Zmeny v ochrane osobných údajov účinné od 25.05.2018 boli od počiatku prezentované cez hrozbu pokút až do výšku 20 miliónov eur alebo pri podniku 4 % z celkového svetového ročného obratu (podľa toho, čo je vyššia suma). Ako to je v skutočnosti podľa GDPR s kontrolnou činnosťou Úradu na ochranu osobných údajov a s možnosťou uloženia pokút podľa súčasne platnej a účinnej právnej úpravy, si vysvetlíme v ďalšom článku z našej GDPR série.
Ako môže začať kontrola?
Tzv. konanie o ochrane osobných údajov môže začať na návrh dotknutej osoby, teda osoby, ktorej údaje spracúvate – napr. na návrh vášho zákazníka, čitateľa, zamestnanca.
Toto konanie, a teda v skratke aj kontrola, môže začať aj na návrh inej osoby (čo je omnoho rizikovejšie) – a to na návrh osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach. Táto osoba k vám nemusí mať žiaden právny vzťah, no môže mať informácie, že u vás nie je niečo v poriadku. Môže ísť napr. o bývalého zamestnanca alebo o konkurenta.
Samozrejme, tento výkon práva podať návrh nemôže byť tzv. šikanóznym výkonom práva, lebo v takom prípade môžete od konkurenta, ktorý na vás opakovane podáva neopodstatnené sťažnosti v oblasti ochrany osobných údajov požadovať v súdnom konaní aj náhradu škody. Je dosť diskutabilné, či vôbec môžu byť porušené práva vášho konkurenta, ak vám svoje osobné údaje nezadával a v takom prípade by mal taký neopodstatnený návrh úrad odložiť a nekonať.
Úrad nebude konať ani v prípade, ak od tvrdeného porušenia práv dotknutej alebo inej osoby uplynuli v deň doručenia návrhu (podnetu) na úrad viac ako tri roky.
Okrem uvedeného môže úrad konanie o ochrane osobných údajov začať aj bez návrhu – a teda úrad môže začať kontrolu aj na základe výsledkov z vlastnej činnosti, ak má podozrenie, že ste porušili ochranu spracúvaných osobných údajov alebo aj len z dôvodu, že ste zaradený do tzv. plánu kontrol.
Ako asi bude vyzerať kontrola?
Ak si úrad potrebuje overiť skutočnosti o porušení ochrany osobných údajov tvrdené v návrhu na začatie konania o ochrane osobných údajov, môže prísť na kontrolu.
V takom prípade vám najčastejšie vopred príde písomné oznámenie o predmete kontroly a úrad vám zároveň oznámi aj dátum a čas vykonania kontroly – a to v lehote minimálne 10 dní pred jej vykonaním. Výnimku z tohto pravidla predstavuje situácia, ak by uvedené písomné oznámenie mohlo zmariť účel kontroly alebo ju podstatne sťažiť.
Kontrolór úradu je povinný sa vám pred začatím kontroly a kedykoľvek na vaše požiadanie preukázať poverením Úradu na ochranu osobných údajov. To, ako má poverenie vyzerať, bude zverejnené na webovom sídle úradu.
V prípade kontroly ste povinný umožniť kontrolórovi prístup k požadovaným dokumentom ako aj k informačným systémom – no o akomkoľvek úkone a odovzdaní dokumentov si vyžadujte potvrdenie a v prípade nejasností ohľadne výsledkov kontroly uveďte vaše námietky do protokolu o vykonanej kontrole, ktorý je kontrolór s vami povinný prerokovať.
Ak kontrola u vás porušenie nezistí, nespíše s vami protokol, ale naopak: záznam o vykonaní kontroly, čo je prvý pozitívny znak, že všetko je ok 🙂
S kontrolórmi je lepšie spolupracovať a komunikovať. Spolupráca a poskytnutie súčinnosti môže v prípade zistenia porušenia znížiť výšku pokuty, príp. úrad ani nemusí siahnuť k uloženiu pokuty.
A ako je to s obávanými pokutami?
Pokuty sú hlavným strašiakom podľa GDPR – no základná informácia, ktorú je potrebné mať na pamäti je, že úrad môže, no NEMUSÍ uložiť pokutu a obávané sumy vo výške 20 miliónov eur sú horným stropom ukladaných pokút.
V zmysle GDPR je úrad povinný ukladať pokuty (ak si ich zvolí ako prostriedok namiesto iných opatrení alebo popri nich) v závislosti od okolností každého jednotlivého prípadu tak, aby ukladané pokuty boli účinné, primerané a odrádzajúce.
Úrad je teda na základe výsledku kontroly oprávnený nariadiť prijatie opatrení na nápravu zistených nedostatkov v stanovenej lehote alebo uložiť vykonanie tzv. posúdenia vplyvu na ochranu osobných, ktoré sme si uvádzali pri administratíve prevádzkovateľa, prípadne môže prikázať obmedzenie spracúvania osobných údajov alebo ich zakázať a pod.
Ak úrad pristúpi k uloženiu pokuty, pri jej ukladaní vezme do úvahy okrem iného aj:
– povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo porušenie vplyv, a rozsah škody, ak vznikla;
– opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli;
– mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov;
– kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka – preto pozor pri spracúvaní extra citlivých osobných údajov;
– priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných údajov;
– spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu – prevádzkovateľ alebo sprostredkovateľ sú povinní oznámiť úradu únik údajov do 72 hodín odkedy sa o ňom dozvedeli, a to prostredníctvom formulára na webe úradu.
Tu ide v podstate o „priznanie chyby“ na strane prevádzkovateľa alebo sprostredkovateľa voči úradu, no v konaní pred úradom je splnenie oznamovacej povinnosti pre vás výhodné. Považuje sa za poľahčujúcu okolnosť. Neoznámenie je okolnosťou priťažujúcou. Túto povinnosť však nemáte v prípade ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
Napr.
Niekto vám ukradne notebook, na ktorom sú údaje vašich zákazníkov v zašifrovanej podobe a prihlasovanie podlieha dvojitému overovaniu – nie je pravdepodobné, aby sa k údajom vašich zákazníkov zlodej dostal a zneužil ich – a preto vám oznamovacia povinnosť nevzniká. (Technické opatrenia odporúčam prekonzultovať s informatikom).
Mnoho nám v oblasti ukladaných sankcií ukáže prax úradu pri vykonávaných kontrolách. A preto je potrebné sledovať stanoviská Úradu na ochranu osobných údajov zverejňované na webovej stránke www.dataprotection.gov.sk a v neposlednom rade si splniť základné povinnosti, ktoré sme si prešli v našej GDPR sérii.
Všetky diely seriálu o GDPR:
- GDPR 2018: strašiak alebo pomocník?
- GDPR a spracovanie osobných údajov: stačí súhlas?
- GDPR: o čom všetkom informovať zákazníka?
- GDPR: právo na zabudnutie a ďalšie práva I.
- GDPR: právo na zabudnutie a ďalšie práva II.
- GDPR a analýza správania zákazníkov
- GDPR: administratíva prevádzkovateľa
- GDPR: sprostredkovateľská zmluva
- GDPR: kontrola, úrad, pokuty (práve čítate)
- GDPR: 10 + 1 najčastejších otázok a odpovedí I.
- GDPR: 10 + 1 najčastejších otázok a odpovedí II.
Pridať komentár