Ste realitná kancelária? Dbáte dôsledne na ochranu osobných údajov vašich klientov? Máte v poriadku dokumentáciu? Úrad na ochranu osobných údajov sa v roku 2022 v rámci kontrol zameria aj na činnosť realitných kancelárií. Aké máte práva a povinnosti pri kontrole z úradu na ochranu osobných údajov? Kedy je kontrola vopred avizovaná a kedy vás môžu úradníci prekvapiť neohlásenou kontrolou?
Kto vykonáva kontrolu spracúvania osobných údajov?
Z GDPR pre členské štáty vyplýva, že majú určiť jeden dozorný orgán, ktorý v rámci ich krajiny kontrolu a dozor nad spracúvaním vykonáva. V podmienkach Slovenskej republiky je týmto kontrolným orgánom Úrad na ochranu osobných údajov SR (ďalej len „úrad“).
Zákonom o ochrane osobných údajov je ustanovené, že kontrolu môže vykonať, ako člen kontrolného orgánu, len zamestnanec úradu, ktorý je bezúhonný, má príslušné odborné vzdelanie a potrebnú prax v oblasti dozornej činnosti úradu. Každý člen kontrolného orgánu vykonáva kontrolu na základe písomného poverenia vedúceho zamestnanca, čo je zväčša riaditeľ odboru kontroly; ak je vedúci zamestnanec členom kontrolného orgánu, členovia kontrolného orgánu vykonávajú kontrolu na základe písomného poverenia predsedu úradu.
Nie je teda možné, aby k vám, ako prevádzkovateľovi, prišiel na kontrolu ktorýkoľvek zamestnanec úradu a deklaroval, že ide vykonať kontrolu spracúvania osobných údajov; vždy sa musí preukázať písomným poverením na vykonanie kontroly, iniciatívne, a aj opakovane, na vaše požiadanie. V prípade, ak sa tak nestane, nemusíte mu umožniť vstup do vašich priestorov. Konkrétny obsah poverenia na výkon kontroly podrobne ustanovuje zákon na ochranu osobných údajov v § 90 ods. 4.
Z pravidla, že kontrolu môže vykonať len poverený zamestnanec úradu platí jediná výnimka, a to, že úrad, s ohľadom na špecifickosť predmetu kontroly môže k jej výkonu prizvať odborníka v oblasti (prípadne zamestnanca iného dozorného orgánu), ktorým sám z radov svojich zamestnancov nedisponuje. Účasť prizvanej osoby pri výkone kontroly sa považuje za iný úkon vo všeobecnom záujme a platí, že takáto osoba musí byť výkonom kontroly taktiež poverená a kontrolný orgán musí o jej prítomnosti počas kontroly kontrolovanú osobu (subjekt) upovedomiť.
Aké typy kontrol môže Úrad na ochranu osobných údajov vykonať?
Kontrolný orgán vykoná kontrolu na základe:
- plánu kontrol,
- podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených zákonom alebo GDPR alebo
- v rámci konania o ochrane osobných údajov.
V prípade, ak ide o kontrolu z plánu kontrol na daný rok, tak je kontrola spravidla vopred písomne zo strany úradu avizovaná.
V nadväznosti na účel kontroly, ktorým je zistenie skutočného stavu tiež platí, že najviac vopred písomne neavizovaných kontrol, teda „kontrol prepadoviek“ je vykonaných úradom v prípade, ak je podozrenie z porušenia povinností ustanovených zákonom, GDPR, alebo inými osobitnými predpismi upravujúcimi konkrétne spracúvanie osobných údajov. Pri takejto kontrole platí, že sa poverením na vykonanie kontroly preukážu zamestnanci úradu, ako kontrolný orgán až v momente, kedy neohlásení prídu a začnú výkon kontroly na mieste. Z pohľadu možnej prípravy sa na kontrolu je tento spôsob začatia kontroly pre kontrolovaný subjekt najhorší, nakoľko sa samotná kontrola začína momentom, kedy kontrolný orgán zaklope na dvere a po splnení formalít začne kontrolovať. Pokiaľ ide o kontroly vykonané úradom v rámci konaní o ochrane osobných údajov, tam zväčša rozhodnutie o oznámení kontroly vopred závisí od typu podozrenia možného porušenia spracúvania osobných údajov.
K momentu začatia kontroly a skutočnosti, či o kontrole budete vopred písomne informovaní, alebo kontrolný orgán „príde bez ohlásenia vopred“ je potrebné dodať, že spoliehať sa na avizovanú a vopred ohlásenú kontrolu nie je správna cesta. Dúfať, že budete mať niekoľko dní na „dotiahnutie detailov“ nemusí byť vždy pravidlom.
Aké máte práva a povinnosti pri kontrole z Úradu na ochranu osobných údajov?
V prípade, že sa kontrola riadne začala, aké máte práva a povinnosti? Čo ste povinní dodržať a čo naopak môžete namietať, alebo nie ste povinní strpieť? Aj v rámci kontroly zo strany štátneho orgánu platí, že tento môže konať len toľko, koľko mu dovoľuje zákon. Priebeh kontroly samotnej má tiež svoje pravidlá. Platí, že ak pri kontrole dôjde k odovzdaniu dokumentov kontrolnému orgánu, či už v elektronickej, alebo fyzickej podobe, tak je kontrolný orgán povinný ich odobratie kontrolovanej osobe písomne potvrdiť. Kontrolný orgán je tiež povinný vykonať z priebehu kontroly zápisnicu, ktorej jednu kópiu dostane aj kontrolovaná osoba. V prípade, ak v rámci kontroly bolo potrebné podať vysvetlenie, či zdôvodnenie, tak sa spisuje aj zápisnica o podaní vysvetlenia, opätovne, každej strane, tak kontrolnému orgánu ako aj kontrolovanej osobe zostáva jedno vyhotovenie.
V rámci vzájomnej komunikácie medzi kontrolným orgánom a kontrolovanou osobou môžeme odporučiť vzájomnú komunikáciu. Uvedené platí najmä v prípade, ak napríklad je potrebné sa dohodnúť na možnej zmene termínu výkonu kontroly na mieste, napríklad s ohľadom na dovolenku zodpovedných a pri kontrole potrebných zamestnancov, či konateľa prevádzkovateľa. V tomto prípade platí, ak ide o vopred ohlásenú kontrolu, čo najskôr reflektovať na oznámenie o predpokladanom termíne kontroly a komunikovať možnú zmenu termínu. V mnohých prípadoch býva takejto odôvodenej požiadavke vyhovené. Naopak, s veľkým pochopením zo strany kontrolného orgánu sa určite nestretne postup, kedy si strany termín kontroly potvrdia a v deň kontroly a bez patričného zdôvodnenia sa kontrolný orgán márne domáha vstupu do objektu kontrolovanej osoby. Takýto postup, ak nie je riadne následne odôvodnený zásadnými prekážkami, ktoré neboli vopred známe, alebo ovplyvniteľné, môže byť až dôvodom na udelenie poriadkovej pokuty kontrolovanej osobe. V prípade, ak by sa bezdôvodne takýto scenár opakoval, tak môže byť poriadková pokuta udelená kontrolovanej osobe aj opakovane.
Čo je výsledkom kontroly?
Výsledkom kontroly je v tom lepšom prípade záznam, teda také zistenia kontrolného orgánu, ktorými neboli zistené pochybenia pri spracúvaní osobných údajov, alebo boli len „kozmetického charakteru“ a zväčša bolo možné ich odstránenie, či náprava priamo pri kontrole samotnej.
V prípade, ak boli kontrolou zistené nedostatky pri spracúvaní osobných údajov, je výsledkom kontroly protokol, ktorý obsahuje a sumarizuje uvedené zistenia a konkretizuje zistené nedostatky pri spracúvaní osobných údajov v špecifických podmienkach kontrolovanej osoby. Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami v protokole oprávnená podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu. Na neskôr podané námietky kontrolný orgán neprihliada. Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 pracovných dní odo dňa ich doručenia. Úplným záverom kontroly spracúvania osobných údajov je prerokovanie protokolu z kontroly a vyhotovenie zápisnice z tohto prerokovania alebo deň doručenia záznamu o kontrole, ak kontrolou neboli zistené porušenia.
Aký je plán kontrol úradu na rok 2022?
Dozorný orgán zverejňuje a vypracúva plán kontrol na kalendárny rok. V roku 2022 bude úrad jednak ukončovať kontroly, ktoré z dôvodu pandémie boli prenesené z minulého do tohto roka. Zverejneným predmetom kontrol v tomto roku zo strany úradu je spracúvanie osobných údajov vykonávané štátnymi orgánmi a orgánmi územnej samosprávy. Pokiaľ ide o zameranie predmetu kontrol v súkromnej sfére v tomto roku, tak úrad sa zameria na činnosť realitných kancelárií. Konkrétny plán kontrol úradu pre rok 2022 je už teraz zverejnený na webovom sídle úradu.
Avizoval vám úrad kontrolu? Ste realitnou kanceláriou a nemáte všetky podklady k spracúvaniu osobných údajov kompletné, či aktualizované? Vieme vám pomôcť, vieme skontrolovať a doplniť potrebné podklady tak, aby ste na kontrolu boli čo najlepšie pripravení. Ak budete našim klientom, budeme vás pri nej zastupovať, kontaktujte nás!