SPRÁVA
O STAVE OCHRANY OSOBNÝCH ÚDAJOV
ZA ROK 2023
Úrad na ochranu osobných údajov Slovenskej republiky
máj, 2024
Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12
820 07 Bratislava 27
Slovenská republika
IČO: 36 064 220
DIČ: 2021685985
Všetky práva vyhradené
Reprodukovanie pre vzdelávacie a nekomerčné účely
povolené len s uvedením zdroja
SPRÁVA O STAVE OCHRANY OSOBNÝCH ÚDAJOV ZA ROK 2023Vážené dámy, vážení páni,
oblasť ochrany osobných údajov bola aj v roku 2023 sprevádzaná dynamickým rozvojom informačných technológií, digitálne služby (spracovateľské činnosti) či digitálne nástroje (prostriedky spracúvania) nevynímajúc. Popri systémoch spracúvajúcich biometrické údaje dotknutých osôb (napríklad na účely kontroly vstupu do špecifických priestorov alebo na účely jednoznačnej identifikácie osôb preukazujúcich svoju totožnosť) či súbory „cookies“ získavané na rôzne účely z rôznych zariadení sa v uvedenej oblasti začali výraznejšie presadzovať aj možnosti umelej inteligencie. V predmetnej intencii je však nevyhnutné zdôrazniť, že (nielen) inovatívne postupy zvyšujúce efektivitu spracúvania osobných údajov so sebou prinášajú aj riziko nežiaducich dopadov na práva a slobody dotknutých osôb bez ohľadu na to, či také riziko pramení z nedbanlivostného pochybenia alebo úmyselného, zlovoľného konania subjektu, ktorý je za konkrétne spracúvanie zodpovedný. Nie je žiadnym tajomstvom, že osobné údaje, ktoré v komerčnej sfére nadobúdajú povahu lukratívnej obchodnej komodity, sú zneužiteľné aj vo sfére verejnej moci, v oboch prípadoch individuálne (voči jednotlivcovi) i hromadne.
Najvýznamnejším, aj keď nie jediným míľnikom v oblasti ochrany osobných údajov spracúvaných na území Slovenskej republiky je rok 2018, v ktorom sa na území členských štátov začalo uplatňovať Nariadenie. Uvedený normatívny právny akt EÚ ustanovuje (okrem iného) záväzné pravidlá spracúvania osobných údajov (pravidlá vzťahujúce sa na prevádzkovateľov a ich sprostredkovateľov, ako aj na dotknuté osoby, ktorých osobné údaje sú predmetom spracúvania) a pravidlá dozoru nad ich dodržiavaním. V rámci vzťahov, ktoré pri spracúvaní osobných údajov vznikajú, je principiálnou úlohou úradu ochrana dotknutých osôb pred nedovolenými formami spracúvania, resp. ochrana ich práv, právom chránených záujmov a slobôd. Predovšetkým vďaka Nariadeniu, ktorého zásady boli prenesené do aplikačnej praxe, je dnes možné konštatovať nielen existenciu účinného ochranného štítu, ale aj skutočnosť, že význam osobných údajov sa etabloval v povedomí samotných dotknutých osôb, ktoré si začali uvedomovať všetky súvislosti, vrátane rizík, ktoré sú s každým spracúvaním neoddeliteľne spojené, a začali sa intenzívnejšie zaujímať o to, čo sa bude diať s ich osobnými údajmi v prípade, ak ich niekomu poskytnú, kvitujúc nezastupiteľnú rolu štátu, ktorý prostredníctvom úradu zabezpečuje ochranu ich súkromia.
Verejnosťou veľmi pozitívne je vnímaná skutočnosť, že digitalizácia poskytovaných služieb sa na území Slovenskej republiky úspešne etabluje aj v prostredí verejnej správy. Každý presun spracovateľských operácií s osobnými údajmi z reálneho sveta do virtuálneho (digitálneho) priestoru, kde sa uskutočňuje rýchla výmena obrovského množstva dát, je však potrebné účinne zabezpečiť pred pochybeniami či zneužitím. V tejto súvislosti je potrebné zvýšiť aktivity úradu v preventívnej (napríklad metodickej), ale aj represívnej (dozornej) rovine, ktoré sú podmienené podporou zo strany kompetentných štátnych orgánov, a naopak - bez potrebného finančného a personálneho zabezpečenia môže byť úrad očami občana vnímaný len ako ďalší (zbytočný) byrokratický orgán. Úrad bude aj v nadchádzajúcom období naprieč politickým spektrom pozorne sledovať vnímanie ochrany osobných údajov, predovšetkým však bude aj naďalej ponúkať riešenia smerujúce k zabezpečeniu jeho plnej funkčnosti, ergo zmysluplnosti.
Podrobnejšie informácie o uvedenej problematike, ako aj celkový prehľad o činnosti úradu v sledovanom období a situácii, v ktorej sa úrad aktuálne nachádza, sú obsiahnuté v nasledujúcich častiach Správy o stave ochrany osobných údajov za rok 2023, ktorú predkladám Národnej rade Slovenskej republiky. Po prerokovaní v Národnej rade Slovenskej republiky bude táto správa zverejnená na webovom sídle úradu a poskytnutá Európskemu výboru pre ochranu údajov a Európskej komisii.
Anna Vitteková
podpredsedníčka úradu
4
ZOZNAM POUŽITÝCH SKRATIEKúrad
Úrad na ochranu osobných údajov Slovenskej republiky
NR SR
Národná rada Slovenskej republiky
správa
Správa o stave ochrany osobných údajov za rok 2023
zákon
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
Nariadenie
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP)
smernica 2016/680
Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV
MPK
Medzirezortné pripomienkové konanie
Portál
Portál právnych predpisov Slov – Lex
Dohovor 108
Dohovor Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov
LIBE
Výbor pre občianske slobody, spravodlivosť a vnútorné veci
JURI
Výbor pre právne veci
Nariadenie 2018/1725
zákon č. 211/2000 Z. z.
Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií)
5
zákon č. 9/2010 Z. z. Zákon č. 9/2010 Z. z. o sťažnostiach v znení neskorších predpisov
EDPS
Európsky dozorný úradník pre ochranu údajov/ European Data Protection Supervisor
EÚ
Európska únia
EK
Európska komisia
EHP
Európsky hospodársky priestor
EDPB
Európsky výbor pre ochranu údajov (European Data Protection Board) zriadený podľačl. 68 Nariadenia
8
1ÚVODCieľom tejto správy je poskytnúť nielen štatistické ukazovatele o stave a činnosti úradu, ale ucelený obraz o stave ochrany osobných údajov v rámci Slovenskej republiky a aktivitách úradu na medzinárodnej úrovni. Súčasťou uvedeného cieľa je objektívna charakteristika reálneho stavu úradu s dôrazom na jeho personálne, materiálne a finančné zabezpečenie, spojená s návrhmi zmien, ktorých nevyhnutnosť z týchto skutočností jednoznačne vyplýva. Samotné dotknuté osoby, ktorými sú v rozhodujúcej miere občania SR, uvedomujúc si význam ochrany osobných údajov a domáhajúc sa svojich práv, prostredníctvom svojich podnetov priamo či nepriamo poukazujú na nedostatočnosť personálneho obsadenia a finančného zabezpečenia úradu. V súčasnej situácii nie je možné, a to ani krátkodobo, dosiahnuť úroveň dozoru nad ochranou osobných údajov, ku ktorej je Slovenská republika zaviazaná. Jednou z príčin dlhodobo nepriaznivej finančnej a následne aj personálnej poddimenzovanosti úradu je skutočnosť, že úrad v rámci štátneho rozpočtu doposiaľ nedisponuje vlastnou rozpočtovou kapitolou, na čo dlhodobo upozorňuje nielen vedenie úradu, ale vo svojich záveroch to konštatuje aj Európska komisia.
Úrad opakovane poukazuje aj na to, že nedodržaním odporúčaní a nesplnením povinností vyplývajúcich z práva Európskej únie hrozí členskému štátu konanie o porušení povinností, ktoré iniciuje Európska komisia podľa článku 258 a nasl. Zmluvy o fungovaní Európskej únie. V prípade, ak sa preukáže, že štát si nesplní svoju povinnosť, ktorú mu právo EÚ uložilo, hrozia členskému štátu peňažné sankcie s možnosťou uloženia paušálnej pokuty až do doby, kedy bude stav v členskom štáte zodpovedať stavu vyžadovanému právom EÚ. Odkladanie úradom dlhodobo ponúkaných riešení môže mať pre Slovenskú republiku, ako aj pre samotný úrad nežiaduce konzekvencie napríklad v podobe konaní vedených voči Slovenskej republike zo strany Európskej komisie, čo by mohlo negatívne ovplyvniť aj vnímanie Slovenskej republiky ako právneho štátu. Majúc na zreteli závery hodnotenia, ktorými Európska komisia (okrem iného) Slovenskej republike odporučila navýšiť personálne kapacity a finančné zabezpečenie úradu, je žiaduce opätovne poukázať na možnosť vytvorenia samostatnej rozpočtovej kapitoly úradu, ktorá je základným predpokladom objektívnej identifikácie jeho rozpočtových potrieb. Tým bude zabezpečená nielen nezávislosť rozpočtu úradu ako takého, ale aj nezávislosť rozpočtu úradu od výšky vybratých pokút, nakoľko pôsobnosť či poslanie úradu v žiadnom prípade nespočívajú vo výbere určeného objemu pokút.
V tejto súvislosti je potrebné pripomenúť aj požiadavku Ministerstva financií Slovenskej republiky, aby úrad v zmysle Uznesenia vlády č. 649 zo dňa 14. októbra 2020 reflektoval zámer zníženia stavu zamestnancov o 10 % naprieč celou štátnou správou (v podmienkach úradu to malo dopad na päť zamestnancov). Uvedené plošné opatrenie malo na úrad s beztak nízkym počtom zamestnancov devastačné následky a v konečnom dôsledku bolo nelogické a neefektívne, čo nemalou mierou prispelo k tomu, že úrad už nie je schopný v požadovanom rozsahu a kvalite plniť úlohy štátu v oblasti ochrany osobných údajov (nielen) jeho občanov.
Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv fyzických osôb pri spracúvaní osobných údajov a ktorý vykonáva dozor nad ochranou osobných údajov vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi pri plnení úloh na účely trestného konania, ak nie je v § 81 ods. 7 a 8 zákona ustanovené inak. Povinnosti štátu pri ochrane osobných údajov dotknutých osôb sú vymedzené aj v príslušných nariadeniach ustanovujúcich nielen autority, ktoré sú zodpovedné za dodržiavanie ochrany osobných údajov, ale aj súvisiace kontrolné mechanizmy. V intencii legislatívy EÚ a SR úrad poskytoval služby v oblasti ochrany osobných údajov aj v roku 2023. Po celkovom útlme spôsobenom dlhodobo pretrvávajúcou pandémiou covid-19 úrad v tomto roku zaznamenal zvýšenie záujmu fyzických i právnických osôb o problematiku ochrany osobných údajov, ktoré sa prejavilo nárastom počtu rôznych podaní, ako aj bežných žiadostí o usmernenia pri
9
spracúvaní osobných údajov uplatňovaných písomne alebo telefonicky. V sledovanom období však pretrvávalo aj výrazné zaťažovanie úradu kamerovými systémami, ktoré sú prevádzkované fyzickými osobami spravidla na účel ochrany ich života, zdravia a majetku. Aj keď je nepochybné, že dozor nad dodržiavaním pravidiel pri prevádzke predmetných kamerových systémov spadá do pôsobnosti úradu, je potrebné poukázať na to, že z hľadiska úloh, ktoré sú úradu zverené, nejde o prioritnú (ťažiskovú) oblasť, čo v konečnom dôsledku koliduje najmä s kapacitnými možnosťami úradu. Nielen uvedené skutočnosti prispeli k tomu, že rok 2023 bol pre úrad rokom záťažovým až vyčerpávajúcim. Situáciu úradu koncom roka 2023 navyše skomplikovalo nepredpokladané oznámenie o nepredĺžení nájomnej zmluvy zo strany prenajímateľa budovy, v ktorej úrad sídli. V tejto súvislosti úrad vyvíja aktivity zamerané na zabezpečenie nového sídla úradu.Úrad svojimi aktivitami v pracovných skupinách i pléne EDPB úspešne participuje na plnení jeho úloh, čím sa podieľa na riadení vývoja ochrany osobných údajov v rámci celej EÚ, nie vždy je však úspešný v súvisiacich vnútroštátnych legislatívnych procesoch, napríklad pri presadzovaní „DPIA“ (posúdenie vplyvu na ochranu osobných údajov) alebo v oblasti medzirezortných pripomienkových konaní.
V záujme skvalitnenia poskytovaných služieb sa úrad v rámci Operačného programu Integrovaná infraštruktúra 2014 - 2020 uchádzal o nenávratný finančný príspevok z prostriedkov Európskej Únie, a to implementáciou projektu Elektronizácia služieb Úradu na ochranu osobných údajov Slovenskej republiky. Uvedený projekt sa podarilo úspešne implementovať (de facto) v priebehu roka 2023 najmä vďaka aktívnej účasti zamestnancov úradu, ktorá v mnohých prípadoch presahovala rámec ich pracovných povinností. Celkové náklady na projekt dosiahli výšku 3 978 493,62 €. Je potrebné zdôrazniť, že udržateľnosť projektu v nasledujúcich rokoch už plne závisí od pridelenia finančných prostriedkov zo štátneho rozpočtu.
10
2POSTAVENIE, PERSONÁLNE ZABEZPEČENIE A ROZPOČET ÚRADUOchrana osobných údajov v Slovenskej republike je na základe zákona a Nariadenia zverená do pôsobnosti úradu. Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Pri výkone svojej pôsobnosti úrad postupuje nezávisle a pri plnení svojich úloh sa riadi ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Podľa § 21 ods.1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov je úrad rozpočtovou organizáciou.
2.2Personálne zabezpečenie úradu 2.2.1Verejné funkcie úradu Na čele úradu je predseda, ktorého volí a odvoláva NR SR na návrh vlády Slovenskej republiky. Funkčné obdobie predsedu úradu je päť rokov. Funkciu predsedníčky úradu zastávala Soňa Pőtheová, ktorá bola do funkcie zvolená NR SR dňa 14. mája 2015 na základe výsledku hlasovania poslancov NR SR (uznesenie Národnej rady Slovenskej republiky č. 1736/2015). Na základe vládneho návrhu na jej odvolanie z funkcie, ktorý bol NR SR doručený dňa 27.04.2020 (ČPT. 74
) bola dňa 29.04.2020 na základe výsledku hlasovania
poslancov NR SR
o návrhu na jej odvolanie zo svojej funkcie odvolaná (Uznesenie NR SR č. CRD-852/2020
z 29. apríla 2020
). Vedenia úradu sa následne v zmysle zákona ujala podpredsedníčka úradu. Funkciu podpredsedníčky úradu v súčasnosti zastáva Anna Vitteková, ktorá bola s účinnosťou od 2. januára 2016 do funkcie vymenovaná vládou Slovenskej republiky uznesením č. 658/2015 zo dňa 2. decembra 2015. V dôsledku odvolania predsedníčky úradu a nevymenovania nového predsedu úradu viedla úrad po celý rok 2023 podpredsedníčka úradu, ktorá v súlade s vyjadrením Úradu vlády SR vykonáva funkciu predsedu úradu už dlhodobo.
Zamestnanci úradu plnia vysoko odborné úlohy v zmysle zákona a Nariadenia a iné prevádzkové činnosti a povinnosti podľa všeobecne záväzných právnych predpisov. Ich zabezpečovanie si vyžaduje potrebný počet kvalifikovaných zamestnancov spôsobilých vykonávať odborné činnosti na expertnej úrovni, pričom je nevyhnutné aj zohľadnenie potrebnej miery zastupiteľnosti. Z pohľadu štruktúry boli v roku 2023 všetci zamestnanci zamestnancami v štátnozamestnaneckom pomere. Výber zamestnancov a obsadzovanie voľných štátnozamestnaneckých pozícií je realizované podľa zákonmi stanovených podmienok pre jednotlivé funkcie výlučne na základe výberových konaní, ktoré úrad zverejňuje na ústrednom portáli verejnej správy. K 31. decembru 2023 mal úrad obsadených 43 miest, z toho 43 zamestnancov v štátnozamestnaneckom pomere.
Uznesením vlády Slovenskej republiky č. 649 zo 14. októbra 2020 k návrhu rozpočtu verejnej správy na roky 2021 až 2023 bol v prílohe č. 1 pre Úrad na ochranu osobných údajov Slovenskej republiky určený limit zamestnancov 46. Úrad mal k 31. decembru 2023 neobsadené 3 štátnozamestnanecké miesta. Jedno neobsadené štátnozamestnanecké miesto bolo na odbore právnych služieb, druhé na odbore kancelária úradu. Tretie neobsadené štátnozamestnanecké miesto na úrade je dlhodobo určené pre predsedu úradu.
11
Priemerný vek zamestnancov úradu v rokoch:Počet zamestnancov úradu (skutočný stav):
Štátnozamestnanecký pomer
Výkon práce vo verejnom záujme
Stanovený limit zamestnancov v roku 2023 nebol dostatočný vzhľadom na rozsiahlosť agendy, ktorú úrad zabezpečuje a ktorá má stúpajúcu tendenciu aj z hľadiska objemu práce pripadajúcej na jedného zamestnanca. V záujme zabezpečenia činnosti úradu na požadovanej úrovni (za zohľadnenia reálnych ľudských možností) je nevyhnutné, aby bol počet zamestnancov významne navýšený (minimálne o 30 zamestnancov). Zaistí sa tak racionalita prerozdeľovania práce a možnosť vyššej špecializácie jednotlivých zamestnancov, nakoľko v súčasnosti mnohí vykonávajú kumulované činnosti, z ktorých každá vyžaduje plné sústredenie a pozornosť. Poddimenzovaný počet zamestnancov má súčasne vplyv na to, že nie je možné zvyšovať potrebnú špecializáciu vytváraním nových odborov a oddelení, ktoré by od existujúcich prevzali a následne rozvinuli niektoré agendy na expertnú úroveň.
Agenda úradu aj v kontexte povinností vyplývajúcich z Nariadenia neúmerne stúpla a naďalej má rastúci trend. Súčasná situácia je dlhodobo neudržateľná a nedostatok kvalifikovaných zamestnancov sa nevyhnutne prejavuje aj v kvalite práce, prípadne vyúsťuje aj do nemožnosti dodržania procesných lehôt. Pre naplnenie strategického smerovania činnosti úradu je nevyhnutné, aby sa nielen navýšil samotný počet zamestnancov, ale aby sa vytvoril aj priestor na priebežné zvyšovanie ich kvalifikácie (odborný rast, primeraná schopnosť reagovať na požiadavky digitalizácie verejnej správy i digitalizácie života všeobecne).
Úrad je nutné posilniť aj o expertov na informačné technológie, nakoľko stále viac spracovateľských činností prebieha elektronickou formou a je potrebné, aby sa tak v rámci konaní, ako aj kontrol vedel úrad na expertnej úrovni vyjadrovať k informačným technológiám využívaným prevádzkovateľmi a sprostredkovateľmi.
Úrad taktiež pociťuje nedostatok zamestnancov venujúcich sa legislatíve, a to tak v oblasti jej tvorby, ako aj jej pripomienkovania, nakoľko ide o zdĺhavý proces skúmania predloženého návrhu právneho predpisu, či nelegislatívneho návrhu, ktorý si vyžaduje vysokú pozornosť a sústredenie a je nevyhnutné, aby mal zamestnanec na takúto prácu dostatok času a vedomostí, a to nielen teoretických, ale aj praktických. Poddimenzovaná personálna situácia úradu sa prejavuje aj v tom ohľade, že úrad toho času nemôže vôbec pomýšľať na zriadenie detašovaných pracovísk, čím by sa priblížil k dotknutým osobám, prevádzkovateľom a sprostredkovateľom.
Ako problematická sa javí nemožnosť adekvátnymi platovými podmienkami získať a dlhodobo udržať erudovaných špecialistov, v dôsledku čoho úrad nie je v rovnocennej pozícii voči prevádzkovateľom a ich možnostiam, čo je v konečnom dôsledku vždy v neprospech dotknutej osoby.
V roku 2023 sa uskutočnilo 14 výberových konaní na rôzne pozície, na ktorých sa zúčastnilo celkovo 15 uchádzačov, čo znamená, že výberového konania sa priemerne zúčastnil len jeden uchádzač. V porovnaní s rokom 2017 ide o značný pokles, nakoľko sa v tomto období jedného výberového konania
12
zúčastnili v priemere až 3 uchádzači. Dopady nezáujmu o pracovné pozície v štátnozamestnaneckom pomere, ktoré úrad ponúka, navyše umocňuje fluktuácia jeho zamestnancov, čo vo všeobecnosti, ale aj v podmienkach hlavného mesta signalizuje nedostatok finančných prostriedkov určených na adekvátne ohodnotenie ich práce. Z aplikačnej praxe úradu vyplynula akútna potreba vzniku minimálne dvoch detašovaných pracovísk, jedného na strednom a jedného na východnom Slovensku. Dôvodom potreby vzniku týchto pracovísk je, aby boli zamestnanci úradu bližšie k dotknutým osobám aj z týchto oblastí Slovenska a tiež skutočnosť, že by sa takto zefektívnil výkon kontrol a podstatne by sa znížili náklady úradu na cestovanie zamestnancov z Bratislavy; úrad by tiež prispel k zvýšeniu zamestnanosti v týchto regiónoch, kde je stále dostatok kvalifikovaných ľudí, ktorí sa za prácou nemôžu alebo nechcú sťahovať. Uvedenú požiadavku sa vďaka implementácii projektu Elektronizácia služieb Úrad na ochranu osobných údajov Slovenskej republiky darí napĺňať (spustili sa procesy na vytvorenie detašovaných pracovísk v piatich mestách SR).
Úrad je rozpočtovou organizáciou, ktorá je svojimi príjmami a výdavkami naviazaná na štátny rozpočet prostredníctvom kapitoly Všeobecná pokladničná správa, ktorú spravuje Ministerstvo financií Slovenskej republiky.
Na rok 2023 bol pre úrad pôvodne schválený rozpočet vo výške 1 951 548,00 €. V priebehu roka bol navýšený rozpočet úradu na výšku 2 016 911,90 €.
Čerpanie rozpočtu úradu k 31.12.2023 bolo vo výške 2 016 636,10 €, čo predstavuje 99,99 % z celkového upraveného rozpočtu úradu na rok 2023.
Rozpočet úradu za obdobie od 01.01.2023 do 31.12.2023 v €:
Schválený rozpočet k 01.01.2023
Upravený
rozpočet k 31.12.2023
Čerpanie rozpočtu od 01.01.2023
do 31.12.2023
Mzdy, platy, služobné príjmy a OOV (610)
0EK0W02 bežné výdavky (630)
Bežné výdavky spolu (600)
0EK0W02 kapitálové výdavky (710)
Analogicky s potrebou navýšenia počtu zamestnancov úradu rezultujúcou z nárastu jeho agendy (nárast objemu pracovných úloh a súvisiacej zodpovednosti za ich plnenie) je aktuálnou aj potreba doplnenia a obnovy jeho materiálno-technického vybavenia. Ako príklad možno uviesť nárast agendy úradu súvisiacej s pravidelnou účasťou na zasadnutiach expertných skupín Výboru a pracovných skupín Rady, ktorých predmetom sú dôležité usmernenia a dokumenty ovplyvňujúce uplatňovanie práva EÚ na území Slovenskej republiky, alebo skutočnosť, že rozsah kontrolnej činnosti úradu limitovaný jeho skromnými
13
personálnymi zdrojmi neposkytuje priestor na vyhľadávanie a analýzu nových technológií či spôsobov spracúvania osobných údajov.Úrad vykonáva činnosti vyplývajúce nielen z Nariadenia a zákona, ale aj iných osobitných predpisov, napríklad z Nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) 2019/493 z 25. marca 2019, ktorým sa mení nariadenie (EÚ, Euratom) č. 1141/2014, pokiaľ ide o postup overovania porušovania pravidiel o ochrane osobných údajov v kontexte volieb do Európskeho parlamentu (pozri čl. 10a ods. 2 uvedeného
nariadenia
). Ak úrad v konaní o ochrane osobných údajov rozhodne, že fyzická alebo právnická osoba porušila príslušné pravidlá o ochrane osobných údajov, a ak z daného rozhodnutia vyplýva alebo ak sú iné opodstatnené dôvody domnievať sa, že porušenie súvisí s politickými činnosťami európskej politickej strany alebo európskej politickej nadácie v kontexte volieb do Európskeho parlamentu, rozhodnutie oznámi Úradu pre európske politické strany a nadácie. Služobné motorové vozidlá úradu k 31.12.2023:
Úrad v súčasnosti využíva 7 osobných motorových vozidiel, ktoré slúžia predovšetkým na dopravu zamestnancov odboru kontroly pri vykonávaní kontrolných činností, ďalej na operatívne prepravné služby, najmä v prípade expedície pošty, a v minimálnej miere na prepravu ostatných zamestnancov úradu vrátane jeho vedenia.
Vozový park úradu je prevažne tvorený automobilmi vo veku 7 až 10 rokov, pričom automobil značky Škoda Roomster z roku 2012 je už využívaný minimálne pre svoju nespoľahlivosť. V roku 2017 bol pre potreby predsedníčky úradu zakúpený osobný automobil Škoda Superb Combi. V súčasnosti je tento automobil k dispozícii odboru kontroly, nakoľko zamestnanci odboru kontroly v prípade kontroly vo vzdialenejších miestach potrebujú pre svoj výkon práce bezpečnejšie a spoľahlivejšie automobily než akými úrad v súčasnosti v prevažnej miere disponuje. Automobil Škoda Octavia z roku 2014 bol využívaný sporadicky pre potreby podpredsedníčky úradu.
V roku 2023 boli úradu na základe žiadosti podpredsedníčky úradu pridelené kapitálové rozpočtové prostriedky na nákup motorového vozidla vo výške 36 000 €. Úrad v novembri 2023 zakúpil motorové vozidlo zn. Hyundai Tucson.
14
3LEGISLATÍVNA ÚPRAVA OCHRANY OSOBNÝCH ÚDAJOV3.1Medzirezortné pripomienkové konania Úrad je orgán štátnej správy s celoslovenskou pôsobnosťou vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných ľudských práv a slobôd pri spracúvaní osobných údajov fyzických osôb. Úrad si plní svoju úlohu v oblasti dozoru nad spracúvaním osobných údajov aj tým, že dohliada a vyjadruje sa k návrhom zákonov a ostatných všeobecne záväzných právnych predpisov (materiály legislatívnej povahy) a tiež k nelegislatívnym materiálom (vízie, stratégie a pod.). Svoje vyjadrenia k návrhom formuluje prostredníctvom portálu Slov-Lex v rámci MPK. Cieľom uplatňovaných pripomienok zo strany úradu je skvalitnenie právnych predpisov upravujúcich spracúvanie osobných údajov, keďže je potrebné dosiahnuť to, aby prijatá legislatíva a akty nelegislatívnej povahy rešpektovali európske štandardy, a tiež, aby bola prijatá právna úprava vo vzťahu k adresátom presná a jednoznačná. Úrad pri tejto činnosti dbá na to, aby prevádzkovatelia mali jasne určené svoje zodpovednosti, ustanovené pravidlá pre spracúvanie osobných údajov, a zároveň aby táto právna úprava bola transparentná voči dotknutým osobám, ktorých údaje sú predmetom spracúvania.
V rámci sledovaného obdobia úrad uplatnil pripomienky k 80 materiálom zo všetkých, ktoré boli predložené do MPK (bez ohľadu na to, či šlo o materiál legislatívnej alebo nelegislatívnej povahy). Spolu úrad uplatnil 171 pripomienok, pričom 120 z nich bolo zásadných.
Aj počas roka 2023 úrad zaznamenal snahu niektorých rezortov o väčší dôraz na správnu úpravu spracúvania osobných údajov, o čom svedčí aj zníženie počtu uplatnených zásadných pripomienok oproti predchádzajúcemu roku. Zároveň úrad kvituje využitie možnosti predkladateľa obrátiť sa na úrad so žiadosťou o spoluprácu pri nastavovaní legislatívy najmä pri rozsiahlych spracovateľských činnostiach, aby sa tak eliminovali nedorozumenia či zásadné pripomienky zo strany úradu. Menšie nedostatky právnych predpisov je možné následne korigovať obyčajnými pripomienkami, ktoré v zásade správnu formuláciu ustanovenia len precizujú, alebo upravia do podoby, ktorá, pokiaľ ide o spracúvanie, je správna.
Úrad v sledovanom období uplatnil pripomienky aj k niekoľkým materiálom nelegislatívnej povahy. Uplatňovanými pripomienkami k takýmto materiálom sa tak úrad snaží predkladateľa upozorniť na potrebu ochrany a rešpektovanie legislatívy týkajúcej sa spracúvania osobných údajov. Ak z takéhoto materiálu (napríklad z koncepcie, akčného plánu, stratégie) vyplýva aj úprava spracúvania osobných údajov, do budúcna sa takýto materiál stáva podkladom z neho vyplývajúcich legislatívnych úprav už existujúcich právnych predpisov, alebo podkladom pre tvorbu nových právnych predpisov, či plnenie iných stanovených cieľov.
V súvislosti s legislatívou sa úrad v roku 2023 stretol aj s nerešpektovaním jeho úloh vyplývajúcich zo samotného všeobecného nariadenia o ochrane údajov. Taktiež úrad upozorňuje na to, že niektoré jeho pripomienky zásadného charakteru nie sú v rámci vyhodnotenia medzirezortného pripomienkového konania relevantným spôsobom vyhodnocované. Takéto spôsoby tvorby (prijímania) právnych predpisov s dosahom na ochranu osobných údajov môžu viesť v praxi k závažným zásahom do ústavou garantovaných ľudských práv.
Podstatnou úlohou úradu v tejto oblasti je postarať sa o to, aby bola právna úprava pre svojich adresátov čo najtransparentnejšia a najjasnejšia, aby dotknuté osoby, ktorým sa má poskytovať ochrana, mohli v zákonom predpokladaných situáciách spracúvanie očakávať ako aj byť uzrozumené s mierou, do akej môže byť ich súkromie narušené. Túto úlohu mu však sťažuje nielen vyššie uvedené, ale aj samotná skutočnosť, že úradu bola portálom Slov-Lex odňatá možnosť označovať v tomto portáli svoje
15
pripomienky ako zásadné. Úrad pri tom svojimi zásadnými pripomienkami poukazuje na viac či menej zásadné nedostatky právnych noriem, ktoré je potrebné doplniť, či prepracovať. V sledovanom období v porovnaní s predchádzajúcim rokom stále mnoho zásadných pripomienok úradu smerovalo k potrebe určiť alebo spresniť účel, na ktorý majú byť osobné údaje spracúvané, nakoľko niektoré účely spracúvania boli formulované veľmi všeobecne, alebo úplne absentovali, čo z hľadiska právnej istoty a vykonateľnosti právnej normy v praxi by určite spôsobovalo problémy a bolo v neprospech dotknutej osoby. Pripomienky sa tiež týkali rozsahu osobných údajov, ktoré majú byť spracúvané, nakoľko predkladateľ často neuviedol konkrétne údaje, a tieto nedokázal vymedziť ani v priebehu rozporového konania, čo kolidovalo aj so zásadou minimalizácie údajov. Úrad následne nevedel posúdiť nevyhnutnosť či primeranosť spracúvania a poskytnúť tak relevantné odporúčanie. Úrad v rámci rozporových konaní dostáva často neuspokojivé odpovede týkajúce sa potreby spracúvania nad rámec toho, čo je naozaj nevyhnutné. V niekoľkých prípadoch naopak po vysvetlení a riadnom zdôvodnení zo strany predkladateľa úrad ustúpil od pripomienky, rozpor sa odstránil vysvetlením a formulácia navrhovaného ustanovenia bola spoločne upravená. Úrad na rozporových konaniach tiež ďalej apeluje na predkladateľov s tým, aby takéto vysvetlenia a dôkladné zdôvodnenia, či už rozsahu osobných údajov, ktorý sa má spracúvať, alebo nevyhnutnosti spracúvania, upravovali priamo v dôvodovej správe k dotknutému ustanoveniu. Tým by sa zámery stali transparentnými aj pre dotknuté osoby.
Úrad naďalej eviduje nedostatky aj v absencii odkazov na iné osobitné zákony, ktoré spresňujú a dopĺňajú samotný účel spracúvania osobných údajov v zmysle právnej agendy, ktorej sa môže spracúvanie týkať, prípadne odkazujú na ustanovenie iného zákona, kde je ustanovený rozsah alebo zoznam spracúvaných osobných údajov na ustanovený účel.
Často opakujúcou sa zásadnou pripomienkou za hodnotené obdobie je aj nedostatočná alebo žiadna úprava obmedzenia práv dotknutých osôb, ktoré sú priznané všeobecným nariadením o ochrane údajov alebo smernicou o presadzovaní práva. V tejto súvislosti úrad zdôrazňuje, že každé takéto obmedzenie práva musí byť upravené v konkrétnom právnom predpise, ktorým je právo potrebné obmedziť, a to pre potreby konkrétneho predloženého návrhu. Takáto úprava právneho predpisu vo väčšine prípadov neobsahovala takmer žiadne záruky pre dotknuté osoby, ktoré majú slúžiť dotknutým osobám zo strany prevádzkovateľa ako garancia proti zneužitiu.
Jedným z ďalších nedostatkov, s ktorými sa úrad v rámci svojej pripomienkovacej činnosti stretol a ktoré aj naďalej pretrvávajú je skutočnosť, že bolo niekoľkokrát opomenuté rozporové konanie k zásadným pripomienkam, ktoré si úrad uplatnil, a o prijatí ako aj záverečnej forme (či boli pripomienky akceptované alebo nie) sa dozvedel až zo znenia predpisu vyhláseného v Zbierke zákonov. Odstránením funkcie (možnosti) uplatňovať prostredníctvom Portálu zásadné pripomienky sa uvedený stav ešte prehĺbil, nakoľko obyčajné pripomienky nie sú predmetom rozporových konaní. Týmto sa značne oslabuje pozícia úradu a čiastočne znemožňuje plnenie úloh úradu vyplývajúcich zo samotného Nariadenia, čo vzhľadom na možný nepriaznivý dopad pri uplatňovaní právnych predpisov prijatých v rozpore s Nariadením, nie je žiaduci stav.
3.2Metodické usmernenia a informácie Úrad metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov, zvyšuje povedomie verejnosti v oblasti rizík a práv súvisiacich so spracúvaním osobných údajov a tiež zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich právach a povinnostiach. Osvedčenou formou usmerňovania prevádzkovateľov a sprostredkovateľov a informovania verejnosti, najmä dotknutých osôb, sa na základe praxe úradu stali metodické usmernenia úradu a krátke „ad hoc“ metodiky publikované na webovom sídle úradu, ktoré sú venované otázkam a problematikám, ktoré sú v danom
16
čase predmetom záujmu verejnosti alebo z objektívnych dôvodov je potrebné o nich informovať.Úrad okrem iného využíva webové sídlo na informovanie o aktuálnych udalostiach týkajúcich sa ochrany osobných údajov. V sledovanom období úrad zverejnil napríklad nasledujúce informácie:
•Informácia o výsledkoch prvej koordinovanej akcie EDPB, ktorej bol slovenský dozorný orgán súčasťou (zverejnené 17.02.20231),
•Správa z EDPB „Cookies banners task force“ (zverejnené 17.02.20232),
•Sprievodca ochranou pre malé podniky (zverejnené 28.04.20233),
•Digitálna stopa – Čo všetko o nás a našich deťoch internet vie (zverejnené 18.05.20234),
•Vyhodnotenie V. ročníka súťaže o najlepšiu Zodpovednú osobu pre ochranu osobných údajov v Slovenskej republike v roku 2022 (zverejnené 14.06.20235),
•Ratifikácia a uloženie ratifikačných listín protokolu CETS 223 (zverejnené 15.06.20236),
•Dištančné poradenstvo ako efektívny nástroj nízkoprahovej pomoci pre všetky deti (zverejnené 26.06.20237),
•Zriadenie emailovej schránky na ochranu osobných údajov detí a mládeže (zverejnené 13.09.20238),
•Rešpektujúca komunikácia v online prostredí (zverejnené 25.09.20239),
•Spoločná správa o rokovaní slovenského a českého úradu na ochranu osobných údajov (zverejnené 03.10.202310),
•Vyhlásenie esejovej súťaže 2023 pre žiakov 8. a 9. ročníka základných škôl a 3. a 4. ročníka osemročných gymnázií (zverejnené 19.10.202311).
Úrad priebežne sleduje dianie v oblasti ochrany osobných údajov aj vo vzťahu k rozsudkom Európskeho súdu pre ľudské práva alebo Súdneho dvora Európskej únie. Všetky relevantné rozhodnutia s dosahom na ochranu a spracúvanie osobných údajov publikuje na svojom webovom sídle v časti Legislatíva
a judikatúra
. O významných rozhodnutiach informuje aj formou krátkej správy priamo v novinkách na svojom webovom sídle. 17
V sledovanom období úrad zverejnil informácie ohľadom rozhodnutia Súdneho dvora Európskej Únie:•Rozhodnutie SD EÚ vo veci Nemzeti Adatvédelmi és Információszabadság Hatóság (zverejnené 16.01.202312),
•Rozhodnutie SD EÚ vo veci Ministerstvo na vatreshnite raboti (Registrácia biometrických a genetických údajov políciou) (zverejnené 09.02.202313),
•Rozhodnutie SD EÚ vo veci X-FAB Dresden a vo veci KISA (zverejnené 16.02.202314),
•Rozhodnutie SD EÚ vo veci Bundesrepublik Deutschland (zverejnené 12.05.202315),
•Rozhodnutie SD EÚ vo veci Österreichische Post (zverejnené 16.05.202316),
•Rozhodnutie SD EÚ vo veci Österreichische Datenschutzbehörde and CRIF (zverejnené 23.05.202317),
•Rozhodnutie SD EÚ vo veci Komisia/Poľsko (zverejnené 13.06.202318),
•Rozhodnutie SD EÚ vo veci Pankki S (zverejnené 30.06.202319),
•Rozhodnutie SD EÚ vo veci Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete) (zverejnené 12.07.202320),
•Rozhodnutie SD EÚ vo veci FT (Kópia lekárskeho záznamu) (zverejnené 03.11.202321),
•Rozhodnutie SD EÚ vo veci Gesamtverband Autoteile-Handel (Prístup k informáciám o vozidlách) (zverejnené 13.11.202322),
•Rozhodnutie SD EÚ vo veci Ligue des droits humains (Overenie spracúvania dozorným orgánom) (zverejnené 28.11.202323),
•Rozhodnutie SD EÚ vo veci Nacionalinis visuomenės sveikatos centras a vo veci Deutsche Wohnen (zverejnené 13.12.202324),
•Rozhodnutie SD EÚ vo veci SCHUFA Holding (Určenie skóre) a vo veci SCHUFA Holding (Odpustenie zostatku dlhu) (zverejnené 15.12.202325).
18
Predmetom zverejňovania a nepriamo aj formou vzdelávania prevádzkovateľov, sprostredkovateľov, ako aj dotknutých osôb je zverejňovanie informácií a usmernení vydaných EDPS a EDPB na webovom sídle úradu. V sledovanom období boli na webovom sídle úradu zverejnené nasledujúce usmernenia a iné dokumenty EDPB, o ktorých úrad informoval:•Usmernenia o klamlivých dizajnových vzoroch v rozhraniach platforiem sociálnych médií: Ako ich rozpoznať a vyhnúť sa im (zverejnené 24.02.202326),
•Usmernenia o certifikácii ako nástroji na prenosy (zverejnené 24.02.202327),
•Usmernenia k právam dotknutých osôb - právo na prístup (zverejnené 18.04.202328),
•Usmernenia o používaní technológie na rozpoznávanie tváre v oblasti presadzovania práva (zverejnené 18.05.202329),
•Usmernenia k aplikácii článku 65 ods. 1 písm. a) všeobecného nariadenia o ochrane údajov (zverejnené 08.06.202330),
•Usmernenia o výpočte pokút podľa všeobecného nariadenia o ochrane údajov (zverejnené 08.06.202331),
•Odporúčania o žiadosti o schválenie a o prvkoch a zásadách, ktoré sa nachádzajú v záväzných vnútropodnikových pravidlách prevádzkovateľa (BCR-C) (zverejnené 30.06.202332).
19
4KOMUNIKÁCIA ÚRADU S VEREJNOSŤOU4.1Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb Problematika ochrany osobných údajov sa netýka len prevádzkovateľov alebo sprostredkovateľov, ktorí majú povinnosť aplikovať legislatívu ochrany osobných údajov v praxi, ale aj ľudí - konkrétnych fyzických osôb (dotknutých osôb) kladúcich otázky prameniace zo situácií bežného života, ktoré súvisia so spracúvaním ich osobných údajov. V sledovanom období významnú časť otázok tvorili otázky spojené so spracúvaním osobných údajov kamerovými systémami inštalovanými v bytových domoch, úrad však zaznamenal aj otázky rodičov súvisiace so spracúvaním osobných údajov ich detí v školách.
Na úrad sa so žiadosťami o stanovisko a poradenstvo obracalo mnoho prevádzkovateľov, ktorí sa zaujímali o povinnosti vyplývajúce z prevádzkovania internetových stránok či správneho nastavenia e-shopov, ale aj orgány verejnej správy a rôzne iné inštitúcie. Medzi často kladené patrili otázky smerujúce k právam dotknutých osôb, výmazu údajov z bankového či nebankového registra, zverejňovaniu údajov na katastrálnom portáli, kopírovaniu dokladov, zverejňovaniu údajov na internete, postaveniu subjektov pri spracúvaní osobných údajov, a takisto otázky spojené s pojmom „zodpovedná osoba“.
Prevádzkovatelia a sprostredkovatelia adresujú úradu najmä otázky odborného charakteru súvisiace s ich povinnosťami vyplývajúcimi z Nariadenia a zákona, prípadne z osobitných zákonov upravujúcich špecifické spracovateľské operácie. Nakoľko aj obce a mestá sú prevádzkovateľmi, niekoľké z nich sa obrátili na úrad v spojitosti s plnením informačnej povinnosti voči dotknutým osobám alebo inštaláciou a následnou prevádzkou kamier.
Zamestnanci úradu v sledovanom období reagovali na 701 žiadostí, z ktorých prevažná časť obsahovala viacero vzájomne súvisiacich či nesúvisiacich otázok.
4.2Poskytovanie informácií na základe žiadostí o sprístupnenie informácií podľa zákona č. 211/2000 Z. z. Prístup verejnosti k informáciám je možný aj na základe žiadostí uplatnených podľa zákona č. 211/2000 Z. z., ktoré úrad vybavuje v postavení povinnej osoby.
V roku 2023 bolo úradu doručených 130 žiadostí o sprístupnenie informácií; úrad v 98 prípadoch požadované informácie sprístupnil, v 10 prípadoch vydal rozhodnutie o nesprístupnení informácie sčasti, v 18 prípadoch vydal rozhodnutie o nesprístupnení informácie a v 4 prípadoch žiadosti o informácie, ktoré neboli v lehote uvedenej vo výzve úradu doplnené, odložil.
Ďalšie 4 žiadosti postúpila kancelária úradu na vybavenie inému vecne príslušnému organizačnému útvaru úradu, nakoľko z obsahu žiadostí vyplývalo, že nejde o žiadosť o sprístupnenie informácie. Celkom 3 žiadosti o informácie boli „späťvzaté“ zo strany žiadateľov.
4.3 Komunikácia úradu s médiami Predmetom otázok zo strany médií boli konkrétne situácie či udalosti spojené so spracúvaním alebo ochranou osobných údajov, napríklad s rozsahom práv, ktorých sa dotknutá osoba môže u prevádzkovateľa domáhať, alebo so správnymi postupmi ich uplatňovania.
20
V rámci úloh stanovených Akčným plánom k Národnej koncepcii ochrany detí v digitálnom priestore na roky 2022 a 2023 úrad v roku 2023 pristúpil k vyhláseniu esejovej súťaže pre žiakov 8. a 9. ročníka základných škôl a 3. a 4. ročníka osemročných gymnázií na témy „Čo o mne vie internet“ a „Ja a moja budúcnosť na sociálnych sieťach“. Ambíciou projektu bolo zvýšenie povedomia mladých ľudí o potrebe chrániť osobné údaje v digitálnom svete, ktorý je už v súčasnosti neraz priestorom pre ich zneužitie. Do súťaže sa zapojilo 11 žiakov z rôznych základných škôl na území Slovenska. Vyhodnocovaním prác bola poverená päťčlenná komisia zložená zo zamestnancov úradu. Výsledky esejovej súťaže úrad vyhlásil v januári 2024. Mená troch víťazov boli spolu s výhernými prácami zverejnené na webovom sídle úradu. V súlade s plnením úloh uvedeného Akčného plánu úrad v septembri 2023 pristúpil k zriadeniu samostatnej e-mailovej adresy pre otázky súvisiace s ochranou osobných údajov pod názvom junior@pdp.gov.sk
, ktorá je určená mládeži a deťom. Úrad v sledovanom období širokej verejnosti pripomenul medzinárodný deň ochrany osobných údajov 2023 (zverejnené 28.01.202333) a piate výročie uplatňovania všeobecného nariadenia o ochrane údajov (GDPR) a zákona č. 18/2018 Z. z. o ochrane osobných údajov v praxi (zverejnené 25.05.202334).
4.4Webové sídlo úradu a jeho návštevnosť Webové sídlo úradu spĺňa podmienky a technické kritériá v zmysle Výnosu Ministerstva financií SR o štandardoch pre informačné systémy verejnej správy, reflektuje novú legislatívnu úpravu v oblasti ochrany osobných údajov a je postupne dopĺňané o nové funkcionality a aktuálne formuláre, metodiky či usmernenia. Úrad, ktorý pri kreácii vzhľadu a štruktúry webového sídla vychádzal aj z praxe, sa snaží webové sídlo sprehľadňovať tak, aby bolo čo najviac užívateľsky prívetivé. V sledovanom období sa úrad snažil skvalitniť a doplniť najmä anglickú verziu, aby dotknuté osoby mohli získať informácie aj v prípade, ak neovládajú slovenský jazyk a tiež v kontexte schengenského hodnotenia, v rámci ktorého bola pozornosť venovaná aj prístupu a poskytovaniu informácií v anglickom jazyku, prípadne v inom cudzom jazyku či jazyku národnostnej menšiny.
Počas sledovaného obdobia bola webová stránka úradu vyhľadávaná celkovo 1 167 234 krát.
4.5Webové sídlo úradu a oznamovanie porušení ochrany osobných údajov Webové sídlo úradu je jedným z kľúčových zdrojov informácií pre oblasť ochrany osobných údajov. Zároveň je základnou službou podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
Prevádzkovatelia a sprostredkovatelia sú povinní zabezpečiť nepretržitú dôveryhodnosť, integritu, dostupnosť a odolnosť systémov a služieb spracúvania a v pravidelných intervaloch posudzovať účinnosť zavedených technických a organizačných opatrení. Napriek tomu môže dôjsť (či už vplyvom zámernej činnosti, nedbalosti, omylu alebo živelnej udalosti) k porušeniu ochrany osobných údajov, ktorého dôsledkom môže byť náhodné alebo protiprávne zničenie, strata, zmena, neoprávnené poskytnutie alebo sprístupnenie prenášaných, uložených alebo inak spracúvaných osobných údajov.
Prevádzkovateľ má podľa čl. 33 Nariadenia alebo podľa § 40 zákona povinnosť oznámiť porušenie ochrany osobných údajov (tzv. „DataBreach“) úradu. Uvedenú povinnosť môže splniť viacerými spôsobmi, z ktorých odporúčaným je využitie formulára zverejneného na webovom sídle úradu. Formulár bol
21
začiatkom sledovaného obdobia precizovaný, aby úrad na jeho základe získal informácie potrebné na posúdenie oznamovaného porušenia ochrany osobných údajov. Do jednotného systému kybernetickej bezpečnosti, ktorého správcom je NBÚ SR, sú oznamované bezpečnostné incidenty súvisiace so základnou a digitálnou službou podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti; teda incidenty, ktoré môžu súčasne spadať aj do pôsobnosti úradu. Z uvedeného dôvodu je nevyhnutné, aby kybernetický incident, ktorým boli zasiahnuté aj osobné údaje, bol v nevyhnutnom rozsahu z pozície prevádzkovateľa oznamovaný úradu.
V sledovanom období bolo úradu formálne oznámených 185 porušení ochrany osobných údajov, ktoré úrad preskúmal a následne ako porušenie ochrany osobných údajov vyhodnotil 154 oznámení. V porovnaní s rokom 2022 je významný nárast zreteľný v oblastiach prelínajúcich sa s kybernetickou bezpečnosťou.
Oznámené porušenia ochrany osobných údajov za rok 2023 podľa druhu incidentu:
Neoprávnené poskytnutie/sprístupnenie
22
4.6Projekt 311071Z328 Elektronizácia služieb Úradu na ochranu osobných údajov SRV roku 2023 boli ukončené aktivity v rámci projektu 311071Z328 Elektronizácia služieb Úradu na ochranu osobných údajov SR, ktorého cieľom bolo vybudovanie komplexného informačného systému s podporou elektronických procesov úradu. Projekt zavádza a optimalizuje automatizáciu procesov, čo zefektívni vykonávanie agendy úradu a uľahčí jeho komunikáciu s rôznymi subjektmi, najmä však s dotknutými osobami, prevádzkovateľmi a sprostredkovateľmi, ako aj s orgánmi verejnej správy.
Všetky informácie vzťahujúce sa k projektu sú uvedené v príslušných informačných systémoch verejnej správy ITMS2014+ a MetaIS. Celkové náklady spojené s realizáciou projektu dosiahli výšku 3 978 493,62 € (590 092,80 € v roku 2022 a 3 388 400,82 € v roku 2023).
23
5ZODPOVEDNÉ OSOBY A PRÁVA DOTKNUTÝCH OSÔB Za dohľad nad ochranou osobných údajov spracúvaných podľa Nariadenia a zákona zodpovedá prevádzkovateľ. V uvedenej intencii prevádzkovateľ a sprostredkovateľ môžu a v prípadoch vymedzených Nariadením a zákonom sú povinní určiť zodpovednú osobu a upovedomiť o tom úrad.
Zodpovedné osoby oznámené úradu:
V sledovanom období boli úradu v postavení prevádzkovateľa doručené 3 žiadosti dotknutých osôb. V dvoch prípadoch si dotknuté osoby uplatnili právo na prístup k osobným údajom podľa čl. 15 a v treťom prípade si dotknutá osoba uplatnila právo na výmaz osobných údajov podľa čl. 17 Nariadenia.
V prvom prípade bola dotknutá osoba úradom informovaná o konkrétnych osobných údajoch, ktoré úrad spracúva (meno, priezvisko, adresa, kontaktné údaje, bankové spojenie, štátne občianstvo, rodné číslo, číslo občianskeho preukazu a iné). Druhú žiadosť o prístup k osobným údajom, ktorá bola dotknutou osobou podaná koncom roka 2023, úrad v určenej lehote vybavil v nadchádzajúcom roku.
V súvislosti s uplatnením práva na výmaz osobných údajov bola dotknutá osoba v Nariadením stanovenej lehote informovaná o tom, že úrad ku dňu doručenia žiadosti jej osobné údaje nespracúval a zároveň bola poučená o tom, že v súvislosti s uplatnením práva dotknutej osoby úrad začal spracúvať jej osobné údaje; dotknutej osobe boli súčasne poskytnuté najmä informácie o účele spracúvania, právnom základe spracúvania a dobe uchovávania jej osobných údajov.
24
6SCHVAĽOVACIA A KONZULTAČNÁ ČINNOSŤ ÚRADU6.1Predchádzajúca konzultácia Úrad je podľa čl. 35 ods. 5 Nariadenia oprávnený stanoviť a zverejniť zoznam spracovateľských operácií, pri ktorých sa posúdenie vplyvu na ochranu údajov nevyžaduje (tzv. „white list“). K aplikácii uvedeného ustanovenia úrad zatiaľ nepristúpil.
Úrad však podľa čl. 35 ods. 4 Nariadenia vypracoval a na svojom webovom sídle35 zverejnil zoznam spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov (tzv. „black list“). Ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie osobných údajov by viedlo k vysokému riziku a ak neboli prijaté opatrenia na zmiernenie tohto rizika, prevádzkovateľ je povinný uskutočniť s dozorným orgánom pred spracúvaním konzultácie.
6.2Prenos osobných údajov Voľný pohyb osobných údajov v rámci EÚ sa zaručuje. Pri prenose osobných údajov do krajín mimo EÚ alebo medzinárodným organizáciám je potrebné dodržiavať dodatočné požiadavky na ochranu osobných údajov uvedené v Nariadení a smernici 2016/680. Aj keď niektoré nástroje na prenos osobných údajov podľa oboch právnych predpisov sú rovnaké, vždy je potrebné skúmať vecnú pôsobnosť použitého nástroja. Pri prenose osobných údajov sa rozlišuje prenos do tretej krajiny (medzinárodnej organizácii) zaručujúcej primeranú úroveň ochrany a prenos do tretej krajiny (medzinárodnej organizácii), ktorá primeranú úroveň ochrany nezaručuje.
6.2.1Prenos do krajiny zaručujúcej primeranú úroveň ochrany osobných údajov O tom, či tretia krajina zaručuje primeranú úroveň ochrany osobných údajov, rozhoduje EK. Ide o tretie krajiny, ktoré na základe ich vnútroštátneho práva alebo medzinárodných dohôd, ktorými sú viazané, zaručujú úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v právnom poriadku EÚ. EK vydáva rozhodnutie o primeranosti osobitne pre vecnú pôsobnosť Nariadenia a osobitne pre vecnú pôsobnosť smernice 2016/680. Rozhodnutia o primeranosti, ktoré EK vydala v čase pôsobnosti zákona č. 122/2013 Z. z., zostávajú v platnosti, pokiaľ ich EK nezmení, nenahradí alebo nezruší rozhodnutím prijatým podľa Nariadenia. Uvedené rozhodnutia sa vzťahujú len na prenos osobných údajov v rámci vecnej pôsobnosti Nariadenia, nie smernice 2016/680. Úrad zverejňuje rozhodnutia o primeranosti na svojom webovom sídle. V hodnotenom období EK vydala sektorové rozhodnutie o primeranosti pre Spojené štáty americké36.
6.2.2Prenos do krajiny nezaručujúcej primeranú úroveň ochrany osobných údajov Aj pri prenose do krajiny alebo medzinárodnej organizácii nezaručujúcej primeranú úroveň ochrany je potrebné rozlišovať medzi nástrojmi, ktoré ponúka Nariadenie a nástrojmi, ktoré ponúka Smernica 2016/680.
25
6.2.2.1Prenos podľa NariadeniaPokiaľ EK nevydala rozhodnutie o primeranosti, prípadne rozhodnutie o primeranosti zrušila, prevádzkovateľ alebo sprostredkovateľ môže na prenos využiť aj tieto inštitúty:
a)právne záväzný a vykonateľný nástroj medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi,
b)záväzné vnútropodnikové pravidlá (v hodnotenom období neboli úradom prijaté žiadne záväzné vnútropodnikové pravidlá),
c)štandardné doložky o ochrane údajov, ktoré prijala EK (v hodnotenom období neboli komisiou prijaté žiadne štandardné doložky podľa Nariadenia),
d)štandardné doložky o ochrane údajov, ktoré prijal dozorný orgán (v hodnotenom období neboli úradom prijaté žiadne štandardné doložky podľa Nariadenia),
e)schválený kódex správania (v hodnotenom období neboli úradom schválené žiadne kódexy správania),
f)schválený certifikačný mechanizmus (v hodnotenom období neboli úradom schválené žiadne certifikačné mechanizmy),
g)zmluvné doložky (v hodnotenom období neboli úradom schválené žiadne zmluvné doložky),
h)ustanovenia, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb (v hodnotenom období neboli úradom schválené žiadne administratívne dojednania),
i)výnimky pre osobitné situácie podľa čl. 49 Nariadenia,
j)ojedinelý prenos osobných údajov podľa čl. 49 ods. 1 druhý pododsek Nariadenia.
6.2.2.2Prenos podľa Smernice 2016/680
Ak neexistuje rozhodnutie o primeranosti, členské štáty stanovia, že sa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže uskutočniť za pomoci týchto nástrojov:
a)právne záväzný akt poskytujúci primerané záruky ochrany osobných údajov,
b)prevádzkovateľ posúdil všetky okolnosti prenosu osobných údajov a dospel k záveru, že existujú primerané záruky ochrany osobných údajov,
c)výnimky pre osobitné situácie podľa § 76 zákona,
d)prenos príjemcom z tretej krajiny podľa § 77 zákona.
26
7KONTROLNÁ ČINNOSŤ ÚRADUKontroly spracúvania osobných údajov realizované z pozície úradu v postavení dozorného orgánu sú zameriavané na prevádzkovateľov a sprostredkovateľov, ktorí sú pri spracúvaní osobných údajov povinní dodržiavať pravidlá ustanovené Nariadením, zákonom a inými všeobecne záväznými právnymi predpismi (napríklad právnymi predpismi v oblasti schengenských a európskych informačných systémov a agentúr), ako aj na práva, právom chránené záujmy a slobody dotknutých osôb, ktorých osobné údaje sú predmetom spracúvania.
Výsledok každej kontroly vykonanej povereným kontrolným orgánom je formulovaný v zázname o kontrole (ak nebolo zistené žiadne porušenie povinností pri spracúvaní osobných údajov) alebo v protokole o kontrole (ak boli zistené rozpory s požiadavkami všeobecne záväzných právnych predpisov). Výsledky kontrol formulované v protokole o kontrole sú podkladom pre vydanie rozhodnutia v prebiehajúcom konaní o ochrane osobných údajov alebo iniciujú začatie takého konania.
7.1Kontroly ukončené v roku 2023 V období od 01.01.2023 do 31.12.2023 (ďalej aj „sledované obdobie“) bolo ukončených 67 kontrol, z ktorých 34 bolo začatých (oznámených kontrolovanej osobe) v roku 2023 a 33 v predchádzajúcom období. Z celkového počtu (67) kontrol ukončených v roku 2023 bolo 34 kontrol ukončených protokolom o kontrole (prípady, v ktorých bolo zistené porušenie povinností pri spracúvaní osobných údajov) a 33 kontrol záznamom o kontrole (prípady, v ktorých porušenie povinností pri spracúvaní osobných údajov zistené nebolo).
Štruktúra kontrol podľa výsledku kontroly:
Kontroly začaté do 31.12.2022
Kontroly začaté v roku 2023
Kontroly začaté do 31.12.2022: V sledovanom období bolo ukončených 33 kontrol prenesených z predchádzajúceho obdobia. Uvedené kontroly boli v 22 prípadoch ukončené protokolom o kontrole a v 11 prípadoch záznamom o kontrole.
Kontroly začaté v roku 2023: V sledovanom období bolo zamestnancom odboru kontroly pridelených 54 nových kontrol, z ktorých bolo v tom istom roku (doručením oznámenia o kontrole kontrolovanej osobe) začatých 49. Z uvedených 49 kontrol bolo v tom istom roku ukončených 29 kontrol (10 protokolom a 19 záznamom o kontrole). V rovnakom období bolo ukončených aj 5 kontrol (2 protokolom a 3 záznamom o kontrole), ktoré boli pridelené v roku 2022 a začaté v roku 2023.
27
Štruktúra kontrol podľa typu kontrolovanej osoby:Z celkového počtu (67) kontrol ukončených v roku 2023 boli kontrolovanou osobou v 32 prípadoch fyzické osoby, vo zvyšných 35 prípadoch iné než fyzické osoby:
iná než fyzická osoba, 35, 52%
Štruktúra kontrol podľa zamerania kontroly:
Z celkového počtu (67) kontrol ukončených v roku 2023 bolo 41 kontrol zameraných výhradne na kamerové systémy:
zameranie na kamerový systém, 41, 61%
28
Štruktúra kontrol podľa podnetu na kontrolu:Kontroly spracúvania osobných údajov ukončené v sledovanom období boli vykonávané v rámci konania o ochrane osobných údajov, na základe plánu kontrol, ako aj na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov.
Pri kreácii plánu kontrol, a rovnako pri kontrolách priebežne iniciovaných úradom na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov úrad čerpal najmä z vlastných skúseností získavaných pri plnení svojich úloh v oblasti dozoru. Zameranie uvedených kontrol spočívalo v komparácii reálneho stavu spracúvania osobných údajov s požiadavkami právnej regulácie reprezentovanej najmä Nariadením a zákonom. Kontroly vykonávané v rámci konania o ochrane osobných údajov boli zameriavané najmä na skutočnosti uvedené v žiadosti správneho orgánu úradu.
Z celkového počtu (67) kontrol ukončených v roku 2023 bolo 42 kontrol začatých na základe internej žiadosti odboru správnych konaní, 15 na základe plánu kontrol a 10 na základe podozrenia z porušenia povinností ustanovených nariadením alebo zákonom:
žiadosť odboru správnych konaní, 42, 63%
podozrenie z porušenia povinností, 10, 15%
29
Zistené nedostatky:Z celkového počtu (67) kontrol ukončených v roku 2023 bolo protokolom o kontrole ukončených 34. Zistené boli porušenia nasledujúcich ustanovení Nariadenia a zákona:
porušený článok Nariadenia (paragraf zákona)
článok 5/1/a (zákonnosť, spravodlivosť a transparentnosť)
článok 5/2 (zodpovednosť)
článok 6 (zákonnosť spracúvania)
článok 5/1/c (minimalizácia údajov)
článok 13 (informácie pri získavaní osobných údajov od dotknutej osoby)
článok 5/1/e (minimalizácia uchovávania)
článok 32 (bezpečnosť spracúvania)
článok 28 (sprostredkovateľ)
článok 35 (posúdenie vplyvu na ochranu údajov)
článok 5/1/f (integrita a dôvernosť)
článok 12 (transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby)
článok 37 (určenie zodpovednej osoby)
článok 5/1/b (obmedzenie účelu)
článok 14 (informácie pri získavaní osobných údajov od inej než dotknutej osoby)
článok 24 (zodpovednosť prevádzkovateľa)
článok 25 (špecificky navrhnutá a štandardná ochrana údajov)
článok 33 (oznámenie porušenia ochrany osobných údajov dozornému orgánu)
§ 29 (spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa)
30
Z grafického znázornenia počtu zistených porušení ustanovení nariadenia alebo zákona je zrejmé, že najčastejšie (5 a viackrát) bolo v protokoloch o kontrole konštatované nedodržiavanie zásad spracúvania osobných údajov, nesplnenie podmienok zákonného spracúvania a nesprávne, neúplné alebo žiadne poskytovanie informácií dotknutým osobám pri získavaní ich osobných údajov: V sledovanom období bolo z pozície odboru kontroly súčasne iniciované uloženie 4 poriadkových pokút.
7.2Kontroly neukončené v roku 2023 Odbor kontroly ku dňu 31.12.2023 evidoval 27 neukončených kontrol, z ktorých 22 (prebiehajúce kontroly) sa nachádzalo v rôznych procesných fázach po začatí kontroly a zvyšných 5 (nové kontroly) sa nachádzalo vo fáze medzi pridelením podnetu na kontrolu a oznámením kontroly kontrolovanej osobe.
31
7.3Medziročné porovnanieZ medziročného porovnania pridelených kontrol (obdobie od 25.05.201837 do 31.12.2023) je zrejmé, že v roku 2021 došlo k výraznej zmene pomeru medzi počtom kontrol zameraných (výhradne) na kamerové systémy a počtom kontrol zameraných na iné než kamerové systémy. Od uvedeného obdobia sa stav nezmenil, v dôsledku čoho je potrebné konštatovať, že kontrolná činnosť úradu je od roku 2021 výrazne presmerovaná na kamerové systémy, ktoré sú v rozhodujúcej miere prevádzkované fyzickými osobami v ich obydliach38.
Kontroly spracúvania osobných údajov kamerovými systémami sú vykonávané v rámci plnenia povinností, ktoré úradu vecne a procesne vyplývajú z Nariadenia a zákona. Napriek tomu, že súvisiace kontroly (za zohľadnenia úrovne spoločenskej nebezpečnosti39 predmetného spracúvania) nemožno považovať za prioritné, kolidujú s rozsahom a charakterom dozorných úloh, ktoré sú úradu zverené, resp. znižujú potenciál (kapacity) úradu na úkor iných, oveľa významnejších a rizikovejších oblastí spracúvania osobných údajov. Uvedený nepriaznivý stav je možné zvrátiť zmenou zákona upravujúceho pôsobnosť úradu a/alebo zásadným sprísnením postupov úradu pri ukladaní pokút vrátane pokút ukladaných fyzickým osobám.
Z medziročného porovnania ukončených kontrol (obdobie od 25.05.2018 do 31.12.2023) vyplýva, že počnúc rokom 2021 počet ukončených kontrol v každom roku prevyšuje počet pridelených (nových) kontrol, konkrétne ku dňu 31.12.2021 úrad evidoval 63 neukončených kontrol, ku dňu 31.12.2022 evidoval 40 neukončených kontrol a ku dňu 31.12.2023 evidoval už len 27 neukončených kontrol.
37 Obdobie od 25.5.2018, kedy sa na území členských krajín začalo uplatňovať Nariadenie.38 Ochrana práv monitorovaných dotknutých osôb (navrhovateľov) sa spravidla prelína so susedskými či inými spormi.
39 Napríklad z dôvodu relatívne zanedbateľného počtu dotknutých osôb, ktorých práva, slobody a právom chránené záujmy môžu byť kamerovými systémami prevádzkovanými fyzickými osobami dotknuté.
32
Z hľadiska pomeru medzi kontrolami ukončenými protokolom a kontrolami ukončenými záznamom o kontrole je žiaduce konštatovať, že počet (približne polovica) kontrol ukončených v rokoch 2022 a 2023 záznamom o kontrole rezultuje najmä z kontrol kamerových systémov prevádzkovaných fyzickými osobami a povinne vykonávaných kontrol schengenských a európskych informačných systémov.7.4Výber z kontrol ukončených v roku 2023 7.4.1Schengenské a európske informačné systémy Do plánu kontrol úrad pravidelne zaraďuje kontroly spracúvania osobných údajov v schengenských a európskych informačných systémoch a agentúrach, pomocou ktorých sa zabezpečuje najmä praktické vykonávanie schengenského acquis príslušnými orgánmi na území Slovenskej republiky, ako aj zastupiteľskými úradmi Slovenskej republiky v zahraničí. Kontroly spočívajú najmä v priebežnom, kontinuálnom monitorovaní činnosti orgánov štátnej správy s akcentom na bezpečné a zákonné spracúvanie osobných údajov v špecifických informačných systémoch využívaných predovšetkým na vnútornú ochranu schengenského priestoru (napríklad SIS a VIS).
V roku 2023 bola protokolom o kontrole ukončená 1 kontrola začatá v roku 2022 (kontrola spracúvania osobných údajov v informačnom systéme CIS+). Predmetnou kontrolou bolo zistené, že neposkytnutím informácií dotknutým osobám, ktorých osobné údaje sú v uvedenom informačnom systéme spracúvané, postupy prevádzkovateľa kolidovali s jeho povinnosťami pri uplatňovaní práv dotknutej osoby podľa § 29 ods. 1 zákona.
V roku 2023 bolo začatých aj 7 kontrol zameraných na spracúvanie osobných údajov v informačných systémoch SIS, VIS, IMI, Eurodac a EUROPOL organizačnými útvarmi Ministerstva vnútra SR, Ministerstva zahraničných vecí a európskych záležitostí SR, Ministerstva hospodárstva SR a Finančného riaditeľstva SR. Do konca roka 2023 bolo záznamom o kontrole (teda bez zistených nedostatkov) ukončených 6 kontrol.
7.4.2Spracúvanie osobných údajov získavaných z verejných zdrojov Kontrola spracúvania osobných údajov získavaných z verejne dostupných zdrojov, ktorú úrad vykonal z vlastnej iniciatívy, bola zameraná na zásady, účel a právny základ spracúvania osobných údajov, ako aj na poskytovanie informácií dotknutým osobám. Kontrolovaná osoba získavala údaje o podnikateľských subjektoch z niekoľkých desiatok verejne dostupných zdrojov (najmä zo štátnych registrov), ktoré kumulovala vo vlastnej databáze a následne ich prostredníctvom svojho portálu poskytovala registrovaným aj neregistrovaným užívateľom. Kontrolovaná osoba deklarovala, že právnym základom predmetného spracúvania je jej oprávnený záujem poskytovať platené informačné služby užívateľom spracúvaním zverejnených informácií za účelom zisku a oprávnený záujem tretej osoby na získaní informácií z verejne dostupných zdrojov prehľadne sústredených na jednom mieste. Kontrolovaná osoba v priebehu kontroly nepreukázala, že jej oprávnený záujem alebo oprávnený záujem tretej strany prevažujú nad záujmami alebo základnými právami a slobodami dotknutých osôb, nezohľadnila ich primerané očakávania súvisiace s takýmto spracúvaním a nepreukázala splnenie podmienok zákonného spracúvania podľa čl. 6 ods. 1 Nariadenia. Súčasne informácie o spracúvaní osobných údajov boli dotknutým osobám poskytované len prostredníctvom webového sídla kontrolovanej osoby, pričom kontrolovaná osoba spracúvala osobné údaje o státisícoch dotknutých osôb, najmä o štatutárnych zástupcoch a spoločníkoch podnikateľských subjektov. Uvedený spôsob poskytovania informácií dotknutým osobám, ktoré o spracúvaní ich osobných údajov spravidla nemali žiadnu vedomosť, kontrolný orgán neakceptoval ako dostatočný a konštatoval rozpor s požiadavkami čl. 14 Nariadenia. Na základe zistených nedostatkov bol výsledkom kontroly protokol o kontrole.
33
7.4.3Evidencia produktivity práceKontrola vykonaná v rozpočtovej organizácii, ktorej zriaďovateľom je ústredný orgán štátnej správy, bola zameraná najmä na spracovateľské činnosti, ktoré kontrolovaný subjekt vykonáva v súvislosti s overovaním profesijných kompetencií pedagogického zamestnanca podľa vymedzených štandardov (tzv. atestácie). V súvislosti s vykonávaním samotných atestácií neboli zistené žiadne nedostatky, v priebehu kontroly však bolo zistené, že kontrolovaná osoba získava písomné súhlasy svojich zamestnancov so spracúvaním ich osobných údajov, pričom ide o súhlasy zamerané na spracúvanie výkonnostných kvalitatívnych ukazovateľov a ich zverejňovanie na nástenkách v priestoroch kontrolovanej osoby na účel evidencie produktivity práce. Kontrolný orgán overil, že predmetné súhlasy dotknutých osôb nikdy neboli využité na zverejnenie osobných údajov zamestnancov. Kontrolný orgán v danej súvislosti poukázal na riziká pre práva a slobody fyzických osôb v podobe straty dôvernosti spracúvaných osobných údajov zamestnancov, prípadne ich sociálneho znevýhodnenia. Kontrola bola ukončená protokolom o kontrole.
7.4.4Nesprávna aplikácia zákona Kontrola vykonaná na základe plánu kontrol v ústrednom orgáne štátnej správy bola zameraná najmä na postupy prevádzkovateľa pri spracúvaní osobných údajov fyzických osôb v konaniach, ktoré prevádzkovateľ vedie podľa osobitných právnych predpisov pre oblasť jeho pôsobnosti. Kontrolou bolo zistené, že postupy prevádzkovateľa v uvedených konaniach zodpovedajú dikcii súvisiacich právnych predpisov, vo vzťahu k spracúvaniu osobných údajov sú však (namiesto Nariadenia) aplikované obsahovo podobné časti zákona, ktoré sa na tohto prevádzkovateľa nevzťahujú (pozri § 3 ods. 2 zákona). Na základe zisteného nedostatku bola kontrola ukončená protokolom o kontrole.
7.4.5Žiadosť dotknutej osoby Kontrola vykonaná na základe plánu kontrol bola zameraná na súlad spracúvania osobných údajov dotknutých osôb realizovaného orgánom štátnej správy s požiadavkami Nariadenia. Uvedenou kontrolou bol zistený rozpor s čl. 12 ods. 4 Nariadenia, nakoľko kontrolovaná osoba bezodkladne (najneskôr do jedného mesiaca od doručenia žiadosti) neinformovala dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy. Iné pochybenia v rámci predmetu kontroly a konkrétneho účelu spracúvania osobných údajov neboli zistené. Kontrola bola ukončená protokolom o kontrole.
Na základe podnetu orgánu štátnej správy obsahujúceho podozrenie, že iný subjekt (zdravotnícke zariadenie) pri vykonávaní klinických štúdií spracúva neanonymizované videozáznamy zobrazujúce tváre dotknutých osôb, bola vykonaná kontrola, ktorou bolo zistené, že predmetné zdravotnícke zariadenie postupuje na základe informovaného súhlasu, ktorým boli dotknuté osoby (pacienti) súčasne oboznámené so všetkými skutočnosťami súvisiacimi s vyhotovovaním videozáznamov. Kontrolný orgán sa pri výkone kontroly zameral aj na prijaté bezpečnostné opatrenia spojené so spracúvaním osobných údajov na účel klinického skúšania. Vzhľadom na to, že kontrolou neboli zistené žiadne pochybenia, kontrola bola ukončená záznamom o kontrole.
7.4.7Oznámený bezpečnostný incident Kontrola spracovateľských činností orgánu štátnej správy bola motivovaná jeho oznámením porušenia ochrany osobných údajov, z ktorého vyplývalo podozrenie, že tento orgán štátnej správy v postavení prevádzkovateľa informačného systému, s ktorým mohli dotknuté osoby komunikovať prostredníctvom verejne dostupného internetového portálu, neprijal primerané technické a organizačné opatrenia
34
v zmysle čl. 32 Nariadenia, v dôsledku čoho boli treťou stranou na základe špecifického algoritmu z informačného systému prevádzkovateľa vygenerované osobné údaje v rozsahu meno, priezvisko a rodné číslo presne nezisteného počtu dotknutých osôb. Zo záznamov o spracovateľských činnostiach kontrolovanej osoby vyplývalo, že osobné údaje dotknutých osôb sú v informačnom systéme, ktorý bol zasiahnutý bezpečnostným incidentom, spracúvané na právnom základe oprávneného záujmu prevádzkovateľa v zmysle čl. 6 ods. 1 písm. f) Nariadenia (predmetný právny základ nemožno aplikovať na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh). Kontrolný orgán sa zameral aj na technické a organizačné opatrenia prijaté kontrolovanou osobou a nadväzne konštatoval porušenie zásady integrity a dôvernosti v zmysle čl. 5 ods. 1 písm. f), nakoľko kontrolou bolo zistených viacero porušení v oblasti bezpečnosti spracúvania osobných údajov podľa čl. 32 Nariadenia. Kontrola bola ukončená protokolom o kontrole. Na základe plánu kontrol bola vykonaná kontrola subjektu, ktorého hlavnou podnikateľskou činnosťou je kúpa, predaj a prenájom nehnuteľností (realitná činnosť). Kontrolný orgán v priebehu kontroly zistil, že kontrolovaná osoba pri spracúvaní osobných údajov v súvislosti s realitnou činnosťou zdieľala osobné údaje dotknutých osôb s ďalšími subjektmi, pričom žiadnym spôsobom neobjasnila ich vzájomné postavenie (spoločný prevádzkovateľ, prevádzkovateľ a sprostredkovatelia, samostatní prevádzkovatelia). Zistená skutočnosť mala negatívny vplyv aj na poskytovanie korektných a transparentných informácií dotknutým osobám a na samotnú bezpečnosť spracúvania. Na základe kontrolných zistení bol vypracovaný protokol o kontrole.
7.4.9.1Kamerový systém v škole
Kontrolou vykonanou v rámci konania o ochrane osobných údajov bolo zistené, že kontrolovaná osoba (škola) kamerovým systémom monitorovala chodby, šatne, telocvičňu, knižnicu, učebne a vonkajší areál školy. Ako účel spracúvania osobných údajov prostredníctvom kamerového systému kontrolovaná osoba deklarovala ochranu majetku a zdravia jej zamestnancov a žiakov, ako aj „zlepšenie výchovnovzdelávacieho procesu“. Kamerovým systémom, ktorý pracoval v nepretržitom režime, kontrolovaná osoba (najmä počas vyučovacích hodín) systematicky monitorovala zraniteľné kategórie dotknutých osôb (žiaci a zamestnanci). Vo vzťahu ku kontrolovanou osobou určeným právnym základom spracúvania kontrolný orgán konštatoval rozpory s podmienkami zákonného spracúvania, napríklad pri právnom základe podľa čl. 6 ods. 1 písm. a) Nariadenia (súhlas dotknutej osoby) bola kontrolným orgánom spochybnená sloboda poskytnutého súhlasu z dôvodu, že kontrolovaná osoba sa voči dotknutým osobám nachádzala v nadradenom postavení. Výsledkom kontroly bol protokol o kontrole, ktorý obsahoval uvedené kontrolné zistenia.
7.4.9.2Monitorovanie spoločných priestorov v bytovom dome
Kontrolovaná osoba si z dôvodu pretrvávajúcich konfliktov so susedom, ako aj z dôvodu zvýšenej kriminality v danej lokalite nainštalovala kameru nad vstupom do svojho obydlia (byt). Kamera prepojená s mobilným telefónom kontrolovanej osoby zaznamenávala pohyb v zornom poli kamery, konkrétne priestor pred vstupom do bytu kontrolovanej osoby, časť vstupu do susediaceho bytu, priestor pred výťahom a schodisko. Na kontrolovanou osobou stanovený účel, ktorým bola ochrana majetku a zdravia rodinných príslušníkov, nebolo nevyhnutné monitorovať priestor v takom rozsahu, v akom bol v čase kontroly monitorovaný. Túto skutočnosť kontrolný orgán vyhodnotil ako porušenie zásady minimalizácie údajov v zmysle čl. 5 ods. 1 písm. c) Nariadenia. Kontrola bola ukončená protokolom o kontrole.
35
7.4.9.3Opakovaná kontrola kamerového systémuNa základe návrhu dotknutej osoby bola vykonaná kontrola zameraná na spracúvanie osobných údajov prostredníctvom kamery nainštalovanej na rodinnom dome kontrolovanej osoby. Podľa tvrdení uvedených v návrhu mala kontrolovaná osoba monitorovať aj susedné pozemky a verejné priestranstvo. Na mieste, kde sa mala kamera nachádzať, kontrolný orgán zistil, že kontrolovaná osoba kameru odstránila, v dôsledku čoho v čase kontroly k žiadnemu spracúvaniu osobných údajov nedochádzalo. Následne bol Úrad informovaný o tom, že kontrolovaná osoba kameru znova nainštalovala. Opätovnou vopred neoznámenou kontrolou bola preukázaná prítomnosť a funkčnosť kamery, ktorá monitorovala časť susedovho pozemku, ako aj neprimeranú časť priestoru prístupného verejnosti, čo kontrolný orgán vyhodnotil ako porušenie zásady minimalizácie údajov v zmysle čl. 5 ods. 1 písm. c) Nariadenia. Kontrolný orgán na mieste overil aj dodržiavanie ďalších zásad spracúvania osobných údajov, ktorých porušenie následne konštatoval v protokole o kontrole.
7.4.9.4Monitorovanie účelových komunikácií developerom
Kontrola developerskej spoločnosti bola vykonaná na účel preverenia podozrenia súvisiaceho s prevádzkou kamerového systému, ktorý si na ochranu svojho majetku v podobe rozostavaných rodinných domov ako súčasti komplexného projektu individuálnej bytovej výstavby táto spoločnosť nainštalovala. Odovzdaním časti už skolaudovaných rodinných domov do užívania novým vlastníkom sa developerská spoločnosť v pozícii prevádzkovateľa kamerového systému dostala do rozporu s pôvodne určeným účelom a monitorovaním tejto časti rodinných domov neoprávnene zasiahla do práv užívateľov už dokončených domov. Kontrolou bolo súčasne zistené, že prevádzkovateľ na účely verejného poriadku monitoruje aj časť pozemných komunikácií, ktoré sú v jeho vlastníctve, pričom ide o komunikácie, ktorými je zabezpečený prístup k jednotlivým rodinným domom a ktoré sú využívané všetkými obyvateľmi novopostavených nehnuteľností, ako aj akýmikoľvek inými osobami, ktoré sa v tomto priestore zdržiavajú. Vzhľadom na to, že žiaden súkromný subjekt nie je oprávnený monitorovať voľne prístupné cestné komunikácie na účely verejného poriadku a rovnako ani monitorovať už odovzdané rodinné domy s ich novými majiteľmi na účel ochrany „svojho“ majetku, boli zistené nedostatky premietnuté do protokolu o kontrole.
7.4.9.5Monitorovanie kuchyne pri školskej jedálni
V rámci konania o ochrane osobných údajov bola vykonaná kontrola zameraná na kamerový systém, ktorým dochádzalo k nepretržitému monitorovaniu pracoviska zamestnancov (kuchyňa pri školskej jedálni). Kontrolou bolo zistené, že kontrolovaná osoba postupovala v rozpore so zásadou zákonnosti podľa čl. 5 ods. 1 písm. a), nakoľko nepreukázala splnenie aspoň jednej z podmienok zákonného spracúvania podľa čl. 6 ods. 1 Nariadenia, ako aj v rozpore so zásadou minimalizácie údajov podľa čl. 5 ods. 1 písm. c) Nariadenia, nakoľko nepreukázala, že prostredníctvom kamier je nevyhnutné spracúvať aj osobné údaje dotknutých osôb na ich pracovisku. Kontrola bola ukončená protokolom o kontrole.
7.4.9.6Kamera na okne bytového domu
V rámci konania o ochrane údajov bola vykonaná kontrola spracúvania osobných údajov prostredníctvom kamerového systému prevádzkovaného fyzickou osobou. Kamera bola osadená na okne jedného z bytov bytového domu. Kontrolou bolo zistené, že kontrolovaná osoba postupovala v rozpore so zásadou minimalizácie údajov podľa čl. 5 ods. 1 písm. c) Nariadenia tým, že prostredníctvom kamerového systému monitorovala priestor prístupný verejnosti vo väčšom rozsahu, než bolo nevyhnutné na dosiahnutie ňou stanoveného účelu (ochrana majetku). Ďalej bolo zistené, že kontrolovaná osoba monitorovala verejný priestor bez splnenia aspoň jednej z podmienok zákonného spracúvania uvedených v čl. 6 ods. 1, v dôsledku čoho postupovala v rozpore so zásadou zákonnosti podľa čl. 5 ods. 1 písm. a) Nariadenia. Kontrola bola ukončená protokolom o kontrole.
36
7.4.9.7Kamerový systém mestského úraduAnonymným podnetom od údajných zamestnancov mestského úradu bol úrad informovaný o možnom nezákonnom spracúvaní osobných údajov dotknutých osôb kamerovým systémom inštalovaným na budove mestského úradu. Nezákonné spracúvanie malo spočívať v monitorovaní pohybu zamestnancov počas ich pracovnej doby prednostom mestského úradu, ktorý mal kamerové záznamy neoprávnene využívať na preukazovanie porušovania pracovnej disciplíny. Kontrolný orgán v priestoroch mestského úradu vykonal vopred neoznámenú kontrolu, ktorou bolo zistené, že kontrolovaná osoba prevádzkuje 17 kamier, z toho 5 kamier inštalovaných vo vnútorných priestoroch mestského úradu a 12 kamier inštalovaných na vonkajšom plášti jeho budovy. Osobami oprávnenými oboznamovať sa so zábermi a záznamami kamerového systému boli príslušníci mestskej polície a zamestnanci „chránenej dielne“. Kontrolovaná osoba prevádzkovala kamerový systém na účely ochrany verejných priestorov a ochrany obyvateľov a návštevníkov mesta, pričom ako právny základ tejto spracovateľskej činnosti uviedla, že spracúvanie je nevyhnutné pre plnenie úloh vo verejnom záujme v zmysle čl. 6 ods. 1 písm. e) Nariadenia. Monitorovaným priestorom kamerového systému boli priestory vstupu do budovy mestského úradu, blízke okolie budovy vrátane parkovísk a zasadačka mestského zastupiteľstva. Úrad v protokole o kontrole konštatoval porušenie zásady minimalizácie uchovávania osobných údajov v zmysle čl. 5 ods. 1 písm. e) Nariadenia, nakoľko kontrolovaná osoba nepreukázala, že štrnásťdňová lehota uchovávania kamerových záznamov, ktorú si stanovila, je primeraná a nevyhnutná k naplneniu účelu spracúvania. Kontrolovaná osoba v pozícii prevádzkovateľa zároveň postupovala v rozpore s čl. 5 ods. 1 písm. a) z dôvodu, že pri vstupe do monitorovaného priestoru neposkytovala dotknutým osobám všetky informácie, ktoré im bola povinná poskytnúť podľa čl. 13 Nariadenia. Kontrolou nebolo zistené, že k záberom a záznamom kamerového systému mestského úradu, ktorým sú spracúvané aj osobné údaje zamestnancov mestského úradu, má prístup prednosta mestského úradu. Kontrola bola ukončená protokolom o kontrole.
7.4.9.8Monitorovanie pozemku v spoluvlastníctve viacerých osôb
Kontrolu fyzickej osoby prevádzkujúcej kamerový systém vykonal úrad v rámci prebiehajúceho konania začatého na základe návrhu dotknutej osoby, ktorou bol sused kontrolovanej osoby a zároveň spolumajiteľ spoločného pozemku, ktorý kontrolovaná osoba prostredníctvom svojho kamerového systému monitorovala. Kontrolou bolo zistené, že kontrolovaná osoba prevádzkuje kamerový systém pozostávajúci zo 4 kamier inštalovaných na bytovom dome, v ktorom sa nachádzajú 4 byty a 4 garáže. Kamerový systém snímal časti pozemku, ktorý bol v spoločnom vlastníctve všetkých vlastníkov bytov a bol verejne prístupný, ako aj verejne prístupnú cestnú komunikáciu vo vlastníctve miestnej samosprávy. Kontrolovaná osoba, ktorá v čase výkonu kontroly uchovávala kamerové záznamy 46 dní, si ako účel spracúvania stanovila ochranu svojho majetku a zabezpečenie ochrany svojho života a zdravia, pričom nevedela objasniť, na akom právnom základe osobné údaje prostredníctvom kamerového systému spracúva. Kontrolný orgán konštatoval porušenie zásady zákonnosti, spravodlivosti a transparentnosti podľa čl. 5 ods. 1 písm. a), nakoľko kontrolovaná osoba nepreukázala splnenie aspoň jednej z podmienok zákonného spracúvania podľa čl. 6 ods. 1 Nariadenia a súčasne pri vstupe do monitorovaného priestoru neposkytovala dotknutým osobám všetky informácie, ktoré im bola v zmysle čl. 13 Nariadenia povinná poskytnúť. Kontrolný orgán zároveň konštatoval porušenie ďalších zásad spracúvania osobných údajov, konkrétne zásady minimalizácie údajov v zmysle čl. 5 ods. 1 písm. c) z dôvodu, že kontrolovaná osoba prostredníctvom kamerového systému spracúvala osobné údaje v rozsahu väčšom, ako je nevyhnutné vzhľadom na stanovený účel spracúvania, a zásady minimalizácie uchovávania osobných údajov v zmysle čl. 5 ods. 1 písm. e) z dôvodu, že kontrolovaná osoba uchovávala kamerové záznamy dlhšie ako je nevyhnutné na dosiahnutie účelu spracúvania.
37
8KONANIE O OCHRANE OSOBNÝCH ÚDAJOVÚčelom konania o ochrane osobných údajov je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo k porušeniu iných ustanovení Nariadenia alebo zákona, a v prípade zistenia nedostatkov (ak je to dôvodné a účelné) uložiť opatrenia na nápravu, prípadne pokutu. Na konanie o ochrane osobných údajov sa vzťahujú ustanovenia správneho poriadku.
Ak úradu nie je daná kompetencia vo veci konať a rozhodnúť, má povinnosť podanie postúpiť inému správnemu orgánu. V sledovanom období úrad postúpil celkovo 49 podaní inému (vecne príslušnému) správnemu orgánu.
Z právnych predpisov v oblasti ochrany osobných údajov vyplýva úradu povinnosť, aby podanie v taxatívne vymedzených prípadoch odložil. K odloženiu podania úrad pristupuje v prípade jeho neopodstatnenosti, v prípade, ak vec ktorej sa podanie týka, prejednáva orgán činný v trestnom konaní, v prípade, ak podávateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez aktívnej účasti podávateľa nebolo možné vec vybaviť a tiež v prípade, ak od udalosti, ktorej sa podanie týka, uplynul v deň jeho doručenia čas dlhší ako tri roky. V sledovanom období bola najčastejším dôvodom odloženia neopodstatnenosť podania, keď už z dôkazov predložených najmä dotknutou osobou bolo zrejmé, že k porušeniu právnych predpisov v oblasti ochrany osobných údajov nedošlo. V sledovanom období bolo celkovo odložených 405 podaní, z čoho z dôvodu neopodstatnenosti bolo odložených 275 podaní, z dôvodu prejednávania veci súdom alebo orgánom činným v trestnom konaní 18 podaní, z dôvodu neposkytnutia súčinnosti 108 podaní a v súvislosti s preklúziou 4 podania.
Úrad v rámci dozornej činnosti vedie konanie o ochrane osobných údajov s cieľom ochrany práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov, pričom v ňom taktiež skúma dodržiavanie povinností stanovených Nariadením a zákonom. Ak zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov, rozhodnutím (ak je to dôvodné a účelné) uloží prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie nedostatkov a príčin ich vzniku, prípadne mu v závislosti najmä od závažnosti zisteného porušenia uloží pokutu. V opačnom prípade konanie o ochrane osobných údajov zastaví.
Konanie o ochrane osobných údajov sa začína na návrh navrhovateľa alebo z vlastnej iniciatívy úradu. Konanie z vlastnej iniciatívy úradu (konanie bez návrhu) sa začína na základe podnetu inej než dotknutej osoby, na základe výsledku kontroly, ktorou boli zistené nedostatky alebo na podozrenia z porušenia právnych predpisov v oblasti ochrany osobných údajov pochádzajúceho z vlastnej činnosti úradu.
V sledovanom období úrad začal celkom 249 správnych konaní, z toho 167 na základe návrhu dotknutej osoby, 56 na základe podnetu, 11 na základe výsledku kontroly a 15 na základe podozrenia z porušenia právnych predpisov v oblasti ochrany osobných údajov.
Štruktúra podnetov na začatie konania v roku 2023:
Rozhodnutie úradu v postavení prvostupňového správneho orgánu v konaní o ochrane osobných údajov vychádza zo spoľahlivo zisteného stavu veci. Na tento účel je úrad v konaní o ochrane osobných údajov oprávnený požadovať súčinnosť od kohokoľvek, pričom v hodnotenom období úrad žiadal o súčinnosť celkovo 1 024 krát. V konaní o ochrane osobných údajov sa vyskytlo šesť prípadov, kedy subjekt, od ktorého bola súčinnosť požadovaná, nereagoval a úradu ani po opätovnej výzve súčinnosť neposkytol (v daných prípadoch úrad inicioval konanie o uložení pokuty alebo poriadkovej pokuty).
38
V súvislosti so zvyšovaním povedomia verejnosti o ochrane osobných údajov sa konania, resp. o ich výsledky často zaujímali aj médiá. V hodnotenom období bol v značnom rozsahu využívaný aj inštitút právneho zastúpenia, pričom výnimkou neboli ani prípady, v ktorých všetci účastníci konania boli zastúpení svojimi právnymi zástupcami.Najčastejším predmetom konania o ochrane osobných údajov bolo preskúmanie, či spracúvaním osobných údajov dotknutých osôb kamerovým systémom nedochádzalo k porušovaniu právnych predpisov v oblasti ochrany osobných údajov.
Medzi najčastejšie porušenia patrilo spracúvanie osobných údajov v rozpore so zásadou zákonnosti, kedy dochádzalo k spracúvaniu osobných údajov bez právneho základu, resp. v rozpore s právnym základom a spracúvanie v rozpore so zásadou integrity a dôvernosti, čo súviselo s neprijatím primeraných bezpečnostných opatrení.
39
9MECHANIZMUS SPOLUPRÁCE A KONZISTENSTNOSTIFungovanie vnútorného trhu vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný, a to ani z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov, čo bolo premietnuté do čl. 1 ods. 3 Nariadenia. Na uvedené skutočnosti Nariadenie reaguje zavedením mechanizmov spolupráce a konzistentnosti, aby bola zaručená konzistentná a obdobne vysoká úroveň ochrany osobných údajov v každom členskom štáte bez ohľadu na miesto bydliska dotknutej osoby.
9.1Mechanizmus spolupráce Nariadenie upravuje spoluprácu medzi dozornými orgánmi navzájom, či už potreba vzájomnej spolupráce vznikne v rámci vyšetrovania konkrétneho podozrenia z porušenia ochrany osobných údajov alebo v rámci inej činnosti dozorného orgánu (napr. riešenie právnych otázok, poskytovanie konzultácií). Vzhľadom na to, že pravidlá spolupráce sú upravené priamo v Nariadení, nevyžaduje sa žiadne uzatváranie ďalších osobitných dohôd medzi členskými štátmi na tento účel.
9.1.1Cezhraničné spracúvanie V zmysle čl. 55 Nariadenia každý dozorný orgán plní úlohy a vykonáva právomoci zverejnené Nariadením na území svojho štátu. Nariadenie však osobitne upravuje aj postup a príslušnosť v konaní pre cezhraničné spracúvanie osobných údajov. Cezhraničné spracúvanie je v zmysle čl. 4 bod 23 Nariadenia spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte, alebo spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte.
Nariadenie upravuje spoluprácu medzi dozornými orgánmi predovšetkým v súvislosti s mechanizmom jednotného kontaktného miesta (tzv. one-stop-shop) upraveného v čl. 56 ods. 1 Nariadenia, v zmysle ktorého je dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa oprávnený konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa, resp. sprostredkovateľa. Podľa čl. 56 ods. 2 Nariadenia je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením Nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte. V súlade s čl. 4 bod 22 Nariadenia ostatné dozorné orgány budú pre toto spracúvanie v pozícií dotknutých dozorných orgánov, ak prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu, alebo dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním, alebo sťažnosť sa podala na tento dozorný orgán.
Určovanie vedúceho dozorného orgánu a dotknutých orgánov sa uskutočňuje v systéme IMI (Internal Market Informational System - Informačný systém o vnútornom trhu), v rámci ktorého prebieha medzi jednotlivými dozornými orgánmi výmena informácií o konkrétnom spracúvaní a konkrétnom podozrení z porušenia ochrany osobných údajov, resp. pokiaľ sa vyšetrovanie začalo na základe sťažnosti dotknutej osoby, tak aj o obsahu tejto konkrétnej sťažnosti. Výmena informácií prebieha v anglickom jazyku. V sledovanom období bolo úradu doručených v systéme IMI 545 notifikácií ohľadom určovania vedúceho a dotknutého dozorného orgánu. Na základe starostlivého posúdenia každej jednej veci úrad vyhodnotil, že je dotknutým dozorným orgánom v 167 prípadoch, a to najčastejšie z dôvodov, že predmetné spracúvanie osobných údajov podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté
40
osoby s pobytom na území Slovenskej republiky. Najčastejšie išlo o prevádzkovateľov sociálnych sietí, prevádzkovateľov poskytujúcich online hry, prevádzkovateľov poskytujúcich ubytovacie a gastro služby, e-shopy, letecké spoločnosti atď. V niektorých prípadoch bol úrad dotknutým dozorným orgánom aj z dôvodu, že prevádzkovateľ alebo sprostredkovateľ je usadený na území Slovenskej republiky, tzn. na území Slovenskej republiky má jednu alebo viac prevádzkarní. Pokiaľ úrad vyhodnotil, že je dotknutým dozorným orgánom, zaznamenal to v systéme IMI a prípad ďalej sledoval. V súlade s čl. 60 Nariadenia mal úrad podľa potreby možnosť vyjadrovať sa k žiadostiam vedúceho dozorného orgánu, k jeho postupu a k výsledkom vyšetrovania a tiež pripomienkovať návrhy rozhodnutí. Ak je úrad dotknutým dozorným orgánom z dôvodu, že mu bola doručená sťažnosť, úrad vystupuje ako kontaktný bod pre dotknutú osobu a oznamuje jej rozhodnutie vedúceho dozorného orgánu. Úrad v sledovanom období oznámil slovenským dotknutým osobám dve rozhodnutia iného dozorného orgánu, ktorý konal vo veci cezhraničného spracúvania ako vedúci dozorný orgán, pričom išlo o rozhodnutia írskeho a rakúskeho dozorného orgánu.Úradu bolo v sledovanom období doručených celkovo 31 podaní obsahujúcich prvky cezhraničného spracúvania a 10 oznámení o porušení ochrany osobných údajov, tzv. data breach. Tieto podania boli doručené buď od zahraničných osôb, alebo smerovali voči zahraničným prevádzkovateľom, medzi inými napríklad aj voči prevádzkovateľom usídleným v Českej republike, Holandsku, Nemecku či Poľsku. Úrad v rámci každého doručeného podania najprv preskúmal (tzv. predbežné preskúmanie sťažnosti), či predmet podania spĺňa náležitosti návrhu, resp. podnetu podľa § 100 ods. 3 zákona č. 18/2018 Z. z. a takisto či spĺňa podmienky cezhraničného spracúvania podľa čl. 4 bod 23 Nariadenia, resp. či boli splnené podmienky podľa čl. 56 ods. 2 Nariadenia. Úrad v predmetných podaniach zisťoval aj svoju vecnú pôsobnosť, pričom 4 podania úrad postúpil na vybavenie inému príslušnému orgánu. Pokiaľ predmet podania zakladal dôvodné podozrenie z porušenia ochrany osobných údajov, úrad uvádzané tvrdenia preveroval aj v spolupráci s dozorným orgánom toho členského štátu, na území ktorého mal prevádzkovateľ hlavnú alebo jedinú prevádzkareň. V 12 prípadoch úrad doručené podania predložil do systému IMI a ďalej ich riešil v spolupráci s dozornými orgánmi, ktoré boli pre dané spracúvanie vedúcim dozorným orgánom. Úrad uvedené sťažnosti postúpil prostredníctvom systému IMI dozornému orgánu Poľska, Nemecka, Talianska, Českej republiky a Holandska. Úrad bol v sledovanom období označený ako vedúci dozorný orgán v 5 prípadoch, to na základe miesta hlavného sídla prevádzkovateľa, pričom tieto sťažnosti boli úradu postúpené prostredníctvom systému IMI dozornými orgánmi Poľska, Fínska, Maďarska a Česka.
Úrad spolupracuje s inými dozornými orgánmi aj mimo mechanizmu one-stop-shop. Táto spolupráca prebieha taktiež v systéme IMI, ktorý umožňuje zasielanie konkrétnych žiadostí vybraným dozorným orgánom. Úrad však priebežne vybavuje aj e-mailové, resp. písomné žiadosti iných dozorných orgánov.
Za sledované obdobie úrad v systéme IMI prijal 155 žiadostí iných dozorných orgánov o spoluprácu v zmysle čl. 61 Nariadenia. V predmetných žiadostiach dozorné orgány žiadali úrad o jeho právny názor predovšetkým ohľadom výkladu ustanovení Nariadenia. Žiadosti sa týkali výkladu konkrétnych článkov Nariadenia, praktických skúseností a aplikácie vnútroštátnych právnych predpisov, zdieľania právoplatných rozhodnutí podľa národnej právnej úpravy, monitorovania priestoru kamerami, nahrávania telefonických hovorov poisťovacími spoločnosťami, uchovávania záznamov o spracovateľských činnostiach zodpovednou osobou, a podobne. Niektoré dozorné orgány týmto spôsobom úrad informovali o doručenom oznámení porušenia ochrany osobných údajov (data breach) alebo využili tento spôsob na konzultáciu konkrétneho prípadu pred spustením one-stop-shop mechanizmu alebo cez tento článok konzultovali konkrétny prípad v rámci one-stop-shop mechanizmu (najčastejšie išlo o výmenu dokumentov a informovanie sa o stave konania).
41
Za sledované obdobie úrad v systéme IMI zaslal 9 žiadostí o spoluprácu v zmysle čl. 61 Nariadenia. Žiadosti sa týkali informácií o konkrétnych cezhraničných prípadoch, konzultácií jednotlivých prípadov alebo právneho názoru ostatných dozorných orgánov ohľadom výkladu Nariadenia. Úrad u ostatných dozorných orgánov zisťoval napríklad ich skúsenosti súvisiace s biometriou, s prevádzkovaním CCTV (uzavretý televízny okruh) v priestoroch budov s kritickou infraštruktúrou, so spracúvaním osobných údajov podľa čl. 10 Nariadenia (spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky), alebo so spracúvaním tzv. big data. Úrad prostredníctvom systému IMI v zmysle čl. 61 Nariadenia zisťoval aj stav prebiehajúcich konaní, a takisto ostatné dozorné orgány informoval o doručených prípadoch data breach. Úrad na vzájomnú spoluprácu s inými dozornými orgánmi používal aj iné formy komunikácie ako systém IMI (e-mail, písomná a telefonická komunikácia), pri ktorých využíval kontakty nadobudnuté počas svojej činnosti, medzi inými aj kontakty nadobudnuté v rámci členstva v expertných skupinách EDPB. 9.1.3Spoločné operácie dozorných orgánov V rámci mechanizmu spolupráce sa v zmysle čl. 62 Nariadenia môžu vykonať aj spoločné operácie dozorných orgánov vrátane spoločných vyšetrovaní a spoločných opatrení v oblasti presadzovania. V sledovanom období úrad neinicioval ani neprijal žiadosť o spoločné operácie dozorných orgánov.
9.2Mechanizmus konzistentnosti Dôležitým atribútom Nariadenia je jeho konzistentné uplatňovanie. Aby sa dosiahol tento cieľ, Nariadenie upravuje mechanizmus konzistentnosti, ktorý možno chápať ako spoluprácu medzi dozornými orgánmi EHP, a v relevantných prípadoch aj s EK.
Účelom článku 64 Nariadenia je, aby EDPB vydal stanovisko v prípadoch, keď príslušný dozorný orgán plánuje prijať konkrétne opatrenia. Na tento účel by mal dozorný orgán oznámiť EDPB svoj návrh rozhodnutia. Nariadenie upravuje prípady, kedy je dozorný orgán povinný žiadať EDPB o stanovisko (čl. 64 ods. 1 Nariadenia) a kedy má možnosť o stanovisko požiadať (čl. 64 ods. 2 Nariadenia). Úrad v hodnotenom období nepožiadal o stanovisko EDPB.
9.2.2Riešenie sporov EDPB Riešenie sporov EDPB umožňuje prijať záväzné rozhodnutie na zabezpečenie konzistentného uplatňovania Nariadenia v prípade relevantnej odôvodnenej námietky vznesenej dotknutým dozorným orgánom alebo zamietnutej vedúcim dozorným orgánom (čl. 60 Nariadenia), nesúhlasu s určením vedúceho dozorného orgánu (čl. 56 Nariadenia), absencie konzultácie EDPB (čl. 64 Nariadenia) a tiež v prípade, ak dozorný orgán nepostupoval podľa stanoviska EDPB (čl. 64 Nariadenia). V hodnotenom období EDPB neriešil žiaden spor týkajúci sa úradu.
42
9.2.3Postup pre naliehavé prípadyČlánok 66 Nariadenia upravuje mechanizmus postupu pre naliehavé prípady. Vo výnimočných prípadoch, keď sa dotknutý dozorný orgán domnieva, že je naliehavé chrániť práva a slobody dotknutých osôb, môže prijať dočasné opatrenia s právnymi účinkami na svojom území. Platnosť týchto opatrení nesmie časovo prekročiť tri mesiace. V tomto prípade je dotknutý dozorný orgán povinný informovať ostatné dozorné orgány, EDPB a EK.
Ak sa dozorný orgán domnieva, že je potrebné urýchlene prijať konečné opatrenia, môže požiadať EDPB o naliehavé stanovisko alebo o naliehavé záväzné rozhodnutie. Každý dozorný orgán môže od EDPB žiadať naliehavé stanovisko alebo záväzné rozhodnutie v prípadoch, keď príslušný dozorný orgán neprijal vhodné opatrenie a existuje naliehavá potreba konať. V hodnotenom období úrad tento článok nevyužil.
43
10SANKCIESankciami za porušenie Nariadenia a zákona sú pokuta a poriadková pokuta. Ukladanie sankcií má fakultatívny charakter, tzn. nie každé zistené porušenie Nariadenia alebo zákona musí automaticky vyústiť do uloženia sankcie. Úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého prípadu. Pri rozhodovaní o uložení pokuty a určení jej výšky zohľadňuje najmä povahu, závažnosť a trvanie porušenia, počet dotknutých osôb, rozsah škody, ak vznikla, zavinenie porušenia ochrany osobných údajov a opatrenia prijaté na zmiernenie škody, ktorú dotknuté osoby utrpeli. Úrad taktiež prihliada na predchádzajúce porušenia ochrany osobných údajov, mieru spolupráce s úradom pri náprave porušenia a zmiernení jeho možných nepriaznivých dôsledkov, kategóriu osobných údajov, ktorých sa porušenie týka a na spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel.
Úrad v rámci schváleného rozpočtu na rok 2023 mal určený aj záväzný ukazovateľ príjmu, ktorým bola pre rok 2023 suma vo výške 100 000,- €. Úrad vybral celkovú sumu 122 665,66 €, čím záväzný ukazovateľ príjmu dodržal.
V sledovanom období úrad za porušenie právnych predpisov v oblasti ochrany osobných údajov právoplatne uložil 46 pokút v súhrnnej výške 94 200,- €. V rovnakom období úrad na pokutách vybral celkovo 122 665,66 € (rozhodujúca skutočnosť pre uhradenie pokuty, ktorou je vykonateľnosť rozhodnutia, sa prelína rôznymi kalendárnymi rokmi). Priemerná pokuta bola vo výške 2 048,- €. Najnižšiu pokutu vo výške 300,- € úrad uložil obci v súvislosti s porušením práva dotknutej osoby. Najvyššiu pokutu úrad právoplatne uložil vo výške 7 500,- € prevádzkovateľovi v súvislosti s porušením zásady integrity a dôvernosti.
Prehľad o uložených a vybratých pokutách v roku 2023:
Celková výška právoplatne
uložených pokút v €
Priemerná výška pokuty zaokrúhlená na celé € nahor
Celkovo vybraté
na pokutách v €
Pokuta ako druh sankcie plnila v hodnotenom období represívnu, ako aj preventívnu funkciu. Pri jej ukladaní úrad okrem iného zohľadňoval postavenie subjektu a jeho činnosť, ako aj možný dopad výšky pokuty na jeho ďalšiu existenciu. V súvislosti s ukladaním pokút počas hodnoteného obdobia za porušenie právnych predpisov v oblasti ochrany osobných údajov možno konštatovať, že uložené pokuty nemali likvidačné dopady.
Poriadková pokuta slúži na zabezpečenie dôstojného a nerušeného priebehu dozornej činnosti úradu. Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa, ak marí výkon kontroly alebo ak nezabezpečí primerané podmienky na jej výkon. Úrad môže uložiť poriadkovú pokutu taktiež osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom, za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru. V sledovanom období úrad za neposkytnutie súčinnosti uložil dve poriadkové pokuty vo výške 500,- € a 2 000,- € a za neposkytnutie súčinnosti nevyhnutnej na riadny výkon kontroly jednu poriadkovú pokutu vo výške 1 500,- €.
44
10.3Vybrané prípady z dozornej činnosti úradu10.3.1.1Výmaz z cirkvi
Úradu bolo v priebehu roka 2023 doručených viacero podaní pre podozrenie z porušenia Nariadenia, ktoré malo spočívať v tom, že cirkev odmietla v súvislosti s vystúpením podávateľov z cirkvi vykonať výmaz ich osobných údajov. Úrad konštatoval, že cirkev z pozície prevádzkovateľa spracúva v predmetnej veci osobné údaje v súvislosti s vysluhovaním cirkevných sviatostí. Ide o faktografické záznamy vedené v tzv. cirkevných matrikách, kde sa napríklad zaznamenáva akt krstu, akt prijatia sviatosti manželstva, a podobne. V takýchto prípadoch možno konštatovať, že právo na výmaz osobných údajov nie je absolútne a prevádzkovateľ má legitímne právo na vedenie týchto zápisov bez výmazu osobných údajov. Kniha pokrstených je základná a najdôležitejšia matričná kniha, ktorá preukazuje stav osôb v cirkvi (napríklad formálne vystúpenie z cirkvi) a je dôkazom o prijatých sviatostiach. Podľa recitálu 165 Nariadenia v zmysle článku 17 Zmluvy o fungovaní EÚ sa týmto Nariadením rešpektuje a zároveň ním nie je dotknuté postavenie, ktoré majú cirkvi a náboženské združenia alebo spoločenstvá v členských štátoch podľa platného ústavného práva. Spracúvanie osobných údajov na účel dosiahnutia cieľov oficiálne uznaných náboženských združení, pričom ide o ciele stanovené ústavným právom alebo medzinárodným právom verejným, sa vykonáva vo verejnom záujme. Osobitné kategórie osobných údajov sú zákonne spracúvané, ak spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami neziskový subjekt s náboženským zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov tohto subjektu. V zmysle Základnej zmluvy medzi Svätou stolicou a Slovenskou republikou Slovenská republika okrem iného uznáva právo katolíckej cirkvi v Slovenskej republike, vykonávanie jej kompetencií ustanovených kánonickým právom a spravovanie jej vnútorných vecí. Vzhľadom na aktuálnu rozhodovaciu prax kontrolných orgánov ako aj prax súdov ohľadne uplatňovania ochrany osobných údajov v EÚ možno konštatovať, že štátom registrované cirkvi oprávnene vedú údaje o svojich členoch, ako aj údaje o svojich bývalých členoch a to aj v prípade žiadostí o výmaz osobných údajov. Zároveň je potrebné zdôrazniť, že osobné údaje nie sú poskytované tretím osobám, nie sú zverejňované a v cirkevných matrikách figurujú výlučne pre vyššie uvedené účely. V tejto súvislosti úrad podľa § 100 ods. 5 písm. a) zákona č. 18/2018 Z. z. predmetné návrhy ako zjavne neopodstatnené odložil.
10.3.1.2Predloženie pracovného posudku v súdnom konaní na žiadosť súdu
Úrad v roku 2023 prešetroval návrh, v ktorom navrhovateľ namietal, že hoci bol prevádzkovateľ súdom vyzvaný na zaslanie pracovného posudku o osobe navrhovateľa, prevádzkovateľ okrem tohto posudku súdu zároveň zaslal aj pracovné emaily odosielané navrhovateľom jeho obchodným partnerom (klientom). Prevádzkovateľ sa k predmetnej veci vyjadril, že ide o plnenie zákonnej povinnosti vyplývajúcej z osobitných právnych predpisov. Zo spisového materiálu vyplývalo, že súd v predmetnej veci prevádzkovateľa požiadal o uvedenie informácie o tom, odkedy a dokedy bol navrhovateľ u neho zamestnaný, aký bol jeho priemerný mesačný čistý príjem, z akého dôvodu bol ukončený pracovný pomer a aká bola jeho pracovná morálka. Prevádzkovateľ na podporu svojich tvrdení uvedených v stanovisku (posudku) súdu zaslal ako dôkaz aj emailovú komunikáciu medzi navrhovateľom a klientmi (obchodnými partnermi) prevádzkovateľa. Navrhovateľ v rámci šetrenia ďalej argumentoval, že prevádzkovateľ nebol bez súhlasu navrhovateľa oprávnený poskytnúť súdu plné znenia emailov a tiež skutočnosť, že prevádzkovateľ na zaslanie emailov nebol súdom vyzvaný. K uvedenému argumentu úrad uviedol, že zákonník práce explicitne definuje, čo je možné za pracovný posudok považovať. V zmysle § 75 zákonníka práce pracovným posudkom sú všetky písomnosti týkajúce sa hodnotenia práce zamestnanca, jeho kvalifikácie, schopností a ďalších skutočností, ktoré majú vzťah k výkonu práce. V predmetnej veci úrad ďalej konštatoval, že pracovná elektronická pošta je adresovaná zamestnávateľovi, tzn. nie je v úmysle odosielateľa jej doručenie konkrétnej fyzickej osobe – zamestnancovi, aj keď vždy bude predmetnú elektronickú poštu v mene zamestnávateľa vybavovať poverený zamestnanec. Obdobne to platí
45
pri odosielaní elektronickej pošty, ktorú odosiela poverený zamestnanec v mene zamestnávateľa, teda nie vo svojom mene a obsah elektronickej pošty súvisí s predmetom činnosti zamestnávateľa. V zmysle ustálenej judikatúry kontrolu, monitoring, resp. iný zásah do takejto pošty nie je možné považovať za zásah do súkromia. Navyše v zmysle právnych predpisov upravujúcich súdne konanie je prevádzkovateľ povinný označiť (predložiť) dôkazy na preukázanie svojich tvrdení. Z uvedených dôvodov úrad konštatoval, že postup prevádzkovateľa nebol v rozpore s právnymi predpismi v oblasti ochrany osobných údajov a návrh navrhovateľa v súlade s § 100 ods. 5 písm. a) zákona č. 18/2018 Z. z. odložil ako neopodstatnený.10.3.2.1Spracúvanie osobných údajov prevádzkovateľom usadeným v Rakúsku
Úradu bol v sledovanom období doručený návrh dotknutej osoby (občana Slovenskej republiky) voči prevádzkovateľovi usadenému v Rakúsku. Navrhovateľ namietal spracúvanie osobných údajov rakúskym prevádzkovateľom s organizačnou zložkou zriadenou na území Slovenska, pričom prevádzkovateľa žiadal o výmaz svojich osobných údajov. Uvedenú žiadosť mal zaslať na emailovú adresu prevádzkovateľa, avšak do času podania návrhu ho prevádzkovateľ neinformoval o výmaze jeho osobných údajov. Úrad v rámci predbežného preskúmania návrhu, najmä z dôvodu zistenia rozsahu svojich kompetencií v rámci cezhraničného spracúvania, požiadal o súčinnosť organizačnú zložku prevádzkovateľa sídliacu na Slovensku, ktorá potvrdila, že prevádzkovateľom osobných údajov dotknutých osôb je subjekt sídliaci v Rakúsku. Na základe uvedených skutočností úrad požiadal rakúsky dozorný orgán, aby sa návrhom zaoberal, nakoľko bol v zmysle čl. 56 Nariadenia ako dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa príslušný konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa alebo sprostredkovateľa v súlade s postupom stanoveným v článku 60 Nariadenia. Úrad bol pre cezhraničné spracúvanie osobných údajov dotknutým dozorným orgánom, pretože bol adresátom návrhu podaného navrhovateľom. Úrad a rakúsky dozorný orgán si v predmetnej veci navzájom poskytovali relevantné informácie a pomoc v záujme konzistentného vykonávania a uplatňovania Nariadenia a prijímali opatrenia na účinnú vzájomnú spoluprácu. Rakúsky dozorný orgán vec prešetril v rozsahu svojich kompetencií. Rakúsky dozorný orgán prijal rozhodnutie, v ktorom konanie zastavil, nakoľko nezistil porušenie zásady transparentnosti a zároveň prevádzkovateľ usadený v Rakúsku vyhovel žiadosti navrhovateľa o výmaz jeho osobných údajov. Úrad následne v zmysle § 99 ods. 5 zákona informoval navrhovateľa o rozhodnutí rakúskeho dozorného orgánu.
10.3.2.2Zverejňovanie osobných údajov zamestnancov na nástenke zamestnávateľa
Úrad v roku 2023 viedol konanie o ochrane osobných údajov na základe podnetu, v ktorom podávateľ uviedol, že na nástenke umiestnenej v hale prevádzkovateľa sú zverejňované osobné údaje zamestnancov prevádzkovateľa v rozsahu meno, priezvisko, funkcia, údaje o absencii, návšteve lekára, čerpaní dovolenky, čerpaní turnusového voľna a o dlhodobej či krátkodobej práceneschopnosti. Navyše prístup k týmto informáciám mali mať okrem všetkých zamestnancov prevádzkovateľa aj externé osoby. Prevádzkovateľ argumentoval, že predmetné zverejňovanie mu vyplýva z osobitného predpisu, ktorým je zákon č. 311/2001 Z. z. Zákonník práce. Úrad v danej veci konštatoval, že prevádzkovateľ ako zamestnávateľ dotknutých osôb môže v zmysle § 78 ods. 3 zákona zverejniť osobné údaje svojich zamestnancov v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Na predmetnú spracovateľskú operáciu však musí disponovať primeraným právnym základom, ktorým čl. 6 ods. 1 písm. c) Nariadenia nie je, nakoľko v zákone je dané spracúvanie uvedené ako zákonné oprávnenie, nie zákonná povinnosť. Oprávnenie
46
zverejňovať osobné údaje sa však nevzťahuje na údaje konkrétneho zamestnanca o jeho absencii v práci (napr. z dôvodu čerpania dovolenky alebo práceneschopnosti), ktoré môžu byť sprístupnené iba osobám, ktorým to vyplýva z pokynov prevádzkovateľa. Dotknutá osoba (zamestnanec) môže primerane očakávať, že sa s údajmi o jej dochádzke a dôvodoch neprítomnosti môžu oboznámiť napríklad osoby zastávajúce vedúce či riadiace funkcie (napr. vedúci zmeny, priamy nadriadený) alebo iné oprávnené osoby, ktorým to vyplýva z náplne ich pracovnej činnosti a pokynov prevádzkovateľa (napr. mzdár). Inými slovami, evidencia dochádzky má slúžiť na interné účely ako podklad na zabezpečenie fungovania prevádzky (napríklad na výplatu mzdy), pričom je neprípustné, aby sa s týmito údajmi oboznamovali externé osoby nachádzajúce sa v priestoroch prevádzkovateľa alebo ďalší (neoprávnení) zamestnanci, ktorým to nevyplýva z opisu ich pracovnej činnosti (náplne práce). Údaje o práceneschopnosti (prípadne spojené s ďalšími, aj ústne poskytnutými informáciami) môžu odhaľovať zdravotný stav zamestnanca. Spracúvanie údajov týkajúcich sa zdravia je podmienené nielen existenciou právneho základu, ale aj splnením niektorou z výnimiek podľa čl. 9 ods. 2 Nariadenia. Zo spisového materiálu ďalej vyplývalo, že prevádzkovateľ si vo vzťahu k predmetnej spracovateľskej operácii nesplnil voči zamestnancom ani informačnú povinnosť podľa čl. 13 Nariadenia. Úrad v danom prípade konštatoval, že v súvislosti s neoprávneným zverejnením osobných údajov dotknutých osôb došlo zo strany prevádzkovateľa k porušeniu zásady integrity a dôvernosti v zmysle čl. 5 ods. 1 písm. f), ako aj zásady transparentnosti podľa čl. 5 ods. 1 písm. a) Nariadenia. Na základe zistených porušení úrad uložil prevádzkovateľovi opatrenia na nápravu a pokutu.10.3.2.3Zaslanie dokumentov neoprávneným príjemcom
Úrad v roku 2023 viedol z vlastnej iniciatívy konanie vo veci podozrenia z porušenia právnych predpisov v oblasti ochrany osobných údajov, ku ktorému malo dôjsť pochybením sprostredkovateľa spočívajúcim v absencii kontroly správnosti zasielaných obálok, pričom dokumenty obsahujúce osobné údaje dotknutých osôb v rozsahu meno, priezvisko, adresa, individuálne číslo poistenca a výška poistného boli zaslané nesprávnym príjemcom, tzn. došlo k ich sprístupneniu neoprávneným osobám. Po preskúmaní zmluvy uzatvorenej medzi prevádzkovateľom a sprostredkovateľom bolo zrejmé, že predmetná zmluva obsahuje aj časť nazvanú „Ochrana osobných údajov“. Po preskúmaní predloženej zmluvy úrad konštatoval, že predmetná zmluva najmä v uvedenej časti nespĺňa minimálne požiadavky podľa čl. 28 Nariadenia. Vo vzťahu k čl. 28 ods. 3 písm. c) a f) sú opatrenia podľa čl. 32 Nariadenia definované v zmluve iba veľmi všeobecne. Inými slovami, prevádzkovateľ sprostredkovateľa nezaväzuje k prijatiu konkrétnych opatrení na ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom alebo sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. V zmysle usmernenia EDPB prvky stanovené v čl. 28 Nariadenia predstavujú základný obsah zmluvy, avšak prevádzkovateľ a sprostredkovateľ by zmluvu mali využiť na ďalšie objasnenie spôsobu, akým sa budú tieto základné prvky vykonávať, a to formou podrobných pokynov. V dohode o spracúvaní by sa preto nemali len prevziať ustanovenia Nariadenia, ale mala by skôr obsahovať podrobnejšie a konkrétnejšie informácie o tom, ako budú požiadavky plnené a aká úroveň bezpečnosti sa vyžaduje pri spracúvaní osobných údajov, ktoré je predmetom dohody o spracúvaní. Nariadenie jednoznačne definuje, že prevádzkovatelia musia svojim sprostredkovateľom poskytnúť pokyny týkajúce sa každej spracovateľskej činnosti. Takéto pokyny majú zahŕňať prípustné a neprípustné zaobchádzanie s osobnými údajmi, podrobnejšie postupy, spôsoby zabezpečenia údajov, a podobne. Úrad v danom prípade konštatoval, že v súvislosti s neoprávneným zverejnením osobných údajov dotknutých osôb došlo zo strany prevádzkovateľa k porušeniu zásady integrity a dôvernosti v zmysle čl. 5 ods. 1 písm. f) Nariadenia. Na základe zisteného porušenia úrad uložil prevádzkovateľovi pokutu.
10.3.2.4Spracúvanie osobných údajov získaných z verejne dostupných zdrojov
Úrad v sledovanom období viedol konanie voči obchodnej spoločnosti (prevádzkovateľ), ktorá spracúvala osobné údaje získavané z verejne dostupných zdrojov (informačné systémy verejnej správy) a následne ich poskytovala záujemcom prostredníctvom svojej webovej stránky. V uvedenom prípade
47
prevádzkovateľ síce v ním predloženom teste proporcionality identifikoval svoj oprávnený záujem a snažil sa ozrejmiť nevyhnutnosť takéhoto spracúvania osobných údajov, ale v konečnom dôsledku venoval nedostatočnú až minimálnu pozornosť porovnaniu jeho podnikateľských záujmov a záujmov tretích osôb so základnými právami a slobodami dotknutých osôb. Úrad konštatoval, že každé ďalšie zverejnenie už publikovaných osobných údajov, naviac skombinovaných tak, že multiplikujú svoju informačnú hodnotu, predstavuje vyššiu dimenziu zásahu do súkromia, na čo je nutné prihliadnuť, pričom samotný „verejný charakter“ niektorých osobných údajov sám o sebe nezakladá automaticky oprávnenie k ich ďalšiemu neobmedzenému spracúvaniu. Verejne prístupné registre, ktoré sú vytvárané štátnymi orgánmi, umožňujú verejnosti bezodplatné nahliadanie, vyhotovovanie výpisov a podobne, ale v žiadnom prípade nie sú určené na cielenú kumuláciu a kombinovanie osobných údajov za účelom ich ďalšieho nekontrolovateľného šírenia. V prípade štátnych verejných registrov dotknuté osoby vedia a majú právnu istotu, že ich osobné údaje sú verejne prístupné a spracúvané na základe čl. 6 ods. 1 písm. c) Nariadenia, ale v žiadnom prípade z toho nemožno vyvodiť, že majú vedomosť alebo očakávajú ďalšie spracúvanie na iné účely a inými prevádzkovateľmi. Nakoľko spracúvanie zverejnených osobných údajov nie je privilegované, je potrebné pri ňom dôsledne dodržiavať prísne požiadavky Nariadenia, vrátane testu proporcionality vyžadujúceho podrobné posúdenie všetkých aspektov spracúvania osobných údajov, napríklad primeraných očakávaní dotknutých osôb, zdrojov osobných údajov, vzťahu prevádzkovateľa s dotknutou osobou, zachovania prehľadu o pohybe osobných údajov a zabránenia situáciám, kedy dotknutá osoba v dôsledku nekontrolovateľného šírenia jej osobných údajov stratí možnosť efektívne kontrolovať ich správnosť, aktuálnosť a sledovať účelnosť ich využitia. Úrad konštatoval, že prevádzkovateľ v predmetnom prípade nepreukázal, že jeho oprávnený záujem prevažuje nad záujmami a základnými právami dotknutých osôb, najmä nad právom na ochranu osobných údajov a právom na ochranu súkromia. Nebolo možné zakladať oprávnený záujem prevádzkovateľa na „práve širokej verejnosti na prístup k informáciám“, a to aj z dôvodu, že v tomto prípade išlo o verejnosť obmedzenú na registrovaných, resp. platiacich zákazníkov a tieto informácie bolo možné získať z verejných registrov. Takisto prevádzkovateľ nepreukázal oprávnenosť vytvárania tzv. datasetov, kde sa kombinujú veľké počty osobných údajov za účelom prehľadu o personálnych a majetkových prepojeniach, čo vytvára omnoho väčší priestor pre zásah do súkromia. Prevádzkovateľ nepreukázal, že dotknuté osoby (napriek skutočnosti, že ich osobné údaje boli zverejnené vo verejných registroch štátnych orgánov) mali primerané očakávania, že ich osobné údaje budú ďalej systematicky spracúvané takýmto spôsobom. Úrad v tejto súvislosti uviedol, že aj zdanlivo „neškodné“, resp. všeobecné osobné údaje, ak sa spracúvajú vo veľkom rozsahu a kombinujú s inými údajmi, môžu predstavovať oveľa väčšie riziká pre dotknuté osoby týkajúce sa ich autonómie, poškodenia dobrej povesti, vyjednávacej sily a pod. Úrad v predmetnom prípade konštatoval, že prevádzkovateľ porušil zásadu zákonnosti v spojení so zásadou zodpovednosti, keď nepreukázal oprávnenosť spracúvania osobných údajov dotknutých osôb získaných z verejných registrov, ktoré následne spracúval a zverejňoval na svojej webovej stránke. S ohľadom na absenciu primeraných očakávaní dotknutých osôb, počet dotknutých osôb, kombinovanie a vzájomné prepájanie osobných údajov z rôznych verejných registrov, ako aj na výlučne komerčný záujem prevádzkovateľa úrad nemal za preukázané, že spracúvanie osobných údajov prevádzkovateľom bolo založené na ním deklarovanom právnom základe v zmysle čl. 6 ods. 1 písm. f) Nariadenia, ani na inom právnom základe.
48
11KONANIA O ROZKLADOCHVoči rozhodnutiu úradu v konaní o ochrane osobných údajov, ako aj voči rozhodnutiu úradu o nesprístupnení informácie alebo o nesprístupnení informácie sčasti možno podať riadny opravný prostriedok (rozklad). V konaní o rozklade sa subsidiárne uplatňujú ustanovenia Správneho poriadku o opravných prostriedkoch. O podaných rozkladoch rozhoduje podpredsedníčka úradu na základe odporúčaní rozkladovej komisie, pričom podávateľ rozkladu môže tento rozšíriť alebo doplniť o ďalší návrh alebo o ďalšie body v lehote určenej na podanie rozkladu, tzn. v lehote 15 dní odo dňa oznámenia rozhodnutia.
Podpredsedníčke úradu bolo v sledovanom období predložených 57 rozkladov voči prvostupňovým rozhodnutiam úradu. V rovnakom období podpredsedníčka úradu v postavení odvolacieho orgánu rozhodla o 42 rozkladoch.
Počet nových rozkladov predložených
v roku 2023
Počet vybavených rozkladov z roku 2023
Počet vybavených rozkladov z roku 2022
Počet nevybavených konaní o rozklade k 31.12.2023
Z celkového počtu 42 ukončených konaní o rozklade podpredsedníčka úradu v 22 prípadoch rozhodnutia prvostupňového správneho orgánu potvrdila, v 15 prípadoch zmenila a v 5 prípadoch rozhodnutia prvostupňového správneho orgánu zrušila a vec vrátila na nové prejednanie.
V roku 2023 bol podpredsedníčke úradu predložený jeden rozklad proti rozhodnutiu o nesprístupnení informácie (nesprístupnení informácie sčasti) v zmysle zákona č. 211/2000 Z. z.; v danom prípade bolo výsledkom konania o rozklade potvrdenie prvostupňového rozhodnutia kancelárie úradu. Podpredsedníčka úradu v roku 2023 potvrdila aj 2 rozhodnutia o rozklade, ktoré boli predložené v roku 2022.
Účastník správneho konania môže voči právoplatnému rozhodnutiu podpredsedníčky úradu podať žalobu o preskúmanie zákonnosti rozhodnutia, a to v lehote dvoch mesiacov od jeho oznámenia. V rámci vecnej a miestnej príslušnosti je odo dňa 01.06.2023 na konanie príslušný Správny súd v Bratislave.
V sledovanom období boli podané na Správnom súde v Bratislave 2 žaloby proti nečinnosti orgánu verejnej správy (sp. zn. 16Sa/5/2023 a 7Sa/13/2023) a 3 žaloby na preskúmanie zákonnosti rozhodnutí úradu; ku všetkým sa úrad na žiadosť súdu vyjadril (sp. zn. 1S/6/2023; 2S/235/2022).
V sledovanom období bolo vydané jedno uznesenie Krajského súdu v Bratislave (sp. zn. 6S/37/2021), ktorý odmietol žalobu vo veci preskúmania zákonnosti opatrenia žalovaného (úradu).
Správny súd v Bratislave rozhoduje vo veci správnej žaloby rozsudkom, proti ktorému môžu účastníci správneho súdneho konania podať kasačnú sťažnosť. Najvyšší správny súd Slovenskej republiky, ako súd kasačný, na základe podanej kasačnej sťažnosti preskúmava rozsudok, ako aj konanie krajského súdu, ktorý ho vydal.
49
12SŤAŽNOSTI PODĽA ZÁKONA O SŤAŽNOSTIACHÚrad v postavení orgánu verejnej správy plní aj povinnosti vyplývajúce zo zákona č. 9/2010 Z. z.
Za sledované obdobie úrad prijal 29 podaní, ktoré posudzoval podľa zákona č. 9/2010 Z. z.
V 4 prípadoch boli sťažnosti vyhodnotené ako neopodstatnené, v 3 prípadoch boli sťažnosti vyhodnotené ako opodstatnené, v 2 prípadoch boli sťažnosti vyhodnotené ako sčasti opodstatnené. V 3 prípadoch boli podania postúpené v zmysle § 12 zákona č. 9/2010 Z. z.
V ostatných prípadoch podania, ktoré nespĺňali formálne alebo obsahové náležitosti sťažnosti, boli odložené podľa § 6 zákona č. 9/2010 Z. z., a podania, ktoré neboli vyhodnotené ako sťažnosti, boli vybavené podľa § 4 zákona č. 9/2010 Z. z.
50
13EURÓPSKY A MEDZINÁRODNÝ LEGISLATÍVNY BALÍK OCHRANY OSOBNÝCH ÚDAJOV13.1Legislatívny proces na úrovni EÚ EK dňa 04.07.2023 predložila návrh nariadenia, ktorým sa stanovujú ďalšie procesné pravidlá na presadzovanie nariadenia (EÚ) 2016/679 (ďalej ako: „Návrh nariadenia pre cezhraničné spracúvanie“) s cieľom zabezpečiť účinné fungovanie systému cezhraničného presadzovania všeobecného nariadenia o ochrane údajov. Návrh je zameraný na riešenie týchto situácií: sťažnosti, procesné práva vyšetrovaných strán, spolupráca a riešenie sporov medzi dozornými orgánmi pre ochranu údajov. Návrh určuje postavenie sťažovateľov, cielene harmonizuje procesné práva strán v cezhraničných prípadoch, poskytuje nástroje potrebné na dosiahnutie konsenzu medzi orgánmi dozoru pre ochranu údajov s cieľom spolupráce a riešenia vzájomných sporov, špecifikuje informácie, ktoré má poskytnúť vedúci orgán pre ochranu osobných údajov pri predkladaní veci na riešenie sporu, objasňuje úlohy všetkých subjektov zapojených do riešenia sporu. Návrh stanovuje lehoty pre fázy postupu tam, kde je to vhodné. Prílohou návrhu je formulár sťažností.
Úrad v postavení člena EDPB k predmetnému návrhu nariadenia dňa 19.09.2023 prijal spoločné stanovisko EDPB – EDPS 1/2023 k návrhu nariadenia Európskeho parlamentu a Rady, ktorým sa stanovujú ďalšie procesné pravidlá na presadzovanie nariadenia (EÚ) 2016/679.
Európsky parlament prijal návrh nariadenia pre cezhraničné spracúvanie do Výboru LIBE a JURI, ktoré počas roku 2023 pripravili návrhy svojich stanovísk, v ktorých navrhujú viaceré zásadné zmeny oproti návrhu EK. Legislatívny proces k Návrhu nariadenia pre cezhraničné spracúvanie prebiehal v roku 2023 a zatiaľ sa nedá predpokladať, kedy bude ukončený.
13.2Európsky výbor pre ochranu údajov EDPB je nezávislý orgán EÚ s právnou subjektivitou, ktorý prispieva ku konzistentnému uplatňovaniu pravidiel ochrany údajov v celom EHP a podporuje spoluprácu medzi orgánmi pre ochranu osobných údajov EHP.
EDPB zastupuje jeho predsedníčka, ktorou bola predsedníčka rakúskeho dozorného orgánu Andrea Jelinek (do 25.05.2023). Novou predsedníčkou EDPB je predsedníčka fínskeho dozorného orgánu Anu Talus. V rovnaký deň bola zvolená aj nová podpredsedníčka EDPB, ktorou je predsedníčka cyperského dozorného orgánu Irene Loizidou Nicolaidou. EDPB pozostáva z vedúceho predstaviteľa jedného dozorného orgánu každého členského štátu EHP a EDPS. EK má právo zúčastňovať sa na činnosti a zasadnutiach EDPB bez hlasovacieho práva.
EDPB pracuje v súlade s rokovacím poriadkom
, ktorý nebol v hodnotenom období menený. Činnosť EDPB je rozdelená medzi 11 expertných podskupín (expert subgroups) a 6 pracovných skupín (task force), ktoré sú tematicky rozdelené (napr. expertná skupina pre technológie, pokuty, spoluprácu, a iné). Tieto expertné podskupiny pracujú na dokumentoch, ktorými sa napomáha ku konzistentnému uplatňovaniu Nariadenia. Úrad sa zúčastňuje na práci 8 expertných podskupín a 4 pracovných skupín osobnou účasťou, zasielaním písomných pripomienok, aktívnym zapájaním sa v rámci video/telekonferencií a súvisiacich workshopoch. Dokumenty, na ktorých pracujú expertné podskupiny, sa schvaľujú na plenárnom zasadnutí EDPB. V hodnotenom období sa konalo 6 osobných plenárnych zasadnutí v Bruseli, 8 online plenárnych
51
zasadnutí a jedno hybridné plenárne zasadnutie. Úrad sa v hodnotenom období zúčastnil všetkých stretnutí.Najväčším prínosom EDPB pre verejnosť je vydávanie usmernení a odporúčaní k rôznym oblastiam ochrany osobných údajov. V hodnotenom období vydal EDPB 12 usmernení a odporúčaní, 8 po verejnej konzultácii, 2 aktualizované v čiastkových otázkach a 2 na verejnú konzultáciu. EDPB vydal v hodnotenom období aj viacero dokumentov zameraných na praktiky v nastavení cookie bannerov na webových stránkach, prenosy osobných údajov do USA, a iné. Usmernenia a odporúčania sú zverejňované na webovej stránke
EDPB a zverejňuje ich aj úrad na svojej webovej stránke
v slovenskom a anglickom jazyku. Dňa 18.01.2023 EDPB zverejnil svoju prvú správu z koordinovanej akcie spoločného mapovania cloudových služieb orgánmi verejnej moci. Úrad sa do nej zapojil spolu s ďalšími 21 dozornými orgánmi. Úrad sa aktívne zapájal do prípravy správy z prvej koordinovanej akcie, kde za Slovenskú republiku pripravil národnú správu na základe odpovedí vybraných orgánov verejnej moci. Úrad v správe poukazuje na zistené nedostatky v 5 oblastiach (pri príprave zmluvných jednaní s poskytovateľmi cloudových služieb, pri Nariadením požadovanej dokumentácii, pri prenosoch osobných údajov a prístupe zahraničných orgánov k nim, pri identifikácii postavenia podľa Nariadenia, telemetrické údaje), na náprave ktorých bude v nasledujúcom období s orgánmi verejnej moci naďalej spolupracovať. Cieľom koordinovanej akcie bolo posilniť súlad orgánov verejnej moci s Nariadením pri využívaní cloudových služieb. Následne na základe zistení na národnej úrovni sa v správe navrhujú harmonizované kroky na úrovni EÚ, ktoré by viedli k zlepšeniu ochrany osobných údajov v súlade s požiadavkami Nariadenia na národnej úrovni. Táto správa predstavuje pre slovenské štátne orgány základný zdroj informácií pri výbere spôsobu, akým sa má dosiahnuť súlad cloudových služieb s Nariadením.
V apríli EDPB spustil „Data Protection Guide for small business“ (sprievodca ochranou údajov), aby pomohol vlastníkom malých podnikov na ich ceste k zosúladeniu s ochranou údajov. Cieľom príručky je zvýšiť povedomie o Nariadení a poskytnúť praktické informácie malým a stredným podnikom o dodržiavaní Nariadenia v dostupnom a ľahko zrozumiteľnom formáte.
Príručka je v súčasnosti dostupná v angličtine a časom bude sprístupnená aj v iných jazykoch EÚ.
13.3Rozsiahle informačné systémy a orgány, úrady a agentúry Únie EÚ vytvorila viacero rozsiahlych európskych informačných systémov a agentúr, nad ktorými dohľad je zdieľaný medzi národnými orgánmi na ochranu údajov a EDPS. EDPS a národné dozorné orgány v rámci svojich príslušných právomocí aktívne spolupracujú v rámci svojich úloh s cieľom zabezpečiť účinný dozor nad rozsiahlymi informačnými systémami a orgánmi, úradmi a agentúrami Únie.
EDPS je nezávislý dozorný orgán EÚ zodpovedný za zabezpečenie dodržiavania základných práv a slobôd fyzických osôb, najmä ich práva na ochranu údajov zo strany inštitúcií a orgánov Únie. EDPS je zodpovedný za monitorovanie a zabezpečenie uplatňovania ustanovení nariadenia 2018/1725 a akýchkoľvek ďalších aktov Únie týkajúcich sa ochrany základných práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciou alebo orgánom Únie a za poradenstvo pre inštitúcie a orgány Únie a dotknuté osoby vo všetkých veciach týkajúcich sa spracúvania osobných údajov.
Vnútroštátne dozorné orgány a EDPS spolupracujú s cieľom zabezpečiť koordinovaný dohľad. Na tento účel sa zástupcovia národných orgánov na ochranu údajov a EDPS pravidelne stretávajú (spravidla dvakrát ročne) s cieľom diskutovať o spoločných otázkach týkajúcich sa dohľadu. V rámci svojich príslušných
52
právomocí a v rámci svojich úloh si podľa potreby vymieňajú relevantné informácie, pomáhajú pri vykonávaní auditov a inšpekcií, skúmajú ťažkosti súvisiace s výkladom alebo uplatňovaním aktov Únie v oblasti ochrany osobných údajov, študujú problémy spojené s vykonávaním nezávislého dozoru alebo s výkonom práv dotknutých osôb, vypracúvajú harmonizované návrhy riešení akýchkoľvek problémov a podporujú informovanosť o právach na ochranu údajov.Konkrétne ide o tieto skupiny:
•Pracovná skupina pre koordináciu dozoru nad Schengenským informačným systémom II
zanikla začatím uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1860 z 28. novembra 2018 o využívaní Schengenského informačného systému na účely návratu neoprávnene sa zdržiavajúcich štátnych príslušníkov tretích krajín a nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1861 z 28. novembra 2018 o zriadení, prevádzke a využívaní Schengenského informačného systému (SIS) v oblasti hraničných kontrol, o zmene Dohovoru, ktorým sa vykonáva Schengenská dohoda, a o zmene a zrušení nariadenia (ES) č. 1987/2006. •Výbor pre koordinovaný dozor
(patrí pod neho IMI systém – informačný systém vnútorného trhu, EPPO – Európsky prokurátor, Eurojust – Agentúra EÚ pre justičnú spoluprácu v trestných veciach, Europol – Európsky policajný úrad a SIS – Schengenský informačný systém). Spoločný dozorný orgán pre Colný informačný systém mal v hodnotenom období jedno online stretnutie a jedno stretnutie v Bruseli. Pracovná skupina pre koordináciu dozoru nad Schengenským informačným systémom II sa v hodnotenom období už nestretla. Ostatné skupiny mali v hodnotenom období dve stretnutia v Bruseli. Zástupca úradu sa zúčastnil stretnutí všetkých vyššie uvedených skupín.
Výbor pre koordinovaný dozor mal v sledovanom období 4 stretnutia (2 online a 2 osobné v Bruseli), ktorých sa zúčastnili zamestnanci úradu. Výbor v sledovanom období prijal dve príručky týkajúce sa uplatnenia práv dotknutých osôb v súvislosti so spracúvaním v SIS
a Europolom
. 13.4Schengenské hodnotenie Závery a odporúčania, ktoré vo vzťahu k úradu obsahuje správa zo schengenského hodnotenia, sú stále aktuálne, očakávajúc reakciu Slovenskej republiky:
1.zabezpečiť, aby sa v záujme zvýšenia výkonnosti a efektívnosti orgánu pre ochranu osobných údajov ďalej zvyšoval jeho rozpočet a počet zamestnancov,
2.zaistiť, aby bola tá časť celkového štátneho rozpočtu, ktorá je určená pre orgán pre ochranu osobných údajov, jasne viditeľná, aby sa zaručilo, že orgán pre ochranu osobných údajov má samostatný verejný ročný rozpočet,
3.zabezpečiť, aby sa národná rada v rámci rozpočtového postupu oboznámila so stanoviskom orgánu pre ochranu údajov, pokiaľ ide o jeho rozpočtové potreby, ako aj s obsahom rokovaní o rozpočte, ktoré orgán pre ochranu osobných údajov viedol s ministerstvom financií,
4.prijať opatrenia s cieľom zabezpečiť, aby ministerstvo financií nemohlo dávať do vzájomnej súvislosti rozpočet a sumu pokút, ktoré má orgán pre ochranu osobných údajov vybrať, pretože by to mohlo mať vplyv na povahu a určovanie priorít orgánu pre ochranu osobných údajov a ovplyvniť tak jeho
53
nezávislosť; malo by sa zaručiť, že rozpočet orgánu pre ochranu osobných údajov nebude možné počas kalendárneho roka znížiť, ak orgán pre ochranu osobných údajov nevyberie odhadovanú výšku pokút v plnom rozsahu,
5.zabezpečiť, aby sa orgánu pre ochranu osobných údajov zverili všetky úlohy a právomoci, ktorú sú pre orgány pre ochranu osobných údajov stanovené v článkoch 57 a 58 všeobecného nariadenia o ochrane údajov.
Úrad v spolupráci s Ministerstvom vnútra SR (koordinačný orgán pre Schengenské hodnotenia) v súlade s Nariadením Rady (EÚ) č. 1053/2013 zo 7. 10. 2013, ktorým sa vytvára hodnotiaci a monitorovací mechanizmus na overenie uplatňovania schengenského acquis v členských štátoch, v marci roku 2023 v súlade s čl. 16 ods. 3 predložil EK správu o vykonávaní svojho akčného plánu. Následne úrad v septembri 2023 pripravil ďalšiu správu o vykonávaní svojho akčného plánu už podľa nových pravidiel uvedených v čl. 21 ods. 3 Nariadenia rady (EÚ) 2022/922 o vytvorení a prevádzke hodnotiaceho a monitorovacieho mechanizmu na overovanie uplatňovania schengenského acquis a o zrušení nariadenia (EÚ) č. 1053/2013.
Závery Schengenského hodnotenia v oblasti ochrany osobných údajov vo vzťahu k úradu si vyžadujú zmenu zákonov a spôsobu financovania Úradu, preto boli v správach pre EK odoslaných v roku 2023 uvádzané ako prebiehajúca náprava.
13.5Konzultatívny výbor k Dohovoru 108 Konzultatívny výbor založený Radou Európy k Dohovoru 108 pozostáva zo zástupcov zmluvných strán dohovoru, ktorých dopĺňajú pozorovatelia z iných štátov (členov alebo nečlenov) a medzinárodných organizácií. Výbor je zodpovedný za interpretáciu ustanovení a za zlepšenie implementácie Dohovoru 108 a za zostavovanie správ, usmernení a usmerňujúcich zásad v rôznych oblastiach. Stretnutí konzultatívneho výboru sa pravidelne zúčastňujú aj zástupcovia úradu, a to na plenárnych zasadnutiach, v minulosti príležitostne aj na užších stretnutiach výboru (the Bureau). V roku 2023 sa konali 2 plenárne zasadnutia výboru s účasťou zástupcu úradu.
Rada Európy vyhlásila 28. január za Deň ochrany osobných údajov alebo Deň súkromia (pojem používaný mimo Európy). O tomto dni každoročne vydáva publikáciu
, v ktorej informuje verejnosť o aktivitách v jednotlivých štátoch združených v Rade Európy. Konzultatívny výbor od roku 2019 udeľuje cenu v oblasti ochrany údajov, tzv. Stefano Rodota Award. Každý rok je vybraný výskum odhalený v Deň ochrany údajov. V roku 2023 bola udelená piaty krát v 2 kategóriách: najlepšie PhD-tézy a najlepšie odborné články. Porota sa v roku 2023 rozhodla udeliť osobitné uznanie za prácu „Utajenie slobody: Tvorba šifrovania,
bezpečného odosielania správ a digitálnych slobôd
“, ktorá sa dotýka témy zachovania súkromia na internete. 55
14STRETNUTIA S PARTNERSKÝMI DOZORNÝMI ORGÁNMI, KONFERENCIE A WORKSHOPYZástupkyňa úradu sa v januári zúčastnila online konferencie „PrivacyCamp23“, ktorá bola organizovaná EDRi. Konferencia bola zameraná na rôzne zaujímavé témy, ktoré sa netýkali len ochrany údajov. Na prednáške s názvom „Reimagining platform ecosystems“ sa rečníci venovali novému nariadeniu Data Market Act, jeho fungovaniu v praxi a dopadu nielen na dotknutú osobu, ale aj na práva spotrebiteľa. V rámci prednášky „Saving GDPR enforcement thanks to procedural harmonisation: Great, but how exactly?“ sa stretli rečníci z rôznych sektorov – zástupca EDPB, zástupca organizácie zastupujúcej dotknuté osoby a iní. Každý prezentoval svoj pohľad na fungovanie OSS mechanizmu pri cezhraničných konaniach vrátane jeho pozitív a negatív pri presadzovaní Nariadenia. V prednáške s názvom „The EU can do better: How to stop mass retention of all citizen’s communication data?“ sa rečník zameral na prehľad poslednej judikatúry SDEÚ týkajúcej sa spracúvania údajov v oblasti elektronických komunikácií (aké má dopady na členské štáty a aké podmienky určil SDEÚ pre spracúvanie týchto údajov).
V apríli sa dve zástupkyne úradu zúčastnili každoročnej konferencie s názvom „Privacy Symposium“, ktorá bola organizovaná v Benátkach. Konferencia trvala 5 dní, z ktorých každý bol rozdelený do troch blokov.
V prvý deň sa zástupkyne úradu zúčastnili bloku zameraného na Dohovor 108+. V tomto bloku prebehlo viacero prednášok a rečníci sa zhodli na tom, že Dohovor 108+ má svoje nezastupiteľné miesto v ochrane údajov a že je potrebné, aby sa jeho stranami stal čo najväčší počet štátov (nielen z EÚ).
V priebehu druhého dňa sa zástupkyne úradu zúčastnili bloku, ktorý bol zameraný na prenos osobných údajov do tretích krajín a na technológie. Rok 2023 je rokom umelej inteligencie. V oblasti prenosov taktiež dochádza k vývoju, nielen v EÚ. Je potrebné zabezpečiť, aby k prenosom údajov dochádzalo bezpečne.
Témou tretieho dňa boli zodpovedné osoby (DPO) a vymáhanie práva. Rečníci boli z rôznych oblastí a zastupovali zodpovedné osoby, dozorné orgány, neziskové organizácie, a podobne. DPO vyjadrili potrebu, aby dozorné orgány upriamili pozornosť verejnosti na dôležitosť úlohy DPO. Zástupca EDPB predstavil koordinovanú akciu zameranú na zodpovedné osoby. Zároveň deklaroval problém dotknutých osôb s vymáhaním ich práv a to nielen vo vzťahu k prevádzkovateľom, ale aj vo vzťahu k dozorným orgánom.
Štvrtý deň bol zameraný na rôzne témy ako kyberkriminalita, národná bezpečnosť, umelá inteligencia a iné. Kyberzločin je takmer vždy cezhraničný. Pri umelej inteligencii sa hranica osobných údajov modifikuje a práve neustálym vývojom technológií sa aj zdanlivo obyčajné údaje stávajú osobnými.
Posledný deň konferencie bol zameraný opäť na prenosy údajov a právne základy spracúvania. Dohovor 108+ podporuje a iniciuje, aby sa medzinárodné organizácie stali jeho zmluvnou stranou.
14.3Bezpečnosť elektronickej komunikácie V máji sa zástupcovia Úradu v priestoroch Akadémie policajného zboru zúčastnili konferencie venovanej bezpečnosti elektronických komunikácií. Prezentácie zahŕňali pohľad na činnosť štátnych orgánov, ktoré v tejto oblasti vykonávajú svoju kompetenciu (CSIRT.sk, zástupcovia odboru počítačovej kriminality
56
Policajného zboru s prednáškou o Syntetickej identite a Akadémia policajného zboru s prednáškou o Umelej inteligencii). Súkromné spoločnosti sa venovali prednáškam o bezpečnosti kryptoaktív, vyšetrovaní webovej kriminality zo strany SK-NIC, a.s. a o súkromí v Microsofte 365 pre školy. Zástupkyňa Ministerstva vnútra SR mala pripravenú prezentáciu s názvom „Ochrana osobných údajov v podmienkach Ministerstva vnútra SR“, v ktorej rozoberala ustanovenia príslušných právnych predpisov. V máji sa zástupkyne úradu zúčastnili každoročnej konferencie s názvom „Spring Conference“, ktorú tento rok organizoval maďarský dozorný orgán v Budapešti. Konferencia trvala 3 dni, z ktorých posledný bol otvorený aj pre verejnosť. Konferencia mala bohatý program rozdelený do niekoľkých panelov.
V prvý deň sa rečníci prioritne zamerali na psychologické a sociologické aspekty spracúvania osobných údajov, ktoré prezentovali prostredníctvom záverov svojich výskumov. Rečníkmi boli najmä profesori z rôznych univerzít (napr. z Veľkej Británie, Talianska, Maďarska). Konferencia sa zameriavala na spoluprácu dozorných orgánov a orgánov ochrany osobných údajov v štátoch mimo EÚ a EHP. Rečníci sa zhodli najmä na tom, že je potrebné túto spoluprácu prehlbovať a zdieľať svoje skúsenosti.
Nasledujúci deň konferencie sa niesol v znamení judikatúry európskych súdov. V prvej časti boli odprezentované najnovšie rozsudky Európskeho súdu pre ľudské práva (napr. Drelon vs. France, Y. G. vs. Russia, Florindo vs. Portugal či L. B. vs. Hungary). V druhej časti boli hlavnou témou rozsudky Súdneho dvora Európskej únie, ktoré boli rozdelené podľa rôznych kritérií. Za najprelomovejšie rozsudky v oblasti ochrany osobných údajov vo všeobecnosti boli označené rozsudky vo veci C-131/12 (Google Spain), C-293/12 a C-594/12 (Digital Rights Ireland) a C-362/14 (Schrems I). Keďže sa témy tohtoročnej konferencie zameriavali na technológie a súvisiace spracúvanie osobných údajov, aj z tejto oblasti sa spomenuli konania pred súdom, ktoré v čase konferencie ešte neboli rozhodnuté, a to C-634/21 (SCHUFA) a C-203/22.
Posledný deň konferencie bol venovaný zodpovedným osobám. Niekoľko dozorných orgánov prezentovalo svoju prax pri podpore zodpovedných osôb, ktorá má spočívať v poskytovaní školení, webinárov, seminárov, konzultačnej linky či iných spôsobov, ako napomáhať výkonu ich úloh. Všetci rečníci sa zhodli na tom, že v praxi naďalej pretrváva nepochopenie úloh zodpovednej osoby, čo sa najčastejšie prejavuje tým, že im nie je umožnené venovať dostatok času ochrane osobných údajov, ich úloha sa kumuluje s ďalšími pracovnými úlohami, nemajú dostatok priestoru na svoje vzdelávanie v tejto oblasti, nie sú včas (ak vôbec) zapájané do rokovaní a rozhodovania manažmentu o spracúvaní osobných údajov, a podobne.
14.5DMA stakeholder workshop on "The DMA and data related obligations" Zástupkyňa úradu sa v máji zúčastnila online stretnutia organizovaného EK, kde sa zástupcovia odbornej verejnosti vyjadrovali ku konkrétnym článkom Nariadenia o súťažeschopných a spravodlivých trhoch digitálneho sektora (Nariadenie DMA). Účastníci mali možnosť oboznámiť sa s pohľadmi zástupcov univerzít a neziskových organizácií na názory tzv. strážcov prístupu (gatekeepers), napr. Meta a Amazon.
K čl. 5 ods. 2 Nariadenia DMA prof. Dr. Carissa Véliz (Oxford Univerzita) uviedla, že na osobné údaje by sa malo nazerať ako na toxický zdroj, ktorým prevádzkovatelia disponujú, preto by sa ho mali zbavovať čo najskôr a nie ho ukladať a kombinovať s cieľom získania čo najväčšieho zisku.
V druhej časti workshopu k čl. 6 ods. 2 Nariadenia DMA zo strany diskutujúcich bola predostretá myšlienka o problematických aspektoch kombinovania údajov u strážcov prístupu naprieč rôznymi aplikáciami
57
(vrátane využívania ChatGPT), nakoľko tie nie sú v súladné s Nariadením 2016/679 ako aj Nariadením DMA. Takýto produkt sa musí prebudovať, aby bol súlade s právom EÚ. 14.6Sports and Human Rights Zástupkyňa úradu sa v júni zúčastnila online konferencie organizovanej Radou Európy na tému šport a ľudské práva so zameraním na ochranu osobných údajov v športe. Rečníkmi boli zástupcovia rôznych organizácii vrátane dozorných orgánov. Bohatý program bol zameraný na rôzne aspekty spracúvania osobných údajov športovcov, ako napr. osobné údaje mladistvých športovcov a potreba ich ochrany; v tejto súvislosti sa spomínalo aj zneužívanie maloletých športovcov, značná časť konferencie sa venovala spracúvaniu údajov v súvislosti s dopingovými kontrolami a v neposlednom rade sa rečníci venovali aj problematike prenosov osobných údajov v zmysle Nariadenia.
14.7Webinár o DCT - Decentralizované klinické výskumy Zamestnankyňa úradu sa v júni zúčastnila online webinára, ktorý bol organizovaný subjektom z USA: MRCT Center - The Multi-Regional Clinical Trials Center of Brigham and Women's Hospital and Harvard. Zúčastnení sa oboznámili s témou decentralizovaného (alebo hybridného) spôsobu klinického výskumu v medicíne (ďalej aj ako DCT). Ide o výskum, ktorý je odlišný od klasických klinických skúšok vykonaných v zdravotníckom zariadení, preto má takýto výskum názov remote, digital, virtual či tele-trials (televýskum, telemedicína). Výskum je vykonávaný technológiami cez „smart“ zariadenia, prípadne za asistencie iných subjektov, ako sú poskytovatelia zdravotných služieb, bez potreby vykonania výskumu v klasických medicínskych zariadeniach.
Prednášatelia priblížili DCT, konkrétne akými nástrojmi sa DCT uskutočňuje, aké sú podmienky na jeho vykonanie, aké sú výhody a nevýhody oproti klasickému klinickému výskumu, aké osoby sú zapojené do uskutočnenia DCT, čo potrebuje pacient (účastník) vedieť pred začatím DCT, kto vykonáva kontrolu nad DCT, aké osobné údaje sú zbierané, ako sú použité, aké údaje sú viditeľné, množstvo dát, použitie elektronického súhlasu (e-Consent), a podobne. Prelomové témy sú kvalita, súkromie a bezpečnosť dát.
Tento webinár priniesol nové poznatky o spôsoboch, ktoré sú využívané v oblasti spracúvania osobných údajov týkajúcich sa zdravia. Táto oblasť, ktorá bude ďalej rozvíjaná aj v budúcnosti, pre oblasť ochrany osobných údajov prinesie nové výzvy.
14.8Protecting European electoral integrity together against data infringements V júni sa zástupkyňa úradu zúčastnila online stretnutia organizovaného Úradom pre európske politické strany a európske politické nadácie na tému „Ochrana európskej volebnej integrity pred zásahmi súvisiacimi s porušovaním osobných údajov“ (Protecting European electoral integrity together against data infringements). Stretnutie bolo organizované pri príležitosti nadchádzajúcich volieb do Európskeho parlamentu v roku 2024. V rámci stretnutia zástupcovia Úradu pre európske politické strany a európske politické nadácie predstavili svoju činnosť, právomoci úradu, predostreli účastníkom stretnutia právnu úpravu vzťahujúcu sa na voľby do Európskeho parlamentu - Nariadenie Európskeho parlamentu a Rady (EÚ, Euratom) 2019/493 z 25. marca 2019, ktorým sa mení nariadenie (EÚ, Euratom) č. 1141/2014, pokiaľ ide o postup overovania porušovania pravidiel o ochrane osobných údajov v kontexte volieb do Európskeho parlamentu. Účastníkom stretnutia boli predstavené modelové situácie, ako postupovať v prípade, ak by sa dozorné orgány stretli s porušením čl. 10 a Nariadenia č. 1141/2024 - žiadna európska politická strana alebo európska politická nadácia nesmie úmyselne ovplyvňovať ani sa usilovať ovplyvniť výsledok volieb do Európskeho parlamentu tým, že by ťažila z porušenia príslušných pravidiel o ochrane
58
osobných údajov fyzickou alebo právnickou osobou. Na stretnutí sa zúčastnili aj zástupcovia Európskeho parlamentu, ktorí hovorili o digitálnej bezpečnosti, o príkladoch manipulácie pri voľbách do Európskeho parlamentu, o konšpiračných teóriách a o tom, ako voči nim Európsky parlament bojuje.14.9The EU single market as a driver for European competitiveness Zástupkyňa úradu sa v júni zúčastnila online konferencie, ktorá bola organizovaná švédskym predsedníctvom Rady EÚ a generálnym tajomníkom Rady. Témou konferencie bol „jednotný trh EÚ ako hnací motor európskej konkurencieschopnosti“. V dvoch panelových diskusiách prednášajúci predniesli svoje postrehy v oblasti vývoja jednotného trhu, konkurencieschopnosti, regulácie, digitálnej a zelenej transformácie, ktoré sú horúcimi témami EÚ.
Obsahom prvej panelovej diskusie boli politické otázky, ktoré rozvíjali zástupcovia Európskeho parlamentu, Európskej komisie, pracovnej skupiny pre spotrebiteľa a ekonomický rast a Európskej investičnej banky. Tento rozhovor sa niesol v duchu otvorenosti voči novým technológiám, zeleným technológiám, umelej inteligencii, témou boli aj diskusie o tom, ako obstáť v globálnej konkurencii.
Na jednej strane stojí konkurencieschopnosť Európskej únie, ale na druhej strane stojí spotrebiteľ, ktorý bol v 2. panelovej diskusii zastúpený zástupcom BEUC, skupinou pre uplatňovanie jednotného trhu (SMET). Súčasťou rozhovoru boli aj zástupcovia Benelux Union a Konfederácie švédskych podnikateľov. Okrem vyjadrení na zjednodušenie regulácie pre európsky trh bola vyjadrená podstatná myšlienka, že za všetkým musíme vidieť spotrebiteľa, pre ktorého sa prijímajú nariadenia. Ochrana spotrebiteľa (consumer protection) je v kontexte trhu veľmi dôležitá.
14.10Nariadenie a zákon 2023 Štyria zástupcovia úradu sa v júni 2023 zúčastnili VI. ročníka EPI konferencie, ktorá bola organizovaná pod záštitou úradu. Dvojdňová konferencia sa uskutočnila v Tatranskej Lomnici, ale bolo možné zúčastniť sa aj online formou s cieľom zabezpečenia účasti čo najväčšieho počtu záujemcov.
Program prvého dňa bol zameraný na využitie osobných údajov a technológií sledovania v rámci online transakcií, digitálnych služieb a platforiem a na aktuálne otázky regulácie osobných údajov. Príspevky sa týkali napr. nových digitálnych právnych predpisov na úrovni EÚ, posúdenia vplyvu pri tvorbe právneho predpisu, certifikácie a iných tém. Zástupcovia úradu vystúpili s témami „Cookies z pohľadu regulátorov“ (zamerané na praktické požiadavky na webové stránky) a „Zaujímavosti zo Súdneho dvora EÚ“ (zamerané na ďalšie spracúvanie osobných údajov). Na záver prvého dňa sa uskutočnilo odovzdávanie ceny Zodpovednej osoby roka 2022, osobitne pre verejný a súkromný sektor.
Druhý deň konferencie bol zameraný na bezpečnostné incidenty a bezpečnosť. Príspevky sa sústredili napr. na kamerové zariadenia, vlastné zariadenia zamestnanca používané na prácu a bezpečnosť, konflikt záujmov pri výkone povinností zodpovednej osoby a iné. Zástupcovia úradu odprezentovali tému „Máš 72 hodín!“ zameranú na porušenia ochrany osobných údajov.
Konferencia ponúkla priestor na výmenu informácií medzi rôznymi aktérmi ako dozorný orgán, advokáti, zodpovedné osoby a odborníci na ochranu osobných údajov z praxe, nielen zo Slovenska, ale aj Česka. V rámci diskusie na rôzne témy boli prezentované najmä aplikačné problémy.
59
14.11Konferencia PHIRIZástupkyne úradu sa v septembri 2023 zúčastnili konferencie pri príležitosti 3. výročia vzniku PHIRI (Population Health Information Research Infrastructure), ktorej hlavnú myšlienku možno vyjadriť slovami „od údajov k aktivitám v oblasti verejného zdravia“. Na konferencii vystúpilo viacero lídrov z oblasti európskeho zdravotného priestoru a prebehli aj panelové diskusie.
Za vznikom PHIRI stojí pandémia covid-19. Osobitná situácia v roku 2020 viedla k tomu, že na európskej úrovni bolo potrebné okamžite reagovať na nové skutočnosti spojené s celosvetovou pandémiou. Dôležitá bola promptná výmena informácií a poskytnutie riešenia nie na politickej, ale odbornej úrovni. Výmena odborných informácií medzi jednotlivými štátmi dostala názov „Rapid Exchange Forum“ (REF) a stala sa súčasťou platformy „European Health Information Portal“. Táto neformálna platforma je určená na zdieľanie informácií medzi viacerými krajinami. Prednášajúci informovali publikum o tom, na čo táto platforma slúži a aké aktivity sa cez ňu uskutočňujú (semináre, webináre, správy, a podobne). PHIRI má ambíciu prepojiť vznikajúci a legislatívne upravený európsky priestor pre zdravotné údaje s neformálnym priestorom, aby sa zjednodušilo zdieľanie zdravotných údajov a výskum.
14.12Pracovné stretnutie s českým úradom na ochranu osobných údajov V dňoch 25. až 27. 9. 2023 prebehlo v Trenčíne rokovanie slovenských a českých odborníkov z úradov na ochranu osobných údajov. Na pozvanie podpredsedníčky úradu a za účasti jej spolupracovníkov sa akcie zúčastnila česká delegácia pod vedením predsedu Mgr. Jiřího Kauckého. Bilaterálne rokovania tohto typu sa uskutočnili po niekoľkých rokoch prerušených pandémiou covid-19, oba úrady sú však od účinnosti Nariadenia v kontakte aj v rámci štruktúr Európskeho výboru pre ochranu údajov.
Cieľom rokovaní bolo zistiť a porovnať, aký vplyv malo 5 rokov aplikácie Nariadenia na chod oboch úradov, aj na výstupy z dozornej činnosti. Odborníci z oboch úradov sa preto v 12 tematických blokoch venovali právnym otázkam aj rozhodovacej praxi. Frekventovanou témou bolo uplatňovanie dozorných právomocí, rozsah a počet vykonávaných kontrol a následné správne konanie a trestanie porušení.
Samostatný blok bol venovaný kamerovým systémom vrátane spracúvania biometrických údajov, či prípadom oznámenia porušenia ochrany osobných údajov (tzv. data breach). Opomenuté nezostalo zhodnotenie vplyvu úradov na vnútroštátnu legislatívu, vývoj európskeho práva a dôsledky aktuálneho rozhodnutia Európskej komisie o primeranej ochrane vo vzťahu k Spojeným štátom americkým na prenos osobných údajov mimo EÚ. Ako nedostatočné bolo v diskusii hodnotené materiálne a personálne zabezpečenie na strane oboch úradov, čo sa prejavuje najmä v rovine minimálnych kapacít pre IT expertízu a audit nových technológií rovnako, ako oba úrady pociťujú nedostatok právnikov s odborným zameraním pre oblasť ochrany osobných údajov.
Zástupcovia oboch úradov sa zhodli na potrebe pokračovať v bilaterálnom expertnom dialógu, ktorý bude prínosom pre vnútroštátnu dozornú prax, ako aj pre pôsobenie oboch úradov v mechanizmoch Európskeho výboru pre ochranu údajov.
14.13Privacy Conference 2023 V októbri sa zástupkyňa úradu zúčastnila dvojdňovej online konferencie s názvom „Privacy Conference 2023“ organizovanej spoločnosťou „bitkom“. Ústrednými témami boli umelá inteligencia, ochrana údajov detí, inovácie a ochrana osobných údajov, a podobne.
V priebehu prvého dňa boli príspevky prezentované v nemeckom jazyku. Druhý deň konferencie otvoril európsky komisár pre spravodlivosť, D. Reynders. V svojom príhovore sa zameral na Nariadenie a jeho
60
význam pre jednotný digitálny trh, ďalej na návrh nového nariadenia v oblasti cezhraničných konaní a na prenos osobných údajov do USA. Viacerí rečníci sa zhodli na tom, že Nariadenie ani po 5 rokoch nedosiahlo svoj cieľ predovšetkým z hľadiska jeho unifikovanosti naprieč EÚ. Je to viditeľné najmä v časti presadzovania, ako aj v oblasti inovácií a technológií. Niektoré spoločnosti sú preto obozretné pri zavádzaní inovácií a technológií, z dôvodu pretrvávajúcej neistoty súvisiacej s podmienkami Nariadenia. Táto neistota súvisí aj s prenosom do tretích krajín. Internet nepozná hranice (v geografickom zmysle). Je potrebné túto skutočnosť vziať na vedomie a pracovať s ňou. Rozhodnutia o primeranosti z globálneho hľadiska nie sú dostatočné, keďže ide len o niekoľko krajín. V oblasti umelej inteligencie je zároveň ťažké predvídať budúcu reguláciu, keďže nie je zrejmé, ako bude umelá inteligencia v budúcnosti vyzerať, ako ani to, ktorá autorita je najvhodnejšia na presadzovanie jednotlivých pravidiel.
Na konferencii vystúpili rečníci z verejnej oblasti (zástupcovia EK, zástupcovia francúzskeho a nemeckého dozorného orgánu), ale aj predstavitelia súkromného sektora ako je TikTok, Cloudfare a ďalší.
14.14EDPS Seminar on the CSAM proposal V novembri sa zástupkyne úradu zúčastnili online konferencie zameranej na analýzu návrhu nariadenia, ktorým sa stanovujú pravidlá predchádzania sexuálnemu zneužívaniu detí a boja proti nemu (návrh CSAM), ktorej organizátorom bol Európsky dozorný úradník pre ochranu údajov (EDPS). Predmetné nariadenie sa týka regulácie skenovania textu ale aj grafických podobizní na internete (konverzácie súvisiace so snímkami nevynímajúc) za účelom odhaľovania sexuálneho zneužívania detí. Prednášajúci sa vyjadrili k nedostatkom, ktoré tento návrh prináša, konkrétne k nedostatočnému právnemu vymedzeniu zásahu do súkromia, integrity a ochrany údajov dotknutých osôb. Návrh nariadenia by mal precíznejšie reflektovať rovnováhu medzi základnými právami detí a ich rodičov na jednej strane a boja proti páchaniu neakceptovateľných trestných činov na strane druhej. Na ďalšom paneli sa diskutovalo o spolupôsobení predmetného návrhu s orgánmi činnými v trestnom konaní a Europolom. Prednášajúci v paneli sa zhodli na tom, že pravdepodobne tu bude medzera v prenose údajov. Europol vyvinul iniciatívu pre rozšírenie sledovania aj na iné trestné činy ako sú trestné činy sexuálneho zneužívania detí. V diskusii vystúpil aj zástupca firiem, ktorý poskytuje „end to end šifrovanie“, vyjadril podporu návrhu nariadenia, nestotožnil sa však so spôsobmi, akými sa dané ciele majú dosiahnuť. Ďalšia časť prezentácie bola venovaná efektívnosti vyhľadávania CSAM materiálu online. Prednášajúci sa zamerali na dôležitosť „end to end šifrovania“ v online priestore a na techniky, ktorými sa dá zmeniť označenie CSAM materiálu tak, aby neboli v online priestore rozpoznateľné. Diskutujúci sa venovali aj proporcionalite navrhnutých opatrení v návrhu CSAM nariadení. Posledná diskusia súvisela s posúdením návrhu nariadenia a jeho budúceho vývoja. Prednášajúci sa zaoberali možným budúcim rozhodnutím Súdneho dvora Európskej únie o zrušení nariadenia „client-site-scanning“.
61
15 NIEKOĽKO SLOV NA ZÁVERAj v sledovanom období bola činnosť úradu výrazne ovplyvnená dlhodobo nepriaznivými podmienkami spočívajúcimi najmä v jeho nepochopiteľnej finančnej a personálnej poddimenzovanosti. Aktuálny stav či funkčnosť úradu možno (bez eufemizmov) vystihnúť slovami „pred kolapsom“, nakoľko nedostatočný počet zamestnancov v súbehu s ďalšími obmedzeniami vyplývajúcimi zo skromných rozpočtových možností úradu zásadne kolidujú s neustále narastajúcim rozsahom a náročnosťou úloh, ktoré má tento úrad plniť.
Postupné zvyšovanie všeobecného objemu pracovných úloh spojené s narastajúcou potrebou špecializácie a následného uplatňovania sofistikovaných postupov sú výzvami, ktorým čelí každý organizačný útvar úradu. Rigidný počet pracovných pozícií, ktorými úrad disponuje, demotivácia (frustrácia) a následná fluktuácia jeho (neraz kľúčových) zamestnancov, ako aj nezáujem verejnosti o pracovné ponuky úradu sú však už dlhodobo súčasťou procesu, ktorý možno analogicky prirovnať k „syndrómu variacej sa žaby“. Skutočnosť, že súkromný sektor, ministerstvá či iné ústredné orgány štátnej správy na úkor úradu priebežne získavajú skúsených, odborne erudovaných špecialistov, ktorí svoje vedomosti nadobudli počas svojho pôsobenia priamo v štruktúrach tohto dozorného orgánu, je alarmujúca rovnako ako to, že o účasť vo výberových konaniach, ktoré úrad pravidelne zverejňuje na ústrednom portáli verejnej správy, je prejavovaný len veľmi vlažný (resp. žiaden) záujem.
Vo vzťahu k personálnym, finančným a materiálnym potrebám úradu je žiaduce poukázať predovšetkým na nevyhnutnosť stabilizácie existujúceho personálneho potenciálu a na jeho razantné posilnenie, čo je (v oboch prípadoch) podmienené normalizáciou pracovných podmienok a zvýšením atraktívnosti pracovných pozícií, ktorými úrad disponuje. Organizačné štruktúry dozorných orgánov iných členských štátov EÚ zahŕňajú špecializované útvary disponujúce dostatočným počtom zamestnancov na to, aby bolo možné napĺňať ich poslanie z kvalitatívneho i kvantitatívneho hľadiska, čo zjavne nekorešponduje s tým, že slovenský dozorný orgán už vo viacerých prípadoch funguje na báze kumulácie rôznych funkcií či agend, bez reálnej možnosti rozvinúť svoje aktivity na objektívne potrebnú úroveň. Nepriaznivá personálna situácia úradu, ktorá sa logicky prejavuje (napríklad) vo výraznom spomalení konaní vedených úradom, je závažná aj z hľadiska jej zotrvačnosti, nakoľko zvládnutie zložitej problematiky ochrany osobných údajov, ktorým je podmienené plnohodnotné zapojenie nového zamestnanca do plnenia úloh úradu, nie je v žiadnom prípade krátkodobým procesom.
Relevantným prvkom nestability sa v sledovanom období stalo aj samotné sídlo úradu. Jednostranné nepredĺženie nájomnej zmluvy zo strany prenajímateľa, ktorým je súkromnoprávny subjekt, je výsledkom jeho novej dohody s iným orgánom štátnej správy, ktorá bola uzavretá bez vedomia úradu, v dôsledku čoho sa úrad do konca roka 2024 musí presťahovať do iných priestorov. Nezávisle na tejto skutočnosti sa úrad snaží o zriadenie svojich (predbežne troch) detašovaných pracovísk, ktorými sa chce priblížiť k prevádzkovateľom, sprostredkovateľom i samotným dotknutým osobám vo východnej, strednej a západnej časti Slovenskej republiky. Popri základnej funkcii, ktorou je dozor nad ochranou dotknutých osôb pri spracúvaní ich osobných údajov, budú detašované pracoviská napĺňať aj preventívne zamerané ciele (napríklad zvyšovanie povedomia o právach detí a mládeže pri spracúvaní ich osobných údajov).
Odstránenie kritickej situácie, v ktorej sa úrad nachádza, a realizácia jeho zámerov sú priamo závislé na rozpočtových možnostiach úradu, ktoré sú v súčasnosti neadekvátne.
S ohľadom na to, že rok 2024 je spojený s ďalším Schengenským hodnotením Slovenskej republiky, ktoré sa v oblasti ochrany osobných údajov priamo dotýka úradu, je súčasne žiaduce zdôrazniť, že nenavýšenie (dokonca naopak - zníženie) počtu jeho zamestnancov koliduje so závermi a odporúčaniami hodnotiacej komisie z roku 2019, ktoré sú doposiaľ aktuálne aj v ostatných bodoch týkajúcich sa najmä rozpočtu úradu (pozri bod 13.4 tejto správy).
