Portál časopisov
Dane a účtovníctvo v praxi a DPH v praxi

Aktuálna téma

Deň ochrany osobných údajov: upozornenie na plánované kontroly zamestnávateľov a vybrané rozhodnutia v oblasti ochrany osobných údajov za rok 2022

Pri príležitosti Dňa ochrany osobných údajov, 28. januára, sme pre Vás pripravili zhrnutie plánov kontrol ÚOOÚ pre rok 2023 a stručný prehľad vybraných slovenských a európskych udalostí a rozhodnutí z oblasti ochrany osobných údajov za minulý rok, ktoré sa môžu týkať aj Vás. 

Kontrola zamestnávateľov ÚOOÚ

Jednou z hlavných výziev pre slovenských zamestnávateľov z hľadiska ochrany osobných údajov bude pre rok 2023 kontrola zo strany ÚOOÚ.

ÚOOÚ vo svojom pláne kontrol pre rok 2023 určil, že sa pri kontrolách zameria okrem iného aj na spracovateľské činnosti zamestnávateľov v oblasti personálnej a mzdovej agendy.

Za uplynulý rok, v ktorom sa na spracovateľské činnosti zamestnancov nezameriaval, uložil ÚOOÚ pokuty napríklad v dvoch prípadoch. V prvom[1] z nich ÚOOÚ pokutoval zamestnávateľa za to, že spracúval údaje o svojej zamestnankyni, konkrétne IP adresu, a sledoval jej polohu. Keďže zamestnávateľ na takéto spracúvanie nedisponoval žiadnym právnym základom či dôvodom na spracúvanie ÚOOÚ mu uložil pokutu.

V druhom prípade sa zamestnávateľ dopustil porušenia, keď riadne nezabezpečil svoje interné systémy, v ktorých uchovával osobné údaje svojich 111 zamestnancov. Do týchto systémov sa neoprávnene dostali tretie osoby, ktorým boli vystavené údaje zamestnancov, ako ich meno, priezvisko, adresa či e-mailová adresa. Aj v tomto prípade bola zamestnávateľovi udelená pokuta a stanovenie ďalších povinností.

Zamestnávateľom odporúčame zaujať proaktívny prístup, nečakať na vykonanie kontroly a vykonať vnútorný audit spracúvania osobných údajov zamestnancov. Audit odporúčame vykonať aj v prípadoch, kedy bol audit síce realizovaný, avšak pred viac ako rokom a pol.

S nastavením spracúvania osobných údajov zamestnancov máme bohaté skúsenosti, s vykonaním auditov a správnym nastavením spracúvania osobných údajov Vám preto radi pomôžeme.

Úroveň EÚ

Na úrovni EÚ  rezonovali v uplynulom roku najmä dve udalosti, prenos osobných údajov do USA a rozhodnutie Európskeho súdneho dvora o tom, či je prevádzkovateľ povinný dotknutú osobu informovať o tom, ktorým konkrétnym osobám poskytuje jej údaje.   

Prenášať osobné údaje do tretích krajín z EÚ je možné, len ak sú splnené podmienky vyžadované GDPR, napríklad je Európskou komisiou vydané rozhodnutie o primeranosti, podľa ktorého daná krajina dosahuje primeranú úroveň bezpečnosti pre spracúvanie údajov.

Po tom, čo bol prenos osobných údajov do USA kvôli rozhodnutiu vo veci Schrems obmedzený, svitá pre podnikateľov s väzbami na USA na lepšie časy. V decembri totiž Európska komisia publikovala návrh rozhodnutia o primeranosti pre USA, na základe ktorého by mohli osobné údaje prúdiť do USA bez potreby uzatvárania štandardných zmluvných doložiek či iných obmedzení. Prijatiu rozhodnutia o primeranosti ešte predchádza dlhý proces, očakáva sa však, že už v roku 2023 by mohol byť prenos údajov do USA oveľa jednoduchší.

Druhou zaujímavou správou je rozhodnutie Európskeho súdneho dvora publikované v januári 2023. V rozhodnutí v spore[2] proti Österreichische Post Súdny dvor EÚ potvrdil, že pokiaľ dochádza k spracúvaniu osobných údajov a tieto sú následne poskytnuté tretím osobám ako príjemcom, napr. účtovníkom, IT pracovníkom či marketingovej agentúre, prevádzkovateľ je povinný na žiadosť dotknutej osoby poskytnúť dotknutej osobe totožnosť príjemcu údajov.

Výnimkou je, ak pre prevádzkovateľa nie je možné (zatiaľ) týchto príjemcov identifikovať (napr. reťaz marketingových agentúr). Povinnosť preukázať, že prevádzkovateľ sa o takúto identifikáciu skutočne pokúsil však zostáva na prevádzkovateľovi.

Ako sa v roku 2022 rozhodovalo na Slovensku

V uplynulom roku bol aktívny aj slovenský Úrad na ochranu osobných údajov, ktorý vydal desiatky rozhodnutí.

Medzi najčastejšie oblasti, v ktorých rozhodoval o porušení ochrany osobných údajov, bolo vybavovanie žiadostí dotknutých osôb, zasielanie spamov či monitorovanie kamerovými systémami.

ÚOOÚ uložil za rok 2022 hneď niekoľko pokút za nevybavenie žiadosti o uplatnenie práv dotknutej osoby v stanovenom termíne. V prípade z mája minulého roka ÚOOÚ uložil pokutu veľkej spoločnosti za to, že v lehote jedného mesiaca nereagovala na žiadosť svojho zákazníka o obmedzenie spracúvania jeho údajov[3]. K uloženiu pokuty došlo aj napriek tomu, že žiadosť zákazníka o obmedzenie spracúvania bola nie úplne jasnou súčasťou jeho sťažnosti voči tejto inštitúcii.

Vo veci zasielania nevyžiadaných e-mailov[4] posudzoval ÚOOÚ zasielanie reklamného e-mailu na e-mailovú adresu bývalej zamestnankyne obchodného partnera, ktorá  ho navyše požiadala o výmaz svojho e-mailu. Za použitie e-mailovej adresy na marketingové účely bez súhlasu dotknutej osoby, resp. s výslovným zamietnutím dotknutej osoby, ÚOOÚ uložil porušovateľovi pokutu.

Častým a pokutovaným prípadom porušenia ochrany osobných údajov bolo aj snímanie priestoru kamerovými systémami. Ako problematické sa ukázalo, že kamera snímala viac než bolo nevyhnutné (napr. aj príjazdovú cestu) a najmä snímané osoby neboli o takomto monitorovaní poučené[5]Podrobnejšie sme sa najčastejším pochybeniam pri monitorovaní priestoru kamerovými systémami venovali aj v našom minuloročnom článku.

Súbory cookie a zber osobných údajov

Od 1. 2. 2022 platí na Slovensku nová úprava zberu súborov cookie. Téme právne správneho zberu súborov cookie sme sa venovali v článku o tom, aké požiadavky na zber súborov cookie kladie primárne Úrad na reguláciu elektronických komunikácii.

Na problematiku súborov cookie sa je však potrebné pozrieť aj z pohľadu ochrany osobných údajov, keďže súbory cookie môžu byť aj osobnými údajmi. K tejto téme vydal ÚOOÚ spolu s Úradom na reguláciu elektronických komunikácií zrozumiteľné stanovisko.

V rámci pomoci našim klientom s adaptáciou na novú legislatívu sme za uplynulý rok vykonali revízie zberu súborov cookie na desiatkach webových stránok klientov, aby sme poskytli zrozumiteľnú informáciu o tom, ako správne zbierať súbory cookie z oboch zmienených hľadísk.

Autori: Štěpán Štarha, Róbert Gašparovič, Martina Rievajová

Největší česko-slovenská kancelář s mezinárodním dosahem | HAVEL & PARTNERS


[1] Rozhodnutie ÚOOÚ č. konania 00215/2022-Op-4

[2] Rozhodnutie ESD vo veci C- 154/21

[3] Rozhodnutie ÚOOÚ č. konania 00405/2022-Os-9

[4] Rozhodnutie ÚOOÚ č. konania 00488_2022-Os-9

[5] Rozhodnutie ÚOOÚ č. konania 00588_2022-Os-7