Zmeny, ktoré v oblasti ochrany osobných údajov nastali od 25. mája 2018, boli od začiatku spájané s hrozbou pokuty až do 20 miliónov eur, pri podniku do výšky 4 % z celkového svetového ročného obratu (závisí od toho, ktorá suma je vyššia). Ako v skutočnosti v súvislosti s GDPR funguje Úrad na ochranu osobných údajov a ako to je s možnosťou uloženia pokuty na základe súčasne platnej a účinnej právnej úpravy?

Ako môže kontrola GDPR začať

Tzv. konanie o ochrane osobných údajov môže začať na základe návrhu dotknutej osoby, čiže osoby, ktorej údaje spracovávate. Môže ísť o vášho zákazníka, čitateľa či zamestnanca. Konanie, čiže aj kontrola, môže vychádzať aj z návrhu inej osoby. Tento prípad je omnoho rizikovejší. Môže ísť o návrh osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach. Daná osoba s vami nemusí byť v žiadnom právnom vzťahu, môže však disponovať informáciami, že u vás niečo nie je v poriadku. Príkladom takejto osoby môže byť bývalý zamestnanec alebo konkurent.

 

Výkon práva podať návrh ale nemôže byť šikanózny. V takom prípade máte možnosť od osoby, ktorá na vás opakovane podáva neopodstatnené návrhy týkajúce sa ochrany osobných údajov, požadovať náhradu škody v súdnom konaní. Je diskutabilné, či vôbec môžu byť práva takejto osoby porušené, keďže vám svoje údaje neposkytla. V takomto prípade by mal úrad takýto návrh odložiť a nekonať. Úrad automaticky nebude konať ani vtedy, keď od tvrdeného porušenia práv danej osoby uplynuli v deň doručenia návrhu viac než tri roky. Okrem spomínaného môže úrad začať s konaním o ochrane osobných údajov aj bez návrhu, čiže na základe vlastnej činnosti. Deje sa tak najmä v prípade, keď má úrad podozrenie, že ste porušili ochranu spracovávaných údajov, príp. len preto, že ste zaradený do tzv. plánu kontrol.

 

Ako môže kontrola vyzerať

V prípade, že si úrad potrebuje overiť skutočnosti o porušení ochrany osobných údajov, ktoré sú uvedené v návrhu na začatie konania, má právo prísť na kontrolu. V takomto prípade vám zvyčajne vopred príde písomné oznámenie o predmete kontroly. Zároveň vám úrad oznámi aj dátum a čas, kedy bude kontrola vykonaná, a to minimálne 10 dní pred jej samotným vykonaním. Výnimka z tohto pravidla sa uplatňuje vtedy, ak by písomné oznámenie mohlo účel kontroly zmariť, príp. ju podstatne sťažiť.

 

Kontrolór úradu má povinnosť preukázať sa vám pre začiatkom kontroly, alebo kedykoľvek na vaše požiadanie, poverením Úradu na ochranu osobných údajov. Ako má takéto poverenie vyzerať, nájdete na webovom sídle úradu.

 

Počas kontroly máte povinnosť sprístupniť kontrolórovi požadované dokumenty, ako aj informačné systémy. O všetkým úkonoch a odovzdaní dokumentov si však môžete vyžiadať potvrdenie a v prípade nejasností vo výsledkoch kontroly môžete uviesť námietky do protokolu o vykonanej kontrole, ktorý má kontrolór povinnosť s vami prerokovať. V prípade, že u vás kontrola porušenie nezistí, nespíše s vami protokol, ale záznam o vykonaní kontroly. Toto je prvotný náznak, že je všetko v poriadku.

 

S kontrolórmi je vždy lepšie komunikovať a spolupracovať. Ak u vás zistia porušenie, vaša spolupráca a súčinnosť môžu viesť k zníženiu pokuty, príp. vám ju úrad nemusí vôbec uložiť.

Ako to je s pokutami v GDPR

Pokuty sú v súvislosti s GDPR najväčším strašiakom. Dôležitá je však informácia, že úrad môže, no nemusí, uložiť pokutu vo výške maximálne 20 miliónov eur. V zmysle GDPR má úrad povinnosť ukladať pokuty, ak si ich určí ako prostriedok namiesto iných opatrení, príp. popri nich, v závislosti od okolností konkrétneho prípadu tak, aby boli primerané, účinné a odrádzajúce.

 

Úrad má na základe výsledku kontroly právo nariadiť prijatie opatrení na nápravu nedostatkov, ktoré boli zistené, a to v stanovenej lehote, príp. môže prejsť k tzv. posúdeniu vplyvu na ochranu osobných údajov, ktoré sme spomínali pri administratíve prevádzkovateľa. Ďalšou možnosťou je, že prikáže obmedzenie spracovávania osobných údajov alebo ich zakáže a pod.

 

V prípade, že úrad nariadi uloženie pokuty, vezme pri tom do úvahy aj:

 

  1. povahu, závažnosť a trvanie porušenia, povahu, rozsah či účel spracovávania osobných údajov, tiež počet dotknutých osôb, ktoré porušenie ovplyvnilo, a v prípade, že vznikla škoda, aj jej rozsah;
  2. opatrenia, ktoré prevádzkovateľ či sprostredkovateľ prijali na zmiernenie škody, ktorú utrpeli dotknuté osoby;
  3. rozsah spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení nepriaznivých dôsledkov, ktoré mohli vyplynúť z porušenia ochrany osobných údajov;
  4. kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka, práve preto treba dávať pozor pri spracovávaní extra citlivých osobných údajov;
  5. priťažujúce či poľahčujúce okolnosti, ku ktorým patria hlavne finančné výhody alebo straty, ktorým sa zabránilo, a to priamo alebo nepriamo, v súvislosti s porušením ochrany osobných údajov;
  6. spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a hlavne fakt, či prevádzkovateľ, príp. sprostredkovateľ porušenie ochrany osobných údajov oznámili, ak áno, v akom rozsahu (prevádzkovateľ alebo sprostredkovateľ majú povinnosť oznámiť úradu únik údajov do 72 hodín, odkedy ho sami zistili, a to prostredníctvom formulára na webovom sídle úradu).

 

Ide tu vlastne o „priznanie chyby“ zo strany prevádzkovateľa či sprostredkovateľa voči úradu. V konaní pred úradom je však splnenie oznamovacej povinnosti výhodou. Je považované za poľahčujúcu okolnosť, kým jej neoznámenie je okolnosťou priťažujúcou. V prípade, že neexistuje pravdepodobnosť, že by porušenie ochrany osobných údajov viedlo k riziku pre práva fyzickej osoby, táto povinnosť odpadá.

 

Príklad

Ukradnú vám notebook s údajmi vašich zákazníkov, ktoré však máte zašifrované a prihlasovanie je podmienené dvojitému overovaniu. V takomto prípade nie je pravdepodobné, že sa zlodej k údajom dostane, takže vy nemáte oznamovaciu povinnosť.

 

V ukladaní sankcií sa veľa dozvieme až z praxe Úradu na ochranu osobných údajov pri kontrolách, ktoré vykoná. Dôležité je plniť si základné povinnosti vyplývajúce z GDPR a sledovať stanoviská, ktoré úrad zverejní na svojom webovom sídle.

Zdielajte!

V prípade, záujmu o naše služby stačí vyplniť kontaktný formulár

Na Vaše dotazy odpovieme IHNEĎ a so všetkým Vám radi pomôžeme.