Sčítanie obyvateľstva 2021: Pokute za nesčítanie sa zrejme vyhnete

Prečo?

Sčítanie obyvateľstva totiž zjavne porušuje viacero ustanovení na úseku GDPR s tým, že tieto právne vady nie sú evidentne odstrániteľné.

Nášmu klientovi, ktorý si prial zverejniť svoju korešpondenciu s Úradom na ochranu osobných údajov sme vyhoveli a bez jeho osobných údajov ju aj zverejňujeme. Ak niektorí z Vás použili rovnakú alebo obdobnú textáciu podania, ako je uvedená tu, môžete sa voľne inšpirovať týmto podaním (nepredpokladáme však, že bude vo veci posledné).

Každý, kto už takú pokutu dostal, alebo mu bolo oznámené začatie konania, sa môže efektívne odvolať na konanie, ktoré momentálne na Úrade na ochranu osobných údajov SR prebieha.

Prípadne sa môže dopytovať obce, akým zákonným spôsobom sa dostala k informácii, že sa daný obyvateľ nesčítal. Takýto podklad, ktorý by mal oporu v právnych predpisoch totiž neexistuje. Takže odpovede budú určite vynaliezavé, nie však v súlade so zákonom a nariadením o GDPR.

Za tento sčítavací softvér, ktorý avšak nefunguje podľa legislatívy, by sme v súkromnej sfére boli ochotní zaplatiť rádovo tisíce (za podmienky, že by fungoval, ako má). Štátny rozpočet má ale zrejme iné parametre na spoluprácu.

Pri rešerši problematiky sme narazili na ešte zaujímavejšiu tému, ktorá stojí za osobitné spracovanie: zmluvné vzťahy so spoločnosťou PS:Digital, s.r.o.. Určite sa na to v blízkej dobe pozrie tím odbornakomisia.sk.

A tu je sľúbená odpoveď klienta v plnom znení:

XY

V …. dňa …

Vec

Odpoveď na oznámenie o začatí správneho konania č. 00502/2021-Os-152

   V zmysle nariadenia  – NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) – ďalej iba „Nariadenie“je jasné, že je možné vykonávať priamo Nariadenie, pričom samé Nariadenie upravuje, že niektoré ustanovenia môžu byť upravené výslovne v lokálnej legislatíve, pričom nemôžu byť v priamom rozpore s Nariadením. Zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v jeho neskorších zneniach ( ďalej len Zákon ) upravuje práve tieto oblasti Nariadenia v Slovenskej republike. Z toho dôvodu sa budem odvolávať najmä na znenie Nariadenia a až následne na Zákon. Ďalej budem sa odvolávať na dokument Návrh na začatie konania o ochrane osobných údajov, ďalej len Návrh, ktorý som podal na Váš úrad dňa 21.02.2021, ďalej na dokument pod názvom Žiadosť o poskytnutie súčinnosti – odpoveď zo dňa 08.03.2021, ktorý odoslal Štatistický úrad Slovenskej republiky, ďalej len Odpoveď a dokument Oznámenie o začatí správneho konania a upovedomenie účastníka konania pred vydaním rozhodnutia zo dňa 14.04.2021, ďalej len Oznámenie.

   K Oznámeniu mám pripomienku v zmysle, že ako uvádzate, mám ako účastník konania právo navrhovať dôkazy a ich doplnenie, zúčastniť sa na ústnom pojednávaní a miestnej ohliadke, uplatňovať svoje námietky a pripomienky a vyjadriť sa pred vydaním rozhodnutia k jeho podkladu i k spôsobu jeho zistenia. Ďalej v Oznámení je uvedené, že 19.03.2021 Štatistický úrad Slovenskej republiky odpovedal na súčinnosť a túto odpoveď mám v prílohe Oznámenia ako Odpoveď. Ďalej uvádzate, že v zmysle §33 ods. 2 správneho poriadku ma ako účastníka konania upovedomujete o tom, že úrad uzavrel spisový materiál a získal všetky podklady pre vydanie rozhodnutia. V zmysle ďalšieho textu ma upovedomujete, že mám 10 dní na uplatnenie mojich práv. Dávam Vám teda na vedomosť, že v zmysle vyššie uvedeného textu som nemal možnosť uplatniť svoje práva ako Ste uvádzali v Oznámení. V zmylse vami uvádzaného §99 Zákona uvádzam, že povinnosť úradu na ochranu osobných údajov Slovenskej republiky je v zmysle §100 odsek 8 – Úrad posúdi podnet do 30 dní odo dňa doručenia podnetu úradu, a ak podnet neodloží podľa odseku 5, začne konanie a vo veci rozhodne podľa § 102. Zjavne podnet odložený nebol, takže úrad mohol po tejto lehote oznámiť aj mne, že koná a mohol ma požiadať o zaslanie podkladov ďalších, čo sa však nestalo a tým pádom mi defacto odoprel úrad moje práva, pretože ja som do doručenia Oznámenia nemal žiadne informácie o stave môjho Návrhu – priamo to píše Zákon b §100 odsek 9 – O spôsobe vybavenia podnetu podľa odseku 8 úrad informuje podávateľa do 30 dní odo dňa doručenia podnetu úradu, úrad týmto priamo porušil Zákon.

   Ďalej k Návrhu dodávam v zmysle Odpovede nasledovné tézy :

K bodu 1 odpovede

   Uvádzal som, že prevádzkovateľ musí uvádzať kompletné informácie na svojom webovom sídle k zberu a spracúvaniu informácií a uviedol som, že ako ľahko je možné získať osobné údaje, tak ľahko je možné poskytnúť informácie k ich ochrane. Zámerne som neuviedol, že tak ľahko je možné uplatniť svoje práva a tak ako je ľahké získať prípadný potrebný súhlas, tak ľahko je možné daný súhlas odvolať. Odkazoval som na rozdiel medzi telefonickým odkazom a mailovou komunikáciou. Prípadnému DPO danej organizácie by malo byť jasné, že som chcel Úrad nasmerovať na to, že v tomto zmysle by tam mohli byť linky na uplatnenie práv okrem povinnej informačnej povinnosti. Zjavne som nepochodil v takomto myšlienkovom postupe a ešte raz teda opakujem svoje práva – telefonicky nahlasovať porušenia mojich osobných údajov a dotazovanie sa telefonicky na ochranu mojich osobných údajov je neprimerané voči vyššie uvedenej zásade, že to musí byť rovnako ľahké. V danom období písania Návrhu soém spravil screenshoty a v dokumente scitanie osobnych udajov. Pdf, teda príloha číslo 3 Návrhu je jasne napísané na strane 11, že adresa je iba na písomnú komunikáciu, alebo Call centrum 02/20924919.  K tomuto bodu sa v Odpovedi nič neuvádza. K ochrane osobných údajov v aplikácii sa taktiež nič zásadného nenachádzalo. V každom prípade som nemal relevantnú možnosť domáhať sa mojich práv – napríklad práva na poskytovanie informácií o rozsahu informácií, ktoré o mne daná organizácia má – telefonický kontakt je zjavne z môjho pohľadu nedostatočný,  prevádzkovateľ zjavne už nejaký rozsah mojich osobných údajov má, keďže vyžadoval overenie prostredníctvom rodného čísla. Mne je jedno, že v informačnej povinnosti uvádzal akože nad rozsah svojich povinností údaje, rozhodne som tam nenašiel ako ľahko sa môžem domôcť uplatnenia svojich práv. Alebo napríklad právo namietať podľa Nariadenia. V nariadení článok 21 Právo namietať v odseku 6 uvádza : 6.   Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvania osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu. Daný odkaz  článku 89 odsek 1 uvádza : Článok 89 -Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely – Na spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa v súlade s týmto nariadením vzťahujú primerané záruky pre práva a slobody dotknutej osoby. Uvedenými zárukami sa zaistí zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov. Uvedené opatrenia môžu zahŕňať pseudonymizáciu, pokiaľ sa týmto spôsobom môžu dosiahnuť uvedené účely. Keď sa uvedené účely môžu dosiahnuť ďalším spracúvaním, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknutú osobu, použije sa na dosiahnutie uvedených účelov daný spôsob.  Na prvý pohľad by sa teda mohlo zdať z textu, že v podstate nemám právo na namietanie, ale po podrobnej analýze to právo stále mám a tu som napríklad nemal možnosť ho uplatniť s výnimkou písomnej žiadosti alebo telefonickým kontaktom, čo je neprimerané. Mám za to, že tam mali byť moje práva a teoreticky ma mohli overiť na uplatnenie pomocou rovnakej metódy ako pri vypĺňaní formulára. To, že tam neboli možnosti uplatnenia práv fyzických osôb považujem za zlyhanie a porušenie Nariadenia. Volanie na telefonické lokálne číslo v sadbe 4 centy / minúta pri sadzieb môjho operátora mi nepripadá adekvátne. V prípade, ak by som vlastnil iba satelitný telefón, kde je sadzba cca 30 EUR / minúta, alebo v prípade, že som občanom Slovenskej republiky ale som v danej dobe odcestovaný mimo územia Slovenskej republiky, je problém. Tak isto aj zaslanie štandardnej listovej zásielky. Absencia uplatňovania práv je teda výsledkom nekompetentnej analýzy projektu s vynechaním práv občana podľa Nariadenia. Ale aby som napísal, prečo som vlastne toto riešil. Štatistický úrad Slovenskej republiky doslova napísal a ja som to poslal vo vyššie zmienenom dokumente ako prílohu 3 –

F- Ako dotknuté osoby máte právo požadovať od úradu ako prevádzkovateľa prístup k osobným údajom, ktoré sa vás týkajú, právo na opravu osobných údajov a právo podať návrh na začatie konania podľa §100 zákona č.18/2018 Z.z. dozornému orgánu. Tento prenos práv prevádzkovateľa priamo na Úrad na ochranu osobných údajov veľmi zaujímavý. Mám dojem, že tu zmiešali viacero práv naraz a nedomysleli vetné konštrukcie. Ale vyplýva z tej vetnej konštrukcie, že preniesli práva zo seba na ÚOOÚ. Aj táto drobnosť poukazuje na nekompetentné a odfláknuté spracovanie dokumentov k ochrane osobných údajov, a mne to evokuje, že ak je verejná dokumentácia v neporiadku, tak ako asi bude zvyšok systému a zvyšok vzťahov a procesov podľa Nariadenia?

Malá pripomienka k CallCentru, ktoré uvádza Štatistický úrad Slovenskej republiky na stránke. Existuje zmluva s Č. zmluvy: ZML-3-1/2021-900 – https://www.crz.gov.sk/zmluva/5398122/  Táto ustanovuje podmienky spolupráce na projekte SODB 2021 a poskytovanie informácií k mojim osobným údajom tam nie je. Takže nie je možné telefonickou linkou uplatniť moje práva dotknutej osoby. Z pohľadu Nariadenia je zmluva nedostatočná a operátori danej spoločnosti môžu prichádzať do styku s osobnými údajmi dotknutých osôb a nie je tu uplatnený žiaden článok Nariadenia a nie je daná spoločnosť uvedená v ochrane osobných údajov.

V danej súvislosti ešte uvádzam jednu spoločnosť PS:DIGITAL, s ktorou má Štatistický úrad Slovenskej republiky viacero zmlúv a ktoré spracúvajú osobné údaje pre projekt SODB2021 a mám za to, že porušujú nariadenie. Ide o správu sociálnych sietí a monitoring dezinformačných webov. Osoby na sociálnych sieťach uvádzajú svoje osobné údaje a táto spoločnosť v mene Štatistického úradu Slovenskej republiky môže narábať s danými údajmi, zjavne môže vyhodnotiť niektoré osoby a weby ako dezinformačné s následnými právnymi a technickými dôsledkami. Nevidím tam žiadnu úpravu podľa Nariadenia alebo Zákona a menované činnosti nie sú v súlade s Nariadením a môžu veľmi hrubo zasahovať do práv dotknutých osôb.

K bodu 2 Odpovede

   K bodu 2 odpovede uvádzam logické odvodenie situácie, kedy vlastne uvedenie identifikačných údajov sprostredkovateľov nie je nad rámec Nariadenia. Ide o preambulu bod 145 – (145) Pri konaniach voči prevádzkovateľovi alebo sprostredkovateľovi by žalobca mal mať možnosť podať žalobu na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň, alebo kde má dotknutá osoba bydlisko, s výnimkou prípadov, keď prevádzkovateľom je orgán verejnej moci členského štátu pri výkone verejnej moci. V preklade to znamená, že musím mať vedomosť o tom, kto je sprostredkovateľ vrátane jeho identifikačných osôb.  Tu sa však pozastavím nad formulovaním textu v odpovedi. Píše sa tam, že spracúvanie osobných údajov sprostredkovateľmi sa riadi zmluvou uzatvorenou s hlavným dodávateľom BSP SOFTWAREDISTRIBUTION a.s. a tá má subdodávateľov. Z definície pojmov nariadenia mi vyplýva, že v článku 4 Vymedzenie pojmov sú definície pojmov podľa Nariadenia (zákon musí byť v súlade a Nariadenie má prednosť):

1. „osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2. „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

4. „profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

7. „prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8. „sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

9. „príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10. „tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

Z tohto výkladu pojmov je ťažko definovateľné či stačí mať jednu zmluvu so sprostredkovateľom, ktorá je v Centrálnom registri zmlúv a tá spoločnosť má subdodávateľov, ktorých ale prevádzkovateľ považuje za rovnocenných sprostredkovateľov. Podľa mňa by mali byť považovaní za tretie strany, ale podľa popisu nemajú priame poverenie na spracúvanie osobných údajov. Keďže ide o zmluvu s poskytovateľom. Sprostredkovateľom tiež nie sú, lebo podľa popisu nemajú zmluvy so Štatistickým úradom. Tu podľa mňa Štatistický úrad porušil Zákon/Nariadenie a príslušný DPO ho neupozornil na nezhodu v terminológii. Nezabudnime, že každé spracúvanie osobných údajov podľa účelu musí mať právne ošetrenie podľa Nariadenia, takže nie je možné využiť napríklad inú sprostredkovateľskú zmluvu napríklad so spoločnosťou TREXIMA Bratislava a.s., ktorá spracúva osobné údaje na základe odlišných zmlúv a právnych základov ( čo je inak pre mňa nepochopiteľné a stálo by to za preskúmanie Úradom na základe ich vlastnej činnosti ). K ostatným definíciám sa budem ešte vracať v ďalšom texte.

V prvej časti Návrhu som sa dotkol aj zabezpečeniu realizácie protection by default a protection by design podľa Nariadenia, teda ide o nasledovnú formuláciu Nariadenia :

Článok 25

Špecificky navrhnutá a štandardná ochrana údajov

1.   So zreteľom na najnovšie poznatky. náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.

2.   Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

3.   Schválený certifikačný mechanizmus podľa článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odsekoch 1 a 2 tohto článku.

Anglická originálna verzia:

Article 25

Data protection by design and by default

1.   Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

2.   The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

3.   An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.

   Ospravedlňujem sa za vloženie aj anglického textu, ale dal som ho tam, pretože V odpovedi nebolo o implementácii tejto časti nariadenia zmienka s výnimkou, že majú bezpečnostný projekt, ktorý nezverejňujú s ohľadom na bezpečnosť. V tomto kontexte pri daných sprostredkovateľoch práve vznikajú pochybnosti k uplatneniu článku 25 Nariadenia a tým pádom by mohol nastať stav, kedy by sa k osobným údajom dostali neoprávnené osoby na základe nedostatočných organizačných opatrení napríklad. Posúdenie súladu je v kompetencii Úradu na ochranu osobných údajov.

K bodu 3 Odpovede

Odpoveď uvádza, že obce nemajú prístup k údajom dotknutých osôb – sčítaných obyvateľov. Je tam napísané, že sčítaných obyvateľov. To znamená, že nemá prístup k údajom, ktoré vyplnil občan v sčítacom formulári. V preklade aj podľa dokumentácie to znamená, že obce majú prístup k nesčítaným obyvateľom. Vrátim sa teraz k definícii pojmov, ktoré som uvádzal k vyjadreniu bodu 2 Odpovede.

1. „osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2. „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

4. „profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

7. „prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

   Neviem ako mám pochopiť rozdiel medzi osobnými údajmi sčítaného a nesčítaného obyvateľa. Teda mám tušenia, ale prevádzkovateľ toto nepopisuje ani na svojej stránke, kde vraj nadštandardne uvádza údaje k ochrane osobných údajov. Indície k tomuto rozdielu mám, ale nie sú popísané. Z môjho pohľadu a z dostupných údajov má obec prístup k osobným údajom. To, že nemusí mať prístup k validným dátam – neviem to inak povedať, lebo prevádzkovateľ toto doteraz nikde nerozlišoval, iba v Odpovedi na vivinenie seba uvádza, že sú to osobné údaje sčítaných obyvateľov.  Ale nesčítaní obyvatelia obsahujú osobné údaje, čo dokazujú dokumenty a vyhlášky Štatistického úradu Slovenskej republiky.

   Zároveň však v bode 3 odpovede ďalej uvádzajú, že kontaktná osoba má prístup ku kontaktným údajom dotknutých osôb, lebo tieto samé požiadali. Kontaktná osoba má však taktiež prístup ku kontaktným osobám – asistentom sčítania. A tu je to veľmi zaujímavé.  Štatistický úrad Slovenskej republiky ( ďalej len ŠUSR ) je v pozícii prevádzkovateľa. Obce nie sú v ochrane osobných údajov spomínané nikde.  ŠUSR však v odpovedi prekrúca pojmy definované Nariadením. Neexistujú pojmy typu kontaktné údaje, údaje dotknutých osôb – sčítaní obyvatelia. Existuje pojem Osobné údaje. Takže ŠUSR sa priamo priznal k tomu, že ich Informačný systém poskytuje dáta obciam a dotknutým osobám iné osobné údaje. Tu ide však problém do väčšej hĺbky a môžem iba konštatovať, že preverenie porušení zaberie ÚOOU ešte nejaký čas ( aspoň predpokladám ).

   Problém sčítaných a nesčítaných obyvateľov po technickej stránke môžeme teoreticky rozdeliť nasledovne. Informačný systém obsahuje osobné údaje obyvateľov identifikovaných najmä cez rodné číslo alebo identifikovaných cez doklad eID. Po sčítaní sa k osobnému údaju obyvateľa dopíšu nejakým spôsobom dodatočné osobné údaje, pričom sú to stále osobné údaje. Štandardne asi obsahujú osobné údaje obyvateľov len existenciu rodného čísla. To by bolo v súlade s článkom 25 nariadenia. To vlastne nie je osobný údaj ale iba národný identifikátor. Tu by som nenamietal v podstate nič. K nič nehovoriacemu údaju by som pridal osobné údaje osoby, ktorá ich vypĺňa a cez pseudonymizačné funkcionality by priradil k národnému identifikátoru špecifický náhodný znak a dal by tam príznak vyplnenia v podobe špecifického kódu, ktorý na konci generuje po vyplnení tlačiva. Znamená to, že prevádzkovateľ by mal pseudonymizované údaje obyvateľov, čo je v súlade s Nariadením. Tu však vstupuje špecifický faktor. Prevádzkovateľ píše, že má k národnému identifikátoru aj adresu – prístup obcí k internému monitoringu stavu sčítania v obci. Nie je jasné, v akom rozsahu sú tieto adresné údaje. Predpoklad je, že prevádzkovateľ má prístup k niektorej zo štátnych databáz napríklad RegOb, pretože má vôbec k dispozícii zoznam a rozsah národných identifikátorov aj geograficky, teda priradené k obciam. K prístupu obcí však mám pripomienku. V dokumentoch príloh, ktoré sú súčasťou tejto Odpovede je uvedené, že Štatistický úrad v tejto súvislosti dáva obce do úrovne prevádzkovateľa, pričom im dáva k dispozícii svoj informačný systém a prístup k lokalizačným údajom dotknutých osôb. Existuje teda otázka kto je v skutočnosti prevádzkovateľ. Je to ŠUSR alebo sú to obce na základe vyhlášky ŠÚSR ? Prečo potom píše ŠUSR, že obce nemajú prístup k osobným dátam, keď sčítavací asistenti zadávajú osobné údaje dotknutých osôb do informačného systému ŠUSR, lebo vlastne obec nemá prístup, pričom asistent je v pracovnom vzťahu výlučne s obcou ? Tieto vzťahy je možné definovať vopred. Ale vrátim sa k problému. V dokumente Metodický pokyn Štatistického úradu Slovenskej republiky číslo 10910-1622/2020 z 12. októbra 2020. ktorým sa ustanovuje postup obcí pri zbere údajov o obyvateľoch pre účely SODB v roku 2021 sa uvádza v článku 14 ochrana údajov:

(1) Všetky údaje poskytnuté do elektronického systému pre sčítanie obyvateľov sú spracované ŠÚ SR a slúžia výlučne na účel Sčítania obyvateľov, domov a bytov v roku 2021.

(2) ŠÚ SR spravuje získané údaje v súlade so zákonom č.18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a v súlade s Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).

(3) Všetci zamestnanci ŠÚ SR, kontaktné osoby, asistenti sčítania, ako aj iné zúčastnené strany musia byť pred výkonom činnosti v súvislosti so sčítaním obyvateľov poučené o ochrane dôverných štatistických údajov a osobných údajov, s ktorými sa oboznámia počas prípravy a realizácie sčítania v súlade s platnou legislatívou SR a EÚ.

(4) Obec (ako prevádzkovateľ) musí vydať kontaktným osobám a asistentom sčítania pokyn na spracúvanie osobných údajov v súlade s § 36 zákona č.18/2018 Z. z. a Článku 29 Nariadenia Európskeho parlamentu a Rady (EU) 2016/679. Vzor pokynu na spracovanie osobných údajov je uvedený v Prílohe 4. Záznam o spracovateľských činnostiach kontaktných osôb a asistentov sčítania je vydaný obcou. Ak obec nemá zamestnancov, pokyn na spracúvanie osobných údajov vydá ŠÚ SR.

Týmto metodickým pokynom dáva ŠÚSR do pozície prevádzkovateľa. Pravdepodobne však je obec iba v kontexte znenia pokynu iba prevádzkovateľ kontaktného miesta podľa článku 6. Zároveň som osobne zneistený týmto istým dokumentom v prílohe 4 Pokyn na spracúvanie osobných údajov podľa článku 29 Nariadenia – pričom daný článok 29 Nariadenia  :

Článok 29

Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa

Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.

V tomto kontexte je obec v pozícii poverenej osoby. To znamená však, že je v pozícii na rovnakej úrovni ako sprostredkovateľ alebo prevádzkovateľ. Ale. Je tam napísané : Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa. Podľa znenia by to mohla byť fyzická osoba ale aj právnická osoba  Osobne si myslím, že tu môže byť problém s určením danej osoby a spôsobu určenia danej osoby.  Anglická verzia Nariadenia znie nasledovne :

Article 29

Processing under the authority of the controller or processor

The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.

V podstate nesmie spracúvať tieto dáta s výnimkou inštrukcií ….

Takže obce sú v pozícii, že na základe výnimky spracúvajú osobné dáta a majú určitý prístup do informačného systému ŠÚSR.

   Väčší problém vidím v tom, že dotknuté osoby – občania, ktorí požiadali o asistenciu sčítania,  podľa bodu 3 Odpovede majú tiež prístup k identifikačným a kontaktným údajom asistentov sčítania.

Nie som si istý, ako je ošetrený vzťah dotknutej osoby – účastníka sčítavania, napríklad bezdomovca podľa daného metodického pokynu voči asistentovi sčítania. Ten je v pracovno-právnom vzťahu s obcou ale na príkaz metodického pokynu a na základe školenia zverejňuje svoje kontaktné údaje a identifikačné údaje. Taktiež vyjadrenie asistenta sčítania v tomto dokumente vyjadruje, že sa oboznámil s platnými predpismi upravujúcimi ochranu osobných údajov prevádzkovateľa ( myslené tým obec ) a je povinný zachovávať mlčanlivosť o osobných údajoch s ktorými prišiel do styku aj po skončení pracovno-právneho vzťahu s prevádzkovateľom ( zase myslená obec ). Osobne si myslím, že toto ide nad rámec článku 29 nariadenia. V tom prípade by som vlastne nepotreboval sprostredkovateľa, stačil by článok 29 a definované obmedzenia spracúvania osobných údajov.

K Článku 29 Nariadenia je možné najčastejšie nájsť, že je zriadená Pracovná skupina podľa článku 29, celým menom „Pracovná skupina pre ochranu jednotlivcov pri spracúvaní osobných údajov“. Bola poradným orgánom zloženým zo zástupcu orgánu pre ochranu údajov každého členského štátu EÚ, EDPS a EC. Ako je možné to zo znenia zákona implementovať aj tak ako to spravil ŠUSR, ale takéto riešenie prináša ďalšie problémy. Myslím si, že nestačí metodický pokyn všeobecne, mal by byť vydaný dokument pre každú obec, kde bude obec poverená ( tu nie som si istý, či je možné podľa článku 29 poveriť iba obec ako všeobecne – Obec je podľa zákona č. 369/1990 Zb. o obecnom zriadení v znení neskorších predpisov samostatný územný samosprávny a správny celok Slovenskej republiky. Obec je právnickou osobou, ktorá za podmienok ustanovených zákonom samostatne hospodári s vlastným majetkom a s vlastnými príjmami. Mestom je obec vyhlásená NR SR za mesto. Zamestnanci obce resp, mesta sú fyzické osoby s pracovno-právnym vzťahom k právnickej osobe.) Poverenie prevádzkovateľa ŠUSR voči právnickej osobe – obci resp. mestu nezakladá automaticky prechod tohto práva na zamestnanca obce ako asistenta sčítania SODB. Prevádzkovateľ by musel poveriť podľa článku 29 každú osobu, čo nespravil a dokazujú to prílohy. Mám za to, že asistenti sčítania sú neoprávnené osoby. Občania vyžadujúci asistenta sčítania majú nevyriešený vzťah k prístupu k identifikačným údajom a kontaktným údajom asistentov sčítania.

Ešte jedna poznámka k bodu 3. Rozdelenie osobných údajov na osobné údaje nesčítaných osôb a sčítaných osôb môže byť technicky prevedená rôznym spôsobom, napríklad filtre dát, samostatné tabuľky atď. Rôzny spôsob poskytuje odlišný spôsob zabezpečenia osobných údajov. Ale rozdelenie na sčítaných a nesčítaných, resp. s priradenými kontaktnými údajmi podľa mňa spĺňa definíciu akejkoľvek formy automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;  je tam čarovné slovo PREDOVŠETKÝM, takže táto činnosť sa môže vzťahovať aj na delenie na sčítaných, nesčítaných ( tieto osoby majú indikátor majetkových pomerov, polohy a správania )

K bodu 4 Odpovede

   Nerozporujem právne základy ktoré uvádza ŠUSR. Iba sa tu potvrdzuje v Odpovedi, že ŠUSR ako prevádzkovateľ má k dispozícii osobné údaje vo väčšom rozsahu ako je národný identifikátor. Iba by ma zaujímalo, či pri získaní daného rozsahu osobných údajov spravil ŠUSR test proporcionality v súlade so zásadou proporcionality a test  nevyhnutnosti podľa zásad nevyhnutnosti – preambula Nariadenia bod (4), bod (156)a bod (170)

   K tomuto bodu pripomínam znenie Nariadenia v článku 14 – Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby. ŠUSR disponoval s osobnými údajmi a potvrdil to aj v Odpovedi. Neviem či boli získané osobné údaje prvotne spracúvané na rovnaký účel ako boli potom spracúvané na účel sčítania obyvateľov 2021, ale už existencia prístupu obcí do informačného systému podľa mňa mení účel spracúvania. Zámerom spracovania testu zlučiteľnosti je definovať prepojenie alebo súvislosť medzi účelom, na ktorý sa osobné údaje získali a účelom zamýšľaného ďalšieho spracúvania osobných údajov. Taktiež je potrebné definovať okolnosti, za akých sa osobné údaje získali, najmä vzťah medzi dotknutými osobami a prevádzkovateľom. Súčasťou testu zlučiteľnosti je aj analýza možných následkov zamýšľaného ďalšieho spracúvania pre dotknuté osoby. Test zlučiteľnosti nie je samostatným právnym základom, sleduje právny základ pôvodného účelu spracúvania a vyžaduje existenciu primeraných záruk, napríklad šifrovanie alebo pseudonymizáciu. Článok 6 nariadenia v odseku 4 pojednáva nasledovne :

4.   Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a) akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b) okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c) povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 9 alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10;

d) možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e) existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

   Účel spracúvania osobných údajov závisí od právneho základu napríklad preambula nariadenia bod (50) – Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov. Ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, v práve Únie alebo v práve členského štátu sa môžu stanoviť a upraviť úlohy a účely, v prípade ktorých by sa malo ďalšie spracúvanie považovať za zlučiteľné a zákonné. Ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého či historického výskumu alebo štatistické účely by sa malo považovať za zlučiteľné so zákonnými spracovateľskými operáciami. Právny základ pre spracúvanie osobných údajov, ktorý je zakotvený v práve Únie alebo v práve členského štátu, môže byť aj právnym základom pre ďalšie spracúvanie. S cieľom zistiť, či je účel ďalšieho spracúvania v súlade s účelom, na ktorý boli osobné údaje pôvodne získané, by mal prevádzkovateľ po splnení všetkých požiadaviek zákonnosti pôvodného spracúvania zohľadniť okrem iného akékoľvek prepojenie medzi týmito účelmi a účelmi zamýšľaného ďalšieho spracúvania; kontext, v ktorom sa osobné údaje získali, najmä primerané očakávania dotknutých osôb vyplývajúce z ich vzťahu k prevádzkovateľovi, pokiaľ ide o ich ďalšie použitie; povahu osobných údajov; následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby; a existenciu primeraných záruk v pôvodných aj zamýšľaných operáciách ďalšieho spracúvania. Ak dotknutá osoba udelila súhlas alebo sa spracúvanie zakladá na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti, najmä na ochranu dôležitých verejných záujmov, mal by mať prevádzkovateľ možnosť osobné údaje ďalej spracúvať bez ohľadu na zlučiteľnosť účelov. V každom prípade by sa malo zabezpečiť uplatnenie zásad stanovených v tomto nariadení, najmä povinnosti informovať dotknutú osobu o týchto iných účeloch a o jej právach vrátane práva namietať. Oznámenie možných trestných činov alebo ohrozenia verejnej bezpečnosti prevádzkovateľom a poskytnutie relevantných osobných údajov v jednotlivých prípadoch alebo viacerých prípadoch týkajúcich sa toho istého trestného činu alebo ohrozenia verejnej bezpečnosti príslušnému orgánu by sa malo považovať za oprávnený záujem, ktorý sleduje prevádzkovateľ. Takéto poskytnutie v oprávnenom záujme prevádzkovateľa alebo ďalšie spracúvanie osobných údajov by sa však malo zakázať, ak toto spracúvanie nie je v súlade s právnou, profesijnou alebo inou záväznou povinnosťou mlčanlivosti.

K bodu 5 Odpovede

 Neexistencia sčítacieho formulára znamená. Že technicky sa nastaví filter alebo sa porovnajú dve tabuľky údajov-V konečnom dôsledku to má podobu procesu profilovania. Napríklad preambula Nariadenia v bode (60) uvádza : Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú. Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania. Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne. Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania. Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné. Ďalej v preambule Nariadenia v bode (63) sa uvádza : Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. K tomu patrí aj právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o dobe spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe v každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania. Ak je to možné, prevádzkovateľ by mal môcť poskytnúť prístup na diaľku k bezpečnému systému, ktorý by dotknutej osobe zabezpečil priamy prístup k jej osobným údajom. Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru. Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe. Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo informácií, mal by môcť požadovať, aby pred doručením informácií dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa žiadosť týka.

Budem opakovať,. že v Nariadení článok 4 odsek 4 je inak definovaný text ako to uvádza ŠUSR. Vypadlo im slovíčko

Ďalej dávam do pozornosti článok 22 Nariadenia – Automatizované individuálne rozhodovanie vrátane profilovania

1.   Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

2.   Odsek 1 sa neuplatňuje, ak je rozhodnutie:

a) nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,

b) povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo

c) založené na výslovnom súhlase dotknutej osoby.

3.   V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

4.   Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 9 ods. 1, pokiaľ sa neuplatňuje článok 9 ods. 2 písm. a) alebo g) a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.

V podstate stačilo priznať profilovanie, ktoré tam je a prijať opatrenia v zmysle Nariadenia/Zákona. Ako občan by som bol informovaný o tom, a aj o tom, že si síce môžem uplatniť právo namietania na profilovanie, ale v súvislosti s výkonom zákona mi nemôžu vyhovieť. Opakujem, museli by prijať vhodné spôsoby zabezpečenia súladu s Nariadením ako po technickej stránke tak po organizačnej.

Ďalej je v Odpovedi uvedené, že ŠUSR má za to, že identifikovanie osoby, ktorá sa nesšítala a jej nahlásenie príslušným orgánom obce nie je profilovaním. V podstate súhlasím s časťou, že nahlásenie obci nie je profilovanie. Identifikácia osoby je profilovanie – „profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

   Tu je skôr na zamyslenie, na základe akého právneho základu chce ŠUSR poslať osobné údaje obci. Obce nikde nie sú spomínané. Už som to rozoberal vyššie, obce by museli byť definované ako – príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania; podľa článku 4 odsek 9 Nariadenia. Ale ako som už skonštatoval vyššie, obec ide iba podľa článku 29 Nariadenia a aj to je veľmi sporné riešenie, ale toto riešenie v tomto ponímaní nie je vhodným riešením na príjem údajov a zjavne mení aj účel spracúvania údajov. Lebo obec spracúva osobné údaje za účelom asistencie sčítavania v kontexte dostupných informácií a zrazu by sa zmenil účel spracúvania na spracúvanie za účelom udelenia pokuty v zmysle iného právneho predpisu

K bodu 6 Odpovede

   Sčítavanie osôb pod stanovený vek podľa Nariadenia – ŠUSR sa odkazuje na iný právny predpis, ktorý má informovať zákonného zástupcu. Podľa Nariadenia odsek 5 písmeno b) by bolo poskytovanie informácií nemožné alebo by si vyžadovalo neprimerané úsilie.  Ďalej však ten istý text v Odpovedi odkazuje na povinnosť prevádzkovateľa – V takých prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti; a zároveň musí prijať opatrenia v zmysle článku 89 nariadenia odsek 1. Toto ja neviem skontrolovať, z dostupných dokladov zaslaných v Návrhu je jasné, že obyvatelia neboli informovaní o spracúvaní osobných údajov osôb pod určitý vek, kde bol potrebný zákonný zástupca obyvateľa. Dokonca v médiách sa objavili informácie, že deti majú vyplniť údaje za svojich starých rodičov, čo je taktiež proti zásadám Nariadenia. ŠUSR sa neohradil voči takýmto tvrdeniam, hoci pravdepodobne má monitoring médií a informácii o sebe. Mám za to, že v tomto prípade prišlo k porušeniu Nariadenia, hoci ŠUSR sa snaží vysvetliť, že vlastne nič nemusel robiť, lebo je to neprimerané úsilie.

K bodu 7 odpovede

   Namietal som spracúvanie osobitných kategórií osobných údajov. ŠUSR sa odvoláva na znenie článku 9 Nariadenia odsek 2 písmeno g).- spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;.

V zmysle vyššie uvedeného znenia by to teoreticky mohlo byť, ale mám za to, že sa nerešpektuje podstata práva na ochranu údajov a nie sú stanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutých osôb. A keď nie je táto časť zabezpečená, tak nie je možné uplatniť dané znenie a získavanie je nezákonné. Navyše som vyššie spomínal test proporcionality atď. Nikde ma ani ŠUSR neinformoval o tom, že takéto osobitné kategórie osobných údajov budú spracúvané, teda nesplnili si ani základnú informačnú povinnosť. Ďalej ešte raz uvádzam, že verejné činitelia sa v médiách vyjadrili o dôsledkoch vyplnenia daných údajov a ŠUSR. ŠUSR si pritom najíma spoločnosti, ktoré neustále monitorujú dianie okolo ŠUSR, je isté, že mnou zverejnené vyjadrenie museli zaregistrovať, minimálne zamestnankyňa ŠUSR, ktorá tam podávala vyjadrenie musela zaregistrovať daný článok – podľa zoznamu faktúr v centrálnom registri zmlúv ide o plánované zverejňovanie informácií s plateným časom a priestorom v jednotlivých médiách. Vyjadrenie ŠUSR malo byť na mieste nie v podobe komentovania alebo hodnotenia výrokov ale v podobe informovania verejnosti a v splnení si riadnej informačnej povinnosti podľa Nariadenia.

K iným bodom Odpovede

   V centrálnom registri je zverejnená zmluva s BSP SOFTWARE, ktorú prikladám ako prílohu.  Na strane 41 sú uvedené AZÚ, z ktorých čerpá projekt SODB osobné údaje. Na strane 47 ( 22/92 ) je uvedené, že databáza vznikne zlúčením SODB2011 a SODB2001 Na strane 49 v bode 6.2.1.5 je uvedený menný zdroj, pričom je tam aj zdroj, ktorý som predpokladal v Návrhu – Register fyzických osôb. Ďalej sú podrobne uvádzané osobné údaje, ktoré budú v základe SODB2021. Na strane 226 je uvedený zoznam subdodávateľov projektu SODB2021 V prílohe č.8 strana 228 je zoznam všetkých osobných údajov spracúvaných v projekte SODB2021 Na strane 232 sú uvedené OSOBNÉ ÚDAJE OBYVATEĽOV SPRACÚVANÉ V RÁMCI SČÍTANIA DOMOV A BYTOV (na základe údajov o byte alebo o dome, ktoré tvoria ekonomickú, kultúrnu alebo sociálnu identitu obyvateľa a neboli pseudonymizované, je možná priama alebo nepriama identifikácia obyvateľa)  Od strany 239 je síce uvedené, že ide o všeobecné podmienky o zabezpečení informačnej bezpečnosti, ale nikde som nepostrehol informácie, ktoré vyžaduje priamo Nariadenie pre sprostredkovateľa.

   V prípade potreby som v zmysle Nariadenia schopný poskytnúť ďalšie informácie k výkladu a ku konfrontácii výkladov Nariadenia. Dovoľujem si upozorniť Úrad na ochranu osobných údajov o skutočnosti, že mohli byť porušené aj práva osôb z iných členských štátov, pretože existuje skupina obyvateľov, ktorí majú duálne občianstva, prípadne spadajú pod jurisdikciu iného členského štátu, alebo aj nečlenského štátu. Títo občania by mohli mať poškodené práva a taktiež existuje povinnosť vyplnenia sčítania pre občanov iných krajín, ktorí majú trvalý pobyt na území Slovenskej republiky. V tomto prípade by som navrhoval uplatnenie článku 62  Spoločné operácie dozorných orgánov

1.   Dozorné orgány podľa potreby vykonávajú spoločné operácie vrátane spoločných vyšetrovaní a spoločných opatrení v oblasti presadzovania, do ktorých sú zapojení členovia alebo personál dozorných orgánov iných členských štátov.

S pozdravom

                                                                              XY

V …

Prílohy aj s linkami

  1. Metodický pokyn Štatistického úradu Slovenskej republiky číslo 10910-1622/2020 z 12. októbra 2020. ktorým sa ustanovuje postup obcí pri zbere údajov o obyvateľoch pre účely SODB v roku 2021(tu)
  2. ZMLUVA O POSKYTOVANÍ SLUŽIEB EXTERNÉHO CALL CENTRA č. ZML-3-1/2021-900 (tu)
  3. ZMLUVA O POSKYTOVANÍ SLUŽIEB č. ZML-3-3/2021-900 (tu)
  4. ZMLUVA O ELEKTRONICKOM INFORMAČNOM SYSTÉME PRE PRÍPRAVU, ZBER, ŠTATISTICKÉ SPRACOVANIE A DISEMINÁCIU CENZOVÝCH DÁT SČÍTANIA OBYVATEĽOV, DOMOV A BYTOV 2021 č. ZML-1-11/2019-900 (tu)
  5. Metodický pokyn Štatistického úradu Slovenskej republiky číslo 10828/2021 z 24. marca 2021, ktorým sa ustanovuje postup a úlohy asistentov pri zbere údajov o obyvateľoch pre účely sčítania obyvateľov v roku 2021 (tu)
  6. 403 OPATRENIE Štatistického úradu Slovenskej republiky z 15. novembra 2019 o preukaze asistenta sčítania (tu)
  7. 435 OPATRENIE Štatistického úradu Slovenskej republiky z 11. decembra 2019, ktorým sa ustanovujú podrobnosti o systéme identifikácie elektronickej identity obyvateľa a systéme overenia elektronickej identity obyvateľa prostredníctvom jeho autentifikácie (tu)
  8. 440 OPATRENIE Štatistického úradu Slovenskej republiky z 13. decembra 2019, ktorým sa ustanovujú podrobnosti o technickom zabezpečení poskytovania údajov z administratívnych zdrojov (tu)
  9. 441 OPATRENIE Štatistického úradu Slovenskej republiky z 13. decembra 2019, ktorým sa ustanovujú podrobnosti o podmienkach prevádzky kontaktného miesta (tu)
  10. 44 OPATRENIE Štatistického úradu Slovenskej republiky z 9. marca 2020, ktorým sa ustanovujú podrobnosti o charakteristikách a štruktúre zisťovaných údajov o témach podľa zoznamu, podrobnosti o spôsobe zisťovania údajov a vzory sčítacích formulárov na sčítanie obyvateľov a sčítacích formulárov na sčítanie domov a bytov (tu)
  11. 59 OPATRENIE Štatistického úradu Slovenskej republiky z 12. februára 2021, ktorým sa mení opatrenie Štatistického úradu Slovenskejrepubliky č. 435/2019 Z.z.,ktorým sa ustanovujú podrobnosti o systéme identifikácie elektronickej identity obyvateľa a systéme overenia elektronickej identity obyvateľa prostredníctvom jeho autentifikácie (tu)
  12. 60 OPATRENIE Štatistického úradu Slovenskej republiky z 12. februára 2021, ktorým sa mení opatrenie Štatistického úradu Slovenskej republiky č. 403/2019 Z.z. o preukaze asistenta sčítania (tu)
  13. Metodické vysvetlivky k otázkam v sčítacom formulári: typ B úroveň 3 (tu)
  14. Používateľská príručka Aplikácia pre ESO – Príručka pre mobilných asistentov V 2.0 (tu)
  15. 223 ZÁKON z 18. júna 2019 o sčítaní obyvateľov, domov a bytov v roku 2021 a o zmene a doplnení niektorých zákonov (tu)
  16. 44 ZÁKON z 28. januára 2021, ktorým sa mení a dopĺňa zákon č. 223/2019 Z.z. o sčítaní obyvateľov, domov a bytov v roku 2021 a o zmene a doplnení niektorých zákonov (tu)

 

Možnosti zdieľania článku

Similar Posts