Väčšina podnikov na celom svete upravila politiku údajov pre GDPR 2020, všeobecné nariadenie o ochrane údajov, ktoré v roku 2018 predložila Európska únia. GDPR priniesol prísne požiadavky na to, ako sa s občanmi Európskej únie musí zaobchádzať s osobnými údajmi. Dokonca aj podniky, ktoré nepôsobia v EÚ, sa prispôsobili týmto požiadavkám. Pravidlá sa trochu zmenili. Je to preto, že koncom minulého roka Európsky výbor pre ochranu údajov, ktorý dohliada na dôsledné uplatňovanie GDPR, objasnil pravidlá pomocou usmernení pre extrateritoriálne uplatňovanie GDPR 2020. 

Usmernenia špecifikujú, aké typy vzťahov alebo činnosti spracovania údajov by mohli spustiť GDPR pre subjekt z nečlenských krajín EÚ. Je to osobitne zaujímavé pre podniky v USA, ktoré sú vo väčšine prípadov subjektmi mimo EÚ, ktoré sa napriek tomu často stretávajú s občanmi Európskej únie. Tieto usmernenia sú dôležité. V tejto súvislosti sa uvádza, ako môžu tieto pokyny ovplyvniť vaše podnikanie. Keď sa GDPR vzťahuje na vaše podnikanie, nové usmernenia nemenia podstatu nariadenia o GDPR 2020; stále platia všetky nariadenia týkajúce sa ochrany osobných údajov.

GDPR sa zmenil na spôsob, akým spoločnosti, ktoré pôsobia v krajinách EÚ, spracúvajú osobné údaje, a ich porušenie sa môže vyšplhať až do výšky pokút v hodnote 20 miliónov €. Preto je dôležité, aby ste sa poradili s právnikom o tom, čo je alebo nie je zákonnou požiadavkou pre vaše podnikanie.

Pamätajte si, že GDPR 2020 nebol navrhnutý tak, aby bránil podnikom v komunikácii so svojimi zákazníkmi. V skutočnosti je to naopak. Vedie to k zvýšeniu kvality údajov, a preto najlepší a najkompetentnejší obchodníci majú ucelený obraz o tom, že ide o príležitosť ponoriť sa hlbšie do potrieb ich potenciálnych zákazníkov.

Pravidlá dodržiavania GDPR sú pomerne jednoduché – nekomunikujte s niekým, pokiaľ o to výslovne nežiada. Neočakávajte, že vás niekto chce „počuť“, ak o to nežiadal. 

Koronavírus a GDPR 2020

ochrana osobnych udajov 19

Úrad verejného zdravotníctva Slovenskej republiky v oblasti verejného zdravia v súvislosti so šírením ochorenia COVID-19 sa riadi právoplatnými právnymi predpismi, ktoré sa týkajú problematiky ochrany a spracovania osobných údajov.

ÚVZ SR spracuje osobné údaje osôb, ktoré sú uvedené v dokumente „Zoznam osobných údajov“. Tie sú spracované v súlade so zásadami spracúvania osobných údajov:

Tieto údaje sa spracúvajú zákonným spôsobom a to tak, aby nedošlo k porušeniu základných práv dotknutých osôb,

  • osobné údaje sa získavajú iba na konkrétny účel,
  • údaje, ktoré sa spracúvajú sú relevantné, adekvátne a aj obmedzené na určitý rozsah, ktorý je daný za účelom, na ktorý sa spracúvajú,
  • osobné údaje sú korektné a aktualizované,
  • osobné údaje sú spracované spôsobom, ktorý pomocou adekvátnych organizačných či technických opatrení garantuje bezpečnosť osobných údajov spolu s ochranou pred nelegálnym spracúvaním osobných údajov, stratou osobných údajov, poškodením či výmazom osobných údajov,
  • osobné údaje konkrétnych osôb sú spracúvané len metódami, ktoré garantujú ochranu práv i slobôd fyzických osôb počas spracovania ich osobných údajov v rámci informačných sytémov.

V dôsledku vedenia dokumentácie, ktorá je nevyhnutná pri skúškach, odberoch, či meraniach vzoriek fyzických osôb, ktoré sú testované na vírus COVID-19 je vedená na ÚVZ SR.

V rámci pracovného prostredia medzi údaje o zamestnancoch, ktoré každý zamestnávateľ spracúva v súvislosti s ochorením COVID-19, patria:

  • údaje, ktoré sa týkajú práceneschopnosti zamestnanca v súvislosti s COVID-19,
  • údaje, ktoré indikujú pobyt zamestnanca v lokalitách, ktoré sú  označené ako vysoko rizikové,
  • údaje týkajúce sa možného kontaktu s osobou, ktorá je podozrivá na ochorenie  COVID-19,
  • údaje, ktoré sú získavané v spojitosti s meraním telesnej teploty pri vstupe do priestorov zamestnávateľa.

Výsledky kontrol úradu

Úrad na ochranu osobných údajov vykonal vyše 60 kontrol. Niektoré z nich boli vedené na základe sťažností, ktorých od implementácie GDPR, dostal ÚOOÚ vyše 500.

Najvyššia udelená pokuta vo výške 30 000€

Zatiaľ najvyššiu pokutu s hodnotou vyššou než 30 000€, dostala spoločnosť, pokuta sa týkala pochybenia počas zasielania reklamných emailov. Úrad vzal do úvahy okrem charakteru tohto pochybenia, ale aj inú problematickú skutočnosť, ktorým bolo neurčenia odosielateľa. Ostatné kontroly nevyžiadaných obchodných správ vyústili do uloženia pokút. Výšky pokút sa pohybovali vo výške 3 000€.

Väčšina kontrol prešla v poriadku

Aj napriek vysokému počtu kontrol a sťažností nezistil ÚOOU dôvod nutnosti pristúpiť k masívnej sankcii. V mnohých situáciách nebola nájdená žiadne pochybenie proti zákonu. Príkladom je spoločnosť O2 u našich susedov, kde bolo vykonávané dostatočné bezpečnostné opatrenia.

Spoločnosť O2 sa neprevinila ani pri spracovávaní kópií občianskych preukazov, ktoré je vykonávané v nevyhnutnom rozsahu. V ostatných prípadoch došlo k úprave spracovania osobných údajov tak, aby to vyhovovalo všetkým právnym predpisom.

V prípade bločkovej lotérie, pri ktorej nie je nutné uvádzať daňové číslo daňovníka, úrad nezistil žiadne porušenie zákona. Z celkových vyše 60 kontrol začal ÚOOÚ jednanie s 9 subjektmi. Ide o prípady nevyžiadaných obchodných oznámení.

Výsledky kontrol GDPR 2020 v ostatných krajinách EÚ

Prvá pokuta bola tiež vydaná v Rakúsku začiatkom októbra, a hoci nie je striktne spojená so spracovaním osobných údajov, je to dobrým príkladom dosahu, ktorý môže nariadenie dosiahnuť. Sieť stávok dostala pokutu vo výške 4.800 € za bezpečnostnú kameru, ktorá zaznamenávala časť chodníka vonku, pretože v rámci GDPR nie je povolené rozsiahle monitorovanie verejných priestorov.

Na konci toho istého mesiaca sme videli prvú pokutu týkajúcu sa spracovania a ukladania osobných údajov. Národná komisia pre ochranu údajov v Portugalsku uložila spoločnosti Hospital do Barreiro tri pokuty: dve sankcie vo výške 150 000 EUR a ďalšie 100 000 EUR. Tento súbor sankcií znamená pre nemocnicu celkovú sumu 400 000 EUR. Prvé dve pokuty vo výške 150 000 EUR boli za porušenie zásady integrity a dôvernosti údajov a porušenia zásady minimalizácie údajov, ktorá teoreticky bráni neoprávnenému prístupu k údajom. 985 lekárov malo aktívne účty o systéme, zatiaľ čo nemocnica mala v čase kontroly iba 296 aktívnych lekárov.

Najnovšia pokuta bola vydaná v Nemecku v polovici novembra. Nemecká sociálna sieť, dostala pokutu vo výške 20 000 EUR, čo spôsobilo únik 808 000 e-mailových adries spolu s viac ako 1,8 miliónmi užívateľských mien a hesiel. Tieto informácie boli potom publikované online bez šifrovania.

Sociálna sieť reagovala tým, že po zistení úniku okamžite zlepšila svoje bezpečnostné opatrenia. Po incidente sa zistilo, že webová stránka nemá žiadnu ochranu voči citlivým informáciám.