Pár slov o aktuálnych GDPR pokutách:

  1. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.
  2. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.

Viac v blogu Pokuty, pokuty, pokuty…

Nový BLOG: Prečítali a zosumarizovali sme pravidlá pre spracúvanie osobných údajov na základe zmluvy s dotknutou osobou, ktoré pripravil Európsky výbor pre ochranu údajov. Veľmi poučné čítanie pre tých čo zbierajú a spracúvajú údaje v súvislosti dodaním tovarov a služieb koncovým zákazníkom. Výbor zodpovedal napríklad aj otázky o marketingu, profilovaní či skvalitňovaní služieb.

EDPB predstavil pravidlá pre spracúvanie údajov na základe zmluvy

Európsky výbor pre ochranu údajov sprístupnil na verejnú debatu text Stanoviska 2/2019 o spracúvaní osobných údajov podľa článku 6 odsek 1 písmeno b) GDPR Zatiaľ je k dispozícii iba v anglickej verzii, ale z celkovo štrnástich strán sme pripravili výpis hlavných myšlienok, ktoré sa najviac dotknú praktického nakladania s osobnými údajmi spracúvanými podľa právneho základu, ktorý ľudovo označujeme ako „zmluvu“.

V prípade tohto právneho základu nepotrebuje prevádzkovateľ súhlas dotknutej osoby . Veľmi zjednodušene povedané, vystačí si aj s textom zmluvy medzi ním a dotknutou osobou. Takéto spracúvanie je samozrejme limitované tak rozsahom údajov potrebnými na plnenie zmluvy ako aj samotným použitím dát, ktorým je samotné plnenie zmluvy a úkony s ním priamo súvisiace. Činnosti presahujúce zmluvný rámec je nutné legitimizovať iným právnym základom, ktorým môže byť napríklad súhlas dotknutej osoby, právny predpis určujúci zákonnú povinnosť či oprávnený záujem prevádzkovateľa.

Všeobecné poznámky

  • bez ohľadu na právny základ, každý prevádzkovateľ je viazaný základnými zásadami spracúvania osobných údajov (niektoré si vypichneme v nasledujúcich bodoch);
  • zákonnosť spracúvania stojí a padá na platnosti zmluvy v zmysle záväzkového práva (v prípade detí sa prihliada na spôsobilosť vstupovať do záväzkových vzťahov podľa práva členského štátu);
  • účel musí byť jasne špecifikovaný, pričom vágne frázy typu „zvyšovanie spokojnosti zákazníkov“, „marketingové účely“, IT bezpečnosť“ alebo „budúci výskum“ spravidla neprejdú bez dodatočného upresnenia;
  • pre citlivé údaje uvedené v článku 9 odsek 1 GDPR (rasa, etnický pôvod, politické názory, náboženstvo, zdravotné údaje,…) zmluva ako právny základ nestačí a prevádzkovateľ musí mať výslovný súhlas dotknutej osoby alebo uplatní niektorú z ďalších výnimiek podľa druhého odseku tohto článku;
  • keďže sa bavíme o spracúvaní nevyhnutnom pre plnenie zmluvy alebo zavedenie predzmluvných vzťahov, musí ísť o skutočne objektívnu potrebu (skúška správnosti sa robí otázkou či ako prevádzkovateľ dokážem plniť aj bez týchto údajov);
  • pri posudzovaní objektívnej nevyhnutnosti musí prevádzkovateľ prihliadať aj fundamentálne právo na ochranu súkromia a osobných údajov ako aj možnosti dosiahnuť svoj cieľ menej invazívnym spôsobom;
  • nestačí len spomenúť, že na účely zmluvy sa zbierajú údaje, ale potreba spracúvania údajov musí vyplývať zo praktickej podstaty zmluvného plnenia a objektívnej nutnosti;
  • prevádzkovateľ si musí byť vedomý toho, že bude preukazovať nevyhnutnosť spracúvania vo vzťahu k vzájomne dohodnutému účelu a mal by brať do úvahy rozumové možnosti priemernej dotknutej osoby;

Príklad 1: eshop zbiera údaje o doručovacej adrese pre účely doručenia tovaru, no v prípade osobného odberu je tento údaj zbytočný.

Príklad 2: eshop chce vyskladať profil zákazníka na základe jeho návštev internetovej stránky, no pre účely realizácie samotného predaja tovaru to nevyhnutné nie je (ani keby to výslovne spomenuli v zmluve).

  • spájanie viacerých služieb/zmlúv do balíka a postavenie dotknutej osoby do situácie „buď zober všetko alebo nič“ môže naraziť pri posudzovaní nevyhnutnosti vo vzťahu k individuálnej požiadavke dotknutej osoby (súhlas alebo oprávnený záujem prevádzkovateľ to však môže napraviť);
  • „zmluva“ ako právny základ nezahŕňa automaticky všetky situácie, ktoré pri životnom cykle zmluvného vzťahu môžu vzniknúť, určite však zahŕňa upomienky za zmeškané platby či upozornenia na porušenie zmluvy a s nimi spojené žiadosti o zjednanie nápravy (patrí sem aj zmluvná záruka a s ňou spojené úkony ovplyvňujúce aj dobu uchovávania údajov);
  • po skončení zmluvného vzťahu je rozumné očakávať, že spracúvanie viac nie je nevyhnutné na účely plnenia zmluvy (vo vzťahu k zásadám spracúvania by však výmena právneho základu za iný pôsobila nespravodlivo, s výnimkou existencie platného súhlasu podľa GDPR);
  • skončenie zmluvy je spájané s likvidáciou údajov, avšak nie v prípade existencie zákonnej povinnosti alebo nutnosti spracúvania údajov na preukazovanie, uplatňovanie či obhajovanie právnych nárokov (to už sú ale iné právne základy);
  • skončenie zmluvy nemá vplyv na spracúvanie pre oddelené účely s iným právnym základom, pokiaľ je v súlade s GDPR;

Príklad 3: zmluva skončí a dáta sú zlikvidované, prevádzkovateľ má však naďalej zákonnú povinnosť uchovávať účtovné doklady (dotknutá osoba o tom musí byť informovaná).

  • predzmluvné vzťahy sú samostatná kapitola a účelom spracúvania je práve uzavretie vyššie spomínanej zmluvy na žiadosť dotknutej osoby (sem sa nepočíta ani nevyžiadaná komunikácia ani vstupy tretej osoby);

Príklad 4: tento právny základ je v poriadku pre situáciu, keď dotknutá osoba zadá svoje PSČ na overenie dostupnosti služby v jej oblasti.

Príklad 5: inou situáciou je overenie totožnosti zákazníka v banke, keďže ide o zákonnú povinnosť a teda právnym základom je článok 6 odsek 1 písmeno c) GDPR.

A poďme ešte na konkrétne prípady spracúvania:

  • zvyšovanie spokojnosti zákazníkov – vo väčšine prípadov si so zmluvným právnym základom nevystačíme pre nedostatok nevyhnutnosti vo vzťahu k plneniu zmluvy, siahnúť však možno po súhlase alebo oprávnenom záujme (podmienkou je samozrejme balančný test a zistenie či nad záujmom prevádzkovateľa neprevažujú záujmy alebo základné práva a slobody dotknutej osoby);
  • predchádzanie podvodom – aj v tomto prípade spracúvanie prekračuje medze zmluvného právneho základu, no iná možnosť sa vo všeobecnosti nevylučuje (trebárs súhlas alebo oprávnený záujem);
  • online behaviorálna reklama
    • sledovanie a profilovanie za účelom zobrazovania reklamy sa často používa ako spôsob financovania online služieb, nezmestí sa však do podmienky nevyhnutnosti pre zmluvný vzťah s dotknutou osobou a to bez ohľadu na to, že prevádzka služby stojí a padá na zdrojoch z reklamy,
    • prevádzkovatelia proste musia požiadať o súhlas na používanie cookies (bodka),
    • ani vytváranie cieľových skupín (cez sledovanie a profilovanie jednotlivcov) pre účely zobrazovania reklamy nie je schodné cez zmluvný právny základ (opäť pre nedostatok zmluvnej nevyhnutnosti).
  • personalizácia obsahu – nemusí byť úplne mimo misu zmluvného právneho základu, pokiaľ:
      • vyplýva z povahy poskytovanej služby,
      • je súčasťou zmluvných podmienok,
      • dá sa predpokladať, že ho na základe informácií o službe očakáva aj priemerne zdatný používateľ.

Príklad 6: online služba ponúkajúca zobrazovanie správ z rôznych zdrojov na základe preferencií používateľa si vystačí aj so zmluvou ako právnym základom.

Príklad 7: ak vyhladávač ubytovacích služieb profiluje dotknutú osobu na základe jej výdavkov a na základe toho je upravuje výsledky vyhľadávania, bude potrebovať iný právny základ.

Príklad 8: na zmluvný právny základ sa nemôže spoliehať eshop zobrazujúci personalizovaný obsah podľa toho čo prezerali ostatní zákazníci.

 

Deaktiváciu účtu na Facebooku neznamená nič z pohľadu zberu dát touto sociálnou sieťou. Jediné čo získate je, že vás nebudú vidieť ostatní používatelia. Takéto prekvapenie čakalo na reportéra CNET News. Skutočné zastavenie zberu údajov k existujúcemu účtu a tiež ich likvidáciu tak môžeme očakávať len pri zmazaní FB účtu.

Analýza ukázala prekvapujúce výsledky týkajúce sa bezpečnosti spracúvania osobných údajov poskytovateľmi hotelových služieb. Spoločnosť Symantec preskúmala 1500 hotelových zariadení a zistila, že takmer 70 percent z nich si s ochranou údajov nerobí ťažkú hlavu. A to máme v ešte nedávnej pamäti incident siete Marriot, ktorej hackeri ukradli dáta takmer 383 miliónov hostí.

Náš domovský Úrad na ochranu osobných údajov SR vypracoval a zverejnil zoznam spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov podľa čl. 35 ods. 4 GDPR. Stalo sa to cca pred mesiacom a v prípade, že vám táto informácia unikla, odporúčame tento zoznam do pozornosti. Jedná sa o také spracúvanie, ktoré automaticky znamená povinnosť prevádzkovateľa vykonanie posúdenia vplyvu na ochranu osobných údajov. Z celkovo 13 bodov určite neprehliadnite monitoring práce zamestnanca, profilovanie či biometriu.

Ohľadom spracúvania osobných údajov pri príležitosti volieb do Európskeho parlamentu, ale aj iných volieb sa vyjadril Európsky výbor pre ochranu údajov vo svojom Vyhlásení 2/2019 o používaní osobných údajov v priebehu politických kampaní.

„Politické strany, politické koalície a kandidáti sa čoraz viac spoliehajú na osobné údaje a sofistikované techniky profilovania s cieľom monitorovať voličov a mienkotvorcov a zamerať sa na ne. V praxi jednotlivci dostávajú vysoko personalizované správy a informácie, najmä na platformách sociálnych médií, na základe osobných záujmov, životných návykov a hodnôt.“

Hlavným odkazom EDPB je to, že:

  1. informácie o politických preferenciách sú proste citlivými údajmi a prevádzkovateľ potrebuje explicitný, špecifický, plne informovaný a slobodne udelený súhlas;
  2. všetko čo zdieľajú voliči na sociálnych sieťach je chránené podľa GDPR;
  3. dodržiavanie zásad spracúvania je nevyhnutnosť (v EDPB vypichli najmä zákonnosť, spravodlivosť a transparentnosť);
  4. automatizované rozhodovanie a profilovanie je prípustné iba s výslovným súhlasom dotknutej osoby;
  5. voliči musia vedieť prečo prijímajú konkrétnu správu, kto je za jej odoslanie zodpovedný a ako môžu vykonávať svoje práva dotknutých osôb.