Autori: Štěpán Štarha, Róbert Gašparovič, Martina Rievajová
Pri príležitosti 5. roku s GDPR, v rámci ktorého sa ochrane osobných údajov dostalo zásadne vyššej miere pozornosti aj vďaka rekordným pokutám uloženým nielen v západnej Európe, ale aj u českých susedov, sme pripravili aktuálny prehľad 5 rizikových oblastí podľa správy o stave ochrany osobných údajov na Slovensku.
Za rok 2022 bolo ÚOOÚ nahlásených 122 prípadov porušenia ochrany osobných údajov. Najvyšší počet bezpečnostných incidentov sa týkal kybernetických útokov. ÚOOÚ v tejto súvislosti upozornil, že často ohlasovatelia, spravidla prevádzkovatelia osobných údajov, hlásia kybernetický útok len NBÚ. NBÚ však v tejto oblasti nepredstavuje jednotný kontaktný bod a nepostupuje hlásenia ÚOOÚ. Ak kybernetický útok zasiahne osobné údaje, je potrebné incident hlásiť aj na ÚOOÚ, v opačnom príde môže dôjsť k porušeniu ochrany osobných údajov. Mnohí podnikatelia preto práve v tomto bode vyhľadajú spoľahlivé právne poradenstvo, aby oznámenie o porušení ochrany osobných údajov obsahovalo všetko potrebné. ÚOOÚ pritom odporúča využiť ohlasovací formulár na svojej webovej stránke.
ÚOOÚ vykonal minulý rok 72 kontrol a primárne kontroloval právnické osoby vrátane orgánov verejnej správy. V 40 % všetkých kontrol bolo preverované spracúvanie osobných údajov pri monitorovaní priestorov kamerovými systémami. Najčastejším pochybeniam v tejto oblasti sme sa venovali aj v tomto článku. ÚOOÚ najčastejšie konštatoval nedodržanie zásad spracúvania osobných údajov (napr. boli spracúvané iné ako nevyhnutné osobné údaje) či porušenie informačnej povinnosti voči dotknutým osobám. Keďže je práve CCTV monitorovanie častým cieľom kontroly ÚOOÚ, je potrebné venovať patričnú pozornosť správne nastavenej GDPR dokumentácii už pred jeho spustením.
V Správe ÚOOÚ pripomenul, že v prípade, ak sa prevádzkovateľ chystá vykonávať spracúvanie osobných údajov zahrnuté v zozname spracovateľských operácii podliehajúcich posúdenia vplyvu na ochranu osobných údajov na webstránke ÚOOÚ, je nevyhnutné, aby pripravil posúdenie vplyvu na ochranu osobných údajov v zmysle GDPR. V prípadoch, v ktorých má prevádzkovateľ záujem spracúvať osobné údaje v rámci svojho oprávneného záujmu (napr. spracúvanie údajov o svojich zákazníkov na účely zasielania komerčnej komunikácie) je potrebné, aby mal prevádzkovateľ riadne vypracovaný balančný test.
Príkladom môže byť kontrola ÚOOÚ u prevádzkovateľa e-shopu, ktorý spracúval údaje o návštevníkoch e-shopu na základe svojho záujmu personalizovať e-shop. Prevádzkovateľ však nemal vypracovaný balančný test, za čo mu ÚOOÚ, spolu s ďalším porušením, udelil pokutu. Práve vypracovanie balančného testu býva, podľa našich skúseností, tvrdým orieškom pre mnohých podnikateľov. Úrad však tento dokument pravidelne vyžaduje pri svojich kontrolách, oplatí sa preto jeho prípravu zveriť do rúk odborníka.
Za uplynulý rok ÚOOÚ uložil 52 pokút v súhrnnej výške 60.600 EUR. Celkovo ÚOOÚ vyzbieral na pokutách 106.448,70 EUR, do čoho sa započítavajú aj poriadkové pokuty uložené v prípade nesúčinnosti kontrolovanej osoby. Osobitne ÚOOÚ upozornil, že častým dôvodom ukladania pokút bolo nedostatočné vybavenie žiadostí dotknutých osôb. V takomto prípade, a to vrátane iných porušení, ÚOOÚ uložil prevádzkovateľovi pokutu vo výške 6.500 EUR.
Aj keď na Slovensku sa ÚOOÚ pri ukladaní pokút zatiaľ pridržiava pri spodných hraniciach, v zahraničí je celkom zrejmý trend poukazovať na dôležitosť ochrany osobných údajov aj razantným zvyšovaním ukladaných pokút. Napríklad len pred pár dňami bola spoločnosti Meta Platforms uložená pokuta vo výške 1,2 mld. EUR. Podobným trendom sa inšpirovala aj Česká republika, v ktorej bola len nedávno uložená technologickej spoločnosti rekordná pokuta za porušenie ochrany osobných údajov v desiatkach miliónov EUR. Je možné preto očakávať, že aj ÚOOÚ sa začne uberať nástoleným smerom.
ÚOOÚ tiež pripomenul, že spolu s Úradom na reguláciu elektronických komunikácií a poštových služieb pripravili aktualizované výkladové stanovisko k získavaniu súhlasu so zberom cookies na webových stránkach. V praxi sa však aj naďalej často stretávame s nastavením cookies v rozpore so stanoviskom.
Podľa Plánu kontrol ÚOOÚ pre rok 2023 sa ÚOOÚ plánuje, okrem iného, zamerať na kontrolu spracovateľských operácií zamestnávateľov, kontroly sa tak s veľkou pravdepodobnosťou môžu týkať aj vašich spoločností. Za posledných 5 rokov sa teória aj prax ochrany osobných údajov značne vyvinula a doplnila desiatkami stanovísk EDPB, pokynmi ÚOOÚ, či početnou rozhodovacou praxou súdov a úradov. Nastavené procesy a súvisiaca dokumentácia, ktorú máte vypracovanú tak už nemusia byť aktuálne a po 5-tich rokoch od účinnosti GDPR je najvyšší čas ich opäť revidovať a aktualizovať. V článku sme sa venovali len vybraným rizikovým oblastiam ochrany osobných údajov pre podnikateľov, na ktoré poukázala správa ÚOOÚ. Celkovo však badať zvýšenú pozornosť a záujem o túto oblasť, čo sa prejavuje aj zvýšenými pokutami. Je preto potrebné zvýšiť opatrnosť a vydať sa smerom správnych a preventívnych riešení. So zabezpečovaním súladu spracúvania osobných údajov s GDPR a praxou úradov, súdov a najnovšími usmerneniami, vrátane požiadaviek zameraných na zamestnávateľov, máme bohaté skúsenosti. Budeme radi, keď sa na nás budete obracať aj v ďalšom roku účinnosti GDPR.
