Ktovie, či nastane niekedy situácia, že všeobecné nariadenie o ochrane údajov (GDPR) nebude spôsobovať problémy pri zavádzaní jeho pravidiel do praxe. V máji minulého roku to boli už 2 roky, kedy nariadenie vstúpilo do účinnosti.
Dozorné orgány pre oblasť ochrany osobných údajov od tohto času vykonali viacero kontrol, pričom pri niektorých z nich uložili kontrolovaným subjektom nie nízke pokuty. Inak tomu nie je ani na území Slovenskej republiky. Úrad na ochranu osobných údajov SR doposiaľ najvyššiu pokutu uložil Sociálnej poisťovni, a to 50-tisíc eur za porušenie pravidiel ochrany osobných údajov.
Úrad na ochranu osobných údajov SR zverejnil na svojom webovom sídle plán kontrol pre rok 2020, z ktorých stoja za zmienku nasledovné oblasti:
- Spracúvanie osobných údajov orgánmi štátnej správy v oblasti školstva a zdravotníctva
- Kontrola spracúvania osobných údajov na účely výberu mýta alebo úhrad za užívanie vymedzených úsekov ciest
- Kontrola spracúvania osobných údajov stanicami technickej kontroly pri overovaní technickej spôsobilosti vozidiel na prevádzku v cestnej premávke
- Spracúvanie osobných údajov v rámci poskytovania parkovacích služieb
- Spracúvanie osobných údajov ubytovacími zariadeniami
- Spracúvanie osobných údajov poskytovateľmi verejných telekomunikačných služieb
- Spracúvanie osobných údajov pri poskytovaní webhostingu
Do budúcna teda môžeme počítať s tým, že dozorný orgán sa bude zameriavať ako na veľkých, tak aj malých prevádzkovateľov.
V praxi sa často stáva, že s implementáciou GDPR majú problém predovšetkým malí prevádzkovatelia, ktorí nemajú dostatočné ľudské alebo finančné zdroje. Tým pádom môžu vznikať situácie, kedy síce prevádzkovateľ vie, aké opatrenia má prijať, ale nemá na to prostriedky.
Aké sú najčastejšie chyby?
Najčastejšie sa opakujúcim porušením je prípad, kedy prevádzkovateľ spracúva osobné údaje dotknutých osôb bez právneho základu. To znamená, že prevádzkovateľ spracúva osobné údaje nezákonným spôsobom. Nariadenie GDPR v čl. 6 definuje, na akých právnych základoch je možné osobné údaje dotknutých osôb spracúvať. Najčastejšie sa stretnete so súhlasom alebo zákonnou povinnosťou, či zmluvným vzťahom.
Okrem týchto právnych základov existuje ešte zákonná povinnosť, verejný záujem, oprávnený záujem (záujem toho, kto osobné údaje spracúva) alebo ochrana životne dôležitých záujmov dotknutej osoby. Treba podotknúť, že napríklad verejný záujem môžu využiť len orgány verejnej moci, a teda nie podnikateľské subjekty.
Rozpor či absencia istého právneho základu sa môže prejavovať napríklad tak, že osobné údaje sú spracúvané iným spôsobom ako stanovuje Nariadenie GDPR. Napríklad, v prípade spracúvania osobných údajov na účely uzatvorenia pracovnej zmluvy so zamestnancom, nemôžete od neho žiadať súhlas.
Dbať treba aj na základné zásady, z ktorých Nariadenie GDPR vyvstáva. Dôležitou je napríklad zásada minimalizácie, v zmysle ktorej je prevádzkovateľ povinný spracúvať len osobné údaje, ktoré sú nevyhnutné na dosiahnutie stanoveného účelu. Všetko “navyše” spracúvať nesmie.
Ďalšou častou chybou je nesplnenie si informačnej povinnosti vo vzťahu k dotknutým osobám. Táto povinnosť zároveň predstavuje jedno zo základných práv dotknutej osoby – právo byť informovaný o tom, že prevádzkovateľ spracúva moje osobné údaje na konkrétny účel. Obsah informačnej povinnosti sa nachádza v čl. 13 a 14 Nariadenia GDPR, podľa toho, či sa osobné údaje získavajú priamo od dotknutej osoby, alebo nie.
V neposlednom rade porušenie Nariadenia GDPR môže spôsobiť aj nevedomosť, resp. nízke povedomie v oblasti ochrany osobných údajov. Napriek tomu, že od účinnosti Nariadenia GDPR ubehlo viac ako 2 roky, stále existujú prevádzkovatelia, ktorí sa tejto problematike venujú len okrajovo alebo sa jej ešte vôbec nevenovali. Treba mať na pamäti, že čím dlhšia doba od účinnosti Nariadenia GDPR uplynie, tým bude dozorný orgán prísnejšie hodnotiť, ak prevádzkovateľ neprijal opatrenia, ktoré prijať mal.
Mnohí z podnikateľov si pravdepodobne doteraz neuvedomujú možné riziko vysokých sankcií, ktoré sa môžu vyšplhať až do likvidačných výšok, t. j. do 20 miliónov eur alebo do výšky 4% z celkového ročného obratu za predchádzajúce účtovné obdobie.
Ani “veľkí hráči” to nemajú ľahšie
Hoci sa môže na prvý pohľad zdať, že veľké korporáty, ktoré disponujú dostatočnými finančnými a personálnymi prostriedkami, to majú z pohľadu ochrany osobných údajov ľahšie, nie je tomu tak. V prípade kontrolnej činnosti bude veľký korporát vždy čeliť prísnejšiemu hodnoteniu jednotlivých kritérií. Laicky povedané, čím väčšia spoločnosť, tým prísnejšie opatrenia musí prijať.
Pri implementácii GDPR sa však v praxi stretávame s rozličnými spôsobmi jej integrácie do fungovania spoločnosti, bez ohľadu na veľkosť organizácie. S ohľadom na povahu GDPR ako nariadenia je však nevyhnutné, aby jeho ustanovenia boli ľahko pochopiteľné pre všetky dotknuté subjekty – veľké aj malé.
POSTREH ODBORNÍKA
Ako bolo povedané v článku, na to, aby prevádzkovateľ spracúval osobné údaje zákonným spôsobom, musí disponovať vhodným právnym základom. Predtým však prevádzkovateľ musí ešte stanoviť dôvod zamýšľaného spracúvania a ten naviazať na nejakú konkrétnu činnosť. Prevádzkovateľ ešte pred začatím spracúvania osobných údajov musí jednoznačne vedieť, čo sa chce sledovať daným spracúvaním. Napríklad, predtým než zamestnávateľ začne spracúvať životopis uchádzača o zamestnanie, musí vedieť, či chce prijať nového zamestnanca a túto vôľu naviazať na nejakú činnosť, ideálne napríklad zverejnenie inzerátu s pracovnou ponukou.
Určenie účelu znamená, že prevádzkovateľ sám alebo spoločne s inými prevádzkovateľmi, je povinný účel, na ktorý budú osobné údaje používané, definovať, a to ešte pred samotným spracúvaním, t. j. pred prvou spracovateľskou operáciou spojenou s daným účelom spracúvania, najneskôr v čase získavania údajov dotknutej osoby. Ide v podstate o prvý krok, ktorý Prevádzkovateľ musí urobiť, aby nespracúval osobné údaje dotknutých osôb nezákonným spôsobom. Prevádzkovateľ nesmie spracúvať osobné údaje dotknutých osôb na neurčené alebo neobmedzené účely. Takýto účel musí byť určený jasne, zrozumiteľne a dostatočne určito tak, aby z neho bolo možné jednoznačne určiť, ktoré spracúvanie osobných údajov spadá pod tento účel a ktoré nie. Nie je pritom vylúčené, aby Prevádzkovateľ nemohol spracúvať osobné údaje dotknutých osôb aj na viacero účelov. Aj v tomto prípade však musí prevádzkovateľ pri každom účele dodržať všetky zásady spracúvania osobných údajov splniť všetky podmienky, ktoré mu ukladá všeobecné nariadenie o ochrane údajov.
Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok, ktorú stanovuje čl. 6 Nariadenia GDPR.Pri kontrolnej činnosti sa dozorný orgán zameriava aj na plnenie informačnej povinnosti a bezpečnosť spracúvania. Informačná povinnosť predstavuje jednu z najdôležitejších povinností prevádzkovateľa. Jedná sa o povinnosť, ktorej koreluje právo dotknutej osoby vedieť, prečo vôbec prevádzkovateľ spracúva jej osobné údaje. Informovanosť dotknutých osôb je aj primárnym cieľom, ktorý sa Nariadenie GDPR snaží naplniť. Dotknutá osoba má byť informovaná o každom spracúvaní jej osobných údajov. Nežiaducim stavom v spoločnosti je situácia, kedy prevádzkovateľ bez akejkoľvek informovanosti dotknutej osoby začne spracovávať jej osobné údaje.
Čo sa týka bezpečnosti spracúvania, v tejto časti je Nariadenie GDPR veľmi vágne a ponecháva na “fantázii” prevádzkovateľa, aké primerané opatrenia s ohľadom na čl. 32 Nariadenia GDPR prijme. Je pravdou, že na veľkosti prevádzkovateľa nezáleží. Každý prevádzkovateľ je hodnotený individuálne podľa podmienok, ktoré má. V praxi nemôže nastať situácia, kedy by napríklad obec, ktorá má 50 obyvateľov a 2 zamestnancov, musela prijať rovnaké technické opatrenia ako napríklad korporát, ktorý zamestnáva 2000 zamestnancov.
