V predchádzajúcich príspevkoch som sa venoval osobitne špecifikám vopred neoznámenej kontroly a začatiu kontroly ako takej. Nasledujúce odstavce sú venované procesným úkonom, ktoré sa realizujú počas kontroly Úradu na ochranu osobných údajov SR (ďalej len „Úrad“) vo všeobecnosti a vzťahujú sa nielen na tzv. „dawn raid“ kontroly, ale aj na bežné a vopred riadne oznámené kontroly Úradu.
Po úspešnom začatí kontroly v dôsledku jej oznámenia, sa na mieste kontroly začne v súlade s predmetom kontroly zisťovať relevantný skutkový stav, zameraný na zistenie miery súladu, resp. nesúladu s vybranými ustanoveniam GDPR a/alebo zákona o ochrane osobných údajov.
V praxi som sa nikdy nestretol s tým, že by Úrad kontroloval „všetko“. Ide o mylnú predstavu verejnosti, ktorá si pod kontrolou často predstavuje akýsi hĺbkový audit na ochranu osobných údajov. Kontrola je však vždy zameraná na konkrétne oblasti spracúvania osobných údajov, resp. spracovateľské činnosti a zároveň právne inštitúty upravené v GDPR (napr. právny základ podľa čl. 6 ods. 1 GDPR pri spracúvaní osobných údajov na účel priameho marketingu a pod.).
Kontrola po praktickej stránke prebieha ústnym vyšetrovaním zameraným na predmet kontroly. Ak je kontrola analyticky dobre pripravená, otázky by mali byť premyslené a logicky na seba nadväzujúce. Samozrejme, nie je možné vylúčiť, že kontrolný orgán bude na mieste improvizovať, prípadne rozvíjať výkon kontroly vo vzťahu k priebežne zisťovanému skutkovému stavu, ktorý budú postupne odhaľovať odpovede kontrolovanej osoby a iné kontrolné úkony.
Relevantný skutkový stav získaný odpoveďami zástupcu kontrolovanej osoby sa poznamenáva do zápisnice z výkonu kontroly. Kontrolný orgán pri využívaní svojich oprávnení a vyšetrovacej právomoci Úradu má tiež oprávnenie vstupovať v podstate do všetkých systémov, v ktorých sa spracúvajú osobné údaje až na úroveň administrátora. Toto býva spravidla sprevádzané zaznamenávaním vstupu a priebehu úkonov vykonávaných na pokyn kontrolného orgánu na video ukladané na úradný USB disk, príp. vyhotovovaním print screenov z používateľského rozhrania danej aplikácie.
Kontrolný orgán tiež vstupuje do priestorov a na pozemok kontrolovanej osoby, pričom nezriedka vyhotovuje fotodokumentáciu, ak je to potrebné na zdokumentovanie dôkazov relevantných pre výkon kontroly. V tomto smere môže v praxi vzniknúť, s ohľadom na závery judikatúry Európskeho súdneho dvoru vo veci Ryneš vs UOOU ČR[1], že miesto pre výkon kontroly je zároveň aj obydlím prevádzkovateľa, resp. kontrolovanej osoby. Čl. 26 Ústavy Slovenskej republiky zaručuje každému právo na nedotknuteľnosť obydlia, avšak toto právo nie je absolútne.
Podľa čl. 21 ods. 3 Ústavy Slovenskej republiky platí, že: „Ak sa obydlie používa aj na podnikanie alebo vykonávanie inej hospodárskej činnosti, takéto zásahy môžu byť zákonom dovolené aj vtedy, keď je to nevyhnutné na plnenie úloh verejnej správy.“
Na margo uvedeného ustanovenia možno uviesť, že Ústavný súd Slovenskej republiky judikoval, že prevádzkareň podnikateľského subjektu nemožno subsumovať pod pojem „obydlie“ tak, ako je definované v čl. 21 Ústavy Slovenskej republiky a nemožno na ňu vztiahnuť ochranu zaručenú čl. 21 ústavy. Z textu čl. 21 ods. 3 ústavy jasne vyplýva, že „obydlím“ sa podľa toho článku nerozumejú obchodné priestory podnikateľských subjektov. Obydlie je užší pojem ako súkromie, pod ktoré za určitých okolností spadá aj prevádzka či obchodné priestory podnikateľských subjektov a ktoré je chránené na iných miestach ústavy[2].
Na základe uvedeného máme za to, že priamo z ústavy vyplýva, že podnikatelia sa nemôžu pri výkone kontroly spracúvania osobných údajov spoliehať na nedotknuteľnosť obydlia, ak je ich obydlie aj miestom podnikania a teda logicky i spracúvania osobných údajov. Na druhej strane prevádzkovatelia, ktorí nie sú podnikateľmi (napr. prevádzkovatelia kamerových systémov inštalovaných na rodinných domoch, ktorých sú súkromnými vlastníkmi), podľa môjho názoru požívajú právo na ochranu obydlia, čo musí byť náležite rešpektované aj pri výkone kontroly. Táto prekážka však neznamená znemožnenie výkonu kontroly, ale iba jeho praktické i právne sťaženie.
Kontrolný orgán má tiež veľmi široké oprávnenia získavania dôkazov a informácií – zjednodušene, v rámci pôsobnosti Úradu má kontrolný orgán pri výkone kontroly právo takmer na akékoľvek informácie, čím by však nemala byť prelamovaná povinnosť mlčanlivosti ustanovená osobitnými zákonmi[3].
Kontrolovaná osoba má právo opraviť a doplniť obsah zápisnice z výkonu kontroly. Zástupca kontrolovanej osoby by mal tiež citlivo zvažovať aké skutkové tvrdenia uvedie, keďže zavádzanie či vedomé uvádzanie nepravdivých informácií, by mohlo byť považované za porušenie povinnosti kontrolovanej osoby uvádzať ústne iba úplné a pravdivé informácie[4].
Takéto porušenie môže založiť skutkovú podstatu správneho deliktu spojeného s možnosťou ukladať poriadkovú pokutu za marenie výkonu kontroly. Podľa mojich skúsenosti je už v tejto fáze vhodné zdokumentovať základnú argumentáciu, ktorá svedčí v prospech a na obhajobu kontrolovanej osoby. Ak je dôkazná situácia veľmi zlá - už tu je prvé miesto, kde je vhodné začať formulovať argumentáciu na báze poľahčujúcich okolností v kontexte objektívnych kritérií, ktoré musia byť zohľadnené Úradom pri ukladaní sankcií (viď čl. 83 ods. 2 GDPR).
Zástupca kontrolovanej osoby by mal skontrolovať objektivitu a vecnú správnosť faktických záverov a konštatovaní kontrolného orgánu pred tým, ako podpíše zápisnicu z výkonu kontroly, pretože kontrolný orgán ju bude neskôr využívať ako dôkaz pri formulovaní svojich kontrolných zistení a bude tiež súčasťou podkladov pred vydaním rozhodnutia správneho orgánu (napr. o uložení pokuty).
V prípade ak priamy výkon kontroly na mieste spracúvania osobných údajov trvá viac dní, z každého „kontrolného dňa“ sa bude vyhotovovať zápisnica o priebehu výkonu kontroly, takže je dôležité, aby zástupca kontrolovanej osoby vedel o obsahu predošlých zápisníc a zachovával konzistentnosť argumentácie a skutkových tvrdení dôležitých pre priebeh kontroly a celkovú taktiku obhajoby.
Kontrolný orgán, v rámci priameho výkonu kontroly na jej mieste spoločne so zápisnicou o priebehu výkonu kontroly, vypracuje aj písomné potvrdenie o prevzatí originálu dokladov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a dôkazov.
Tomuto procesnému úkonu je tiež potrebné venovať náležitú pozornosť a skontrolovať nielen korektnosť celkového obsahu písomného potvrdenia (napr. dostatočnú presnosť a nezameniteľnosť v názvoch jednotlivých položiek), ale môžem odporučiť aj skontrolovanie tých položiek, ktoré chcete mať v kontrolnom spise z dôvodu vlastnej obhajoby a rozvíjania neskoršej právnej argumentácie.
V minulosti zvykol kontrolný orgán toto potvrdenie v prítomnosti zástupcu kontrolovanej osoby spojiť a zapečatiť tzv. žurnalizovaním s ostatnými listinnými dôkazmi, ktoré chcel zabezpečiť. Kontrolovaná osoba má právo na rovnopis tohto potvrdenia opatrený podpismi členov kontrolného orgánu a odtlačkom úradnej pečiatky.
Vyššie uvedené procesné úkony bezprostredne súvisia so začínaním a priamym výkonom kontrolných úkonov na mieste spracúvania u kontrolovanej osoby. Avšak kontrola právne trvá a pokračuje ešte spravidla niekoľko mesiacov (v extrémnych prípadoch aj rokov) po tom, ako sa podpíše (posledná) zápisnica o priebehu výkonu kontroly a (posledné) písomné potvrdenie o odobratí dôkazov.
V tejto fáze členovia kontrolného orgánu vyhodnocujú získané podklady i informácie a formulujú svoje kontrolné zistenia. Výstupom tejto aktivity kontrolného orgánu môžu byť dva ťažiskové dokumenty stanovujúce „predbežný“[5] výsledok kontroly: 1) protokol o kontrole alebo 2) záznam o kontrole.
Podstatný rozdiel medzi nimi je ten, že v protokole o kontrole sú formulované aj kontrolné zistenia konštatujúce porušovanie GDPR a/alebo zákona o ochrane osobných údajov a v zázname o kontrole sú výlučne kontrolné zistenia o súlade s GDPR a/alebo Zákonom o ochrane osobných údajov.
Kontrolný orgán nemá žiadnu zákonnú lehotu na vypracovanie výsledku kontroly vo forme záznamu alebo protokolu. Avšak počas celého priebehu konania, resp. výkonu kontroly (od jej začatia až po ukončenie), sa uplatňuje interakcia oprávnenia kontrolovanej osoby priebežne sa vyjadrovať ku skutočnostiam zisteným v priebehu kontrol (§ 95 písm. a) zákona o ochrane osobných údajov) a povinnosti kontrolného orgánu uviesť vyjadrenia kontrolovanej osoby do protokolu (§ 92 písm. f) zákona o ochrane osobných údajov), čo v praxi v minulosti primárne znamenalo, že kontrolný orgán vyzval kontrolovanú osobu na písomné vyjadrenie sa ku kontrolným zisteniam uvedeným v protokole, pričom spravidla určil na to aj lehotu, ktorá nebola zákonnou lehotou.
Toto procesné právo kontrolovanej osoby v novom právnom režime zákona o ochrane osobných údajov odpadlo, čiže keď kontrolný orgán 1x oboznámi kontrolovanú osobu s protokolom o kontrole, doručením začne plynúť zákonná prekluzívna lehota na podanie námietok (viď bližšie výklad k námietkam voči kontrolným zisteniam). Kontrolovaná osoba má právo sa vyjadrovať a predkladať dôkazy svedčiace v jej prospech až do ukončenia kontroly.
Primárne na realizovanie tohto oprávnenia kontrolovanej osoby má slúžiť zápisnica o priebehu výkonu kontroly (viď vyššie), ale nie je vôbec vylúčené, aby zástupca kontrolovanej osoby písomnými vyjadreniami začal formulovať obhajobu kontrolovanej osoby a príp. korigovať nepresné alebo nesprávne závery, skutkové tvrdenia a zhodnotenia, či nesprávnu aplikáciu hmotného práva na daný skutkový stav veci, ktoré mohli byť zachytené napr. v jednotlivých zápisniciach ešte pred tým, ako kontrolný orgán doručí kontrolovanej osobe protokol o kontrole.
Momentom doručenia protokolu, s obsiahnutými kontrolnými zisteniami, začína kontrolovanej osobe plynúť 21 dňová lehota na podanie námietok. Pozor táto lehota sa počíta odo dňa doručenia protokolu a nie odo dňa nasledujúceho po tomto dni! Dodržanie lehoty je v tomto prípade veľmi dôležité, keďže ide o tzv. zákonnú prekluzívnu lehotu, ktorej márne uplynutie spôsobuje zánik práva účinne podať námietky voči kontrolným zisteniam.
Z povahy veci by mala mať námietka formulovaná kontrolovanou osobou kontradiktórnu povahu voči konkrétnemu kontrolnému zisteniu uvedenému v protokole. Námietka by, podľa môjho názoru, mala napádať kontrolné zistenie najmä z hľadiska vecnej i právnej nesprávnosti, nepresnosti, neobjektívnosti, dostatočnej nepreukázateľnosti atď., pričom by ideálne mala obsahovať aj náležité odôvodnenie a relevantnú právnu argumentáciu podporenú dôkazmi.
Pozitívnou novinkou zákona o ochrane osobných údajov je, že protokol má obsahovať prílohy preukazujúce kontrolné zistenia (§ 97 ods. 3 zákona o ochrane osobných údajov). V minulosti sa iba odkazovalo na zoznamy dôkazov odobraté pri priamom výkone kontroly (viď písomné potvrdenie o prevzatí dôkazov). Tento moment by teda mal, podľa môjho názoru, v praxi umožňovať zvýšené predpoklady pre efektívnejšiu obhajobu kontrolovaných osôb.
Kontrolný orgán je povinný posúdiť obsah námietok z hľadiska ich opodstatnenosti a vypracovať o nich dodatok, ktorý sa stane neoddeliteľnou súčasťou protokolu o kontrole. V ideálnom prípade sa môže teoreticky stať, že úspešnými (kontrolným orgánom akceptovanými) námietkami voči všetkým kontrolným zisteniam dôjde v dodatku k transformácii protokolu na záznam o kontrole, čo prakticky znamená maximálny možný úspech a stopnutie akýchkoľvek nadväzných konaní smerujúcich k ukladaniu pokút, či nápravných opatrení.
Neakceptovanie námietok kontrolovanej osoby musí kontrolný orgán v dodatku odôvodniť. Kontrolný orgán je na rozhodnutie o námietkach viazaný zákonnou 15 dňovou lehotou, ktorá však plynie iba počas pracovných dní odo dňa doručenia námietok. Čiže v tejto lehote musí kontrolný orgán odoslať kontrolovanej osobe dodatok k protokolu.
Kontrolný orgán má po doručení dodatku k protokolu povinnosť kontrolovanú osobu vyzvať na prerokovanie protokolu. Na vykonanie tohto úkonu neplynie žiadna lehota a je teda vecou „time“ manažmentu a kapacity členov kontrolného orgánu. Prerokovanie protokolu sa realizuje ústne spravidla v sídle Úradu, ale je možné skúsiť dohodnúť aj iné miesto.
Prerokovanie protokolu je sprevádzané spisovaním osobitnej zápisnice o prerokovaní protokolu. Cieľom tohto úkonu je okrem formálneho ukončenia kontroly aj poskytnutie informácií o ďalších úradných postupoch, ktoré by mali nasledovať po ukončení kontroly.
Kontrolovaná osoba môže v tejto zápisnici akcentovať najdôležitejšie okolnosti, ktoré považuje za rozhodné a svedčiace v jej prospech, či už z hľadiska procesnej ochrany alebo zjemňovania hroziacich následkov prejavujúcich sa vo výške uloženej pokuty. Pri tomto úkone vzniká priestor na neoficiálne rozhovory s členmi kontrolného orgánu, v ktorých sa kontrolované osoby zvyknú zaujímať hlavne o výšku pokuty, ktorá im teoreticky hrozí a ktorá bola v minulosti Úradom uložená za obdobné porušenia GDPR a/alebo zákona o ochrane osobných údajov.
Ignorovanie tohto úkonu nedostavením sa na jeho výkon alebo nepodpísanie zápisnice o prerokovaní protokolu s cieľom vyvolať obštrukcie nemá žiadny právny význam, keďže zákon o ochrane osobných údajov s tým ráta a umožňuje právne skončiť kontrolu aj bez toho – kontrolnému orgánu o tom stačí urobiť iba záznam do zápisnice o prerokovaní protokolu.
Výkon kontroly Úradu je právne skončený dňom podpísania zápisnice o prerokovaní protokolu alebo v tom lepšom prípade dňom doručenia záznamu o kontrole. Rovnako právnou skutočnosťou ukončujúcou kontrolu je aj nedostavenie sa a/alebo nepodpísanie zápisnice o prerokovanie protokolu.
Po ukončení kontroly kontrolný orgán funkčne zaradený na odbor kontroly postupuje v súlade s interným predpisom Úradu, pričom výsledky kontroly a kópie častí spisového materiálu postúpi odboru správnych konaní, ktorý následne začne správne konanie a/alebo pokračuje v správnom konaní, ktorému počas výkonu kontroly spočívala lehota na vydania rozhodnutie (viď § 101 ods. 2 zákona o ochrane osobných údajov). Problematike správnych konaní a ukladaniu pokút v právnom režme GDPR sa budem venovať v ďalších príspevkoch na našom blogu.
Nad rámec už zmienených inštitútov a procesných úkonov uvedených vyššie, považujem za vhodné vypichnúť ešte možnosť kontrolného orgánu získavať dôkazy aj od iných osôb ako je kontrolovaná osoba – primárne to má slúžiť na „vyťažovanie“ sprostredkovateľa kontrolovanej osoby, resp. jeho zamestnancov. Toto oprávnenie je však limitované na miesto výkonu kontroly (§ 93 písm. i) zákona o ochrane osobných údajov), tým však nie je vylúčené, aby kontrolný orgán využil svoju všeobecnú právomoc požadovať súčinnosť takmer od kohokoľvek a na čokoľvek v súvislosti s výkonom dozoru nad ochranou osobných údajov podľa § 109 zákona o ochrane osobných údajov[6].
Na základe týchto procesných oprávnení kontrolného orgánu by kontrolovaná osoba mala počítať s tým, že jej skutkové tvrdenia môžu byť počas celého priebehu kontroly až do jej ukončenia overované aj prostredníctvom údajov z rôznych registrov, databáz alebo systémov rozmanitých tretích strán (napr. štátne inštitúcie, dodávatelia, poskytovatelia rôznych služieb a pod.).
Zákon o ochrane osobných údajov je z hľadiska úpravy doručovania veľmi strohý. Hoci pôsobnosť správneho poriadku na výkon kontroly je v podstate vylúčená – neplatí to pre doručovanie, ktoré sa spravuje ustanoveniami správneho poriadku (viď § 107 ods. 2 zákona o ochrane osobných údajov).
Z tohto hľadiska sa pri výkone kontroly doručuje do vlastných rúk, pričom sa uplatňuje zaužívaný spôsob náhradného doručovania spojeného s fikciou doručenia v prípade, ak náhradné doručenie nie je úspešné a zásielka je vrátaná odosielateľovi, resp. kontrolnému orgánu (viď § 24 ods. 2 Správneho poriadku). Táto pomerne dobre známa a konvenčne zaužívaná forma doručovania sa však uplatňuje iba na papierové doručovanie. Podnikatelia by mali rátať s tým, že im Úrad bude v rámci kontroly doručovať dôležité dokumenty (napr. oznámenie o začatí kontroly, protokol o kontrole alebo záznam o kontrole, či dodatok k protokolu) už iba elektronicky podľa zákona o e-Governmente[7].
Avšak podľa aktuálnych informácií sa tak aktuálne (február 2019) ešte stále nedeje. Aktuálne majú v podstate už všetci podnikatelia aktívne svoje elektronické schránky, takže by im mal Úrad pri výkone kontroly doručovať niektoré dokumenty cez modul Centrálneho úradného doručovania do vlastných rúk s fikciou doručenia. Ak ide o doručovanie do vlastných rúk s fikciou doručenia, adresátovi sa sprístupní obsah správy až po potvrdení notifikácie o doručení (zadaním BOK kódu).
Elektronická správa sa považuje za doručenú buď márnym uplynutím úložnej lehoty alebo potvrdením notifikácie o doručení. Úložná lehota je podľa zákona o e-Governmente 15 dní a plynie odo dňa nasledujúceho po dni uloženia elektronickej správy. Uložením elektronickej správy sa rozumie okamih, odkedy je správa objektívne dostupná v elektronickej schránke adresáta.
Uplatnenie fikcie doručenia teda znamená, že ak v úložnej lehote nepotvrdíte notifikáciu o doručení, rozhodnutie sa bude považovať márnym uplynutím tejto lehoty za doručené, t. j. nastanú jeho právne účinky[8]. Aj s ohľadom na túto úpravu je rozumné mať nastavené SMS notifikácie o došlej pošte vo Vašej e-schránke (viď video návod na ich nastavenie od NASES).
[1]Rozsudok Európskeho súdneho dvoru vo veci rozsudok vo veci C-212/13 František Ryneš proti Úradu na ochranu osobných údajov Českej republiky zo dňa 11. decembra 2014
[2] Pozri bližšie Nález Ústavného súdu Slovenskej republiky II. ÚS 792/2016-62 zo dňa 09. mája 2017
[3] § 81 ods. 3 písm. b) Zákona o ochrane osobných údajov: „Úrad je pri plnení svojich úloh povinný získať od prevádzkovateľa a sprostredkovateľa prístup k osobným údajom a informáciám, ktoré sú nevyhnutné na plnenie jeho úloh; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.“
[4] Podľa § 94 písm. g) Zákona o ochrane osobných údajov je kontrolovaná osoba povinná: „poskytnúť kontrolnému orgánu úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam“
[5] Pozri výklad k námietkam voči kontrolným zisteniam
[6] Podľa § 109 zákona o ochrane osobných údajov platí, že: „Každý je povinný poskytnúť úradu potrebnú súčinnosť pri výkone jeho úloh a právomoci a umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona alebo osobitného predpisu2) a rozhodnutí vydaných na základe tohto zákona. Týmto nie sú dotknuté ustanovenia § 81 ods. 7 a 8.“
[7] Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente)
[8] Viď bližšie https://www.slovensko.sk/sk/zivotne-situacie/zivotna-situacia/_centralne-uradne-dorucovanie/#ako a https://www.slovensko.sk/sk/faq/faq-podania
Neváhajte nás kontaktovať. Naši odborníci sú vám k dispozícii.
NKÚ zverejnil záverečnú správu s názvom „Systém ochrany a bezpečnosti osobných údajov vo verejnom sektore“. V rámci kontrolnej akcie sa NKÚ zameral na to, ako vybraných 62 subjektov z verejného sektora dodržiava pravidlá na ochranu osobných údajov.
Dňa 14. mája 2024 zverejnil Úrad na ochranu osobných údajov SR (ďalej len "Úrad") svoju výročnú správu za rok 2023. V tomto príspevku porovnáme túto výročnú správu s našou Správou o ochrane osobných údajov za rok 2023, ktorú sme publikovali dňa 22. februára 2024. Naša kancelária od roku 2020 vydáva svoje vlastné správy, pretože Úrad nezverejňuje svoje právoplatné rozhodnutia na svojom webom sídle. Od roku 2020 tiež sledujeme, ako Úrad v každej výročnej správe opakuje, že má málo zamestnancov, je v katastrofálnej personálnej situácii, je pred kolapsom a že mu pribúda agendy. V tomto duchu je opäť písaná aj posledná výročná správa. K tomu pribudla nová informácia, že Úrad sa má do konca roka 2024 vysťahovať z aktuálnych priestorov na Hraničnej ulici a objednal si v máji 2024 personálny audit. Ak teda samotný regulátor tvrdí, že má problémy a už tretia vláda mu nedokázala pomôcť, možno len nepoznáme riešenia. Tie však existujú a pokúsim sa ich v tomto príspevku navrhnúť.
Pre veľkú časť verejnosti GDPR stále nedáva zmysel a odpovede na praktické otázky. Už dlhšie sa snažíme vysvetliť, že problémom nie je GDPR. Problémom je náš právny poriadok, nesprávny výklad GDPR a nevyhnutne aj zákon o ochrane osobných údajov.