Preskočiť na obsah

Kontrola z Úradu na ochranu osobných údajov

Začatie kontroly Úradu na ochranu osobných údajov

Úrad na ochranu osobných údajov SR (ďalej len „úrad“) je oprávnený vykonávať inter alia[i] kontrolu spracúvania osobných údajov. Kontrola je upravená v § 90 a nasl. Zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „Zákon o ochrane osobných údajov“). Na výkon kontroly sa nevzťahuje Zákon č. 10/1996 Z. z. o kontrole v štátnej správe ani Správny poriadok (okrem doručovania písomností pri výkone kontroly). Kontrolu úrad vykonáva prostredníctvom kontrolného orgánu zloženého zo zamestnancov úradu (kontrolný orgán).

Členovia kontrolného orgánu vykonávajú kontrolu na základe písomného poverenia, ktoré obsahuje nasledovné náležitosti:

  • identifikačné údaje úradu,
  • identifikačné údaje kontrolovanej osoby,
  • titul, meno a priezvisko člena kontrolného orgánu, ktorý má kontrolu vykonať,
  • odtlačok úradnej pečiatky a podpis.

Kontrola je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi alebo sprostredkovateľovi, zástupcovi prevádzkovateľa alebo zástupcovi sprostredkovateľa, ak bol poverený, alebo monitorujúcemu subjektu podľa, alebo certifikačnému subjektu (ďalej len „kontrolovaná osoba“).

Kontrolný orgán vykoná kontrolu na základe plánu kontrol alebo na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených Zákonom o ochrane osobných údajov alebo GDPR alebo v rámci konania o ochrane osobných údajov.

Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.

Zaujatosť kontrolného orgánu

Člen kontrolného orgánu, ktorý sa dozvedel o skutočnostiach zakladajúcich pochybnosti o jeho nezaujatosti alebo pochybnosti o nezaujatosti iného člena kontrolného orgánu, je povinný tieto skutočnosti bez zbytočného odkladu písomne oznámiť tomu, kto ho poveril.

Ak má kontrolovaná osoba pochybnosti o nezaujatosti kontrolného orgánu alebo jeho člena (so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe), má právo podať písomné námietky s uvedením dôvodu. Lehota na podanie námietok je 15 dní odo dňa, kedy sa kontrolovaná osoba o tejto skutočnosti dozvedela. Podanie námietok nemá odkladný účinok, kontrolný orgán je však oprávnený vykonať pri kontrole len také úkony, ktoré neznesú odklad.

O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného orgánu následne rozhodne ten, kto kontrolný orgán poveril v lehote desiatich pracovných dní od ich uplatnenia a písomné vyhodnotenie rozhodnutia doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.

Povinnosti kontrolného orgánu

Kontrolný orgán je povinný:

  • vopred písomne oznámiť kontrolovanej osobe predmet kontroly; v prípade, ak by oznámenie o kontrole pred začatím výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže predmet kontroly oznámiť bezprostredne pred výkonom kontroly,
  • písomne oznámiť dátum a čas výkonu kontroly v lehote najmenej desiatich dní pred vykonaním kontroly; ak by oznámenie o začatí výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže začatie výkonu kontroly oznámiť bezprostredne pred výkonom kontroly,
  • pred začatím výkonu kontroly a kedykoľvek na požiadanie kontrolovanej osoby, sa preukázať poverením na vykonanie kontroly a služobným preukazom,
  • vypracovať zápisnicu o priebehu výkonu kontroly,
  • vypracovať protokol o kontrole, v ktorom sú uvedené kontrolné zistenia (ďalej len „protokol“), alebo záznam o kontrole,
  • uviesť vyjadrenia kontrolovanej osoby v protokole alebo zázname o kontrole,
  • vypracovať zápisnicu o podaní vysvetlenia (vysvetlenie kontrolovanej osoby k predmetu kontroly),
  • odovzdať kontrolovanej osobe jedno vyhotovenie zápisnice o priebehu výkonu kontroly, zápisnice o podaní vysvetlenia, protokolu alebo záznamu o kontrole,
  • písomne potvrdiť kontrolovanej osobe prevzatie originálu dokladov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a dôkazov a zabezpečiť ich riadnu ochranu pred ich stratou, zničením, poškodením alebo ich zneužitím,
  • posúdiť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu,
  • prerokovať protokol s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní.

Oprávnenia kontrolného orgánu

Kontrolný orgán je oprávnený

  • vstupovať na pozemok a do priestorov kontrolovanej osoby, ak na to nie je potrebné povolenie podľa osobitného predpisu (napr. zákon č. 215/2004 Z. z. ochrane utajovaných skutočností),
  • mať prístup k prostriedkom a zariadeniam, ktoré môžu slúžiť alebo slúžia, alebo mali slúžiť na spracúvanie osobných údajov kontrolovanou osobou,
  • mať prístup k údajom v automatizovaných prostriedkoch spracúvania do úrovne správcu systému vrátane v rozsahu potrebnom na vykonanie kontroly,
  • overovať totožnosť fyzických osôb, ktoré v mene kontrolovanej osoby konajú alebo poskytujú kontrolnému orgánu súčinnosť,
  • vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla originál dokladov alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii v súlade s podmienkami ich nadobudnutia, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch mu umožnila odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
  • požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným skutočnostiam a s kontrolou súvisiacim skutočnostiam,
  • zdokumentovať dôkazy súvisiace s výkonom kontroly vyhotovovaním fotodokumentácie, audiozáznamu, videozáznamu alebo audiovizuálneho záznamu, a to aj bez súhlasu dotknutej osoby,
  • vyžadovať aj inú súčinnosť kontrolovanej osoby v rozsahu predmetu kontroly,
  • vyžadovať poskytnutie súčinnosti na mieste výkonu kontroly aj od inej než kontrolovanej osoby, najmä od sprostredkovateľa kontrolovanej osoby a jeho zamestnancov, alebo iných osôb, ak je dôvod predpokladať, že ich činnosť má vzťah k predmetu kontroly alebo ak je to potrebné na objasnenie skutočností súvisiacich s predmetom kontroly,
  • predvolať v určenom čase a na určené miesto kontrolovanú osobu a aj inú než kontrolovanú osobu s cieľom podať vysvetlenie k predmetu kontroly,
  • vykonávať spoločné operácie spolu s dozornými orgánmi iných členských štátov podľa čl. 62 GDPR.

Povinnosti kontrolovanej osoby pri kontrole z Úradu na ochranu osobných údajov

Kontrolovaná osoba je povinná:

  • strpieť výkon kontroly a vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
  • poskytnúť kontrolnému orgánu súčinnosť nevyhnutnú na riadny výkon kontroly, najmä pri dokumentovaní primeranej úrovne bezpečnosti s ohľadom na riziká, ktoré predstavuje spracúvanie osobných údajov v podmienkach prevádzkovateľa a sprostredkovateľa,
  • v čase výkonu kontroly zabezpečiť kontrolnému orgánu dostupný a bezpečný prístup k zariadeniam, prostriedkom a k informačným systémom,
  • poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
  • dostaviť sa na predvolanie kontrolného orgánu s cieľom podať vysvetlenia k predmetu kontroly,
  • v určenej lehote poskytnúť kontrolnému orgánu originál alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch umožniť odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
  • poskytnúť kontrolnému orgánu úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam,
  • na požiadanie kontrolného orgánu sa dostaviť na prerokovanie protokolu. 

Oprávnenia kontrolovanej osoby

Kontrolovaná osoba je oprávnená:

  • priebežne sa vyjadrovať ku skutočnostiam zisteným v priebehu kontroly,
  • oboznámiť sa s obsahom protokolu a podať písomné námietky po oboznámení sa s kontrolnými zisteniami v protokole,
  • vyžadovať od kontrolného orgánu preukázanie skutočností (oznámenie dátumu a času kontroly a preukázanie sa poverením a služobným preukazom),
  • vyžadovať od prizvanej osoby preukázanie sa písomným poverením predsedu úradu,
  • vyžadovať od kontrolného orgánu potvrdenie o odobratí originálu dokladov alebo kópie dokladov.

Prizvaná osoba pri kontrole z Úradu na ochranu osobných údajov

Kontrolný orgán môže prizvať na vykonanie kontroly inú fyzickú osobu alebo zástupcu dozorného orgánu z iného členského štátu (ďalej spolu len „prizvaná osoba“), ak je na to dôvod kvôli osobitnej povahe kontroly. Účasť prizvanej osoby pri výkone kontroly sa považuje za iný úkon vo všeobecnom záujme.

Prizvaná osoba sa zúčastňuje kontroly na základe písomného poverenia predsedu úradu, pričom o prizvaní kontrolný orgán vopred prizvanú osobu upovedomí.

Najneskôr pri začatí výkonu kontroly prizvaná osoba preukáže svoje oprávnenie na vykonanie kontroly kontrolovanej osobe písomným poverením na vykonanie kontroly.

Prizvaná osoba má povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedela počas výkonu kontroly, a to aj po jej ukončení. Povinnosti mlčanlivosti môže prizvanú osobu zbaviť predseda úradu.

Prizvaná osoba nemôže vykonávať úlohy podľa Zákona o ochrane osobných údajov alebo GDPR, ak so zreteľom na jej vzťah k predmetu kontroly alebo ku kontrolovanej osobe možno mať pochybnosti o jej nezaujatosti. Prizvaná osoba, ktorá vie o skutočnostiach zakladajúcich pochybnosti o jej nezaujatosti, oznámi tieto skutočnosti bez zbytočného odkladu predsedovi úradu.

Kontrolovaná osoba môže písomne vzniesť odôvodnené námietky o zaujatosti prizvanej osoby. Prizvaná osoba následne môže do rozhodnutia o námietkach zaujatosti vykonať v rámci kontroly len také úkony, ktoré neznesú odklad.

O oznámení zaujatosti prizvanou osobou a o námietkach zaujatosti kontrolovanej osoby rozhodne predseda úradu v lehote do desiatich pracovných dní od ich doručenia. Proti rozhodnutiu predsedu úradu nemožno podať rozklad.

Ukončenie kontroly

Výsledkom kontroly je protokol alebo záznam o kontrole.

Ak boli kontrolou zistené nedostatky pri spracúvaní osobných údajov, kontrolný orgán vypracuje protokol, ktorý obsahuje:

  • identifikačné údaje úradu,
  • identifikačné údaje kontrolovanej osoby,
  • dátum začatia kontroly,
  • predmet kontroly,
  • preukázané kontrolné zistenia s ich odôvodnením,
  • titul, meno a priezvisko člena kontrolného orgánu, ktorý kontrolu vykonal,
  • dátum vypracovania protokolu,
  • odtlačok úradnej pečiatky úradu a podpisy členov kontrolného orgánu.

Ak protokol obsahuje prílohy preukazujúce kontrolné zistenia, tieto tvoria súčasť protokolu.

Kontrolovaná osoba má po oboznámení sa s kontrolnými zisteniami v protokole právo podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu. Na neskôr podané námietky kontrolný orgán neprihliada.

Ak kontrolovaná osoba proti kontrolným zisteniam podala námietky alebo vyšli najavo nové skutočnosti, týkajúce sa predmetu kontroly, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovanej osoby, je povinný to v dodatku zdôvodniť.

Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 pracovných dní odo dňa doručenia námietok.

Kontrolný orgán písomne vyzve kontrolovanú osobu na prerokovanie protokolu po doručení výsledku preskúmania námietok kontrolovanej osobe alebo po márnom uplynutí lehoty na podanie námietok kontrolovanou osobou; kontrolný orgán vypracuje zápisnicu o prerokovaní protokolu, ktorá je súčasťou protokolu.

Ak sa kontrolou nezistí porušenie povinností ustanovených Zákonom o ochrane osobných údajov alebo GDPR kontrolný orgán vypracuje záznam o kontrole.

Kontrola je ukončená:

  • dňom podpísania zápisnice o prerokovaní protokolu,
  • dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam,
  • dňom nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam, alebo
  • dňom doručenia záznamu o kontrole.

Ako vám môžeme pomôcť?

  • budeme vás zastupovať počas výkonu kontroly,
  • pripravíme vám vyjadrenia k skutočnostiam zistením v priebehu kontroly,
  • pripravíme vám písomné námietky k zisteniam uvedeným v protokole o kontrole,
  • ak kontrolné zistenia budú viesť k začatiu konania o ochrane osobných údajov, budeme vás zastupovať v tomto konaní.

Prečítate si aj:

Konanie o ochrane osobných údajov

Plán kontrol na rok 2022


[i] ÚOOÚ môže kontrolovať aj dodržiavanie kódexu správania, súlad spracúvania s vydaným certifikátom a dodržiavanie osvedčenia o udelení akreditácie.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Nie je možné kopírovať obsah tejto stránky.