Ochrana osobných údajov - služby pre prevádzkovateľov informačných systémov


Najčastejšie diskutované otázky a odpovede
k Nariadeniu GDPR


Odpovede sú pre zrozumiteľnosť zjednodušené a zodpovedajú väčšine prevádzkových podmienok u komerčných subjektov. Napriek tomu je niekedy potrebné zohľadniť špecifické postavenie prevádzkovateľa alebo špecifické prevádzkové podmienky a odpovede prispôsobiť.



Otázka: Kedy je prevádzkovateľ povinný vymenovať zodpovednú osobu za dohľad?
Odpoveď: Povinnosť prevádzkovateľov vymenovať zodpovednú osobu za dohľad nad ochranou osobných údajov sa viaže na dva typy kritérií: podľa postavenia prevádzkovateľa a podľa údajov, ktoré spracúva. Povinnosť vymenovať zodpovednú osobu za dohľad majú všetky orgány verejnej moci a všetky verejnoprávne inštitúcie. Okrem nich majú túto povinnosť tí prevádzkovatelia, ktorí spracúvajú osobné údaje vo veľkom rozsahu.
Zdroj: čl. 37 Nariadenia GDPR.
Poznámka: Viď tiež otázku Čo znamená "vo veľkom rozsahu"


Otázka: Čo znamená "vo veľkom rozsahu"? Kto musí vymenovať zodpovednú osobu za dohľad kvôli monitorovaniu dotknutých osôb?
Odpoveď: Pri posudzovaní rozsahu sa musia uplatniť kritériá:
*    počet dotknutých osôb – či už vymedzený ako konkrétne číslo alebo pomerom k príslušnému obyvateľstvu,
*    objem údajov/ alebo rozsah rôznych položiek údajov, ktoré sa spracúvajú,
*    trvanie, alebo stálosť (trvácnosť) spracovateľskej činnosti,
*    geografický rozsah.
     Ako odpoveď môžu slúžiť aj konkrétne prípady spracúvania "vo veľkom rozsahu":
*    spracúvanie osobných údajov pacientov v rámci bežnej činnosti nemocnice
*    spracúvanie cestovných údajov jednotlivcov využívajúcich mestskú hromadnú (napr. sledovanie cez karty na využívanie hromadnej dopravy)
*    spracúvanie geolokalizačných údajov zákazníkov medzinárodných sietí
*    spracúvanie osobných údajov zákazníkov v rámci bežnej činnosti poisťovacej spoločnosti alebo banky
*    spracovanie osobných údajov internetovým vyhľadávačom na účely cielenej (behaviorálnej) reklamy
*    spracovanie údajov (obsahu, prevádzkových a lokalizačných údajov) poskytovateľmi telefónnych a internetových služieb
Zdroj: čl. 2.1.3 stanoviska WP243 Pracovnej skupiny Európskej komisie WP29.
Poznámka: Ako príklady pravidelného a systematického monitorovania sa v citovanom materiáli uvádzajú napríklad spravovanie telekomunikačnej siete, poskytovanie telekomunikačných služieb, sledovanie polohy, smart autá a podobne.


Otázka: Kedy je prevádzkovateľ povinný registrovať informačný systém?
Odpoveď: Registračná povinnosť je zrušená.
Zdroj: Recitál 89 preambuly Nariadenia GDPR.
Poznámka: Vzťah k minulým registráciám a oznámeniam informačných systémov nie je riešený.


Otázka: Je prevádzkovateľ povinný viesť evidenciu informačných systémov?
Odpoveď: Každý prevádzkovateľ je povinný viesť záznamy o spracovateľských činnostiach. Ich obsah je podobný ako obsah evidenčných listov, "záznamy" naviac obsahujú informáciu o retenčných lehotách skupín osobných údajov a o zodpovednej osobe, ak je vymenovaná.
Zdroj: čl. 30 Nariadenia GDPR; čl. 3.4 stanoviska WP239 Pracovnej skupiny Európskej komisie WP29.
Poznámka: Aj keď v oficiálnom názve "záznamov" sú činnosti, ide o popis procesov a nie individuálnych operáciíí spracúvania.


Otázka: Je prevádzkovateľ povinný vypracovať bezpečnostný projekt?
Odpoveď: Bezpečnostný projekt ako obsahovo presne vymedzený dokument, postavený na analýze rizík, končí účinnosťou Nariadenia GDPR. Zjednodušene možno povedať, že ho nahrádza "Posúdenie vplyvu operácií spracúvania na ochranu osobných údajov". Toto posúdenie nie je a priori povinné; vzťahuje sa iba na prípady, keď spracúvanie pravdepodobne povedie k vysokému riziku. Ak prevádzkovateľ vymenoval zodpovednú osobu za dohľad, je kompetentná dať v tejto veci stanovisko a prevádzkovateľ je povinný sa s ňou poradiť. Niektoré prípady, kedy má prevádzkovateľ jednoznačne povinnosť vypracovať "Posúdenie", sú uvedené priamo v príslušnom ustanovení Nariadenia GDPR.
Zdroj: čl. 35 Nariadenia GDPR.
Poznámka: Vo všeobecnosti možno skonštatovať, že povinnosť vypracovať "Posúdenie" sa nebude vzťahovať na mnohých prevádzkovateľov, ktorí museli mať vypracovaný bezpečnostný projekt.


Otázka: Kedy má prevádzkovateľ povinnosť informovať dotknutú osobu o spracúvaní osobných údajov a kedy nie?
Odpoveď: Prevádzkovateľ je povinný informovať dotknutú osobu pri získavaní osobných údajov alebo dodatočne vo všetkých procesoch spracúvania. Podstatnou zmenou je, že končí vynímka určená zákonom 84/2014, podľa ktorej nebola povinnosť informovať dotknutú osobu o spracúvaní osobných údajov podľa osobitných zákonov.
Zdroj: čl. 13 a 14 Nariadenia GDPR.
Poznámka: Spôsob informácie sa líši podľa toho, či prevádzkovateľ získava osobné údaje od dotknutej osoby alebo nie. Ak nie, môže dotknutú osobu informovať niektorým z náhradných spôsobov, napríklad zverejnením.


Otázka: Je potrebný súhlas dotknutej osoby pre spracúvanie osobných údajov na účely marketingu?
Odpoveď: Súhlas so spracúvaním osobných údajov nie je potrebný, spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem prevádzkovateľa. Je ale potrebný súhlas so zasielaním marketingových informácií elektronickými komunikáciami.
Zdroj: Preambula Nariadenia GDPR, recitál č. 47; Čl. 16 ods. 1 Nariadenia o rešpektovaní súkromného života a ochrane osobných údajov v elektronických
komunikáciách; § 62 zákona č. 351/2011 Z. z. o elektronických komunikáciách.
Poznámka: Súhlas príjemcu elektronickej pošty sa nevyžaduje, ak ide o priamy marketing vlastných podobných tovarov a služieb osoby, ktorého kontaktné informácie na doručenie elektronickej pošty tá istá osoba získala v súvislosti s predajom tovaru alebo služieb.


Otázka: Ako sa zmenili podmienky spracúvania osobných údajov na základe osobitného zákona?
Odpoveď: Nariadenie GDPR rozlišuje, či ide o spracúvanie osobných údajov na základe zákonnej povinnosti alebo na základe zákonného práva. Právnym základom je pri spracúvaní na základe zákonného práva prevádzkovateľa jeho oprávnený záujem. Pre spracúvanie osobných údajov na základe zákona (či už ide o zákonné právo alebo povinnosť) sa už nevyžaduje, aby zákon určoval zoznam alebo rozsah spracúvaných údajov.
Zdroj: čl. 6 Nariadenia GDPR.
Poznámka: Rozsah spracúvaných údajov vždy musí zodpovedať objektívnym požiadavkám na dosažiteľnosť účelu; nie je povolené spracúvať osobné údaje, ktoré nie sú potrebné na dosiahnutie účelu spracúvania.


Otázka: Sú identifikačné údaje živnostníkov osobnými údajmi?
Odpoveď: Áno. Nariadenie GDPR nerozlišuje medzi fyzickými osobami a fyzickými osobami - podnikateľmi. Rovnako stanoviská Pracovnej skupiny Európskej komisie WP29 nerozlišujú medzi fyzickými osobami a fyzickými osobami - podnikateľmi.
Zdroj: čl. 4 ods. 1 Nariadenia GDPR.
Poznámka: Doteraz sa uplatňovalo Metodické usmernenie č. 1/2013, ktoré určovalo, že údaje identifikujúce fyzickú osobu - podnikateľa, nie sú osobnými údajmi. Popísaná zmena bude mať za následok predovšetkým povinnosť popísať procesy, v ktorých sa spracúvajú údaje aj iných fyzických osôb ako spotrebiteľov.


Otázka: Môže zamestnávateľ kontrolovať elektronickú poštu zamestnancov?
Odpoveď: Zamestnávateľ môže kontrolovať svojich zamestnancov, ak ich vopred informuje o kontrolnom mechanizme, ktorý naviac musí prerokovať so zástupcami zamestnancov. Takouto kontrolou môže byť aj kontrola elektronickej pošty zamestnancov.
Zdroj
: § 13 Zákonníka práce; čl. 1 stanoviska WP249 Pracovnej skupiny Európskej komisie WP29.
Poznámka: Zamestnávateľ môže podobne kontrolovať zamestnancov napríklad kamerami, lokalizačnými systémami GPS, nahrávaním telefonických hovorov, zaznamenávaním ich aktivít v automatizovanom spracúvaní a podobne.


Otázka: Ako sa mení povinnosť dotknutej osoby poskytovať citlivé údaje prevádzkovateľom, napríklad bankám? Ako sa mení ich právo kopírovať doklady s osobnými údajmi?
Odpoveď: Povinnosť dotknutej osoby poskytovať citlivé údaje prevádzkovateľom ani právo niektorých prevádzkovateľov kopírovať doklady s osobnými údajmi sa nemení. Tieto práva a povinnosti sú upravené osobitnými zákonmi.
Zdroj: čl. 6 ods. 1 písm. c/ Nariadenia GDPR.
Poznámka: Z pohľadu bánk nejde o zákonné právo, ale o zákonnú povinnosť spracúvať tieto údaje. Táto povinnosť vyplýva z ich osobitného postavenia pri zisťovaní a dokazovaní legalizácie príjmov z trestnej činnosti.


Otázka: Čo má prevádzkovateľ urobiť, ak si dotknutá osoba uplatní právo na výmaz údajov v elektronickej forme?
Odpoveď: Povinnosť prevádzkovateľa závisí od toho, kedy sa táto požiadavka uplatní. Ak sa uplatní počas úložnej lehoty, v čase, kedy prevádzkovateľ má zákonnú povinnosť spracúvať údaje alebo potrebuje ich spracúvať, aby nimi preukázal svoje práva alebo oprávnené záujmy, môže odmietnuť žiadosť o výmaz. V ostatných prípadoch musí vyhovieť žiadateľovi a dáta v elektronickej forme vymazať.
Zdroj: čl. 17 ods. 3 písm. b/, e/ Nariadenia GDPR.
Poznámky:
*    Zákonnou povinnosťou môže byť napríklad povinnosť spracúvať dáta po dobu určenú daňovými zákonmi.
*    Spracúvanie pre potreby preukazovania práv alebo oprávnených záujmov je spravidla obmedzené premlčacími lehotami.
*    Vymazávanie údajov v listinnej forme sa riadi zložitejšou úpravou, uplatňuje sa aj účel archivácie (zákaz výmazu archiválií) a podobne.


Otázka: Kedy môžem spracúvať osobné údaje na cloude?
Odpoveď: Keď poskytovateľ cloudových služieb dokáže zagarantovať bezpečnosť spracúvaných údajov a keď je možné s ním uzavrieť písomnú zmluvu s potrebnými náležitosťami. Prakticky týmto požiadavkám vyhovujú iba cloudové virtuálne servre, poskytované lokálnymi dodávateľmi. Dodávatelia, ktorí neuzatvárajú písomné zmluvy (alebo ich elektronické ekvivalenty), nemôžu spracúvať osobné údaje v mene inej osoby (ako sprostredkovateľ).
Zdroj: čl. 28 ods. 3 Nariadenia GDPR.
Poznámka: Ak poskytovateľ cloudových služieb nemá možnosť prístupu k spracúvaným údajom, nie je v pozícii sprostredkovateľa. Takýmto prípadom je napríklad používanie cloudového úložiska v spojení so šifrovaním, keď šifrovacie kľúče má zákazník (nie poskytovateľ cloudových služieb).


Otázka: Kto má právo na prenosnosť údajov?
Odpoveď: Právo na prenosnosť údajov má každá fyzická osoba, ktorej osobné údaje sa spracúvajú automatizovane a ktorá buď dala súhlas na spracúvanie osobných údajov alebo je zmluvným partnerom prevádzkovateľa.
Zdroj: čl. 20 Nariadenia GDPR.
Poznámka: Citované ustanovenie má zjavne opodstatnenie napríklad pri zmene poskytovateľa telekomunikačných služieb (prechod od jedného operátora k druhému) alebo poistenia. Neuvádza ale výslovne, že musí ísť o fyzickú osobu, ktorá je spotrebiteľom alebo aspoň zákazníkom prevádzkovateľa. Preto sa (bez rozumného dôvodu) vzťahuje aj na fyzické osoby, ktoré sú dodávateľmi, teda na samostatne zárobkovo činné osoby.


Otázka: V akom formáte sa poskytujú údaje pre prenos k inému prevádzkovateľovi?
Odpoveď: Formát údajov n aúčel prenositeľnosti nie je určený, vyžaduje sa iba "strojová čitateľnosť". Z praxe a z technických požiadaviek vyplýva, že najvhodnejší je zrejme formát xml.
Zdroj: čl. 20 Nariadenia GDPR.
Poznámka: Podobne ako nie je záväzne určený formát, nie sú určené ani dátové štruktúry pre jednotlivé účely spracúvania. V konečnom dôsledku je povinnosť podporovať prenos údajov neaplikovateľná alebo prinajmenšom nie je aplikovateľná efektívne.


Otázka: Je prevádzkovateľ povinný uchovávať logy (auditné záznamy) aktivít používateľov?
Odpoveď: Táto povinnosť sa týka iba spracúvania osobných údajov pri plnení úloh na účely trestného konania. Netýka sa teda bežných prevádzkovateľov.
Zdroj: § 73 pripravovaného zákona o ochrane osobných údajov, ktorý má byť účinný od 25.5.2018
Poznámka: V praxi je problematická dôkazná sila logov a na základe skúseností je možné predpokladať, že logy nebudú akceptované ako priame dôkazy, keďže nie sú opatrené hodnoverným elektronickým podpisom.


Otázka: Je IP adresa osobný údaj?
Odpoveď: IP adresa väčšinou nie je osobným údajom, pretože z jednej IP adresy sa môže do siete prihlasovať viacero používateľov, nie je teda možné jednoznačne identifikovať pripojenú osobu. Okrem toho je náročné pri dynamickom prideľovaní IP adries jednoznačne dokázať, kedy bola ktorá IP adresa pridelená používateľovi (informácia je v metadátach poskytovateľa, ktoré môžu a nemusia byť považované za dostatočne hodnoverné, najmä pre potreby dokazovania).
Zdroj: čl. 4 ods. 1 Nariadenia GDPR.
Poznámka: Na druhej strane, nie je možné vylúčiť - napríklad pri pevne pridelenej IP adrese a nemožnosti prístupu inej osoby - jednoznačnú identifikáciu používateľa prostredníctvom tejto IP adresy.


Otázka: Má prevádzkovateľ povinnosť šifrovať uložené údaje?
Odpoveď: Nie, šifrovanie sa v Nariadení GDPR uvádza ako jedna z viacerých odporúčaných možností, ako chrániť údaje a v žiadnom prípade sa nevzťahuje výslovne na uložené údaje.
Zdroj: čl. 32 ods. 1 písm. a/  Nariadenia GDPR.
Poznámka: Citovanou úpravou sa nič nemení na povinnosti šifrovať citlivé údaje pri prenose po verejných sietiach, ktorá bola upravená už vyhláškou 164/2013.











©2013 - 2017 Ľ. Janoška. Táto stránka je prístupná bez použitia prídavných modulov prehliadačov.
Dizajn: ©2014 Dana Janošková.