V podmienkach Slovenskej republiky je orgánom štátnej správy, ktorý vykonáva dozor nad ochranou osobných údajov Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len ,,Úrad“).
Úrad začne kontrolu:
- na základe návrhu na začatie konanie, ktorý môže podať len dotknutá osoba, ktorá sa domnieva, že dochádza alebo došlo k porušeniu jej práv pri spracúvaní osobných údajov podľa zákona o ochrane osobných údajov alebo podľa nariadenie GDPR,
- na základe podnetu, ktorý podáva osoba iná ako dotknutá osoba,
- z vlastnej iniciatívy, ak má podozrenie, že dochádza k porušovaniu spracúvania osobných údajov alebo aj len z dôvodu zaradenia prevádzkovateľa do plánu kontrol.
Ako prebieha kontrola
Samotná kontrola začína dňom doručenia oznámenia o začatí kontroly kontrolovanému subjektu, napr. obchodnej spoločnosti, obci, škole, občianskemu združeniu a podobne. Jedná sa o dokument v písomnej forme, prostredníctvom ktorého Úrad informuje kontrolovanú osobu o predmete a účele kontroly, o mieste a termíne výkonu kontroly, ako aj o zákonných ustanoveniach, ktorých dodržiavanie bude jedným z predmetov kontroly.
Vo väčšine prípadov je termín kontroly oznámený kontrolovanému subjektu vopred. Tento postup ale Úrad neuplatní v prípade, keď by oznámenie o začatí kontroly v časovom predstihu zmarilo jej účel.
Za deň začatia kontroly sa teda považuje deň doručenia oznámenia o začatí kontroly kontrolovanej osobe. Týmto dňom v prípade „neohlásenej“ kontroly môže byť aj deň, príchodu členov kontrolného orgánu na miesto.
Každý kontrolór je pred začatím samotnej kontroly povinný preukázať sa písomným poverením vedúceho zamestnanca a ak je vedúci zamestnanec členom kontrolného orgánu, členovia kontrolného orgánu vykonávajú kontrolu na základe písomného poverenia predsedu Úradu.
Po príchode na miesto kontroly vedú členovia kontrolného orgánu rozhovor s kontrolovaným subjektom, prostredníctvom ktorého sa inšpektori snažia zistiť skutočnosti dôležité pre zistenie skutkového stavu veci a naplniť tak účel kontroly. Vyjadrenia kontrolovanej osoby sa zapisujú do zápisnice, ktorá tvorí podklad pre výstup z kontrolnej činnosti. V závere kontroly sa vyžaduje, aby kontrolovaný subjekt príslušnú zápisnicu podpísal.
V priebehu kontroly si inšpektori s najväčšou pravdepodobnosťou vyžiadajú fotokópiu relevantných dokumentov. Môže sa jednať o bezpečnostnú dokumentáciu, zmluvy o spracúvaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom, dokumenty, ktoré musí mať podpísané každý zamestnanec – mlčanlivosť, oboznámenie dotknutej osoby, súhlas so spracúvaním osobných údajov na prípady, v rámci ktorých sa osobné údaje zamestnancov môžu spracúvať iba na tomto právnom základe, poverenie dotknutej osoby, ak vykonáva v mene prevádzkovateľa spracovateľské operácie a iné.
Nakoľko v súlade s nariadením GDPR je prevádzkovateľ povinný prijať primerané bezpečnostné opatrenia, treba rátať s tým, že členovia kontrolného orgánu sa zamerajú nielen na teoretické vymedzenie bezpečnostných opatrení, ale aj na ich implementáciu v praxi. To znamená, či si napríklad prevádzkovateľ vedie archív, kde sa nachádza a ako je zabezpečená serverovňa, prípadne ako sú zabezpečené kancelárie pred neoprávneným vstupom osôb, ktoré nie sú oprávnené vstupov a do týchto priestorov, ale aj to, aké opatrenia prevádzkovateľ prijal vzhľadom na zníženie rizika, ktoré nevie ovplyvniť – napríklad v dôsledku prírodných vplyvov.
Subjekty, na ktoré sa v zmysle nariadenia GDPR vzťahuje povinnosť určiť zodpovednú osobu, musia zabezpečiť jej prítomnosť počas priebehu kontroly.
Po ukončení kontroly na mieste sa spíše výstup z jej priebehu. Tento výstup môže mať dve alternatívy:
- záznam – kontrolný orgán ho vypracuje v prípade, ak v rámci kontroly nezistil porušenia zákona o ochrane osobných údajov alebo nariadenia GDPR. Jeho podpísaním sa kontrola oficiálne skončila bez vyvodzovania sankcií vo vzťahu ku kontrolovanému subjektu,
- protokol – kontrolný orgán ho vypracuje, ak v priebehu kontroly zistil nedostatky pri spracúvaní osobných údajov.
Výstup z kontroly Úrad doručí kontrolovanému subjektu. Ak bol výsledkom kontroly protokol, kontrolovaná osoba má v lehote 21 dní odo dňa jeho doručenia právo vzniesť k vyjadreniam uvedeným v protokole námietky. Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 pracovných dní odo dňa doručenia námietok.
Kontrola je ukončená
- podpísaním zápisnice o prerokovaní protokolu,
- odmietnutím podpísať zápisnicu o prerokovaní protokolu,
- nedostavením sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu,
- doručením záznamu o kontrole.
Ak je výsledkom kontrolnej činnosti zistenie porušenia pri spracúvaní osobných údajov, môže Úrad uložiť pokutu až do výšky do 20 000 000 eur, alebo ak ide o podnik, až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
Pár rád na záver
- Ak Vám bude doručené oznámenie o začatí kontroly, vždy kontaktujte svoju zodpovednú osobu, ktorá Vás usmerní ako ďalej postupovať. Zároveň Vám pomôže vykonať predbežný audit, aby sa odstránili prípadne nedostatky, ktoré by mohol Úrad považovať za priťažujúce okolnosti.
- Pri faktickom začatí kontroly, to znamená, keď inšpektori začnú kontrolu na mieste, trvajte na legitimovaní sa členov kontrolného orgánu a následne si predmetné poverenia starostlivo prezrite. Predíde tak falošnej kontrole, ktorá by mala charakter bezpečnostného incidentu. Vzor poverenia nájdete na https://dataprotection.gov.sk/uoou/sites/default/files/vzor_poverenia.pdf
- Členovia kontrolného orgánu určite ocenia, ak si vopred pripravíte fotokópie dokumentov, ktoré budú predmetom kontroly.
- Pri požiadavke odovzdania fotokópií požadovaných dokumentov trvanie na podpísaní odovzdávajúceho protokolu.
- V závere kontroly na mieste sa vyžaduje, aby kontrolovaný subjekt podpísal vyhotovenú zápisnicu. Preto je podstatné, aby ste si zápisnicu pred podpisom riadne prečítali.
- Je vo Vašom najlepšom záujme, aby ste kontrolnému orgánu poskytli riadne a včas požadovanú súčinnosť. Komunikujte s Úradom, pretože v prípade rozhodovania o výške uloženej pokuty, môže byť skutočnosť včasnej spolupráce zohľadnená ako poľahčujúcou alebo priťažujúca okolnosť.