o GDPR sa pred rokom veľa rozprávalo, viete vysvetliť, čo to vlastne je a aké boli dôvody jeho prijatia?
GDPR je európsky právny predpis na ochranu osobných údajov. Dôvody jeho prijatia boli viaceré. Predtým platila na európskej úrovni smernica, ktorá bola prijatá v roku 1995, keď používalo internet asi jedno percento Európanov. Dnes je to naopak, menej ako jedno percento internet nepoužíva. Od roku 1995 sa tiež zásadne zmenili informačné systémy aj spôsob, akým spoločnosti zbierajú informácie vrátane osobných údajov. Toto bol jeden z dôvodov, prečo to bolo treba nanovo ošetriť.
Praktickou výhodou GDPR je to, že jeho pôsobnosť presahuje hranice Európskej únie. Takže ak prevádzkovateľ mimo Európskej únie, napríklad čínsky e-shop, spracúva osobné údaje občanov EÚ, musí mať ošetrenú ochranu osobných údajov aj v súlade s GDPR.
aké iné práva a povinnosti zaviedlo GDPR v porovnaní s predchádzajúcou úpravou?
Práva zostali takmer identické, niektoré však boli sprísnené. Novinky sú fakticky dve. Právo na zabudnutie a právo na prenos osobných údajov. Podstatou práva na zabudnutie je to, že keď ako spoločnosť spracúvam osobné údaje môjho zamestnanca a skončím s ním pracovný pomer, zamestnanec má právo žiadať, aby som jeho osobné údaje vymazala z mojej databázy. V praxi to však nefunguje úplne automaticky na prvé požiadanie. Ako zamestnávateľ musím totiž niektoré osobné údaje ďalej uchovávať napríklad podľa Zákonníka práce a zákona o dani z príjmu. Táto žiadosť zamestnanca je na jednej strane oprávnená, no ja ako zamestnávateľ musím jeho osobné údaje stále archivovať, a preto žiadosti nemusím vyhovieť.
Alebo pri e-shope. Povedzme, že zákazník nakúpi tovar, ale nechce dostávať newsletter a ani ďalej nakupovať. Vtedy, keď pošle žiadosť na vymazanie osobných údajov, prevádzkovateľ je povinný mu vyhovieť a osobné údaje vymazať. Taký zákazník má právo, aby boli vymazané aj kópie osobných údajov na všetkých serveroch, ktoré prevádzkovateľ má, čo býva v praxi niekedy veľmi náročné. Nariadenie ide ešte ďalej a prevádzkovateľ je povinný upozorniť aj ďalšie osoby, ktorým tie osobné údaje poskytol, aby ich tiež vymazali.
a ako je to s právom na prenos osobných údajov?
Právo na prenos osobných údajov spočíva v tom, že vy ako oprávnená osoba máte právo odo mňa ako od prevádzkovateľa žiadať, aby som vaše osobné údaje preniesol na iný subjekt. V praxi sa to deje napríklad kvôli novému pracovnému pomeru, keď sa osobné údaje prenášajú na nového zamestnávateľa. Ak sú tieto údaje spracúvané automatizovanými spôsobmi, čo je dnes už úplne bežné, som povinná vašej žiadosti na prenos vyhovieť.
aká je prax, odkedy sa zaviedlo GDPR?
Prax bola taká, že internet bol plný poplašných správ o tom, že GDPR vstupuje do účinnosti a všetkých čakajú miliónové pokuty, firmám zrušia činnosť a podobne. Bola okolo toho celkom extrémna panika, ktorú pociťovali aj naši klienti.
Treba si však uvedomiť, že GDPR nie je strašiak, ale predpis, ktorý má pomôcť obom stranám, stačí ho pochopiť. Počas tohto obdobia sme mali na dennej báze telefonáty typu: „Dobrý deň, vy robíte to GDPR, potrebovali by sme ho tak do týždňa.“ Obvykle to boli firmy s aspoň päťdesiatimi zamestnancami, kde sme na zavedenie GDPR potrebovali aspoň dva mesiace. Verejnosť si neuvedomovala, že GDPR nie je certifikát, ktorý si zavesíte na stenu, alebo že si stiahnete z internetu vzory jednotlivých formulárov. Kvalitne spracovaná GDPR dokumentácia si vyžaduje preskúmanie firmy od podlahy až po najvyššie poschodie. Od vrátnika, ktorý eviduje návštevy, až po generálneho riaditeľa. Musíme preskúmať, ktoré osobné údaje sa spracúvajú, aké sú účely spracúvania. Musíme identifikovať právne základy a prejsť si to, kto má k tým údajom prístup. Registrujete návštevníkov na vrátnici? Kto k nej má prístup? Máte externú účtovníčku? Posielate jej doklady e-mailom bez zabezpečenia? To je problém. Musíme nastaviť pravidlá, ako by to malo fungovať. Nesmie sa mi povaľovať pracovná zmluva na stole internej mzdárky, aby do nej mohla nazrieť napríklad upratovačka, keď mzdárka odíde domov.
„GDPR nie je certifikát, ktorý si zavesíte na stenu alebo si stiahnete z internetu vzory formulárov.“
spomínali ste, že musíte preskúmať celú firmu, čo sa mnohým podnikateľom nemusí páčiť. Ako oni vnímajú GDPR?
Niektorí ho vnímajú negatívne, pretože je to časovo náročné a je s tým spojená veľká byrokracia. Obvykle však pomáha, keď klientovi ukážeme náš implementačný plán, vtedy GDPR prestáva byť strašiakom a mení sa na bežné pracovné zadanie. Čo sa týka citlivých informácií, u nás je tá výhoda, že ako advokátska kancelária sme zaviazaní veľmi prísnou povinnosťou mlčanlivosti.
môžete sa podeliť o nejaké praktické tipy?
Ak spracúvam osobné údaje prevádzkovateľov, musím mať zákonné oprávnenie, na základe ktorého to robím. Tých právnych základov je niekoľko. Verejnosťou najviac vnímaný a idealizovaný je súhlas so spracúvaním osobných údajov. Súhlas je pritom dosť nešťastný právny základ, pretože je odvolateľný. Mal by byť použitý ako posledný v poradí, predtým by som sa mala pozrieť na to, či nemám k dispozícii iné tituly, ktoré sú bezpečnejšie a nie je možné ich odvolať. Typickým právnym základom by mala byť zmluva.
Ak si od vás pýtam údaje na uzatvorenie pracovnej zmluvy, nepotrebujem na to váš súhlas, a ani si ho nesmiem pýtať. Mojím právnym základom je to, že medzi nami bude uzatvorená pracovná zmluva. Keby som však chcela spracovať fotografiu vašej tváre na marketingový účel a chcela by som ju zavesiť na svoju internetovú stránku, tak už súhlas potrebujem, pretože nemám iný právny titul. To platí v prípade, že ste redaktor. Ak by ste boli pracovník bezpečnostnej služby na vrátnici, už nepotrebujem súhlas ani pracovnú zmluvu na zverejnenie vašej fotografie, ale ako právny základ mám zákon, v tomto prípade zákon o súkromných bezpečnostných službách, kde sa píše, že pracovník SBS musí mať na identifikačnej karte aj svoju fotografiu.
V niektorých prípadoch dobre funguje ako právny základ aj tzv. oprávnený záujem. Týka sa to napríklad kamerových systémov. Takže ak mám autoservis, ku ktorému patrí parkovisko, môžem mať oprávnený záujem si to parkovisko monitorovať kamerami, aby som chránila majetok seba a mojich zákazníkov.
nemôžu GDPR zneužívať štátne inštitúcie na to, že keď im ako novinár položím nejakú otázku, oni mi neodpovedia a vyhovoria sa na to?
Teoreticky môžu, papier znesie všetko, ale treba si uvedomiť, že GDPR nie je strašiak a ani výhovorka. Závisí to od konkrétneho prípadu, čo sa pýtate, prečo sa to pýtate, koho sa to pýtate a na koho sa pýtate. Nemalo by byť bez ďalšieho použité, ale nevylučujem, že sa tak stane. Skôr tam však vnímam ochranu dotknutých fyzických osôb ako ochranu štátnych inštitúcií.
aké existujú typy kontrol?
Kontroly nie sú nič nové. Pri každom podobnom predpise existujú kontroly zo strany štátnych orgánov. Zostali identické v tom, že sú buď na základe činnosti samotného úradu, alebo môžu byť na základe podnetu dotknutej osoby. Odkedy sa zaviedlo právo na zabudnutie, tieto podnety často slúžia ako osobná pomsta od konkurenčnej spoločnosti alebo od bývalého zamestnanca. V praxi však proti tomu dokážeme klientov brániť celkom jednoduchými mechanizmami.
Klienti však niekedy zabúdajú, že úrad nemusí prísť na kontrolu len k podnikateľom, môže prísť aj k vám, ak si kamerou monitorujete dvor, ale sníma sa aj časť ulice.
s kontrolami úzko súvisia aj pokuty, v akých sumách sa pohybujú?
GDPR upravuje limity pokút vo výške desať až dvadsať miliónov eur, alebo v sume dvoch, resp. štyroch percent z ročného obratu. To sú maximálne sadzby. GDPR však zároveň jasne definuje, že pokuta musí byť primeraná, účinná a odradzujúca. Z tých vyšších súm však nedávno zarezonovala 50-miliónová pokuta pre spoločnosť Google LLC a 400-tisícová pokuta pre zdravotnícke zariadenie v Portugalsku.
SCHIN & MAJDÚCH legal
Advokátska kancelária s tímom ôsmich právnikov špecializovaných na počítačové a obchodné právo, právo duševného a priemyselného vlastníctva, GDPR, nehnuteľnosti a sporovú agendu. Medzi úspešné projekty r. 2018 patrí spracovanie GDPR agendy pre štyri spoločnosti zo zoznamu Fortune 500, zastupovanie slovensko-švajčiarskej blockchain platformy, TOP 4 svetového výrobcu pneumatík a právne akcelerovanie siedmich start-upov. Objem transakcií za posledné dva roky presiahol 450 miliónov eur.