V tomto príspevku sa s Vami chceme podeliť o závery z rozhodnutia Úradu na ochranu osobných údajov SR, ktoré potvrdzuje, že aspoň minimálna štruktúra deľby prístupu k dátam v rámci spoločnosti má svoj význam. Primárne prevenčný a sekundárne aj argumentačný.

Späť k rozhodnutiu. Zamestnávateľ od Úradu dostal pokutu v zásade za to, že z jeho dispozície unikol neanonymizovaný protokol z kontroly vykonanej Inšpektorátom práce. Tento protokol obsahoval údaje o zamestnancoch zamestnávateľa, ktorí Inšpektorátu poskytovali súčinnosť resp. ho v konaní zastupovali, konkrétne: meno, priezvisko, titul a pracovné zaradenie. Pre doplnenie, protokol unikol tým spôsobom, že niekto zo zamestnancov zamestnávateľa ho poskytol médiám. 

Okrem pokuty bola zamestnávateľovi tiež uložená povinnosť zaviesť primerané opatrenia, aby takémuto porušeniu v budúcnosti predišiel a povinnosť preškoliť svojich zamestnancov, ktorí uňho spracúvajú osobné údaje.

Z právneho hľadiska únik protokolu Úrad vyhodnotil ako porušenie článku 5 ods. 1 písm. f) GDPR, a teda ako porušenie základnej zásady zabezpečenia integrity a dôvernosti údajov, pod ktorú spadá najmä primeraná bezpečnosť údajov, vrátane ochrany pred neoprávneným a nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení. Takýchto opatrení je nespočetné množstvo, jedným z nich je napríklad rozdelenie prístupových právomocí k dokumentom (napr. údaje z HR by mali ostať len na HR, sporové veci napr. u konateľov, atď.).

Čo, okrem presahu rozhodnutia do pracovnoprávnej sféry robí toto rozhodnutie zaujímavým?

  • Začiatok konania: podnet z interného prostredia – od zamestnanca, ktorého údaje boli obsiahnuté v protokole;
  • Rozsah dokumentácie požadovanej Úradom: Úrad si od zamestnávateľa vyžiadal širokú súčinnosť, keď požadoval najmä i) preukázanie zavedených bezpečnostných opatrení vrátane dokumentácie, ii) preukázanie, ako svojich zamestnancov vyškolil na prácu s údajmi, iii)  uviedol, kto zo zamestnancov má prístup k údajom, iv) preukázal, že zamestnanci spracúvajú údaje len na základe jeho pokynov, v) uviedol, kto má prístup k údajom z protokolu z Inšpektorátu a v neposlednom rade vi) predložil záznamy o spracovateľskej činnosti;
  • Podklady zabezpečené bez návrhu účastníkov konania: Keďže zamestnávateľ uviedol, že protokol neposkytol žiadnej neoprávnenej osobe, Úrad si vyžiadal súčinnosť od Inšpektorátu práce, aby zistil či protokol [pozn.: vždy sa vyhotovuje v 3 rovnopisoch, z toho 2 ostávajú Inšpektorátu], neunikol z prostredia Inšpektorátu. Inšpektorát Úrad informoval, že vo vzťahu k protokolu eviduje len dve infožiadosti, ktoré Inšpektorát spracoval a protokol na ich základe poskytol v anonymizovanej forme čo aj riadne zdokladoval (rozhodnutiami o nesprístupnení osobných údajov a fotokópiami poskytnutých anonymizovaných protokolov).

Zamestnávateľ voči prvostupňovému rozhodnutiu podal rozklad. Prvostupňové rozhodnutie bolo podpredsedníčkou Úradu v plnom rozsahu potvrdené a od 25.4.2023 je aj právoplatné a vykonateľné.

Pokuta bola zamestnávateľovi uložená vo výške 700 EUR, pričom jej primeranosť bola potvrdená aj v konaní o rozklade. A to aj napriek námietkam navrhovateľa, že takáto pokuta predstavuje len 0,005% obratu prevádzkovateľa, ako aj napriek obrane prevádzkovateľa, ktorý tvrdil, že pokuta je citeľná, keďže predstavuje až 4 % jeho mesačného zisku. Podpredsedníčka úradu primeranosť odôvodnila (okrem iného) naplnením represívnej a preventívnej funkcie pokuty. 

Úrad v rozhodnutí ako poľahčujúcu okolnosť vyhodnotil to, že i) neboli preukázané škodlivé následky, ktoré by priamo zasiahli dotknuté osoby alebo ohrozili ich súkromný alebo rodinný život a to, že ii) išlo o prvé konštatované porušenie právnych predpisov na úseku ochrany osobných údajov zo strany prevádzkovateľa. Za priťažujúce okolnosti vyhodnotil to, že i) došlo k porušeniu základnej zásady spracúvania osobných údajov, ktorou je zásada integrity a dôvernosti a to, že ii) išlo o väčší počet dotknutých osôb.