Príhovor predsedníčky

Vážené dámy, vážení páni,

dovoľte mi prihovoriť sa Vám v mene Úradu na ochranu osobných údajov Slovenskej republiky a využiť túto príležitosť krátko sa obzrieť za uplynulým obdobím a súčasne načrtnúť výzvy, ktoré stoja pred nami.

Do funkcie predsedníčky úradu som nastúpila v júni 2024 a od prvého dňa som sa aktívne chopila úloh a výziev, ktoré pred úradom stoja. Súčasťou týchto výziev je predovšetkým vybudovanie silného a odborne zdatného kolektívu schopného čeliť komplexnej agende ochrany údajov v digitálnej ére.

Po mojom nástupe sme zintenzívnili a zefektívnili činnosť úradu pri plnení našich kľúčových úloh, a to ako v oblasti dozoru nad dodržiavaním Nariadenia a Zákona, tak aj v aktívnom prispievaní k ochrane základných práv a slobôd fyzických osôb. Je v mojom záujme, ako aj záujme úradu, aby štandardy ochrany osobných údajov a súkromia v Slovenskej republike boli nastavené v čo najvyššej možnej miere.

Úrad v súčasnosti čelí novým výzvam, ktoré prináša dynamický rozvoj digitálnych technológií, najmä masívny nástup nástrojov umelej inteligencie a s tým spojené otázky etiky a regulácie. Pozorne sledujeme aj európsku legislatívu ako Akt o digitálnych službách, Akt o údajoch, či Akt o umelej inteligencii, ktoré budú formovať digitálne prostredie v nadchádzajúcich rokoch. Sme si vedomí, že implementácia týchto predpisov do slovenského právneho poriadku si vyžiada úzku spoluprácu naprieč štátnou správou, odbornou verejnosťou i súkromným sektorom.

Rastúce povedomie občanov o hodnote ich osobných údajov a o práve na súkromie nás utvrdzuje v tom, že naša práca má hlboký zmysel. Spätná väzba od verejnosti, či už formou osobných stretnutí, podnetov na konanie alebo žiadostí o konzultácie, je pre nás cenným zdrojom informácií.

Pri pohľade do budúcnosti je zrejmé, že význam ochrany osobných údajov a súkromia v digitálnom svete bude naďalej narastať. Čaká nás nielen práca s novou európskou legislatívou, ale aj neustála potreba reagovať na technologické inovácie a zabezpečovať, aby ich rozvoj prebiehal v súlade so základnými právami a slobodami jednotlivcov. Úrad je pripravený aktívne

sa podieľať na tomto procese, byť partnerom pre otvorený dialóg a zároveň dôsledným strážcom práv občanov.

Aj v tejto súvislosti by som Vás rada informovala, že jednou z priorít, ktoré som si stanovila pri nástupe do funkcie, je príprava nových predpisov v oblasti ochrany osobných údajov na národnej úrovni, ktorý má za cieľ zlepšiť právnu istotu, či posilniť ochranu základných práv a slobôd jednotlivcov.

Záverom by som rada poďakovala všetkým zamestnancom a spolupracovníkom úradu za ich nasadenie, odbornosť a každodenné úsilie. Ďakujem rovnako všetkým partnerom, zodpovedným osobám a celej odbornej komunite, skrátka každému, kto sa na ochrane osobných údajov podieľa. Spoločne vytvárame funkčný celok v oblasti ochrany osobných údajov, vrátane prostredia dôvery a bezpečia vo svete čoraz viac previazanom technológiami.

S pozdravom,

Zuzana Valková

predsedníčka Úradu na ochranu osobných údajov Slovenskej republiky

Obsah

Postavenie

organizácia

úradu

...........................................................................................

1.1

Postavenie

úradu

.............................................................................................................

...........................................................................................

1.2.1

Vedenie

úradu................................................................................................................6

1.2.2

Zamestnanci

úradu.........................................................................................................7

1.3

Rozpočet

úradu

.....................................................................................................................

Komunikácia

úradu

verejnosťou

.....................................................................................

........................................

2.2

Predchádzajúce

konzultácie

................................................................................................

...........................................................................................................................

...................................................

.............................................

.............................................................................

.....................................................................

..........................................................................................

......................................................................................

3.3

Medziročné

porovnanie

......................................................................................................

.................................................................................

Sankcie

...............................................................................................................................

5.1

Pokuty

.................................................................................................................................

5.2

Poriadkové

pokuty

..............................................................................................................

Opravné

prostriedky

..........................................................................................................

Mechanizmus

spolupráce

konzistentnosť

......................................................................

7.1

Mechanizmus

spolupráce

...................................................................................................

7.1.1

Cezhraničné

spracúvanie..............................................................................................28

7.1.2

Vzájomná

pomoc..........................................................................................................30

orgánov........................................................................30

7.2

Mechanizmus

konzistentnosti

............................................................................................

7.2.1

Stanovisko

EDPB...........................................................................................................30

7.2.2

Riešenie

sporov

EDPB...................................................................................................31

prípady.......................................................................................31

údajov..........................................................................31

..........................................................

.......................................................................

............................................................................

systémy.............................................................34

e-služby...................................................34

nehôd.....................................35

dopravy.................................................35

poisťovne.............................................................................................................35

osoby.....................................................................................................................................36

obce........................................36

služieb...........................................................37

.......................................................................

triedou................................................................37

ponúk...............................38

údajom......................................................................38

opatrení.................................................................................................................................39

správ.................................................................39

.................................................................................

................................................................................................

10.2

Sťažnosti

............................................................................................................................

10.3

Zodpovedné

osoby

............................................................................................................

......................

inteligencii.............................................................................................44

údajov................................44

EÚ..................................................................45

.....................................................................

...............................................................................................

...........................................................................................................................................

11.4.1

Schengenské

hodnotenie

...............................................................................................

.............................................................................

...................................................

......................................................................

................................................................................................

ostavenie

organizácia

úradu

1.1

Postavenie

úradu

Ochrana osobných údajov v Slovenskej republike je v súlade s Nariadením a Zákonom zverená do pôsobnosti úradu. Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov a vykonáva dozor nad ochranou osobných údajov. Pri výkone svojej pôsobnosti úrad postupuje nezávisle a pri plnení svojich úloh sa riadi ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

Úrad pri výkone svojej činnosti monitoruje uplatňovanie Nariadenia a Zákona v aplikačnej praxi, zabezpečuje súlad spracúvania a ochrany osobných údajov s návrhmi zákonov ako aj v návrhmi ostatných všeobecne záväzných právnych predpisov. Vo vzťahu k laickej aj odbornej verejnosti poskytuje odborné konzultácie v oblasti ochrany osobných údajov, najmä metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov a v tejto súvislosti zvyšuje ich povedomie primárne v oblasti práv a povinností súvisiacich s touto činnosťou. Neodmysliteľnou úlohou úradu je aj monitorovanie dopadov rozvíjajúcich sa informačných a komunikačných technológií na bezpečnosť osobných údajov. Pri zabezpečovaní koordinácie a tvorby štátnej politiky v oblasti ochrany osobných údajov spolupracuje s Ministerstvom spravodlivosti Slovenskej republiky a Ministerstvom vnútra Slovenskej republiky a poskytuje im potrebnú súčinnosť.

Úrad v zahraničnej oblasti spolupracuje s EDPB, ako aj s partnerskými dozornými orgánmi iných členských štátov s cieľom vzájomnej výmeny informácií a vzájomnej pomoci pri zabezpečovaní spoločných postupov zameraných na ochranu osobných údajov podľa Nariadenia a Zákona.

Podľa § 21 ods. 1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. úrad je rozpočtovou organizáciou. Návrh rozpočtu úrad predkladá ako súčasť kapitoly Všeobecná pokladničná správa a schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba NR SR.

1.2

Personálne

zabezpečenie

úradu

1.2.1

Vedenie

úradu

Na čele úradu je predseda, ktorého volí a odvoláva NR SR na návrh vlády SR. Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce funkčné obdobia. Funkciu predsedníčky úradu zastáva Zuzana Valková, ktorá bola do funkcie zvolená NR SR dňa 27. júna 2024 uznesením NR SR č. 415/2024 zo dňa 27. júna 2024.

Predsedníčka úradu zodpovedá za jeho činnosť, riadi a reprezentuje úrad navonok. Rozhoduje o spôsobe realizácie hlavných úloh úradu, schvaľuje interné riadiace akty úradu, rozhoduje o vnútornom organizačnom usporiadaní a ako generálny tajomník služobného úradu plní úlohy spojené s personálnymi otázkami jeho zamestnancov. Predsedníčku úradu zastupuje podpredseda úradu v rozsahu jeho práv a povinností, ktoré mu predsedníčka úradu ustanoví písomným poverením.

Funkciu podpredsedu úradu zastáva Tomáš Danč, ktorý bol s účinnosťou od 24. októbra 2024 do funkcie vymenovaný vládou Slovenskej republiky (uznesenie vlády Slovenskej republiky č. 641/2024 zo dňa 23. októbra 2024). Podpredseda úradu zabezpečuje najmä plnenie úloh v oblasti ochrany osobných údajov na európskej a medzinárodnej úrovni v súlade s Nariadením, Zákonom, inými všeobecne záväznými právnymi predpismi a internými riadiacimi aktmi úradu.

Do 23. októbra 2024 funkciu podpredsedníčky úradu zastávala Anna Vitteková, ktorá bola s účinnosťou od 23. októbra 2024 z tejto funkcie odvolaná vládou SR (uznesenie vlády Slovenskej republiky č. 640/2024 zo dňa 23. októbra 2024).

1.2.2

Zamestnanci

úradu

Zamestnanci úradu plnia odborné úlohy v oblasti ochrany osobných údajov primárne v zmysle Nariadenia a Zákona, ako aj ďalšie súvisiace prevádzkové činnosti a povinnosti podľa všeobecne záväzných právnych predpisov. Ich zabezpečovanie si vyžaduje potrebný počet kvalifikovaných zamestnancov spôsobilých vykonávať odborné činnosti na expertnej úrovni, pričom je nevyhnutné aj zohľadnenie potrebnej miery zastupiteľnosti. Z pohľadu štruktúry úradu boli v roku 2024 všetci zamestnanci zamestnancami v štátnozamestnaneckom pomere podľa zákona č. 55/2017 Z. z. Výber zamestnancov a obsadzovanie voľných štátnozamestnaneckých pozícií sa realizuje podľa zákona č. 55/2017 Z. z. najmä prostredníctvom výberových konaní, ktoré úrad zverejňuje na portáli Centrálneho informačného systému štátnej služby, s dôrazom na podmienky stanovené pre jednotlivé funkcie.

Uznesením vlády SR č. 649 zo 14. októbra 2020 k návrhu rozpočtu verejnej správy na roky 2021 až 2023 bol v prílohe č. 1 pre úrad určený limit 46 zamestnancov. K 31. decembru 2024 mal úrad obsadených 35 štátnozamestnaneckých miest v stálej štátnej službe.

Priemerný vek zamestnancov úradu v rokoch:

Celkový vekový priemer

Vekový priemer mužov

Vekový priemer žien

k 01.01.2024

42,83

42,88

42,81

k 31.12.2024

42,00

42,69

41,63

Počet zamestnancov úradu (skutočný stav):

Štátnozamestnanecký pomer

(stála štátna služba)

Výkon práce vo verejnom záujme

Spolu

k 01.01.2024

k 31.12.2024

Stanovený limit zamestnancov v roku 2024 nebol dostatočný vzhľadom na rozsiahlosť agendy, ktorú úrad zabezpečuje, a ktorá má stúpajúcu tendenciu aj z hľadiska objemu práce pripadajúcej na jedného zamestnanca. V záujme zabezpečenia činnosti úradu na požadovanej úrovni (za zohľadnenia reálnych ľudských možností) Ministerstvo financií Slovenskej republiky na základe rokovaní s predsedníčkou úradu navýšilo počet zamestnancov úradu pre rok 2025 o 20 tabuľkových miest v štátnozamestnaneckom pomere, čím sa zabezpečí racionalita prerozdeľovania práce a možnosť vyššej špecializácie jednotlivých zamestnancov, nakoľko v súčasnosti mnohí vykonávajú kumulované činnosti, z ktorých každá vyžaduje plné sústredenie a pozornosť.

Nakoľko agenda úradu aj v kontexte povinností vyplývajúcich z Nariadenia a Zákona neúmerne narastala, situácia bola z dlhodobého hľadiska neudržateľná a nedostatok kvalifikovaných zamestnancov sa začal negatívne prejavovať na kvalite plnenia úloh úradu napríklad tým, že vo viacerých prípadoch bolo objektívne nemožné dodržať procesné lehoty. Pre naplnenie strategického smerovania činnosti úradu je nevyhnutné, aby sa vytvoril aj priestor na priebežné zvyšovanie kvalifikácie zamestnancov (odborný rast, primeraná schopnosť reagovať na požiadavky digitalizácie verejnej správy i digitalizácie života všeobecne).

Vzdelanostná štruktúra zamestnancov úradu:

Štátnozamestnanecký pomer

(stála štátna služba)

Výkon práce vo verejnom záujme

Spolu

základné vzdelanie

úplné stredné vzdelanie

vysokoškolské vzdelanie I. st.

vysokoškolské vzdelanie II. st

vysokoškolské vzdelanie III. st

Vzdelanostná štruktúra zamestnancov úradu podľa študijných odborov:

Vzdelanie v odbore

Štátnozamestnanecký pomer

(stála štátna služba)

Výkon práce vo verejnom záujme

Spolu

právo

bezpečnostné služby (vedy)

ekonomika

informačno-komunikačné technológie

administratíva

V tejto súvislosti je potrebné poukázať na nutnosť posilniť úrad najmä o expertov na informačné technológie, nakoľko stále viac spracovateľských činností s osobnými údajmi prebieha prostredníctvom informačno-komunikačných technológií. Ani v tejto oblasti úrad nesmie zaostávať za prevádzkovateľmi a sprostredkovateľmi, ktorí čoraz intenzívnejšie využívajú sofistikované informačné technológie, inými slovami aj pre oblasť informačnej a kybernetickej bezpečnosti musí úrad disponovať špecialistami, aby sa mohol k odborným témam vyjadrovať na expertnej úrovni. Ďalšou oblasťou, v ktorej úrad pociťuje nedostatok odborne zdatných personálnych kapacít, je tvorba a pripomienkovanie legislatívnych dokumentov. V praxi ide o zodpovedný a zdĺhavý proces skúmania predloženého návrhu právneho predpisu či nelegislatívneho materiálu, ktorý vyžaduje vysokú mieru precíznosti, pozornosti a sústredenia zo strany zamestnanca s dostatkom teoretických a najmä praktických vedomostí a skúseností.

Úrad svojim zamestnancom v rámci celoživotného vzdelávania umožňuje udržiavať ich odbornú pripravenosť, nadobúdať nové zručnosti a prehlbovať kvalifikáciu na odborných kurzoch, seminároch a školeniach v Slovenskej republike a v prípade nevyhnutnej kvalifikovanej potreby aj v zahraničí.

1.3

Rozpočet

úradu

Úrad je rozpočtovou organizáciou, ktorá je svojimi príjmami a výdavkami naviazaná na štátny rozpočet prostredníctvom kapitoly Všeobecná pokladničná správa spravovanej Ministerstvom financií Slovenskej republiky.

Listom č. MF/005893/2024-442 zo dňa 8. januára 2024 boli Ministerstvom financií Slovenskej republiky úradu stanovené záväzné ukazovatele štátneho rozpočtu na rok 2024 v časti príjmy kapitoly (výber pokút) v sume 100 000,00 eur.

Záväzný ukazovateľ príjmu počas roka 2024 nebol upravovaný, bol splnený na 88,90 %, čo zodpovedá celkovej sume 88 900,00 eur, ktorú úrad vybral na pokutách za porušenie Nariadenia a Zákona.

Ukazovatele štátneho rozpočtu v časti príjmov za obdobie od 01.01.2024 do 31.12.2024 v eurách:

Ukazovateľ

Schválený rozpočet k 01.01.2024

Upravený

rozpočet k 31.12.2024

Skutočnosť

k 31.12.2024

Iné nedaňové príjmy (290)

0,00

289,00

Administratívne poplatky a iné poplatky a platby (220)

100 000,00

88 900,00

Spolu príjmy bežného rozpočtu

100 000,00

89 189,00

Úradu boli na rok 2024 stanovené záväzné ukazovatele štátneho rozpočtu nielen v časti príjmov, ale aj v časti výdavkov kapitoly v celkovej sume 1 978 436,00 eur. Z toho na

-mzdy, platy, služobné príjmy a ostatné osobné vyrovnania (kategória ekonomickej klasifikácie – 610) v rámci programu 0A0 boli stanovené výdavky úradu v sume 1 170 989,00 eur,

-výdavky štátneho rozpočtu na realizáciu medzirezortného programu 0EK0W02 s názvom ,,Informačné technológie financované zo štátneho rozpočtu“ boli stanovené v sume 28 090,00 eur.

V priebehu roka boli rozpočtové prostriedky úradu navýšené o sumu 995 701,95 eur v časti bežných a kapitálových výdavkov, t.j. došlo k navýšeniu rozpočtu úradu na celkovú sumu 2 974 137,95 eur.

Čerpanie rozpočtových prostriedkov k 31.12.2024 predstavovalo sumu 2 931 624,23 eur, čo predstavuje 98,55 % z celkového upraveného rozpočtu úradu na daný rok a do štátneho rozpočtu bolo vrátených 42 513,72 eur.

Rozpočet úradu za obdobie od 01.01.2024 do 31.12.2024 v eurách:

Ukazovateľ

Schválený rozpočet k 01.01.2024

Upravený

rozpočet k 31.12.2024

Skutočnosť

k 31.12.2024

Program 0A0

Mzdy, platy, služobné príjmy a ostatné osobné vyrovnania (610)

1 170 989,00

1 266 075,00

1 262 883,98

Poistné a príspevok do poisťovní (620)

424 252,00

511 213,20

Tovary a služby (630)

347 105,00

670 444,26

636 542,73

Bežné transfery (640)

8 000,00

72 770,04

Program 0EJ

Poistné a príspevok do poisťovní (620)

0,00

6 503,95

Tovary a služby (630)

0,00

34 261,50

Program 0EK

Bežné výdavky (630)

28 090,00

361 270,00

360 148,83

Bežné výdavky spolu (600)

1 978 436,00

2 922 537,95

2 884 324,23

Kapitálové výdavky (700)

0,00

51 600,00

47 300,00

Spolu výdavky bežného a kapitálového rozpočtu

1 978 436,00

2 974 137,95

2 931 624,23

V priebehu roka 2024 úrad začal používať informačnú techniku obstarávanú v rámci projektu „Elektronizácia služieb Úradu na ochranu osobných údajov Slovenskej republiky“, avšak aj vzhľadom na plánované navýšenie počtu zamestnancov v roku 2025 bude potrebné existujúcu komunikačnú infraštruktúru úradu naďalej rozširovať. V tejto súvislosti bolo zo strany úradu potrebné zabezpečovať aj aktívne licencie a servisnú podporu existujúceho hardvéru a softvéru, čo zahŕňalo poplatky za všetky aktívne používané licencie a servisné podpory zariadení, ako aj ich reálnu údržbu, ktorá je potrebná pre jeho spoľahlivú a bezpečnú funkčnosť.

Žiadosťou o platbu boli v máji 2024 refundované finančné prostriedky z Európskej únie vynaložené v predchádzajúcom rozpočtovom období (rok 2023) na vyplatenie odmien pre projektového manažéra a zamestnancov mimo pracovného pomeru vrátane prislúchajúcich odvodov, ktorí participovali na projekte „Elektronizácia služieb Úradu na ochranu osobných údajov Slovenskej republiky“. Následne v rámci programu 0EJ0N01 sa zrealizoval na základe rozpočtového opatrenia presun rozpočtových prostriedkov v rámci programu, aby mohlo dôjsť k reálnemu čerpaniu výdavku.

V rámci programu 0EK0W02 vynaložil úrad v roku 2024 rozpočtové prostriedky na zvýšenú pohotovosť týkajúcu sa komplexného informačného systému, zabezpečenia služieb prevádzky a podpory informačného systému úradu v oblastiach služby podpory prevádzky a služby podpory softvérových licencií, ako aj služieb migrácie na základe zmluvne dohodnutých

podmienok, čo súviselo so zabezpečením podpory prevádzky projektu úradu (SLA – service level agreement).

Ku koncu roka 2024 sa úrad z dôvodu nepredĺženia nájomnej zmluvy zo strany prenajímateľa budovy na Hraničnej 12, 821 05 Bratislava, v ktorej úrad sídlil, musel presťahovať do nových priestorov. V tejto súvislosti musel úrad vyvinúť aktivity zamerané na zabezpečenie nového sídla úradu, a to v relatívne krátkom časovom horizonte. S tým súviseli aj finančné požiadavky na materiálno-technické vybavenie nových priestorov, pretože úrad v pôvodných priestoroch, kde sídlil do konca mesiaca november 2024, takýmto vybavením nedisponoval. Išlo najmä o nábytok a s tým súvisiace najmä kancelárske vybavenie, na ktoré získal finančné prostriedky navýšením rozpočtových prostriedkov schválených Ministerstvom financií Slovenskej republiky.

Komunikácia

úradu

verejnosťou

2.1

Vyjadrenia

úradu

otázkam

fyzických

osôb

právnických

osôb

Úrad zohráva dôležitú úlohu v zabezpečovaní dodržiavania právnych predpisov v oblasti ochrany osobných údajov nielen u prevádzkovateľov a sprostredkovateľov, ktorí sú povinní implementovať požiadavky legislatívy do praxe, ale aj vo vzťahu k širokej verejnosti. Jednotliví občania sa v bežných situáciách často stretávajú s otázkami týkajúcimi sa spracúvania ich osobných údajov, a preto sa obracajú na úrad so žiadosťou o vysvetlenie ich práv, povinností iných subjektov, ako aj praktických dôsledkov uplatňovania ochrany osobných údajov. Úrad sa prostredníctvom svojich odpovedí snaží zvyšovať právne povedomie verejnosti a podporovať povedomie ochrany osobných údajov v spoločnosti. V roku 2024 verejnosť najčastejšie kládla otázky zamerané na ochranu osobných údajov zamestnancov, predovšetkým v súvislosti so spracúvaním ich osobných údajov zamestnávateľmi, monitorovaním ich dochádzky a spracúvaním informácií o práceneschopnosti. Významnou témou, ktorá pretrváva, boli aj otázky týkajúce sa využívania kamerových systémov. Občanov zaujímali podmienky ich zákonnej inštalácie a prevádzky, ale aj povinnosti monitorujúcich prevádzkovateľov a práva monitorovaných dotknutých osôb. V komunikácii s verejnosťou prevládala téma kamerových systémov monitorujúcich verejné priestory, ako sú námestia, ulice či parky, na účel zvýšenia bezpečnosti a prevencie kriminality. Otázky verejnosti sa však dotýkali aj kamerových systémov určených na sledovanie pracovísk alebo na zabezpečenie ochrany majetku obchodných spoločností. Záujem občanov smeroval aj k inštalácii kamier v obytných zónach a rodinných domoch, teda systémov na zvýšenie bezpečnosti domácností. V neposlednom rade sa riešila aj problematika kamerového sledovania v školských zariadeniach a monitorovania dopravných komunikácií na účely riadenia dopravy a prevencie dopravných nehôd.

Úrad v sledovanom období prijímal odborné otázky od prevádzkovateľov a sprostredkovateľov, ktoré sa týkali praktickej aplikácie požiadaviek Nariadenia a Zákona, ako aj osobitných predpisov a usmernení súvisiacich s konkrétnymi spracovateľskými operáciami. Aj obce a mestá v postavení prevádzkovateľov sa v roku 2024 obracali na úrad so žiadosťami o usmernenie ohľadom informačných povinností voči dotknutým osobám alebo inštalácie a prevádzky kamerových systémov.

Zamestnanci úradu v roku 2024 spracovali 440 žiadostí, z ktorých prevažná časť obsahovala viacero vzájomne súvisiacich či nesúvisiacich otázok.

2.2

Predchádzajúce

konzultácie

Podľa čl. 36 ods. 1 Nariadenia prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika. Podľa čl. 36 ods. 2 Nariadenia ak sa dozorný orgán domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením,

najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, dozorný orgán do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v čl. 58 Nariadenia.

Najviac žiadostí o predchádzajúcu konzultáciu sa týkalo spracúvania osobných údajov podľa zákona č. 106/2024 Z. z. o správcoch úverov a nákupcoch úverov a o zmene a doplnení niektorých zákonov.

2.3

Poskytovanie

informácií

základe

žiadostí

sprístupnenie

informácií

podľa

zákona

č.

211/2000

Prístup verejnosti k informáciám je umožnený aj na základe žiadostí podaných podľa zákona č. 211/2000 Z. z., pri ktorých úrad nadobúda postavenie povinnej osoby.

V priebehu roka 2024 bolo úradu doručených 127 žiadostí o sprístupnenie informácií; úrad v 73 prípadoch požadované informácie sprístupnil, v 13 prípadoch vydal rozhodnutie o čiastočnom nesprístupnení informácií, v 24 prípadoch vydal rozhodnutie o úplnom nesprístupnení informácie a v jednom prípade bola žiadosť odložená, nakoľko žiadateľ v určenej lehote nereagoval na výzvu úradu na jej doplnenie. Ďalších 16 žiadosti postúpila kancelária predsedu úradu na vybavenie vecne príslušnému organizačnému útvaru úradu, keďže z obsahu žiadostí vyplývalo, že nešlo o žiadosti o sprístupnenie informácie v zmysle zákona č. 211/2000 Z. z.

2.4

Aktivity

úradu

oblasti

informovania

verejnosti

médií

V priebehu roku 2024 sa médiá na úrad obracali s otázkami týkajúcimi sa konkrétnych situácií a udalostí spojených so spracúvaním a ochranou osobných údajov. Predmetom záujmu zo strany médií boli najmä

-inštalovanie kamerových systémov v školských zariadeniach a obytných zónach vrátane otázok týkajúcich sa zákonných podmienok ich prevádzky, práv dotknutých osôb a povinností prevádzkovateľov,

-povinnosti škôl pri zverejňovaní fotografií detí najmä v kontexte zabezpečenia zákonného súhlasu dotknutých osôb a dodržiavania zásad minimalizácie spracovania údajov,

-oblasti spracúvania osobných údajov, ktoré boli predmetom najčastejších kontrol a ukladania sankcií zo strany úradu, vrátane identifikácie sektorov, v ktorých dochádza k najčastejšiemu porušovaniu právnych predpisov na ochranu osobných údajov a vývoj povedomia občanov o ochrane osobných údajov.

Médiá sa zaujímali aj o to, či je možné zaznamenať rastúcu informovanosť verejnosti o právach a povinnostiach v oblasti spracovania osobných údajov.

Úrad na tieto otázky reagoval vecne a v súlade so svojimi kompetenciami, pričom kládol dôraz na podporu informovanosti a správneho výkladu právnych predpisov.

2.5

Aktivity

úradu

pri

príležitosti

Dňa

ochrany

osobných

údajov

Pri príležitosti Medzinárodného dňa ochrany osobných údajov, ktorý si každoročne pripomíname dňa 28. januára, úrad realizoval viaceré aktivity na podporu informovanosti verejnosti (zverejnené 28.01.2024).1)

Deň ochrany osobných údajov bol venovaný tematike zvyšovania povedomia o právach jednotlivcov a dôležitosti ochrany osobných údajov a súkromia. Úrad vyzýval občanov, organizácie aj verejné inštitúcie, aby venovali zvýšenú pozornosť tomu, akým spôsobom sú ich osobné údaje zhromažďované, spracúvané a chránené.

V rámci aktivít súvisiacich s Dňom ochrany osobných údajov úrad pripravil pre širokú verejnosť video-prezentáciu s cieľom zvýšiť povedomie o právach a povinnostiach v tejto oblasti.

Tieto aktivity boli súčasťou širšieho úsilia úradu o systematické zvyšovanie právneho vedomia a zodpovedného správania pri spracúvaní osobných údajov.

2.6

Webové

sídlo

úradu

jeho

návštevnosť

Webové sídlo úradu v roku 2024 spĺňalo podmienky a technické požiadavky stanovené Výnosom Ministerstva financií Slovenskej republiky o štandardoch pre informačné systémy verejnej správy. Zároveň reflektovalo aktuálne legislatívne zmeny v oblasti ochrany osobných údajov a priebežne sa dopĺňalo o nové funkcionality, metodické materiály či usmernenia. Úrad vychádzal z praktických skúseností a osvedčených postupov s cieľom zabezpečiť jeho maximálnu prehľadnosť a používateľskú prívetivosť.

Počas sledovaného obdobia bola webová stránka úradu vyhľadávaná celkovo 13 627-krát.

1 https://dataprotection.gov.sk/sk/aktuality/medzinarodny-den-ochrany-osobnych-udajov-2024.html

Kontrola

oblasti

ochrany

osobných

údajov

Osobitným nástrojom dozoru nad dodržiavaním pravidiel ustanovených Nariadením, Zákonom a inými všeobecne záväznými právnymi predpismi (napríklad právnymi predpismi v oblasti schengenských a európskych informačných systémov a agentúr) je kontrola spracúvania osobných údajov, ktorá je založená na priamej interakcii medzi úradom a kontrolovanou osobou, vrátane priameho kontaktu s osobnými údajmi a prostriedkami ich spracúvania. Kontroly spracúvania osobných údajov realizované z pozície úradu sú vždy zameriavané aj na práva, právom chránené záujmy a slobody dotknutých osôb, ktorých osobné údaje sú predmetom spracúvania.

Kontrola v širšom význame je proces tvorený analýzou podnetu na kontrolu, prípravou kontroly, výkonom kontroly a vyhodnotením skutočností zistených kontrolou. Výsledok každej kontroly je formulovaný v zázname o kontrole (ak nebolo zistené žiadne porušenie povinností pri spracúvaní osobných údajov) alebo v protokole o kontrole (ak boli zistené rozpory s požiadavkami všeobecne záväzných právnych predpisov). Výsledky kontrol formulované v protokole o kontrole sú podkladom pre vydanie rozhodnutia v prebiehajúcom konaní o ochrane osobných údajov alebo iniciujú začatie takého konania.

3.1

Kontroly

ukončené

roku

2024

V sledovanom období bolo ukončených 44 kontrol, z ktorých 23 bolo začatých (oznámených kontrolovanej osobe) v roku 2024 a 21 v predchádzajúcom období. Z celkového počtu (44) kontrol ukončených v roku 2024 bolo 23 kontrol ukončených protokolom o kontrole (prípady, v ktorých bolo zistené porušenie povinností pri spracúvaní osobných údajov) a 21 kontrol záznamom o kontrole (prípady, v ktorých porušenie povinností pri spracúvaní osobných údajov zistené nebolo).

Štruktúra kontrol podľa výsledku kontroly:

Ukončené protokolom

Ukončené záznamom

Spolu

Kontroly začaté do 31.12.2023

Kontroly začaté v roku 2024

Spolu

Kontroly začaté do 31.12.2023:

V sledovanom období bolo ukončených 21 kontrol prenesených z predchádzajúceho obdobia. Uvedené kontroly boli v 16 prípadoch ukončené protokolom o kontrole a v 5 prípadoch záznamom o kontrole.

Kontroly začaté v roku 2024:

V sledovanom období bolo zamestnancom úradu z odboru kontroly pridelených 53 nových kontrol, z ktorých bolo v tom istom roku (doručením oznámenia o kontrole kontrolovanej osobe) začatých 50. Z uvedených 50 kontrol bolo v tom istom roku ukončených 18 kontrol (4 protokolom a 14 záznamom o kontrole). V rovnakom období bolo ukončených aj 5 kontrol (3 protokolom a 2 záznamom o kontrole), ktoré boli pridelené v roku 2023 a začaté v roku 2024.

Štruktúra kontrol podľa typu kontrolovanej osoby:

Z celkového počtu (44) kontrol ukončených v roku 2024 boli kontrolovanou osobou v 16 prípadoch fyzické osoby, vo zvyšných 28 prípadoch iné než fyzické osoby:

fyzická osoba, 16, 36%

iná než fyzická osoba, 28, 64%

KONTROLOVANÁ OSOBA

Štruktúra kontrol podľa zamerania kontroly:

Z celkového počtu (44) kontrol ukončených v roku 2024 bolo 23 kontrol zameraných výhradne na kamerové systémy:

zameranie na kamerový systém, 23, 52%

iné zameranie, 21, 48%

ZAMERANIE KONTROLY

Štruktúra kontrol podľa podnetu na kontrolu:

Kontroly spracúvania osobných údajov ukončené v sledovanom období boli vykonávané v rámci konania o ochrane osobných údajov, na základe plánu kontrol, ako aj na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov.

Pri kreácii plánu kontrol a rovnako pri kontrolách priebežne iniciovaných úradom na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov úrad čerpal najmä z vlastných skúseností získavaných pri plnení svojich úloh v oblasti dozoru. Zameranie uvedených kontrol spočívalo v komparácii reálneho stavu spracúvania osobných údajov s požiadavkami právnej regulácie reprezentovanej najmä Nariadením a Zákonom. Kontroly vykonávané v rámci konania o ochrane osobných údajov boli zameriavané najmä na skutočnosti uvedené v žiadosti správneho orgánu úradu.

Z celkového počtu (44) kontrol ukončených v roku 2024 bolo 28 kontrol začatých na základe internej žiadosti odboru správnych konaní, 11 na základe plánu kontrol a 5 na základe podozrenia z porušenia povinností ustanovených Nariadením alebo Zákonom:

žiadosť odboru správnych konaní, 28, 64%

plán kontrol, 11, 25%

podozrenie z porušenia povinností, 5, 11%

PODNET NA KONTROLU

Zistené nedostatky:

Z celkového počtu (44) kontrol ukončených v roku 2024 bolo protokolom o kontrole ukončených 23. Zistené boli porušenia nasledujúcich ustanovení Nariadenia:

PORUŠENÝ ČLÁNOK NARIADENIA

POČET PRÍPADOV

článok 5/1/a (zákonnosť, spravodlivosť a transparentnosť)

článok 5/1/b (obmedzenie účelu)

článok 5/1/c (minimalizácia údajov)

článok 5/1/e (minimalizácia uchovávania)

článok 5/1/f (integrita a dôvernosť)

článok 5/2 (zodpovednosť)

článok 6 (zákonnosť spracúvania)

článok 7 (podmienky vyjadrenia súhlasu)

článok 9 (osobitné kategórie osobných údajov)

článok 12 (transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby)

článok 13 (informácie pri získavaní osobných údajov od dotknutej osoby)

článok 14 (informácie pri získavaní osobných údajov od inej než dotknutej osoby)

článok 26 (spoloční prevádzkovatelia)

článok 28 (sprostredkovateľ)

článok 29 (spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa)

článok 30 (záznamy o spracovateľských činnostiach)

článok 32 (bezpečnosť spracúvania)

článok 35 (posúdenie vplyvu na ochranu údajov)

článok 37 (určenie zodpovednej osoby)

Z grafického prehľadu o zistených porušeniach jednotlivých ustanovení Nariadenia je zrejmé, že najčastejšie (4 a viackrát) bolo v protokoloch o kontrole konštatované nedodržiavanie zásad spracúvania osobných údajov, nesplnenie podmienok zákonného spracúvania, nesprávne, neúplné alebo žiadne poskytovanie informácií dotknutým osobám pri získavaní ich osobných údajov a nedostatky spojené s vedením záznamov o spracovateľských činnostiach:

článok 5/1/a

článok 5/1/c

článok 5/2

článok 6

článok 30

článok 13

článok 5/1/e

článok 32

článok 28

článok 5/1/f

článok 12

článok 5/1/b

článok 7

článok 35

článok 37

článok 14

článok 26

článok 9

článok 29

V roku 2024 bolo z pozície odboru kontroly súčasne iniciované uloženie 2 poriadkových pokút.

3.2

Kontroly

neukončené

roku

2024

Odbor kontrolných činností ku dňu 31.12.2024 evidoval 36 neukončených kontrol, z ktorých 33 (prebiehajúce, resp. začaté kontroly) sa nachádzalo v rôznych procesných fázach po začatí kontroly a zvyšné 3 (nezačaté kontroly) sa nachádzali vo fáze medzi pridelením podnetu na kontrolu a oznámením kontroly kontrolovanej osobe.

3.3

Medziročné

porovnanie

Z medziročného porovnania pridelených kontrol (obdobie od 25.05.20182) do 31.12.2024) je zrejmé, že v roku 2021 došlo k výraznej zmene pomeru medzi počtom kontrol zameraných (výhradne) na kamerové systémy a počtom kontrol zameraných na iné než kamerové systémy. Od uvedeného obdobia sa stav nezmenil, v dôsledku čoho je potrebné konštatovať, že kontrolná činnosť úradu je od roku 2021 výrazne presmerovaná na kamerové systémy, ktoré sú v rozhodujúcej miere prevádzkované fyzickými osobami v ich obydliach3).

Kontroly spracúvania osobných údajov kamerovými systémami sú vykonávané v rámci plnenia povinností, ktoré úradu vecne a procesne vyplývajú z Nariadenia a Zákona. Napriek tomu, že súvisiace kontroly (za zohľadnenia úrovne spoločenskej nebezpečnosti4) predmetného spracúvania) nemožno považovať za prioritné, kolidujú s rozsahom a charakterom dozorných úloh, ktoré sú úradu zverené, resp. znižujú potenciál (kapacity) úradu na úkor iných, oveľa významnejších a rizikovejších oblastí spracúvania osobných údajov.

Z hľadiska pomeru medzi kontrolami ukončenými protokolom a kontrolami ukončenými záznamom o kontrole je súčasne žiaduce konštatovať, že počet (približne polovica) kontrol ukončených v rokoch 2022 až 2024 záznamom o kontrole je výrazne ovplyvnený výsledkami kontrol kamerových systémov, ako aj povinne vykonávanými kontrolami schengenských a európskych informačných systémov.

2 Obdobie od 25.5.2018, kedy sa na území členských krajín začalo uplatňovať Nariadenie.

3 Ochrana práv monitorovaných dotknutých osôb (navrhovateľov) sa spravidla prelína so susedskými či inými spormi.

4 Napríklad z dôvodu relatívne zanedbateľného počtu dotknutých osôb, ktorých práva, slobody a právom chránené záujmy môžu byť kamerovými systémami prevádzkovanými fyzickými osobami dotknuté.

$Obrázok, na ktorom je text, snímka obrazovky, pestrofarebnosť, diagram Automaticky generovaný popis$

Konanie

ochrane

osobných

údajov

Konanie o ochrane osobných údajov ako osobitné správne konanie je upravené v štvrtej hlave piatej časti Zákona. Účastníkom konania o ochrane osobných údajov môže byť navrhovateľ (dotknutá osoba, ktorá podala návrh), prevádzkovateľ (subjekt, ktorý vymedzil účel ako aj prostriedky spracúvania osobných údajov a spracúva osobné údaje vo svojom mene), sprostredkovateľ (subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa), certifikačný subjekt (úradom akreditovaný subjekt vykonávajúci certifikáciu, obnovu certifikátu alebo odňatie certifikátu) a monitorujúci subjekt (úradom akreditovaný subjekt vykonávajúci monitorovanie súladu spracúvania osobných údajov podľa Nariadenia alebo Zákona s kódexom správania). Konanie o ochrane osobných údajov je neverejné.

Účelom konania o ochrane osobných údajov je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo k porušeniu iných ustanovení Nariadenia alebo Zákona, a v prípade zistenia nedostatkov (ak je to dôvodné a účelné) uložiť opatrenia na nápravu, prípadne sankciu (pokutu). Na konanie o ochrane osobných údajov sa vzťahujú ustanovenia správneho poriadku.

Ak úradu nie je daná kompetencia vo veci konať a rozhodnúť (napríklad úrad nie je príslušný na vykonávanie dozoru nad spracovateľskými operáciami na súdoch pri výkone ich súdnej moci), má povinnosť podanie postúpiť inému (príslušnému) správnemu orgánu. V sledovanom období úrad postúpil celkovo 35 podaní inému (vecne príslušnému) správnemu orgánu (najčastejšie boli podania postupované Ministerstvu spravodlivosti Slovenskej republiky a Úradu pre reguláciu elektronických komunikácií a poštových služieb).

Zákon stanovuje úradu povinnosť, aby podanie v taxatívne vymedzených prípadoch odložil. K odloženiu podania úrad pristupuje v prípade jeho neopodstatnenosti, v prípade, ak vec ktorej sa podanie týka, prejednáva orgán činný v trestnom konaní, v prípade, ak podávateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez aktívnej účasti podávateľa nebolo možné vec vybaviť a tiež v prípade, ak od udalosti, ktorej sa podanie týka, uplynul v deň jeho doručenia čas dlhší ako tri roky (prekluzívna lehota). V roku 2024 bola najčastejším dôvodom odloženia neopodstatnenosť podania, keď už z dôkazov predložených najmä dotknutou osobou bolo zrejmé, že k porušeniu právnych predpisov v oblasti ochrany osobných údajov nedošlo (dotknutá osoba sa často domnievala, že prevádzkovateľ nedisponujúci jej súhlasom osobné údaje spracúvať nemôže, pričom prevádzkovateľ osobné údaje spracúval v súlade so zásadou zákonnosti na inom právnom základe, napríklad na základe zákonnej povinnosti). V sledovanom období bolo celkovo odložených 368 podaní, z čoho z dôvodu neopodstatnenosti bolo odložených 236 podaní, z dôvodu prejednávania veci súdom alebo orgánom činným v trestnom konaní 18 podaní, z dôvodu neposkytnutia súčinnosti 112 podaní a v súvislosti s preklúziou 2 podania.

Prehľad dôvodov odloženia podania:

Neopodstatnenosť

Prejednávanie veci súdom/ orgánom činným v trestnom konaní

Neposkytnutie súčinnosti zo strany navrhovateľa

Preklúzia

236

112

Úrad v rámci dozornej činnosti vedie konanie o ochrane osobných údajov s cieľom ochrany práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov, pričom v tomto konaní skúma aj dodržiavanie povinností stanovených Nariadením a Zákonom. Ak zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov, rozhodnutím (ak je to dôvodné a účelné) uloží prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie nedostatkov a príčin ich vzniku, prípadne mu (najmä v závislosti od závažnosti zisteného porušenia) uloží pokutu. V opačnom prípade (ak nezistí alebo sa nepreukáže porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov) úrad konanie o ochrane osobných údajov zastaví.

Konanie o ochrane osobných údajov sa začína na návrh navrhovateľa alebo z vlastnej iniciatívy úradu. Konanie z vlastnej iniciatívy úradu (konanie bez návrhu) sa začína na základe podnetu (podanie inej než dotknutej osoby), na základe výsledku kontroly, ktorou boli zistené nedostatky alebo na základe podozrenia z porušenia právnych predpisov v oblasti ochrany osobných údajov pochádzajúceho z vlastnej činnosti úradu.

V roku 2024 úrad začal celkom 470 správnych konaní, z toho 192 na základe návrhu dotknutej osoby, 69 na základe podnetu, 23 na základe výsledku kontroly a 186 na základe podozrenia z porušenia právnych predpisov v oblasti ochrany osobných údajov.

Prehľad spôsobov začatia konania v rámci sledovaného obdobia:

Návrh dotknutej osoby

Podnet inej osoby

Výsledok kontroly

Podozrenie

192

186

Rozhodnutie úradu v postavení prvostupňového správneho orgánu v konaní o ochrane osobných údajov vychádza zo spoľahlivo zisteného stavu veci. Na tento účel je úrad v konaní o ochrane osobných údajov oprávnený požadovať súčinnosť od kohokoľvek, pričom v hodnotenom období úrad žiadal o súčinnosť celkovo 1 064-krát. V konaní o ochrane osobných údajov sa vyskytli štyri prípady, kedy subjekt, od ktorého bola súčinnosť požadovaná, nereagoval a úradu ani po opätovnej výzve súčinnosť neposkytol (v daných prípadoch úrad inicioval konanie o uložení pokuty).

V súvislosti so zvyšovaním povedomia verejnosti o ochrane osobných údajov sa o konania, resp. o ich výsledky často zaujímali aj médiá. V hodnotenom období bol v značnom rozsahu využívaný aj inštitút právneho zastúpenia, pričom výnimkou neboli ani prípady, v ktorých všetci účastníci konania boli zastúpení svojimi právnymi zástupcami.

Najčastejším predmetom konania o ochrane osobných údajov boli preskúmania, či spracúvaním osobných údajov dotknutých osôb kamerovým systémom nedochádza k porušovaniu právnych predpisov v oblasti ochrany osobných údajov a preskúmavanie zákonnosti pri zverejňovaní zmlúv v Centrálnom registri zmlúv.

Medzi najčastejšie porušenia patrilo spracúvanie osobných údajov v rozpore so zásadou zákonnosti, kedy dochádzalo k spracúvaniu osobných údajov bez právneho základu, resp. v rozpore s právnym základom a spracúvanie v rozpore so zásadou integrity a dôvernosti, čo súviselo s neprijatím primeraných bezpečnostných opatrení.

Prehľad spôsobov vybavenia podaní doručených úradu:

Postúpenie inému príslušnému orgánu

Odloženie

Prešetrenie v konaní

368

261

Sankcie

Sankciami za porušenie Nariadenia a Zákona sú pokuta a poriadková pokuta. Úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého prípadu. Pri rozhodovaní o uložení pokuty a určení jej výšky zohľadňuje najmä povahu, závažnosť a trvanie porušenia, obrat podniku, počet dotknutých osôb, rozsah škody, ak vznikla, zavinenie porušenia ochrany osobných údajov a opatrenia prijaté na zmiernenie škody, ktorú dotknuté osoby utrpeli. Úrad taktiež prihliada na predchádzajúce porušenia ochrany osobných údajov, mieru spolupráce s úradom pri náprave porušenia a zmiernení jeho možných nepriaznivých dôsledkov, kategóriu osobných údajov, ktorých sa porušenie týka a na spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel.

5.1

Pokuty

V roku 2024 úrad za porušenie právnych predpisov v oblasti ochrany osobných údajov právoplatne uložil 48 pokút v súhrnnej výške 89 600 Eur V rovnakom období úrad na pokutách vybral celkovo 88 900 Eur. Priemerná pokuta bola vo výške 1 867 Eur. Najnižšiu pokutu vo výške 200 Eur úrad uložil občianskemu združeniu v súvislosti s porušením zákonnosti spracúvania. Najvyššiu pokutu úrad právoplatne uložil vo výške 7 500 Eur prevádzkovateľovi v súvislosti s porušením zásady zákonnosti a transparentnosti a zásady zodpovednosti.

Prehľad o uložených a vybratých pokutách v roku 2024:

Počet pokút

Celková výška právoplatne

uložených pokút v Eur

Priemerná výška pokuty zaokrúhlená na celé Eur nahor

Celkovo vybraté

na pokutách v Eur

89 600

1 867

88 900

Pokuta ako druh sankcie plnila v hodnotenom období represívnu, ako aj preventívnu funkciu. Pri jej ukladaní úrad okrem iného zohľadňoval postavenie subjektu a jeho činnosť, ako aj možný dopad výšky pokuty na jeho ďalšiu existenciu.

5.2

Poriadkové

pokuty

Poriadková pokuta slúži na zabezpečenie dôstojného a nerušeného priebehu dozornej činnosti úradu. Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa najmä v prípade, ak marí výkon kontroly alebo ak nezabezpečí primerané podmienky na jej výkon. V sledovanom období uložil úrad v súvislosti s marením výkonu kontroly jednu poriadkovú pokutu v sume 1 500 Eur.

Opravné

prostriedky

Proti rozhodnutiam prvostupňového správneho orgánu úradu v konaní o ochrane osobných údajov, ako aj proti rozhodnutiam úradu o nesprístupnení informácie alebo o čiastočnom nesprístupnení informácie je možné podať riadny opravný prostriedok - rozklad. V konaní o rozklade sa subsidiárne uplatňujú ustanovenia správneho poriadku týkajúce sa opravných prostriedkov. O podaných rozkladoch rozhoduje predseda úradu na základe odporúčaní rozkladovej komisie. Podávateľ rozkladu môže v lehote určenej na podanie rozkladu, tzn. v lehote 15 dní odo dňa oznámenia rozhodnutia, rozklad rozšíriť alebo doplniť o ďalšie návrhy alebo body.

V roku 2024 bolo podaných celkovo 58 rozkladov voči prvostupňovým rozhodnutiam úradu. Zároveň bolo v tom istom období v postavení odvolacieho orgánu rozhodnuté o 14 rozkladoch.

V roku 2024 bol predložený jeden rozklad proti rozhodnutiu o nesprístupnení informácie (resp. o čiastočnom nesprístupnení informácie) v zmysle zákona č. 211/2000 Z. z. V tomto prípade bolo prvostupňové rozhodnutie úradu potvrdené.

Účastník správneho konania má možnosť podať žalobu o preskúmanie zákonnosti rozhodnutia predsedu úradu, a to v lehote dvoch mesiacov od jeho oznámenia. Vecne a miestne príslušným súdom pre tieto konania je odo dňa 01.06.2023 Správny súd v Bratislave.

Z údajov vyplývajúcich z agendy správneho súdnictva možno konštatovať, že v sledovanom období boli na Správnom súde v Bratislave podané 3 žaloby na preskúmanie zákonnosti rozhodnutí úradu. Ku všetkým žalobám vypracovali zamestnanci úradu kvalifikované podania a ďalej zastupujú úrad v týchto konaniach.

Správny súd v Bratislave rozhoduje vo veci správnej žaloby rozsudkom, proti ktorému môžu účastníci správneho súdneho konania podať kasačnú sťažnosť. Najvyšší správny súd Slovenskej republiky, ako súd kasačný, na základe podanej kasačnej sťažnosti preskúmava rozsudok, ako aj konanie správneho súdu, ktorý ho vydal. Úrad za sledované obdobie nepodal žiadnu kasačnú sťažnosť.

Mechanizmus

spolupráce

konzistentnosť

Fungovanie vnútorného trhu vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný, a to ani z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov, a to v súlade s čl. 1 ods. 3 Nariadenia. Na uvedené skutočnosti Nariadenie reaguje zavedením mechanizmov spolupráce a konzistentnosti, aby bola zaručená konzistentná a obdobne vysoká úroveň ochrany osobných údajov v každom členskom štáte bez ohľadu na miesto bydliska dotknutej osoby.

7.1

Mechanizmus

spolupráce

Nariadenie upravuje spoluprácu medzi dozornými orgánmi navzájom, či už potrebu vzájomnej spolupráce vznikne v rámci vyšetrovania konkrétneho podozrenia z porušenia ochrany osobných údajov alebo v rámci inej činnosti dozorného orgánu (napríklad riešenie právnych otázok, poskytovanie konzultácií). Vzhľadom na to, že pravidlá spolupráce sú upravené priamo Nariadením, nevyžaduje sa žiadne uzatváranie ďalších osobitných dohôd medzi členskými štátmi na tento účel.

7.1.1

Cezhraničné

spracúvanie

V súlade s čl. 55 Nariadenia každý dozorný orgán plní úlohy a vykonáva právomoci zverené Nariadením na území svojho štátu. Nariadenie však osobitne upravuje aj postup a príslušnosť v konaní pre cezhraničné spracúvanie osobných údajov. Cezhraničné spracúvanie je podľa čl. 4 bod 23 Nariadenia spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte, alebo spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte.

Nariadenie upravuje spoluprácu medzi dozornými orgánmi predovšetkým v súvislosti s mechanizmom jednotného kontaktného miesta (tzv. one-stop-shop) upraveného v čl. 56 ods. 1 Nariadenia, podľa ktorého je dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa oprávnený konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa, resp. sprostredkovateľa. Podľa čl. 56 ods. 2 Nariadenia je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením Nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte. V súlade s čl. 4 bod 22 Nariadenia ostatné dozorné orgány budú pre toto spracúvanie v pozícii dotknutých dozorných orgánov, ak prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu, alebo dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne

ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním, alebo sťažnosť sa podala na tomuto dozornému orgánu.

Určovanie vedúceho dozorného orgánu a dotknutých orgánov sa uskutočňuje v systéme IMI (Internal Market Informational System - Informačný systém o vnútornom trhu), v rámci ktorého prebieha medzi jednotlivými dozornými orgánmi výmena informácií o konkrétnom spracúvaní a konkrétnom podozrení z porušenia ochrany osobných údajov, resp. pokiaľ sa vyšetrovanie začalo na základe sťažnosti dotknutej osoby, tak aj o obsahu tejto konkrétnej sťažnosti. Výmena informácií prebieha v anglickom jazyku. V roku 2024 bolo úradu doručených v systéme IMI 608 notifikácií ohľadom určovania vedúceho a dotknutého dozorného orgánu. Na základe posúdenia každej jednej veci úrad vyhodnotil, že je dotknutým dozorným orgánom v 186 prípadoch, a to najčastejšie z dôvodov, že predmetné spracúvanie osobných údajov podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby s pobytom na území Slovenskej republiky. Najčastejšie išlo o prevádzkovateľov sociálnych sietí, prevádzkovateľov poskytujúcich online hry, prevádzkovateľov poskytujúcich ubytovacie a gastro služby, e-shopy, letecké spoločnosti, atď. V niektorých prípadoch bol úrad dotknutým dozorným orgánom aj z dôvodu, že prevádzkovateľ alebo sprostredkovateľ je usadený na území Slovenskej republiky, tzn. na území Slovenskej republiky má jednu alebo viac prevádzkarní. Pokiaľ úrad vyhodnotil, že je dotknutým dozorným orgánom, zaznamenal to v systéme IMI a prípadom sa ďalej zaoberal ako dotknutý dozorný orgán. V súlade s čl. 60 Nariadenia mal úrad podľa potreby možnosť vyjadrovať sa k žiadostiam vedúceho dozorného orgánu, k jeho postupu a k výsledkom vyšetrovania a tiež pripomienkovať návrhy rozhodnutí. Ak je úrad dotknutým dozorným orgánom z dôvodu, že mu bola doručená sťažnosť, úrad vystupuje ako kontaktný bod pre dotknutú osobu a oznamuje jej rozhodnutie vedúceho dozorného orgánu. Úrad v sledovanom období oznámil slovenským dotknutým osobám dve rozhodnutia iného dozorného orgánu, ktorý konal vo veci cezhraničného spracúvania ako vedúci dozorný orgán, pričom išlo o rozhodnutia írskeho a rakúskeho dozorného orgánu.

Úradu bolo v sledovanom období doručených celkovo 40 podaní obsahujúcich prvky cezhraničného spracúvania a 10 oznámení o porušení ochrany osobných údajov, tzv. data breach. Tieto podania boli doručené buď od zahraničných osôb, alebo smerovali voči zahraničným prevádzkovateľom. Úrad v rámci každého doručeného podania preskúmal (ide o tzv. predbežné preskúmanie sťažnosti), či predmet podania spĺňa náležitosti návrhu, resp. podnetu podľa § 100 ods. 3 Zákona a takisto či spĺňa podmienky cezhraničného spracúvania podľa čl. 4 bod 23 Nariadenia, resp. či boli splnené podmienky podľa čl. 56 ods. 2 Nariadenia. Úrad v predmetných podaniach zisťoval aj svoju vecnú pôsobnosť, pričom 10 podaní úrad postúpil na vybavenie inému príslušnému orgánu. Pokiaľ predmet podania zakladal dôvodné podozrenie z porušenia ochrany osobných údajov, úrad uvádzané tvrdenia preveroval aj v spolupráci s dozorným orgánom toho členského štátu, na území ktorého mal prevádzkovateľ hlavnú alebo jedinú prevádzkareň. V 15 prípadoch úrad doručené podania predložil do systému IMI a ďalej ich riešil v spolupráci s dozornými orgánmi, ktoré boli pre dané spracúvanie vedúcim dozorným orgánom. Úrad bol v sledovanom období označený ako vedúci dozorný orgán v 5 prípadoch, a to na základe miesta hlavného sídla prevádzkovateľa, pričom tieto sťažnosti boli úradu postúpené prostredníctvom systému IMI dotknutými dozornými orgánmi.

7.1.2

Vzájomná

pomoc

Úrad spolupracuje s inými dozornými orgánmi aj mimo mechanizmu one-stop-shop. Táto spolupráca prebieha taktiež v systéme IMI, ktorý umožňuje zasielanie konkrétnych žiadostí vybraným dozorným orgánom. Úrad však priebežne vybavuje aj e-mailové, resp. listinné žiadosti iných dozorných orgánov.

Za rok 2024 úrad v systéme IMI prijal 83 žiadostí iných dozorných orgánov o spoluprácu v zmysle čl. 61 Nariadenia. V predmetných žiadostiach dozorné orgány žiadali úrad o jeho právny názor predovšetkým ohľadom výkladu ustanovení Nariadenia. Žiadosti sa týkali výkladu konkrétnych článkov Nariadenia, praktických skúseností a aplikácie vnútroštátnych právnych predpisov, zdieľania právoplatných rozhodnutí podľa národnej právnej úpravy, monitorovania priestoru kamerami, nahrávania telefonických hovorov poisťovacími spoločnosťami, uchovávania záznamov o spracovateľských činnostiach zodpovednou osobou, a podobne. Niektoré dozorné orgány týmto spôsobom úrad informovali o doručenom oznámení porušenia ochrany osobných údajov (data breach) alebo využili tento spôsob na konzultáciu konkrétneho prípadu pred spustením one-stop-shop mechanizmu alebo cez tento článok konzultovali konkrétny prípad v rámci one-stop-shop mechanizmu (najčastejšie išlo o výmenu dokumentov a informovanie sa o stave konania).

7.1.3

Spoločné

operácie

dozorných

orgánov

V rámci mechanizmu spolupráce sa v zmysle čl. 62 Nariadenia môžu vykonať aj spoločné operácie dozorných orgánov vrátane spoločných vyšetrovaní a spoločných opatrení v oblasti presadzovania. V roku 2024 úrad neinicioval ani neprijal žiadosť o spoločné operácie dozorných orgánov.

7.2

Mechanizmus

konzistentnosti

Dôležitým atribútom Nariadenia je jeho konzistentné uplatňovanie. Aby sa dosiahol tento cieľ, Nariadenie upravuje mechanizmus konzistentnosti, ktorý možno chápať ako spoluprácu medzi dozornými orgánmi EHP, a v relevantných prípadoch aj s EK.

7.2.1

Stanovisko

EDPB

Účelom článku 64 Nariadenia je, aby EDPB vydal stanovisko v prípadoch, keď príslušný dozorný orgán plánuje prijať konkrétne opatrenia. Na tento účel by mal dozorný orgán oznámiť EDPB svoj návrh rozhodnutia. Nariadenie upravuje prípady, kedy je dozorný orgán povinný žiadať EDPB o stanovisko (čl. 64 ods. 1 Nariadenia) a kedy má možnosť o stanovisko požiadať (čl. 64 ods. 2 Nariadenia). Úrad v roku 2024 nepožiadal o stanovisko EDPB.

7.2.2

Riešenie

sporov

EDPB

Riešenie sporov EDPB umožňuje prijať záväzné rozhodnutie na zabezpečenie konzistentného uplatňovania Nariadenia v prípade relevantnej odôvodnenej námietky vznesenej dotknutým dozorným orgánom alebo zamietnutej vedúcim dozorným orgánom (čl. 60 Nariadenia), nesúhlasu s určením vedúceho dozorného orgánu (čl. 56 Nariadenia), absencie konzultácie EDPB (čl. 64 Nariadenia), a tiež v prípade, ak dozorný orgán nepostupoval podľa stanoviska EDPB (čl. 64 Nariadenia). V roku 2024 EDPB neriešil žiaden spor týkajúci sa úradu.

7.2.3

Postup

pre

naliehavé

prípady

Článok 66 Nariadenia upravuje mechanizmus postupu pre naliehavé prípady. Vo výnimočných prípadoch, keď sa dotknutý dozorný orgán domnieva, že je naliehavé chrániť práva a slobody dotknutých osôb, môže prijať dočasné opatrenia s právnymi účinkami na svojom území. Platnosť týchto opatrení nesmie časovo prekročiť tri mesiace. V tomto prípade je dotknutý dozorný orgán povinný informovať ostatné dozorné orgány, EDPB a EK.

Ak sa dozorný orgán domnieva, že je potrebné urýchlene prijať konečné opatrenia, môže požiadať EDPB o naliehavé stanovisko alebo o naliehavé záväzné rozhodnutie. Každý dozorný orgán môže od EDPB žiadať naliehavé stanovisko alebo záväzné rozhodnutie v prípadoch, keď príslušný dozorný orgán neprijal vhodné opatrenie a existuje naliehavá potreba konať. V roku 2024 úrad tento článok neuplatnil.

7.2.4

Cezhraničný

prenos

osobných

údajov

O cezhraničnom prenose osobných údajov hovoríme v prípade, ak sú osobné údaje prenášané do krajiny mimo EHP alebo do medzinárodnej organizácie. Pri cezhraničnom prenose osobných údajov je v prvom kroku potrebné skúmať, či tretia krajina alebo medzinárodná organizácia, do ktorej sa má prenos uskutočniť, zaručuje primeranú úroveň ochrany osobných údajov. O tom, či tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany, rozhoduje EK. Na prenos osobných údajov do tretích krajín (prípadne medzinárodných organizácií) zaručujúcich primeranú úroveň ochrany osobných údajov nie je nutné žiadne osobitné povolenie. Ak však neexistuje rozhodnutie o primeranosti, prenos možno uskutočniť len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

Úrad nie je potrebné žiadať o osobitné povolenie pri využití právne záväzného a vykonateľného nástroja medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi, záväzných vnútropodnikových pravidiel, štandardných doložiek o ochrane údajov, schváleného kódexu správania a schváleného certifikačného mechanizmu.

Úrad je potrebné požiadať o povolenie pri prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácie, ak sa tento prenos uskutočňuje na základe:

•zmluvných doložiek dohodnutých medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom osobných údajov v tretej krajine alebo medzinárodnej organizácii, ktoré poskytujú primerané záruky a sú právne záväzné a vymožiteľné, a na ktoré dozorný úrad vydal povolenie.

•ustanovení, ktoré sa majú vložiť do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a ktoré zahŕňajú vymožiteľné a účinné práva dotknutých osôb, a na ktoré dozorný úrad vydal povolenie.

V roku 2024 úrad o povolenie požiadaný nebol.

Oznamovanie

porušenia

ochrany

osobných

údajov

Porušenie ochrany osobných údajov znamená, že došlo k narušeniu bezpečnosti, ktoré viedlo k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému sprístupneniu alebo prístupu k osobným údajom, čo vytvára riziko pre práva a slobody jednotlivcov, pričom dôsledky môžu byť pre nich značne negatívne. Môže ísť napríklad o majetkovú alebo nemajetkovú ujmu, diskrimináciu, krádež totožnosti alebo podvod, finančnú stratu, poškodenie dobrého mena, sociálne znevýhodnenie dotknutej fyzickej osoby.

V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov úradu s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.

Základom pre každé oznámenie o porušení ochrany osobných údajov je čo najpresnejší a včasný popis incidentu, aby sa minimalizovali škody na osobných údajoch a zaručila ochrana práv jednotlivcov.

Na nahlasovanie bezpečnostných incidentov slúži elektronický formulár na portáli www.slovensko.sk s označením „Oznámenie prevádzkovateľa o porušení ochrany

osobných údajov Úradu na ochranu osobných údajov SR“.

Z praxe možno konštatovať, že pretrváva neznalosť oznamovať porušenie ochrany osobných údajov podľa čl. 33 Nariadenia, resp. podľa § 40 Zákona.

V roku 2024 bolo úradu formálne oznámených 122 porušení ochrany osobných údajov, ktoré úrad preskúmal a následne ako porušenie ochrany osobných údajov vyhodnotil 108 oznámení.

Najčastejšou príčinou porušenia ochrany osobných údajov bol kybernetický útok, najmä ransomware. Ďalšou často opakujúcou sa príčinou porušenia bolo narušenie dôvernosti osobných údajov spôsobené nedostatočným a nesprávnym anonymizovaním povinne zverejňovaných dokumentov a chybným odosielaním e-mailových správ tretím osobám, pričom vo väčšine prípadov išlo o zlyhanie ľudského faktora.

Vybrané

prípady

dozornej

činnosti

úradu

9.1

Výber

kontrol

ukončených

roku

2024

9.1.1

Schengenské

európske

informačné

systémy

Do plánu kontrol úrad pravidelne zaraďuje kontroly spracúvania osobných údajov v schengenských a európskych informačných systémoch a agentúrach, pomocou ktorých sa zabezpečuje najmä praktické vykonávanie schengenského acquis príslušnými orgánmi na území Slovenskej republiky, ako aj zastupiteľskými úradmi Slovenskej republiky v zahraničí. Kontroly spočívajú najmä v priebežnom, kontinuálnom monitorovaní činnosti orgánov štátnej správy s akcentom na bezpečné a zákonné spracúvanie osobných údajov v špecifických informačných systémoch využívaných predovšetkým na vnútornú ochranu schengenského priestoru (napríklad Schengenský informačný systém alebo Vízový informačný systém).

V roku 2024 bola protokolom o kontrole ukončená jedna kontrola začatá v roku 2023 (kontrola spracúvania osobných údajov v Schengenskom informačnom systéme). Predmetnou kontrolou bolo zistené, že kontrolovaná osoba nezabezpečila primeranú úroveň bezpečnosti spracúvania so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania zahŕňajúcu najmä proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania, čím postupovala v rozpore s čl. 32 ods. 1 písm. d) Nariadenia.

V roku 2024 bolo začatých aj päť kontrol zameraných na spracúvanie osobných údajov v Schengenskom informačnom systéme, vízovom informačnom systéme a informačnom systéme Eurodac organizačnými útvarmi Ministerstva vnútra Slovenskej republiky a Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky. Do konca roka 2024 bolo záznamom o kontrole (teda bez zistených nedostatkov) ukončených všetkých päť kontrol.

9.1.2

Chyba

prenose

dát

pri

nasadzovaní

novej

e-služby

Kontrola vykonaná na základe oznámenia bezpečnostného incidentu bola zameraná na jednu z funkcionalít systému elektronického zdravotníctva. V rámci kontrolovanej funkcionality sa vyskytol problém pri prenose údajov do informačných systémov ostatných verejných inštitúcií, ktoré sú na ďalšie spracúvanie určené osobitnými právnymi predpismi. Takzvanými „biznis kontrolami“ v jednej z prijímajúcich inštitúcií bola väčšia časť týchto chybných prenosov „zablokovaná“, čím nedošlo k chybe pri ďalšom spracúvaní. Zvyšná časť chybných dát bola v súvislosti s inými technickými podmienkami ich prenosu doručená subjektom, ktoré boli ich konečným užívateľom a chyba bola odstránená až následne. Prevádzkovateľ o možnej zmene dát pri ich prenose informoval všetky zainteresované strany už v čase incidentu. Dočasná strata schopnosti prevádzkovateľa zabezpečiť integritu, dostupnosť a odolnosť systémov spracúvania a služieb mohla mať v čase incidentu negatívne dôsledky aj pre určitý okruh dotknutých osôb

v podobe obmedzenia ich prístupu k aktuálnym údajom v aplikácii Elektronická zdravotná knižka. Kontrola bola ukončená protokolom o kontrole.

9.1.3

Spracúvanie

osobných

údajov

účastníkov

dopravných

nehôd

Kontrola vykonávaná v rámci konania o ochrane osobných údajov bola zameraná na postupy spojené s doručovaním písomností dotknutým osobám, ktoré boli účastníkmi dopravnej nehody, na adresu ich bydliska. Kontrolovaná osoba žiadala, aby ju dotknutá osoba kontaktovala v súvislosti s doriešením nárokov spôsobených dopravnou nehodou. Vykonanou kontrolou bolo zistené, že kontrolovaná osoba prehliadaním sociálnych sietí získavala informácie o aktuálnych dopravných nehodách, z príspevkov v komentároch zisťovala totožnosť pravdepodobných účastníkov dopravnej nehody a následne, ak zistila ich totožnosť, vyhľadala tieto osoby v katastri nehnuteľností z dôvodu získania ich adries. V prípade zistenia adresy kontrolovaná osoba odosielala každému pravdepodobnému účastníkovi dopravnej nehody list s rovnakým obsahom (kontrolovaná osoba ročne odoslala niekoľko stoviek listov). Kontrolovaná osoba nepreukázala, že by pri uvedenom postupe splnila aspoň jednu podmienku zákonného spracúvania osobných údajov podľa čl. 6 ods. 1 Nariadenia, čím postupovala v rozpore so zásadou zodpovednosti podľa čl. 5 ods. 2 Nariadenia. Kontrola bola ukončená protokolom o kontrole.

9.1.4

Kontrola

sprostredkovateľa

oblasti

cestnej

dopravy

Z kontrolnej činnosti úradu pri kontrolách zameraných na spracovateľské činnosti v oblasti cestnej dopravy (dopravcovia) vyplynuli nezrovnalosti súvisiace s rozsahom údajov získavaných od cestujúcich. V rámci kontroly začatej z vlastnej iniciatívy úradu bolo zistené, že jednou z činností úradom vybranej kontrolovanej osoby je poskytovanie hardvérového a softvérového vybavenia pre dopravcov. Kontrolovaná osoba, ktorá na zmluvnom základe poskytovala svoje služby viacerým dopravcom, nadobúdala postavenie sprostredkovateľa. Kontrolovaná osoba vyvinula a následne zabezpečovala správu systému a aplikácie, ktoré boli zamerané na poskytovanie elektronických služieb súvisiacich s prepravou osôb (elektronická peňaženka, virtuálna dopravná karta). V priebehu kontroly bolo zistené, že rozsah spracúvania osobných údajov cestujúcich kontrolovanou osobou v mene dopravcu určujú jednotliví dopravcovia, pričom kontrolovaná osoba preukázateľne upozornila dopravcov v postavení prevádzkovateľov, že pri spracúvaní niektorých osobných údajov cestujúcich, najmä vyhotovovaním kópií dokladov (občiansky preukaz, preukaz osoby s ťažkým zdravotným postihnutím), sú povinní preukázať nevyhnutnosť a právny základ ich spracúvania. Kontrola, ktorou nebolo zistené porušenie povinností kontrolovanej osoby, bola ukončená záznamom o kontrole.

9.1.5

Telefonické

volania

náhodne

generované

čísla

potencionálnych

klientov

zdravotnej

poisťovne

Kontrola zdravotnej poisťovne (prevádzkovateľ) bola vykonaná na základe podnetu dotknutej osoby obsahujúceho podozrenie, že zdravotná poisťovňa neoprávnene spracúva osobné údaje dotknutých osôb na marketingové účely tým, že ich telefonicky kontaktuje

s ponukou zmeny zdravotnej poisťovne. Kontrola bola zameraná na preskúmanie spracovateľských činností prevádzkovateľa spočívajúcich v získavaní telefónnych čísiel dotknutých osôb a následnými volaniami (nábor poistencov), ktoré mali byť zvukovo zaznamenávané. Kontrola postupov založených na náhodne generovaných telefónnych číslach (spôsob generovania telefónnych čísiel, rozsah osobných údajov spracúvaných prostredníctvom zvukových záznamov telefonických rozhovorov a účel ich spracúvania) zahŕňala aj prípady, kedy kontaktovaná osoba záujem o poistenie v zdravotnej poisťovni neprejavila. Výsledkom kontroly bolo zistenie, že prevádzkovateľ postupoval v rozpore so zásadou integrity a dôvernosti podľa čl. 5 ods. 1 písm. f) Nariadenia tým, že nezabezpečil dostupnosť spracúvaných osobných údajov v podobe záznamov telefonických hovorov po dobu, ktorú si sám stanovil, ako aj v rozpore so zásadou transparentnosti podľa čl. 5 ods. 1 písm. a) Nariadenia tým, že dotknuté osoby informoval o uchovávaní záznamov telefonických hovorov po dobu 5 rokov, reálne však nezabezpečil uchovávanie osobných údajov spracúvaných svojimi sprostredkovateľmi počas celej deklarovanej doby uchovávania. Kontrola bola ukončená protokolom o kontrole.

9.1.6

Spracúvanie

osobných

údajov

kamerovým

systémom

rodinnom

dome

fyzickej

osoby

Kontrola bola zameraná na spracúvanie osobných údajov prostredníctvom kamier nainštalovaných na rodinnom dome kontrolovanej osoby. Podľa tvrdení uvedených v návrhu dotknutej osoby mala kontrolovaná osoba monitorovať vstup do obydlia (nehnuteľnosti) svojho suseda. Kontrolou bolo zistené, že kontrolovaná osoba monitorovala časť cestnej komunikácie ako aj priľahlý pozemok vo vlastníctve kontrolovanej osoby, ktorý nebol oplotený. Verejnú cestnú komunikáciu a neoplotený pozemok kontrolovanej osoby je možné považovať za priestor prístupný verejnosti. Nakoľko kontrolovaná osoba kamerovým systémom nesnímala výlučne svoj súkromný ohraničený pozemok, nebolo možné toto spracúvanie považovať za spracúvanie osobných údajov fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti. Kontrolovaná osoba v čase výkonu kontroly nevedela kontrolnému orgánu preukázať zákonnosť spracúvania osobných údajov podľa čl. 6 ods. 1 Nariadenia, čo kontrolný orgán vyhodnotil ako porušenie zásady zákonnosti podľa čl. 5 ods. 1 písm. a), a súčasne ako porušenie zásady minimalizácie údajov v zmysle čl. 5 ods. 1 písm. c) vyhodnotil monitorovanie neprimerane veľkej časti cestnej komunikácie. Kontrolný orgán na mieste overil aj dodržiavanie ďalších zásad spracúvania osobných údajov, ktorých porušenie následne konštatoval v protokole o kontrole. K monitorovaniu nehnuteľností patriacich susedovi, ktorý podal návrh na začatie konania o ochrane osobných údajov, v čase výkonu kontroly nedochádzalo.

9.1.7

Spracúvanie

osobných

údajov

kamerovým

systémom

obce

Kontrola kamerového systému obce vykonaná v rámci konania o ochrane údajov bola zameraná na povinnosti kontrolovanej osoby pri monitorovaní priestorov prístupných verejnosti. Kamerový systém obce pozostával z viacerých kamier. Kontrolný orgán nezistil rozpor v súvislosti s plnením podmienok zákonného spracúvania podľa čl. 6 ods. 1 Nariadenia, ani v súvislosti so zásadou minimalizácie uchovávania osobných údajov získaných kamerovým systémom obce podľa čl. 5 ods. 1 písm. e). Rovnako vo vzťahu k informáciám poskytovaným dotknutým osobám pri získavaní ich osobných údajov bol kontrolným orgánom konštatovaný súlad s požiadavkami

čl. 13 Nariadenia. Výkonom kontroly však bolo zistené, že kontrolovaná osoba pri spracúvaní osobných údajov dotknutých osôb na účel zaistenia verejného poriadku a bezpečnosti v obci postupovala pri snímaní verejného priestoru niektorými z kamier v rozpore so zásadou minimalizácie údajov podľa čl. 5 ods. 1 písm. c) Nariadenia. Zistený nedostatok bol následne premietnutý do protokolu o kontrole.

9.1.8

Kamerový

systém

domove

sociálnych

služieb

Kontrola bola vykonaná na základe podnetu štátnej inštitúcie, ktorá v domove sociálnych služieb (DSS) prešetrovala sťažnosť. Z obsahu podnetu vyplývalo, že niektoré priestory DSS sú monitorované v takom rozsahu, že vo vzťahu k niektorým klientom DSS dochádza k zásahu do ich súkromia (čiastočné monitorovanie izieb). Zároveň boli niektoré kamerové záznamy dokumentujúce priebeh inšpekcie zameranej na činnosť DSS použité ako podklad pre televíznu reportáž odvysielanú v komerčnej televízii. V rámci nadväznej kontroly sa úrad zameral na podmienky prevádzkovania kamerového systému a poskytnutie kamerových záznamov tretej strane na účel ich zverejnenia. Kontrolou bolo zistené, že pomerne rozsiahly kamerový systém sníma pozemok, na ktorom sa domov sociálnych služieb nachádza, ako aj interiér tohto zariadenia, v ktorom sú kamerami monitorované chodby, jedáleň a spoločenská miestnosť, kde klienti zariadenia trávia voľný čas pod dohľadom odborného personálu. V prípade niektorých kamier umiestnených na chodbách bolo zistené, že sú nastavené nevyvážene (s nedostatočným rešpektom voči súkromiu klientov), pretože v prípade otvorenia dverí do izby boli spôsobilé zasahovať do osobnej sféry klientov užívajúcich predmetnú izbu. Ako nedostatočne odôvodnené bolo vyhodnotené aj monitorovanie jedálne a spoločenskej miestnosti. K využitiu kamerového systému špecializovaným zariadením poskytujúcim aj zdravotnú starostlivosť podľa osobitných predpisov je potrebné uviesť, že ide o špecifické prípady, kedy tieto zariadenia poskytujú starostlivosť klientom vo vážnom zdravotnom stave, a teda aj nastavenie rozsahu monitorovaného priestoru je veľmi citlivou otázkou, ktorá má svoj etický rozmer. Vo vzťahu k poskytnutiu vybraných kamerových záznamov komerčnej televízii na účely televíznej reportáže, na ktorých boli zábery z priebehu inšpekcie zameranej na poskytovanie sociálnych služieb kontrolný orgán konštatoval porušenie čl. 6 ods. 4, nakoľko účel, na ktorý bol kamerový systém v DSS prevádzkovaný, je nezlučiteľný s poskytnutím kamerových záznamov do médií, a zároveň konštatoval porušenie zásady obmedzenia účelu podľa čl. 5 ods. 1 písm. b) Nariadenia.

9.2

Výber

konaní

ochrane

osobných

údajov

9.2.1

Zasielanie

listových

zásielok

druhou

triedou

Úrad v roku 2024 viedol konanie o ochrane osobných údajov na základe návrhu, v ktorom navrhovateľka namietala, že prevádzkovateľ sprístupnil jej osobné údaje v rozsahu meno, priezvisko, adresa trvalého pobytu, rodné číslo, názov a adresa zamestnávateľa a finančná odmena inej osobe bez jej vedomia a súhlasu, nakoľko jej adresovaná zásielka nebola zaslaná doporučene a bola pravdepodobne prevzatá inou osobou. Úrad mal z dôkazov obsiahnutých v spisovom materiáli za preukázané, že v predmetnom prípade došlo k strate listovej zásielky. Úrad v predmetnom prípade konštatoval, že prevádzkovateľ mal pri doručovaní listovej zásielky

využiť možnosť zasielania listových zásielok ako doporučenej zásielky, pretože táto umožňuje prevádzkovateľovi vyššiu mieru kontroly nad zasielanými (osobnými) údajmi a poskytuje záruku proti riziku jej straty, krádeže alebo poškodenia a oproti listovej zásielke 2. triedy zvyšuje mieru bezpečnosti zasielaných údajov. Aplikujúc ustanovenia čl. 32 Nariadenia na tento konkrétny prípad, prevádzkovateľ v zmysle Nariadenia zodpovedá za spracúvanie osobných údajov a je výlučne zodpovedný za súlad s požiadavkami Nariadenia, teda aj za uskutočnenie spracovateľskej operácie spôsobom, ktorý zohľadňuje riziká pre práva dotknutých osôb najmä vzhľadom na rozsah a obsah osobných údajov a spôsob ich spracovania, s cieľom zaistiť primeranú bezpečnosť spracovaných osobných údajov v súlade s čl. 24 ods. 1, čo pri prenose poštovou prepravou zahŕňa aj zohľadnenie miery, v akej jednotlivé druhy poštových služieb ponúkaných poštovým podnikom znižujú riziko porušenia ochrany osobných údajov v súvislosti s ich doručovaním. Úrad v danom prípade konštatoval, že zo strany prevádzkovateľa došlo k porušeniu zásady integrity a dôvernosti, za čo prevádzkovateľovi uložil opatrenia na nápravu a pokutu.

9.2.2

Vopred

začiarknutý

súhlas

zasielaním

marketingových

ponúk

Úrad v sledovanom období viedol na základe podnetu konanie o ochrane osobných údajov vo veci predvoleného („zakliknutého“) súhlasu s doručovaním akciových ponúk (predvolené políčko znelo, cit.: ,,Chcem pravidelne dostávať zľavové akčné ponuky“). Prevádzkovateľ sporné políčko označil za „ab initio“ plne editovateľné, tzn. registrujúci subjekt má vždy možnosť (aj opakovane) zakliknutie sám bez vplyvu prevádzkovateľa nastaviť aj odstrániť, a to vždy pred tým, než dokončí proces registrácie. Prevádzkovateľ ďalej uviedol, že nijako neobmedzuje registrovaných zákazníkov v kontrole nad tým, či majú záujem o zľavové akciové ponuky, pričom svoj názor môžu kedykoľvek zmeniť (voľbu môže zákazník sám manažovať vo svojom profile po prihlásení do zákazníckeho účtu). Súhlas (ako právny základ spracúvania osobných údajov) je nástrojom umožňujúcim dotknutým osobám kontrolu nad tým, či sa osobné údaje, ktoré sa ich týkajú, budú spracúvať, alebo nie. V opačnom prípade sa kontrola zo strany dotknutých osôb stáva iluzórnou a súhlas nebude platným právnym základom pre spracúvanie údajov. Za platne udelený súhlas možno považovať len taký súhlas, ktorý spĺňa podmienky stanovené v Nariadení. Súhlas dotknutej osoby je teda akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú. Nariadenie prevádzkovateľom neumožňuje ponúkať vopred označené políčka (pre-ticked boxes) alebo spôsoby voľby, ktoré si vyžadujú zásah dotknutej osoby, aby zabránila poskytnutiu súhlasu (opt-out boxes). Znamená to, že vopred predvolené políčko nie je platným spôsobom získania súhlasu od dotknutej osoby aj napriek tomu, že políčko je zaškrtnuté iba predvolene a dotknutá osoba ho môže zrušiť. Úrad na základe zhromaždených podkladov konštatoval porušenie zákonnosti a prevádzkovateľovi uložil pokutu.

9.2.3

Nevybavená

žiadosť

prístup

údajom

Úrad v sledovanom období viedol konanie o ochrane osobných údajov na základe návrhu, v ktorom navrhovateľ uviedol, že jeho žiadosť o prístup k osobným údajom (žiadosť o výpis

zo zdravotnej dokumentácie pre potreby vydania psychologického posudku) prevádzkovateľ nevybavil v lehote jedného mesiaca od jej doručenia (lehotu zároveň nepredĺžil). Navrhovateľ uviedol, že z dôvodu neposkytnutia kópie osobných údajov v požadovanom rozsahu mu vznikla finančná škoda súvisiaca s úhradou vyšetrenia psychickej spôsobilosti na nosenie a držanie zbraní a streliva, nakoľko psychologický posudok na daný účel pre chýbajúci výpis zo zdravotnej dokumentácie nedostal. Navrhovateľ žiadal o výpis zo zdravotnej dokumentácie dvakrát, prvý raz v zmysle vyhlášky Ministerstva zdravotníctva Slovenskej republiky č. 229/2011 Z. z. z 12. júla 2011 o postupe pri posudzovaní zdravotnej spôsobilosti a psychickej spôsobilosti na držanie alebo nosenie strelných zbraní a streliva a o náležitostiach lekárskeho posudku a psychologického posudku. Po tom, ako výpis zo zdravotnej dokumentácie u svojho poskytovateľa zdravotnej starostlivosti nedostal, uhradil poplatok za vyšetrenia psychickej spôsobilosti na nosenie a držanie zbraní a streliva. V snahe dostať sa k potrebnému výpisu zo zdravotnej dokumentácie si uplatnil žiadosť o prístup k osobným údajom podľa čl. 15 Nariadenia. Úrad konštatoval porušenia čl. 12 ods. 3 Nariadenia v nadväznosti na čl. 15 ods. 1 a čl. 15 ods. 3, ktorého sa prevádzkovateľ dopustil tým, že žiadosť navrhovateľa o prístup k osobným údajom uplatnenú u prevádzkovateľa prostredníctvom poštovej zásielky, ktorou navrhovateľ prevádzkovateľa žiadal o výpis zo zdravotnej dokumentácie pre potreby vydania psychologického posudku, nevybavil v lehote jedného mesiaca od jej doručenia podľa čl. 12 ods. 3, ani nepredĺžil túto lehotu, čím porušil právo navrhovateľa na prístup k osobným údajom. Na základe zistených porušení úrad uložil prevádzkovateľovi opatrenie na nápravu a pokutu.

9.2.4

Zverejňovanie

bez

právneho

základu;

neprijatie

primeraných

bezpečnostných

opatrení

Úrad v sledovanom období viedol viacero konaní voči subjektom, ktoré sú v zmysle zákona č. 211/2000 Z. z. povinné posielať dokumenty na zverejnenie v centrálnom registri zmlúv, nakoľko tieto subjekty nesplnili povinnosť anonymizácie osobných údajov, prípadne anonymizáciu osobných údajov nevykonali dôsledne, čím zverejnili osobné údaje dotknutých osôb (napríklad skopírovaním textu z pdf formátu, v ktorom boli zmluvy zverejnené, do textu vo formáte podporovaného programom Microsoft Word, sa osobné údaje stali čitateľné). V súvislosti s danými zisteniami úrad konštatoval porušenie zásady zákonnosti (žiadna anonymizácia) alebo porušenie čl. 32 Nariadenia (neprijatie primeraných technických opatrení zaručujúcich trvalú dôvernosť osobných údajov dotknutých osôb).

9.2.5

Zamietnutie

výmazu

post-adopčných

správ

Úradu bol prostredníctvom interného systému IMI doručený podnet podávateľa z holandského dozorného orgánu voči prevádzkovateľovi z dôvodu podozrenia porušenia čl. 17 Nariadenia pre zamietnutie výmazu tzv. pravidelných post-adopčných správ o jeho adoptívnych deťoch. Deti boli adoptované zo Slovenska rodinou žijúcou v Holandsku. Po adopcii boli od adoptívnych rodičov vyžadované od holandskej organizácie pravidelné post-adopčné správy, na základe ktorých mali adoptívni rodičia poskytnúť osobné údaje svojich detí, čo rodičia považovali za porušenie Nariadenia.

Nakoľko v danom prípade išlo o medzištátnu adopciu, do adopčného procesu mali byť zapojené aj slovenské štátne orgány. Uvedené podanie smerovalo voči prevádzkovateľovi, ktorý mal podľa názoru podávateľa neoprávnene odmietnuť, resp. neuskutočniť výmaz post-adopčných správ o týchto deťoch.

Úrad na základe podkladov v spise ako aj na základe vyjadrení prevádzkovateľa konštatoval, že spracúvanie osobných údajov, na ktoré si podávateľ uplatňoval právo na výmaz údajov o maloletom dieťati v rozsahu meno, priezvisko, rok narodenia, rodné číslo, telefónne číslo a adresa, podliehalo zákonnej povinnosti prevádzkovateľa spracúvať tieto osobné údaje podľa osobitného právneho predpisu (zákon č. 305/2005 Z. z. o sociálnoprávnej ochrane detí a o sociálnej kuratele a o zmene a doplnení niektorých zákonov v znení neskorších predpisov), a teda v danom prípade bola prevádzkovateľom splnená podmienka na uplatnenie výnimky z práva na výmaz osobných údajov dotknutých osôb. Čo sa týka spracúvania post-adopčných správ, úrad v rozhodnutí konštatoval, že prevádzkovateľ disponoval právnym základom pre spracúvanie týchto post-adopčných správ podľa čl. 6 ods. 1 písm. c) Nariadenia. Spracúvanie osobných údajov v podobe post-adopčných správ bolo nevyhnutné na plnenie zákonnej povinnosti, ktorá prevádzkovateľovi vyplývala z ustanovení vyššie uvedeného zákona, ktoré stanovujú povinnosť pre prevádzkovateľa spracúvať v spisovej dokumentácii došlé záznamy o deťoch a rodičoch, resp. o osobách, ktoré sa o deti starajú a ktoré majú s deťmi blízky vzťah spolu s výpočtom takýchto záznamov. Vzhľadom na vyššie uvedené, nakoľko úrad v konaní o ochrane osobných údajov nezistil zo strany prevádzkovateľa porušenie Nariadenia, konanie zastavil.

10.

Samostatné

odborné

činnosti

úradu

10.1

Legislatívna

činnosť

úradu

Úrad plní svoju úlohu v oblasti dozoru nad spracúvaním osobných údajov aj tým, že sa vyjadruje k návrhom zákonov, návrhom iných všeobecne záväzných právnych predpisov, ako aj k nelegislatívnym materiálom. Svoje vyjadrenia k návrhom formuluje prostredníctvom portálu Slov-Lex v rámci MPK. Cieľom uplatňovaných pripomienok zo strany úradu je skvalitnenie právnych predpisov upravujúcich spracúvanie osobných údajov, keďže je potrebné dosiahnuť to, aby prijatá legislatíva a akty nelegislatívnej povahy rešpektovali európske štandardy, a tiež, aby bola prijatá právna úprava vo vzťahu k adresátom presná a jednoznačná. Úrad pri tejto činnosti dbá na to, aby prevádzkovatelia mali jasne určené svoje zodpovednosti, stanovené pravidlá pre spracúvanie osobných údajov, a zároveň aby táto právna úprava bola transparentná voči dotknutým osobám, ktorých údaje sú predmetom spracúvania.

V roku 2024 úrad uplatnil pripomienky k 49 materiálom, ktoré boli predložené do MPK (bez ohľadu na to, či šlo o materiál legislatívnej alebo nelegislatívnej povahy). Spolu úrad uplatnil 110 pripomienok, pričom 83 z nich bolo zásadných.

Aj počas roka 2024 úrad zaznamenal snahu niektorých rezortov o väčší dôraz na správnu úpravu spracúvania osobných údajov. Úrad oceňuje spoluprácu predkladateľov, ktorí sa pred predložením legislatívneho materiálu obrátili so žiadosťou o spoluprácu priamo na úrad. Týmto postupom sa pre úrad znižuje administratívna záťaž pri sledovaní a pripomienkovaní legislatívnych a nelegislatívnych materiálov, ktoré sú predkladané do MPK. Zároveň sa týmto postupom zvyšuje pružnosť a efektívnosť celého procesu v rámci dohľadu nad ochranou osobných údajov.

V súvislosti s plnením úloh na úseku legislatívy, úrad v sledovanom období zaregistroval, že predkladané materiály často nemajú dostatočnú kvalitu legislatívneho opatrenia tak, aby spĺňalo náležitosti, ktoré predpokladá všeobecná úprava v Nariadení. Podstatnou úlohou úradu v tejto oblasti je zabezpečiť, aby bola právna úprava pre svojich adresátov čo najtransparentnejšia a najjasnejšia. Legislatívne opatrenie upravujúce ochranu osobných údajov musí byť nielen jasné a presné, ale najmä predvídateľné.

Počas roku 2024 úrad aktívne uplatňoval svoje pripomienky k návrhom legislatívnych predpisov, ktoré mali vplyv na spracúvanie osobných údajov. Pri tomto procese identifikoval niekoľko opakujúcich sa zásadných nedostatkov, ktoré sťažujú zabezpečenie súladu s platnými predpismi a účinnú ochranu práv dotknutých osôb, a to:

●Nedostatočná formulácia účelu: Jedným z najčastejších problémov bola nedostatočná alebo nepresná formulácia účelu spracúvania osobných údajov. Účel bol často definovaný príliš všeobecne, alebo dokonca v návrhoch úplne chýbal, čo sťažuje posúdenie nevyhnutnosti a primeranosti navrhovaného spracúvania vzhľadom na zásady minimalizácie údajov a obmedzenia účelu.

●Nejasný rozsah údajov a príjemcovia: Ďalším závažným nedostatkom bola absencia jasnej špecifikácie rozsahu osobných údajov, ktoré mali byť sprístupnené, zverejnené alebo inak spracúvané, ako aj chýbajúca presná identifikácia príjemcov týchto údajov. V prípadoch sprístupňovania údajov z informačných systémov orgánov verejnej správy boli príjemcovia často definovaní len všeobecným odkazom na bližšie nešpecifikovaný "osobitný predpis". Táto nejasnosť obmedzuje transparentnosť spracúvania a možnosť dotknutých osôb uplatniť svoje práva.

●Zavádzanie nových technológií: Úrad taktiež upozorňoval na výrazné nedostatky pri zavádzaní nových technológií (napríklad bezpilotné lietadlá, systémy profilovania, pokročilé kamerové systémy) do praxe prostredníctvom legislatívy, pričom v mnohých prípadoch absentovala predchádzajúca odborná diskusia s úradom.

●Chýbajúce odkazy na osobitné zákony: Napokon úrad naďalej eviduje, že pri tvorbe právnych predpisov, ktoré sa dotýkajú ochrany osobných údajov, chýbajú riadne odkazy na existujúce osobitné zákony, ktoré by mali detailnejšie spresňovať a dopĺňať účel spracúvania uvedený v predkladaných materiáloch. To vytvára právnu neistotu, nekonzistentnosť v právnom poriadku a sťažuje aplikačnú prax.

Princípy a požiadavky, na ktoré úrad upozorňuje v rámci legislatívneho procesu, boli zdôraznené aj Ústavným súdom Slovenskej republiky v náleze sp. zn. PL. ÚS 25/2019. Toto rozhodnutie má zásadný význam pre výklad a aplikáciu práva na ochranu osobných údajov v slovenskom právnom poriadku. Ústavný súd Slovenskej republiky explicitne konštatoval, že zákon musí vždy jasne definovať a odôvodniť konkrétny legitímny účel získavania osobných údajov predtým, ako sa k nemu pristúpi. Zistenia Ústavného súdu Slovenskej republiky tak poskytujú silnú oporu pre požiadavky úradu na precíznosť, predvídateľnosť a garancie ochrany práv dotknutých osôb v navrhovanej legislatíve. Ochrana osobných údajov je prierezovou reguláciou, ktorá zasahuje do takmer každej spoločenskej oblasti. Legislatívne opatrenia, ktorými sa obmedzujú práva a slobody dotknutých osôb, by mali byť preto čitateľné nielen pre jeho tvorcu, ale aj pre samotných adresátov, ktorými sú fyzické osoby.

Úrad v sledovanom období uplatnil pripomienky aj k niekoľkým materiálom nelegislatívnej povahy (napríklad koncepcia, akčný plán, stratégia). Uplatnenými pripomienkami úrad upozorňoval na konkrétne situácie spojené so spracúvaním osobných údajov, ktoré sú pri implementovaní cieľov materiálov do praxe rizikové.

Vo všeobecnosti však úrad hodnotí súčinnosť a snahu jednotlivých rezortov o zapracovanie uplatnených pripomienok úradu za pozitívnu.

V roku 2024 došlo k dôležitému posilneniu pozície úradu v rámci tvorby právnych predpisov. Úradu, po otvorení komunikácie s príslušnými rezortmi z vlastnej iniciatívy, bola v druhom polroku 2024 opätovne sprístupnená a plne obnovená kľúčová funkcionalita na uplatňovanie zásadných pripomienok k návrhom právnych predpisov priamo prostredníctvom systému Slov-lex, oficiálneho informačného nástroja pre tvorbu, pripomienkovanie a zverejňovanie legislatívy v Slovenskej republike. Obnovením prístupu a možnosti plnohodnotne využívať systém Slov-lex na podávanie pripomienok bolo formálne potvrdené a zdôraznené postavenie úradu ako povinne pripomienkujúceho subjektu v legislatívnom procese.

10.2

Sťažnosti

Úrad ako orgán verejnej správy plnil aj povinnosti vyplývajúce zo zákona č. 9/2010 Z. z.

Za rok 2024 úrad prijal 24 podaní, ktoré posudzoval podľa zákona č. 9/2010 Z. z. V obsahu sťažností prevažovali otázky smerujúce k stavu či výsledku správneho konania a stavu vybavenia podnetov na výkon kontroly.

V 6 prípadoch boli sťažnosti vyhodnotené ako neopodstatnené, v 5 prípadoch boli sťažnosti vyhodnotené ako opodstatnené, v 1 prípade bola sťažnosť vyhodnotená ako sčasti opodstatnená. V 4 prípadoch boli podania postúpené vecne príslušným orgánom v zmysle § 12 zákona č. 9/2010 Z. z.

V ostatných prípadoch podania, ktoré nespĺňali formálne alebo obsahové náležitosti stanovené zákonom, boli odložené v súlade s § 6 zákona č. 9/2010 Z. z. Podania, ktoré neboli vyhodnotené ako sťažnosti v zmysle zákona, boli rovnako odložené.

10.3

Zodpovedné

osoby

Zodpovedné osoby pôsobia ako základný kontaktný bod medzi prevádzkovateľom, dotknutými osobami a úradom. Postavenie a úlohy zodpovedných osôb definuje Nariadenie aj Zákon. Ich úlohou je dohliadať na súlad činností prevádzkovateľa aj sprostredkovateľa s legislatívou, poskytovať odborné poradenstvo (vrátane posúdení vplyvu), zabezpečovať školenia zamestnancov v oblasti ochrany osobných údajov, spolupracovať s úradom. Činnosť zodpovedných osôb prispieva k posilňovaniu dôvery verejnosti v spracúvanie osobných údajov a minimalizujú riziká prípadných porušení práv dotknutých osôb.

Na základe oznámení doručených úradu v súlade s čl. 37 Nariadenia ako aj § 44 Zákona úrad evidoval v roku 2024 celkovo 634 nových oznámení o určení zodpovednej osoby.

11.

Európska

medzinárodná

spolupráca

oblasti

ochrany

osobných

údajov

11.1

Vývoj

európskej

legislatívy

oblasti

ochrany

osobných

údajov

digitálnych

technológií

Európska legislatíva v oblasti digitálnych technológií a ochrany údajov prechádza dynamickým vývojom. V reakcii na rýchly technologický pokrok a potrebu jednotného digitálneho trhu prijíma Európska únia nové kľúčové právne predpisy, ktoré formujú budúcnosť umelej inteligencie, digitálnej identity, prístupu k údajom a efektívneho presadzovania ochrany súkromia. Tieto nové regulácie nielenže prinášajú harmonizované pravidlá naprieč členskými štátmi, ale zároveň kladú dôraz na ochranu základných práv a slobôd občanov, pričom Nariadenie zostáva základným právnym pilierom ochrany osobných údajov. Pre úrad tento vývoj znamená neustálu potrebu monitorovania, adaptácie a prípravy na implementáciu a dohľad nad novými povinnosťami. Nasledujúci prehľad predstavuje najvýznamnejšie legislatívne akty z posledného obdobia, ktoré majú priamy dopad na oblasť ochrany osobných údajov a činnosť úradu.

11.1.1

Akt

umelej

inteligencii

Dynamický rozvoj a široké zavádzanie systémov umelej inteligencie (AI), vrátane nástrojov generatívnej AI, predstavujú významnú výzvu aj pre oblasť ochrany osobných údajov a základných práv. Európska únia na tento vývoj reagovala prijatím Nariadenia Európskeho parlamentu a Rady (EÚ) 2024/1689, ktorým sa stanovujú harmonizované pravidlá pre umelú inteligenciu (Akt o umelej inteligencii). Toto nariadenie nadobudlo platnosť 12. júla 2024 a účinné bude postupne, od 2. augusta 2025 a 2. augusta 2026.

Účelom Aktu o umelej inteligencii je nielen zlepšiť fungovanie vnútorného trhu a podporiť inovácie v oblasti dôveryhodnej AI, ale zároveň zabezpečiť vysokú úroveň ochrany základných práv zakotvených v Charte základných práv EÚ, vrátane ochrany pred škodlivými účinkami systémov AI. Pre Slovenskú republiku to znamená potrebu adaptácie národného právneho poriadku. Táto adaptácia bude zahŕňať okrem iného určenie príslušných národných orgánov, ktoré budú zodpovedné za dohľad nad trhom a za implementáciu a presadzovanie pravidiel stanovených Aktom o umelej inteligencii.

11.1.2

Európsky

rámec

digitálnej

identity

ochrana

osobných

údajov

V kontexte digitálnej transformácie a s cieľom zjednodušiť a zabezpečiť online interakcie občanov a podnikov v celej Európskej únii bol prijatý ďalší dôležitý právny predpis – Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1183 z 11. apríla 2024, ktorým sa mení nariadenie (EÚ) č. 910/2014 a zriaďuje sa európsky rámec digitálnej identity.

Pre oblasť ochrany osobných údajov je kľúčové, že toto nariadenie explicitne potvrdzuje a vyžaduje plný súlad všetkých činností spracúvania osobných údajov vykonávaných v rámci tohto

európskeho rámca digitálnej identity s platnou legislatívou Európskej únie v oblasti ochrany údajov. To znamená, že pri vývoji, implementácii a používaní riešení digitálnej identity sa musia v plnej miere dodržiavať ustanovenia Nariadenia a v relevantných prípadoch aj smernice ePrivacy (Smernica 2002/58/ES), ktorá sa týka súkromia v sektore elektronických komunikácií.

Rámec interoperability a samotné technické a procesné riešenia pre európsku digitálnu identitu musia byť navrhnuté a prevádzkované v súlade so základnými zásadami ochrany údajov stanovenými v práve EÚ. Medzi tie najdôležitejšie v tomto kontexte patrí zásada minimalizácie údajov, ktorá zabezpečuje, že sa spracúvajú len údaje nevyhnutné na daný účel, a zásada obmedzenia účelu, ktorá striktne vymedzuje, na aké konkrétne a legitímne účely sa môžu údaje použiť. Okrem toho sa kladie veľký dôraz na povinnosti ako špecificky navrhnutá ochrana údajov (data protection by design) a štandardná ochrana údajov (data protection by default), ktoré zabezpečujú integráciu ochrany súkromia a údajov priamo do návrhu systémov a ich predvolených nastavení.

Európsky rámec digitálnej identity tak zásadne dbá o dosiahnutie súladu s požiadavkami na ochranu osobných údajov tak, aby vytvoril dôveru u používateľov v nové digitálne identity a služby s nimi spojené.

11.1.3

Nariadenie

údajoch

(Data

Act)

–

prístup

dátam

ochrana

osobných

údajov

Nariadenie (EÚ) 2023/2854 o harmonizovaných pravidlách týkajúcich sa spravodlivého prístupu k údajom a ich používania, známe ako Akt o údajoch (Data Act) stanovuje harmonizované pravidlá pre celú EÚ upravujúce kto a za akých podmienok môže pristupovať k údajom generovaným pri používaní pripojených produktov (ako sú inteligentné domáce spotrebiče, priemyselné stroje, autá – tzv. Internet vecí alebo IoT) a súvisiacich služieb a ako tieto údaje môže využívať. Jeho cieľom je zabezpečiť spravodlivosť v dátovej ekonomike a umožniť získať používateľom hodnotu z dát, ktoré vygenerujú.

Ak dáta spadajúce pod pôsobnosť Aktu o údajoch obsahujú osobné údaje, ich spracúvanie musí plne rešpektovať všetky požiadavky Nariadenia. Akt o údajoch teda vytvára širší rámec pre prístup k dátam, ale pravidlá pre spracúvanie osobných údajov určuje naďalej Nariadenie.

Nariadenie nadobudlo účinnosť 11. januára 2024 a uplatňovať sa začne od 12. septembra 2025.

11.1.4

Návrh

nového

procesného

nariadenia

EÚ

Paralelne s vnútroštátnou adaptáciou prebieha aj diskusia na európskej úrovni o ďalšom harmonizovaní procesných pravidiel týkajúcich sa presadzovania Nariadenia, najmä v cezhraničných prípadoch. Európska komisia predložila 4. júla 2023 návrh nového nariadenia, ktorého cieľom je zlepšiť spoluprácu medzi dozornými orgánmi a zvýšiť efektivitu riešenia cezhraničných prípadov. Návrh tohto nariadenia prechádza legislatívnym procesom v orgánoch EÚ, pričom rokovania (tzv. trialógy) medzi Európskym parlamentom, Radou EÚ a Komisiou

pokračovali aj v priebehu roka 2024, pričom k jeho finalizácii by malo dôjsť v roku 2025. Národné dozorné orgány, vrátane úradu, sa na tomto procese podieľajú nepriamo prostredníctvom účasti v expertných skupinách, prispievaním k stanoviskám EDPB a vzhľadom na obdobnú úpravu správneho konania medzi slovenským a českým právnym poriadkom aj úzkou spoluprácou s českým úradom na ochranu osobných údajov.

V súvislosti s návrhom tohto procesného nariadenia boli zo strany dozorných orgánov vyjadrené obavy týkajúce sa napríklad potenciálneho zvýšenia administratívnej záťaže, vplyvu na vnútroštátne konania a interpretácie procesných práv sťažovateľov a iných účastníkov konania.

Očakáva sa, že konečné znenie nariadenia bude prijaté v priebehu roka 2025, čo následne môže vyvolať potrebu ďalších úprav aj v slovenskej vnútroštátnej procesnej legislatíve.

11.2

Európsky

výbor

pre

ochranu

údajov

(EDPB)

EDPB je nezávislý orgán Európskej únie s právnou subjektivitou, ktorý zohráva kľúčovú úlohu pri zabezpečovaní konzistentného uplatňovania právnych predpisov EÚ v oblasti ochrany údajov vo všetkých krajinách EHP. Jeho primárnym cieľom je zabezpečiť jednotné uplatňovanie najmä Nariadenia a Smernice 2016/680 a podporovať spoluprácu medzi vnútroštátnymi dozornými orgánmi pre ochranu údajov (DPA).

Medzi hlavné funkcie EDPB patrí vydávanie všeobecných usmernení (vrátane usmernení, odporúčaní a najlepších postupov) na objasnenie právnych predpisov a prijímanie záväzných rozhodnutí v cezhraničných prípadoch s cieľom zabezpečiť konzistentný výklad Nariadenia, poskytovanie poradenstva EK v otázkach ochrany údajov a navrhovanej legislatívy EÚ a podpory spolupráce a výmeny informácií medzi dozornými orgánmi.

EDPB tvoria vedúci predstavitelia vnútroštátnych dozorných orgánov a Európsky dozorný úradník pre ochranu údajov (EDPS), pričom jeho činnosť podporuje sekretariát poskytovaný EDPS.

Aktivity EDPB v roku 2024

V roku 2024 EDPB naďalej aktívne pracoval na usmerneniach a stanoviskách k európskym predpisom o ochrane údajov s cieľom zabezpečiť ich jednotný výklad a aplikáciu. Finalizoval dve kľúčové usmernenia po verejnej konzultácii:

●Usmernenie 01/2023 k článku 37 Smernice 2016/680: Prijaté v júni 2024. Tieto usmernenia sa týkajú cezhraničných prenosov údajov orgánmi presadzovania práva členských štátov EÚ. Vysvetľujú relevantné faktory pri posudzovaní, či sú zavedené záruky pre takéto prenosy „primerané“, identifikujú prvky, ktoré by mali byť riešené v právne záväzných nástrojoch prenosu, a poskytujú faktory pre posúdenie okolností prenosu kompetentnými orgánmi.

●Usmernenie 2/2023 o technickom rozsahu pôsobnosti článku 5 ods. 3 Smernice o súkromí

a elektronických komunikáciách: Prijaté v októbri 2024. Toto usmernenie objasňuje rozsah pôsobnosti pravidla týkajúceho sa súhlasu s ukladaním alebo prístupom k informáciám na koncových zariadeniach používateľov. Cieľom je pokryť aj moderné technológie sledovania, ako sú URL a pixel tracking, lokálne spracúvanie, sledovanie len na základe IP adresy, či techniky využívané v kontexte Internetu vecí (IoT). Usmernenie analyzuje kľúčové pojmy ako „koncové zariadenie“, „informácia“, „získanie prístupu“ či „uchovávanie“.

Okrem toho EDPB prijal a zverejnil na verejnú konzultáciu dva dôležité návrhy usmernení (očakávané finálne verzie v roku 2025):

●Usmernenie 1/2024 o spracúvaní osobných údajov na základe článku 6 ods. 1 písm. f) Nariadenia (oprávnené záujmy): Prijaté v októbri 2024. Usmernenie podrobne analyzuje tri kumulatívne podmienky pre uplatnenie tohto právneho základu: identifikáciu oprávneného záujmu, nevyhnutnosť spracúvania a vykonanie testu proporcionality (balancing test). Zahŕňa aj príklady aplikácie v špecifických kontextoch, ako je predchádzanie podvodom alebo priamy marketing.

●Usmernenie 02/2024 k článku 48 Nariadenia: Prijaté v decembri 2024. Rieši komplexnú problematiku prenosu alebo zverejnenia osobných údajov na základe žiadostí súdov alebo správnych orgánov tretích krajín. Zdôrazňuje, že takéto zverejnenie predstavuje prenos podľa Kapitoly V Nariadenia a vyžaduje si ako právny základ podľa článku 6, tak aj nástroj prenosu podľa Kapitoly V. Uprednostňujú sa medzinárodné dohody (napr. MLAT), avšak pri ich absencii možno zvážiť iné právne základy a nástroje prenosu vrátane výnimiek podľa článku 49 Nariadenia.

Ďalšie významné aktivity EDPB v roku 2024:

Popri usmerneniach EDPB prijal aj niekoľko dôležitých stanovísk podľa čl. 64 ods. 2 Nariadenia k otázkam všeobecného uplatňovania s cieľom zabezpečiť konzistentnosť už v počiatočných fázach. Medzi kľúčové patrili:

●Stanovisko 08/2024 k modelom „Consent or Pay“ (Súhlas alebo platba) implementovaným veľkými online platformami, ktoré analyzuje platnosť súhlasu v situácii, keď používatelia čelia voľbe medzi súhlasom so spracúvaním údajov pre behaviorálnu reklamu a platením poplatku. EDPB dospel k záveru, že vo väčšine prípadov takéto modely nespĺňajú požiadavky na slobodne daný súhlas.

●Stanovisko 11/2024 k využívaniu technológií rozpoznávania tváre na letiskách na zefektívnenie toku cestujúcich.

●Stanovisko 22/2024 k povinnostiam prevádzkovateľov pri využívaní sprostredkovateľov a ďalších sprostredkovateľov (čl. 28 Nariadenia).

●Stanovisko 28/2024 k aspektom ochrany údajov pri spracúvaní osobných údajov v kontexte modelov umelej inteligencie (AI), ktoré okrem iného skúma podmienky anonymity AI modelov a využitie oprávneného záujmu ako právneho základu pre trénovanie modelov.

EDPB taktiež vydal stanoviská k legislatívnym návrhom (napr. k návrhu o prevencii sexuálneho zneužívania detí, k balíku o prístupe k finančným údajom a platbách, k úlohe dozorných orgánov kontexte Aktu o umelej inteligencii a k návrhu nariadenia o procesných pravidlách pre presadzovanie Nariadenia) a pokračoval v aktivitách na podporu presadzovania práva a spolupráce medzi dozornými orgánmi, napríklad prostredníctvom Koordinovanej akcie presadzovania práva (CEF) zameranej v roku 2024 na právo na prístup (čl. 15 Nariadenia) alebo cez činnosť pracovnej skupiny pre ChatGPT.

Tieto aktivity EDPB ukazujú pokračujúce úsilie o poskytnutie jasnejšieho výkladu, zabezpečenie konzistentného uplatňovania pravidiel ochrany údajov naprieč EÚ/EHP a adaptáciu na technologický vývoj a relevantnú judikatúru.

11.3

Súdny

dvor

Európskej

únie

Súdny dvor Európskej únie v roku 2024 vydal viacero rozhodnutí, ktoré významne ovplyvnili výklad a uplatňovanie pravidiel ochrany osobných údajov v rámci EÚ vrátane Slovenskej republiky. Tieto rozhodnutia sa týkali rôznych aspektov, ako je definícia osobných údajov, zodpovednosť prevádzkovateľov a sprostredkovateľov, práva dotknutých osôb, ako aj podmienky spracúvania a uchovávania údajov. Prehľad týchto rozhodnutí poskytuje cenné poznatky pre dozorné orgány, prevádzkovateľov, odbornú verejnosť a všetky zainteresované strany, ktoré sa zaoberajú ochranou osobných údajov.

V nasledujúcej časti uvádzame stručný prehľad vybraných rozhodnutí SDEÚ z roku 2024, ktoré sú relevantné pre oblasť ochrany osobných údajov.

Prehľad rozhodnutí Súdneho dvora EÚ (2024) relevantných pre ochranu osobných údajov

Rozsudok Súdneho dvora z 11. januára 2024 vo veci C-231/22

Rozsudok rozširuje pojem „prevádzkovateľ“ aj na orgány, ktoré pri spracúvaní osobných údajov nemajú vlastnú diskrečnú právomoc, ak účely a prostriedky definuje zákon a zároveň potvrdzuje, že reťazec postupných spracovateľských operácií môže viesť k viacerým (aj spoločným) prevádzkovateľom; ich zodpovednosť však vyplýva buď z dohody podľa čl. 26 Nariadenia, alebo priamo z vnútroštátneho práva; úradné vestníky členských štátov musia pri zverejňovaní listín posudzovať a preukazovať súlad s Nariadením a riešiť žiadosti o vymazanie, pokiaľ právna úprava neustanoví inak.

Rozsudok Súdneho dvora zo 16. januára 2024 vo veci C-33/22

Parlamentné výbory môžu byť „prevádzkovateľmi“ a podliehajú dozoru; reštriktívny výklad výnimky národnej bezpečnosti – nestačí, že vyšetrovanie sa týka orgánu, ktorý inak plní bezpečnostné úlohy; potvrdenie zásady prednosti práva Únie – ústavné pravidlá o deľbe moci

nemôžu zbaviť dozorné orgány kompetencií, ak mu ich priamo priznáva Nariadenie.

Rozsudok Súdneho dvora z 30. januára 2024 vo veci C-755/21 P

Obmedzenie uchovávania údajov v trestnoprávnej evidencii; povinnosť pravidelne preskúmavať potrebu uchovávania údajov.

Rozsudok Súdneho dvora z 5. marca 2024 C-755/21 P,

Zodpovednosť EUROPOL-u za únik osobných údajov; možnosť náhrady nemajetkovej ujmy pri zásahu do súkromia.

Rozsudok Súdneho dvora zo 7. marca 2024, vo veci C-740/22

Ústne oznámenie informácií týkajúcich sa prípadných prebiehajúcich alebo už ukončených trestných konaní proti fyzickej osobe podlieha pravidlám Nariadenia; ochrana citlivých údajov, ako sú informácie o trestných odsúdeniach, má prednosť pred verejným záujmom na prístupe k informáciám.

Rozsudok Súdneho dvora zo 14. marca 2024 vo veci C-46/23

Dozorný orgán môže nariadiť výmaz nezákonne spracúvaných údajov aj bez žiadosti dotknutej osoby.

Rozsudok Súdneho dvora z 25. januára 2024 vo veci C-687/21

Zodpovednosť prevádzkovateľa za pochybenia

zamestnancov - skutočnosť, že zamestnanci

prevádzkovateľa omylom poskytli neoprávnenej tretej

strane dokument obsahujúci osobné údaje sama osebe

nepostačuje na to, aby bolo možné dôjsť k záveru,

že technické a organizačné opatrenia zavedené

dotknutým prevádzkovateľom neboli „primerané“; právo na náhradu ujmy vyžaduje preukázanie skutočnej škody.

Rozsudok Súdneho dvora zo 7. marca 2024 vo veci C-479/22 P

Pojem „osobné údaje“ zahŕňa aj informácie, ktoré samy o sebe neidentifikujú konkrétnu osobu, ale v kombinácii s ďalšími údajmi umožňujú jej identifikáciu. Inštitúcie EÚ musia pri spracúvaní údajov zohľadňovať možnosť takejto identifikácie a zabezpečiť ochranu práv jednotlivcov v súlade s nariadením 2018/1725.

Rozsudok Súdneho dvora z 21. marca 2024 vo veci C-61/22

Legislatíva EÚ musí byť prijímaná na správnom právnom základe; bezpečnostné opatrenia, ako je zahrnutie odtlačkov prstov do občianskych preukazov, môžu byť odôvodnené, pokiaľ rešpektujú základné práva občanov.

Rozsudok Súdneho dvora z 11. apríla 2024 vo veci C-741/21

Zodpovednosť za neoprávnený marketing; prevádzkovateľ nesie zodpovednosť aj za zlyhanie zamestnanca; náhrada škody vyžaduje konkrétnu ujmu.

Rozsudok Súdneho dvora z 20. júna 2024 vo veci C-590/22

Právo na náhradu škody.

Rozsudok Súdneho dvora z 20. júna 2024 v spojených veciach C-182/22 a C-189/22

Právo na náhradu škody.

Rozsudok Súdneho dvora z 11. júla 2024 vo veci C-757/22

Spotrebiteľské združenia môžu žalovať za porušenie Nariadenia aj bez poverenia konkrétnej dotknutej osoby.

Rozsudok Súdneho dvora z 11. júla 2024 vo veci C-461/22

Opatrovník v prípade osôb zverenej do jeho starostlivosti je prevádzkovateľom podľa Nariadenia; zverenci majú právo na prístup k údajom aj po skončení poskytovania starostlivosti.

Rozsudok Súdneho dvora 26. septembra 2024 vo veci C-768/21

Dozorný orgán nie je povinný uložiť nápravné opatrenia, konkrétne správnu pokutu, pokiaľ taký zásah nie je vhodný, potrebný a primeraný na nápravu zisteného nedostatku a zabezpečenie úplného dodržiavania Nariadenia.

Rozsudok Súdneho dvora z 12. septembra 2024 v spojených veciach C-17/22 a C-18/22

V prípade, že spoločník investičného fondu, ktorý vlastní nepriame podiely v tomto fonde, požaduje kontaktné údaje ostatných spoločníkov s cieľom uplatniť svoje práva, môže byť takýto záujem považovaný za oprávnený. Správcovská spoločnosť môže poskytnúť tieto údaje, ak je to nevyhnutné a primerané vzhľadom na sledovaný cieľ.

Rozsudok Súdneho dvora zo 4. októbra 2024 vo veci C-446/21

Prevádzkovatelia online platforiem nemôžu spracúvať osobné údaje používateľov na účely cielenej reklamy bez ich výslovného súhlasu. Okolnosť, že osoba sa vyjadrila k svojej sexuálnej orientácii počas verejne prístupnej pódiovej diskusie, neoprávňuje prevádzkovateľa online platformy sociálnej siete spracúvať iné údaje týkajúce sa sexuálnej orientácie tejto osoby, ktoré prípadne získal mimo tejto platformy od aplikácií alebo webových stránok tretích partnerov, s cieľom zhromažďovať a analyzovať tieto údaje, aby jej ponúkol personalizovanú reklamu.

Rozsudok Súdneho dvora zo 4. októbra 2024 vo veci C-507/23

Náhrada nemajetkovej ujmy je možná aj bez majetkovej škody; verejné ospravedlnenie môže byť postačujúcou satisfakciou.

Rozsudok Súdneho dvora zo 4. októbra 2024 vo veci C-621/22

Spracúvanie osobných údajov, ktoré spočíva v odplatnom poskytnutí osobných údajov členov športového zväzu s cieľom uspokojiť obchodný záujem prevádzkovateľa, možno považovať za nevyhnutné na účely oprávnených záujmov sledovaných týmto prevádzkovateľom v zmysle tohto ustanovenia len pod podmienkou, že toto spracúvanie je striktne nevyhnutné na dosiahnutie dotknutého oprávneného záujmu a že vzhľadom na všetky relevantné okolnosti záujmy alebo základné práva a slobody týchto členov neprevažujú nad týmto oprávneným záujmom.

Rozsudok Súdneho dvora zo 4. októbra 2024 vo veci C-200/23

Výklad Nariadenia v súvislosti so zverejňovaním osobných údajov v obchodnom registri; právo na vymazanie podľa článku 17 GDPR nie je absolútne.

Rozsudok Súdneho dvora

z 28. novembra 2024 vo veci C-

169/23

Výnimka z povinnosti informovať dotknutú osobu podľa článku 14 ods. 5 písm. c) Nariadenia sa týka bez rozdielu všetkých osobných údajov, ktoré prevádzkovateľ nezískal priamo od dotknutej osoby, či už tieto údaje získal prevádzkovateľ od inej osoby, než je dotknutá osoba, alebo boli vytvorené samotným prevádzkovateľom v rámci plnenia jeho úloh.

Rozsudok Súdneho dvora z 19. decembra 2024 vo veci C-65/23

Vnútroštátne predpisy môžu stanoviť špecifické pravidlá pre spracúvanie údajov v pracovnoprávnych vzťahoch, avšak tieto pravidlá musia byť v súlade so zásadami Nariadenia.

11.4

Spolupráca

pri

dozore

nad

rozsiahlymi

informačnými

systémami

inštitúciami

Európskej

únie

EÚ zriadila a prevádzkuje viacero rozsiahlych informačných systémov (ďalej len „RIS“) a agentúr, ktorých činnosť zahŕňa spracúvanie osobných údajov. Dozor nad týmito systémami a subjektmi je v mnohých prípadoch zdieľaný medzi vnútroštátnymi dozornými orgánmi členských štátov, vrátane úradu a Európskym dozorným úradníkom pre ochranu údajov (ďalej len „EDPS“).

EDPS pôsobí ako nezávislý dozorný orgán EÚ zodpovedný primárne za monitorovanie a presadzovanie dodržiavania pravidiel ochrany osobných údajov inštitúciami, orgánmi, úradmi a agentúrami EÚ, najmä podľa Nariadenia (EÚ) 2018/1725. Poskytuje tiež poradenstvo týmto subjektom a dotknutým osobám v otázkach spracúvania osobných údajov.

Rámec koordinovaného dozoru

Na zabezpečenie účinného a konzistentného dohľadu nad RIS a agentúrami EÚ úrad aktívne spolupracuje s EDPS a ostatnými vnútroštátnymi dozornými orgánmi v rámci ich príslušných právomocí. Táto spolupráca sa uskutočňuje najmä prostredníctvom pravidelných stretnutí (zvyčajne štyrikrát ročne), kde sa prejednávajú spoločné otázky dohľadu. Kľúčové aspekty spolupráce zahŕňajú:

•Výmenu relevantných informácií potrebných na výkon dozoru.

•Vzájomnú pomoc pri vykonávaní auditov a inšpekcií.

•Preskúmavanie výkladových a aplikačných otázok právnych predpisov EÚ v oblasti ochrany údajov.

•Analyzovanie problémov spojených s výkonom nezávislého dozoru a uplatňovaním práv dotknutých osôb.

•Vypracúvanie harmonizovaných návrhov riešení a odporúčaní.

•Podporu informovanosti o právach na ochranu údajov.

Špecifické koordinačné a dozorné skupiny

Spolupráca prebieha v rámci nasledujúcich špecializovaných skupín:

1.Spoločný dozorný orgán pre Colný informačný systém (CIS JSA).

2.Pracovná skupina pre koordináciu dozoru nad Vízovým informačným systémom (VIS SCG).

3.Pracovná skupina pre koordináciu dozoru nad systémom Eurodac (Eurodac SCG).

4.Výbor pre koordinovaný dozor (CSC): Táto štruktúra zastrešuje koordinovaný dozor nad viacerými systémami a orgánmi:

oInformačný systém vnútorného trhu (IMI),

oEurópska prokuratúra (EPPO),

oAgentúra EÚ pre justičnú spoluprácu v trestných veciach (Eurojust),

oAgentúra EÚ pre spoluprácu v oblasti presadzovania práva (Europol),

oSchengenský informačný systém (SIS): Dozor nad SIS bol presunutý pod CSC v marci 2023 po nadobudnutí účinnosti nariadení (EÚ) 2018/1860 a (EÚ) 2018/1861. Predtým bol zabezpečovaný samostatnou pracovnou skupinou (SIS II SCG),

oOčakáva sa, že CSC prevezme aj koordináciu dozoru nad Vízovým informačným systémom (VIS).

Aktivity v hodnotenom období

V roku 2024 sa uskutočnili nasledujúce aktivity v rámci uvedených skupín:

•Spoločný dozorný orgán pre CIS (CIS JSA): Uskutočnilo sa jedno online stretnutie a dve prezenčné stretnutia v Bruseli.

•Pracovná skupina pre VIS (VIS SCG): Uskutočnilo sa jedno stretnutie.

•Pracovná skupina pre Eurodac (Eurodac SCG): Uskutočnili sa dve stretnutia.

•Výbor pre koordinovaný dozor (CSC): Výbor zasadal šesťkrát (tri stretnutia online, tri prezenčne v Bruseli). Medzi kľúčové témy patrilo vypracovanie odporúčaní k transparentnosti pre systém IMI a riešenie otázok súvisiacich s prípravou nových rozsiahlych informačných systémov – Systému vstup/výstup (EES) a Európskeho systému pre cestovné informácie a povolenia (ETIAS).

Účasť úradu na činnosti týchto koordinačných štruktúr možno považovať za kľúčovú pre zabezpečenie ochrany práv občanov SR pri spracúvaní ich osobných údajov v rámci celoeurópskych systémov a pre presadzovanie jednotného prístupu k ochrane údajov v EÚ.

11.4.1

Schengenské

hodnotenie

V dňoch 6. až 11. októbra 2024 sa uskutočnilo Schengenské hodnotenie Slovenskej republiky so zameraním na oblasť ochrany osobných údajov. Hodnotenie realizoval expertný tím

zložený zo zástupcov dozorných orgánov členských štátov EÚ a EK. Cieľom hodnotenia bolo preveriť dodržiavanie zásad ochrany osobných údajov a efektívnosť dozoru nad implementáciou schengenského acquis zo strany úradu, Ministerstva vnútra Slovenskej republiky – vrátane viacerých organizačných útvarov v rámci jeho štruktúry – a Ministerstva zahraničných vecí Slovenskej republiky.

Schengenské hodnotenie bolo vykonané v súlade s Nariadením Rady (EÚ) 2022/922 z 9. júna 2022, ktorým sa ustanovuje hodnotiaci a monitorovací mechanizmus na preverovanie uplatňovania schengenského acquis a ktoré zároveň zrušilo Nariadenie (EÚ) č. 1053/2013.

Výstupom tohto hodnotenia bude hodnotiaca správa obsahujúca konkrétne odporúčania adresované Slovenskej republike v rôznych oblastiach (napríklad národné riadenie schengenských záležitostí, riadenie vonkajších hraníc, vízová politika), pričom ochrana osobných údajov je považovaná za prierezovú oblasť. Hodnotiaca správa bude vypracovaná v priebehu prvého polroka 2025. Podľa predbežných informácií z hodnotiacej správy však neboli identifikované závažné nedostatky vo vzťahu k úradu.

11.4.2

Konzultatívny

výbor

Dohovoru

108

Konzultatívny výbor založený Radou Európy k Dohovoru 108 pozostáva zo zástupcov zmluvných strán dohovoru, ktorých dopĺňajú pozorovatelia z iných štátov (členov alebo nečlenov) a medzinárodných organizácií. Výbor je zodpovedný za interpretáciu ustanovení a za zlepšenie implementácie Dohovoru 108 a za zostavovanie správ, usmernení a usmerňujúcich zásad v rôznych oblastiach. Stretnutí konzultatívneho výboru sa pravidelne zúčastňujú aj zástupcovia úradu, a to na plenárnych zasadnutiach, v minulosti príležitostne aj na užších stretnutiach výboru (the Bureau). V roku 2024 sa konali 2 plenárne zasadnutia výboru s účasťou zástupcu úradu.

Konzultatívny výbor k Dohovoru 108 vydáva dokumenty ako odporúčania, usmernenia a rôzne stanoviská na aktuálne témy. V roku 2024 prijal Usmernenia o ochrane jednotlivcov v súvislosti so spracúvaním osobných údajov na účely registrácie voličov a overovania totožnosti a Modelové zmluvné doložky pre prenos osobných údajov, modul 3 (sprostredkovateľ – sprostredkovateľ).

Rada Európy vyhlásila 28. január za Deň ochrany osobných údajov alebo Deň súkromia (pojem používaný mimo Európy). O tomto dni každoročne vydáva publikáciu, v ktorej informuje verejnosť o aktivitách v jednotlivých štátoch združených v Rade Európy. Konzultatívny výbor od roku 2019 udeľuje cenu v oblasti ochrany údajov, tzv. Stefano Rodota Award. Každý rok je vybraný výskum odhalený počas dňa ochrany osobných údajov. V roku 2024 bola udelená šiesty krát v 2 kategóriách: najlepšie PhD-tézy s názvom Regulatory Technologies for the Study of Data and Platform Power in the App of Economy a najlepšie odborné články s názvom Investigating Deceptive Design in GDPR’s Legitimate Interest.

Konzultatívny výbor k Dohovoru 108 informuje členov Rady Európy o ratifikácii Protokolu č. 223 (ďalej ako protokol CETS 223) modernizujúceho Dohovor 108. Slovenská republika

ratifikovala protokol CETS 223, ktorým sa mení a dopĺňa Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (ETS 108). NR SR vyslovila súhlas s protokolom CETS 223 uznesením č. 2063 z 15. marca 2023. Prezidentka Slovenskej republiky protokol CETS 223 ratifikovala 24. mája 2023. Ratifikačná listina bola 15. júna 2023 uložená veľvyslankyňou Stálej misie Slovenskej republiky pri Rade Európy v Štrasburgu u zástupcu generálnej tajomníčky Rady Európy, depozitára protokolu. Slovenská republika je 25. štátom, ktorý ratifikoval protokol CETS 223, Convention 108+ a 25th ratification: Slovakia - Data Protection (coe.int). Protokol CETS 223 v súlade s článkom 37 nadobudne platnosť pre tie štáty, ktoré vyjadrili svoj súhlas, za predpokladu, že protokol má najmenej tridsaťosem strán. Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov upravený pozmeňujúcim protokolom CETS 223 sa označuje ako modernizovaný dohovor alebo aj Dohovor 108+.

11.4.3

Medzinárodná

spolupráca,

konferencie

workshopy

Úrad sa v roku 2024 aktívne zapájal do vzdelávacích podujatí a medzinárodných diskusií s cieľom posilňovať spoluprácu v oblasti ochrany osobných údajov a kybernetickej bezpečnosti ako aj s cieľom sledovať aktuálne trendy a vymieňať si skúsenosti:

●Diskusia k Procesnému nariadeniu GDPR (Online, Február 2024): Zástupca úradu sa zúčastnil okrúhleho stola organizovaného Centre for Information Policy Leadership (CIPL) k návrhu nariadenia EÚ o procesných pravidlách pre cezhraničné presadzovanie Nariadenia. Diskusia potvrdila cieľ návrhu zrýchliť konania, ale aj potrebu dôkladnej prípravy nariadenia, ktoré by jasne definovalo práva a povinnosti strán, riešilo otázky dôvernosti údajov, ochrany obchodného tajomstva a reflektovalo potrebu modernizácie Nariadenia v digitálnom veku.

●Workshopy k systémom Eurodac a EES (Online, Marec a September 2024): Účasť na workshopoch organizovaných holandským dozorným orgánom bola zameraná na výmenu osvedčených postupov pri inšpekciách systému Eurodac a na zdieľanie skúseností s prípravou na zavedenie Systému vstupu a výstupu (EES) v členských štátoch.

●Qubit Conference Prague 2024 (Praha, Máj 2024): Účasť na konferencii zameranej na kybernetickú bezpečnosť, kde dominovali témy súvisiace s umelou inteligenciou, najmä nové výzvy v kybernetickej bezpečnosti generované AI a budovanie odolnosti v digitálnom priestore.

●European Data Protection Summit (Online, Jún 2024): Pri príležitosti 20. výročia EDPS sa zástupca úradu zúčastnil summitu „Prehodnotenie údajov v demokratickej spoločnosti“. Kľúčové diskusné témy zahŕňali: rolu ochrany údajov pri zmierňovaní informačných rizík a budovaní dôvery cez transparentnosť; výzvy pri aplikácii pravidiel ochrany údajov orgánmi verejnej moci (potreba harmonizácie, zdrojov a kooperácie); prepojenie ochrany údajov, demokracie a právneho štátu cez efektívny dohľad; potrebu proaktívneho prístupu k ochrane údajov v kontexte rýchlo sa meniacich technológií (AI, big data) a vyvažovania s inými záujmami ako národná bezpečnosť.

●EPI Konferencia GDPR (Jasná, Jún 2024): Pod záštitou úradu sa uskutočnil VII. ročník konferencie, ktorá sa venovala aktuálnym otázkam a výzvam ochrany osobných údajov

(nová legislatíva EÚ, judikatúra SD EÚ a SR), kontrole spracúvania (právny rámec, skúsenosti z praxe) a praktickým aspektom implementácie (likvidácia údajov, minimalizácia rizík). Zástupca úradu vystúpil s príspevkom o kontrolnej činnosti. Podujatie poskytlo platformu pre networking a výmenu skúseností medzi dozornými orgánmi, advokátmi a zodpovednými osobami zo Slovenska a Česka.

●Stretnutie piatich dozorných orgánov (Viedeň, September 2024): Na pozvanie rakúskeho dozorného orgánu sa uskutočnilo prvé spoločné stretnutie vedúcich predstaviteľov dozorných orgánov Rakúska, Českej republiky, Chorvátska, Maďarska a Slovenskej republiky. Stretnutie bolo zamerané na vzájomné oboznámenie sa s kompetenciami, fungovaním, legislatívnymi špecifikami a riešením odborných a organizačných výziev. Účastníci sa dohodli na každoročnom pokračovaní formátu s cieľom posilniť regionálnu a európsku spoluprácu.

●Stretnutie dozorných orgánov a združení zodpovedných osôb (Viedeň, September 2024): Zástupcovia úradu sa zúčastnili stretnutia s predstaviteľmi rakúskeho a českého úradu a zástupcami združení zodpovedných osôb z Rakúska, Českej republiky a Slovenskej republiky. Diskutovalo sa o role zodpovedných osôb pri implementácii AI a o možnostiach cezhraničnej spolupráce medzi dozornými orgánmi a zodpovednými osobami, vrátane potrieb v oblasti komunikácie (napr. anglické verzie webových sídiel dozorných orgánov) a pravidelného dialógu.

12.

Zhodnotenie

stavu

výhľad

budúcnosti

Uplynulý rok opätovne potvrdil dynamický vývoj v oblasti ochrany osobných údajov a nezastupiteľnú úlohu úradu pri presadzovaní práv dotknutých osôb a dozore nad dodržiavaním príslušnej právnej úpravy.

Od nástupu predsedníčky Zuzany Valkovej v júni 2024 úrad významne zmenil prístup k dozorovej činnosti. Predsedníčka úradu zvolila proaktívnejší prístup, ktorý sa prejavil najmä vo väčšej otvorenosti voči verejnosti a v posilňovaní dialógu so všetkými zainteresovanými stranami. Cieľom tejto zmeny je zvýšiť transparentnosť rozhodovacích procesov, budovať dôveru verejnosti a zároveň efektívnejšie chrániť práva dotknutých osôb prostredníctvom včasnej prevencie a osvetových aktivít.

Jednou z priorít úradu zostáva aktívne zapájanie sa do legislatívneho procesu formou pripomienkovania všetkých právnych predpisov, ktoré sa priamo či nepriamo dotýkajú spracúvania osobných údajov.

Systematické zapracúvanie pripomienok úradu v jednotlivých fázach legislatívneho procesu je kľúčové na zabezpečenie súladu vnútroštátnej úpravy s Nariadením a na predchádzanie rizikám pre súkromie. Podľa súčasného nastavenia legislatívy prevádzkovatelia majú povinnosť identifikovať relevantné riziká vo vzťahu k ochrane osobných údajov; je však potrebné klásť osobitný dôraz na riadne posúdenie vplyvu na ochranu údajov pri spracovateľských činnostiach vyplývajúcich priamo z právnych predpisov. Vzhľadom na rôzne a aj nedostatočné prístupy zo strany prevádzkovateľov pri posudzovaní vplyvov v praxi je vhodné prijať zmeny, ktorými sa zabezpečí jednotné vykonávanie posúdenie vplyvov už počas legislatívneho procesu.

Neoddeliteľnou súčasťou účinnej ochrany osobných údajov je kontinuálne vzdelávanie zamestnancov prevádzkovateľov a sprostredkovateľov. Budovanie správnych návykov, znalosť interných postupov a bezpečnostných politík sú kľúčové pre minimalizáciu ľudského zlyhania, ktoré je častou príčinou bezpečnostných incidentov.

Úrad ďalej zdôrazňuje, aby si prevádzkovatelia a sprostredkovatelia dôslednejšie uvedomovali a plnili svoje povinnosti vyplývajúce z Nariadenia a Zákona. Pretrvávajúcim problémom, na ktorý úrad opakovane upozorňuje, je spracúvanie osobných údajov prostredníctvom kamerových systémov. Je nevyhnutné, aby prevádzkovatelia týchto systémov venovali zvýšenú pozornosť zákonným podmienkam ich inštalácie a prevádzky, vrátane posúdenia ich nevyhnutnosti, primeranosti a transparentného informovania dotknutých osôb, ako aj výnimkám spod pôsobnosti Nariadenia a Zákona.

V neposlednom rade úrad zdôrazňuje potrebu klásť neustály dôraz na bezpečnosť spracúvania osobných údajov v súlade s princípmi Nariadenia a Zákonom. To zahŕňa implementáciu primeraných technických a organizačných opatrení, vrátane, tam kde je to

vhodné, techník ako pseudonymizácia a anonymizácia na zníženie rizík pre dotknuté osoby a na splnenie požiadaviek minimalizácie údajov a špecifikácie účelu.

Úrad bude aj v nasledujúcom období pokračovať vo svojich nielen dozorových, ale aj osvetových činnostiach s cieľom zvyšovať úroveň ochrany osobných údajov na Slovensku a posilňovať dôveru verejnosti v informačné technológie. Veríme, že spoločným úsilím všetkých zainteresovaných strán prispejeme k budovaniu zodpovednej informačnej spoločnosti.

13.

Zoznam

použitých

skratiek

Dohovor 108

Dohovor Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov

EDPS

Európsky dozorný úradník pre ochranu údajov/ European Data Protection Supervisor

EDPB

Európsky výbor pre ochranu údajov (European Data Protection Board) zriadený podľa čl. 68 Nariadenia

EHP

Európsky hospodársky priestor

Európska komisia

EÚ

Európska únia

JURI

Výbor pre právne veci

LIBE

Výbor pre občianske slobody, spravodlivosť a vnútorné veci

MPK

Medzirezortné pripomienkové konanie

Nariadenie

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP)

Nariadenie 2018/1725

Nariadenie Európskeho parlamentu a Rady (ES) č. 2018/1725 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES

NR SR

Národná rada Slovenskej republiky

Portál

Portál právnych predpisov Slov – Lex

smernica 2016/680

Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely