SPRÁVA
O STAVE OCHRANY OSOBNÝCH ÚDAJOV
ZA ROK 2023
Úrad na ochranu osobných údajov Slovenskej republiky
máj, 2024
Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12
820 07 Bratislava 27
Slovenská republika
IČO: 36 064 220
DIČ: 2021685985
Všetky práva vyhradené
Reprodukovanie pre vzdelávacie a nekomerčné účely
povolené len s uvedením zdroja
SPRÁVA O STAVE OCHRANY OSOBNÝCH ÚDAJOV ZA ROK 2023
Vážené dámy, vážení páni,
oblasť ochrany osobných údajov bola aj v roku 2023 sprevádzaná dynamickým rozvojom informačných technológií, digitálne služby (spracovateľské činnosti) či digitálne nástroje (prostriedky spracúvania) nevynímajúc. Popri systémoch spracúvajúcich biometrické údaje dotknutých osôb (napríklad na účely kontroly vstupu do špecifických priestorov alebo na účely jednoznačnej identifikácie osôb preukazujúcich svoju totožnosť) či súbory „cookies“ získavané na rôzne účely z rôznych zariadení sa v uvedenej oblasti začali výraznejšie presadzovať aj možnosti umelej inteligencie. V predmetnej intencii je však nevyhnutné zdôrazniť, že (nielen) inovatívne postupy zvyšujúce efektivitu spracúvania osobných údajov so sebou prinášajú aj riziko nežiaducich dopadov na práva a slobody dotknutých osôb bez ohľadu na to, či také riziko pramení z nedbanlivostného pochybenia alebo úmyselného, zlovoľného konania subjektu, ktorý je za konkrétne spracúvanie zodpovedný. Nie je žiadnym tajomstvom, že osobné údaje, ktoré v komerčnej sfére nadobúdajú povahu lukratívnej obchodnej komodity, zneužiteľné aj vo sfére verejnej moci, v oboch prípadoch individuálne (voči jednotlivcovi) i hromadne.
Najvýznamnejším, aj keď nie jediným míľnikom v oblasti ochrany osobných údajov spracúvaných na území Slovenskej republiky je rok 2018, v ktorom sa na území členských štátov začalo uplatňovať Nariadenie. Uvedený normatívny právny akt ustanovuje (okrem iného) záväzné pravidlá spracúvania osobných údajov (pravidlá vzťahujúce sa na prevádzkovateľov a ich sprostredkovateľov, ako aj na dotknuté osoby, ktorých osobné údaje predmetom spracúvania) a pravidlá dozoru nad ich dodržiavaním. V rámci vzťahov, ktoré pri spracúvaní osobných údajov vznikajú, je principiálnou úlohou úradu ochrana dotknutých osôb pred nedovolenými formami spracúvania, resp. ochrana ich práv, právom chránených záujmov a slobôd. Predovšetkým vďaka Nariadeniu, ktorého zásady boli prenesené do aplikačnej praxe, je dnes možné konštatovať nielen existenciu účinného ochranného štítu, ale aj skutočnosť, že význam osobných údajov sa etabloval v povedomí samotných dotknutých osôb, ktoré si začali uvedomovať všetky súvislosti, vrátane rizík, ktoré s každým spracúvaním neoddeliteľne spojené, a začali sa intenzívnejšie zaujímať o to, čo sa bude diať s ich osobnými údajmi v prípade, ak ich niekomu poskytnú, kvitujúc nezastupiteľnú rolu štátu, ktorý prostredníctvom úradu zabezpečuje ochranu ich súkromia.
Verejnosťou veľmi pozitívne je vnímaná skutočnosť, že digitalizácia poskytovaných služieb sa na území Slovenskej republiky úspešne etabluje aj v prostredí verejnej správy. Každý presun spracovateľských operácií s osobnými údajmi z reálneho sveta do virtuálneho (digitálneho) priestoru, kde sa uskutočňuje rýchla výmena obrovského množstva dát, je však potrebné účinne zabezpečiť pred pochybeniami či zneužitím. V tejto súvislosti je potrebné zvýšiť aktivity úradu v preventívnej (napríklad metodickej), ale aj represívnej (dozornej) rovine, ktoré podmienené podporou zo strany kompetentných štátnych orgánov, a naopak - bez potrebného finančného a personálneho zabezpečenia môže byť úrad očami občana vnímaný len ako ďalší (zbytočný) byrokratický orgán. Úrad bude aj v nadchádzajúcom období naprieč politickým spektrom pozorne sledovať vnímanie ochrany osobných údajov, predovšetkým však bude aj naďalej ponúkať riešenia smerujúce k zabezpečeniu jeho plnej funkčnosti, ergo zmysluplnosti.
Podrobnejšie informácie o uvedenej problematike, ako aj celkový prehľad o činnosti úradu v sledovanom období a situácii, v ktorej sa úrad aktuálne nachádza, sú obsiahnuté v nasledujúcich častiach Správy o stave ochrany osobných údajov za rok 2023, ktorú predkladám Národnej rade Slovenskej republiky. Po prerokovaní v Národnej rade Slovenskej republiky bude táto správa zverejnená na webovom sídle úradu a poskytnutá Európskemu výboru pre ochranu údajov a Európskej komisii.
Anna Vitteková
podpredsedníčka úradu
4
ZOZNAM POUŽITÝCH SKRATIEK
úrad
Úrad na ochranu osobných údajov Slovenskej republiky
NR SR
Národná rada Slovenskej republiky
správa
Správa o stave ochrany osobných údajov za rok 2023
zákon
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
Nariadenie
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP)
smernica 2016/680
Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV
MPK
Medzirezortné pripomienkové konanie
Portál
Portál právnych predpisov Slov – Lex
Dohovor 108
Dohovor Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov
LIBE
Výbor pre občianske slobody, spravodlivosť a vnútorné veci
JURI
Výbor pre právne veci
Nariadenie 2018/1725
zákon č. 211/2000 Z. z.
Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií)
5
zákon č. 9/2010 Z. z.
Zákon č. 9/2010 Z. z. o sťažnostiach v znení neskorších predpisov
EDPS
Európsky dozorný úradník pre ochranu údajov/ European Data Protection Supervisor
Európska únia
EK
Európska komisia
EHP
Európsky hospodársky priestor
EDPB
Európsky výbor pre ochranu údajov (European Data Protection Board) zriadený podľačl. 68 Nariadenia
6
OBSAH
7
8
1ÚVOD
1.1Cieľ správy
Cieľom tejto správy je poskytnúť nielen štatistické ukazovatele o stave a činnosti úradu, ale ucelený obraz o stave ochrany osobných údajov v rámci Slovenskej republiky a aktivitách úradu na medzinárodnej úrovni. Súčasťou uvedeného cieľa je objektívna charakteristika reálneho stavu úradu s dôrazom na jeho personálne, materiálne a finančné zabezpečenie, spojená s návrhmi zmien, ktorých nevyhnutnosť z týchto skutočností jednoznačne vyplýva. Samotné dotknuté osoby, ktorými v rozhodujúcej miere občania SR, uvedomujúc si význam ochrany osobných údajov a domáhajúc sa svojich práv, prostredníctvom svojich podnetov priamo či nepriamo poukazujú na nedostatočnosť personálneho obsadenia a finančného zabezpečenia úradu. V súčasnej situácii nie je možné, a to ani krátkodobo, dosiahnuť úroveň dozoru nad ochranou osobných údajov, ku ktorej je Slovenská republika zaviazaná. Jednou z príčin dlhodobo nepriaznivej finančnej a následne aj personálnej poddimenzovanosti úradu je skutočnosť, že úrad v rámci štátneho rozpočtu doposiaľ nedisponuje vlastnou rozpočtovou kapitolou, na čo dlhodobo upozorňuje nielen vedenie úradu, ale vo svojich záveroch to konštatuje aj Európska komisia.
Úrad opakovane poukazuje aj na to, že nedodržaním odporúčaní a nesplnením povinností vyplývajúcich z práva Európskej únie hrozí členskému štátu konanie o porušení povinností, ktoré iniciuje Európska komisia podľa článku 258 a nasl. Zmluvy o fungovaní Európskej únie. V prípade, ak sa preukáže, že štát si nesplní svoju povinnosť, ktorú mu právo uložilo, hrozia členskému štátu peňažné sankcie s možnosťou uloženia paušálnej pokuty do doby, kedy bude stav v členskom štáte zodpovedať stavu vyžadovanému právom EÚ. Odkladanie úradom dlhodobo ponúkaných riešení môže mať pre Slovenskú republiku, ako aj pre samotný úrad nežiaduce konzekvencie napríklad v podobe konaní vedených voči Slovenskej republike zo strany Európskej komisie, čo by mohlo negatívne ovplyvniť aj vnímanie Slovenskej republiky ako právneho štátu. Majúc na zreteli závery hodnotenia, ktorými Európska komisia (okrem iného) Slovenskej republike odporučila navýšiť personálne kapacity a finančné zabezpečenie úradu, je žiaduce opätovne poukázať na možnosť vytvorenia samostatnej rozpočtovej kapitoly úradu, ktorá je základným predpokladom objektívnej identifikácie jeho rozpočtových potrieb. Tým bude zabezpečená nielen nezávislosť rozpočtu úradu ako takého, ale aj nezávislosť rozpočtu úradu od výšky vybratých pokút, nakoľko pôsobnosť či poslanie úradu v žiadnom prípade nespočívajú vo výbere určeného objemu pokút.
V tejto súvislosti je potrebné pripomenúť aj požiadavku Ministerstva financií Slovenskej republiky, aby úrad v zmysle Uznesenia vlády č. 649 zo dňa 14. októbra 2020 reflektoval zámer zníženia stavu zamestnancov o 10 % naprieč celou štátnou správou (v podmienkach úradu to malo dopad na päť zamestnancov). Uvedené plošné opatrenie malo na úrad s beztak nízkym počtom zamestnancov devastačné následky a v konečnom dôsledku bolo nelogické a neefektívne, čo nemalou mierou prispelo k tomu, že úrad nie je schopný v požadovanom rozsahu a kvalite plniť úlohy štátu v oblasti ochrany osobných údajov (nielen) jeho občanov.
Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv fyzických osôb pri spracúvaní osobných údajov a ktorý vykonáva dozor nad ochranou osobných údajov vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi pri plnení úloh na účely trestného konania, ak nie je v § 81 ods. 7 a 8 zákona ustanovené inak. Povinnosti štátu pri ochrane osobných údajov dotknutých osôb vymedzené aj v príslušných nariadeniach ustanovujúcich nielen autority, ktoré zodpovedné za dodržiavanie ochrany osobných údajov, ale aj súvisiace kontrolné mechanizmy. V intencii legislatívy a SR úrad poskytoval služby v oblasti ochrany osobných údajov aj v roku 2023. Po celkovom útlme spôsobenom dlhodobo pretrvávajúcou pandémiou covid-19 úrad v tomto roku zaznamenal zvýšenie záujmu fyzických i právnických osôb o problematiku ochrany osobných údajov, ktoré sa prejavilo nárastom počtu rôznych podaní, ako aj bežných žiadostí o usmernenia pri
9
spracúvaní osobných údajov uplatňovaných písomne alebo telefonicky. V sledovanom období však pretrvávalo aj výrazné zaťažovanie úradu kamerovými systémami, ktoré prevádzkované fyzickými osobami spravidla na účel ochrany ich života, zdravia a majetku. Aj keď je nepochybné, že dozor nad dodržiavaním pravidiel pri prevádzke predmetných kamerových systémov spadá do pôsobnosti úradu, je potrebné poukázať na to, že z hľadiska úloh, ktoré úradu zverené, nejde o prioritnú (ťažiskovú) oblasť, čo v konečnom dôsledku koliduje najmä s kapacitnými možnosťami úradu. Nielen uvedené skutočnosti prispeli k tomu, že rok 2023 bol pre úrad rokom záťažovým až vyčerpávajúcim. Situáciu úradu koncom roka 2023 navyše skomplikovalo nepredpokladané oznámenie o nepredĺžení nájomnej zmluvy zo strany prenajímateľa budovy, v ktorej úrad sídli. V tejto súvislosti úrad vyvíja aktivity zamerané na zabezpečenie nového sídla úradu.
Úrad svojimi aktivitami v pracovných skupinách i pléne EDPB úspešne participuje na plnení jeho úloh, čím sa podieľa na riadení vývoja ochrany osobných údajov v rámci celej EÚ, nie vždy je však úspešný v súvisiacich vnútroštátnych legislatívnych procesoch, napríklad pri presadzovaní „DPIA“ (posúdenie vplyvu na ochranu osobných údajov) alebo v oblasti medzirezortných pripomienkových konaní.
V záujme skvalitnenia poskytovaných služieb sa úrad v rámci Operačného programu Integrovaná infraštruktúra 2014 - 2020 uchádzal o nenávratný finančný príspevok z prostriedkov Európskej Únie, a to implementáciou projektu Elektronizácia služieb Úradu na ochranu osobných údajov Slovenskej republiky. Uvedený projekt sa podarilo úspešne implementovať (de facto) v priebehu roka 2023 najmä vďaka aktívnej účasti zamestnancov úradu, ktorá v mnohých prípadoch presahovala rámec ich pracovných povinností. Celkové náklady na projekt dosiahli výšku 3 978 493,62 €. Je potrebné zdôrazniť, že udržateľnosť projektu v nasledujúcich rokoch plne závisí od pridelenia finančných prostriedkov zo štátneho rozpočtu.
10
2POSTAVENIE, PERSONÁLNE ZABEZPEČENIE A ROZPOČET ÚRADU
2.1Postavenie úradu
Ochrana osobných údajov v Slovenskej republike je na základe zákona a Nariadenia zverená do pôsobnosti úradu. Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Pri výkone svojej pôsobnosti úrad postupuje nezávisle a pri plnení svojich úloh sa riadi ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Podľa § 21 ods.1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov je úrad rozpočtovou organizáciou.
2.2Personálne zabezpečenie úradu
2.2.1Verejné funkcie úradu
Na čele úradu je predseda, ktorého volí a odvoláva NR SR na návrh vlády Slovenskej republiky. Funkčné obdobie predsedu úradu je päť rokov. Funkciu predsedníčky úradu zastávala Soňa Pőtheová, ktorá bola do funkcie zvolená NR SR dňa 14. mája 2015 na základe výsledku hlasovania poslancov NR SR (uznesenie Národnej rady Slovenskej republiky č. 1736/2015). Na základe vládneho návrhu na jej odvolanie z funkcie, ktorý bol NR SR doručený dňa 27.04.2020 (
ČPT. 74
) bola dňa 29.04.2020 na základe
výsledku hlasovania
poslancov NR SR
o návrhu na jej odvolanie zo svojej funkcie odvolaná (
Uznesenie NR SR č. CRD-852/2020
z 29. apríla 2020
). Vedenia úradu sa následne v zmysle zákona ujala podpredsedníčka úradu.
Funkciu podpredsedníčky úradu v súčasnosti zastáva Anna Vitteková, ktorá bola s účinnosťou od 2. januára 2016 do funkcie vymenovaná vládou Slovenskej republiky uznesením č. 658/2015 zo dňa 2. decembra 2015. V dôsledku odvolania predsedníčky úradu a nevymenovania nového predsedu úradu viedla úrad po celý rok 2023 podpredsedníčka úradu, ktorá v súlade s vyjadrením Úradu vlády SR vykonáva funkciu predsedu úradu už dlhodobo.
2.2.2Zamestnanci úradu
Zamestnanci úradu plnia vysoko odborné úlohy v zmysle zákona a Nariadenia a iné prevádzkové činnosti a povinnosti podľa všeobecne záväzných právnych predpisov. Ich zabezpečovanie si vyžaduje potrebný počet kvalifikovaných zamestnancov spôsobilých vykonávať odborné činnosti na expertnej úrovni, pričom je nevyhnutné aj zohľadnenie potrebnej miery zastupiteľnosti. Z pohľadu štruktúry boli v roku 2023 všetci zamestnanci zamestnancami v štátnozamestnaneckom pomere. Výber zamestnancov a obsadzovanie voľných štátnozamestnaneckých pozícií je realizované podľa zákonmi stanovených podmienok pre jednotlivé funkcie výlučne na základe výberových konaní, ktoré úrad zverejňuje na ústrednom portáli verejnej správy. K 31. decembru 2023 mal úrad obsadených 43 miest, z toho 43 zamestnancov v štátnozamestnaneckom pomere.
Uznesením vlády Slovenskej republiky č. 649 zo 14. októbra 2020 k návrhu rozpočtu verejnej správy na roky 2021 2023 bol v prílohe č. 1 pre Úrad na ochranu osobných údajov Slovenskej republiky určený limit zamestnancov 46. Úrad mal k 31. decembru 2023 neobsadené 3 štátnozamestnanecké miesta. Jedno neobsadené štátnozamestnanecké miesto bolo na odbore právnych služieb, druhé na odbore kancelária úradu. Tretie neobsadené štátnozamestnanecké miesto na úrade je dlhodobo určené pre predsedu úradu.
11
Priemerný vek zamestnancov úradu v rokoch:
Celkový vekový priemer
Vekový priemer mužov
Vekový priemer žien
k 01.01.2023
41,87
43,40
41,16
k 31.12.2023
42,17
43,21
41,72
Počet zamestnancov úradu (skutočný stav):
Štátnozamestnanecký pomer
Výkon práce vo verejnom záujme
Spolu
k 01.01.2023
42
0
42
k 31.12.2023
43
0
43
Stanovený limit zamestnancov v roku 2023 nebol dostatočný vzhľadom na rozsiahlosť agendy, ktorú úrad zabezpečuje a ktorá stúpajúcu tendenciu aj z hľadiska objemu práce pripadajúcej na jedného zamestnanca. V záujme zabezpečenia činnosti úradu na požadovanej úrovni (za zohľadnenia reálnych ľudských možností) je nevyhnutné, aby bol počet zamestnancov významne navýšený (minimálne o 30 zamestnancov). Zaistí sa tak racionalita prerozdeľovania práce a možnosť vyššej špecializácie jednotlivých zamestnancov, nakoľko v súčasnosti mnohí vykonávajú kumulované činnosti, z ktorých každá vyžaduje plné sústredenie a pozornosť. Poddimenzovaný počet zamestnancov súčasne vplyv na to, že nie je možné zvyšovať potrebnú špecializáciu vytváraním nových odborov a oddelení, ktoré by od existujúcich prevzali a následne rozvinuli niektoré agendy na expertnú úroveň.
Agenda úradu aj v kontexte povinností vyplývajúcich z Nariadenia neúmerne stúpla a naďalej rastúci trend. Súčasná situácia je dlhodobo neudržateľná a nedostatok kvalifikovaných zamestnancov sa nevyhnutne prejavuje aj v kvalite práce, prípadne vyúsťuje aj do nemožnosti dodržania procesných lehôt. Pre naplnenie strategického smerovania činnosti úradu je nevyhnutné, aby sa nielen navýšil samotný počet zamestnancov, ale aby sa vytvoril aj priestor na priebežné zvyšovanie ich kvalifikácie (odborný rast, primeraná schopnosť reagovať na požiadavky digitalizácie verejnej správy i digitalizácie života všeobecne).
Úrad je nutné posilniť aj o expertov na informačné technológie, nakoľko stále viac spracovateľských činností prebieha elektronickou formou a je potrebné, aby sa tak v rámci konaní, ako aj kontrol vedel úrad na expertnej úrovni vyjadrovať k informačným technológiám využívaným prevádzkovateľmi a sprostredkovateľmi.
Úrad taktiež pociťuje nedostatok zamestnancov venujúcich sa legislatíve, a to tak v oblasti jej tvorby, ako aj jej pripomienkovania, nakoľko ide o zdĺhavý proces skúmania predloženého návrhu právneho predpisu, či nelegislatívneho návrhu, ktorý si vyžaduje vysokú pozornosť a sústredenie a je nevyhnutné, aby mal zamestnanec na takúto prácu dostatok času a vedomostí, a to nielen teoretických, ale aj praktických. Poddimenzovaná personálna situácia úradu sa prejavuje aj v tom ohľade, že úrad toho času nemôže vôbec pomýšľať na zriadenie detašovaných pracovísk, čím by sa priblížil k dotknutým osobám, prevádzkovateľom a sprostredkovateľom.
Ako problematická sa javí nemožnosť adekvátnymi platovými podmienkami získať a dlhodobo udržať erudovaných špecialistov, v dôsledku čoho úrad nie je v rovnocennej pozícii voči prevádzkovateľom a ich možnostiam, čo je v konečnom dôsledku vždy v neprospech dotknutej osoby.
V roku 2023 sa uskutočnilo 14 výberových konaní na rôzne pozície, na ktorých sa zúčastnilo celkovo 15 uchádzačov, čo znamená, že výberového konania sa priemerne zúčastnil len jeden uchádzač. V porovnaní s rokom 2017 ide o značný pokles, nakoľko sa v tomto období jedného výberového konania
12
zúčastnili v priemere 3 uchádzači. Dopady nezáujmu o pracovné pozície v štátnozamestnaneckom pomere, ktoré úrad ponúka, navyše umocňuje fluktuácia jeho zamestnancov, čo vo všeobecnosti, ale aj v podmienkach hlavného mesta signalizuje nedostatok finančných prostriedkov určených na adekvátne ohodnotenie ich práce.
Z aplikačnej praxe úradu vyplynula akútna potreba vzniku minimálne dvoch detašovaných pracovísk, jedného na strednom a jedného na východnom Slovensku. Dôvodom potreby vzniku týchto pracovísk je, aby boli zamestnanci úradu bližšie k dotknutým osobám aj z týchto oblastí Slovenska a tiež skutočnosť, že by sa takto zefektívnil výkon kontrol a podstatne by sa znížili náklady úradu na cestovanie zamestnancov z Bratislavy; úrad by tiež prispel k zvýšeniu zamestnanosti v týchto regiónoch, kde je stále dostatok kvalifikovaných ľudí, ktorí sa za prácou nemôžu alebo nechcú sťahovať. Uvedenú požiadavku sa vďaka implementácii projektu Elektronizácia služieb Úrad na ochranu osobných údajov Slovenskej republiky darí napĺňať (spustili sa procesy na vytvorenie detašovaných pracovísk v piatich mestách SR).
2.3Rozpočet úradu
Úrad je rozpočtovou organizáciou, ktorá je svojimi príjmami a výdavkami naviazaná na štátny rozpočet prostredníctvom kapitoly Všeobecná pokladničná správa, ktorú spravuje Ministerstvo financií Slovenskej republiky.
Na rok 2023 bol pre úrad pôvodne schválený rozpočet vo výške 1 951 548,00 €. V priebehu roka bol navýšený rozpočet úradu na výšku 2 016 911,90 €.
Čerpanie rozpočtu úradu k 31.12.2023 bolo vo výške 2 016 636,10 €, čo predstavuje 99,99 % z celkového upraveného rozpočtu úradu na rok 2023.
Rozpočet úradu za obdobie od 01.01.2023 do 31.12.2023 v €:
Ukazovateľ
Schválený rozpočet k 01.01.2023
Upravený
rozpočet k 31.12.2023
Čerpanie rozpočtu od 01.01.2023
do 31.12.2023
Mzdy, platy, služobné príjmy a OOV (610)
1 099 349,00
1 126 813,00
1 126 707,91
Poistné z miezd (620)
399 214,00
425 641,69
425 641,69
Tovary a služby (630)
416 895,00
363 234,73
363 127,65
Bežné transfery (640)
8 000,00
37 132,48
37 132,48
0EK0W02 bežné výdavky (630)
28 090,00
28 090,00
28 026,37
Bežné výdavky spolu (600)
1 951 548,00
1 980 911,90
1 980 636,10
Kapitálové výdavky (700)
0,00
36 000,00
36 000,00
0EK0W02 kapitálové výdavky (710)
0
0
0
Výdavky celkom
1 951 548,00
2 016 911,90
2 016 636,10
Analogicky s potrebou navýšenia počtu zamestnancov úradu rezultujúcou z nárastu jeho agendy (nárast objemu pracovných úloh a súvisiacej zodpovednosti za ich plnenie) je aktuálnou aj potreba doplnenia a obnovy jeho materiálno-technického vybavenia. Ako príklad možno uviesť nárast agendy úradu súvisiacej s pravidelnou účasťou na zasadnutiach expertných skupín Výboru a pracovných skupín Rady, ktorých predmetom dôležité usmernenia a dokumenty ovplyvňujúce uplatňovanie práva na území Slovenskej republiky, alebo skutočnosť, že rozsah kontrolnej činnosti úradu limitovaný jeho skromnými
13
personálnymi zdrojmi neposkytuje priestor na vyhľadávanie a analýzu nových technológií či spôsobov spracúvania osobných údajov.
Úrad vykonáva činnosti vyplývajúce nielen z Nariadenia a zákona, ale aj iných osobitných predpisov, napríklad z Nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) 2019/493 z 25. marca 2019, ktorým sa mení nariadenie (EÚ, Euratom) č. 1141/2014, pokiaľ ide o postup overovania porušovania pravidiel o ochrane osobných údajov v kontexte volieb do Európskeho parlamentu (pozri
čl. 10a ods. 2 uvedeného
nariadenia
). Ak úrad v konaní o ochrane osobných údajov rozhodne, že fyzická alebo právnická osoba
porušila príslušné pravidlá o ochrane osobných údajov, a ak z daného rozhodnutia vyplýva alebo ak iné opodstatnené dôvody domnievať sa, že porušenie súvisí s politickými činnosťami európskej politickej strany alebo európskej politickej nadácie v kontexte volieb do Európskeho parlamentu, rozhodnutie oznámi Úradu pre európske politické strany a nadácie.
Služobné motorové vozidlá úradu k 31.12.2023:
Továrenská značka
Rok výroby
Využitie
Škoda Superb Combi
2017
odbor kontroly
Škoda Octavia
2014
odbor kontroly
Škoda Roomster
2012
odbor kontroly
Hyundai i30
2013
odbor kontroly
Hyundai i30
2013
odbor kontroly
Hyundai i30
2015
odbor kontroly
Hyundai Tucson
2023
podpredsedníčka úradu
Úrad v súčasnosti využíva 7 osobných motorových vozidiel, ktoré slúžia predovšetkým na dopravu zamestnancov odboru kontroly pri vykonávaní kontrolných činností, ďalej na operatívne prepravné služby, najmä v prípade expedície pošty, a v minimálnej miere na prepravu ostatných zamestnancov úradu vrátane jeho vedenia.
Vozový park úradu je prevažne tvorený automobilmi vo veku 7 10 rokov, pričom automobil značky Škoda Roomster z roku 2012 je využívaný minimálne pre svoju nespoľahlivosť. V roku 2017 bol pre potreby predsedníčky úradu zakúpený osobný automobil Škoda Superb Combi. V súčasnosti je tento automobil k dispozícii odboru kontroly, nakoľko zamestnanci odboru kontroly v prípade kontroly vo vzdialenejších miestach potrebujú pre svoj výkon práce bezpečnejšie a spoľahlivejšie automobily než akými úrad v súčasnosti v prevažnej miere disponuje. Automobil Škoda Octavia z roku 2014 bol využívaný sporadicky pre potreby podpredsedníčky úradu.
V roku 2023 boli úradu na základe žiadosti podpredsedníčky úradu pridelené kapitálové rozpočtové prostriedky na nákup motorového vozidla vo výške 36 000 €. Úrad v novembri 2023 zakúpil motorové vozidlo zn. Hyundai Tucson.
14
3LEGISLATÍVNA ÚPRAVA OCHRANY OSOBNÝCH ÚDAJOV
3.1Medzirezortné pripomienkové konania
Úrad je orgán štátnej správy s celoslovenskou pôsobnosťou vykonávajúci dozor nad ochranou osobných údajov a podieľajúci sa na ochrane základných ľudských práv a slobôd pri spracúvaní osobných údajov fyzických osôb. Úrad si plní svoju úlohu v oblasti dozoru nad spracúvaním osobných údajov aj tým, že dohliada a vyjadruje sa k návrhom zákonov a ostatných všeobecne záväzných právnych predpisov (materiály legislatívnej povahy) a tiež k nelegislatívnym materiálom (vízie, stratégie a pod.). Svoje vyjadrenia k návrhom formuluje prostredníctvom portálu Slov-Lex v rámci MPK. Cieľom uplatňovaných pripomienok zo strany úradu je skvalitnenie právnych predpisov upravujúcich spracúvanie osobných údajov, keďže je potrebné dosiahnuť to, aby prijatá legislatíva a akty nelegislatívnej povahy rešpektovali európske štandardy, a tiež, aby bola prijatá právna úprava vo vzťahu k adresátom presná a jednoznačná. Úrad pri tejto činnosti dbá na to, aby prevádzkovatelia mali jasne určené svoje zodpovednosti, ustanovené pravidlá pre spracúvanie osobných údajov, a zároveň aby táto právna úprava bola transparentná voči dotknutým osobám, ktorých údaje sú predmetom spracúvania.
V rámci sledovaného obdobia úrad uplatnil pripomienky k 80 materiálom zo všetkých, ktoré boli predložené do MPK (bez ohľadu na to, či šlo o materiál legislatívnej alebo nelegislatívnej povahy). Spolu úrad uplatnil 171 pripomienok, pričom 120 z nich bolo zásadných.
Aj počas roka 2023 úrad zaznamenal snahu niektorých rezortov o väčší dôraz na správnu úpravu spracúvania osobných údajov, o čom svedčí aj zníženie počtu uplatnených zásadných pripomienok oproti predchádzajúcemu roku. Zároveň úrad kvituje využitie možnosti predkladateľa obrátiť sa na úrad so žiadosťou o spoluprácu pri nastavovaní legislatívy najmä pri rozsiahlych spracovateľských činnostiach, aby sa tak eliminovali nedorozumenia či zásadné pripomienky zo strany úradu. Menšie nedostatky právnych predpisov je možné následne korigovať obyčajnými pripomienkami, ktoré v zásade správnu formuláciu ustanovenia len precizujú, alebo upravia do podoby, ktorá, pokiaľ ide o spracúvanie, je správna.
Úrad v sledovanom období uplatnil pripomienky aj k niekoľkým materiálom nelegislatívnej povahy. Uplatňovanými pripomienkami k takýmto materiálom sa tak úrad snaží predkladateľa upozorniť na potrebu ochrany a rešpektovanie legislatívy týkajúcej sa spracúvania osobných údajov. Ak z takéhoto materiálu (napríklad z koncepcie, akčného plánu, stratégie) vyplýva aj úprava spracúvania osobných údajov, do budúcna sa takýto materiál stáva podkladom z neho vyplývajúcich legislatívnych úprav existujúcich právnych predpisov, alebo podkladom pre tvorbu nových právnych predpisov, či plnenie iných stanovených cieľov.
V súvislosti s legislatívou sa úrad v roku 2023 stretol aj s nerešpektovaním jeho úloh vyplývajúcich zo samotného všeobecného nariadenia o ochrane údajov. Taktiež úrad upozorňuje na to, že niektoré jeho pripomienky zásadného charakteru nie v rámci vyhodnotenia medzirezortného pripomienkového konania relevantným spôsobom vyhodnocované. Takéto spôsoby tvorby (prijímania) právnych predpisov s dosahom na ochranu osobných údajov môžu viesť v praxi k závažným zásahom do ústavou garantovaných ľudských práv.
Podstatnou úlohou úradu v tejto oblasti je postarať sa o to, aby bola právna úprava pre svojich adresátov čo najtransparentnejšia a najjasnejšia, aby dotknuté osoby, ktorým sa poskytovať ochrana, mohli v zákonom predpokladaných situáciách spracúvanie očakávať ako aj byť uzrozumené s mierou, do akej môže byť ich súkromie narušené. Túto úlohu mu však sťažuje nielen vyššie uvedené, ale aj samotná skutočnosť, že úradu bola portálom Slov-Lex odňatá možnosť označovať v tomto portáli svoje
15
pripomienky ako zásadné. Úrad pri tom svojimi zásadnými pripomienkami poukazuje na viac či menej zásadné nedostatky právnych noriem, ktoré je potrebné doplniť, či prepracovať. V sledovanom období v porovnaní s predchádzajúcim rokom stále mnoho zásadných pripomienok úradu smerovalo k potrebe určiť alebo spresniť účel, na ktorý majú byť osobné údaje spracúvané, nakoľko niektoré účely spracúvania boli formulované veľmi všeobecne, alebo úplne absentovali, čo z hľadiska právnej istoty a vykonateľnosti právnej normy v praxi by určite spôsobovalo problémy a bolo v neprospech dotknutej osoby. Pripomienky sa tiež týkali rozsahu osobných údajov, ktoré majú byť spracúvané, nakoľko predkladateľ často neuviedol konkrétne údaje, a tieto nedokázal vymedziť ani v priebehu rozporového konania, čo kolidovalo aj so zásadou minimalizácie údajov. Úrad následne nevedel posúdiť nevyhnutnosť či primeranosť spracúvania a poskytnúť tak relevantné odporúčanie.
Úrad v rámci rozporových konaní dostáva často neuspokojivé odpovede týkajúce sa potreby spracúvania nad rámec toho, čo je naozaj nevyhnutné. V niekoľkých prípadoch naopak po vysvetlení a riadnom zdôvodnení zo strany predkladateľa úrad ustúpil od pripomienky, rozpor sa odstránil vysvetlením a formulácia navrhovaného ustanovenia bola spoločne upravená. Úrad na rozporových konaniach tiež ďalej apeluje na predkladateľov s tým, aby takéto vysvetlenia a dôkladné zdôvodnenia, či rozsahu osobných údajov, ktorý sa spracúvať, alebo nevyhnutnosti spracúvania, upravovali priamo v dôvodovej správe k dotknutému ustanoveniu. Tým by sa zámery stali transparentnými aj pre dotknuté osoby.
Úrad naďalej eviduje nedostatky aj v absencii odkazov na iné osobitné zákony, ktoré spresňujú a dopĺňajú samotný účel spracúvania osobných údajov v zmysle právnej agendy, ktorej sa môže spracúvanie týkať, prípadne odkazujú na ustanovenie iného zákona, kde je ustanovený rozsah alebo zoznam spracúvaných osobných údajov na ustanovený účel.
Často opakujúcou sa zásadnou pripomienkou za hodnotené obdobie je aj nedostatočná alebo žiadna úprava obmedzenia práv dotknutých osôb, ktoré priznané všeobecným nariadením o ochrane údajov alebo smernicou o presadzovaní práva. V tejto súvislosti úrad zdôrazňuje, že každé takéto obmedzenie práva musí byť upravené v konkrétnom právnom predpise, ktorým je právo potrebné obmedziť, a to pre potreby konkrétneho predloženého návrhu. Takáto úprava právneho predpisu vo väčšine prípadov neobsahovala takmer žiadne záruky pre dotknuté osoby, ktoré majú slúžiť dotknutým osobám zo strany prevádzkovateľa ako garancia proti zneužitiu.
Jedným z ďalších nedostatkov, s ktorými sa úrad v rámci svojej pripomienkovacej činnosti stretol a ktoré aj naďalej pretrvávajú je skutočnosť, že bolo niekoľkokrát opomenuté rozporové konanie k zásadným pripomienkam, ktoré si úrad uplatnil, a o prijatí ako aj záverečnej forme (či boli pripomienky akceptované alebo nie) sa dozvedel zo znenia predpisu vyhláseného v Zbierke zákonov. Odstránením funkcie (možnosti) uplatňovať prostredníctvom Portálu zásadné pripomienky sa uvedený stav ešte prehĺbil, nakoľko obyčajné pripomienky nie predmetom rozporových konaní. Týmto sa značne oslabuje pozícia úradu a čiastočne znemožňuje plnenie úloh úradu vyplývajúcich zo samotného Nariadenia, čo vzhľadom na možný nepriaznivý dopad pri uplatňovaní právnych predpisov prijatých v rozpore s Nariadením, nie je žiaduci stav.
3.2Metodické usmernenia a informácie
Úrad metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov, zvyšuje povedomie verejnosti v oblasti rizík a práv súvisiacich so spracúvaním osobných údajov a tiež zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich právach a povinnostiach. Osvedčenou formou usmerňovania prevádzkovateľov a sprostredkovateľov a informovania verejnosti, najmä dotknutých osôb, sa na základe praxe úradu stali metodické usmernenia úradu a krátke „ad hoc“ metodiky publikované na webovom sídle úradu, ktoré venované otázkam a problematikám, ktoré v danom
16
čase predmetom záujmu verejnosti alebo z objektívnych dôvodov je potrebné o nich informovať.
Úrad okrem iného využíva webové sídlo na informovanie o aktuálnych udalostiach týkajúcich sa ochrany osobných údajov. V sledovanom období úrad zverejnil napríklad nasledujúce informácie:
Informácia o výsledkoch prvej koordinovanej akcie EDPB, ktorej bol slovenský dozorný orgán súčasťou (zverejnené 17.02.20231),
Správa z EDPB „Cookies banners task force“ (zverejnené 17.02.20232),
Sprievodca ochranou pre malé podniky (zverejnené 28.04.20233),
Digitálna stopa – Čo všetko o nás a našich deťoch internet vie (zverejnené 18.05.20234),
Vyhodnotenie V. ročníka súťaže o najlepšiu Zodpovednú osobu pre ochranu osobných údajov v Slovenskej republike v roku 2022 (zverejnené 14.06.20235),
Ratifikácia a uloženie ratifikačných listín protokolu CETS 223 (zverejnené 15.06.20236),
Dištančné poradenstvo ako efektívny nástroj nízkoprahovej pomoci pre všetky deti (zverejnené 26.06.20237),
Zriadenie emailovej schránky na ochranu osobných údajov detí a mládeže (zverejnené 13.09.20238),
Rešpektujúca komunikácia v online prostredí (zverejnené 25.09.20239),
Spoločná správa o rokovaní slovenského a českého úradu na ochranu osobných údajov (zverejnené 03.10.202310),
Vyhlásenie esejovej súťaže 2023 pre žiakov 8. a 9. ročníka základných škôl a 3. a 4. ročníka osemročných gymnázií (zverejnené 19.10.202311).
Úrad priebežne sleduje dianie v oblasti ochrany osobných údajov aj vo vzťahu k rozsudkom Európskeho súdu pre ľudské práva alebo Súdneho dvora Európskej únie. Všetky relevantné rozhodnutia s dosahom na ochranu a spracúvanie osobných údajov publikuje na svojom webovom sídle v časti
Legislatíva
a judikatúra
. O významných rozhodnutiach informuje aj formou krátkej správy priamo v novinkách
na svojom webovom sídle.
17
V sledovanom období úrad zverejnil informácie ohľadom rozhodnutia Súdneho dvora Európskej Únie:
Rozhodnutie SD vo veci Nemzeti Adatvédelmi és Információszabadság Hatóság (zverejnené 16.01.202312),
Rozhodnutie SD vo veci Ministerstvo na vatreshnite raboti (Registrácia biometrických a genetických údajov políciou) (zverejnené 09.02.202313),
Rozhodnutie SD EÚ vo veci X-FAB Dresden a vo veci KISA (zverejnené 16.02.202314),
Rozhodnutie SD EÚ vo veci Bundesrepublik Deutschland (zverejnené 12.05.202315),
Rozhodnutie SD EÚ vo veci Österreichische Post (zverejnené 16.05.202316),
Rozhodnutie SD vo veci Österreichische Datenschutzbehörde and CRIF (zverejnené 23.05.202317),
Rozhodnutie SD EÚ vo veci Komisia/Poľsko (zverejnené 13.06.202318),
Rozhodnutie SD EÚ vo veci Pankki S (zverejnené 30.06.202319),
Rozhodnutie SD vo veci Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete) (zverejnené 12.07.202320),
Rozhodnutie SD EÚ vo veci FT (Kópia lekárskeho záznamu) (zverejnené 03.11.202321),
Rozhodnutie SD vo veci Gesamtverband Autoteile-Handel (Prístup k informáciám o vozidlách) (zverejnené 13.11.202322),
Rozhodnutie SD vo veci Ligue des droits humains (Overenie spracúvania dozorným orgánom) (zverejnené 28.11.202323),
Rozhodnutie SD vo veci Nacionalinis visuomenės sveikatos centras a vo veci Deutsche Wohnen (zverejnené 13.12.202324),
Rozhodnutie SD vo veci SCHUFA Holding (Určenie skóre) a vo veci SCHUFA Holding (Odpustenie zostatku dlhu) (zverejnené 15.12.202325).
12
https://dataprotection.gov.sk/sk/aktuality/rozhodnutie-sd-eu-vo-veci-nemzeti-adatvedelmi-es-informacioszabadsag-
hatosag.html
18
Predmetom zverejňovania a nepriamo aj formou vzdelávania prevádzkovateľov, sprostredkovateľov, ako aj dotknutých osôb je zverejňovanie informácií a usmernení vydaných EDPS a EDPB na webovom sídle úradu. V sledovanom období boli na webovom sídle úradu zverejnené nasledujúce usmernenia a iné dokumenty EDPB, o ktorých úrad informoval:
Usmernenia o klamlivých dizajnových vzoroch v rozhraniach platforiem sociálnych médií: Ako ich rozpoznať a vyhnúť sa im (zverejnené 24.02.202326),
Usmernenia o certifikácii ako nástroji na prenosy (zverejnené 24.02.202327),
Usmernenia k právam dotknutých osôb - právo na prístup (zverejnené 18.04.202328),
Usmernenia o používaní technológie na rozpoznávanie tváre v oblasti presadzovania práva (zverejnené 18.05.202329),
Usmernenia k aplikácii článku 65 ods. 1 písm. a) všeobecného nariadenia o ochrane údajov (zverejnené 08.06.202330),
Usmernenia o výpočte pokút podľa všeobecného nariadenia o ochrane údajov (zverejnené 08.06.202331),
Odporúčania o žiadosti o schválenie a o prvkoch a zásadách, ktoré sa nachádzajú v záväzných vnútropodnikových pravidlách prevádzkovateľa (BCR-C) (zverejnené 30.06.202332).
19
4KOMUNIKÁCIA ÚRADU S VEREJNOSŤOU
4.1Vyjadrenia úradu k otázkam fyzických osôb a právnických osôb
Problematika ochrany osobných údajov sa netýka len prevádzkovateľov alebo sprostredkovateľov, ktorí majú povinnosť aplikovať legislatívu ochrany osobných údajov v praxi, ale aj ľudí - konkrétnych fyzických osôb (dotknutých osôb) kladúcich otázky prameniace zo situácií bežného života, ktoré súvisia so spracúvaním ich osobných údajov. V sledovanom období významnú časť otázok tvorili otázky spojené so spracúvaním osobných údajov kamerovými systémami inštalovanými v bytových domoch, úrad však zaznamenal aj otázky rodičov súvisiace so spracúvaním osobných údajov ich detí v školách.
Na úrad sa so žiadosťami o stanovisko a poradenstvo obracalo mnoho prevádzkovateľov, ktorí sa zaujímali o povinnosti vyplývajúce z prevádzkovania internetových stránok či správneho nastavenia e-shopov, ale aj orgány verejnej správy a rôzne iné inštitúcie. Medzi často kladené patrili otázky smerujúce k právam dotknutých osôb, výmazu údajov z bankového či nebankového registra, zverejňovaniu údajov na katastrálnom portáli, kopírovaniu dokladov, zverejňovaniu údajov na internete, postaveniu subjektov pri spracúvaní osobných údajov, a takisto otázky spojené s pojmom „zodpovedná osoba“.
Prevádzkovatelia a sprostredkovatelia adresujú úradu najmä otázky odborného charakteru súvisiace s ich povinnosťami