Náš domovský Úrad na ochranu osobných údajov SR vypracoval a zverejnil zoznam spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov podľa čl. 35 ods. 4 GDPR. Stalo sa to cca pred mesiacom a v prípade, že vám táto informácia unikla, odporúčame tento zoznam do pozornosti. Jedná sa o také spracúvanie, ktoré automaticky znamená povinnosť prevádzkovateľa vykonanie posúdenia vplyvu na ochranu osobných údajov. Z celkovo 13 bodov určite neprehliadnite monitoring práce zamestnanca, profilovanie či biometriu.

Ohľadom spracúvania osobných údajov pri príležitosti volieb do Európskeho parlamentu, ale aj iných volieb sa vyjadril Európsky výbor pre ochranu údajov vo svojom Vyhlásení 2/2019 o používaní osobných údajov v priebehu politických kampaní.

„Politické strany, politické koalície a kandidáti sa čoraz viac spoliehajú na osobné údaje a sofistikované techniky profilovania s cieľom monitorovať voličov a mienkotvorcov a zamerať sa na ne. V praxi jednotlivci dostávajú vysoko personalizované správy a informácie, najmä na platformách sociálnych médií, na základe osobných záujmov, životných návykov a hodnôt.“

Hlavným odkazom EDPB je to, že:

  1. informácie o politických preferenciách sú proste citlivými údajmi a prevádzkovateľ potrebuje explicitný, špecifický, plne informovaný a slobodne udelený súhlas;
  2. všetko čo zdieľajú voliči na sociálnych sieťach je chránené podľa GDPR;
  3. dodržiavanie zásad spracúvania je nevyhnutnosť (v EDPB vypichli najmä zákonnosť, spravodlivosť a transparentnosť);
  4. automatizované rozhodovanie a profilovanie je prípustné iba s výslovným súhlasom dotknutej osoby;
  5. voliči musia vedieť prečo prijímajú konkrétnu správu, kto je za jej odoslanie zodpovedný a ako môžu vykonávať svoje práva dotknutých osôb.

Súdne rozhodnutie z Nemecka prinieslo pár zaujímavých poznatkov o monitorovaní firemných automobilov podľa GDPR: (a) musí na to existovať sakramentsky dobrý dôvod (nehovoriac o permanentnom monitorovaní aj počas privátnej prevádzky), (b) ukladanie dát nesmie presiahnuť 150 dní, monitorovanie musí byť deaktivovateľné a musí existovať možnosť vidieť iba autá bez identifikácie šoférov, (c) súhlas nemusí byť dostatočným právnym základom.

Máte doma reproduktor Echo od Amazonu? Virtuálny asistent Alexa nemusí byť jediný, kto vás počúva. Podľa informácií Bloombergu zamestnáva Amazon tisíce zamestnancov, ktorí počúvajú nahrávky z Echa 9 hodín denne. O tomto projekte museli podpísať dohodu o mlčanlivosti, napriek tomu dvaja z nich povedali reportérom, že počuli niečo čo identifikovali ako sexuálne násilie.

757 rodných čísel, 10,5 tisíc e-mailových príloh, 32,2 tisíc telefónnych čísel, 4,7 tisíc zmlúv a faktúr, 79 výplatných pások a takmer 1,4 tisíc hesiel. Taký smutný bol výsledok analýzy 15 tisíc súborov na známom úložisku Ulož.to zrealizovaný bezpečnostnou spoločnosťou SODAT. Zdá sa, že vo viacerých firmách si účinnosť GDPR nevšimli.

Podľa prieskumu globálnej právnickej firmy DLA Piper bolo od nadobudnutia účinnosti GDPR 25. mája 2018 v celom Európskom hospodárskom priestore zaznamenaných viac ako 59 000 oznámení o porušení ochrany osobných údajov. Zo zverejneného prieskumu vyplýva, že pomyselný rebríček vedú Holandsko, Nemecko a Spojené kráľovstvo. Z koláča si ukrojili po 15 400, 12 600 a 10 600 hlásených porušení.Na chvoste skončili Lichtenštajnsko, Island a Cyprus s 15, 25 a 35 prípadmi nahlásených porušení.

Stav u nás doma však z prieskumu nezistíme. Slovensko nebolo spolu s Bulharskom, Chrovátskom, Estónskom a Lotyšskom do prieskumu zaradené, keďže informácie o nahlásených porušeniach nie sú verejne dostupné. Z našich susedov vedú poliaci s 2200 hláseniami, potom Rakúsko s číslom 590, Česko s 290 a Maďarsko 270.

Pokút však podľa prieskumu bolo len 91. Prvú priečku okupuje Google, ktorý dostal vo Francúzsku pokutu 50 miliónov EUR.