Čo predchádzalo reforme
Keď v roku 2012 predkladala Európska komisia návrh GDPR, v odborných kruhoch okamžite rezonoval význam a dôležitosť tohto právneho nástroja. Po štyroch rokoch náročných rokovaní a odborných diskusií bol v apríli 2016 návrh GDPR konečne prijatý, aby do súčasnej digitálnej ekonomiky priniesol regulačnú spätnú väzbu.
GDPR (General Data Protection Regulation), teda nariadenie európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov nahradí zastaranú, a v súčasnosti platnú smernicu 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe údajov, ktorej pravidlá vznikali v čase, keď internet využívalo asi približne 1% európskej populácie.
Rozvoj internetu a príchod sociálnych sietí, sprevádzaný novými biznis modelmi a marketingovými nástrojmi a s tým súvisiaci prudký nárast využívania IT technológii si vyžiadali podstatnú zmenu regulácie ochrany osobných údajov. Cieľom schválenej reformy je vrátiť stratenú kontrolu nad osobnými údajmi späť do rúk dotknutých osôb a posilniť tak budovanie dôvery ľudí v digitálnu ekonomiku a elektronické služby, ktoré bez osobných údajov nedokážu efektívne fungovať.
GDPR by malo účinne kompenzovať fakt, že základné ľudské právo na ochranu súkromia a osobných údajov, sa stalo faktickým platidlom za služby modernej digitálnej ekonomiky, napríklad pri využívaní aplikácií v smartfónoch, wifi trackingu, cookies, GPS monitoringu alebo vernostných zákazníckych programoch. To, aké praktické dopady bude mať GDPR na ľudí a podniky, ako aj praktické návody ako sa na GDPR pripraviť, budeme podrobne analyzovať v sérii pravidelných článkov, ktoré Vám budeme prinášať počas prechodného obdobia predchádzajúceho účinnosti nariadenia.
Prehľad najpodstatnejších zmien
V úvodnej časti nášho pravidelného seriálu Vám priblížime najpodstatnejšie zmeny, ktoré nová regulácia ochrany osobných údajov prináša:
1. Forma právneho nástroja
Regulácia ochrany osobných údajov bola doteraz upravená formou smernice, ktorá bola transponovaná do jednotlivých národných právnych poriadkov členských štátov veľmi rozdielne. To často viedlo k nekonzistentnej aplikačnej praxi dozorných orgánov naprieč Európou. Súčasnou formou právneho nástroja regulácie je nariadenie, ktoré bude na rozdiel od smernice priamo aplikovateľné v členských štátoch. To by malo zamedziť vzniku zásadných rozdielov v právnej úprave na národnych úrovniach a zaručiť rovnakú úroveň požiadaviek na plnenie konkrétnych povinností stanovených nariadením. Rovnako by malo dôjsť k zjednoteniu prístupu vnútroštátnych dozorných orgánov pri vynucovaní povinností stanovených v GDPR. Tomu by mali napomôcť konkrétne právne inštitúty upravené nariadením, ako napríklad tzv. mechanizmus konzistentnosti či Európsky výbor pre ochranu údajov. Aj napriek tomu, že ide o nariadenie EÚ, je potrebné rátať s tým, že jeho faktické prebratie do nášho právneho poriadku (recepcia) bude sprevádzané prijatím nového národného zákona o ochrane osobných údajov. Niektoré prvky totiž GDPR bude umožňovať upraviť členským štátom autonómne (napr. vek maloletých na udelenie súhlasu so spracúvaním osobných údajov), iné prvky spracovania osobných údajov naopak GDPR nebude upravovať vôbec a bude ich preto potrebné upraviť na národnej úrovni (napr. procesný postup dozorných orgánov pri ukladaní sankcií, či výkon kontroly).
2. Širšia pôsobnosť regulačných pravidiel
GDPR sa nebude aplikovať už len na fyzické osoby s bydliskom a právnické osoby so sídlom v členskom štáte EÚ, resp. na subjekty, ktoré na území členského štátu EÚ fyzicky umiestnia prostriedky spracúvania osobných údajov, ale bude sa aplikovať aj na prevádzkovateľov a sprostredkovateľov údajov pochádzajúcich z tretích krajín (mimo EÚ), ktorí budu napríklad ponúkať tovar a služby obyvateľom alebo podnikom v rámci EÚ alebo budú monitorovať správanie svojich zákazníkov (súkromných osôb) z Európskej únie;
3. One-stop-shop (princíp jediného kontaktného miesta)
Počas tvorby GDPR išlo o veľmi ostro a dlho diskutovaný právny inštitút, ktorého hlavným zmyslom má byť dotknutým osobám i zodpovedným subjektom zjednodušiť kontakt s jedným, jazykovo najbližším dozorným orgánom, aj v cezhraničných prípadoch vynucovania dodržiavania GDPR pravidiel. Tento právny inštitút stojí na dvoch hlavných pilieroch. Na určení hlavnej prevádzkarne v EÚ (tzv. „main establishment“) a určení vedúceho dozorného orgánu („lead supervisory authority“). Ako príklad je možné uviesť situáciu, kedy slovenský občan podá sťažnosť slovenskému Úradu na ochranu osobných údajov týkajúcu sa cezhraničného spracúvania osobných údajov, ktoré je realizované spoločnosťou so sídlom v Rakúsku. Rakúsky dozorný orgán (Datenschutzbehörde) bude v tomto prípade považovaný za vedúci dozorný orgán vo vzťahu k spracúvaniu osobných údajov slovenského občana. Slovenský úrad bude v tomto prípade informovať rakúsky dozorný orgán o sťažnosti slovenského občana a ten rozhodne, či ju prevezme a bude riešiť spoločne so slovenským úradom, alebo sťažnosť neprevezme, a tá bude vybavená na slovenskej úrovni. Ak sa rakúsky dozorný orgán rozhodne prípad prebrať, bude spolupracovať so slovenským úradom, a to v priebehu šetrenia, ako aj pri vydávaní samotného rozhodnutia vo veci (napr. rozhodnutia o udelení pokuty). Fungovanie tohto inštitútu však bude v praxi oveľa komplexnejšie a preto mu budeme venovať viac pozornosti v samostatnom článku.
4. Spresnenie definície osobných údajov
GDPR spresňuje koncept osobných údajov tak, že za osobné údaje budú už považované aj rôzne online identifikátory osôb (napríklad IP adresa, cookies) a iné elektronické identifikátoy (napríklad RFID technológie, či tzv. prevádzkovo-lokalizačné údaje).
5. Posilnenie princípu zodpovednosti
GDPR tiež posilní už existujúci princíp zodpovednosti subjektov spracúvajúcich osobné údaje, teda prevádzkovateľov, sprostredkovateľov a spoločných prevádzkovateľov. Tento princíp zároveň rozvíja takým smerom, že s „ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením.“ Práve schopnosť podnikateľa preukázať prijatie vhodných bezpečnostných opatrení vyžadovaná nariadením je kľúčová. GDPR dáva v tomto smere podnikateľom viacero možností, ako preukázať interný súlad svojich systémov a procesov s GDPR. Konkrétnymi opatreniami u podnikateľa môže byť napríklad získanie certifikácie o vhodne nastavených interných procesoch a bezpečnostných opatreniach alebo pristúpenie k schváleným a monitorovaným kódexom správania, ktoré pravdepodobne časom vzniknú v jednotlivých sektoroch. Ďalšou z možností bude napríklad vytvorenie internej politiky „Ochrany osobných údajov a súkromia“ (tzv. „Privacy Policy“), vedenie dokumentácie o spracovateľských operáciách, dokumentácie bezpečnostných incidentov, vykonávanie posudzovania vplyvov na ochranu údajov, alebo poverenie odborníka na ochranu osobných údajov do funkcie zodpovednej osoby (data protection officer).
6. Povinnosť oznamovať a dokumentovať bezpečnostné incidenty
GDPR zavádza povinnosť, pri splnení určitých podmienok, oznámiť dozornému orgánu do 72 hodín od identifikácie bezpečnostného incidentu každé porušenie ochrany osobných údajov. V Slovenskej republike budú incidenty oznamované Úradu na ochranu osobných údajov. V prípade, ak porušenie povedie k riziku pre práva dotknutých osôb (napr. ku kompromitácii identity a prihlasovacích údajov k využívaniu služby, či úniku citlivých údajov) podnikateľom môže tiež vzniknúť povinnosť notifikovať toto porušenie aj každej individuálnej osobe, ktorá ním môže byť dotknutá. Samozrejmosťou bude aj náležitá dokumentácia bezpečnostných incidentov, ich následkov a opatrení prijatých na nápravu.
7. Opt-in forma súhlasu dotknutej osoby
Podľa GDPR bude musieť byť súhlas so spracúvaním osobných údajov byť vyjadrený slobodne, konkrétne, informovane a jednoznačným prejavom vôle. Takéto konanie môže zahŕňať napr. označenie políčka (tzv. checkboxu) pri návšteve internetovej stránky, zvolenie technických nastavení pri využívaní elektronického obchodu alebo akékoľvek iné vyhlásenie či úkon dotknutej osoby, ktorý bude v danom kontexte jasne znamenať, že dotknutá osoba súhlasí so spracúvaním jej osobných údajov. Mlčanie, či „predvyznačené“ políčka alebo nečinnosť dotknutej osoby preto už nebude možné pokladať za súhlas so spracovaním osobných údajov. Udelenie súhlasu vo forme akceptácie všeobecných obchodných podmienok, ktoré obsahujú ustanovanie o udelení súhlasu so spracovaním osobných údajov preto nebude podľa GDPR dostatočné. Týmto prístupom GDPR formalizuje súčasnú aplikačnú prax dozorných orgánov.
8. Nová úprava súhlasu zo strany neplnoletých dotknutých osôb
GDPR jasne stanovuje, že spracúvanie osobných údajov neplnoletých osôb pri službách informačnej spoločnosti (napríklad pri využívaní rôznych online služieb, sociálnych sietí alebo pri nákupe v eshope) bude zákonné len vtedy, ak neplnoletá osoba má aspoň 16 rokov. GDPR pri tom minimálny vekový limit nestanovuje, ten si budú môcť jednotlivé členské krajiny nastaviť odlišne. Ak bude mať neplnoletá osoba menej rokov, spracúvanie jej osobných údajov bude zákonné iba za podmienky a v rozsahu, v akom súhlas so spracovaním jej osobných údajov vyjadrí alebo schváli jej zákonný zástupca.
9. Obmedzenie automatizovaného spracovania osobných údajov
GDPR posilňuje postavenie dotknutých osôb tiež v tom, že dotknuté osoby budú môcť napadnúť a nepodliehať takým rozhodnutiam prevádzkovateľa), ktoré sú založené výlučne na tzv. profilovaní, teda automatizovanom spracúvaní ich osobných údajov (napríklad automatické zamietnutie online žiadosti o úver alebo elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu). Rozhodovanie podnikateľov založené na profilovaní však bude dovolené v prípadoch výslovne povolených právom EÚ (napr. AML programy na hodnotenie rizikového správania klienta, ktoré sú bežne využívané vo finančnom sektore).
10. Preferovanie pseudonymizácie osobných údajov
GDPR okrem iného tiež nabáda podnikateľov spracúvajúcich osobné údaje, aby tieto údaje pseudonymizovali, a to v čo možno najväčšej možnej miere. Podľa GDPR bude pseudonymizácia osobných údajov považovaná za vhodné bezpečnostné opatrenie na ochranu osobných údajov. Za pseudonymizované osobné údaje možno považovať akokoľvek šifrované dáta, ktoré síce neumožňujú priamu identifikáciu dotknutej osoby, ale po ich odšifrovaní, s použitím adekvátneho kľúča, sa tieto dáta opäť stanú „surovými“ a identifikovateľnými osobnými údajmi. Využívanie pseudonymizácie (napríklad vo forme tzv. IP maskingu) môže byť kľúčové napríklad pri využívaní rôznych online služieb na sledovanie užívateľov a zobrazovanie behaviorálnej reklamy.
11. Štandardná a špecifická ochrana osobných údajov
GDPR vytvára popri sebe dve základné roviny prístupu k problematike bezpečnosti spracúvania osobných údajov. Prvou koncepciou je tzv. štandardná ochrana osobných údajov („data protection by default“). V rámci tejto koncepcie musia podnikatelia za každých okolností zabezpečiť, teda reálne prijať také bezpečnostné opatrenia, ktoré z hľadiska množstva, rozsahu a doby spracúvania minimalizujú „balík“ dát obsahujúcich osobné údaje na nevyhnutné minimum, ktoré je u konkrétneho podnikateľa potrebné na dosahovanie ním stanovených účelov spracúvania. Prakticky povedané, pôjde o prípady spracovania osobných údajov v nevyhnutnej miere potrebných iba pre účely výkonu predmetu podnikania konkrétneho podnikateľa (napr. proces riadenia údajov obsiahnutých v objednávke tovaru od ich získavania, sprístupňovania parnterom pri doručovaní, opätovnom prijatí pri vybavovaní reklamácie až po ich likvidáciu ). Štandardná koncepcia sa nevyhnutne týka každého podnikateľa spracúvajúceho osobné údaje. Druhou koncepciou je špecifická ochrana osobných údajov („data protection by design“). Táto koncepcia od podnikateľov spracúvajúcich osobné údaje vyžaduje, aby už pri určovaní prostriedkov spracúvania osobných údajov (teda už vo fáze vývoja novej aplikácie alebo zavádzaní novej služby) implementovali také technické a bezpečnostné opatrenia, ktoré vzhľadom na najnovšie poznatky („state of art“) a náklady na ich realizáciu, budú funkčné počas celého procesu spracúvania osobných údajov. Pri prijímaní bezpečnostných opatrení bude každý podnikateľ musieť zohľadniť povahu, rozsah, kontext a účely spracúvania osobných údajov ako aj riziká zásahu do takýchto osobných údajov. Úvodné ustanovenia GDPR („recitals“), ktoré sú akýmsi výkladovým návodom k nariadeniu, v tejto súvislosti kladú dôraz na čo najskoršiu pseudonymizáciu údajov, transparentnosť k dotknutým osobám, minimalizáciu údajov a flexibilitu podnikateľa z hľadiska jeho možností na dopĺňanie a zlepšovanie bezpečnostných prvkov.
12. Prístup založený na riziku
GDPR posilňuje svoj regulačný vplyv vo zvýšenej miere na také subjekty, ktoré vykonávajú spracovateľské operácie s osobnými údajmi, ktoré pravdepodobne povedú k vysokému riziku pre práva a slobody fyzických osôb. Vychádzajúc zo znenia GDPR, o vysoko rizikových spracovateľských operáciách možno hovoriť najmä v súvislosti s tzv. profilovaním, či rozsiahlym a systematickým monitorovaním verejných priestorov alebo spracúvaním citlivých osobných údajov vo veľkom rozsahu. Takéto faktory potom vyvolávajú vznik osobitných povinností ako je napr. vykonanie predchádzajúcej konzultácie s dozorným orgánom, vypracovanie posúdenia vplyvov na ochranu údajov (Data Protection Impact Assessment), či poverenie vhodného človeka do funkcie zodpovednej osoby (Data Protection Officer).
13. Novinky pri informovaní dotknutých osôb
Už podľa smernice 95/46/ES, resp. nášho súčasného národného zákona o ochrane osobných údajov, je potrebné pri získavaní osobných údajov v určitých prípadoch poskytnúť dotknutým osobám viaceré podstatné právne informácie týkajúce sa spracúvania ich osobných údajov. GDPR v tomto smere prináša určité zmeny v obsahu týchto informácií. Z hľadiska GDPR bude rovnako kľúčová transparentnosť podnikateľa voči dotkutým osobám sprevádzaná poskytovaním stručných, zrozumiteľných a ľahko dostupných informácií v správny čas a vhodným spôsobom. Osobitne bude treba zohľadňovať postavenie neplnoletých osôb pri spracúvaní ich osobných údajov.
14. Práva dotknutých osôb
Hlavným motívom prijatia GDPR bolo posilnenie práv dotknutých osôb. Nie je preto prekvapivé, že GDPR zavádza úplne nové práva dotknutých osôb. Jedným z nich je tzv. „právo byť zabudnutý“, ktoré rozširuje už existujúce právo na likvidáciu osobných údajov, či právo na prenosnosť údajov v strojovo čitateľnom formáte k inému (novému) prevádzkovateľovi. Práve tieto práva budú mať zásadný dopad na podnikateľov, ktorí budú musieť prispôsobiť svoje interné procesy a systémy a zabezpečiť ochranu a vykonateľnosť týchto práv v prospech dotknutých osôb.
15. Cezhraničné prenosy osobných údajov
GDPR v zásade zachováva súčasnú podobu princípov, právnych nástrojov a inštitútov, ktoré sú využívané už v súčasnosti pri cezhraničnom prenose osobných údajov. Prinesie však aj niekoľko zmien, doplnení a spresnení. GDPR napríklad obmedzí prenosy osobných údajov do tretích krajín bez toho, aby boli zabezpečené a upravené už v existujúcich právnych dokumentoch ako sú napr. štandardné zmluvné doložky, či záväzné vnútropodnikové pravidlá. Novinkou je, že na vykonávanie cezhraničných prenosov osobných údajov budú môcť byť využívané aj schválené certifikačné mechanizmy (napr. pečate a značky ochrany osobných údajov vydané certifikovaným subjektom). Ďalšou novinkou bude aj to, že podľa GDPR už schvaľovanie cezhraničného prenosu pred jeho vykonaním zo strany národného dozorného orgánu (tzv. prior authorization) nebude potrebné.
16. Sankcie
Zmeny, ktoré GDPR prináša v oblasti sankcí za porušovanie regulácie ochrany osobných údajov sú zásadné. V prvom rade dôjde k posilneniu právomocí a medzinárodnej spolupráce medzi vnútroštátnymi dozornými orgánmi. Po druhé limity sankcií boli oproti súčasnosti enormne zvýšené spoločne s obligatórnym princípom ich ukladania.Za najzávažnejšie správne delikty budú dozorné orgány ukladať pokuty až do výšky 20 000 000 EUR, alebo až do výšky 4 % celkového svetového ročného obratu podnikateľa za predchádzajúci účtovný rok, podľa toho, ktorá suma bude vyššia. Okrem podstatného zvýšenia horných limitov pokút môžu teda dozorné orgány siahnuť aj po progresívnom modely správneho trestania, ktorý je možné považovať za vztýčený varovný prst aj pre tých najväčších technologických gigantov, ktorí najviac profitujú na spracúvaní osobných údajov (napr. Google, Facebook).
Prečo by sa podnikatelia mali zaoberať GDPR už teraz?
GDPR sa začne aplikovať od 25. mája 2018. Do tohto dátumu budú podnikatelia musieť zrevidovať svoje interné procesy, právnu a bezpečnostnú dokumentáciu a postupne ich prispôsobiť požiadavkam GDPR. Miera regulačných dopadov na konkrétnych podnikateľov sa bude líšiť, pričom ich „váha“ bude závisieť najmä od povahy, množstva a citlivosti osobných údajov spracúvaných konkrétnym podnikateľom spojených s rizikami. Proces prispôsobenia súčasných systémov a procesov ochrany osobnych údajov, tak môže byť u niektorých podnikateľov pomerne zložitým a časovo náročným procesom. Je preto vhodné, aby podnikatelia začali s prípravou na novú reguláciu ochrany osobných údajov, čo možno najskôr.
