Tento materiál prináša sumarizáciu:

• historického kontextu ochrany osobných údajov (ďalej len ako „OÚ“);
• zmien vyplývajúcich z nového Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní OÚ a o voľnom pohybe takýchto údajov (ďalej len ako „Nariadenie“ alebo „GDPR“) meniacich v súčasnosti platný zákon č. 122/2013 Z. z. o ochrane OÚ;
• rámcových krokov potrebných pre plné zosúladenie spracovania OÚ s Nariadením.
  
  

Sankcie za porušenie Nariadenia môžu dosiahnuť výšku až 20 mil. € alebo 4% celkového svetového ročného obratu skupiny.
 

Historicky prvým a kľúčovým dokumentom pre ochranu OÚ je Európsky dohovor o ochrane ľudských práv a základných slobôd, prijatý v roku 1950. V dohovore sa uvádzajú dve hlavné práva, ktoré vymedzujú základné hranice ochrany OÚ. Sú to:

• článok 8 – „právo na rešpektovanie rodinného, súkromného života, obydlia a korešpondencie“;
• článok 10 – „sloboda prejavu“.
  
  

Ďalším dokumentom je Dohovor Rady Európy 108 z roku 1981 o ochrane jednotlivcov pri automatizovanom spracovaní OÚ. Ide o prvý právne záväzný medzinárodný dokument v oblasti ochrany OÚ. Jedným z cieľov dohovoru je:

• článok 1 – „rešpektovanie ... práv a základných slobôd, najmä práva na súkromie pri automatizovanom spracovaní osobných údajov“.
  
  

Dôležitým medzinárodným medzníkom v ochrane OÚ bolo prijatie Smernice OECD o ochrane súkromia a cezhraničnom toku OÚ v roku 1980. I keď tento dokument nie je právne záväzným, obsahuje princípy ochrany OÚ, ktoré boli neskôr prevzaté do legislatív mnohých krajín. Tieto princípy boli obsiahnuté aj v neskoršej európskej legislatíve (napr. smernici o ochrane OÚ 95/46/ES).

Viacero krajín prijalo vlastnú legislatívu na ochranu OÚ, prvou krajinou bola nemecká spolková krajina Hesensko, ktorá prijala prvý zákon na ochranu OÚ už v roku 1970. Na Slovensku bol prijatý prvý zákon na základe smernice 95/46/ES v roku 2002.
 

Smernica 95/46/ES o ochrane fyzických osôb pri spracovaní OÚ a voľnom pohybe týchto údajov, prijatá v roku 1995, bola prvým právne záväzným dokumentom prijatým európskym spoločenstvom. Smernica nie je priamo vykonateľná, ale ukladá povinnosť členským krajinám prevziať jej ciele a úpravu do národnej legislatívy. Smernica stanovila základné pojmy a ich definície, zaviedla všeobecné pravidlá týkajúce sa zákonnosti spracúvania OÚ, určila zákonné práva dotknutých osôb a stanovila nezávislé vnútroštátne dozorné orgány. Táto smernica vytvorila aj tzv. pracovnú skupinu podľa článku 29 – WP29, ktorej úlohou je vytvárať metodické usmernenia a odporúčať legislatívne zmeny.

K ďalším európskym dokumentom upravujúcim pravidlá ochrany OÚ patrí:

• ePrivacy smernica (2002/58/ES) týkajúca sa spracovávania OÚ a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách), ktorá stanovuje pravidlá pre priamy marketing a použitie cookies;
• smernica o retencii (2006/24/ES) týkajúca sa uchovávania údajov vytvorených alebo spracovaných v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb alebo verejných komunikačných sietí, ktorej platnosť bola napadnutá na Európskom súdnom dvore pre jej neprimerané zasahovanie do práv a slobôd dotknutých osôb.
   

V apríli 2016 Európsky parlament a Rada (EÚ) prijali tzv. Balík reforiem ochrany OÚ. Reforma obsahuje Nariadenie 2016/679 o ochrane fyzických osôb pri spracúvaní OÚ a o voľnom pohybe takýchto údajov (GDPR) a Smernicu 2016/680/ES o ochrane OÚ pre políciu a orgány činné v trestnom konaní. Dôležitou poznámkou je, že Nariadenie je priamo vykonateľné na celom území EÚ a má prednosť pred lokálnou legislatívou (členské štáty majú za povinnosť zosúladiť lokálnu legislatívu do konca prechodného obdobia).

Reforma bola odštartovaná Európskou komisiou už v januári 2012. Celkovo štyritisíc zmien urobilo z Nariadenia najviac pripomienkovanú právnu úpravu v histórii EÚ. V porovnaní s predchádzajúcou Smernicou 95/46/ES narástol počet článkov Nariadenia z 33 na 91.

Cieľom Nariadenia je:

• zjednotenie právnej úpravy ochrany OÚ v členských štátoch Európskej únie;
• zvýšenie práv dotknutých osôb;
• zjednodušenie pravidiel spracúvania OÚ.
  
  

Nariadenie nadobudlo účinnosť 24. mája 2016 a v jednotlivých členských štátoch sa začne uplatňovať od 25. mája 2018.

Ide o všeobecnú právnu úpravu, teda podliehajú jej všetky komerčné aj nekomerčné činnosti organizácií, pri ktorých dochádza k spracovaniu OÚ, okrem aktivít taxatívne vymenovaných. Právna úprava sa dotýka nielen organizácií so sídlom v členských krajinách EÚ, ale všetkých organizácií, ktoré monitorujú aktivity alebo spracúvajú OÚ rezidentov EÚ.

Právna úprava sa v praxi dotýka najmä dvoch skupín dotknutých osôb – zamestnancov a zákazníkov v maloobchode.

Špecificky sa úprava dotýka oblastí ako napríklad:

• Big Data a Business Intelligence;
• Biometrické, kamerové a prístupové systémy;
• Lokalizačné služby; 
• Marketing, spotrebiteľské súťaže, vernostné programy a pod.;
• Profilovanie a automatizované rozhodovanie;
• Smart metering (vzdialený odpočet odberných miest);
• a ďalšie.
  

Nariadenie prináša nové princípy v oblasti ochrany OÚ:

• Rozsah regulovaných dát – rozšírenia osobitná kategória napr. o genetické údaje;
• Jeden kontinent, jedna úprava – nahradenie národných legislatív;
• Jednotné miesto (one-stop-shop) – jeden dozorný orgán;
• Rovnaké pravidlá pre všetky spoločnosti – bez ohľadu na to, kde sú usadené;
• Úprava súhlasu neplnoletých – veková hranica 13 až 16 rokov (stanoví členský štát);
• Technologická neutralita – pokrok inovácií;
• Pseudoanonymizácia – reverzibilná anonymizácia dát (oddelenie identifikačných údajov);
• Oznamovacia povinnosť – povinnosť ohlásiť regulátorovi porušenie ochrany OÚ;
• Privacy by design – požiadavky ochrany OÚ už počas vývoja resp. na začiatku projektu.

Napriek tomu, že Slovenská republika patrí v regulácii ochrany OÚ k najprísnejším spomedzi členských krajín EÚ, nové Nariadenie obsahuje zmeny, ktoré súčasný právny stav sprísňujú, respektíve zdôrazňujú niektoré už v súčasnosti platné práva dotknutých osôb.

Právo na zabudnutie
Dotknutá osoba má právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie svojich OÚ, ak je splnený niektorý z týchto dôvodov: osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo dotknutá osoba odvolá súhlas a neexistuje iný právny základ.

Právo na prenos
Dotknutá osoba má právo získať OÚ, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi, ak sa spracovávanie zakladá na súhlase alebo na zmluve, a ak sa spracovávanie vykonáva automatizovane.

Profilovanie
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, ako je napríklad automatické vypočítanie výšky zľavy na základe profilu zákazníka alebo zamietnutie online žiadosti o úver alebo elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu.

One-stop-shop
Každý dozorný orgán má prispievať ku konzistentnému výkladu a uplatňovaniu Nariadenia v celej Únii. Dozorný orgán hlavnej, resp. jedinej prevádzkarne, je príslušný konať ako vedúci dozorný orgán pre cezhraničné spracovávanie vykonávané prevádzkovateľom alebo sprostredkovateľom. Z vyššie uvedeného napríklad vyplýva, že kontrolu OOÚ nemusí vykonávať na území SR len slovenský úrad, ale v prípade nadnárodnej korporácie aj nemecký či rakúsky úrad.

Pseudonymizácia dát
Identita dotknutej osoby je uchovávaná len v jednej (centrálnej) databáze a ostatné informačné systémy uchovávajú dáta v anonymizovanej podobe. Ide o reverzibilnú anonymizáciu, pričom ako referencia sa najčastejšie používa bezvýznamový identifikátor, pomocou ktorého je možné opätovne určiť, ku ktorej identite dáta patria. Tento princíp znižuje riziko porušenia dôvernosti OÚ.

Oznámenie resp. zverejnenie bezpečnostných incidentov
V prípade porušenia ochrany OÚ prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od zistenia oznámi incident príslušnému dozornému orgánu s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany OÚ povedie k riziku pre práva a slobody fyzických osôb. Ak môže incident viesť k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany OÚ aj dotknutej osobe.

Účinné, primerané a odrádzajúce pokuty
Nariadenie prináša výrazné zvýšenie pokút, ktoré majú byť „účinné, primerané a odrádzajúce“. Pokuty v zmysle Nariadenia sú nasledovné:

• správna pokuta až do výšky 10 mil. € alebo 2% celkového svetového ročného obratu skupiny (napr. za porušenia ustanovení o špecificky navrhnutej a štandardnej OÚ, spoločných prevádzkovateľoch, sprostredkovateľoch, bezpečnosti OÚ a pod.);
• správna pokuta až do výšky 20 mil. € alebo 4% celkového svetového ročného obratu skupiny (napr. za porušenie základných zásad spracovávania, práv dotknutých osôb, prenosu OÚ príjemcovi v tretej krajine bez splnenia záruk a pod.).

I keď nová regulácia sprísňuje mnohé oblasti, prináša aj niekoľko pozitívnych zmien v porovnaní so súčasne platným slovenským zákonom a vykonávacím predpisom.

Zjednodušenie riadenia v rámci skupiny podnikov
Nariadenia rozpoznáva existenciu majetkovo alebo manažérsky prepojenej skupiny podnikov (riadiaci podnik a ním riadené podniky), pričom nemusí ísť nevyhnutne o nadnárodnú korporáciu. Pre takúto skupinu podnikov prináša niekoľko zjednodušení (ako napr. možnosť ustanoviť spoločnú zodpovednú osobu alebo priznanie oprávneného záujmu na prenose OÚ v rámci skupiny na vnútorné administratívne účely vrátane spracúvania OÚ klientov alebo zamestnancov).

Menej formalizmu
Nariadenie nedefinuje striktné formálne požiadavky (napr. vypracovanie bezpečnostného projektu), ale vo väčšej miere sa sústreďuje na dosiahnutie cieľov, pričom necháva organizáciám viac priestoru na definovanie primeraných opatrení ochrany OÚ a prostriedkov spracovania OÚ.

Zjednodušenie analýzy rizík
Nariadenie nepožaduje plošné spracovanie bezpečnostného projektu ani nestanovuje minimálne bezpečnostné požiadavky. Zavádza prístup založený na riziku a nepožaduje „absolútnu bezpečnosť“. Analýza rizík je Nariadením definovaná principiálne a rozsah analýzy, prístup k riadeniu rizík, ako aj miera bezpečnostných opatrení je ponechaná na prevádzkovateľovi. Prevádzkovateľ je tak slobodnejší vo voľbe prístupu a prostriedkov, avšak stále nesie plnú zodpovednosť za ochranu OÚ a prípadné bezpečnostné incidenty.

Certifikácia
Nariadenie implementuje systém akreditácie a certifikácie s trojročným cyklom. Dobrovoľná certifikácia má slúžiť ako dôkaz splnenia požiadaviek Nariadenia a má zvýšiť transparentnosť pre dotknuté osoby. I keď certifikácia môže slúžiť ako dôkaz plnenia evidenčnej povinnosti, nie je právnou zárukou splnenia požiadaviek Nariadenia.

Jedna zodpovedná osoba
Nadnárodné korporácie a organizácie pôsobiace samostatne alebo ako skupina vo viacerých členských krajinách môžu menovať jednu zodpovednú osobu pre celú skupinu. Nie je viac potrebné menovať ďalšie osoby vykonávajúce dohľad v jednotlivých členských krajinách EÚ.

Neexistencia pojmu oprávnená osoba
Nariadenie explicitne nedefinuje pojem oprávnená osoba. Nariadenie nedefinuje pravidlá menovania a poverenia dotknutej osoby. Voľba prostriedkov je opäť ponechaná na prevádzkovateľovi resp. sprostredkovateľovi, avšak stále nesú konečnú zodpovednosť. Úpravu môže ešte priniesť lokálna legislatíva.

Zdôraznenie princípu Privacy-by-design a Privacy-by-default
Princíp Privacy-by-design znamená, že už pri návrhu nového IS/aplikácie musia byť zapracované princípy ochrany OÚ legislatívy (napr. rozlíšenie dát podľa účelu, možnosť nastavenia retenčných dôb, umožnenie automatizovaného vymazania OÚ, umožnenie štruktúrovaného exportu OÚ a pod.).

Princíp Privacy-by-default znamená, že každá poskytovaná služba, proces alebo softvér musí byť ešte pred použitím prednastavený tak, aby predpokladal požiadavku používateľa na primeranú ochranu OÚ a používateľ nemusel nastavenie vykonať sám.

Zdôraznením týchto princípov v Nariadení sa dá u prevádzkovateľa resp. sprostredkovateľa očakávať zjednodušenie a zvýšenie efektívnosti pri obstarávaní štandardných aplikácií a IT riešení a služieb (napr. cloudových služieb). Tieto budú musieť spĺňať požiadavky Nariadenia už pri ich tvorbe. Negatívny dopad budú mať tieto princípy na interný vývoj a projekty, nakoľko rozšíria okruh bezpečnostných, resp. compliance požiadaviek.

Jednotné metodické usmernenia a vykonávacie predpisy
Nové Nariadenie zároveň konštituuje nový európsky orgán – Európsky výbor pre ochranu údajov, ktorý má nahradiť doterajšiu pracovnú skupinu pre ochranu jednotlivcov (WP29). Úlohou nového úradu bude vydávať usmernenia, odporúčania a koordinovať postupy regulátorov v jednotlivých členských štátoch. Okrem toho bude tento výbor vydávať stanoviská k návrhom rozhodnutí dozorných orgánov členských krajín v rámci mechanizmu konzistentnosti (podľa článku 64).

Navyše je možné očakávať vydanie nadväzujúcich vykonávacích predpisov na európskej úrovni (Európskou komisiou). Rovnako členské štáty boli vo viacerých oblastiach splnomocnené Nariadením prijať vlastnú spresňujúcu úpravu (napr. v článku 6 ods. 2 o zákonnosti spracovania OÚ alebo v článku 80 ods. 2 o slobode prejavu).

Pre naplnenie požiadaviek Nariadenia odporúčame realizovať nižšie uvedené nadväzujúce kroky.

• Rámcové porovnanie súčasného nastavenia procesov a systémov Vašej spoločnosti s požiadavkami Nariadenia, ktoré zahŕňa:
   posúdenie interných predpisov a procesov riadenia ochrany OÚ;
   potvrdenie kľúčových oblastí spracovania OÚ a skupín dotknutých osôb;
   určenie oblastí, ktoré budú predmetom posúdenia vplyvu na ochranu údajov;
• Nastavenie Governance ochrany OÚ,
• Posúdenie vplyvu na ochranu údajov zahŕňajúcej popísanie životného cyklu spracovania a rámcovej dátovej architektúry;
• Identifikácia biznis požiadaviek pre zmenu;
• Podpora pri návrhu organizačných, procesných a IT zmien;
• Podpora pri implementácii akceptovaných zmien (do mája 2018).