Aká je prax pri výkone kontroly spracúvania osobných údajov?

V drvivej väčšine prípadov spracúvania osobných údajov, ktoré skončia pokutou je na začiatku problému kontrola. Čo predchádza samotnému výkonu kontroly? Ako samotná kontrola prebieha a na čo sa v praxi zameriava? Ako je vhodné sa správať a ako procesne postupovať? Vnasledujúcich riadkoch Vám dáme na tieto otázky uspokojivé odpovede.

Aká je prax pri výkone kontroly spracúvania osobných údajov?

V úradnom „hľadáčiku“

Kontrola môže byť v zmysle zákona o ochrane osobných údajov riadna alebo mimoriadna. Riadne kontroly sú vykonávané systematicky na základe každoročne schvaľovaného plánu kontrol, ktorý je zameraný na preverenie konkrétnych sektorov (napr. nemocnice, finačný sektor, autopožičovne, cestovné kancelárie apod.). Tento plán je v zostručnenej verzii zverejňovaný na webe Úradu na ochranu osobných údajov. V pláne kontrol dostupnom každému na internete sú teda zahrnuté jednotlivé prípady spracovania osobných údajov, na ktoré sa inšpektori v danom kalendárnom roku prioritne zamerajú.

Mimoriadne kontroly sú výsledkom potreby získania podkladov potrebných na vydanie rozhodnutia v správnom konaní, ktoré sa začalo v dôsledku návrhu na začatie konania o ochrane osobných údajov individuálnej dotknutej osoby alebo aj prejavom úradníckej inciatívy (napr. medializované informácie, preverenie anonymného podnetu).

Podnikatelia sa tak dostávajú do zvýšeného rizika kontroly najmä v prípade, ak sa z hľadiska predmetu svojej činnosti ocitnú v ročnom pláne kontrol Úradu na ochranu osobných údajov. Pochopiteľne úrad má obmedzenú personálnu kapacitu, takže sa zameriava primárne na také subjekty, ktoré vykazujú znaky porušovania zákona.

Z uvedeného hľadiska je preto pomerne rizikové nemať alebo mať zle vyriešené regulačné povinnosti, ktoré je možné vopred pomerne jednoducho zanalyzovať prostredníctvom verejne dostupných zdrojov (napr. zle zvládnuté právne dokumenty a právne informácie zavesené na webe, absencia súhlasov a informovanie dotknutej osoby pri registrácii do niektorých typov online služieb, neoznačenie monitorovaného priestoru a viditeľnosť kamier cez google street view, odkazovanie na už zrušený zákon č. 428/2002 Z. z. apod.). Práve subjekty, ktoré v rámci predbežného analytického rozpracovania predchádzajúcemu výkonu kontroly vykazujú zrejmé nedostatky sa aj v skutočnosti stanú kontrolovanými osobami.

Osobitným prípadom sú subjekty, ktoré už boli v minulosti kontrolované a boli im uložené opatrenia (príkazy, zákazy) týkajúce sa úpravy ich podmienok spracúvania osobných údajov spoločne s pokutou. Takéto subjekty môžu byť a nezriedka aj bývajú s väčším odstupom času opätovne skontrolované. V tejto súvislosti je vhodné uviesť ustanovenie § 70 ods. 5 Zákona o ochrane osobných údajov, z ktorého vyplýva, že takýto subjekt v prípade neodstránenia nedostatkov môže očakávať dvojnásobok pokuty, ktorá mu už bola právoplatne uložená (ak odvtedy neuplynuli viac ako 2 roky).

Netreba si robiť ilúzie o tom, že štátne dozorné orgány nemajú ambíciu prinášať prostriedky do štátneho rozpočtu, keďže sú od neho priamo závislé a Ministerstvo financií SR ako arbiter určujúci úradom „cash-flow“ prihliada pri uvoľňovaní prostriedkov v rámci rozpočtových kapitol aj na príjmy ich jednotlivých subjektov.

Začatie kontroly

Kontrola sa oficiálne v zmysle zákona o ochrane osobných údajov začína doručením oznámenia o začatí kontroly, čo je písomný dokument, ktorý vždy obsahuje predmet a účel kontroly, ktoré by mali vysvetliť zmysel a rozsah kontroly. Skoro nikdy sa nerobí úplne komplexná kontrola dodržiavania všetkých povinností, ktoré zákon o ochrane osobných údajov ukladá. V predmete kontroly sa stanovia presné a cieľavedome vybrané konkrétne zákonné ustanovenia, ktorých dodržiavanie sa bude kontrolovať. Oznámenie o začatí kontroly obsahuje tiež aj určenie termínu a miesta výkonu kontroly. Tento termín je vo väčšine prípadov kontrolovanej osobe oznámený dostatočne vopred, aby sa mohla pripraviť (i.e. zabezpečiť prítomnosť štatutárneho orgánu, právnych dokumentov, sprístupniť miesta spracúvania osobných údajov, počítače apod.), ale môže nastať aj výnimočná situácia, keď oznámenie o začatí kontroly doručuje osobne a priamo kontrolný tím vedený inšpektorom pri pokuse o začatie kontroly. Takýto postup je možný výlučne v prípadoch, keď by predchádzajúce oznámenie o začatí kontroly mohlo zmariť kontrolu (napr. by došlo k odinštalovaniu kamerového systému alebo likvidovaniu nelegálnych databáz obsahujúcich osobné údaje apod.) a nemusí byť z pohľadu kontrolného tímu úspešné (napr. nie je zastihnutá žiadna osoba oprávnená konať v mene prevádzkovateľa).

V prípade vopred oznámených kontrol je možné skúsiť dohodnúť zmenu termínu priameho výkonu kontroly priamou komunikáciou s členom kontrolného orgánu, ktorého kontaktné údaje sú uvedené v oznámení o kontrole. Inšpektori v tomto vedia kontrolovaným osobám vychádzať zväčša v ústrety, ak sa uvedú objektívne dôvody (napr. pracovná cesta konateľa, objektívne zvýšený nápor práce spôsobený sezónnosťou (napr. cestovné kancelárie) alebo právnou skutočnosťou (termín podávania daňových priznaní ú účtovníkov) apod. Faktorom, ktorý zohráva úlohu pri dohodnutí zmeny termínu priameho výkonu kontroly je tiež pracovný plán a vyťaženosť jednotlivých inšpektorov.

Začatie kontroly má teda dva podstatné momenty. Jeden moment má právny charakter a je ním doručenie oznámenia o začatí kontroly. Druhý moment má faktický charakter a je ním samotný príchod kontrolného tímu na miesto kontroly a reálne začatie vykonávania kontrolných úkonov. Súčasťou praktického začatia kontroly musí byť preukázanie sa všetkých členov kontrolného tímu vlastnými služobnými preukazmi ako aj individuálne vydaným poverením na výkon konkrétnej kontroly, ktoré podpisuje vrchný inšpektor alebo predseda úradu, ak je v kontrolonom tíme aj vrchný inšpektor. Tomuto momentu je vhodné venovať náležitú pozornosť, keďže v minulosti sa už vyskytli prípady, že do firmy prišiel na kontrolu falošný inšpektor, čo predstavuje závažný bezpečnostný incident a prípadne aj skutočné ohrozenie dôležitých firemných záujmov (napr. priemyselná špionáž).

Priebeh kontroly

Kontrolný tím spravidla pozostáva z dvoch členov (inšpektora a analytika), pričom môže byť prípad od prípadu rozširovaný o ďalších zamestnancov úradu (právnikov, IT podporu), alebo aj o externých odborníkov prostredníctvom tzv. právneho inštitútu prizvanej osoby.

Po úspešnom zahájení právneho i faktického začatia kontroly spravidla začne viesť inšpektor rozhovor, ktorým uvedie kontrolu a vysvetlí nasledujúci postup. Formou rozhovoru sa tiež zvyknú vyžadovať podstatné vyjadrenia kontrolovanej osoby týkajúce sa predmetu kontroly, ktoré sú priebežne zapisované do zápisnice z výkonu kontroly. Tomuto momentu je tiež vhodné venovať značnú pozornosť, keďže obsah podpísanej zápisnice z výkonu kontroly následne inšpektor využíva ako riadny podklad (dôkaz) pri formulovaní výstupu z kontroly, čo môže byť kontrolovanej osobe na úžitok, alebo aj naopak.. Vedomé uvádzanie nepravdivých vyjadrení do zápisnice z výkonu kontroly môže byť vyhodnotené ako porušenie povinnosti kontrolovanej osoby a môže viesť k uloženiu poriadkovej pokuty.

Inšpektor si v priebehu kontroly určite vyžiada aj fotokópie relevantnej právnej i bezpečnostnej dokumentácie, ktorá súvisí s plnením povinností ustanovených zákonom o ochrane osobných údajov, a to v rozsahu predmetu kontroly. V praxi sa tak vyžadujú najmä fotokópie evidenčných listov k jednotlivým informačným systémom, písomné záznamy o poučení vybraných oprávnených osôb, sprostredkovateľských zmlúv, či bezpečnostných projektov. Kontrolný tím určite ocení, keď im kontrolovaná osoba vopred pripraví fotokópie predmetných dokumentov. Samozrejme okrem toho môže inšpektor vyžadovať aj ďalšie právne dokumenty (napr. zmluvy, VOP[1], reklamačný poriadok, rôzne interné smernice apod.), či dokumenty obsahujúce osobné údaje dotknutých osôb (napr. fotokópie obsahu vybraných klientských zložiek) alebo aj akékoľvek iné informácie, ktoré budú potrebné pre výkon kontroly (napr. obsah elektronickej pošty, kópie elektronických súborov, fotografie alebo iné obrazové záznamy vyhotovené kontrolovanou osobou apod.).

Všetky kópie právnych dokumentov a iných informácií, ktoré sú v priebehu kontroly odobrané kontrolným tímom sú protokolárne zviazané a zapečatené, pričom kontrolovaná osoba dostane potvrdenie a presný zoznam o odobraných dokumentoch a elektronických súboroch, čomu tiež odporúčame venovať náležitú pozornosť, pretože ide o dôkazy, ktoré budú vyhodnocované a na ich základe by mali byť skonštatované kontrolné zistenia.

Kontrolný tím väčšinu odobratých dokumentov vyhodnocuje až s väčším odstupom času vo svojich úradných kanceláriách, ale nikdy nie je vylúčené, že si niečo všimnú a preveria to tiež priamo na mieste výkonu kontroly.

V rámci priebehu kontroly sa inšpektor môže tiež zameriavať aj na preverenie faktickej existencie prijatých bezpečnostných opatrení zdokumentovaných v bezpečnostnom projekte, pričom sa zvykne vyhotovovať fotodokumentácia a prípadne aj screenshoty z užívateľského rozhrania rôznych programových aplikácií slúžiacich ako prostriedky spracúvania osobných údajov. Treba rátať s tým, že kontrolný tím fyzicky prejde miesta, kde dochádza k spracúvaniu osobných údajov (napr. serverovne, HR[2] pracovisko, archív, kancelárie administratívnej exekutívy apod.) a bude sledovať ich dostatočné zabezpečenie vhodnými bezpečnostnými opatreniami. Kontrolný tím tiež spravidla preverí zabezpečenie vybraného osobného počítača (štandardne sa skoro vždy skontroluje anti-malware programové vybavenie, aktívnosť fire-wallu a autentizácia oprávnenej osoby loginom a heslom).

Samozrejme každá kontrola je iná a môže mať svoje špecifiká, ale vyššie uvedené postupy sú bežným rutinným štandardom.

Samotný priebeh fyzického výkonu kontroly na určených miestach zvykne trvať priemerne jeden pracovný deň. Samozrejme môže ísť aj o kratšie kontroly, ktoré sú vykonané v priebehu dvoch-troch hodín a môže ísť aj o kontrolu, ktorá sa natiahne na niekoľko pracovných dní. Všetko záleží iba od náročnosti podmienok spracúvania osobných údajov, rozsahu predmetu kontroly, šikovnosti kontrolórov a prístupu kontrolovanej osoby. V právnom zmysle (od doručenia oznámenia o začatí kontroly po podpísanie záznamu o kontrole alebo po podpísanie zápisnice o prerokovaní protokolu) však kontrola trvá priemerne niekoľko mesiacov, v extrémnych prípadoch aj dlhšie ako rok.

V prípade, ak máte vo firme poverenú zodpovednú osobu výkonom dohľadu nad spracúvaním osobných údajov, tak kontrolný tím bude vyžadovať jej prítomnosť pri výkone kontroly. Zodpovedná osoba je oprávnená poskytovať kontrolnému orgánu náležitú súčinnosť. Ak takého človeka kontrolovaná osoba nemá, bude potrebná osobná prítomnosť štatutárneho orgánu (napr. konateľa) alebo jeho riadneho splnomocnenca. Aj napriek tomu, že je zodpovedná osoba povinná poskytovať kontrolnému tímu súčinnosť je potrebné aj jej udeliť splnomocnenie na právne zastupovanie kontrolovanej osoby počas kontroly, ak by mala zodpovedná osoba pri kontrole robiť právne úkony v mene kontrolovanej osoby (napr. podpisovať zápisnicu z výkonu kontroly, podávať námietky apod.). Na zabezpečenie prítomnosti osoby, ktorá bude oprávnená poskytovať kontrolnému orgánu pri výkone kontroly súčinnosť sa neoplatí zabudnúť pri vopred oznámených kontrolách, inak sa kontrolovaná osoba môže vystaviť riziku udelenia poriadkovej pokuty za marenie kontroly.

Výstup z kontroly a procesná ochrana kontrolovanej osoby

Po ukončení priameho výkonu kontroly na jej mieste a zadovážení dostatočných dôkazov (napr. fotodokumentácia, zápisnica, odobraté dokumenty a elektronické súbory) je inšpektor v spolupráci s analytikom povinný vypracovať objektívny výstup z kontroly, ktorý môže mať dve alternatívy. Lepšou alternatívou je vypracovanie záznamu o kontrole, kde sa v podstate skonštatuje, že nedošlo, resp. nebolo zistené žiadne porušenie zákona o ochrane osobných údajov. Podpísaním záznamu o kontrole sa kontrola definitívne skončí a kontrolovaná osoba sa nemusí obávať ďalších komplikácii.

Horším prípadom je, keď kontrolovanej osobe príde poštou protokol o kontrole („prvá verzia“) so sprievodným listom vyzývajúcim na uplatnenie práva (nie povinnosti) vyjadriť sa písomne k obsahu protokolu o kontrole do 15 dní. Týmto momentom sa v podstate začínajú pre kontrolovanú osobu vážne problémy, ktorých výsledkom môže byť vysoká finančná pokuta.

V prípade ak sa kontrolovaná osoba, príp. jej právny zástupca vyjadrí k obsahu protokolu, toto vyjadrenie je inšpektor povinný zapracovať priamo do protokolu o kontrole. Písomným vyjadrením kontrolovanej osoby je možné začať formulovať právnu obranu kontrolovanej osoby a príp. korigovať nepresné alebo nesprávne závery, skutkové zhodnotenia, či aplikáciu hmotného práva, ktoré by mohli byť uvedené v „prvej“ verzii protokolu o kontrole. Po zapracovaní prípadného písomného vyjadrenia kontrolovanej osoby do protokolu o kontrole je inšpektorom alebo analytikom kontrolného tímu kontaktovaný oprávnený zástupca kontrolovanej osoby za účelom dohodnutia podpísania protokolu o kontrole so zapracovaným písomným vyjadrením kontrolovanej osoby („druhá verzia“).

Podpisovanie je možné dohodnúť osobne, alebo sa môže využiť poštová preprava, pričom na doručovanie sa uplatňuje právna úprava ustanovená v Správnom poriadku. Je vhodné poznamenať, že doručovanie je jedinou vecou, na ktorú sa v rámci kontroly uplatňuje (subsidiárne) iná právna úprava ako je vlastná právna úprava zákona o ochrane osobných údajov.

Deň podpisu protokolu o kontrole (či už so zapracovaným vyjadrením kontrolovanej osoby alebo bez neho) je okamihom, kedy začína plynúť zákonná 15 dňová lehota na podanie námietok proti kontrolným zisteniam uvedeným v protokole. Námietky by mali kontradiktórne smerovať voči kontrolným zisteniam uvedeným v protokole. Námietky by ideálne mali byť dostatočne odôvodnené a podľa možnosti podložené aj listinnými dôkazmi.

V prípade podanie námietok je inšpektor povinný na ich vyhodnotenie, pričom ich môže akceptovať alebo neakceptovať. Túto prácu inšpektor vykonáva v rámci samostatného právneho dokumentu, ktorým je tzv. dodatok k protokolu o kontrole.

Akceptovanie námietok kontrolovanej osoby môže viesť k úprave kontrolných zistení uvedených v protokole o kontrole a v najideálnejšom prípade pre kontrolovaná osobu až k transformácii protokolu o kontrole na záznam o kontrole (defacto teda k zmene právneho názoru inšepktora o tom, že boli zistené objektívne porušenia zákona o ochrane osobných údajov). Neakceptovanie námietok kontrolovanej osoby musí byť náležite a jednotlivo odôvodnené. Inšpektor je povinný vypracovať dodatok k protokolu tiež v zákonnej 15 dňovej lehote, ktorá začína plynúť dňom doručenia námietok (nie dňom nasledujúcim po dni od ich doručenia).

Uvedené 15 dňové lehoty sú v podstate jedinými zákonnými lehotami, ktoré plynú v rámci kontroly spracúvania osobných údajov, čo spôsobuje, že jednotlivé kontroly môžu trvať naozaj rôzne dlhé odbdobie.

Po vypracovaní dodatku k protokolu zabezpečí inšpektor jeho odoslanie kontrolovanej osobe poštou.

Ukončenie kontroly a ďalší postup

Kontrola sa končí dňom podpísania zápisnice o prerokovaní protokolu alebo dňom podpísania záznamu o kontrole, ak neboli zistené porušenia zákona.

Podpísanie zápisnice o prerokovaní protokolu sa vykonáva osobne spravidla v sídle úradu, ale v prípadoch kontrolovaných osôb zo vzdialenejších regionóv od Bratislavy to je v praxi možné dohodnúť aj inak.

Do zápisnice o prerokovaní kontroly je vhodné uviesť stručnú sumarizáciu skutočností, ktoré svedčia v prospech kontrolovanej osoby (napr. že zisteným protiprávnym konaním neboli vôbec poškodené práva dotknutých osôb a žiadnej dotknutej osoby v dôsledku porušenia nevznikla ujma, skrátenie doby trvania protiprávneho stavu na minimum v dôsledku dobrovoľného konania kontrolovanej osoby apod.). V prípade, ak kontrolovaná osoba nesúhlasí s niektorými kontrolnými zisteniami aj napriek podaniu námietok, ktoré neboli akceptované a zotrváva vo svojej argumentácii je vhodné poznamenať to aj v tejto fáze ukončovania kontroly. Prípadne ak má kontrolovaná osoba akékoľvek iné výhrady k priebehu kontroly je to vhodné dostať takouto oficiálnou cestou do úradného spisu.

Kontrolovaná osoba má právo odmietnuť podpísať zápisnicu o prerokovaní protokolu, čo však na ukončenie kontroly nemá žiadny vplyv. Skôr ide o prejav nesúhlasu s výkonom kontroly a jej závermi. Nepodpísanie zápisnice o prerokovaní protokolu v podstate pre inšpektora aj tak nič neznamená, iba to, že o tom musí spraviť do predmetnej zápisnice záznam.

Po podpise zápisnice o prerokovaní protokolu (príp. po odmietnutí jej podpísania) bude výsledok kontroly spoločne s potrebnými podkladmi pre vydanie rozhodnutia postúpený na odbor správnych konaní, ktorý začne voči „bývalej“ kontrolovanej osobe viesť postupne dve samostatné správne konania. V prvom správnom konaní sa rozhoduje o ukladaní direktívnych opatrení (príkazy, zákazy), pričom sa ustanovuje povinnosť písomne informovať o ich splnení. V druhom správnom konaní nasledujúcom po ukončení prvého správneho konania sa začne konať o uložení pokuty. V obidvoch prípadoch ide o riadne správne konania, v ktorých má účastník konania všetky procesné práva priznané Správnym poriadkom, a ktoré je vhodné primerane využívať na ochranu práv a právom chránených záujmov účastníka konania.

Záver

Kontrola spracovania osobných údajov je zdĺhavý a náročný administratívny proces, ktorý môže viesť k uloženiu vysokej pokuty sprevádzanej ďalšími problémami, ako je napr. vynútené splnenie povinností (náklady na outsourcing poradenských služieb alebo časové a personálne zaťaženie vlastných kapacít), či odstránenie využívaných technológií (ďalšie starosti a zbytočne vynaložené finančné prostriedky).

V prípade hroziacej kontroly je preto veľmi osožné zabezpečiť komplexnú revíziu podmienok spracúvania osobných údajov a úrovne plnenia súvisiacich povinností ustanovených zákonom o ochrane osobných údajov a odstránenie zistených nedostatkov. Prípadné náklady spojené s kvalitnými poradenskými službami sú zanedbateľné oproti nákladom vynaloženým v dôsledku kontroly Úradu na ochranu osobných údajov.

JUDr. Ondrej Zimen

Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebuješ mať nainštalovaný JavaScript.

Poznámky pod čiarou:

[1] Všeobecné obchodné podmienky.

[2] HR – Human Resources – pracovisko ľudských zdrojov, resp. personálne oddelenie.

  • Súvisiace právne predpisy:
    • zákon č. 122/2013 Z.z. o ochrane osobných údajov
    • zákon č. 71/1967 Zb. Správny poriadok v znení neskorších predpisov