Kontrola Úradu na ochranu osobných údajov

Ut, 02/05/2019 - 15:22
Kontrola Úradu na ochranu osobných údajov - Dagital

Stará múdrosť hovorí, že je neskoro plakať nad rozliatym mliekom. Platí to aj pre začatie kontroly Úradu na ochranu osobných údajov („Úrad“). Čo však robiť, ak ste sa dozvedeli, že Vás čaká kontrola Úradu a ako sa na ňu pripraviť?

V prvom rade by ste mali vedieť čo Vás čaká po právnej, ale aj praktickej stránke. Pokúsim sa tieto osobitnosti vysvetliť v sérii blogov zameraných na procesnú stránku GDPR a najmä zákona č. 18/2018 Z. z., o ochrane osobných údajov („Zákon“), pričom vychádzam najmä z mojich praktických skúseností s kontrolami ako bývalý vedúci oddelenia inšpekčných a analytických činností Úradu a zároveň ako právny zástupca viacerých kontrolovaných osôb počas môjho pôsobenia v advokácii.

Kontrola vs. konanie o ochrane osobných údajov

GDPR obsahuje iba základné procesné zásady a princípy[1] a ponecháva tým členským štátom značnú voľnosť pri úprave vlastných procesných pravidiel.[2] Väčšinu procesných pravidiel preto nájdeme v piatej a šiestej časti Zákona (§ 80 až § 110 Zákona). Pre naše predpisy v oblasti ochrany osobných údajov je typické, že rozlišujú medzi kontrolou (§ 90 Zákona) a konaním o ochrane osobných údajov (§ 99 Zákona) (ďalej len „konanie“).

Zjednodušene možno povedať, že kontrola slúži na získanie dôkazov a podkladov pre neskoršie správne rozhodnutie a konanie slúži na vydanie nápravných a sankčných rozhodnutí (napr. uloženia pokuty). Konanie môže prebiehať aj bez kontroly, konanie a kontrola môžu existovať popri sebe, ale nie je zriedkavé, že konanie sa môže začať aj niekoľko mesiacov po skončení kontroly. Interne, v rámci Úradu, kontrolu zabezpečuje a vedie odbor kontroly a konanie zabezpečuje a vedie odbor správnych konaní. Dôležité je, že pokutu možno dostať len v konaní, nie v kontrole.

V tomto smere je dôležité rozlišovať všeobecný podnet a návrh na začatie konania o ochrane osobných údajov. Hlavným rozdielom odlišujúcim návrh na začatie konania (§ 100 ods. 1 a 3 Zákona) od podnetu je ten, že návrh môže podať len dotknutá osoba, ktorá tvrdí, že konkrétne identifikovaný subjekt protiprávne spracúva jej osobné údaje (najčastejšie zákazník alebo zamestnanec).

Ak dotknutá osoba podá návrh na začatie konania, Úrad má povinnosť konať a musí ho vybaviť[3], čo znamená, že musí začať konanie. V praxi to však často znamená, že Úrad potrebuje získať podklady potrebné na vydanie správneho rozhodnutia, a preto začne aj kontrolu. Na druhej strane podnet môže podať ktokoľvek a nemusí mať žiadne predpísané obsahové náležitosti. Je len na úvahe Úradu, či podnet vyhodnotí z hľadiska podozrení o porušovaní GDPR alebo Zákona tak, že začne konanie, kontrolu alebo podnet iba „odloží do spisu“.

Začatie kontroly

Kontrola môže začať na základe ročného plánu kontrol Úradu, na základe podozrenia Úradu z porušenia povinností pri spracúvaní osobných údajov alebo v rámci konania.[4] Plán kontrol Úrad každoročne zverejňuje na svojej webstránke[5]. V roku 2018 boli napr. do plánu kontrol zahrnuté mestá, obce a vyššie územné celky, pričom plán kontrol na rok 2019 obsahuje najmä nasledovné spracovateľské činnosti:

        Spracúvanie osobných údajov prostredníctvom sprostredkovateľa;

        Spracúvanie osobných údajov poštovými podnikmi;

        Spracúvanie osobných údajov bez potreby identifikácie dotknutých osôb;

        Spracúvanie osobných údajov dotknutých osôb subjektami poskytujúcimi služby požičovne;

        Spracúvanie osobných údajov dotknutých osôb orgánmi štátnej správy;

        Spracúvanie biometrických údajov na účely jedinečnej identifikácie dotknutých osôb; 

        Spracúvanie osobných údajov dotknutých osôb orgánmi štátnej správy.

Bližšie informácie o predmetoch kontrol nájdete v aktuálnom pláne kontrol[6]. V minulosti mal Úrad tiež v pláne napríklad kontrolu e-shopov, cestovných kancelárií, profesijných portálov alebo autopožičovní.

Formálno-právne kontrola začína až dňom doručenia oznámenia o začatí kontroly kontrolovanému subjektu, pričom dané oznámenie musí obsahovať aj predmet kontroly, ako aj dátum, miesto a čas kontroly. Typicky dané oznámenie býva doručené vopred poštou a dáva kontrolovanému subjektu 10 dní na prípravu (§ 92 písm. b) Zákona).

Avšak, nemusí to tak byť vždy. Aj Úrad má právomoc bez oznámenia „zaklopať na dvere“.[7] Z mojich skúseností to však nie je pravidlom a Úrad tak robí skôr výnimočne a navyše na to musí existovať obhájiteľný dôvod. Pripraviť sa na „prepadovku“ Úradu nie je možné a jediné čo v tomto prípade možno odporučiť kontrolovanému subjektu je to isté, čo platí pre všetky správne konania – využívať pri kontrole svoje procesné práva a tým zvyšovať pravdepodobnosť procesného pochybenia na strane Úradu (viď posledná časť tohto blogu).

Ako sa pripraviť na oznámenú kontrolu?

V prvom rade odporúčam prečítať si predmet kontroly vymedzený v oznámení o začatí kontroly. Ten prakticky býva vymedzený pomerne široko, avšak vždy sa z neho dá vyčítať, na čo sa budú inšpektori Úradu pri kontrole pravdepodobne zameriavať. Je potrebné si uvedomiť, že vymedzením predmetu kontroly je Úrad viazaný pri všetkých úkonoch kontroly.

Prirodzeným postupom po obdržaní oznámenia o začatí kontroly je poradiť sa s právnym poradcom, ktorý má reálne skúsenosti s kontrolami Úradu a je oprávnený Vás v správnom konaní zastupovať. Úrad by nemal namietať voči tomu, aby sa kontrolovaný subjekt počas kontroly radil so svojou zodpovednou osobou (ktorou môže byť aj externá spoločnosť).

Počas schvaľovania kódexu správania Slovenskej advokátskej komory sme sa však dozvedeli, že odbor správnych konaní Úradu, začal vnímať oveľa citlivejšie otázku konfliktov záujmov zodpovednej osoby. Z tohto dôvodu, bod 9.3.4 nášho kódexu správania odporúča advokátom, ktorí sú zodpovednými osobami u klienta, aby danému klientovi súčasne neposkytovali iné právne služby ako napr. zastupovanie pri kontrolách. Analogicky to môže platiť aj pre iné zodpovedné osoby.

Nasledovať by mala dobre premyslená právna príprava na kontrolu a nie „manufaktúra“ všetkej chýbajúcej dokumentácie. Cieľom tejto prípravy je odstránenie právnych nedostatkov, pripravenie právnej argumentácie a celkovej stratégie počas kontroly. Stratégia sa môže líšiť podľa toho, či pri kontrole plánujete zmierňovať zjavné porušenie pravidiel, ktoré priznáte alebo plánujete argumentovať v prospech neporušenia pravidiel.

Ak sa rozhodnete pripravovať v tejto fáze chýbajúcu dokumentáciu, je nutné tak robiť veľmi opatrným a uveriteľným spôsobom vzhľadom k tomu, čo sa už môže v tom čase nachádzať v spise a vzhľadom k tomu, že zavádzanie (alebo dokonca klamanie) Úradu môže byť považované za marenie výkonu kontroly. Je potrebné si uvedomiť, že kontrolu najčastejšie spôsobuje podnet alebo návrh dotknutej osoby, ktorý je odôvodnený a môže obsahovať konkrétne dôkazy o nesúlade - prípadne tieto už mohol pred začatím kontroly zabezpečiť sám Úrad.

Pre inšpektora je veľmi užitočné, ak ste sa na kontrolu pripravení tým, že všetku dokumentáciu o ochrane osobných údajov máte pripravenú na jednom mieste, ideálne v prehľadnom spise. Úplne ústretovým postupom, je mať pripravenú celú kópiu spisu tak, aby si ju mohol inšpektor zobrať so sebou. Avšak, nemusí to byť ideálna taktika vždy, najmä ak hráte o čas.  

Ak hráte o čas, písomná a rozumne odôvodnená žiadosť o preloženie termínu kontroly môže v niektorých prípadoch zafungovať. O čas sa dá hrať aj rozumným využívaním procesných oprávnení kontrolovaného subjektu.

Zamyslite sa tiež nad prípadnou zaujatosťou členov kontrolného orgánu vo vzťahu k Vašej spoločnosti, či dôležitým osobám v nej, príp. aj vo vzťahu k predmetu kontroly. Už v oznámení o začatí kontroly je totiž podpísaný poverený inšpektor, ktorý bude Vašu kontrolu viesť a tiež je tam možné spravidla nájsť aj identifikáciu analytika, ktorý bude členom kontrolného orgánu (viď „vybavuje“ v záhlaví dokumentu).

Zákon sprísnil časovú lehotu na podanie námietok zaujatosti na 15 dní odo dňa, keď sa kontrolovaná osoba o dôvodoch zaujatosti dozvedela, čo môže byť teoreticky počítané práve od doručenia oznámenia o začatí kontroly. Považujem za rozumné uplatniť prípadnú námietku zaujatosti bezodkladne po doručení oznámenia o začatí kontroly písomne a nie v deň a na mieste kontroly.

Spomenul by som tu tiež v praxi síce málo používaný, ale zaujímavý inštitút prizvanej osoby podľa § 96 Zákona. Pôvodne mal slúžiť na to, aby sa kontroly mohli zúčastňovať externí technickí experti asistujúci Úradu a aktuálne umožňuje aj zapojenie úradníkov zo zahraničných dozorných orgánov v prípadoch s cezhraničnými prvkami previazanými s pravidlami jednotného kontaktného miesta (tzv. one-stop-shop).

Nie je však vylúčené písomne žiadať o poverenie prizvanej osoby aj zo strany kontrolovaného subjektu, aj keď Úrad nemusí takej žiadosti vyhovieť. Čl. 90 GDPR oprávňuje členské štáty prijať osobitné pravidlá pre prístup dozorných orgánov k osobným údajom, zariadeniam a priestorom kontrolovanej osoby, ak má táto osoba povinnosť zachovávať mlčanlivosť (napr. advokáti, banky, poisťovne a ďalšie regulované subjekty). Pri kódexe správania SAK sa uvažovalo o využití inštitútu prizvanej osoby v tejto súvislosti, avšak ustanovenie sa nakoniec do kódexu nedostalo.

Ak by mohlo kontrolou dôjsť k porušeniu zákonom stanovenej povinnosti zachovať mlčanlivosť, myslím si, že by stálo za pokus požiadať pred začatím kontroly Úrad o poverenie ako prizvanej osoby napr. nestranného zástupcu stavovskej organizácie alebo združenia, ktorého je kontrolovaná osoba členom. Úrad má totiž, podľa môjho názoru, povinnosť rešpektovať povinnosť mlčanlivosti ustanovenú v osobitných zákonoch (viď § 79 ods. 3 Zákona) a nesmie ju porušiť ani výkonom svojich kontrolných oprávnení podľa § 93 Zákona.

Čo robiť počas výkonu kontroly?

V minulosti boli zaznamenané prípady návštev falošných inšpektorov.[8] V prvom rade je preto potrebné riadne preveriť dokumenty, ktoré Vám členovia kontrolného orgánu musia pri začatí kontroly predložiť. Inšpektori by mali byť  najmenej dvaja, mali by prísť na služobnom vozidle Úradu[9] a mali by sa preukázať služobným preukazom (starší typu tu, novší typ tu) a poverením na vykonanie kontroly (vzor je dostupný tu).

Úrad nikdy neukladá blokové pokuty a nikdy nepožaduje platbu v hotovosti. Členovia kontrolného orgánu majú svoje rutinné postupy a zvyklosti, ktoré sa môžu líšiť, ale v praxi zvykne inšpektor kontrolu uviesť a v skratke vysvetliť právny proces ako aj úkony, ktoré sa budú v daný kontrolný deň realizovať.

Jednotlivým procesným úkonom počas kontroly by som sa chcel podrobnejšie venovať v ďalších blogoch. Úradu by ste však vždy mali vytvoriť primerané podmienky na výkon kontroly a mali by ste sa vyvarovať čohokoľvek, čo by bolo možné vykladať ako marenie kontroly, za ktorú je Úrad oprávnený ukladať poriadkovú pokutu až do 10 tisíc eur (§ 94 ods. 2 písm. b) Zákona).

V minulosti Úrad uplatnil poriadkovú pokutu napr. za to, že pri vopred oznámenej kontrole neboli na mieste jej výkonu pripravené osoby oprávnené konať a zastupovať kontrolovanú osobu, či za ignorovanie výziev Úradu dostaviť sa na prerokovanie protokolu. Podľa môjho názoru je možné poriadkovú pokutu za marenie výkonu kontroly udeliť aj v prípade, ak kontrolovaná osoba vedome klame, zavádza alebo inak sťažuje výkon kontroly. Ak Vám na to inšpektor príde a zdokumentuje to v zápisnici z výkonu kontroly, je na mieste následne očakávať začatie správneho konania vo veci uloženia poriadkovej pokuty.

Oplatí sa vyhradiť inšpektorom vlastnú zasadaciu miestnosť s dostatočne veľkým stolom, prístupom k elektrine, kompletnou dokumentáciou a nezaškodí byť k inšpektorom pohostinný. Inšpektori sú spravidla vybavení prenosnými tlačiarňami. Pre uľahčenie práce im môžete ponúknuť vytlačenie zápisnice z výkonu kontroly aj na Vašom zariadení. Nie je dôvod na to, aby kontrola neprebiehala hladko a v profesionálnom duchu.

Ak by ste mali akékoľvek otázky ku kontrolám alebo k tomuto blogu pokojne mi napíšte správu.

JUDr. Ondrej Zimen

 

[1] Napr. právo podať sťažnosť dozornému orgánu podľa čl. 77 GDPR, všeobecné podmienky ukladania správnych pokút podľa čl. 83 GDPR ale aj ďalšie pravidlá a princípy uvedené v čl. 78 až 82 GDPR.

[2] Výnimkou sú procesné otázky s cezhraničným alebo európskym prvom ako napr. mechanizmy spolupráce (tzv. one stop shop) a konzistentnosti upravené najmä v ôsmej kapitole GDPR, ktorým sa v tomto príspevku zámerne nevenujem.

[3] Ak neexistuje dôvod na odloženie návrhu na začatie konania podľa § 100 ods. 5 Zákona.

[4] § 90 ods. 7 Zákona: Kontrolný orgán vykoná kontrolu na základe plánu kontrol alebo na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom (GDPR) alebo v rámci konania o ochrane osobných údajov.“

[5] https://dataprotection.gov.sk/uoou/sk/content/plan-kontrol-na-rok-2018  

[6] https://dataprotection.gov.sk/uoou/sk/content/plan-kontrol-na-rok-2019 

[7] Podľa § 92 písm. b) Zákona je Úrad povinný: „písomne oznámiť dátum a čas výkonu kontroly v lehote najmenej desiatich dní pred vykonaním kontroly; ak by oznámenie o začatí výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže začatie výkonu kontroly oznámiť bezprostredne pred výkonom kontroly

[8]Napr. zmienka tu: https://cernek.blog.sme.sk/c/339228/Falosny-kontrolor-uradu-ochrany-osobny-udajov.html

[9] Úrad v minulosti používal vozidlá typu Hyundai I30 a Škodu Roomster.