žiadosti iných dozorných orgánov.

Za sledované obdobie úrad v systéme IMI prijal 67 žiadostí iných dozorných orgánov o spoluprácu v zmysle čl. 61 Nariadenia. V predmetných žiadostiach dozorné orgány žiadali úrad o jeho právny názor predovšetkým ohľadom výkladu ustanovení Nariadenia. Žiadosti sa týkali napr. právneho základu spracúvania osobných údajov, výkladu článkov Nariadenia, praktických skúseností a aplikácie vnútroštátnych právnych predpisov, spracúvania osobných údajov počas pandémie, monitorovania priestoru bezpečnostnými kamerami, spracúvania osobitnej kategórie osobných údajov, právneho základu pri využívaní kamier v súvislosti so zdravotnou starostlivosťou, spôsobov vybavovania sťažnosti, výkladu čl. 5 ods. 2 Nariadenia (zásada

zodpovednosti), a pod. Niektoré dozorné orgány týmto spôsobom úrad informovali o doručenom oznámení porušenia ochrany osobných údajov alebo využili tento spôsob na konzultáciu konkrétneho prípadu pred spustením one-stop-shop mechanizmu.

Za sledované obdobie úrad v systéme IMI zaslal 14 žiadostí o spoluprácu v zmysle čl. 61 Nariadenia. Žiadosti sa týkali informácií o konkrétnych cezhraničných prípadoch, konzultácií jednotlivých prípadov alebo právneho názoru ostatných dozorných orgánov ohľadom výkladu Nariadenia. Úrad sa ostatných dozorných orgánov napríklad pýtal na skúsenosti ostatných dozorných orgánov v súvislosti s preukazovaním negatívnych testov na ochorenie COVID-19 zamestnancov na pracovisku prevádzkovateľov, na kamery monitorujúce pracovné prostredie, na oznámenia porušenia ochrany osobných údajov. Úrad prostredníctvom systému IMI v zmysle čl. 61 Nariadenia zisťoval napríklad aj hlavné sídlo, resp. prevádzkareň jednotlivých prevádzkovateľov, voči ktorým bola podaná sťažnosť, a ktorí nemali sídlo na území Slovenskej republiky. Úrad na vzájomnú spoluprácu s inými dozornými orgánmi používal aj iné formy komunikácie ako systém IMI (email, písomná a telefonická komunikácia), pri ktorých využíval kontakty nadobudnuté počas svojej činnosti, medzi inými aj kontakty nadobudnuté v rámci členstva v expertných skupinách Výboru.

9.1.3Spoločné operácie dozorných orgánov

V rámci mechanizmu spolupráce sa v zmysle čl. 62 Nariadenia môžu vykonať aj spoločné operácie dozorných orgánov v rátane spoločných vyšetrovaní a spoločných opatrení v oblasti presadzovania. V sledovanom období úrad neinicioval ani neprijal žiadosť o vykonanie takýchto spoločných operácií dozorných orgánov.

9.2Mechanizmus konzistentnosti

Dôležitým atribútom Nariadenia je jeho konzistentné uplatňovanie. Aby sa dosiahol tento cieľ, Nariadenie upravuje mechanizmus konzistentnosti, ktorý možno chápať ako spoluprácu medzi dozornými orgánmi EHP, a v relevantných prípadoch aj s EK.

9.2.1Stanovisko EDPB

Účelom článku 64 Nariadenia je, aby EDPB vydal stanovisko v prípadoch, keď príslušný dozorný orgán plánuje prijať konkrétne opatrenia. Na tento účel by dozorný orgán mal EDPB oznámiť svoj návrh rozhodnutia. Nariadenie upravuje prípady, kedy je dozorný orgán povinný žiadať EDPB o stanovisko (čl. 64 ods. 1 Nariadenia) a kedy má možnosť požiadať o stanovisko (čl. 64 ods. 2 Nariadenia).

Úrad v sledovanom období požiadal EDPB o stanovisko podľa čl. 64 ods. 1 písm. c) Nariadenia zamerané

na schválenie kritérií pre akreditáciu monitorujúceho subjektu pre kódexy správania

podľa čl. 41 Nariadenia

. V stanovisku neboli úradu uložené žiadne odporúčania na nápravu.

9.2.2Riešenie sporov EDPB

Riešenie sporov EDPB umožňuje prijať záväzné rozhodnutie na zabezpečenie konzistentného uplatňovania Nariadenia v týchto prípadoch:

•Relevantná odôvodnená námietka bola vznesená dotknutým dozorným orgánom alebo zamietnutá vedúcim dozorným orgánom (čl. 60 Nariadenia);

•Nesúhlas s určením vedúceho dozorného orgánu (čl. 56 Nariadenia);

•Absencia konzultácie EDPB (čl. 64 Nariadenia);

•Dozorný orgán nepostupoval podľa stanoviska EDPB (čl. 64 Nariadenia).

V hodnotenom období EDPB neriešil žiaden spor týkajúci sa úradu.

9.2.3Postup pre naliehavé prípady

Článok 66 Nariadenia upravuje mechanizmus postupu pre naliehavé prípady. Vo výnimočných prípadoch, keď sa dotknutý dozorný orgán domnieva, že je naliehavé chrániť práva a slobody dotknutých osôb, môže prijať dočasné opatrenia s právnymi účinkami na svojom území. Platnosť týchto opatrení nesmie časovo prekročiť tri mesiace. V tomto prípade je dotknutý dozorný orgán povinný informovať ostatné dozorné orgány, EDPB a EK.

Ak sa dozorný orgán domnieva, že je potrebné urýchlene prijať konečné opatrenia, môže požiadať EDPB o naliehavé stanovisko alebo o naliehavé záväzné rozhodnutie. Každý dozorný orgán môže od EDPB žiadať naliehavé stanovisko alebo záväzné rozhodnutie v prípadoch, keď príslušný dozorný orgán neprijal vhodné opatrenie a existuje naliehavá potreba konať. V hodnotenom období úrad neaplikoval tento článok.

10SANKCIONOVANIE

Sankciami za porušenie Nariadenia a zákona sú pokuta a poriadková pokuta. Sankcie sú v daných právnych normách upravené fakultatívne, tzn. že nie každé zistené porušenie sa automaticky musí skončiť uložením sankcie. Úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého prípadu. Úrad pri rozhodovaní o uložení pokuty a určení jej výšky zohľadňuje najmä povahu, závažnosť a trvanie porušenia, počet dotknutých osôb, rozsah škody, ak vznikla, prípadné zavinenie porušenia ochrany osobných údajov a opatrenia, ktoré boli prijaté na zmiernenie škody, ktorú dotknuté osoby utrpeli. Úrad taktiež prihliada na predchádzajúce porušenia ochrany osobných údajov, mieru spolupráce s úradom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia, kategóriu osobných údajov, ktorých sa porušenie týka a na spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel.

Úrad v rámci schváleného rozpočtu na rok 2021 mal určený aj záväzný ukazovateľ príjmu, čo znamená, že na rok 2021 bola schválená suma vo výške 100 000 EUR.

Požadovaný záväzný ukazovateľ nebol v sledovanom roku splnený, úrad musel do štátneho rozpočtu k 31.12.2021 vrátiť rozdiel medzi plánovanou a skutočnou sumou záväzného ukazovateľa a to sumu 13 170,25 EUR.

Dávame do pozornosti, že úrad eviduje dve rozhodnutia v konaní o ochrane osobných údajov, ktorými bola uložená pokuta v sledovanom roku, pričom účastníci konania uhradili pokuty až v roku 2022. Jedná sa o pokuty vo výške 1 000,- a 40 000,- EUR.“

10.1 Pokuta

V sledovanom období úrad za porušenie právnych predpisov v oblasti ochrany osobných údajov právoplatne uložil 53 pokút v súhrnnej výške 110 900,- eur. V sledovanom období vybral úrad na pokutách celkovo 89 289,10 eur. Priemerná pokuta bola vo výške 2 092,- eur. Najnižšiu pokutu vo výške 100,- eur úrad uložil fyzickej osobe, ktorá v postavení prevádzkovateľa neoprávnene spracúvala osobné údaje dotknutých osôb prostredníctvom kamier inštalovaných v záhradkárskej osade. Najvyššiu pokutu úrad právoplatne uložil vo výške 40 000,- eur prevádzkovateľovi za porušenie zásady zodpovednosti (nepreukázal vykonanie posúdenia vplyvu na ochranu osobných údajov), zásady spravodlivosti a transparentnosti ako aj čl. 28 Nariadenia (prevádzkovateľ nemal so sprostredkovateľom uzatvorenú sprostredkovateľskú zmluvu).

Prehľad uložených a vybratých pokút v sledovanom období

Sledované obdobie

Počet pokút

Celková výška právoplatne

uložených pokút v Eurách

Priemerná výška pokuty zaokrúhlená na celé Euro nahor

Celkovo vybraté na pokutách v Eurách

2021

110 900

2 092

89 289,10

Pokuta, ako druh sankcie, plnila v hodnotenom období represívnu, ako aj preventívnu funkciu. Pri jej ukladaní úrad okrem iného zohľadňoval postavenie subjektu a jeho činnosť, ako aj možný dopad výšky pokuty na jeho ďalšiu existenciu. V súvislosti s ukladaním pokút počas hodnoteného obdobia za porušenie právnych predpisov v oblasti ochrany osobných údajov možno konštatovať, že uložené pokuty nemali likvidačné dopady.

10.2 Poriadková pokuta

Poriadková pokuta slúži na zabezpečenie dôstojného a nerušeného priebehu dozornej činnosti úradu. Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa, ak marí výkon kontroly alebo ak nezabezpečí primerané podmienky na jej výkon. Úrad môže uložiť poriadkovú pokutu taktiež osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom, za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru. V sledovanom období uložil úrad jednu poriadkovú pokutu vo výške 500,- eur za neposkytnutie súčinnosti.

10.3 Vybrané prípady z dozornej činnosti úradu

10.3.1Odloženia

10.3.1.1Postúpenie anonymného podania

Úrad posudzoval návrh navrhovateľa, ktorý sa obrátil na prevádzkovateľa s podaním, kde žiadal, aby pri jeho vybavovaní bola utajená navrhovateľova totožnosť. Prevádzkovateľ, ktorému navrhovateľ podanie adresoval, ho z dôvodu príslušnosti postúpil, pričom vzhľadom na navrhovateľovu žiadosť o utajenie totožnosti tak urobil formou fotokópie bez údajov o osobe navrhovateľa. Navrhovateľ v návrhu tvrdil, že aj napriek tomu, že prevádzkovateľ pri postúpení podania formálne vyhovel jeho žiadosti o utajenie totožnosti, orgán, ktorému bolo podanie postúpené, mohol na základe viacerých okolností zistiť, že podávateľom je navrhovateľ a prevádzkovateľ tak porušil ochranu navrhovateľových osobných údajov. Úrad po preskúmaní podkladov predložených navrhovateľom konštatoval, že okolnosti, z ktorých navrhovateľ usudzoval na možnosť zistiť, že je podávateľom anonymizovaného podania, prevádzkovateľ nemohol predvídať ani na ne nemal žiadny vplyv; prevádzkovateľ na základe navrhovateľovej žiadosti o utajenie jeho totožnosti posúdil, či je na účel postúpenia podania nevyhnutné poskytnúť údaje o osobe podávateľa, so záverom, že navrhovateľovo podanie postúpil bez údajov o jeho osobe, čím postupoval v súlade so zásadou minimalizácie údajov podľa čl. 5 ods. 1 písm. c) Nariadenia a vykonal primerané opatrenia na zachovanie navrhovateľovej anonymity. Úrad z uvedených dôvodov návrh odložil podľa § 100 ods. 5 písm. a) zákona č. 18/2018 Z. z.

10.3.1.2Zverejnenie osobných údajov v reportážach

Úrad v sledovanom období prijal viacero podaní, v ktorých podávatelia namietali zverejnenie osobných údajov dotknutých osôb prostredníctvom reportáží odvysielaných v televízii a neskôr dostupných na webových sídlach prevádzkovateľov. Na základe prevádzkovateľom zverejnených osobných údajov tak bolo možné fyzickú osobu identifikovať. V prípade zverejnenia osobných údajov médiami dochádza k stretu práva na ochranu osobných údajov s právom na slobodu prejavu a právom na informácie, pričom obe predstavujú základné práva v demokratickej spoločnosti. Nariadenie stanovilo členským štátom vnútroštátnymi predpismi zosúladiť právo na ochranu osobných údajov a právo na slobodu prejavu a právo na informácie vrátane spracúvania na žurnalistické účely a stanoviť výnimky resp. odchýlky z niektorých kapitol Nariadenia. Vo vzťahu k predmetným podaniam úrad konštatoval, že prevádzkovatelia pri zverejnení osobných údajov postupovali podľa § 78 ods. 2 zákona, podľa ktorého prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti (predmetné ustanovenie poskytlo právny základ na dané spracúvanie – zverejnenie osobných údajov). Prevádzkovateľom spracúvanie osobných údajov dotknutých osôb pre potreby informovania

verejnosti vyplývalo z predmetu činnosti. Prevádzkovatelia sú v zmysle platnej legislatívy oprávnení získavať pravdivé, včasné a všestranné informácie za účelom informovania verejnosti a nezodpovedajú za obsah informácie poskytnutej vymedzeným okruhom osôb. Platí však tiež, že prevádzkovatelia spracúvaním osobných údajov dotknutých osôb na žurnalistické účely podľa § 78 ods. 2 zákona nesmú porušovať právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia. Posudzovanie skutočnosti či zverejnením osobných údajov dotknutých osôb masovokomunikačnými prostriedkami na žurnalistický účel došlo k zásahu do práva na ochranu osobnosti a súkromia dotknutých osôb patrí do pôsobnosti všeobecného súdu (ochrana osobnosti). V prípade zverejňovania takých osobných údajov masovokomunikačnými prostriedkami, ktoré by mohli spôsobiť neoprávnený zásah do práva na ochranu osobnosti a súkromia dotknutej osoby, dotknutá osoba má právo domáhať sa ochrany na súde. Úrad z uvedených dôvodov (existencia právneho základu zverejnenia) podania (návrhy a podnety) odkladal pre ich neopodstatnenosť.

10.3.2Konania

10.3.2.1Spracúvanie telefónneho čísla

Úrad viedol konanie o ochrane osobných údajov na základe návrhu, podľa ktorého prevádzkovateľ spracúval navrhovateľovo telefónne číslo nezákonným spôsobom, nakoľko navrhovateľa oslovil telefonickým volaním s ponukou služieb, pričom navrhovateľ svoje telefónne číslo ani súhlas na jeho spracúvanie prevádzkovateľovi neposkytol a volajúci na otázku navrhovateľa, odkiaľ má jeho telefónne číslo, mu nedal odpoveď, ktorú navrhovateľ nezískal ani písomnou žiadosťou o túto informáciu, ktorou sa na prevádzkovateľa následne obrátil. Prevádzkovateľ namietal, že vo svojich informačných systémoch nespracúva žiadne osobné údaje navrhovateľa, nespracúva jeho telefónne číslo a ani mu nie je známe. Predmetný telefonát uskutočnil zamestnanec poverený získavať prevádzkovateľovi nových klientov, ktorý však takto nekonal na základe pokynov prevádzkovateľa, ten v žiadnom prípade nepoveruje zamestnancov, aby využívali pre výkon práce osobné údaje, ktoré by nepochádzali z jeho databáz a na spracúvanie ktorých by nemal právny základ. Podľa prevádzkovateľa preto v danom prípade nešlo o porušenia Nariadenia z jeho strany, ale o individuálne pochybenie zamestnanca v pracovnoprávnej oblasti, kde prevádzkovateľ vykonal nápravu tým, že zamestnanca opätovne poučil o plnení pracovných povinností. Prevádzkovateľ tiež tieto skutočnosti oznámil navrhovateľovi v odpovedi na jeho žiadosť a má za to, že ju tým riadne vybavil. Úrad konštatoval, že aj keď zamestnanec v konkrétnom prípade skutočne nekonal na prevádzkovateľov pokyn, daný telefonát uskutočnil ako osoba konajúca na základe poverenia prevádzkovateľa, t. j. ako osoba, ktorú prevádzkovateľ poveril získavaním nových klientov, čo bolo vlastnou náplňou pracovnej činnosti zamestnanca a zároveň jediným účelom daného telefonátu; zamestnanec spracúval telefónne číslo navrhovateľa na účel činnosti, ktorú prostredníctvom svojich zamestnancov vykonáva prevádzkovateľ a ten je v zmysle zásady zodpovednosti podľa čl. 5 ods. 2, čl. 24 ods. 1, čl. 32 ods. 4 Nariadenia povinný zabezpečiť, aby zamestnanci spracúvali osobné údaje v súlade s Nariadením a len na základe pokynov prevádzkovateľa. Úrad konštatoval, že prevádzkovateľ spracovateľskou operáciou s telefónnym číslom navrhovateľa, ktorú vykonal tým, že jeho zamestnanec telefonicky kontaktoval navrhovateľa za účelom získať prevádzkovateľovi nového klienta, pričom na navrhovateľovu otázku, odkiaľ má jeho telefónne číslo, mu nedal odpoveď, spracúval navrhovateľov osobný údaj bez právneho základu podľa čl. 6 ods. 1 Nariadenia a bez splnenia povinnosti podľa čl. 14 ods. 2 písm. f), ods. 3 písm. b) Nariadenia, čím porušil zásadu zákonnosti a transparentnosti podľa čl. 5 ods. 1 písm. a) Nariadenia. Úrad zároveň konštatoval, že navrhovateľ písomnou žiadosťou o informáciu, ako prevádzkovateľ získal jeho telefónne číslo, riadne uplatnil právo dotknutej osoby na prístup k osobným údajom podľa čl. 15 ods. 1 písm. g) Nariadenia, ktoré odpoveďou prevádzkovateľa naplnené nebolo, pretože v nej neuviedol žiadne informácie o zdroji predmetného údaja, ani neuviedol, že požadované informácie sú mu čiastočne alebo úplne nedostupné a z akých dôvodov. Úrad uložil prevádzkovateľovi nápravné opatrenie podľa čl. 58

ods. 2 písm. c) Nariadenia, aby navrhovateľovi poskytol akékoľvek dostupné informácie pokiaľ ide o zdroj, z ktorého bolo jeho telefónne číslo na predmetnú spracovateľskú operáciu získané.

10.3.2.2Spracúvanie osobných údajov v rámci poistnej udalosti

Úrad viedol v sledovanom období konanie na základe návrhu navrhovateľky, v ktorom namietala neoprávnené spracúvanie osobných údajov uvedených v technickom preukaze novo zakúpeného motorového vozidla za účelom vyplatenia poistného plnenia. Podľa tvrdení navrhovateľky, prevádzkovateľ v súvislosti s vyplatením poistného plnenia za totálnu škodu motorového vozidla žiadal doloženie technického preukazu k novo zakúpenému motorovému vozidlu. Navrhovateľka uviedla, že prevádzkovateľ technickým preukazom k novo zakúpenému vozidlu podmieňoval vyplatenie poistného plnenia za diaľničnú známku a za poplatok na prihlásenie nového vozidla. Navrhovateľka uviedla, že na základe tohto nátlaku nakoniec tento technický preukaz prevádzkovateľovi poskytla. Navrhovateľka však tvrdila, že prevádzkovateľ tento dokument žiadal napriek jej upozorneniam, že tento dokument nie je potrebný. Navrhovateľka namietala, že novo zakúpené vozidlo nemôže mať akúkoľvek súvislosť s poistnou udalosťou, ktorá sa stala ešte pred zakúpením nového vozidla. Prevádzkovateľ v priebehu konania o ochrane osobných údajov v spolupráci so spoločnosťou, ktorá likvidáciu poistnej udalosti navrhovateľky zabezpečovala, prešetril spracúvanie údajov z technického preukazu nového vozidla navrhovateľky, pričom prevádzkovateľ dospel k záveru, že s ohľadom na uplatňovanie zásady minimalizácie mohla byť likvidácia predmetnej poistnej udalosti spracovaná aj bez údajov z technického preukazu nového vozidla navrhovateľky a tieto údaje následne z informačných systémov vymazal. Úrad konštatoval, že prevádzkovateľ porušil čl. 5 ods. 1 písm. c) Nariadenia (zásada minimalizácie osobných údajov) tým, že počas procesu likvidácie poistnej udalosti navrhovateľky spracúval aj údaje z technického preukazu nového vozidla navrhovateľky, pričom prevádzkovateľ po opätovnom prešetrení procesu likvidácie konštatoval, že likvidácia poistnej udalosti navrhovateľky mohla byť spracovaná aj bez týchto údajov. Úrad konštatoval, že prevádzkovateľ je oprávnený v súlade s právnymi predpismi v rámci vzniku škodovej udalosti od poškodených žiadať doklady potrebné pre pravdivé vysvetlenie vzniku a rozsahu poistnej udalosti ako aj jej následkov. Avšak prevádzkovateľ by mal tieto doklady vyžadovať v súlade so zásadou minimalizácie údajov podľa čl. 5 ods. 1 písm. c) Nariadenia, a teda vyžadovať len také doklady a osobné údaje, ktoré sú primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Úrad na základe zistených skutočností neuložil prevádzkovateľovi opatrenia na nápravu, pretože vzhľadom na prijaté kroky prevádzkovateľa (výmaz všetkých záznamov o technickom preukaze nového vozidla navrhovateľky z informačných systémov prevádzkovateľa) úrad nepovažoval za účelné a dôvodné uložiť mu nápravné opatrenia, úrad však prevádzkovateľovi za zistené porušenie uložil pokutu.

10.3.2.3Monitorovanie zamestnancov prostredníctvom lokalizácie ich SIM karty

Úrad viedol v roku 2021 konanie o ochrane osobných údajov na základe návrhu, v ktorom navrhovateľ uviedol, že prevádzkovateľ ako jeho zamestnávateľ monitoruje polohu navrhovateľa v čase jeho dovolenky, teda v čase, kedy si navrhovateľ ako zamestnanec neplnil pracovné povinnosti. Úrad šetrením zistil, že prevádzkovateľ vyššie uvedeným konaním bez vážnych dôvodov narúšal súkromie zamestnanca tým, že ho monitoruje v čase jeho voľna. Prevádzkovateľ teda na uvedenú spracovateľskú operáciu nedisponoval primeraným právnym základom. Šetrením bolo ďalej zistené, že prevádzkovateľ v konaní nepreukázal ani primeraný právny základ na spracúvanie osobných údajov v prípade monitorovania polohy zamestnancov v rámci ich pracovného času. Základné práva a slobody na jednej strane a oprávnené záujmy prevádzkovateľa na druhej strane musia byť dôkladne preskúmané a porovnané. Prevádzkovateľ v rámci konania nepreukázal primeraný právny základ na takúto spracovateľskú operáciu, nakoľko sa v danom prípade vôbec nezaoberal porovnaním jednotlivých práv dotknutých osôb s jeho opraveným

záujmom. Úrad v predmetnej veci uložil prevádzkovateľovi nápravné opatrenia a zároveň pokutu.

10.3.2.4Zverejňovanie rodného čísla v reportáži

Úrad v roku 2021 viedol konanie o ochrane osobných údajov na základe podnetu, v ktorom podávateľ namietal zverejnenie osobných údajov dotknutej osoby, vrátane jej rodného čísla prostredníctvom spravodajských reportáží odvysielaných v televízii a neskôr dostupných v archíve na webovom sídle prevádzkovateľa. Osobné údaje dotknutej osoby neboli v reportáži žiadnym spôsobom anonymizované. Prevádzkovateľ musí pre každý účel spracúvania osobných údajov disponovať primeraným právnym základom, ktorý vymedzuje podmienky, za ktorých je spracúvanie zákonné. Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor - rodné číslo len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Šetrením bolo zistené, že v danom prípade nebolo rodné číslo dotknutej osoby potrebné spracúvať vôbec, nakoľko účel spracovateľskej operácie (poskytovanie služieb verejnosti v oblasti televízneho vysielania) sa dal dosiahnuť aj bez zverejnenia rodného čísla dotknutej osoby (jeho anonymizovaním). Navyše zverejňovať rodné číslo je zákonom č. 18/2018 Z. z. výlučne zakázané (pokiaľ ho nezverejnila samotná dotknutá osoba). Úrad prevádzkovateľovi za dané porušenie neuložil opatrenia na nápravu, nakoľko prevádzkovateľ ešte pred začatím konania rodné číslo dotknutej osoby v reportáži dostupnej na webovom sídle prevádzkovateľa anonymizoval, čím odstránil protiprávny stav a uloženie opatrení na nápravu už nebolo v danom prípade dôvodné a účelné. Úrad však za dané porušenie uložil prevádzkovateľovi pokutu.

10.3.2.5Zasielanie korešpondencie obsahujúcej osobné údaje v nezaheslovanej podobe

V roku 2021 úrad viedol konanie na základe návrhu, v ktorom navrhovateľka namietala zaslanie jej osobných údajov prevádzkovateľom v rozsahu meno, priezvisko, adresa, adresa poistenej nehnuteľnosti, číslo poistnej zmluvy, číslo škodovej udalosti, typ a druh poistenia prostredníctvom emailu obsahujúceho tieto údaje na cudziu emailovú adresu. Šetrením bolo zistené, že navrhovateľkou uvedené údaje boli na cudziu emailovú adresu zaslané v nezaheslovanej podobe. Adresa poistenej nehnuteľnosti, číslo poistnej zmluvy, číslo škodovej udalosti, typ a druh poistenia samy o sebe nie sú osobné údaje, avšak v spojení s menom, priezviskom či adresou navrhovateľky predstavujú osobné údaje viažuce sa ku konkrétnej osobe (navrhovateľke), ktorú je možné na základe uvedených údajov spoľahlivo a nezameniteľne identifikovať. V prípade zaslania osobných údajov navrhovateľky na cudziu emailovú adresu zároveň došlo k neoprávnenému sprístupneniu osobných údajov navrhovateľky inej osobe (prevádzkovateľ nedisponoval primeraným právnym základom v zmysle čl. 6 ods. 1 Nariadenia). V zmysle zásady integrity a dôvernosti musia byť osobné údaje spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (napr. v prípade zasielania emailových príloh zabezpečenie heslom). V súvislosti s neoprávneným sprístupnením osobných údajov navrhovateľky došlo zo strany prevádzkovateľa k porušeniu zásady integrity a dôvernosti v zmysle čl. 5 ods. 1 písm. f) Nariadenia. Vzhľadom na to, že v rámci konania bolo zistené, že prevádzkovateľ dodatočne zaviedol povinnosť zasielať elektronickú poštu v zaheslovanej podobe, úrad prevádzkovateľovi opatrenia na nápravu neuložil. Úrad však prevádzkovateľovi za dané porušenie uložil pokutu.

10.3.2.6Vyhodnocovanie a profilovanie osobnostných aspektov týkajúcich sa fyzických osôb zamestnávateľom

V roku 2021 úrad viedol z vlastnej iniciatívy konanie na základe oznámenia porušenia ochrany osobných údajov prostredníctvom formulára pre prevádzkovateľa na nahlasovanie bezpečnostných

incidentov v zmysle čl. 33 Nariadenia a § 40 zákona č. 18/2018 Z. z. Predmetom porušenia ochrany osobných údajov bol incident súvisiaci s činnosťou prevádzkovateľa vo veci vyhodnocovania a profilovania osobnostných aspektov dotknutých osôb (zamestnancov prevádzkovateľa) psychologickým prieskumom, ktorý sa mal realizovať bez primeraného právneho základu, bez zabezpečenia zmluvy podľa čl. 28 Nariadenia so sprostredkovateľom a bez vykonania posúdenia vplyvu na ochranu údajov. Šetrením bolo zistené, že prevádzkovateľ na spracúvanie osobných údajov dotknutých osôb nedisponoval primeraným právnym základom, nakoľko súhlas so spracúvaním osobných údajov vyžadovaný prevádzkovateľom nespĺňal podmienky súhlasu v zmysle čl. 4 ods. 11 Nariadenia. Súhlas musí byť slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby. Vzhľadom na závislosť, ktorá vyplýva zo vzťahu zamestnávateľ/zamestnanec, je v danom prípade nepravdepodobné, že by dotknutá osoba mohla odmietnuť poskytnutie súhlasu na spracúvanie údajov svojmu zamestnávateľovi bez pocitu strachu alebo skutočného rizika nepriaznivých následkov odmietnutia (tzn. je nepravdepodobné, že by bol súhlas daný slobodne). Súhlas sa nepovažuje za poskytnutý slobodne ani vtedy, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné. V rámci konania bolo tiež zistené, že prevádzkovateľ si voči dotknutým osobám v súvislosti s hodnotením ich osobnostných aspektov nesplnil informačnú povinnosť podľa čl. 13 Nariadenia najneskôr pri získavaní ich osobných údajov. Fyzické osoby by mali byť okrem identity prevádzkovateľa, účeloch spracúvania a ďalších informácií tiež upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov. Šetrením bolo tiež zistené porušenie zásady zodpovednosti, keďže prevádzkovateľ v konaní žiadnym spôsobom nepreukázal, že v čase realizácie psychologického prieskumu zameraného na hodnotenie osobnostných aspektov týkajúcich sa dotknutých osôb mal so sprostredkovateľom uzatvorenú zmluvu podľa čl. 28 Nariadenia ani v súvislosti s profilovaním dotknutých osôb nepreukázal vykonanie posúdenia vplyvu na ochranu osobných údajov. V rámci zásady zodpovednosti je prevádzkovateľ povinný úradu ako dozornému orgánu (nie naopak) preukázať, že osobné údaje dotknutých osôb spracúva v súlade s Nariadením. V súvislosti s hodnotením osobnostných aspektov dotknutých osôb psychologickým prieskumom došlo zo strany prevádzkovateľa niekoľkokrát k porušeniu zásady zákonnosti, spravodlivosti a transparentnosti v zmysle čl. 5 ods. 1 písm. a) Nariadenia, k porušeniu zásady zodpovednosti podľa čl. 5 ods. 2 Nariadenia, ako aj k porušeniu niektorých Nariadením ustanovených povinností. Vzhľadom na to, že v rámci konania bolo zistené, že prevádzkovateľ spracúvanie osobných údajov dotknutých osôb v súvislosti hodnotením ich osobnostných aspektov ukončil a ďalej týmito údajmi nedisponuje, úrad prevádzkovateľovi opatrenia na nápravu neuložil. Úrad však prevádzkovateľovi za dané porušenie uložil pokutu.

11OPRAVNÉ PROSTRIEDKY A ROZHODOVANIE O NICH

Voči rozhodnutiu úradu vo veci konania o ochrane osobných údajov, ako aj voči rozhodnutiu o nesprístupnení informácie resp. rozhodnutiu o nesprístupnení informácie sčasti možno podať riadny opravný prostriedok – rozklad, pričom sa subsidiárne uplatňujú ustanovenia o opravných prostriedkoch stanovené v správnom poriadku. O podaných rozkladoch rozhoduje predsedníčka úradu, po jej odvolaní o nich rozhoduje podpredsedníčka úradu na základe odporúčaní rozkladovej komisie, pričom podávateľ rozkladu môže tento rozšíriť alebo doplniť o ďalší návrh alebo o ďalšie body len v lehote určenej na podanie rozkladu, t.j. lehote 15 dní odo dňa oznámenia rozhodnutia.

Podpredsedníčke úradu bolo v sledovanom období predložených 64 rozkladov na rozhodnutie. V sledovanom období z nich rozhodla v 41 prípadoch ako odvolací orgán. V sledovanom období bolo vydaných ešte 11 rozhodnutí o rozklade, kedy bol rozklad predložený podpredsedníčke úradu na rozhodnutie ešte v roku 2020. V rámci sledovaného obdobia bolo vybavené dve preskúmania rozhodnutia mimo odvolacieho konania. Spolu v sledovanom období bolo odvolacím orgánom vydaných 52 rozhodnutí.

Podpredsedníčka úradu z nich v 32 prípadoch rozhodnutie správneho orgánu úradu potvrdila. V 13 prípadoch bola vec vrátená správnemu orgánu úradu na opätovné rozhodnutie vo veci.

Vo zvyšných 7 prípadoch sa rozhodnutie správneho orgánu úradu zmenilo.

V 9 prípadoch bolo predmetom rozhodovania o rozklade rozhodnutie o nesprístupnení informácie/ nesprístupnení informácie sčasti v zmysle zákona č. 211/2000 Z. z.; vo všetkých prípadoch sa rozhodnutie potvrdilo.

Účastník správneho konania môže voči právoplatnému rozhodnutiu predsedníčky úradu a odo dňa 29.04.2020 po jej odvolaní, voči právoplatnému rozhodnutiu podpredsedníčky úradu, podať žalobu o preskúmanie zákonnosti rozhodnutia, a to v lehote do dvoch mesiacov od jeho oznámenia. V rámci vecnej a miestnej príslušnosti je na konanie príslušný Krajský súd v Bratislave.

V sledovanom období bolo podaných na Krajský súd v Bratislave 9 žalôb na preskúmanie zákonnosti rozhodnutí úradu, ku všetkým sa úrad na žiadosť vyjadril (sp. zn.: 5S/228/2021, 2S/225/2020, 2S/121/2021, 1S/216/2021, 2S/288/2020, 1S/214/2020, 6S/37/2021, 2S/93/2021, 5S/71/2021). V sledovanom období boli vydané dva rozsudky vo veci preskúmania zákonnosti rozhodnutí úradu, jeden vydal Krajský súd v Bratislave (sp. zn.: 2S/198/2018) a jeden Najvyšší súd Slovenskej Republiky (8Asan/30/2020).

Krajský súd v Bratislave rozhoduje vo veci správnej žaloby rozsudkom, proti ktorému môžu účastníci správneho súdneho konania podať kasačnú sťažnosť. Najvyšší súd Slovenskej republiky, ako súd kasačný, na základe podanej kasačnej sťažnosti preskúmava rozsudok, ako aj konanie krajského súdu, ktorý ho vydal. Za sledované obdobie Úrad vo veci preskúmania zákonnosti rozhodnutú úradu nepodal kasačnú sťažnosť.

12SŤAŽNOSTI PODĽA ZÁKONA O SŤAŽNOSTIACH

Úrad na ochranu osobných údajov v postavení orgánu verejnej správy si plní aj povinnosti vyplývajúce mu zo zákona č. 9/2010 Z. z. o sťažnostiach v znení neskorších predpisov (ďalej len „zákon č. 9/2010 Z. z.“).

Za sledované obdobie úrad prijal 82 podaní len od jednej a tej istej fyzickej osoby, ktoré posudzoval podľa zákona č. 9/2010 Z. z. V 11 prípadoch boli sťažnosti vyhodnotené ako neopodstatnené, v 1 prípade bola sťažnosť vyhodnotená ako opodstatnená. V ostatných prípadoch ak podania nespĺňali formálne alebo obsahové náležitosti sťažnosti, boli odložené podľa § 6 zákona č. 9/2010 Z. z., alebo ak podania neboli vyhodnotené ako sťažnosti, boli vybavené podľa § 4 zákona č. 9/2010 Z. z. Okrem iného táto uvedená osoba podala na úrad 18 žiadostí o sprístupnenie informácie, ktorými žiadala sprístupniť informácie v zmysle zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov a 1 sťažnosť na nevybavenie námietky zaujatosti.

Následne v sledovanom období, odbor správnych konaní úradu viedol 3 konania o ochrane osobných údajov na základe podania už vyššie spomínanej fyzickej osoby. Odbor správnych konaní úradu sa zaoberal 5 podaniami od uvedenej osoby, ktoré boli doručené elektronickou poštou (e-mailom), v rámci ktorých táto osoba žiadala sprístupniť informácie týkajúce sa spracúvania jej osobných údajov, následne požadovala skeny konaní o ochrane osobných údajov, v ktorých je účastníkom konania.

13EURÓPSKY A MEDZINÁRODNÝ LEGISLATÍVNY BALÍK OCHRANY OSOBNÝCH ÚDAJOV

13.1Legislatívny proces na úrovni EÚ

Dňa 10. januára 2017 EK predložila návrh nariadenia o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách) (ďalej ako: „Návrh nariadenia e-privacy) s cieľom zabezpečiť súlad s jednotným prístupom k ochrane osobných údajov v celej EÚ. Návrh nariadenia e-privacy bude vo vzťahu k Nariadeniu lex specialis. Z tohto dôvodu je úrad spolu-gestorom v legislatívnom procese prijímania návrhu nariadenia e-privacy na európskej úrovni. Cieľom návrhu nariadenia e-privacy je zabezpečiť prísne pravidlá ochrany súkromia pre používateľov elektronických komunikačných služieb a rovnaké podmienky pre všetkých účastníkov trhu. Údajmi elektronických komunikácií sa rozumie ich obsah, ako napr. obsah súkromných správ, ale aj metaúdaje, ktoré zahŕňajú napr. volané čísla, navštívené internetové stránky, zemepisnú polohu, časové údaje volania alebo správy.

Európsky parlament prijal stanovisko k návrhu nariadenia e-privacy dňa 26. októbra 2017. Súbežne prebiehali rokovania zástupcov jednotlivých štátov v Rade EÚ, ktorá však ani v sledovanom období neprijala spoločnú dohodu o texte. Portugalské predsedníctvo vo februári 2021 získalo mandát na začatie rokovaní s Európskym parlamentom. Slovinské predsedníctvo Rady EÚ pokračovalo v trialógoch o návrhu nariadenia.

Dňa 14. júla 2021 bolo prijaté

nariadenie európskeho parlamentu a rady (EÚ) 2021/1232 zo

14. júla 2021 o dočasnej výnimke z určitých ustanovení smernice 2002/58/ES, pokiaľ ide

o používanie technológií poskytovateľmi interpersonálnych komunikačných služieb nezávislých

od číslovania na spracúvanie osobných a iných údajov na účely boja proti online sexuálnemu

zneužívaniu detí

, ktoré sa uplatňuje do 3. augusta 2024. Dôvodom predloženého návrhu nariadenia

bolo nadobudnutie účinnosti Európskeho kódexu elektronických komunikácií, ktorý okrem iného zavádza novú definíciu elektronických komunikačných služieb, ktorá zahŕňa aj poskytovateľov služieb bez čísla (uplatňuje sa od 21. decembra 2020). Týmto dňom sa budú ustanovenia e-privacy smernice vzťahovať aj na poskytovateľov interpersonálnych komunikačných služieb nezávislých od číslovania, čím sa pre nich sťaží/znemožní pokračovanie vo využívaní technológií na účely boja proti sexuálnemu zneužívaniu detí online. Týmto nariadením sa stanovuje dočasná výnimka z článku 5 ods. 1 a článku 6 ods. 1 smernice 2002/58/ES, ktoré chránia dôvernosť komunikácií a prevádzkových údajov. Na spracúvanie osobných údajov sa vzťahuje Nariadenie a jeho monitorovanie vykonáva dozorný orgán určený tiež týmto nariadením.

Dňa 4. marca 2021 bolo v Eurlexe (Úradný vestník Európskej únie) zverejnené

druhé korigendum

k slovenskému zneniu všeobecného nariadenia o ochrane údajov. Opravené bolo znenie článku 42 ods. 2, posledná veta.

Európska komisia prijala 4. júna 2021

štandardné zmluvné doložky medzi prevádzkovateľmi

a sprostredkovateľmi podľa čl. 28 ods. 7 všeobecného nariadenia o ochrane údajov

. V súvislosti

so vzťahom medzi prevádzkovateľom (alebo prevádzkovateľmi) a sprostredkovateľom (alebo sprostredkovateľmi) pri spracúvaní osobných údajov, článok 28 Nariadenia zahŕňa súbor ustanovení týkajúcich sa uzatvorenia osobitnej zmluvy medzi zúčastnenými zmluvnými stranami a povinné ustanovenia, ktoré by mali byť do zmluvy začlenené. Prevádzkovateľ a sprostredkovateľ si na plnenie týchto ustanovení môžu zvoliť použitie aj týchto štandardných zmluvných doložiek prijatých Európskou komisiou. Samotné štandardné zmluvné doložky nezabezpečujú dodržiavanie povinností týkajúcich sa medzinárodných prenosov v súlade s kapitolou V Nariadenia.

Európska komisia prijala aj viacero vykonávacích rozhodnutí v súvislosti s prenosom osobných údajov do tretích krajín, ktoré sú podrobnejšie opísané v kapitole 6.2 Prenos osobných údajov.

13.2Európsky výbor pre ochranu údajov

EDPB je nezávislý orgán EÚ s právnou subjektivitou, ktorý prispieva ku konzistentnému uplatňovaniu pravidiel ochrany údajov v celom EHP a podporuje spoluprácu medzi orgánmi pre ochranu osobných údajov EHP.

EDPB zastupuje jeho predsedníčka, ktorou je predsedníčka rakúskeho dozorného orgánu Andrea Jelinek. EDPB pozostáva z vedúceho predstaviteľa jedného dozorného orgánu každého členského štátu EHP a EDPS. EK má právo zúčastňovať sa na činnosti a zasadnutiach EDPB bez hlasovacieho práva.

EDPB pracuje v súlade s

rokovacím poriadkom

, ktorý nebol v hodnotenom období menený.

Činnosť EDPB je rozdelená medzi 11 expertných podskupín (expert subgroups) a 3 pracovné skupiny (task force), ktoré sú tematicky rozdelené. Napr. expertná skupina pre technológie, pokuty, spoluprácu, a iné. Tieto expertné podskupiny pracujú na dokumentoch, ktorými sa napomáha ku konzistentnému uplatňovaniu Nariadenia. Po zriadení spoločnosti TikTok v EÚ a identifikácii jej hlavnej prevádzkarne v Írsku pre prebiehajúce prípady súvisiace s aplikáciou TikTok sa EDPB rozhodol v sledovanom období rozpustiť svoju

pracovnú skupinu TikTok

V hodnotenom období bola zriadená

cookie banner taskforce

na koordináciu odpovedí na

sťažnosti týkajúce sa cookies bannerov podaných niekoľkým dozorným orgánom spoločnosťou NOYB. Úrad sa zúčastňuje na práci 10 expertných podskupín a všetkých pracovných skupín osobnou účasťou, zasielaním písomných pripomienok, aktívnym zapájaním sa na video a tele konferenciách, prípadných súvisiacich workshopoch.

Dokumenty, na ktorých pracujú expertné podskupiny sa schvaľujú na plenárnom zasadnutí EDPB. V hodnotenom období sa konali 1 osobné plenárne zasadnutie v Bruseli a 15 online plenárnych zasadnutí. Úrad sa v hodnotenom období nezúčastnil z dôvodu vtedy platných pandemických opatrení 1 osobného plenárneho zasadnutia, ktoré sa konalo v Bruseli.

Najväčším prínosom EDPB pre verejnosť je vydávanie usmernení a odporúčaní k rôznym oblastiam ochrany osobných údajov. V hodnotenom období vydal EDPB 14 usmernení a odporúčaní, 9 po verejnej konzultácii a 6 na verejnú konzultáciu. EDPB vydal v hodnotenom období aj viacero dokumentov zameraných na spracúvanie osobných údajov v súvislosti s digitálnym COVID preukaz EÚ, virtuálnymi hlasovými asistentami, dodatočnými opatreniami pri prenose osobných údajov do tretích krajín, k pojmom prevádzkovateľa a sprostredkovateľ a iné. Usmernenia a odporúčania sú zverejňované na

webovej stránke

EDPB. Úrad na svojej

webovej stránke

taktiež zverejňuje tieto usmernenia a odporúčania v slovenskom a anglickom

jazyku. EDPB v hodnotenom období zorganizoval online podujatie pre zainteresované strany na tému „aplikácia GDPR na spracúvanie osobných údajov na účely vedeckého výskumu“.

EDPB prijíma podľa čl. 71 Nariadenia vlastnú

výročnú správu

13.3Rozsiahle informačné systémy a orgány, úrady a agentúry Únie

EÚ vytvorila viacero európskych rozsiahlych informačných systémov a agentúr, ktorých dohľad je zdieľaný medzi národnými orgánmi na ochranu údajov a EDPS. EDPS a národné dozorné orgány v rámci svojich príslušných právomocí aktívne spolupracujú v rámci svojich úloh s cieľom zabezpečiť účinný dozor nad rozsiahlymi informačnými systémami a orgánmi, úradmi a agentúrami Únie.

EDPS je nezávislý dozorný orgán EÚ zodpovedný za zabezpečenie dodržiavania základných práv a slobôd fyzických osôb, a najmä ich práva na ochranu údajov zo strany inštitúcií a orgánov Únie. EDPS je zodpovedný za monitorovanie a zabezpečenie uplatňovania ustanovení nariadenia 2018/1725 a akýchkoľvek ďalších aktov Únie týkajúcich sa ochrany základných práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciou alebo orgánom Únie a za poradenstvo pre inštitúcie a orgány Únie a dotknuté osoby vo všetkých veciach týkajúcich sa spracúvania osobných údajov.

Vnútroštátne dozorné orgány a EDPS spolupracujú s cieľom zabezpečiť koordinovaný dohľad. Na tento účel sa zástupcovia národných orgánov na ochranu údajov a EDPS pravidelne stretávajú - spravidla dvakrát ročne s cieľom diskutovať o spoločných otázkach týkajúcich sa dohľadu. V rámci svojich príslušných právomocí a v rámci svojich úloh si podľa potreby vymieňajú relevantné informácie, pomáhajú pri vykonávaní auditov a inšpekcií, skúmajú ťažkosti súvisiace s výkladom alebo uplatňovaním aktov Únie v oblasti ochrany osobných údajov, študujú problémy spojené s vykonávaním nezávislého dozoru alebo s výkonom práv dotknutých osôb, vypracúvajú harmonizované návrhy riešení akýchkoľvek problémov a podporujú informovanosť o právach na ochranu údajov.

Ide konkrétne o tieto skupiny:

•Rada pre spoluprácu nad Europolom,

•

Spoločný dozorný orgán pre Colný informačný systém

•

Pracovná skupina SCG na koordináciu dozoru nad Schengenským informačným

systémom II

•

Pracovná skupina pre koordináciu dozoru nad Vízovým informačným systémom

•

Pracovná skupina pre koordináciu dozoru nad systémom Eurodac

•

Výbor pre koordinovaný dozor

(patrí pod neho IMI systém – informačný systém

vnútorného trhu, EPPO – Európsky prokurátor a Eurojust – Agentúra EÚ pre justičnú spoluprácu v trestných veciach).

Každá skupina mala v hodnotenom období dve online stretnutia. Zástupca úradu sa zúčastnil stretnutí všetkých vyššie uvedených skupín.

13.4Schengenské hodnotenie

V októbri 2019 sa uskutočnilo Schengenské hodnotenie Slovenskej republiky v oblasti ochrany osobných údajov. Spracovanie výsledkov Schengenského hodnotenia SR 2019 bolo ukončené začiatkom roka 2021. Správa z hodnotenia je dostupná na tomto odkaze:

https://data.consilium.europa.eu/doc/document/ST-5534-2021-INIT/en/pdf

Závery a odporúčania, ktoré obsahuje správa zo schengenského hodnotenia, a to najmä navýšenie finančných a personálnych zdrojov úradu pre riadne zabezpečenie jeho chodu a efektívne plnenie jeho úloh, stále zostávajú aktuálne a čakajú na naplnenie rovnako ako odporúčania na zabezpečenie inštitučnej a finančnej nezávislosti úradu.

13.5Konzultatívny výbor k Dohovoru 108

Konzultatívny výbor založený Radou Európy k Dohovoru 108 pozostáva zo zástupcov zmluvných strán dohovoru, ktorých dopĺňajú pozorovatelia z iných štátov (členov alebo nečlenov) a medzinárodných organizácií. Výbor je zodpovedný za interpretáciu ustanovení a za zlepšenie implementácie Dohovoru 108 a za zostavovanie správ, usmernení a usmerňujúcich zásad

v rôznych oblastiach. Stretnutí konzultatívneho výboru sa pravidelne zúčastňujú aj zástupcovia úradu, či už na plenárnych zasadnutiach alebo užších stretnutiach výboru. V roku 2021 sa konalo 5 online stretnutí. Úrad sa zúčastnil na všetkých.

Konzultatívny výbor k Dohovoru 108 vydal v hodnotenom období

dokumenty

ako odporúčania,

ktoré sú zamerané na ochranu osobných údajov v kontexte rozpoznávania tváre, na právo na ochranu osobných údajov v kontexte politických kampaní a rôzne stanoviská na aktuálne témy ako napríklad k druhému dodatkovému protokolu k Budapeštianskemu dohovoru či k odporúčaniu Parlamentného zhromaždenia k umelej inteligencii v oblasti poskytovania zdravotnej starostlivosti.

SR už bola niekoľkokrát vyzvaná na podpis a ratifikáciu Protokolu č. 223 modernizujúceho Dohovor 108, a to tak zo strany Rady Európy ako aj EÚ.

V sledovanom období Ministerstvo spravodlivosti predložilo do medzirezortného pripomienkového konania materiál

LP/2021/697 Návrh na ratifikáciu Protokolu, ktorým sa mení

a dopĺňa Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov

Proces nebol v roku 2021 ukončený.

14STRETNUTIA S PARTNERSKÝMI DOZORNÝMI ORGÁNMI, KONFERENCIE A WORKSHOPY

14.1Challenges of international data transfer from the perspective of the Convention 108+ and GDPR

Zástupkyňa úradu sa v januári 2021 zúčastnila vyššie uvedenej konferencie, ktorá sa konala online. Konferencia bola uskutočnená pod záštitou the Federal Ministry of the Interior, Building and Community a the Conference of the Independent Data Protection Authorities of the Federation and the Federal States of Germany. Konferencia bola zameraná najmä na oblasť medzinárodných prenosov vo svetle rozhodnutia Súdneho dvora EÚ vo veci C-311/18 – Facebook Ireland a Schrems. Cieľom bolo preskúmať výzvy medzinárodného prenosu údajov z pohľadu Nariadenia a Dohovoru 108+. Jedným z rečníkov bol aj Prof. Dr Dr h. c. Thomas von Danwitz, Judge, sudca Súdneho dvora EÚ, ktorý sa podieľal na tvorbe rozhodnutia vo veci C-311/18.

14.2PL&B 34th Annual International Conference

Zástupkyňa úradu sa zúčastnila PL&B 34th Annual International Conference, ktorá sa uskutočnila online v júli. Na konferencii sa rozoberali zaujímavé témy ako interakcia práva na ochranu osobných údajov a súťažného práva, postoj Spojeného kráľovstva k prenosom osobných údajov v aktuálnej situácii a nechýbalo ani vyjadrenie zástupcu Komisie k prenosom podľa Nariadenia. Práve posledný uvedený rečník sa vyjadril k aktuálnemu stavu prenosu podľa kapitoly V Nariadení a aspoň z časti objasnil postavenie Komisie k danej problematike.

14.3Qubit Conference Prague 2021

Zástupca úradu sa v septembri zúčastnil medzinárodnej konferencie v Prahe, ktorá sa zaoberala problematikou kybernetickej bezpečnosti. Témami boli aktuálne trendy v kybernetickej bezpečnosti ako existujúce hrozby a každodenné útoky v digitálnom priestore. Prezentované boli spôsoby obrany, ako aj aktuálny stav pripravenosti organizácii, ako sa proti týmto hrozbám brániť. Poprední experti v oblasti kybernetickej bezpečnosti predstavili praktické prípady z praxe ako produkty a metódy, ktoré majú minimalizovať takéto riziká. Prepojenie kybernetických hrozieb úzko súvisí aj s problematikou ochrany osobných údajov. Identifikácia znalostí získaných na konferencii pomôže jednak zapracovať a vylepšiť existujúce postupy úradu pri analýzach a ochrane dát ako aj pomôcť nájsť najvhodnejšie riešenie v prípadoch, keď občania žiadajú konzultačnú podporu z úradu.

14.4Privacy Conference 2021

V septembri sa zástupkyňa úradu zúčastnila na dvojdňovej online konferencii s názvom Privacy Conference 2021 organizovanej spoločnosťou „bitkom“. Ústrednou témou konferencie boli medzinárodné prenosy osobných údajov. Konkrétne, príspevky boli zamerané na nové štandardné zmluvné doložky na prenos osobných údajov vydané Komisiou a posúdenie dopadov prenosu (Transfer Impact Assessment). Ďalšími témami boli aj pripravované nariadenia EÚ – akt o správe údajov (Data Governance Act) a akt o údajoch (Data Act). Konferencia mala aj viacero príspevkov zameraných na technické zabezpečenie bezpečnosti údajov, napríklad ako pseudonymizácia a šifrovanie.

14.5Konference GDPR 2021

V októbri 2021 sa zástupkyňa úradu osobne zúčastnila na Konference GDPR 2021 v Prahe.

Konferenciu organizoval Spolek pro ochranu osobních údajů v spolupráci s Unií podnikových právníků a spoločnosťou Microsoft. Na konferencii vystúpilo viacero odborníkov nielen z Českej republiky, ale ja zo Slovenska, Nemecka a Lichtenštajnska. Konferencia pokryla široké spektrum tém a bola rozdelená na bloky a workshopy. Workshopy boli zamerané na prenos osobných údajov, GDPR v praxi pre obce a mestá, ochranu súkromia a nové technológie, spracúvanie osobných údajov v rámci farmaceutického výskumu a správne nastavenie cookie lišty. Zástupkyňa úradu sa zúčastnila ako hosť panelovej diskusie k prenosom osobných údajov mimo EÚ/EHP v anglickom jazyku, kde mala aj úvodnú prezentáciu na túto tému.

14.6Global Privacy Assembly Conference 2021

Zástupkyňa úradu sa v októbri zúčastnila udalosti Global Privacy Assembly Conference 2021. Úrad je členom tejto jedinečnej celosvetovej platformy. Konferencia sa konala v októbri 2021 cez online formu. Témy konferencie boli širokosiahle: technologický vývoj a ochrana osobných údajov, ochrana osobných údajov v súvislosti s pandémiou koronavírusu: vydávanie certifikátov, etický prístup k ochrane súkromia či regionálna spolupráca dozorných orgánov. Obohatením boli zaujímaví prednášajúci či už z akademického prostredia, z dozorných orgánov alebo členovia výkonnej moci rôznych štátov. Veľkým plusom tiež bola možnosť pýtania sa otázok odborníkov na jednotlivé témy, čo prinieslo zaujímavú diskusiu medzi účastníkmi.

14.7Privacy in video games: the darkest of patterns

Zástupca úradu sa zúčastnil v novembri online semináru s názvom: „Privacy in video games: the darkest of patterns“ organizovaného Univerzitou v Osle. Na seminári boli predstavené rôzne scenáre, ako by sa malo pozerať na postavenie subjektov zapojených do biznis modelu videohier. Taktiež, aké je komplikované uplatniť si práva podľa Nariadenia a nejednoznačnosť informačných povinností poskytovateľov online videohier, z ktorých sa nedá určiť, aké osobné údaje sa pri hraní zbierajú a komu sa poskytujú. Ide o oblasť ochrany osobných údajov, ktorá si v budúcnosti zaslúži osobitnú pozornosť a má značný dopad na budúce generácie a ich rozvoj.

14.8GDPR a zákon o ochrane osobných údajov 2021

Zástupkyne úradu sa v novembri 2021 zúčastnili IV. ročníka EPI konferencie, ktorá bola organizovaná pod záštitou úradu. Konferencia prebiehala v Belej, ale bolo možné zúčastniť sa aj online formou, aby sa jej mohlo zúčastniť čo najviac záujemcov. Konferencie trvala dva dni a v mene podpredsedníčky úradu bol prednesený príhovor.

Program prvého dňa bol zameraný na nový zákon o elektronických komunikáciách, ktorý nadobol účinnosť vo februári 2022. Príspevky boli zamerané najmä na priamy marketing a cookies z pohľadu nového zákona o elektronických komunikáciách a GDPR. Zástupkyňa úradu mala príspevok s názvom GDPR a súhlas s cookies a na záver dňa sa zúčastnila spolu s ostatnými rečníkmi panelovej diskusie. Druhý deň konferencie bol zameraný na sociálne siete a ochranu osobných údajov. Príspevky sa sústredili najmä na prehľad a analýzu judikatúry Súdneho dvora EÚ v tejto oblasti. Zástupkyňa úradu mala záverečnú prednášku na tému Prenos osobných údajov do tretích krajín a zúčastnila sa s niektorými rečníkmi na panelovej diskusii.

Na konferencii sa zúčastnili aj zástupcovia iných štátnych orgánov – Ministerstvo dopravy SR a Úrad pre reguláciu elektronických komunikácií a poštových služieb SR, advokáti a odborníci na ochranu osobných údajov z praxe, nielen zo Slovenska, ale aj Česka. Celkovo odzneli pohľady odborníkov na tému konferencie a výklady nového zákona o elektronických komunikáciách, boli prezentované aplikačné problémy a prebehla zaujímavá diskusia. Konferenciu považujeme za prínosnú, keďže dala základ pre rozvíjanie diskusie tejto aktuálnej témy.

15ZHODNOTENIE STAVU OCHRANY OSOBNÝCH ÚDAJOV V SLEDOVANOM OBDOBÍ

Občania mali na rebríčku svojich hodnôt nepochybne svoje zdravie vždy vysoko, avšak v roku 2021, kedy pokračovala pandémia ho vnímali o čosi citlivejšie a starali sa o neho viac ako pred tým, všetci sme si uvedomili jeho hodnotu a krehkosť.

V dnešnej dobe, kedy osobné údaje nie sú nikomu cudzie, si vyžiadali veľkú pozornosť aj v zdravotnej sfére, pričom potreba ich ochrany bola nevyhnutná. Preto možno konštatovať, že pandémia upriamila pozornosť, a taktiež zvýšila povedomie občanov o téme osobných údajov vo všeobecnosti, ako aj údajov o zdravotnom stave, ktoré predstavujú osobitnú, citlivú kategóriu.

V roku 2021 spracúvanie osobných údajov dosiahlo iný rozmer, nakoľko stále pretrvával vplyv pandémie a tým čoraz častejšie vznikal prechod pracovného a súkromného života do online prostredia. Občania si uvedomili, že zmeny spojené s ich „online životom“ reprezentujú do veľkej miery osobné údaje, ktoré sú predmetom ochrany ale aj záujmu. V spojení s celkovou situáciou vznikla potreba venovať viac pozornosti ochrane a informovaniu sa ohľadom ochrany osobných údajov v online prostredí. Okrem toho, že osobné údaje sú predmetom obchodovania a záujmu, sú konfrontované taktiež s informačnou bezpečnosťou.

Rok 2021 možno označiť aj za rok, kedy sa osobné údaje stali tiež predmetom záujmu hackerov, ktorí však nechceli iba upozorniť na nedokonalosť systému, ale ktorí si ich chceli zároveň privlastniť pre vlastné záujmy. O to viac je potrebné zabezpečiť ochranu aktív, teda aj osobných údajov v súkromnom sektore ako aj v tom verejnom.

Zostáva len veriť, že rok 2022 bude úspešný pre úrad aj z pohľadu voľby predsedu úradu, nakoľko v Slovenskej republike je dostatok ľudí, ktorým ochrana osobných údajov nie je ľahostajnou a ktorí chcú v tomto ohľade zmeniť, zlepšiť, či zefektívniť fungovanie úradu, ktorý reprezentuje inštitúciu zameranú na ochranu osobných údajov fyzických osôb, pričom jej zamestnanci vnímajú prácu nielen ako povinnosť, ale aj ako svoje poslanie.