Dozorným orgánom v oblasti ochrany osobných údajov je Úrad na ochranu osobných údajov SR. Úrad vypracoval Správu o stave ochrany osobných údajov za rok 2023.

Oznámenia o porušení ochrany osobných údajov

Zo správy Úradu vyplýva, že organizácie nahlásili v roku 2023 celkovo 185 porušení ochrany osobných údajov, ku ktorým v ich organizáciách došlo.

Takmer polovica prípadov sa týkala kybernetických útokov (93). Ďalej nasledovalo neoprávnené poskytnutie/sprístupnenie osobných údajov (33), podnety (31) a neoprávnené spracúvanie osobných údajov (19). V menšom rozsahu sa objavili krádeže, strata dokumentácie a USB kľúčov.

Tieto čísla nezobrazujú reálny stav porušenia ochrany osobných údajov v organizáciách, ale len tie, ktoré tieto organizácie Úradu nahlásili v súlade s GDPR.

Každopádne môžeme skonštatovať, že kybernetické útoky významne prevažujú a preto je dôležité dbať na informačnú bezpečnosť a nespoliehať sa na to, že „nám sa to nemôže stať“.

Kontroly zo strany Úradu

Úrad v roku 2023 ukončil celkovo 67 kontrol, z toho 41 kontrol bolo zameraných výhradne na kamerové systémy.

Najčastejšie nedostatky zistené pri kontrolách

Až v 21 prípadoch bolo zistené porušenie zásady zákonnosti, spravodlivosti a transparentnosti. Toto zistenie sa opakuje v kontrolných činnostiach Úradu každoročne.

V praxi to znamená, že organizácie nemajú riadne spracované a/alebo náležitým spôsobom nezverejňujú a nesprístupňujú informácie o spracúvaní osobných údajov fyzických spôsob, tzv. Privacy Policy.

Preto je dôležité dôkladne zmapovať spracúvanie osobných údajov v organizácii a všetky fyzické osoby (zamestnancov, uchádzačov o zamestnanie, dodávateľov, klientov, návštevy na webovej stránke, monitorované osoby kamerovým systémom  apod.) informovať o spracúvaní ich osobných údajov. Ideálny postup je zverejniť tieto informácie na webovej stránke a z ostatných dokumentov, formulárov či v rámci emailovej komunikácie na tento dokument odkazovať. Rovnako je vhodné sprístupniť tieto informácie aj v tlačenej forme, napr. na recepcii, na nástenke pri vstupe do organizácie, pre zamestnancov na personálnom oddelení a pod.

Rovnako je dôležité tieto informácie pravidelne aktualizovať, a to na všetkých miestach, kde sú tieto informácie zverejnené či inak sprístupnené.

Porušenia GDPR pri používaní kamerových systémov

Keďže väčšina kontrol sa zameriavala na kamerové systémy, pozrieme sa bližšie na konkrétne prípady v tejto oblasti:

• Škola nepretržite monitorovala kamerovým systémom tzv. citlivé priestory, ako sú šatne. Tiež monitorovala chodby, telocvičňu, knižnicu, učebne a vonkajší areál školy. Úrad konštatoval rozpory so zásadou zákonnosti, keďže škola mala určený ako právny základ súhlas dotknutej osoby. Úrad spochybnil slobodu poskytnutia súhlasu, a to najmä vo vzťahu k zamestnancom, ktorí sú vo vzťahu k zamestnávateľovi podriadení a v takomto vzťahu je sloboda poskytnutého súhlasu veľmi otázna. Tým dochádzalo k nezákonnému spracúvaniu osobných údajov.
• Fyzická osoba si z dôvodu pretrvávajúcich konfliktov so susedom, ako aj z dôvodu zvýšenej kriminality v danej lokalite, nainštalovala kameru nad vstupom do svojho bytu. Kamera prepojená s mobilným telefónom kontrolovanej osoby zaznamenávala pohyb v zornom poli kamery, konkrétne priestor pred vstupom do bytu kontrolovanej osoby, časť vstupu do susediaceho bytu, priestor pred výťahom a schodisko. Na kontrolovanou osobou stanovený účel, ktorým bola ochrana majetku a zdravia rodinných príslušníkov, nebolo nevyhnutné monitorovať priestor v takom rozsahu, v akom bol monitorovaný. Túto skutočnosť Úrad vyhodnotil ako porušenie zásady minimalizácie údajov.
• Organizácia kamerovým systém nepretržite monitorovala pracovisko zamestnancov (kuchyňa pri školskej jedálni). Kontrolou bolo zistené, že organizácia postupovala v rozpore so zásadou zákonnosti, nakoľko nepreukázala splnenie aspoň jednej z podmienok zákonného spracúvania podľa GDPR, ako aj v rozpore so zásadou minimalizácie údajov podľa GDPR, nakoľko nepreukázala, že prostredníctvom kamier je nevyhnutné spracúvať aj osobné údaje zamestnancov na ich pracovisku.
• Kamera bola osadená na okne jedného z bytov bytového domu. Kontrolou bolo zistené, že kontrolovaná osoba postupovala v rozpore so zásadou minimalizácie tým, že prostredníctvom kamerového systému monitorovala priestor prístupný verejnosti vo väčšom rozsahu, než bolo nevyhnutné na dosiahnutie ňou stanoveného účelu (ochrana majetku). Ďalej bolo zistené, že kontrolovaná osoba monitorovala verejný priestor bez splnenia aspoň jednej z podmienok zákonného spracúvania, v dôsledku čoho postupovala v rozpore so zásadou zákonnosti.
• Anonymným podnetom bol Úrad informovaný o možnom nezákonnom spracúvaní osobných údajov dotknutých osôb kamerovým systémom inštalovaným na budove mestského úradu. Nezákonné spracúvanie malo spočívať v  monitorovaní pohybu zamestnancov počas ich pracovnej doby prednostom mestského úradu, ktorý mal kamerové záznamy neoprávnene využívať na preukazovanie porušovania pracovnej disciplíny. Úrad konštatoval porušenie zásady minimalizácie uchovávania osobných údajov, nakoľko kontrolovaná osoba nepreukázala, že štrnásťdňová lehota uchovávania kamerových záznamov, ktorú si stanovila, je primeraná a nevyhnutná k naplneniu účelu spracúvania. Mestský úrad zároveň postupoval v rozpore s GDPR z dôvodu, že pri vstupe do monitorovaného priestoru neposkytoval dotknutým osobám všetky informácie o spracúvaní osobných údajov.

Pokuty

V roku 2023 bolo Úradom za porušenia GDPR uložených 46 pokút v celkovej výške 94 000 Eur. Taktiež boli uložené aj poriadkové pokuty, t. j. pokuty za to, že kontrolované osoby neposkytli Úradu súčinnosť pri výkone kontroly, a to 3 poriadkové pokuty, v celkovej výške 4000 Eur.

Chcete sa vyhnúť nedostatkom pri spracúvaní osobných údajov?

Neváhajte nás kontaktovať: avris@avris.sk