NOVÉ PRAVIDLÁ EÚ O OCHRANE OSOBNÝCH ÚDAJOV VRÁTIA KONTROLU SPÄŤ DO RÚK OBČANOV
Nová právna úprava ochrany osobných údajov v Európskej únii má za cieľ vytvoriť jednotné pravidlá v celej únii, posilniť právnu istotu a podporiť dôveru občanov a podnikov v jednotný digitálny trh. Jasný súhlas na spracúvanie dát, právo byť zabudnutý a tvrdé pokuty pre podniky porušujúce pravidlá sú niektoré z noviniek.
Rekodifikácia obsahuje dva právne predpisy – nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“) a smernicu Európskeho parlamentu a Rady (EÚ) č. 2016/680 o dátach spracúvaných políciou a justičnými autoritami (ďalej len „smernica“). Spolu vytvárajú balík opatrení na ochranu osobných údajov.
Nariadenie nahradí súčasnú smernicu o ochrane osobných údajov z roku 1995, kedy bol internet ešte vo svojich počiatkoch. Súčasná úprava 28-mych rôznych národných právnych predpisov bude nahradená jednotnou úpravou na úrovni EÚ.
Nariadenie má za cieľ posilniť dôveru občanov a poskytnúť vysokú úroveň ochrany ich osobných údajov, bez ohľadu na to, kde a za akých okolností sú ich dáta spracúvané. Nariadenie sa totiž vzťahuje aj na spoločnosti so sídlom mimo EÚ, pokiaľ sa zameriavajú aj na európskych spotrebiteľov. Občanom únie sa tak poskytuje väčšia miera kontroly nad ich vlastnými osobnými údajmi v digitálnom svete smartfónov, sociálnych sietí a internetového bankovníctva. Nariadenie má tiež za cieľ posilniť právnu istotu podnikov pracujúcich s osobnými údajmi svojich klientov, a tým podporiť vývoj a inovácie na jednotnom digitálnom trhu.
Smernica sa vzťahuje na dáta spracúvané políciou a justičnými orgánmi. Cieľom je zaistenie riadnej ochrany osobných údajov obetí, svedkov a podozrivých osôb v trestnom konaní. Harmonizovaná právna úprava v tejto oblasti by mala umožniť jednoduchšiu medzištátnu spoluprácu orgánov činných v trestnom konaní a prokurátorov, ktorá umožňuje efektívnejší boj proti zločinu a terorizmu v Európe.
Nariadenie zavádza nasledovné pravidlá:
Právo byť zabudnutý
„Právo byť zabudnutý“ ustanovené v článku 17 nariadenia znamená, že každý môže žiadať vymazanie svojich osobných údajov pokiaľ nechce, aby boli ďalej spracúvané, a neexistuje legitímny dôvod na ich uchovanie.
Ak osoba požiada internetovú spoločnosť o výmaz svojich osobných údajov, spoločnosť by mala posunúť túto požiadavku akýmkoľvek ďalším firmám, ktorým boli tieto údaje poskytnuté. Napríklad, ak osoba zmaže svoj účet na stránke www.facebook.com, a zároveň uplatní svoje právo byť zabudnutý, Facebook, Inc. by mal posunúť túto požiadavku akýmkoľvek ďalším spoločnostiam, ktorým osobné údaje tejto osoby odovzdal. Takýmito spoločnosťami môžu byť rôzne reklamné a marketingové agentúry, ktoré osobné údaje osoby (vek, pohlavie, dátum narodenia, bydlisko, sexuálnu orientáciu ale aj rôzne osobné preferencie a mnoho ďalších údajov) využívajú na tzv. cielenú reklamu (target advertising).
Lepšia kontrola nad svojimi osobnými údajmi
Dotknutá osoba (t.j. osoba, ktorej osobné údaje sa spracúvajú) bude musieť udeliť tzv. jasný a kladný súhlas (clear and affirmative consent) so spracúvaním svojich údajov, teda bude musieť aktívnym konaním vyjadriť súhlas. Pri zadávaní svojich osobných údajov na stránke napr. e-shopu bude musieť osoba zaškrtnúť pole, kliknúť na tlačidlo, alebo inak jasne vyjadriť svoj súhlas so spracúvaním svojich údajov.[1]
Mlčanie, predškrtnuté polia alebo nekonanie nebude zakladať súhlas so spracúvaním osobných údajov. V budúcnosti by zároveň malo byť rovnako jednoduché vziať súhlas späť.
Nariadenie taktiež zavádza povinnosť pre podniky upovedomiť národné orgány dohľadu nad ochranou osobných údajov o vážnych narušeniach bezpečnosti ich počítačových systémov. V minulosti bolo zaznamenaných viacero takýchto útokov, ktorých následkom bolo zverejnenie obrovského množstva citlivých údajov z účtov používateľov – adresy, e-maily, čísla kreditných kariet vrátane bezpečnostného CVV kódu, rodné čísla, heslá.[2] Nariadenie má za jeden z prvoradých cieľov včasne notifikovať používateľov, aby mohli podniknúť potrebné kroky – napríklad zablokovať kreditnú kartu.
Právo osoby previesť svoje osobné údaje k inému poskytovateľovi služieb
Podľa nových pravidiel, ktokoľvek bude mať právo na „prenosnosť údajov“. Účelom je zjednodušenie prenosu osobných údajov medzi jednotlivými poskytovateľmi služieb, ak o to dotknutá osoba požiada. V praxi to môže znamenať uľahčenie prechodu k inému poskytovateľovi e-mailu bez straty kontaktov a predchádzajúcich e-mailov. Cieľom je nielen zjednodušiť kontrolu osôb nad svojimi údajmi, ale aj stimulovať konkurenciu poskytovateľov služieb na jednotnom digitálnom trhu.
Právo na informácie v zrozumiteľnom a jednoduchom jazyku
Zavedením tohto práva sa má zamedziť uvádzaniu pravidiel ochrany osobných údajov malými, nečitateľnými písmenami. Informácie musia byť odovzdané jasne a zrozumiteľne predtým, ako dotknutá osoba udelí súhlas so spracovaním svojich osobných údajov.
Obmedzenie tzv. profilovania
Nové pravidlá obmedzujú použitie tzv. profilovania (profiling) bez predchádzajúceho súhlasu dotknutej osoby. Profilovanie je technika umožňujúca analyzovať alebo predpovedať výkonnosť v práci, ekonomickú situáciu, polohu, zdravie, osobné preferencie a záľuby na základe automatického spracovania osobných údajov dotknutej osoby.
Podľa novej úpravy by profilovanie bolo umožnené len na základe predchádzajúceho súhlasu osoby v prípade, ak to umožňuje právny poriadok, alebo je takáto činnosť nevyhnutná na splnenie záväzku. Profilovanie nesmie viesť k diskriminácii dotknutej osoby a nesmie byť založené výlučne len na citlivých údajoch (napríklad údaje o rase, politických názoroch, náboženstve, sexuálnej orientácii, genetických alebo biometrických údajoch, administratívnych sankciách alebo podozreniach z porušenia práva).
Profilovanie by tiež nemalo byť založené výlučne len na automatizovanom spracovaní dát a malo by zahŕňať zhodnotenie človekom. Ak po takomto zhodnotení má byť vydané rozhodnutie, toto rozhodnutie by malo byť predvídateľné – príkladom môže byť posúdenie bonity klienta banky pred schválením úveru alebo pôžičky.
Špeciálna ochrana pre deti
Vzhľadom na to, že deti si nie sú často vedomé hrozieb a následkov nesprávneho nakladania so svojimi osobnými údajmi, Európsky parlament vo vzťahu k nim schválil špeciálne ochranné opatrenia. Napríklad budú mať jasnejšie vymedzené pravidlo byť zabudnutí.
Ďalej, deti pod určitou vekovou hranicou budú potrebovať súhlas rodiča alebo iného zákonného zástupcu (parental consent) na zriadenie účtu na sociálnych sieťach ako Facebook, Instagram, Twitter alebo Snapchat. Stanovenie vekovej hranice je ponechané na úvahe zákonodarcov jednotlivých členských štátov, v rozmedzí od 13 do 16 rokov dieťaťa. Flexibilná hranica je výsledkom kompromisu dosiahnutého pri vyjednávaní v Európskom parlamente. Tým je zaistená možnosť štátov ponechať si ich súčasné pravidlá o súhlase zákonného zástupcu v platnosti. Európsky parlament však preferoval stanovenie tejto vekovej hranice na 13 rokov naprieč celou EÚ, tak ako pôvodne navrhovala Európska komisia.
Cieľom špeciálnej úpravy je chrániť deti pred tým, aby boli tlačené do zdieľania svojich osobných údajov bez toho, aby si plne uvedomovali, čo to so sebou obnáša a aké následky takéto konanie môže mať (od kyber-šikany až po zneužívanie). Samozrejme, cieľom nie je obmedziť tínedžerov pri získavaní informácií, poradenstva a vzdelania prostredníctvom internetu. Navyše, deti pod určenou vekovou hranicou nebudú potrebovať súhlas rodičov na využitie poradenských a prevenčných služieb určených priamo pre deti.
Súkromie ako štandard
V budúcnosti budú spoločnosti nútené navrhovať svoje produkty tak, aby bolo čo najmenej osobných údajov zbieraných a spracúvaných. Európsky parlament si od tejto úpravy sľubuje motivovanie podnikov, aby inovovali a vyvíjali nové metódy a technológie týkajúce sa bezpečnosti a ochrany osobných údajov.
Vplyv na podniky
Ako sme už spomínali, nahradenie rôznych národných právnych úprav týkajúcich sa ochrany osobných údajov jedným, spoločným predpisom má za cieľ zjednodušenie a sprehľadnenie pravidiel. Odhadované úspory nákladov sú podľa Európskej komisie na úrovni 2,3 miliardy EUR za rok. Cieľom je taktiež pomôcť malým a stredným podnikateľom so vstupom na jednotný digitálny trh. V mnohých prípadoch sú povinnosti spracovateľov údajov proporčné k veľkosti podniku a/alebo k povahe spracúvaných údajov tak, aby neboli vytvárané neprimerané prekážky pre menšie firmy.
Zámerom je vytvoriť jeden orgán dohľadu, ktorý bude mať jednoduchší dohľad nad tzv. internetovými gigantmi – spoločnosťami so sídlami vo viacerých členských štátoch únie.
Nové pravidlá sa budú vzťahovať na všetky podniky, pokiaľ sa zameriavajú na európskych spotrebiteľov. Neberie sa ohľad na to, či sídlia v členskom štáte EÚ, alebo kdekoľvek inde vo svete. Spoločnosti sídliace mimo EÚ sa tak budú musieť riadiť rovnakými pravidlami, ak ponúkajú svoj tovar a služby v únii.
Vynútenie dodržiavania nových pravidiel
Reforma ochrany osobných údajov zavádza povinnosť pre podniky ustanoviť tzv. správcu ochrany osobných údajov (data protection officer), ak spracúvajú väčšie množstvo citlivých údajov alebo monitorujú správanie veľkého množstva zákazníkov. Spoločnosti, ktorých základnou činnosťou nie je spracovanie osobných údajov, budú vyňaté z tejto povinnosti.
Na náležité vynútenie plnenia povinností v zmysle nariadenia sa zavádza pokuta až do výšky 4 % z celosvetového obratu spoločnosti.
Smernica o prenose údajov pre policajné a súdne účely
Nová smernica o prenose údajov pre policajné a justičné účely nastaví vysoké štandardy ochrany osobných údajov vo vzťahu k ochrane práv a slobôd občanov. Umožní orgánom činným v trestnom konaní v celej Európe pracovať rýchlejšie a efektívnejšie za účelom boja proti závažným zločinom a terorizmu.
Na policajné a súdne orgány sa vzťahujú v zásade rovnaké pravidlá ochrany osobných údajov ako tie, ktoré sú špecifikované v nariadení, s úpravami pre potreby tohto sektoru. Smernica harmonizuje rôzne národné metódy spracúvania osobných údajov pre trestné účely v Európe a po prvýkrát budú stanovené minimálne bezpečnostné štandardy pre prenos údajov v rámci členských štátov. Členské štáty si však môžu vo svojich národných právnych poriadkoch stanoviť vyššiu mieru ochrany takto prenášaných údajov.
Smernica chráni jednotlivcov, ktorých údaje sú spracované pre účely prevencie, vyšetrenia, rozpoznania a stíhania trestných činov. Bezpečnostné opatrenia sa budú vzťahovať na každú osobu, ktorej sa trestné konanie týka, či už na obvineného, svedka alebo poškodeného. Akékoľvek spracúvanie osobných údajov v trestných veciach v EÚ sa musí riadiť princípmi nevyhnutnosti, proporcionality a legality, s potrebnou ochranou práv jednotlivcov. Každého osobné údaje majú byť spracované len zákonne, spravodlivo a iba na vymedzený účel. Dohľad má vykonávať národný orgán pre ochranu osobných údajov (na Slovensku je takýmto orgánom Úrad na ochranu osobných údajov), s dostatočnými právomocami na vynútenie plnenia pravidiel.
Tieto pravidlá budú platné nielen vo vnútri členských štátov, ale aj v rámci celej únie. Rámcové rozhodnutie, ktoré je nahradené novou smernicou, pokrývalo iba medzištátny prenos dát. Smernica upravuje prísne pravidlá pre prenos takýchto osobných údajov do tretích krajín a medzinárodných organizácii, aby bola zaistená náležitá miera ochrany.
Účinnosť
Nariadenie sa začne uplatňovať v členských štátoch dva roky po jeho zverejnení v Oficiálnom vestníku EÚ, t.j. dňa 25.5.2018. Na implementáciu smernice do národných právnych poriadkov majú členské štáty taktiež 2 roky odo dňa jej zverejnenia.
Vzhľadom na to, že Veľká Británia a Írsko majú špeciálne postavenie vo vzťahu k legislatíve týkajúcej sa spravodlivosti a vnútorných vecí, smernica sa bude na tieto štáty vzťahovať len v obmedzenom rozsahu. Tým sa rozumie, že smernica bude mať účinok iba v tých oblastiach, v ktorých sa Veľká Británia a Írsko rozhodli pristúpiť k pravidlám policajnej a justičnej spolupráce. V ostatných oblastiach spravodlivosti a vnútorných vecí smernica nebude pre tieto štáty záväzná. Dánsko má napríklad 6 mesiacov na rozhodnutie, či túto smernicu chce transponovať do svojho národného právneho poriadku, alebo nie.
[1] toto pravidlo v súčasnosti v SR platí v zmysle § 4 ods. 3 písm. d) zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
[2] Armerding, T.: “The 15 worst data security breaches of the 21st Century“, dostupné na stránke: http://www.csoonline.com/article/2130877/data-protection/data-protection-the-15-worst-data-security-breaches-of-the-21st-century.html?page=1
