Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

K vlastným osobným údajom sa spotrebitelia dostanú jednoduchšie. Zároveň sa dozvedia, ak firmy či úrady o ich údaje prídu a mohlo by ich to ohroziť. Stop marketingovým ponukám bude jednoznačnejší. To je malá ukážka práv spotrebiteľov, ktoré rozširuje prísnejšia európska regulácia o ochrane osobných údajov GDPR (General Data Protection Regulation). Pozrite si výber, ktorý zostavili odborníci z TÜV SÜD Slovakia. 

Odborníci sa zhodujú, že hoci regulácia GDPR neprináša úplne zásadné novinky v oblasti práv dotknutých osôb, niektoré však rozširuje a presnejšie definuje. „Všeobecne práva spotrebiteľov, alebo rečou GDPR práva ´dotknutých osôb´, nie sú novinkou v oblasti ochrany osobných údajov. Existovali aj v minulosti, ale GDPR ich významne rozširuje,“ myslí si expertka TÜV SÜD Slovakia Katarína Matejčíková. 

Myslím si, že dotknuté osoby budú so svojimi právami nakladať rovnako ako doteraz. A síce, že si na ne spomenú najmä vtedy, keď budú mať pocity krivdy a budú si chcieť s prevádzkovateľom takpovediac vybavovať účty. Toto je žiaľ najčastejší scenár, kedy sa o svoje práva dotknuté osoby zaujímajú,“ poznamenal certifikovaný etický hacker a odborník na kybernetickú bezpečnosť zo spoločnosti iseco Ľubomír Kopáček, ktorý spolupracuje s TÜV SÜD Slovakia na odborných školeniach pre manažment a zamestnancov.

Katarína Matejčíková naopak očakáva, že vo verejnosti sa zvýši povedomie o ochrane osobných údajov. „Práve tento zámer bol zdôraznený predovšetkým ustanovením informačnej povinnosti prevádzkovateľa, ktorý už pri získavaní osobných údajov je povinný informovať dotknutú osobu o jej právach.“ 

Právo na prístup k osobným údajom

Dotknutá osoba, teda spotrebiteľ, má podľa GDPR právo žiadať od prevádzkovateľa informáciu, či o ňom spracúva osobné údaje. Prevádzkovateľ, teda napríklad firma, mu musí bezodplatne, jasne a zrozumiteľne odpovedať do jedného mesiaca. V odôvodnených prípadoch si môže lehotu predĺžiť o ďalšie dva mesiace.

Firma v odpovedi spotrebiteľovi poskytne údaje, ktoré o ňom spracúva a takisto mu poskytne aj ďalšie informácie navyše. Musí mu prezradiť napríklad účel spracovania údajov, dobu ich uchovania, zdroj údajov, či identifikovať príjemcov údajov. Firma musí spotrebiteľa v odpovedi takisto poučiť o jeho práve požadovať opravu, vymazanie, obmedzenie spracúvania údajov či o práve podať návrh na začatie konania na Úrade na ochranu osobných údajov.

Hoci podobné práva mali spotrebitelia aj doteraz, GDPR kladie dôraz na ich skutočné informovanie. Podľa Pavla Nechalu, advokáta a partnera advokátskej kancelárie Nechala & Co. spotrebitelia vďaka tomu budú po novom viac využívať tieto možnosti. „Ak uvažujeme o rizikách z pohľadu prevádzkovateľov, tak toto považujem za ešte väčšie riziko, ako sú 20-miliónové pokuty za nedodržiavanie GDPR. Dotknuté osoby budú prevádzkovateľov konfrontovať a môžu iniciovať aj konanie na Úrade na ochranu osobných údajov. Rovnako si budú môcť uplatňovať vzniknutú škodu súdnou cestou. Aj toto je dôvod, prečo sa firmy nemôžu len nečinne prizerať a spoliehať sa na to, že sa ich nové opatrenia nedotýkajú,“ upozorňuje Pavel Nechala, ktorý s TÜV SÜD Slovakia spolupracuje na odborných školeniach o GDPR pre manažment a zamestnancov.   

Za vybavovanie zjavne neopodstatnených, opakujúcich sa žiadosti si môžu firmy účtovať administratívne poplatky alebo odmietnuť konať. Prípadný poplatok musí byť primeraný a zodpovedať nákladom. Advokát Nechala je v tomto smere optimistom: „Aj administrácia spojená so spoplatnením je samostatný náklad, takže to neočakávam. Skôr budú firmy hľadať alternatívne spôsoby na sprístupňovanie informácií pasívnym spôsobom. Aby si ich dotknuté osoby mohli pozrieť automaticky, čo už dnes niektoré spoločnosti využívajú.“

Dodržiavanie práva na prístup k osobným údajom môže byť podľa odborníkov pre niektoré firmy náročné. Vyžiada si totiž zásahy do informačných systémov, keďže dnes takéto funkcionality bežne neobsahujú.

Právo na výmaz osobných údajov / právo na „online zabudnutie“ 

Právo na výmaz existuje v istých formách aj dnes, no GDPR mu dáva jasnejšie kontúry. Spotrebitelia majú právo na to, aby boli ich údaje vymazané, zlikvidované a prestali sa spracúvať. Právo samozrejme nebude uplatniteľné plošne a vždy. Prevádzkovateľ žiadosti o výmaz musí vyhovieť, ak sa napríklad naplnil účel ich spracovania; spotrebiteľ odvolá súhlas alebo namieta spracovanie; či údaje sa spracúvajú nezákonne.

Ak však existuje nejaký zákonný dôvod na to, aby prevádzkovateľ aj naďalej spracúval údaje, musí to spotrebiteľ strpieť. Medzi zákonné dôvody patrí účel archivácie, štatistický účel, verejný záujem či právny nárok. Povinnosť mazať údaje si musí priebežne sledovať aj samotný prevádzkovateľ. Ak ich medzitým niekde zverejnil, musí prijať primerané opatrenia a informovať o povinnosti vymazania aj ďalších prevádzkovateľov, ktorí tieto údaje prevzali.

Právo namietať spracovanie osobných údajov na marketing 

Spotrebitelia podľa GDPR môžu kedykoľvek namietať proti spracúvaniu ich osobných údajov. Ak prevádzkovateľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré budú prevažovať nad záujmami, právami a slobodami spotrebiteľa, nesmie jeho údaje ďalej spracúvať.

Obzvlášť jednoznačnú formuláciu prináša GDPR v oblasti priameho marketingu. „Právo namietať priamy marketing nestanovuje žiadne ďalšie podmienky, teda dotknutá osoba nepreukazuje dôvod alebo inú podmienku pre uplatnenie tohto práva. Vo väzbe na priamy marketing majú dotknuté osoby právo namietať už podľa súčasnej právnej úpravy. Zmenia sa však  požiadavky kladené na prevádzkovateľov a sankcie, ktoré sa na ich nesplnenie viažu. Predpokladáme, že v súvislosti s väčšou znalosťou a vznikom organizácii reprezentujúcich dotknuté osoby bude stúpať aj počet prípadov osôb brániacich sa novými nástrojmi, ktoré poskytuje GDPR. Napomáha tomu aj výslovná povinnosť informovať dotknuté osoby jasne a oddeliteľne o práve namietať spracúvanie na účely priameho marketingu. To, či to povedia aj k zníženiu reklamného spamu si netrúfame predikovať,“ komentoval Pavel Nechala.

Oznamovanie únikov 

Ak prevádzkovateľ spracúvajúci osobné údaje príde na porušenie ich ochrany, ktoré môže predstavovať riziko pre dotknuté osoby, musí o tom podľa GDPR informovať Úrad na ochranu osobných údajov do 72 hodín od zistenia úniku. V oznámení musí odhadnúť počet poškodených, opísať povahu úniku, jeho pravdepodobné následky a prijať nápravné opatrenia na zmiernenie dopadov. „Za opatrenia sa považuje najmä dostatočné šifrovanie údajov,“ vysvetľuje audítor TÜV SÜD Slovakia Igor Straka. Ak únik údajov predstavuje podľa posúdenia prevádzkovateľa vysoké riziko pre poškodené osoby, musí prevádzkovateľ informovať aj tieto osoby. Oznámenie by mal naformulovať jednoducho. „Za vysoké riziko pre práva dotknutých osôb sa dá považovať únik takých údajov, ktoré môžu hackeri zneužiť na vlastné obohatenie sa, vydieranie, na páchanie inej trestnej činnosti a podobne. Sú nimi napríklad zdravotné záznamy, čísla občianskych preukazov, čísla kreditných kariet, prístupové heslá do rôznych aplikácií a podobne,“ myslí si I. Straka. Ak sa únik údajov týka veľkého množstva ľudí, môže prevádzkovateľ namiesto individuálneho informovania zvoliť informovanie verejnosti.

Audítorka TÜV SÜD Slovakia Katarína Heiserová očakáva, že pre firmy bude náročné splniť si povinnosti súvisiace s nahlasovaním únikov údajov. Kľúčové podľa K. Heiserovej bude nájsť vhodnú formu, respektíve postup na zisťovanie incidentov v reálnom čase. Incidenty, ktoré bude potrebné oznámiť, budú zahŕňať takmer každé porušenie, bez ohľadu či sa jedná o veľkú spoločnosť alebo o malý či stredný podnik. Spoločnosti po máji 2018 nebudú môcť riešiť únik dát iba interne. „Povinnosť sa nebude vzťahovať iba na zásadné porušenia, ako napríklad strata či únik údajov alebo krádež identity, ale bude zahŕňať takmer každé porušenie osobných údajov. Napríklad aj výmenu obálok určených pre dve rôzne osoby bankou alebo prístup neoprávnenou osobou k databáze obsahujúcej osobné údaje. Ibaže by bolo preukázané, že je nepravdepodobné, že incident spôsobí riziko pre práva a slobody jednotlivcov, ktorých sa týka,“ ozrejmuje K. Heiserová.

Značky: