V rámci regulácie ochrany osobných údajov nastanú v roku 2018 rozsiahle zmeny. Aké zmeny možno očakávať v našom právnom poriadku?
Úvodom je potrebné poznamenať, že zmeny nastávajú v súvislosti s účinnosťou Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.04.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES[1] (ďalej ako „GDPR“). Taktiež bol prijatý nový zákon o ochrane osobných údajov č. 18/2018 Z.z. (ďalej ako „ZoOÚ 18/2018 Z.z.“), ktorý nahrádza v súčasnosti platný a účinný zákon č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej ako „ZoOÚ“).
V Slovenskej republike nie je striktná úprava týkajúca sa ochrany osobných údajov vyplývajúca zo ZoOÚ žiadnou novinkou. Napriek tomu, GDPR a ZoOÚ 18/2018 Z.z. prinášajú zmeny, ktoré je potrebné posudzovať a premietať pri zosúladení právnej úpravy.
Vo všeobecnosti je GDPR považované za veľkú novinku v oblasti regulácie ochrany osobných údajov. O tom svedčia aj výšky pokút, ktoré GDPR zavádza za porušenia ustanovení GDPR, ktoré môžu byť až vo výške 20 000 000,- € alebo v prípade podniku do 4 % z celkového svetového ročného obratu za predchádzajúci účtovný rok.
Je potrebné uviesť, že ochrana osobných údajov sa týka všetkých zamestnávateľov, prevádzkovateľov kamerových systémov, prevádzkovateľov webových stránok, sprostredkovateľov, ktorí spracúvajú osobné údaje pre prevádzkovateľov ako aj všetkých ostatných podnikateľských subjektov, ktoré spracúvajú osobné údaje fyzických osôb v rámci svojej podnikateľskej činnosti.
Čo možno považovať za osobný údaj?
Definícia osobných údajov ako takých je nasledovná:
ZoOÚ účinný do 24.05.2018; | GDPR účinné od 25.05.2018 |
§ 4 ods. 1: „Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.“ | Čl. 4 ods. 1: „Osobné údaje sú podľa nariadenia akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä s odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.“ |
K definícii je potrebné doplniť, že osobnými údajmi môžu byť aj IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu, avšak len v prípade, ak je ich „zbieraním“ a sledovaním fyzická osoba identifikovateľná. Identifikácia fyzickej osoby je nevyhnutnosťou, inak sa IP adresa, ako ani cookies za osobné údaje považovať nebudú.
Za osobné údaje sa vo všeobecnosti nepovažujú údaje podnikateľských subjektov (napr. fyzická osoba – podnikateľ má názov podnikateľskej činnosti Meno Priezvisko – klempiarske práce) ako obchodné meno alebo všeobecná e-mailová adresa (napr. info@firma.sk).
Prevádzkovateľ a sprostredkovateľ
Pred spracúvaním alebo získavaním osobných údajov je potrebné definovať, či je subjekt, ktorý spracúva osobné údaje, prevádzkovateľom alebo sprostredkovateľom. Prevádzkovateľ je subjektom, ktorý spracúva osobné údaje vo vlastnom mene (napr. údaje o vlastných zamestnancoch). Sprostredkovateľom je fyzická osoba alebo právnická osoba, orgán verejnej moci, agentúra alebo in subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa (napr. pri poverení externej spoločnosti mzdovou agendou).
Nie je vylúčené, aby bol prevádzkovateľ zároveň aj sprostredkovateľom v prípade, ak používa tie isté osobné údaje na viaceré účely.
Nová právna úprava prináša prevádzkovateľom, ako aj sprostredkovateľom mnohé povinnosti, ktoré budú povinné tieto subjekty splniť. Medzi ne možno zaradiť informačné povinnosti, dodržiavanie zásad stanovených GDPR a pod.
Zásady spracúvania osobných údajov v zmysle GDPR
Zásady spracúvania osobných údajov pozná ZoOÚ. GDPR uvádza „do života“ nové zásady, ktoré bude potrebné zohľadniť do súladu s GDPR.
ZoOÚ | GDPR účinné od 25.05.2018 |
· zásada zákonnosti a proporcionality – len v zmysle zákona a v jeho medziach
· zásada transparentnosti – zachovanie ľudskej dôstojnosti
|
· zásada zákonnosti,
· zásada spravodlivosti · zásada transparentnosti · zásada minimalizácie údajov · zásada správnosti · zásada minimalizácie uchovávania · zásada integrity a dôvernosti · zásada zodpovednosti |
V tomto prípade sú novinkami najmä zásada minimalizácie údajov a zásada minimalizácie uchovávania údajov.
Zásada minimalizácie údajov znamená, že „spracovateľ“ osobných údajov bude oprávnený spracúvať výlučne údaje, ktoré sú potrebné s odkazom na konkrétny právny titul spracúvania osobných údajov (napr. pri kúpe tovaru v obchode je v rozpore so zásadou minimalizácie údajov vyžadovať od zákazníka dátum narodenia).
Túto zásadu dopĺňa zásada minimalizácie uchovávania osobných údajov, ktorá je založená na obdobnom princípe. V súvislosti s tým je potrebné doplniť, že pri vypracovaní alebo posudzovaní dokumentov (bezpečnostné projekty, smernice, „informačné systémy“, zmluva medzi prevádzkovateľom a sprostredkovateľom) bude potrebné zohľadniť práve vyššie uvedené zásady.
Zámerom týchto ustanovení je obmedzenie spracúvania širokého okruhu osobných údajov. To sa môže prejaviť pri spracúvaní osobných údajov na základe právneho základu oprávnený záujem, kedy bude prevádzkovateľ povinný odôvodniť spolu s oprávneným záujmom a účelom aj rozsah spracúvaných osobných údajov.
Právny titul (základ) spracúvania a získavania osobných údajov
Ďalšou novinkou pre mnoho členských štátov, ktorú prináša právna úprava účinná od 25.08.2018 je zmena v právnom titule spracúvania osobných údajov. ZoOÚ účinný do 24.05.2018 pojednáva o spracúvaní osobných údajov bez súhlasu dotknutej osoby[2] a so súhlasom dotknutej osoby. Každý subjekt bol doteraz oprávnený spracúvať osobné údaje v zmysle § 10 a nasl. ZoOÚ, napr. v prípade spracúvania osobných údajov pri tvorbe umeleckých alebo literárnych diel, na plnenie vyplývajúce zo zmluvy, v prípade, ak sa spracúvajú osobné údaje, ktoré už boli zverejnené, ak sa údaje spracúvajú na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany (v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a pod.) atď. Oprávnený záujem je de facto vyjadrený práve v § 10 ods. 3 písm. g) ZoOÚ.
Ak sa pri spracúvaní osobných údajov neuplatňuje vyššie uvedené ustanovenie § 10 a nasl. ZoOÚ, je „spracovateľ“ osobných údajov oprávnený spracúvať osobné údaje len so súhlasom dotknutých osôb. Tým de facto možno konštatovať, že osobné údaje boli spracúvané na základe dvoch právnych titulov: na základe zákona (napr. spracúvanie v zmysle § 10 ZoOÚ) alebo osobitného zákona[3] alebo na základe súhlasu dotknutej osoby.
GDPR v našom „ponímaní“ presne definuje právne tituly spracúvania osobných údajov.
V zmysle čl. 6, ods. 1 GDPR je spracúvanie zákonné iba vtedy, ak je splnená jedna z týchto podmienok:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov,
b) spracúvanie je nevyhnutné na plnenie zmluvy,
c) spracúvanie je nevyhnutné na splnenie zákonnej požiadavky prevádzkovateľa,
d) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby, spracúvanie je nevyhnutné na splnenie úlohy vo verejnom záujme, spracúvanie je nevyhnutné na účely oprávnených záujmov,
e) oprávnený záujem.
V zmysle písm. e) predmetného ustanovenia oprávneným záujmom je záujem, ktorý „sleduje prevádzkovateľ alebo tretia strana s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa.“
Vzhľadom k uvedenému možno taktiež konštatovať, že GDPR je postavené na obdobných právnych tituloch – so súhlasom (písm. a) a bez súhlasu (písm. b) až f)). Otázkou však zostáva výklad tzv. oprávneného záujmu, t. j. stanovenie hranice, kedy možno spracúvať osobné údaje na základe čl. 6 ods. 1, písm. f) GDPR. Pri oprávnenom záujme v zmysle bodu 47 recitálu GDPR sa zohľadňujú základné práva a slobody dotknutej osoby. Oprávnený záujem môže byť právnym základom len v prípade, ak oprávnený záujem neprevyšuje tieto základné práva a slobody. V jednotlivých dokumentoch (ako napr. Bezpečnostný projekt, informačný systém a pod.) bude potrebné uviesť tento právny základ spolu s odôvodnením.
Novou právnou úpravou budú zrušené právne základy spracúvania osobných údajov bez súhlasu dotknutej osoby, a to:
- priamy marketing v poštovom styku v zmysle § 10 ods. 3 písm. d) ZoOÚ, pričom priamy marketing bude možné zaradiť pod oprávnený záujem v odôvodnených prípadoch,
- ďalšie spracúvanie už zverejnených osobných údajov v zmysle § 10 ods. 3 písm. e) ZoOÚ.
Nová právna úprava zrušuje aj oprávnenie prevádzkovateľa na získavanie osobných údajov v zmysle § 15 ZoOÚ. Konkrétne:
- získavanie osobných údajov v zmysle § 15 ods. 4 ZoOÚ, ku ktorému bude potrebné priradiť iný právny základ,
- monitorovanie priestorov prístupných verejnosti v zmysle § 15 ods. 7 ZoOÚ. Aj v tomto prípade bude potrebné disponovať iným právnym titulom.
Pri určovaní (posudzovaní) právnych titulov je potrebné posúdiť, či právny základ spracovania alebo získania osobných údajov nebol zrušený alebo či tento právny základ spĺňa náležitosti GDPR. Na základe uvedeného bude potrebné zachytiť zmeny v listinách týkajúcich sa ochrany osobných údajov.
V každom prípade, pri výbere právneho základu spracúvania alebo získavania osobných údajov je vhodné využívať prednostne zákonný základ spracúvania osobných údajov, t. j. spracúvanie bez súhlasu v zmysle Čl. 6 ods. 1. písm. b) až f) GDPR.
Osobitné kategórie osobných údajov
Osobitné kategórie osobných údajov sú také údaje, ktorých spracúvanie je v zmysle § 13 a nasl. ZoOÚ zakázané. Zo zákazu spracúvania existujú výnimky.
ZoOÚ | GDPR |
– osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života
– rodné číslo |
– údaje, ktoré odhľadujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby |
V zmysle čl. 9 ods. 2 GDPR, osobitné kategórie osobných údajov je možné spracúvať osobné údaje, ak:GDPR bližšie špecifikuje okruh „osobitnej kategórie osobných údajov“, pričom GDPR definuje genetické a biometrické údaje. V zmysle GPDR do osobitnej kategórie osobných údajov nie je zaradené rodné číslo, čo možno považovať za novinku.
- s tým dotknutá osoba vyjadrila súhlas,
- spracúvanie je nevyhnutné na účely plnenia povinností v oblasti pracovného práva a práva sociálneho zabezpečenia,
- je to nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby,
- sa spracúvanie vykonáva v rámci zákonnej činnosti,
- sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
- je spracúvanie nevyhnutné na obhajovanie právnych nárokov,
- je daný významný verejný záujem,
- je účelom preventívneho alebo pracovného lekárstva a posúdenia pracovnej spôsobilosti,
- je daný verejný záujem v oblasti verejného zdravia
- na účely archivácie vo verejnom záujme a pod.
Vo vzťahu k fotografiám, ich spracúvanie by sa nemalo systematicky považovať za spracúvanie osobitnej kategórie osobných údajov.
Aj pri spracúvaní osobitných kategórií osobných údajov možno vidieť zmeny, ktoré je potrebné zohľadniť pri zosúladení ochrany osobných údajov s GDPR.
Súhlas so spracovaním osobných údajov
Ako sme uviedli v predchádzajúcej časti, prevádzkovatelia sú oprávnený spracúvať osobné údaje de facto dvoma právnymi základmi – bez súhlasu a so súhlasom.
K súhlasu je potrebné uviesť, že súhlas získaný v zmysle § 11 ods. 2 ZoOÚ: „Ak prevádzkovateľ spracúva osobné údaje podľa odseku 1 a vzniknú pochybnosti o udelení súhlasu dotknutej osoby, prevádzkovateľ je povinný úradu hodnoverne preukázať, že mu dotknutá osoba súhlas poskytla.“, ako aj v súlade s § 11 ods. 3 ZoOÚ, t. j. ak súhlas nebol vynútený alebo podmienený hrozbou odmietnutia zmluvného vzťahu, služby tovaru alebo povinnosti ustanovenej prevádzkovateľovi právne záväzným aktom EÚ, medzinárodnou zmluvou alebo zákonom, a možno preukázať hodnoverne poskytnutie súhlasu, tento súhlas bude v súlade s GDPR.
Pri posudzovaní súhlasu bude potrebné posudzovať najmä:
- preukázanie poskytnutia súhlasu,
- preukázanie, že súhlas nebol vynútený ani podmienený,
- preukázanie stanoveného účelu spracúvania.
V zmysle § 110 ods. 11 nového ZoOÚ 18/2018 Z.z. je súhlas udelený v súlade s doterajším zákonom aj v súlade so zákonom účinným od 25.05.2018 a s GDPR.
K doteraz získaným osobným údajom bude potrebné analyzovať, či bol súhlas udelený v súlade so ZoOÚ a je tento súhlas možné preukázať.
Zmluva o poverení so spracúvaním osobných údajov
V zmysle ZoOÚ, ako aj v zmysle GDPR, právne predpisy vyžadujú, aby bola medzi prevádzkovateľom a sprostredkovateľom, ktorý spracúva údaje v mene prevádzkovateľa uzatvorená sprostredkovateľská zmluva.
S tým sú spojené povinnosti prevádzkovateľa postupovať pri výbere sprostredkovateľa tak, aby bol sprostredkovateľ dostatočne odborne, technicky, organizačne vybavený a spôsobilý. Je povinnosťou prevádzkovateľa, aby uzatvoril so sprostredkovateľom sprostredkovateľskú zmluvu najneskôr v deň začatia spracúvania osobných údajov.
Sprostredkovateľská zmluva má v čl. 28 ods. 3 GDPR ustanovené povinné náležitosti, ktorými sú:
- predmet a doba spracúvania,
- povaha a účel spracúvania,
- typ osobných údajov,
- kategórie dotknutých osôb
- práva a povinnosti prevádzkovateľa.
V súčasnosti platné a účinné sprostredkovateľské zmluvy alebo zmluvy, v ktorých je „sprostredkovateľská činnosť“ ustanovená bude potrebné posúdiť vzhľadom na novinky, ktoré GDPR prináša.
Nové pojmy pri spracúvaní osobných údajov
GDPR zavádza aj nové pojmy. Medzi tieto pojmy možno zaradiť pojmy profilovanie a pseudonymizácia.
V rámci ZoOÚ je pojem „profilovanie“ načrtnutý v § 4 ods. 3 ZoOÚ, pri vymenovaní spracovateľských opreácií. GDPR v zmysle čl. 4 ods. 4 zavádza osobitnú definíciu pojmu profilovanie. Profilovanie je akákoľvek forma automatizovaného spracovania, ktoré pozostáva z použitia osobných aspektov týkajúcich sa fyzickej osoby.
Pseudonymizáciou sa rozumie spracúvanie osobných údajov takým spôsobom, aby osobné údaje nebolo možné priradiť konkrétnej dotknutej osobe.
Pojem „profilovanie“ bude používaný najmä pri posudzovaní účelu spracúvania osobných údajov s rozsahom osobných údajov, ktoré sú spracúvané.
K „pseudonymizácii“ je potrebné doplniť, že GDPR sa netýka spracúvania osobných údajov, na základe ktorých nie je možné identifikovať fyzickú osobu, ktorej sa zbierané osobné údaje týkajú.
Pokuty za porušenie legislatívy
V súvislosti s pokutami podľa GDPR vyvolala najväčší rozruch výška pokuty, ktorú budú oprávnené udeliť dozorné orgány prevádzkovateľom, resp. sprostredkovateľom za porušenie / porušovanie ochrany osobných údajov. Porušiteľom môže byť podľa GDPR udelená pokuta do výšky 20 000 000,- €, resp. až do výšky 4 % celkového svetového predchádzajúceho obratu za predchádzajúci účtovný rok. Táto výška pokuty môže byť udelená od 25.05.2018.
Do 24.05.2018 na území SR môže uložiť Úrad na ochranu osobných údajov SR pokutu do 200 000,- €.
Záver
Slovenská právna úprava ochrany osobných údajov účinná do 24.05.2018 je považovaná za jednu z najstriktnejších v rámci krajín Európskej únie. Napriek tomu, aj pri subjektoch, ktoré spracúvali a spracúvajú osobné údaje v súlade so ZoOÚ, bude potrebné analyzovať spôsob spracúvania osobných údajov, ako aj prijaté interné dokumenty a nahlásené informačné systémy, sprostredkovateľské zmluvy a pod., a zapracovať do nich zmeny, ktoré GDPR prináša.
V zmysle uvedeného je potrebné posudzovať najmä:
- všetky listiny týkajúce sa podniku, ktoré odkazujú na ZoOÚ (zmluvy, obchodné podmienky, interné smernice, bezpečnostné projekty a pod.),
- všetky zmluvy o poverení sprostredkovateľa so spracovaním osobných údajov, tieto zmluvy „dodatkovať“, resp, tieto uzatvárať,
- informovať o ochrane osobných údajov oprávnené osoby a príjemcov,
- informovať o ochrane osobných údajov dotknuté osoby,
- identifikovať, kde sú uložené súhlasy so spracovaním osobných údajov.
Vzhľadom na výšku pokút, ktoré porušením ochrany osobných údajov hrozia odporúčame pripraviť sa na GDPR a implementovať novú právnu úpravu ochrany osobných údajov účinnú od 25.05.2018 do “života”.
[1] Smernica Európskeho parlamentu a Rady 95/46/EHS z 24.10.1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov
[2] Dotknutá osoba je fyzická osoba, ktorej údaje sú identifkované alebo identifikovateľné.
[3] Ako aj osobitných zákonov, medzi ktoré možno zaradiť z. č. 311/2001 Z.z. Zákonník práce, z. č. 461/2003 Z. z. zákon o sociálnom poistení a pod.