Dobrý deň dámy a páni,
obsahom tohto príspevku budú zásady spracúvania osobných údajov.
Prečo sme sa rozhodli venovať tejto téme?
Úrad na ochranu osobných údajov Slovenskej republiky môže uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4% celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu kto nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov podľa čl. 5 Nariadenia GDPR/ § 6 zákona o ochrane osobných údajov.
O aké zásady konkrétne ide?
- Zásada zákonnosti, spravodlivosti a transparentnosti
- Zásada obmedzenia účelu a zásada minimalizácie údajov
- Zásada správnosti spracúvaných osobných údajov
- Zásada minimalizácie uchovávania osobných údajov
- Integrita a dôvernosť spracúvaných osobných údajov
- Zásada zodpovednosti prevádzkovateľa
Každý prevádzkovateľ je povinný dodržiavať uvedené zásady a musí byť schopný preukázať súlad s týmito zásadami pri konkrétnom spracúvaní osobných údajov.
Rozhodne by sa prevádzkovateľ vzhľadom na vyššie uvedené nemal uspokojiť len s tým, že má vypracovanú dokumentáciu, ak sa táto
-neaplikuje v každodennej praxi
-neaktualizuje sa
-nevykonávajú sa vnútorné kontroly spracúvania osobných údajov
-nevykonávajú sa potrebné školenia oprávnených osôb na pracovisku zamerané na dodržiavanie dokumentácie vypracovanej v oblasti ochrany osobných údajov atď.
Nariadenie GDPR/ zákon o ochrane osobných údajov nie je „jednorazová záležitosť“ a rozhodne sa nedá „vybaviť“ len vypracovaním základnej dokumentácie, ktorá následne „zapadá prachom v skrini“ a prevádzkovateľ i naďalej funguje bez toho, aby sa implementovala do praxe.
V praxi sa bežne stáva, že prevádzkovateľ- štatutárny orgán a oprávnené osoby spracúvajúce osobné údaje ani neprečítajú dokumentáciu spravidla vypracovanú dodávateľsky, podpíšu poučenia a poverenia bez toho, aby rozumeli tomu, čo podpisujú, absentujú interné smernice k spracúvaniu osobných údajov, nevykonávajú sa interné školenia vychádzajúce z vypracovanej dokumentácie, prevádzkovatelia (ich štatutárne orgány) podceňujú inštitút zodpovednej osoby, nevyčleňuje sa dostatok finančných prostriedkov na modernizáciu technických riešení a pod.
Pritom dodržiavanie ochrany osobných údajov sa predpokladá už pri každej činnosti prevádzkovateľov, pri ktorej dochádza k spracúvaniu osobných údajov. Ani automobil predsa nie je možné „šoférovať“ bez toho, aby sa to jednotlivci naučili, získali oprávnenie a dodržiavali pravidlá cestnej premávky.
Uvedomujú si prevádzkovatelia dôležitosť týchto zásad?
Spravidla nie. Skôr je pre nich dôležitá dokumentácia. Pritom dokumentácia, ktorá nie je „šitá na konkrétne podmienky spracúvania osobných údajov“, nedokáže splniť požadovaný zámer, a to preukázať súlad spracúvania osobných údajov s Nariadením GDPR/ zákonom o ochrane osobných údajov.
Ako „pretaviť“ základné zásady spracúvania osobných údajov zo všeobecnej roviny do konkrétneho spracúvania?
V prvom rade je potrebné pochopiť, čo jednotlivé zásady požadujú od prevádzkovateľov. Následne po získaní základných teoretických poznatkov, je potrebné zabezpečiť dokumentáciu, ktorá bude zohľadňovať základné zásady a prevádzkovateľ bude schopný preukázať jej dodržiavaním súlad s Nariadením GDPR/ zákonom o ochrane osobných údajov.
Čo znamená zásada správnosti spracúvaných osobných údajov?
Prevádzkovateľ je povinný spracúvať správne a podľa potreby aktualizované osobné údaje. Samotný pojem „správny osobný údaj“ nie je definovaný v Nariadení GDPR/ zákone o ochrane osobných údajov.
Z doterajšej praxe je potrebné uviesť, že pojem správnosť netreba zamieňať s pojmom pravdivosť. Platí, že prevádzkovateľ získané osobné údaje považuje za pravdivé, pokiaľ sa nepreukáže opak. Za pravdivosť údajov nesie zodpovednosť ten, kto ich poskytol.
Správnosť osobných údajov sa vyhodnocuje z pohľadu účelu, na ktorý sa spracúvajú. Za nesprávne osobné údaje sa považujú nielen formálne nesprávne osobné údaje (chyby v písaní, napr. preklep v mene), ale aj formálne správne, ale zavádzajúce osobné údaje, pokiaľ ide o akúkoľvek skutočnosť (napr. vedenie dotknutej osoby v databáze dlžníkov, hoci už nie je dlžníkom).
Preto by mal prevádzkovateľ zaviesť interné postupy/ pravidlá na overovanie správnosti získavaných a ďalej spracúvaných osobných údajov. Interné postupy/ pravidlá závisia najmä od:
-účelu spracúvania
-povahy spracúvaných osobných údajov
-ako môže spracúvanie ovplyvniť dotknutú osobu atď.
V praxi je niekedy veľmi ťažké zabezpečiť správnosť osobných údajov, hlavne keď správnymi údajmi disponujú len dotknuté osoby (napr. adresy pobytu). Preto je dôležité pri zmluvných vzťahoch zakomponovať do zmlúv, resp. verejných obchodných podmienok, povinnosť oznamovať bez meškania zmeny v spracúvaných osobných údajoch.
V niektorých prípadoch oznamovacia povinnosť vyplýva priamo zo zákona (napr. oznamovacie povinnosti zamestnancov).
Nesprávnosť môže zistiť prevádzkovateľ:
– sám pri svojej činnosti alebo
– na základe žiadosti dotknutej osoby o opravu nesprávnych a neaktuálnych osobných údajov, alebo
– na základe žiadosti dotknutej osoby o obmedzenie spracúvania osobných údajov, ak dotknutá osoba napadne ich správnosť, a to počas doby, ktorá bude potrebná na overenie správnosti.
Ak nesprávnosť zistí prevádzkovateľ z vlastnej činnosti, o zistení má informovať dotknutú osobu a požiadať ju, aby mu poskytla správne osobné údaje.
Ak boli osobné údaje poskytnuté príjemcovi, je prevádzkovateľ povinný každého príjemcu kontaktovať a oznámiť mu každú opravu, ako aj obmedzenie spracúvania. Výnimky z tejto povinnosti sú:
-ak sa oznámenie ukáže ako nemožné alebo
-vyžaduje neprimerané úsilie.
Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.
Napr.
Zamestnanec zmenil priezvisko a oznámil to zamestnávateľovi. Zamestnávateľ je povinný zmenu oznámiť Sociálnej poisťovni ako aj príslušnej zdravotnej poisťovni.
Zákonodarca nevyžaduje, aby sa správnosť kontrolovala nepretržite. Pri nastavení mechanizmov na kontrolu správnosti a vyhodnocovaní potreby aktualizácie sa musí vychádzať z toho, či nesprávne a neaktuálne údaje môžu mať pre dotknutú osobu nepriaznivé účinky (napr. z dôvodu možnej škody).
Napr.
Spracúvanie nesprávnych údajov o dlžných sumách konkrétneho klienta v spoločnom bankovom registri bude mať negatívny vplyv na klienta, ak na základe týchto informácií mu bude zamietnutá žiadosť o nový úver. Aktualizácia je teda nevyhnutná.
Napr.
Po dobu uchovávania osobných údajov na účel archivácie už nie je prevádzkovateľ povinný skúmať potrebu aktualizácie uchovávaných osobných údajov vo vzťahu k ich správnosti- účel, na ktorý boli získané a na ktorý bolo nevyhnutné spracúvať správne a aktuálne osobné údaje, skončil.
Napr. Ak sa osobné údaje uchovávajú iba z dôvodu štatistických či historických dôvodov, či za účelom plnenia povinnosti vyplývajúcej zo zákona o archívoch a registratúrach, môže aktualizácia osobných údajov dokonca zabrániť účelu ich spracúvania
Čo znamená zásada obmedzenia účelu a zásada minimalizácie údajov?
Účel spracúvania osobných údajov je teda zámer spracúvania osobných údajov. Buď ho určí sám prevádzkovateľ alebo účel vyplýva z právneho predpisu.
Napr.
Spracúvanie dochádzky zamestnancov vyplýva zo Zákonníka práce. Spracúvanie osobných údajov na marketing určuje prevádzkovateľ sám.
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom.
Napr.
Údaje získané za účelom posielania newsletterov sa nesmú využiť na iný účel.
Osobné údaje, ktoré už boli zhromaždené na konkrétny účel, môžu byť použité na iný účel, len ak:
- ide o tzv. privilegované účely (archivácia vo verejnom záujme, vedecký a historický výskum, štatistické účely),
- sa dosiahol pozitívny výsledok testu zlučiteľnosti (ďalší účel spracúvania je zlučiteľný s pôvodným účelom).
Napr.
Prevádzkovateľovi vznikol právny nárok voči dlžníkovi na základe zmluvného vzťahu. Pre spracúvanie osobných údajov dlžníka ako dotknutej osoby na nový (zlučiteľný) účel vymáhania dlžoby zostáva i naďalej zachovaný pôvodný právny základ- uzavretá zmluva (osobné údaje od dotknutej osoby boli pôvodne získané za účelom uzavretia a plnenia zmluvy). Dochádza len k čiastočnej modifikácii účelu (zmene účelu) v súlade s čl. 6 ods. 4 Nariadenia GDPR/ § 13 ods. 3 zákona č. 18/2018 Z. z. Vyžaduje sa vykonanie testu kompatibility.
Účel vymedzuje zoznam/rozsah spracúvaných osobných údajov, dobu spracúvania a lehotu uchovávania spracúvaných osobných údajov.
Napr.
Na účel rozosielania newsletterov prevádzkovateľ spracúva mailové adresy osôb, a to po dobu uvedenú v súhlase. Po uplynutí doby alebo po odvolaní súhlasu pred uplynutím tejto doby sa mailové kontakty prestanú spracúvať a vymažú sa z databázy.
Účel musí byť vymedzený jasne a určito, aby bolo z neho jasné, aké spracovateľské operácie budú prebiehať a aké operácie so svojimi osobnými údajmi môže dotknutá osoba očakávať od prevádzkovateľa.
Napr.
Rozosielanie newsletterov- získanie mailových kontaktov, ich zhromažďovanie v databáze, následné prehliadanie, vyhľadávanie, oprava/zmena, obmedzenie, uchovávanie, vymazávanie
Spracúvanie musí byť primerané, relevantné a obmedzené na nevyhnutne potrebný zoznam/rozsah osobných údajov, ktorý je potrebný na dosiahnutie účelu.
Teda zásada minimalizácie údajov znamená povinnosť pre prevádzkovateľov posúdiť zoznam/rozsah osobných údajov, ktoré zamýšľa prevádzkovateľ spracúvať na konkrétny účel a v čase vymedzenia účelu spracúvania. Ľahšie je to v prípade ak zákon výslovne určuje aké osobné údaje sa majú spracúvať na ustanovený účel. Ťažšie je to v ostatných prípadoch (ak prevádzkovateľ spracúva údaje napr. na základe súhlasu, oprávneného záujmu, v rámci zmluvného vzťahu).
Napr.
Na rozosielanie newsletterov postačuje mailová adresa.
Zároveň splnenie zásady minimalizácie spracúvaných osobných údajov smeruje k naplneniu požiadavky na špecificky a štandardne navrhnutú ochranu osobných údajov- prijať primerané technické a organizačné opatrenia.
Napr.
Technické riešenie je dostatočne bezpečné- bezpečné uchovávanie, vytváranie záloh, bezpečné vymazávanie, šifrovaná databáza, zabezpečená možnosť odvolať súhlas tak ľahko, ako bol daný atď. Organizačné opatrenia- len poverené a poučené osoby pracujú s osobnými údajmi, zavedená politika prístupových práv, bezpečné heslá atď.
Zásada minimalizácie je splnená:
-posúdením nevyhnutnosti spracúvania osobných údajov v nadväznosti na účel,
-zvážením spracovateľských operácií vo vzťahu k zamýšľanému účelu a možnému zásahu do práv a slobôd fyzických osôb,
-zavedením primeraných technických a organizačných opatrení, ktoré vedú k minimalizácii údajov.