Úrad na ochranu osobných údajov
Úrad na ochranu osobných údajov
Rakúsky úrad na ochranu osobných údajov (DSB) je ústredným dozorným orgánom pre ochranu osobných údajov v Rakúsku. Kontroluje dodržiavanie Všeobecného nariadenia o ochrane údajov (GDPR) a rakúskeho zákona o ochrane údajov (DSG), rozhoduje o sťažnostiach, začína kontrolné konania, ukladá sankcie a zastupuje Rakúsko v Európskom výbore pre ochranu údajov. Jeho úlohou je zabezpečiť základné práva, predchádzať zneužívaniu a zaväzovať spoločnosti a orgány verejnej moci k dodržiavaniu povinností v oblasti ochrany údajov.
Úrad na ochranu osobných údajov je štátny dozorný orgán pre ochranu osobných údajov v Rakúsku.
Úlohy a kompetencie
Úrad na ochranu osobných údajov vykonáva široké spektrum činností, ktoré všetky slúžia na ochranu osobných údajov:
- Spracovanie sťažností dotknutých osôb
- Vykonávanie kontrolných konaní z úradnej moci
- Rozhodovanie v správnych trestných konaniach a ukladanie pokút
- Prijímanie a kontrola oznámení o porušení ochrany osobných údajov (Narušenia údajov)
- Schvaľovacie konania, napríklad pre kódexy správania alebo certifikačné orgány
- Stanoviská k legislatívnym návrhom
Týmto je ústredným kontaktným miestom rovnako pre dotknuté osoby, spoločnosti a úradníkov pre ochranu údajov.
Definícia ochrany osobných údajov
Ochrana osobných údajov je základné právo sám rozhodovať o tom, kto spracúva aké informácie o človeku. Osobné údaje sú všetky informácie, ktoré sa vzťahujú na konkrétnu osobu alebo osobu identifikujú, ako napríklad meno, adresa, telefónne číslo, e-mailová adresa, ale aj fotografie, IP adresy alebo zdravotné údaje.
Ochrana osobných údajov neznamená, že sa nesmú spracúvať žiadne údaje. Znamená to, že spracúvanie je povolené len za jasných zákonných podmienok a že dotknuté osoby majú rozsiahle práva. Tieto práva chránia pred zneužitím a dávajú možnosť vykonávať kontrolu nad vlastnými údajmi.
Práva dotknutých osôb
Každá osoba môže od Úradu na ochranu osobných údajov požadovať, aby boli rešpektované jej základné práva. GDPR na to stanovuje jasný súbor práv:
- Právo na informácie: Pred každým spracovaním údajov musia byť dotknuté osoby jasne a úplne informované.
- Právo na prístup k údajom: Každá dotknutá osoba má právo vedieť, aké údaje sú uložené a na aký účel.
- Právo na opravu a vymazanie: Nesprávne údaje musia byť opravené, neprípustné údaje musia byť vymazané.
- Právo na obmedzenie spracúvania: Za určitých podmienok sa spracúvanie môže vykonávať len obmedzene.
- Právo namietať: Proti určitému spracúvaniu údajov možno kedykoľvek vzniesť námietku.
- Právo na prenosnosť údajov: Dotknuté osoby môžu požadovať, aby ich údaje boli prenesené v bežnom formáte im samotným alebo inej spoločnosti.
- Právo na ochranu pred automatizovaným rozhodovaním: Nikto by nemal byť znevýhodnený výlučne na základe automatizovaných postupov.
Tieto práva nie sú len teoretické, ale môžu byť uplatnené – v prípade potreby v reklamačnom konaní pred Úradom na ochranu osobných údajov.
Povinnosti spoločností
Spoločnosti a orgány verejnej moci sú povinné uplatňovať ochranu osobných údajov nielen na papieri, ale aj prakticky. Medzi základné povinnosti patria:
- Právny základ spracúvania: Každé spracúvanie údajov musí byť založené na právnom základe, napríklad na súhlase alebo zmluve.
- Povinnosti transparentnosti: Dotknuté osoby musia byť jasne informované o tom, čo sa deje s ich údajmi.
- Technické a organizačné opatrenia (TOM): IT bezpečnosť a organizačné procesy musia byť navrhnuté tak, aby boli údaje chránené pred stratou, zneužitím alebo neoprávneným prístupom.
- Záznamy o spracovateľských činnostiach: Spoločnosti musia preukázateľne dokumentovať, aké údaje spracúvajú.
- Oznamovanie porušení ochrany osobných údajov: Bezpečnostné incidenty je potrebné oznámiť Úradu na ochranu osobných údajov do 72 hodín.
- Vykonávanie posúdení vplyvu na ochranu údajov: Pri spracúvaní s vysokým rizikom sa musí vykonať podrobná analýza.
Porušenie ochrany osobných údajov
Podľa GDPR dochádza k porušeniu ochrany osobných údajov, ak v dôsledku nedostatočnej bezpečnosti dôjde k neoprávnenej zmene, vymazaniu, sprístupneniu alebo strate údajov. Môže k tomu dôjsť prostredníctvom:
- Zničenie, strata alebo zmena osobných údajov
- Neoprávnený prístup alebo sprístupnenie – napríklad prostredníctvom hackerských útokov, zaslania dátových nosičov nesprávnym príjemcom alebo nebezpečného uloženia
- Náhodné sprístupnenie údajov – napr. prostredníctvom nebezpečného uloženia alebo prenosu
- To platí bez ohľadu na to, či sa incident stal úmyselne alebo neúmyselne
Príklady, ktoré môžu predstavovať takéto porušenie:
- Strata údajov prostredníctvom bezpečnostne nešifrovaných súborov alebo USB kľúčov
- Hackerský útok na zákaznícke databázy
- Nesprávne odoslané e-maily s osobnými údajmi
- Náhodne verejne prístupné osobné dokumenty
Tieto skutočnosti môžu priamo viesť k rizikám, vrátane krádeže identity, poškodenia povesti alebo finančných škôd pre dotknuté osoby
Konania pred Úradom na ochranu osobných údajov
Konanie pred Úradom na ochranu osobných údajov je formalizované a môže mať rôzne podoby:
Reklamačné konanie
Dotknuté osoby môžu podať sťažnosť na Úrad na ochranu osobných údajov, ak sa domnievajú, že niekto nezákonne spracúva ich osobné údaje. Toto konanie je pomerne nízko prahové.
Priebeh:
- Dotknutá osoba podá písomnú sťažnosť – buď prostredníctvom formulára, e-mailu alebo pošty.
- Úrad na ochranu osobných údajov preverí, či je sťažnosť formálne prípustná.
- Odporca v sťažnosti – väčšinou spoločnosť alebo orgán verejnej moci – je vyzvaný k vyjadreniu.
- Nasleduje zistenie skutkového stavu, prípadne s doplňujúcimi otázkami alebo vypočutiami.
- Na konci je rozhodnutie Úradu na ochranu osobných údajov, ktorým sťažnosť buď zamietne, alebo jej vyhovie a nariadi nápravné opatrenia.
Pre dotknuté osoby je toto konanie najdôležitejšou možnosťou, ako si uplatniť svoje práva vyplývajúce z GDPR.
Kontroly z úradnej moci
Úrad na ochranu osobných údajov nie je závislý len od sťažností, ale môže konať aj z úradnej moci. K tomu dochádza najmä vtedy, ak existujú náznaky systematických porušení alebo bezpečnostných medzier.
Špecifiká:
- Konanie sa začína bez žiadosti dotknutej osoby.
- Oznamujúce osoby nemajú postavenie účastníka konania a nie sú informované o výsledku.
- Úrad na ochranu osobných údajov samostatne preveruje, či došlo k porušeniam a v prípade potreby nariadi opatrenia.
Kontroly z úradnej moci majú silný preventívny účinok, pretože zvyšujú tlak na spoločnosti a orgány verejnej moci, aby zabezpečovali ochranu osobných údajov nielen reaktívne, ale neustále.
Správne trestné konanie
Ak Úrad na ochranu osobných údajov zistí porušenie, môže začať správne trestné konanie. Cieľom je zaväzovať spoločnosti a verejné orgány, aby odstránili porušenia a uložili citeľné sankcie.
Možné sankcie sú:
- Pokuty až do výšky 20 miliónov eur alebo 4 % celosvetového ročného obratu,
- Nariadenia na zastavenie alebo úpravu spracúvania údajov,
- Varovania a podmienky.
Výška pokuty závisí od závažnosti, trvania a úmyselnosti porušenia. Úlohu zohrávajú aj predchádzajúce porušenia alebo kooperatívne správanie v konaní.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Opravné prostriedky
Rozhodnutia Úradu na ochranu osobných údajov sa vydávajú formou rozhodnutia. Proti týmto rozhodnutiam majú dotknuté osoby otvorenú cestu na Spolkový správny súd (BVwG).
- BVwG preskúmava rozhodnutie z právneho a faktického hľadiska.
- Proti jeho rozhodnutiu je za určitých okolností možná revízia na Správny súd (VwGH) alebo sťažnosť na Ústavný súd (VfGH).
Týmto je zabezpečené, že rozhodnutia Úradu na ochranu osobných údajov podliehajú viacstupňovej súdnej kontrole.
Vyberte si požadovaný termín:Bezplatná úvodná konzultáciaMedzinárodný rozmer
Ochrana osobných údajov už nie je národnou témou. Úrad na ochranu osobných údajov spolupracuje s inými európskymi dozornými orgánmi a je súčasťou Európskeho výboru pre ochranu údajov (EDSA). Podieľa sa na cezhraničných prípadoch, koordinuje rozhodnutia v rámci mechanizmu jednotnosti a zaujíma stanoviská k medzinárodným prenosom údajov, napríklad do USA.
Sloboda informácií
Okrem ochrany osobných údajov nadobúda na význame aj sloboda informácií. S novým zákonom o slobode informácií (IFG) prevezme Úrad na ochranu osobných údajov v budúcnosti úlohu kontaktného miesta pre otázky transparentnosti a prístupu k úradným informáciám.
Tieto povinnosti nie sú voliteľné. Ich nedodržanie pravidelne vedie k vyšetrovaniam a v krajnom prípade k citelným pokutám.
Vaše výhody s právnou podporou
Konanie pred Úradom na ochranu osobných údajov je spojené so značnými výzvami pre dotknuté osoby aj pre spoločnosti. Dotknuté osoby riskujú, že si svoje práva bez profesionálneho sprievodu nebudú môcť plne uplatniť. Spoločnosti sa zase stretávajú nielen s vysokými pokutami, ale aj s poškodením imidžu a nákladnými úpravami svojich procesov. Okrem toho sú konania silne formalizované a obsahujú komplexné právne požiadavky, ktoré je bez odbornej podpory ťažké zvládnuť.
Právny sprievod špecializovanou advokátskou kanceláriou poskytuje istotu a zabezpečuje, že vaše záujmy budú od začiatku profesionálne zastúpené. Profitujete z rozsiahlych skúseností v oblasti práva na ochranu údajov a dôsledného zastupovania pred úradom.
- preverí, či je príslušná právna téma vo vašom prípade uplatniteľná
- sprevádza vás celým konaním, resp. vybavovaním
- zabezpečuje právne bezpečné vypracovanie a realizáciu všetkých potrebných krokov
- podporuje pri výpočte, presadzovaní alebo obrane nárokov
- chráni vaše práva a záujmy voči všetkým zúčastneným stranám
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
