Splnil som si informačnú povinnosť. Stačí to?

Keď sa spomenie GDPR, každému s najväčšou pravdepodobnosťou napadne hneď informačná povinnosť. Odvšadiaľ na nás vyskakujú poučenia o spracúvaní osobných údajov rôznymi prevádzkovateľmi. Splnenie tejto základnej povinnosti však ani zďaleka neznamená, že tejto téme viac nemusíte venovať pozornosť.

Záznamy o spracovateľských činnostiach

Samotné Nariadenie GDPR (ako aj slovenský zákon) ustanovujú prevádzkovateľom aj sprostredkovateľom povinnosť viesť záznamy o spracovateľských činnostiach, ktorých povinný obsah je uvedený priamo v spomínaných predpisoch a ich vzor zverejnil aj samotný Úrad na ochranu osobných údajov Slovenskej republiky na svojej webovej stránke.

Záznamy o spracovateľských činnostiach však predstavujú tzv. vždy živý dokument, pretože ich treba neustále aktualizovať a zosúlaďovať so skutočnými spracovateľskými operáciami, ktoré prevádzkovateľ, resp. sprostredkovateľ vykonávajú.

Netreba pritom zabúdať, že okrem spracovateľských činností zameraných na klientov alebo obchodných partnerov spracúvate aj osobné údaje svojich zamestnancov. Voči týmto si preto nevyhnutne musíte splniť jednak informačnú povinnosť a jednak všetky súvisiace spracovateľské činnosti premietnuť do záznamov.

Primerané technické a organizačné opatrenia

Ani pri záznamoch o spracovateľských činnostiach však vaše povinnosti nekončia. Okrem toho, že v zmysle platnej právnej úpravy máte povinnosť zaviesť za účelom riadnej ochrany osobných údajov primerané technické a organizačné opatrenia, ktoré by mali reflektovať najnovšie poznatky z hľadiska bezpečnosti, tieto by ste mali premietnuť aj do internej bezpečnostnej dokumentácie, v ktorej by ste okrem toho mali zhodnotiť aj všetky riziká, ktorým chcete prostredníctvom daných opatrení predchádzať, ako aj postup pre prípad, že by napriek všetkým opatreniam predsa len došlo k vzniku bezpečnostnému incidentu.

Sprostredkovateľská zmluva

Samozrejmosťou je tiež povinné uzatváranie sprostredkovateľských zmlúv medzi prevádzkovateľom a sprostredkovateľom v prípade akéhokoľvek jeho zapojenia do procesu, v ktorom dochádza k spracovaniu osobných údajov dotknutých osôb.

Dohoda spoločných prevádzkovateľov

V prípade, že nespolupracujete so žiadnymi sprostredkovateľmi (pozor! v zmysle významu tohto pojmu daného mu Nariadením GDPR), avšak spracúvate osobné údaje napríklad spoločne ako skupina podnikov, je potrebné v prípade, že identifikujete spoločné spracovateľské operácie, prípadne sú osobné údaje využívané viacerými takýmito prevádzkovateľmi, uzavrieť dohodu spoločných prevádzkovateľov.

V tejto dohode spoloční prevádzkovatelia určia:

• účel a prostriedky spracúvania osobných údajov,
• ako aj zodpovednosť každého z nich za plnenie povinností a úloh vyplývajúcich im z právnych predpisov v oblasti ochrany osobných údajov.

Posúdenie vplyvu

Napokon netreba zabúdať ani na dôsledné monitorovanie situácií, v ktorých je potrebné vykonať posúdenie vplyvu spracovateľských informácií na ochranu osobných údajov (napr. ak spracúvate osobné údaje za účelom posúdenia platobnej schopnosti klienta).

Registrácia zodpovednej osoby

V závere odpovede na prvú otázku by sme chceli dodať, že pokiaľ ste si v súlade s príslušnými ustanoveniami Nariadenia GDPR určili zodpovednú osobu, nezabudnite ju registrovať na Úrade pre ochranu osobných údajov SR.

Implementoval som GDPR, teraz už mám pokoj, nie?

Bohužiaľ nie. Ani v prípade, že ste si dôsledne splnili všetky vyššie uvedené povinnosti, nemôžete zaspať na vavrínoch. Samotné právne predpisy vám priamo stanovujú povinnosť v rámci prijatia primeraných technických a organizačných opatrení vykonávať pravidelné testovanie, posudzovanie a hodnotenie ich účinnosti.

Audit spracúvaných osobných údajov

To znamená, že aj napriek tomu, že máte vypracovanú kompletnú bezpečnostnú dokumentáciu a splnili ste si všetky informačné a iné povinnosti spomínané vyššie, ste povinní na pravidelnej báze vykonávať audit spracúvaných osobných údajov, ich toku v rámci spoločnosti a mimo nej, primeranosti účelov spracúvania, lehôt ich uchovávania a spôsobu ich likvidácie, a to na podklade poznatkov získaných z vlastnej činnosti, ako aj na podklade usmernení vydaných Úradom na ochranu osobných údajov Slovenskej republiky, Európskym výborom pre ochranu údajov, pracovnou skupinou WP29 a rozhodnutí prijatých Súdnym dvorom Európskej únie.

V rámci testovania by ste mali vykonať aj preverenie technických opatrení prostredníctvom simulácie bezpečnostného incidentu, vykonaním penetračných testov, posúdením zraniteľnosti IT systémov a vyhodnotením zistených rizík.

V prípade, že ste poverili spracúvaním osobných údajov dotknutých osôb sprostredkovateľa, audit musíte vykonávať aj u neho a on je v zmysle právnej úpravy povinný vám ho umožniť (pozn.: nesmiete však jeho výkonom obmedziť jeho bežnú podnikateľskú činnosť).

Aktualizácia poznatkov v oblasti GDPR

Vzhľadom na to, že Nariadenie GDPR, ako aj zákon o ochrane osobných údajov stanovujú prevádzkovateľovi aj sprostredkovateľovi povinnosť prijímať opatrenia s ohľadom na najnovšie poznatky, mali by ste sledovať aj vývoj v oblasti možných technických bezpečnostných opatrení a primerane vašim finančným možnostiam, povahe, rozsahu, kontextu a účelu spracúvania osobných údajov, ako aj možným rizikám ich implementovať (napr. účinnejšie antivírusové programy, firewall, školenie zamestnancov a pod.).

Ako už bolo spomenuté, nevyhnutnosťou v procese riadneho uplatňovania povinností, opatrení a postupov stanovených Nariadením GDPR a zákonom o ochrane osobných údajov je aj sledovať vývoj rozhodovacej činnosti Úradu na ochranu osobných údajov Slovenskej republiky, Európskeho výboru pre ochranu údajov, pracovnej skupiny WP29 a Súdneho dvora Európskej únie a týmto prispôsobovať svoju činnosť v danej oblasti.

Školenia pre zamestnancov

V neposlednom rade vzhľadom na neustály vývoj v tejto oblasti nezabúdajte pravidelne školiť svojich zamestnancov, ktorí sú v rámci svojej pracovnej činnosti poverení spracúvaním osobných údajov v rámci vašej spoločnosti.

Ako totiž vyplýva aj z praxe Úradu na ochranu osobných údajov Slovenskej republiky, najčastejšie dochádza k pochybeniam a bezpečnostným incidentom práve v dôsledku zlyhania ľudského faktoru, či už kvôli nepozornosti alebo práve nedostatočnej informovanosti týchto osôb.

V zmysle metodického usmernenia úradu by sa tieto školenia mali konať v intervaloch pol roka až rok a vždy pri nástupe do zamestnania.

Pravidelné kontroly a testovania

V každom prípade výsledkom pravidelných kontrol a testovania by malo byť aj preverenie, či ste ako prevádzkovateľ schopný preukázať:

• že ste prijali všetky primerané a účinné technické opatrenia potrebné vzhľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, ktoré spracúvate, ako aj vzhľadom na riziká pre práva a slobody dotknutých osôb,
• súlad spracovateľských činností s Nariadením GDPR, resp. zákonom,
• účinnosť prijatých opatrení.

Mám na stránke like button od Facebooku, ale za to nenesiem zodpovednosť, nie?

Práve naopak. Súdny dvor Európskej únie vydal 29. júla 2019 rozsudok vo veci Fashion ID (C-40/17), v ktorom zaujal nasledovné stanovisko: „Správca internetovej stránky, na ktorej sa nachádza tlačidlo „Páči sa mi to“ spoločnosti Facebook, môže byť spoločne so spoločnosťou Facebook zodpovedný za zber osobných údajov návštevníkov jeho stránky a ich prenos spoločnosti Facebook. Naopak v zásade nie je zodpovedný za ďalšie spracovanie týchto údajov samotnou spoločnosťou Facebook.“

Umiestnenie tlačidla Páči sa mi to na webstránke

Toto svoje rozhodnutie odôvodnil tým, že umiestnením tlačidla „Páči sa mi to“ na internetovú stránku dáva jej správca spoločnosti Facebook možnosť získať osobné údaje návštevníkov tejto internetovej stránky, pretože proces zberu a prenosu osobných údajov začne v momente navštívenia webstránky, a to nezávisle od skutočnosti, či sú jej návštevníci členmi sociálnej siete Facebook alebo nie, či klikli na tlačidlo „Páči sa mi to“ alebo či vôbec vedeli o takejto operácii.

Súdny dvor EÚ vzhľadom na uvedené ustálil, že správca internetovej stránky umiestnením tlačidla „Páči sa mi to“ určuje spolu so spoločnosťou Facebook jednak účely spracúvania osobných údajov, t. j. ich zber a prenos, a jednak prostriedky, ktorým je práve spomínané tlačidlo.

Pre vznik tejto spoluzodpovednosti viacerých subjektov pritom nie je rozhodujúce, že jeden z nich nemá k dotknutým osobným údajom prístup.

Keďže Súdny dvor EÚ skonštatoval, že správca internetovej stránky je vo vzťahu k zberu a prenosu osobných údajov spoločnosti Facebook (alebo inému poskytovateľovi obdobného pluginu – Twitter, LinkedIn a pod.) prevádzkovateľom, vyplývajú mu z toho nevyhnutne voči dotknutým osobám povinnosti.

Poučenie a súhlas

Jednak je to poučovacia povinnosť, teda prevádzkovateľ je povinný zahrnúť túto skutočnosť do svojho infopoučenia, a jednak je povinný vyžiadať si na tento účel od dotknutej osoby súhlas.

Obe povinnosti je pritom potrebné splniť si pred tým, ako dôjde k automatickému zberu osobných údajov tlačidlom „Páči sa mi to“. Zároveň je potrebné zdôrazniť, že prístup na internetovú stránku nie je možné podmieňovať udelením súhlasu s týmto zberom a prenosom údajov.

V takomto prípade by sa totiž jednalo o tzv. vynútený súhlas, ktorý Nariadenie GDPR ani zákon o ochrane osobných údajov nepripúšťajú.

Pri riešení tejto zdanlivo bezvýchodiskovej situácie je preto potrebné obrátiť sa na vaše IT oddelenie, ktoré vám dokáže zabezpečiť deaktiváciu týchto pluginov na stránke, a to až do času, kedy sa návštevník vašej stránky sám nerozhodne tieto aktivovať, čím zároveň udelí svoj súhlas so zberom a prenosom jeho osobných údajov danej sociálnej sieti, ako ho o tom poučíte v rámci svojej informačnej povinnosti.

Takýto postup vám zabezpečí súlad s rozhodnutím Súdneho dvora EÚ a pomôže vám vyhnúť sa prípadnej sankcii zo strany Úradu na ochranu osobných údajov Slovenskej republiky.

Používam na stránke cookies, ale však tie sú už všade, nikto im nevenuje pozornosť.

Cookies sú krátke textové súbory, ktoré umožňujú internetovým stránkam zistiť mnohé informácie o správaní sa a preferenciách ich návštevníkov.

Webové portály ich môžu využívať napríklad za účelom:

• zobrazenia relevantnej reklamy,
• sledovania počtu návštevníkov,
• zjednodušenia registrácie,
• zapamätania nastavení atď.

Predvyplnenie súhlasu

Súdny dvor EÚ sa v rámci svojej rozhodovacej činnosti zaoberal aj posudzovaním využívania cookies a v tejto súvislosti vydal 1. októbra 2019 rozsudok vo veci Planet49 (C-673/17). Predmetom tohto konania bolo používanie vopred označeného zaškrtávacieho políčka spoločnosťou Planet49 v rámci online výherných hier, ktorým používatelia internetu, ktorí sa na nich chcú zúčastniť, vyjadria svoj súhlas s ukladaním cookies.

Súbory cookies, ktoré môžu byť uložené do koncového zariadenia používateľa zúčastňujúceho sa na výhernej hre organizovanej spoločnosťou Planet49, pritom obsahovali číslo, ktoré bolo pridelené údajom o registrácii tohto používateľa, ktorý musel uviesť svoje meno a adresu vo formulári účasti na tejto hre.

Spojenie tohto čísla a týchto osobných údajov personalizovalo osobné údaje uložené v cookies, keď sa používateľ následne pohyboval na internete, a preto získavanie týchto údajov prostredníctvom cookies predstavovalo spracúvanie osobných údajov. Tieto skutočnosti boli potvrdené aj spoločnosťou Planet49, ktorá uviedla, že súhlas udelený v zaškrtávacom políčku mal povoliť zber a spracúvanie osobných údajov a nie anonymných informácií.

Vo svojom rozsudku zaujal Súdny dvor EÚ stanovisko, že „súhlas […] nie je účinne daný vtedy, keď je ukladanie informácií v koncovom zariadení používateľa internetovej stránky alebo pristupovanie k informáciám, ktoré sú tam už uložené, na základe cookies, povolené prostredníctvom vopred označeného zaškrtávacieho políčka, ktorého označenie musí používateľ zrušiť, aby tak odmietol dať svoj súhlas“.

Pritom dal zároveň do pozornosti, že „akékoľvek informácie uložené v koncovom zariadení používateľov elektronických komunikačných sietí sú súčasťou súkromia používateľov podliehajúceho ochrane podľa Európskeho dohovoru na ochranu ľudských práv a základných slobôd. Táto ochrana sa uplatňuje na všetky informácie uložené na danom koncovom zariadení bez ohľadu na to, či ide o osobné údaje, a […] jej cieľom je predovšetkým chrániť používateľov pred nebezpečenstvom, že skryté identifikátory alebo iné podobné zariadenia preniknú do koncového zariadenia týchto užívateľov bez ich vedomia“.

Aktívne konanie

Toto stanovisko pritom nie je ničím novým a od účinnosti Nariadenia GDPR aj zákona o ochrane osobných údajov je opakovane zdôrazňované. Súhlas dotknutej osoby totiž musí byť slobodne daný jej aktívnym konaním, čo vopred zaškrtnuté políčko neumožňuje.

Súdny dvor EÚ zároveň zdôraznil, že súhlas musí byť konkrétny v tom zmysle, že skutočnosť, že používateľ klikne na tlačidlo s cieľom zúčastniť sa na výhernej hre, nestačí na vyvodenie záveru, že účinne dal svoj súhlas s ukladaním cookies. Teda žiadosť o udelenie súhlasu musí byť jasne oddelená od iných skutočností, aby nebola používateľom prehliadnuteľná a aby ho tento neudelil „omylom“.

Dostatočné informácie o cookies

Vo vzťahu k poučovacej povinnosti týkajúcej sa spracúvania údajov z cookies Súdny dvor EÚ dodal, že okrem účelu spracúvania osobných údajov je prevádzkovateľ povinný poskytnúť dotknutej osobe aj informáciu o tom, aká je dĺžka funkčnosti cookies, ako aj to, či k nim majú prístup tretie osoby.

Až takúto jasnú a komplexnú informáciu je možné považovať za dostatočnú na to, aby bol súhlas udelený dotknutou osobou skutočne informovaný, teda aby si dotknutá osoba bola dostatočne vedomá všetkých následkov udelenia súhlasu.

Požiadavka na poskytovanie týchto druhov informácií pritom vyplýva priamo z ustanovení Nariadenia GDPR, ako aj zákona o ochrane osobných údajov.

Mne sa to stať nemôže…

Myslieť si to je naozaj odvážne. Ako už bolo spomenuté, najčastejšie dochádza k bezpečnostným incidentom v dôsledku pochybenia zamestnanca, ktorý omylom pošle dokument obsahujúci osobné údaje nesprávnemu adresátovi. Stále väčšiu hrozbu predstavujú aj hackerské útoky, ktoré môžu spôsobiť únik veľkého množstva informácií, vrátane osobných údajov vašich klientov.

Pochybenia známych spoločností

O tom, že ani spoločnosť, ktorá dôsledne dodržiava povinnosti stanovené Nariadením GDPR aj zákonom o ochrane osobných údajov, nemôže vylúčiť vznik bezpečnostného incidentu, svedčí aj prípad známeho slovenského telekomunikačného operátora Slovak Telekom, ktorému Úrad pre ochranu osobných údajov nedávno udelil pokutu 40-tisíc EUR.

Samotné konanie na úrade začalo na podnet jednej zákazníčky spomínaného operátora. Počas následnej kontroly sa zistilo, že na strane Slovak Telekom došlo k pochybeniu pri spracúvaní osobných údajov 23 zákazníkov tým spôsobom, že hromadne distribuoval ich zmluvnú dokumentáciu a takto ju doručil aj iným zákazníkom než tým, ktorým bola určená.

Doposiaľ najvyššia pokuta udelená v zmysle ustanovení Nariadenia GDPR (vo výške 183 miliónov libier) hrozí britskej leteckej spoločnosti British Airways. Táto spoločnosť oznámila v septembri 2018 dozornému orgánu bezpečnostný incident spočívajúci v kybernetickom útoku na jej internetovú stránku.

Hackeri týmto spôsobom presmerovali zákazníkov spoločnosti na podvodnú stránku, prostredníctvom ktorej sa im podarilo získať ich osobné údaje nielen v rozsahu meno, priezvisko, adresa trvalého pobytu, ale aj dátum narodenia, informácie o platobných kartách a prihlasovacie údaje do skutočných kont vytvorených na stránke leteckej spoločnosti. Takýmto spôsobom bolo zasiahnutých približne pol milióna dotknutých osôb z rôznych štátov Európskej únie.

Pokuty v oblasti GDPR

Bezpečnostné incidenty pritom nie sú jedinými prípadmi, kedy môže úrad udeliť pokutu. Tie sú ukladané najčastejšie pre nedostatočné splnenie informačnej povinnosti, neplatné súhlasy dotknutých osôb alebo nedodržiavanie zásady minimalizácie údajov.

Naozaj sa musím sám nahlásiť?

Nariadenie GDPR aj zákon o ochrane osobných údajov stanovujú prevádzkovateľovi povinnosť oznámiť dozornému orgánu, že došlo k porušeniu ochrany osobných údajov, a to ihneď ako sa o tejto skutočnosti dozvie, resp. najneskôr do 72 hodín od jej zistenia (teda nie od momentu, ako k porušeniu ochrany došlo).

Výnimka pri špecifických prípadoch

Zároveň však uvedené právne predpisy stanovujú aj výnimku z tejto povinnosti, ktorou sú prípady, kedy vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody dotknutých osôb. Aj v tomto prípade je však potrebné vypracovať interný záznam o tomto bezpečnostnom incidente, v ktorom odporúčame dôsledne odôvodniť, prečo prevádzkovateľ nepovažuje za pravdepodobné, že porušenie ochrany osobných údajov povedie k akémukoľvek riziku pre práva a slobody dotknutých osôb.

Prípad vysokého rizika

V prípade, že bezpečnostný incident je takého charakteru, že môže viesť k vysokému riziku pre práva a slobody dotknutých osôb, prevádzkovateľ je povinný okrem dozorného orgánu túto skutočnosť bez zbytočného odkladu oznámiť aj samotnej dotknutej osobe, ktorej osobných údajov sa toto porušenie ochrany týka, ako aj odporučiť jej ďalšie kroky za účelom zmiernenia možných nepriaznivých dôsledkov bezpečnostného incidentu.

Táto povinnosť je stanovená z toho dôvodu, aby aj dotknutá osoba mohla iniciatívne prijať potrebné preventívne opatrenia, ktorými môže predísť vzniku škôd, ktoré by mohli na základe bezpečnostného incidentu nastať (napr. zablokovanie platobnej karty, ktorej údaje unikli).

Každopádne, dozorný orgán vyhodnocuje postup prevádzkovateľa, keď tento iniciatívne oznámi porušenie ochrany osobných údajov, za konanie súladné s nariadením GDPR, resp. zákonom o ochrane osobných údajov, a preto ho vníma ako poľahčujúcu okolnosť pri stanovovaní výšky sankcie.

Pozor na „tvrdý“ Brexit. Spojené kráľovstvo sa stane treťou krajinou!

Veľká Británia a Európska únia síce dosiahli dohodu o podmienkach Brexitu, avšak kým nebude schválená britským a Európskym parlamentom, stále nemožno vylúčiť alternatívu tzv. „tvrdého“ Brexitu.

Predbežne by sa naň mali preto pripraviť aj prevádzkovatelia, ktorí poskytujú osobné údaje dotknutých osôb iným prevádzkovateľom, sprostredkovateľom alebo príjemcom nachádzajúcim sa v Spojenom kráľovstve.

Ak sa totiž Británia a Európska únia nedohodnú na podmienkach odchodu, od 1. februára 2020 sa Spojené kráľovstvo stane v intenciách Nariadenia GDPR treťou krajinou, v dôsledku čoho sa na prenos údajov do tejto krajiny začnú aplikovať príslušné ustanovenia Nariadenia GDPR, resp. zákona o ochrane osobných údajov.

Pre ilustráciu, čo to bude znamenať, Nariadenie GDPR priamo stanovuje, že prenos do tretej krajiny sa môže uskutočniť vtedy, ak Európska komisia rozhodla, že táto krajina poskytuje primeranú úroveň ochrany osobných údajov.

V danom prípade je možné predpokladať, že takéto rozhodnutie Komisia naozaj vydá.

Štandardné doložky

Kým sa tak však stane, prenos osobných údajov do tejto krajiny bude možný len na podklade štandardných doložiek o ochrane osobných údajov prijatých Komisiou (pozn.: tieto nesmú byť menené a musia byť prevzaté do zmluvy v takej podobe, v akej ich prijala Komisia) alebo doložiek prijatých, resp. schválených dozorným orgánom, ďalej na podklade záväzných vnútropodnikových pravidiel, kódexov správania, certifikačných mechanizmov alebo výnimiek pre osobitné situácie (ktoré však môžu byť aplikované len v prípade, ak nie sú vydané štandardné doložky o ochrane osobných údajov).

Je však potrebné mať na pamäti, že pokiaľ budete vykonávať prenos osobných údajov dotknutých osôb do Spojeného kráľovstva, budete povinní informovať ich o tejto skutočnosti v rámci vašej všeobecnej informačnej povinnosti.