Preskočiť na obsah
Domovská stránka » Aktuality a články » [2022] Konanie o ochrane osobných údajov

[2022] Konanie o ochrane osobných údajov

  • 19/06/202219/06/2022

Konanie o ochrane osobných údajov upravuje § 99 a nasl. Zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „Zákon o ochrane osobných údajov“). Jeho účelom je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov. Alebo či došlo k porušeniu Zákona o ochrane osobných údajov alebo Všeobecného nariadenia o ochrane údajov (ďalej len „GDPR“). Ak je to dôvodné a účelné, v prípade porušenia Zákona o ochrane osobných údajov a/alebo GDPR môže byť jeho výsledkom uloženie opatrenia na nápravu, prípadne pokuty. Ide o neverejné konanie. Subsidiárne sa na konanie o ochrane osobných údajov vzťahuje Správny poriadok1. Podrobnosti o konaní na ochranu osobných údajov upravuje interný predpis Úradu na ochranu osobných údajov (ďalej len „úrad“). Tento predpis nie je verejne prístupný.

Účastníkmi konania o ochrane osobných údajov môže byť dotknutá osoba, ktorá podala návrh na začatie konania, prevádzkovateľ, sprostredkovateľ, certifikačný subjekt a monitorujúci subjekt.

Konanie začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených Zákonom o ochrane osobných údajov (alebo právach ustanovených GDPR) (ďalej len „navrhovateľ“). Alebo bez návrhu. Bez návrhu začne úrad konanie na základe zistenia pri výkone dozoru nad dodržiavaním povinností ustanovených Zákonom o ochrane osobných údajov a GDPR. Ak návrh na začatie konania o ochrane osobných údajov úradu doručí iná osoba ako dotknutá osoba, návrh sa považuje za podnet na začatie konania bez návrhu.

Povinné náležitosti návrhu

Návrh na začatie konania musí obsahovať povinné zákonné náležitosti:

a) meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa,

b) označenie osoby, proti ktorej návrh smeruje (v rozsahu meno, priezvisko, trvalý pobyt alebo názov, sídlo a identifikačného číslo),

c) predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov porušené,

d) dôkazy na podporu tvrdení uvedených v návrhu,

e) kópiu listiny alebo iný dôkaz, ktorý preukazuje uplatnenie práva podľa druhej časti druhej hlavy Zákona o ochrane osobných údajov alebo GDPR (napr. právo na prístup k osobným údajom, právo na výmaz osobných údajov, právo namietať spracúvanie osobných údajov), ak si takéto právo dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného zreteľa o neuplatnení predmetného práva, ak návrh podala dotknutá osoba.

Fakultatívne môžete v návrhu uviesť požiadavku na utajenie totožnosti navrhovateľa. V takom prípade úrad utají osobné údaje navrhovateľa uvedené v návrhu. Ostatní účastníci konania by sa nemali dozvedieť identitu navrhovateľa.

Odloženie návrhu

V prípade, splnenia niektorej z nasledovných podmienok, úrad návrh odloží:

  • zjavne neopodstatnený návrh,
  • ak vec, ktorej sa návrh týka, prejednáva súd alebo orgán činný v trestnom konaní,
  • navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nemožno vec vybaviť; úrad navrhovateľa o možnosti odloženia návrhu upovedomí,
  • od udalosti, ktorej sa návrh týka, uplynuli v deň jeho doručenia viac ako tri roky.

Návrh alebo podnet na začatie konania máte možnosť podať písomne v listinnej alebo v elektronickej podobe, alebo ústne do zápisnice. Podanie sa posudzuje podľa obsahu a ak nemá predpísané náležitosti, úrad pomôže účastníkovi podania nedostatky odstrániť, prípadne ho vyzve, aby ich v určenej lehote odstránil. V praxi to môže znamenať, že úrad požiada navrhovateľa alebo oznamovateľa o súčinnosť (žiadosť o súčinnosť), v ktorej ho požiada doplniť návrh alebo podnet.

Lehota na rozhodnutie

O návrhu na začatie konania musí úrad rozhodnúť v konaní do 90 dní odo dňa začatia konania. V odôvodnených prípadoch môže túto lehotu primerane predĺžiť, najviac o 180 dní.

Rozhodnutie v konaní o ochrane osobných údajov

Ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených Zákonom o ochrane osobných údajov alebo GDPR pre oblasť ochrany osobných údajov účastníkom konania, rozhodnutím môže

a) uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia, ak je to dôvodné a účelné,

Úrad je oprávnený uložiť povinnosť prevádzkovateľovi alebo sprostredkovateľovi, najmä nariadiť

  • odstránenie zistených nedostatkov a príčin ich vzniku v úradom určenej lehote,
  • prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti primeranú rizikám pre práva fyzických osôb,
  • posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov (DPIA – data protection impact assessment) v súlade s Zákonom o ochrane osobných údajov alebo GDPR.

b) zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,

c) odňať certifikát,

d) nariadiť certifikačnému subjektu odňatie certifikátu,

e) odňať osvedčenie o udelení akreditácie,

f) uložiť pokutu.

Ak úrad v konaní nerozhodne jedným z vyššie uvedených spôsobov, pretože sa v konaní nepreukáže porušenie práv dotknutej osoby alebo ak sa nepreukáže nesplnenie povinností pri spracúvaní osobných údajov ustanovených Zákonom o ochrane osobných údajov alebo osobitným predpisom účastníkom konania, úrad konanie zastaví.

Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.

Obrana voči rozhodnutiu – rozklad a správna žaloba

Proti rozhodnutiu (prvostupňové rozhodnutie) je možné podať rozklad. O rozklade rozhoduje predseda úradu. Rozklad môžete podať v lehote 15 dní odo dňa oznámenia rozhodnutia (v praxi pôjde najčastejšie o deň doručenia rozhodnutia). Proti rozhodnutiu predsedu úradu o rozklade už nemáte možnosť podať odvolanie. Môžete sa však brániť správnou žalobou na súde v lehote dvoch mesiacov od oznámenia rozhodnutia.

Súčinnosť (žiadosť o súčinnosť)

Podľa § 109 Zákona o ochrane osobných údajov je každý povinný poskytnúť úradu potrebnú súčinnosť pri výkone jeho úloh a právomoci a umožniť úradu vykonať dozor nad dodržiavaním povinností podľa Zákona o ochrane osobných údajov alebo GDPR a rozhodnutí vydaných na základe Zákona o ochrane osobných údajov. Za neposkytnutie súčinnosti pri výkone dozoru môže úrad uložiť osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom poriadkovú pokutu do 2 000 eur, a to aj opakovane, ak povinnosť nebola splnená v určenej lehote.

Zastúpenie advokátom v konaní o ochrane osobných údajov

Účastník konania, či už ide o dotknutú osobu – navrhovateľa, prevádzkovateľa, sprostredkovateľa, prípadne certifikačný alebo monitorujúci subjekt, sa môže dať v konaní zastúpiť advokátom alebo iným zástupcom, ktorého si zvolia. Zastúpenie prostredníctvom advokáta, ktorý sa špecializuje na ochranu osobných údajov, garantuje profesionalitu a odbornosť zastúpenia vrátane prípravy jednotlivých podaní (návrh na začatie konania, podnet na začatie konania, vyjadrenie k žiadosti o súčinnosť, vyjadrenie pred vydaním rozhodnutia, rozklad, správna žaloba, a pod.).

Ako vám môžeme pomôcť v konaní o ochrane osobných údajov?

  • pripravíme vám návrh na začatie konania alebo podnet na začatie konania,
  • právne zastupovanie v konaní o ochrane osobných údajov,
  • pripravíme vám vyjadrenie k žiadosti o súčinnosť alebo iné vyjadrenie,
  • pripravíme vám rozklad voči rozhodnutiu alebo správnu žalobu,
  • poskytneme vám konzultáciu v oblasti ochrany osobných údajov,
  • vypracujeme vám test proporcionality (balančný test) na posúdenie oprávneného záujmu,
  • vykonáme a zdokumentujeme posúdenie vplyvu na ochranu osobných údajov (DPIA).

_____

Poznámky pod čiarou:

1 Rozhodnutie Najvyššieho súdu Slovenskej republiky č. 3Sžo/202/2015 z 3. augusta 2016: „Princíp subsidiarity je výrazom mnohostrannosti spoločenských vzťahov vznikajúcich v procese rozhodovania o individuálnych právach a povinnostiach účastníkov, ktoré nemožno upraviť v jedinom procesnom predpise. Preto existuje jeden procesný predpis s univerzálnou pôsobnosťou – správny poriadok a osobitné právne predpisy, v ktorých sa premietajú príslušné odchýlky. Subsidiarita vyjadruje vzťah všeobecného a špeciálneho predpisu. Inými slovami, správny poriadok platí len vtedy, ak osobitné právne predpisy neustanovujú inak. Niektoré osobitné predpisy výslovne ustanovujú, že na konanie sa vzťahujú všeobecné predpisy o správnom konaní. V prípade, ak takáto konštatácia v príslušnom právnom predpise v oblasti správneho súdnictva absentuje, a teda ak nie sú v osobitnom zákone upravené odchýlky, procesný režim správneho poriadku nastupuje ex lege a povinnosťou orgánu verejnej správy je dôsledne ho aplikovať.“

Prečítajte si aj:

Úrad na ochranu osobných údajov zverejnil plán kontrol na rok 2022

Zmeny v spracúvaní osobných údajov zosnulých

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.

Nie je možné kopírovať obsah tejto stránky.