Pre zobrazenie obsahu špecifického pre vašu polohu, vyberte inú krajinu

//Vybrať krajinu

Ľudia začínajú od firiem žiadať informácie, aké údaje o nich spracúvajú

TÜV SÜD Journal

Je jedným z odborných školiteľov na seminároch TÜV SÜD Slovakia zameraných na novú reguláciu v ochrane osobných údajov známu pod skratkou GDPR (General Data Protection Regulation). Hovorí, že v mnohých firmách je dnes ochrana dát len formalita. Očakáva, že GDPR postupne zvýši dôveru v spracúvanie osobných údajov a prinesie nové obchodné príležitosti. Prebudí aj záujem ľudí o to, aké dáta vlastne o nich firmy uchovávajú.


Advokát Pavel Nechala z advokátskej kancelárie Nechala & Co.


Spolupracujete s TÜV SÜD Slovakia na odborných školeniach k nariadeniu GDPR. Čo najdôležitejšie sa snažíte firmám povedať?

Najdôležitejšie je, že GDPR ich neobíde. Musia si začať klásť otázky a tie ich potom privedú aj k riešeniam. Veľa spoločností je stále vo vyčkávacej fáze, zisťujú si informácie, no nepristupujú k praktickej aplikácii do vnútra firmy. Nekladú si otázky, nekonfrontujú ich so stavom, v akom sa nachádzajú. A nevedia sa pohnúť ďalej.
 
Mali firmy doteraz dostatok možností sa s ochranou osobných údajov oboznámiť?

Prvý zákon bol na Slovensku prijatý v roku 1992. Od vtedy ubehlo dostatok času, aby objavili tému ochrany osobných údajov. Ak to neurobili, o to vyššie náklady si vyžiada implementácia pravidiel GDPR v ich spoločnostiach.


"Ignorovanie problému môže priniesť ťažké prebudenie. Ale je lepšie sa zobudiť teraz, ako v situácii, keď už bude neskoro."

Na čo sa vás účastníci kurzu najviac pýtajú?

Otázky sa týkajú hlavne praktickej stránky. Ako vyhodnocovať jednotlivé ustanovenia. Nie vždy je jednoduché priniesť výklad, ktorý zodpovie danú situáciu a navrhne optimálne riešenie. Rôzne pojmy a povinnosti, ktoré doteraz neboli, sú konfrontované s ich praktickými skúsenosťami a s tým, ako to doteraz vykonávali.
 
Z vašej prezentácie na školení vyplýva jedno celkom zrozumiteľné pravidlo, ktorého by sa mohli firmy držať: jeden právny základ k jednému účelu a k jednej databáze. Je toto cesta?

Presne tak. Vždy má existovať len jeden právny základ. Nemalo by dochádzať ku kombinácii dvoch právnych základov pri spracovaní jednej skupiny osobných údajov.
 
V priebehu schvaľovania slovenského zákona o ochrane osobných údajov sa mierne zmenili dovolené právne základy, teda zjednodušene povedané opodstatnené dôvody, ktoré môže firma použiť na spracovanie osobných údajov. Aké vypadli oproti zákonu 122/2013?

Predovšetkým neexistuje samostatný právny základ napríklad na spracovanie už zverejnených osobných údajov a na spracovanie údajov na marketingové účely. Tieto právne základy sa zjednotili pod právnym základom oprávneného záujmu a vyprecizovali sa aj podmienky, za ktorých majú byť použité. Je potrebné si uvedomiť akým spôsobom si treba vyberať právne základy. Samozrejme na jednu situáciu sa niekedy dajú použiť viaceré, vtedy odporúčam vybrať si taký právny základ, ktorý znamená menšie náklady pre prevádzkovateľa. Napríklad získanie súhlasu so spracovaním od dotknutej osoby je z tohto pohľadu najviac komplikovaným právnym základom. Rozširuje rozsah oprávnení, ktoré dotknuté osoby takýmto spôsobom získavajú.

Ako má firma určiť najvhodnejší právny základ pre svoje jednotlivé databázy s osobnými údajmi?

Závisí to od konkrétnych podmienok. Čiže už podľa zákona 122/2013 museli mať stanovený právny základ k informačným systémom. Neexistuje, aby osobné údaje spracovávali bez neho. Ak náhodou nastala takáto situácia, musia začať pri spracúvaní osobných údajov úplne od začiatku.
Firmy by mali najprv siahať po dvoch právnych základoch – uzatvorená zmluva a plnenie zákonných povinností. Ak pri nejakej z databáz nebudú môcť použiť tieto základy, musia hľadať iné možnosti. Napríklad právny základ súhlasu dotknutej osoby alebo právny základ ochrany oprávnených záujmov prevádzkovateľa.
 
Keďže vypadol právny základ spracovania už zverejnených údajov, ako má firma správne potupovať, ak chce napríklad na základe zverejnených údajov na sociálnych sieťach vytypovať a osloviť možných kandidátov do zamestnania?

Závisí od toho, ako sú spracovávané. Napríklad ak sieti LinkedIn dala osoba súhlas na zverejnenie, aj jej kontaktovanie, tak spracovanie údajov firmou je kryté týmto súhlasom.

 

GDPR mierne mení požiadavky na súhlas dotknutých osôb. Budú musieť firmy existujúce súhlasy so svojimi zamestnancami či zákazníkmi uzatvárať nanovo?

Závisí od toho, ako majú tieto súhlasy naformulované. Či sa dá povedať, že text súhlasu a spôsob jeho získania plnia kritéria GDPR. Nedá sa teda povedať, že všetky bude možné použiť aj v budúcnosti. Dokonca som sa stretol aj s názormi, že všetky súhlasy treba získať nanovo. Ja by som povedal, že je potrebné sa v konkrétnom prípade pozrieť na všetky aspekty. Napríklad aj aktuálnosť – kedy bola konkrétna osoba kontaktovaná, čo sa s jej osobnými údajmi dialo a podobne.

Ak niekto udelil súhlas s platnosťou aj po máji 2018 a firma vyhodnotí, že plní kritériá GDPR, nemusí ho opätovne získavať?

Z tohto pohľadu nie. Neexistuje priama povinnosť, že sa musia tieto súhlasy získavať nanovo.
 
A ako je to v prípade zmlúv s dodávateľmi alebo s pracovnými zmluvami?

Uzatvorenú zmluvu vníma GDPR ako jeden z právnych základov. Z nej sa dá teda vychádzať bez toho, aby sa do nej museli dopĺňať nové ustanovenia. Nová situácia vzniká, ak firma poskytuje inému subjektu spracovávané osobné údaje. Medzi prevádzkovateľom a sprostredkovateľom by mala byť uzatvorená zmluva, v ktorej by mali byť určené základné povinnosti. Náležitosti takejto zmluvy sa menili a musí sa prispôsobiť novým požiadavkám. GDPR totiž kladie rovnaké povinnosti pri spracúvaní osobných údajov aj na sprostredkovateľov.
 
GDPR kladie nové nároky na firmy aj v oblasti bezodplatného informovania dotknutých osôb o informáciách, ktoré o nich firma spracúva. Bude to pre spoločnosti náročné?

Nie je to úplná novinka, takáto povinnosť tu už bola. Väčší dôraz sa ale kladie na skutočné informovanie dotknutých osôb, aby získali relevantné informácie na uplatňovanie svojich práv. Firmy zvykli doteraz dávať podpisovať dotknutým osobám rozsiahle prehlásenia bez reálneho oboznámenia s ich jednotlivými právami. Predpokladám, že formy sa budú meniť. Nebudú už len v podobe písomných prehlásení, ale objavia sa aj rôzne iné nástroje na informovanie – kladenie otázok, automatické odpovede, rôzne okná, ktoré sa budú objavovať pri vypĺňaní osobných údajov a podobne.


 "Väčší dôraz sa ale kladie na skutočné informovanie dotknutých osôb, aby získali relevantné informácie na uplatňovanie svojich práv."


Budú ľudia vo väčšej miere využívať širšie právomoci na získavanie informácií, kto vo firme má a ako nakladá s ich osobnými údajmi?

Áno. A ak sa bavíme o rizikách z pohľadu prevádzkovateľov, toto považujem za ešte väčšie riziko ako sú pokuty. Teda že ich dotknuté osoby budú konfrontovať a môžu iniciovať aj konanie na Úrade na ochranu osobných údajov. Rovnako si budú môcť uplatňovať vzniknutú škodu súdnou cestou. Aj to je dôvod, prečo sa firmy nemôžu len nečinne prizerať a spoliehať sa na to, že sa ich nové opatrenia nedotýkajú. Ak chcú ďalej poskytovať tovary a služby, musia urobiť opatrenia, ktoré zabezpečia súlad s GDPR.

Podľa GDPR je iba prvá takto poskytnutá informácia bezplatná. Za každú ďalšiu kópiu si budú môcť firmy účtovať poplatky...

Nie celkom. Sú kritéria, napríklad zjavne neopodstatnená žiadosť, kedy je možné informáciu spoplatniť. No nedá sa povedať, že bezplatná je len jedna žiadosť.
 
Čiže neočakávate, že druhú a ďalšie kópie si už firmy budú spoplatňovať?

Aj administrácia spojená so spoplatnením je samostatný náklad, takže to neočakávam. Skôr budú firmy hľadať alternatívne spôsoby na sprístupňovanie informácií pasívnym spôsobom. Aby si ich dotknuté osoby mohli pozrieť automaticky, čo už dnes niektoré spoločnosti využívajú.
 
Niektorí odborníci tvrdia, že po novom budú firmy povinné nahlasovať Úradu na ochranu osobných údajov každé porušenie ochrany osobných údajov, aj malé incidenty. Napríklad ak firma zamení adresátov, zamení obálky. Bude to pre firmy únosné?

Musíme sa pozrieť na riziká, ktoré z incidentu vyplývajú. Na jednej strane je text zákona, kde každé porušenie ustanovení o ochrane osobných údajov je potrebné nahlásiť. Na druhej strane si neviem predstaviť reálne nahlasovať každú drobnosť, ku ktorej dôjde napríklad vo výrobnom procese, pri zasielaní obálok a podobne. Je tu samozrejme zákonná povinnosť, ktorej nesplnenie môže byť sankcionované, otázne však je, ako k porušeniu dôjde. Ak je drobného charakteru, je tam podľa môjho názoru materiálny korektív, aby každá nepodstatná vec nespôsobovala ďalšie konania.
 
Novou administratívnou záťažou pre firmy bude aj vedenie evidencie o spracúvaní údajov. Poskytnú úrady nejaké návody či formuláre k tejto veci?

Povinnosť viesť túto evidenciu majú primárne firmy nad 250 zamestnancov. Očakávam, že v tejto oblasti budú vydané nejaké usmernenia.


"Povinnosť viesť evidenciu o spracúvaní údajov majú primárne firmy nad 250 zamestnancov."


V čom viete ako advokátska kancelária pomôcť firmám?

GDPR má aj svoju právnu časť. Vieme urobiť právnu revíziu dokumentov týkajúcich sa vzťahov k dotknutej osobe, ale aj k sprostredkovateľom alebo zmluvným partnerom. V neposlednom rade je to aj zabezpečovanie povinností prevádzkovateľov – teda zásady transparentnosti, informovania o spracovateľských operáciách.
 
Aké najčastejšie chyby dnes robia firmy pri ochrane osobných údajov?

Najčastejšou chybou je práve len formálne dodržiavanie povinností. Bezpečnostné projekty sa nepretavovali do každodenných operácií. Ochrana osobných údajov sa v minulosti zákonom 122 nijako nezlepšila.
 
Subjekty budú musieť preukázať súlad s GDPR kódexom správania alebo certifikátom. Ktorú možnosť im odporúčate? Budú môcť využiť nejaké všeobecné kódexy, ktoré si len adaptujú?

Budú existovať sektorové kódexy, lebo jeden všeobecný ani nie je možné vytvoriť. Viem, že napríklad Slovenská banková asociácia pripravuje takýto kódex.
Certifikácia je dobrým spôsobom, ako nechať zhodnotiť súlad s GDPR nezávislou autoritou, ktorá pozná problematiku. Na druhej strane certifikáciu nie je možné brať ako právny nástroj na ochranu pred sankciami. No zlepšuje postavenie v prípade kontroly, kedy sa prevádzkovateľ bude môcť preukázať takouto certifikáciou a že činnosti, ktoré mali byť uskutočnené na ochranu osobných údajov boli vykonané a auditované.


"Certifikácia je dobrým spôsobom, ako nechať zhodnotiť súlad s GDPR nezávislou autoritou, ktorá pozná problematiku."


Zvýši GDPR ochranu osobných údajov?

Áno a to výrazne. Nedáva ani nebude dávať návody, ako to priamo uskutočniť. Ak niekto bude chcieť implementovať GDPR, bude musieť vyhľadať odborníkov, ktorí mu ukážu najvhodnejšie opatrenia. Tie sa budú líšiť od jednej firmy k druhej, v závislosti na činnosti, ktorú vykonáva. Postupne sa zvýši dôvera v spracovávanie osobných údajov a objavia sa ďalšie možnosti ich využívania na nové obchodné príležitosti a služby.


Kto jeJudr. Pavel Nechala?

JUDr. Pavel Nechala z advokátskej kancelárie Nechala & Co. disponuje rozsiahlymi skúsenosťami v oblasti obchodného práva a hospodárskej súťaže, občianskeho a rodinného práva, pracovného práva, ako aj v špecifických oblastiach – napríklad právo duševného vlastníctva (najmä počítačové právo), ochrana osobných údajov, mediálne právo, verejné obstarávanie.


Získajte viac

Vybrať lokalitu

Global

Americas

Asia

Europe

Middle East and Africa