Na čo si dať pozor a ako mať dohľad nad osobnými údajmi pod kontrolou

Základný a prvý všeobecne unifikovaný rámec ochrany osobných údaj v rámci priestoru Európskeho spoločenstva priniesla právna úprava reprezentovaná notoricky známym Nariadením Európskeho parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej ako „GDPR“), ktoré je východiskovým dokumentom upravujúcim práva a povinnosti všetkých fyzických a právnických osôb, na ktoré sa vzťahuje. Nariadenie dopĺňa i slovenský zákon č. 18/2018 Z.z.  o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o ochrane OU“), ktorý svojským spôsobom preberá všeobecnú komunitárnu úpravu, ktorá je v niektorých oblastiach dopĺňaná vlastnou úpravou a definíciami.

Uvedený rámec ochrany osobných údajov predstavuje pre mnohých podnikateľov súhrn byrokratických povinností, ktoré by mali byť splnené zakúpením vzorovej dokumentácie vypracovanej spoločnosťami, ktoré sa túto problematiku špecializujú. Samotná dokumentácia však častokrát nestačí na splnenie pomerne komplexných legislatívnych požiadaviek, a pri prípadnej kontrole je nutné preukázať splnenie všetkých podmienok deklaráciou vzťahov, súhlasov, bezpečnostných opatrení a pod., ktoré nie sú vždy dotiahnuté do konca (mnohokrát i preto, že vyžadujú navyše činnosti poskytnuté v odporúčaní spolu s dokumentáciou, ich aplikácia môže byť však komplikovaná, náročná alebo nezrozumiteľná).

V prvom rade je dôležitá definícia a ponímanie celej agendy osobných údajov vo vzťahu ku všetkým činnostiam, ku ktorým vo vašej firme dochádza alebo môže dôjsť (napr. poskytovanie určitých služieb, ubytovanie, e-shop a pod.).

TOK INFORMÁCIÍ: Prvý krok je jednoznačné a správne zadefinovanie toku informácií, zahŕňajúcich samotné osobné údaje ako aj všetko čo s ich spracovaním a informovaním dotknutej osoby súvisí, t.j.:

1. Tok informácií smerom k Vám (získavanie údajov) – ktoré osoby Vám poskytujú osobné údaje a akým spôsobom, t.j. v akých prípadoch ste tzv. „prevádzkovateľ“ osobných údajov alebo „sprostredkovateľ“ osobných údajov a či ich teda získavate na základe platného právneho dôvodu (t.j. súhlas, iný právny dôvod definovaný GDPR alebo sprostredkovateľskú zmluvu s prevádzkovateľom) – tieto skutočnosti musia byť jednoznačne vyhodnotené vo vzťahu ku všetkým osobným údajom, ktoré sa u Vás nachádzajú (v dokumentoch, počítačových/serverových databázach, spisových materiáloch, účtovnej/personálnej agende, či kdekoľvek inde),
2. Tok informácií smerom od Vás (poskytovanie osobných údajov a súvisiacich dôležitých informácií), kedy rozlišujeme:

1. Poskytovanie osobných údajov (sprostredkovateľom – článok 28 GDPR): osobné údaje získané podľa bodu 1, ktoré sú poskytované ďalej na zabezpečenie určitej činnosti, dodanie tovaru, či služby (napr. účtovník a mzdový pracovník pri zamestnancoch, kuriér/dodávateľ alebo iná osoba, ktorá sa podieľa na doručení objednaného tovaru, vykonávateľ určitej čiastkovej objednanej služby a pod.),
2. Poskytovanie informácií o spracovávaní osobných údajov (dotknutým osobám – Kapitola III, oddiel 2 Nariadenia GDPR): informovanosť dotknutých osôb, ktorých osobné údaje spracovávate, ako s nimi nakladáte (je potrebné mať na pamäti aj všetkých sprostredkovateľov a dotknuté osoby o takomto spôsobe narábania s ich osobnými údajmi vhodným spôsobom upovedomiť). Jedná sa o dôležité povinnosti aj podľa GDPR aj podľa zákona o ochranu OU.

NEUSTÁLA KONTROLA INFORMÁCIÍ a ich toku: Definovanie a zabezpečenie všetkých opatrení pri toku informácií musí byť jednoznačne pod Vašou kontrolou a za Vami stanovených podmienok. To zahŕňa predovšetkým:

1. Jednoznačný prehľad o tom, na základe akého právneho dôvodu spracovávate osobné údaje, ktoré sa k Vám dostanú, t.j. či už na základe súhlasov dotknutých osôb alebo na základe iného právneho dôvodu; tieto dôvody je nutné identifikovať a stanoviť podmienky pre získavanie údajov podľa zákona.
2. Jednoznačný prehľad o tom, komu údaje poskytujete, t.j. upraviť vzťahy k subdodávateľom a „outsorcovaným“ službám vo vzťahu ku ktorým vystupujete ako prevádzkovateľ, a zodpovedáte sa zaobchádzanie s takto poskytnutými údajmi – je potrebné dôkladne zanalyzovať takéto vzťahy a pripraviť individualizované zmluvy, na mieru s takýmito osobami, ktoré sú vo vzťahu k Vám sprostredkovateľmi OU
3. Bezpečnosť údajov – každý, kto akokoľvek spracováva osobné údaje je povinný prijať, so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká z toho vyplývajúce vo vzťahu k jednotlivým kategóriám dotknutých osôb primerané bezpečnostné (technické, organizačné) opatrenia (článok 32 GDPR).
4. Jednoznačný dosah na všetky spracovateľské činnosti – tj. možnosť kedykoľvek tieto údaje vymazať, zmeniť, opraviť, alebo obmedziť spracúvanie osobných údajov (či už z vlastného podnetu alebo na základe podnete dotknutej, či inej osoby).

Zodpovednosť za dodržiavanie právnych predpisov týkajúcich sa ochrany osobných údajov má vždy v prvom rade prevádzkovateľ. Prevádzkovateľom je fyzická alebo právnická osoba, ktorá spravidla „ako prvá“ spracúva osobné údaje, ktorú mu poskytuje fyzická osoba na základe súhlasu a vymedzuje účel a prostriedky spracúvania osobných údajov (pozn. prevádzkovateľ môže spracúvať osobné údaje samozrejme aj na inom právnom základe). Za porušenie predpisov však rovnako zodpovedá aj sprostredkovateľ, t.j. v prípade absencie zmluvy o poskytovaní a spracovávaní osobných údajov medzi prevádzkovateľom a sprostredkovateľom alebo nedostatočnej úpravy týchto vzťahov je zodpovedným a veľmi pravdepodobne aj sakncionovaným subjektom i sprostredkovateľ.

Uvedené je potrebné zohľadňovať v každej sfére podnikania, v ktorej dochádza k spracúvaniu akýchkoľvek informácií, ktoré majú charakter osobných údajov, keďže v postupnom čase sa na dodržiavanie pravidiel zameriavajú aj kontroly vedené hlavným dozorným a kontrolným orgánom (t.j. najmä štátne orgány a orgány verejnej moci, vrátane obcí a iných osôb pre registrácií účastníkov určitej akcie/podujatia, parkovacích služieb, zabezpečenie ubytovania alebo rôznych eventov, poskytovatelia verejných komunikačných služieb, webhostingu a poskytovanie akýchkoľvek on-line služieb pre fyzické osoby, pri ktorých je potrebné akejkoľvek osobnej informácie o takejto osobe (vrátane kontaktných informácií, adresy pre doručenie, bankových údajov, biometrických údajov či snímanie tváre/osoby a pod.).  

Osobitnú pozornosť by ste mali venovať problematike ochrany osobných údajov pri výkone svojej činnosti i pri špecifických povolaniach alebo profesiách, na ktoré nie je možné aplikovať všeobecné pravidlá (dokumentáciu) ale je nutné dôkladne zanalyzovať tok osobných údajov a individuálne nastaviť procesy ich získavania a spracovávania, ako napr.:

1. profesie vykonávané na základe individuálnych povolení/predpisov: lekári, notári, advokáti, znalci, tlmočníci, exekútori, daňoví poradcovia, architekti, ale aj umelci, autori vynálezov, hudobníci a pod.
2. osobné údaje získavané osobitným spôsobom: biometrické údaje, kamerové údaje, cookies
3. osobitné kategórie osobných údajov: údaje o politických stranách a politickej príslušnosti osôb, údaje cirkví o svojich veriacich a členoch, údaje odborových organizácií alebo osobitných záujmových družstiev a klubov o členstvách a pod.

Kontroly sa v prvom rade zameriavali na technologicky významné spoločnosti, ktoré spracúvajú veľké kvantá osobných údajov s neporovnateľne významnejšom dosahom, ktoré potom využívajú na svoje podnikateľské aktivity (najmä tech-giganti ako Google a Facebook), postupne však pribúdajú aj prípady kontrol rôznych bežných prevádzkovateľov, t.j. napr. zdravotníckych zariadení (lekári a zariadenia), miest monitorovaných kamerami, prevádzkovatelia e-shopov a pod.

Odporúčame Vám preto túto oblasť vzťahov rozhodne nepodceniť a riadiť sa radami odborníkom v komplexnom prístupe k agende GDPR. Z konkrétnou požiadavkou Vám radi poradíme, posúdime možnosti úpravy dokumentácie alebo pripravíme postupy, ktoré Vám zaručia plnenie všetkých legislatívnych požiadaviek  v súlade GDPR a zákonom o ochrane OU.