Dva roky s GDPR

Už dva roky je účinné nariadenie GDPR, ktoré zreformovalo ochranu osobných údajov (OÚ). Celú jar toho roku sprevádzal menší ošiaľ, keďže nikto presne nevedel, aký bude mať nová úprava dopad na životy firiem.

Za dva roky sa rozbúrená voda utíšila a GDPR sa stalo súčasťou našich každodenných životov - od súhlasov s používaním cookies, cez dodržiavanie nových zásad spracúvania OÚ, až po náročné úkony prevádzkovateľov, ako je napríklad vypracovanie posúdenia vplyvov na ochranu OÚ.

K druhým narodeninám GDPR vám prinášame niekoľko praktických tipov a zaujímavých faktov.

Na čo si dať pozor alebo aké sú najčastejšie porušenia GDPR v praxi?

Za uplynulé dva roky sme sa stretli s množstvom prípadov porušenia povinností z nariadenia GDPR. Tieto pochybenia sú najčastejšie spôsobené nevedomosťou, prípadne neefektívnym zavedením dokumentácie do praxe.
V nasledujúcich bodoch uvádzame tie najpodstatnejšie:

1. Chýbajúce oprávnenie na spracúvanie osobných údajov

Teória je jednoduchá - na každé spracúvanie OÚ potrebujete mať právny základ. V praxi je typickým právnym základom súhlas. Dotknutú osobu nemôžete k súhlasu nútiť, ani ju postaviť do situácie, kedy nemá na výber, či súhlas udelí, alebo nie. Takýto súhlas bude neplatný. V praxi sa často stretávame aj s prednastaveným súhlasom (vopred zaškrtnutým políčkom), bez nutnosti aktívne poskytnúť tento súhlas, čo rovnako nie je správne.

2. Nedostatočné plnenie informačnej povinnosti

Každý prevádzkovateľ (subjekt ktorý spracúva OÚ) je povinný informovať dotknutú osobu o spracúvaní jej OÚ v stanovených lehotách a najmä - transparentným spôsobom. V praxi si je dôležité uvedomiť, že informácie musia byť zrozumiteľné, a to nie len pre právnika alebo GDPR experta. Preto neodporúčame používať priveľa odborných slov, či nezrozumiteľné alebo pridlhé vety. Informačná povinnosť v takom prípade nemusí naplniť svoj účel.

3. Nedostatočné zabezpečenie OÚ

Každý prevádzkovateľ je povinný prijať primerané opatrenia na zaistenie bezpečnosti OÚ. V praxi však prevádzkovatelia s týmito opatreniami často zápasia.

Vhodnými opatreniami - najmä vo väčších spoločnostiach - sú napr. obmedzený prístup osôb do miestnosti, kde sa spracúvajú osobné údaje alebo kde sú umiestnené servery s osobnými údajmi. Ďalej to môže byť kontrola dokumentácie odnášanej z pracoviska, zavedenie politiky tzv. „prázdneho stola“ (aby nikto náhodný nemal možnosť nazrieť do dokumentov ležiacich na stole), pravidelné zmeny hesiel a prístupov do jednotlivých systémov a pod.

4. Prekročenie dĺžky uchovávania OÚ

V zásade platí, že OÚ treba uchovávať čo najkratšie. Doba ich uchovávania má byť primeraná účelu, pre ktorý osobné údaje spracúvame. Častým príkladom pochybenia sú zamestnávatelia, ktorí po skončení pracovného pomeru ďalej vedú nadbytočné údaje o zamestnancovi. Tieto údaje odporúčame vymazať nie len v elektronickej forme, ale aj ich fyzické kópie.

5. Nedostatočné plnenie povinností pri prevádzkovaní kamerových systémov

Keďže kamerové systémy sa využívajú čoraz intenzívnejšie, Európsky výbor pre ochranu údajov schválil tento rok nové usmernenie, ktoré sprísňuje povinnosti pri používaní kamier. Toto usmernenie zároveň ruší staré zaužívané praktiky, ktorými sa ešte mnoho prevádzkovateľov riadi.

Jedna z dôležitých zmien sa týka napríklad použitia výstražného označenia, že priestor, do ktorého osoba vstupuje, je monitorovaný kamerovým systémom. Značky obsahujúce len piktogram kamery a nápis s upozornením na monitorovaný priestor už dávno nie sú dostačujúce, a pritom ich mnoho prevádzkovateľov stále používa. Označenie musí obsahovať aj informácie o totožnosti prevádzkovateľa, kontaktných údajoch, účele spracúvania OÚ, právach dotknutej osoby, informácie, ktoré majú najväčší vplyv na dotknutú osobu (napr. doba uchovávania záznamov) a odkaz, kde a ako nájsť ostatné informácie o spracúvaní OÚ.

*pre rozsiahlosť tejto témy ďalšie praktické tipy k prevádzkovaniu kamerových systémov pripravujeme v samostatnom článku.

Aký je prístup úradov k udeľovaniu pokút?

O čom sa písalo asi najviac, boli pokuty a ich maximálne sumy. Nariadenie totiž zaviedlo vysoké hranice pokút za porušovanie povinností v oblasti ochrany OÚ.

Pokuty sa začínajú na sume 300 EUR, ale ich maximálna výška je 20 miliónov EUR, resp. 4 % z celkového ročného celosvetového obratu spoločnosti.

Po dvoch rokoch konštatujeme, že pre štát GDPR neostalo len v teoretickej rovine, ale Úrad na ochranu osobných údajov SR (úrad) za toto obdobie vykonal množstvo kontrol a celkovo udelil 59 pokút. Ako však úrad vyhlásil ešte v roku 2018, kontrolami nemal záujem podnikateľov finančne ruinovať, ale chcel ich najmä naučiť aplikovať GDPR v praxi a nastaviť efektívne organizačné a technické opatrenia. Priemerná výška pokuty bola 3 700 EUR, v mnohých prípadoch, kedy sa jednalo o menej závažné porušenia, úrad pokutu neudelil.

Jednou z najvyšších pokút, ktorú úrad za dva roky uložil, je pokuta voči Sociálnej poisťovni vo výške 50 000 EUR za stratu poštovej zásielky obsahujúcej OÚ kvôli nedostatočným bezpečnostným opatreniam. Podobného pochybenia sa dopustil aj operátor Slovak Telekom, ktorému unikli OÚ o 23 zákazníkoch, za čo dostal pokutu 40 000 EUR.

V niektorých zahraničných krajinách (napr. Španielsko, VB, Francúzsko) je situácia odlišná a úrady sú pri ochrane OÚ veľmi prísne, udeľujú pokuty často a vo vysokých sumách. Tieto boli rovnako, ako na Slovensku, uložené práve za nedostatočné zabezpečenie OÚ. Ide o pokutu cez 200 mil. EUR voči spoločnosti British Airways a pokutu vo výške 110 mil. EUR uloženú spoločnosti Mariott International.