Čo potrebujete vedieť o GDPR
Viaceré prieskumy ešte v januári 2018, teda len niekoľko mesiacov pred začiatkom platnosti GDPR upozorňujú na pretrvávajúcu nepripravenosť firiem. Hlavne pre menšie či stredne veľké podniky a organizácie je GDPR veľká výzva. V tejto súvislosti sme položili niekoľko otázok JUDr. Martine Novysedlákovej zo spoločnosti CMS.
PCR: Pri čítaní preambuly zistíte, že jej jednotlivé body sú koncipované voľne, namiesto striktných pokynov typu „musia“ sa v nej vyskytujú formulácie typu „mali by“. Prečo je to tak?
MN: Tento právny predpis je koncipovaný tak, že v jednotlivých článkoch sú obsiahnuté normatívne texty zakotvujúce práva a povinnosti, ktoré nariadenie GDPR ukladá. Naproti tomu všetky recitály, ktoré sú súčasťou preambuly a je ich 173, sú akoby dôvodovou správou k normatívnemu textu. Tieto recitály obsahujú potrebné dodatočné informácie a poskytujú kontext k normatívnemu textu v článkoch nariadenia, a preto majú predovšetkým interpretačnú hodnotu. To znamená, že subjekty, ktorým je nariadenie určené, napríklad dotknuté osoby, ktorých osobné údaje sa spracúvajú, alebo prevádzkovatelia a sprostredkovatelia osobných údajov, sa pri výkone svojich povinností a práv môžu riadiť týmito informáciami. Takisto keby si príslušné dozorné orgány jednotlivých členských štátov v prípade, že budú musieť aplikovať niektorý z článkov, ktoré obsahujú normatívny text, neboli úplne isté tým, čo príslušný článok nariaďuje alebo z čoho vychádza, prečítajú si príslušné recitály, ktoré im pomôžu pri správnej interpretácii článkov nariadenia.
Je to aj zaužívaná prax Súdneho dvora EÚ. Ak je súd postavený pred úlohu, že má vyložiť určitý článok niektorého predpisu EÚ, takisto siahne po recitáloch príslušného predpisu a pomáha si informáciami obsiahnutými v nich. To je vysvetlenie, prečo sú v recitáloch formulácie typu „mali by“, a nie „musia“, pretože preambula neobsahuje normatívny text, ktorý by zaväzoval zainteresované strany k nejakým povinnostiam. Informácie v preambule sú dôležité na správnu aplikáciu nariadenia, preto ju treba pozorne prečítať. A prípadne konfrontovať skutočnosti obsiahnuté v texte s existujúcim stavom alebo projektom na dosiahnutie súladu s GDPR.
PCR: V čom je základný rozdiel v porovnaní s doteraz platnou legislatívou?
MN: Čo sa týka základných zásad spracúvania, ktoré sú obsiahnuté v článku 5 nariadenia, tie nie sú nejakou zásadnou novinkou a takmer všetky sú zakotvené už v doteraz platnej legislatíve. Tá takisto určuje, že spracúvanie osobných údajov má byť zákonné, informované a len na konkrétne vymedzené účely. V GDPR sú tieto zásady, ktoré sme doteraz poznali a ktorými sme sa riadili, detailnejšie rozpracované a lepšie vysvetlené. Ide predovšetkým o zásady zákonnosti, spravodlivosti, transparentnosti, obmedzenia účelu, minimalizácie údajov, obmedzenia doby uchovávania a dôvernosti. Novinky sa týkajú najmä zodpovednosti prevádzkovateľa osobných údajov za to, že spracúvanie týchto údajov bude v súlade s týmito zásadami v článku 5 odsek 1 a zároveň prevádzkovateľ bude musieť byť schopný kedykoľvek preukázať kompetentnému orgánu, v našom prípade Úradu na ochranu osobných údajov, že implementácia postupov spracúvania je v súlade so zásadami v nariadení.
PCR: Čo presne sa rozumie pod pojmom osobný údaj?
MN: Ak na základe konkrétnych údajov možno identifikovať príslušnú osobu, prípadne je predpoklad, že na základe týchto údajov bude možné niekoho identifikovať, či už priamo, alebo nepriamo, v takom prípade treba s danými informáciami nakladať ako s osobným údajom. Napríklad zoznam obsahujúci mená a priezviská. Pokiaľ bude zoznam rozsiahlejší, je veľká pravdepodobnosť, že v ňom bude niekoľko duplicitných záznamov najčastejšie sa vyskytujúcich mien a priezvisk, napríklad Ján Novák. To však neznamená, že takáto kombinácia má z hľadiska identifikácie menšiu hodnotu ako povedzme mená a priezviská, ktoré sa vyskytujú zriedkavejšie. S údajmi treba, samozrejme, narábať v príslušnom kontexte spracovania, pretože osobné údaje sa vždy spracúvajú na konkrétny účel. Jedna z hlavných zásad týkajúca sa spracúvania osobných údajov je zákonnosť, čiže spracúvanie musí mať určitý právny základ a nie vždy je nevyhnutný súhlas dotknutej osoby. Napríklad zamestnávateľ spracúva väčšinu osobných údajov, aby mohol plniť svoje zákonné povinnosti, napr. odvádzať za zamestnanca dane a odvody. Ak vyžaduje údaje, ktoré sú nad rámec zákonných povinností, vtedy si už musí vyžiadať súhlas zamestnanca. Druhý právny základ je teda súhlas dotknutej osoby. Tretí právny základ je plnenie zmluvy. Ak teda firma alebo organizácia uzatvorí zmluvu s fyzickou osobou, ktorá na účely tejto zmluvy poskytne niektoré osobné údaje, prevádzkovateľ, v tomto prípade firma, ich spracúva preto, aby bola schopná plniť si povinnosti dohodnuté v zmluve. V tomto prípade je právnym základom na spracúvanie osobných údajov sama zmluva a firma či živnostník, ktorí zmluvu s fyzickou osobou uzatvárajú, už nepotrebujú súhlas, aby mohli osobné údaje spracúvať. Takýchto právnych základov je šesť:
• dotknutá osoba vyjadrila súhlas so spracúvaním OÚ na jeden alebo viaceré konkrétne účely,
• spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba,
• spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,
• spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
• spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
• spracovanie je nevyhnutné na účel oprávneného záujmu prevádzkovateľa.
Ak niekto potrebuje spracúvať osobné údaje, mal by si ozrejmiť, na základe ktorého dôvodu to môže robiť, a ak nenájde iný dôvod mimo súhlasu, bude musieť spracúvať osobné údaje na základe súhlasu dotknutej osoby. Praktická realizácia súhlasu môže byť napríklad v podobe zaškrtávacieho políčka vo formulári na webovej stránke s informáciou o účele spracovania, ako aj ďalšími informáciami, ktorých poskytnutie GDPR vyžaduje.
PCR: Ako môže byť realizovaný súhlas so spracovaním osobných údajov?
MN: Súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný prejav vôle konkrétnej osoby.
• Slobodný znamená okrem iného napr. to, že nemožno podmieňovať poskytnutie služby získaním údaja, ktorý na poskytnutie služby nie je potrebný. Napríklad na doručenie zásielky je nevyhnutne potrebná adresa príjemcu, ale pri nákupe v predajni to potrebné nie je, takže nemožno podmieniť predaj tým, že zákazník poskytne adresu, aby mu predajca mohol posielať reklamné materiály.
• Konkrétny znamená, že súhlas musí byť poskytnutý len na konkrétny, presne vymedzený účel.
• Informovaný v praxi znamená, že dotknutá osoba musí mať informáciu v prvom rade o tom, komu dáva súhlas a na aký účel.
GDPR nevyžaduje konkrétnu formu súhlasu, takže súhlas pri zachovaní už spomínaných atribútov môže mať písomnú či elektronickú formu, prípadne môže ísť aj o ústny súhlas, ale prevádzkovateľ musí byť schopný dokázať, že súhlas od príslušnej osoby skutočne získal. V praxi to znamená, že ústny súhlas môže byť zaznamenaný napr. ako zvukový záznam. Inak povedané, mlčanie, nečinnosť alebo vopred zaškrtnuté políčko elektronického formulára sa nebude považovať za súhlas, pretože v takýchto prípadoch chýba aktívna participácia dotknutej osoby, aktívne prejavenie vôle. V prípade, ak je súhlas daný v rámci nejakej písomnosti, musí byť jednoznačne oddeliteľný od ostatných skutočností, ktoré sa v písomnosti spomínajú, čiže súhlas by nemal byť súčasťou napríklad všeobecných obchodných podmienok. Súhlas, ktorý podnikateľ zapracuje do všeobecných obchodných podmienok, nebude podľa GDPR považovaný za platne udelený súhlas. Takisto prílohy k zmluve sú jej neoddeliteľnou súčasťou, takže riešením je samostatný dokument. V prípade zmlúv si však treba uvedomiť, že zmluva dáva právny základ na spracovanie osobných údajov a súhlas je potrebný iba vtedy, ak sa týka nejakých iných skutočností, ktoré priamo nesúvisia so zmluvou. Napríklad ak podnikateľ poskytujúci službu uzatvorí zmluvu so zákazníkom, vyriešia v nej svoje vzájomné vzťahy a zároveň by podnikateľ chcel od zákazníka súhlas na posielanie marketingovej komunikácie, čo je jasne nad rámec predmetu uzatváranej zmluvy a nie je to v súvislosti so zmluvou nevyhnutné.
PCR: Ako postupovať, ak máme od dotknutej osoby súhlas so spracúvaním osobných údajov z obdobia pred začiatkom platnosti GDPR v súlade s vtedajšou platnou legislatívou?
MN: Takýto súhlas bude možné akceptovať a pokračovať v spracúvaní osobných údajov iba v prípade, ak je aj v súlade s GDPR. Týka sa to predovšetkým už spomínanej nevyhnutnosti oddelenia od ostatných skutočností.
PCR: Aké postavenie má rodné číslo?
MN: Podľa doterajšej legislatívy malo rodné číslo ako jeden z osobných údajov osobitné postavenie, patrilo do osobitnej kategórie osobných údajov. Podľa GDPR už toto neplatí a rodné číslo je osobný údaj s rovnakým postavením ako ostatné osobné údaje. V rámci zásady minimalizácie údajov vždy treba zvážiť rozsah údajov nevyhnutne potrebných na spracovanie, teda či je rodné číslo potrebné, alebo nie. Ak sa osoba dá identifikovať podľa mena, priezviska, trvalého bydliska a dátumu narodenia, zadávanie rodného čísla nie je potrebné.
PCR: Čo v praxi znamená právo fyzických osôb, predovšetkým právo na vymazanie a právo na prenosnosť?
MN: Právo na vymazanie po skončení účelu spracovania, alebo ak spracúvaním došlo k porušeniu zákona, je v určitej podobe zakotvené aj v doterajších právnych predpisoch. Novinkou je právo na prenosnosť údajov. GDPR však rozširuje dôvody, pre ktoré treba osobné údaje dotknutej osoby na základe jej žiadosti vymazať. Dôvodom môže byť tak ako v minulosti skončenie účelu spracovania, ďalej odvolanie súhlasu, namietanie dotknutej osoby proti spracúvaniu v prípade, ak na spracúvanie nie je dôvod daný zákonom, takisto nezákonné spracúvanie musí viesť k nutnosti vymazania údajov. Aj vtedy, ak súhlas udelí dieťa a neskôr bude argumentovať, že v čase jeho udelenia nebolo schopné posúdiť všetky okolnosti, musia byť jeho osobné údaje vymazané. Ak sú služby informačnej spoločnosti poskytované dieťaťu na základe jeho súhlasu, tento súhlas je platný iba v prípade, ak dieťa má minimálne 16 rokov. Jednotlivé štáty si môžu túto vekovú hranicu upraviť, no minimum je 13 rokov. Špecifická situácia v súvislosti s právom na vymazanie nastane v prípade zverejnenia osobných údajov. Ak prevádzkovateľ osobných údajov tieto údaje zverejnil a dotknutá osoba požiada o ich vymazanie, prevádzkovateľ musí využiť všetky dostupné prostriedky na to, aby tieto údaje boli vymazané, a ak ich poskytol, samozrejme, so súhlasom dotknutej osoby, iným prevádzkovateľom, aj tie ich musia vymazať.
Prenos do takzvaných tretích krajín mimo EÚ je možný v prípade primeraných záruk, že údaje budú spracúvané bezpečne, ako to vyžadujú predpisy EÚ.
PCR: Aké technické opatrenia na ochranu osobných údajov sú postačujúce?
MN: Záleží na konkrétnej situácii, takže odpoveď na túto otázku sa nedá zovšeobecniť. Ideálne je, ak sa opatrenia na ochranu osobných údajov realizujú v spolupráci právnika a zodpovedných pracovníkov IT oddelenia. Pri uchovávaní citlivejších údajov sú, samozrejme, potrebné náročnejšie technické opatrenia, napríklad silné šifrovanie, a odporúča sa aj analýza rizík a penetračné testy. Dôležité je zabezpečiť integritu údajov a prístup len oprávnených osôb, ktoré na základe poverenia zamestnávateľa môžu s osobnými údajmi pracovať.
PCR: Aký je rozdiel medzi anonymizovanými a pseudonymizovanými údajmi?
MN: Anonymizované údaje nemožno priradiť ku konkrétnym osobám, takže na takéto údaje sa GDPR nevzťahuje. Naproti tomu psedonymizované a zašifrované údaje za určitých okolností možno obnoviť a priradiť ku konkrétnym osobám. Pseudonymizované údaje nie sú priamo identifikujúce bez použitia ďalších informácií. Na pseudonymizáciu súboru údajov však musia byť tieto dodatočné informácie uchovávané oddelene. Zároveň musia byť technicky a organizačne zabezpečené tak, aby ich nebolo možné priradiť k identifikovanej alebo identifikovateľnej osobe. Tieto okolnosti sú však splnené len pre oprávnené firmy a osoby, ktoré majú k dispozícii kľúče a technické prostriedky na dešifrovanie alebo v prípade pseudonymizovaných údajov doplňujúce informácie. Napríklad konkrétnu osobu nemožno identifikovať len na základe dátumu narodenia, ale v kombinácii s poštovým smerovacím číslom sa výber dokáže zúžiť na osobu.
PCR: Ako funguje povinnosť ohlásenia incidentu?
MN: Toto je novinka, takže jej fungovanie ukáže prax. Kľúčový faktor je vyhodnotenie rizík porušenia práv a slobôd dotknutých osôb v prípade konkrétneho incidentu. Ak incident znamená z tohto hľadiska riziko, musí ho prevádzkovateľ oznámiť kompetentnému úradu na účel maximálnej možnej eliminácie rizika porušenia práv a slobôd dotknutých osôb. Prevádzkovateľ musí oznámiť incident do 72 hodín. Pravdepodobne bude využívať telefonickú alebo e-mailovú komunikáciu s pracovníkmi úradu, ktorí situáciu vyhodnotia a prípadne prevádzkovateľovi poradia. Oznámenia poslané klasickou poštou by nemuseli splniť určenú lehotu. Časom sa určite vytvoria osvedčené postupy oznamovania. Napríklad ak sa stratil notebook alebo externý disk so zašifrovanými údajmi, podnikateľ pre istotu túto skutočnosť oznámi vrátane typu aplikácie na šifrovanie a úrad vyhodnotí, či hrozí alebo nehrozí riziko dešifrovania údajov. Úrad pri stanovovaní výšky pokuty v prípade incidentu berie do úvahy aj to, ako sa prevádzkovateľ zachoval a či si náležite splnil ohlasovaciu povinnosť. Zatiaľ čo úradu sa incident oznamuje v prípade pravdepodobnosti akéhokoľvek rizika, dotknutým osobám sa oznamuje iba v prípade pravdepodobnosti vysokého rizika porušenia práv a slobôd.
Zobrazit Galériu
