OCHRANA OSOBNÝCH ÚDAJOV V ZMYSLE GDPR

Posted on by PeterVe

PERSONAL DATA PROTECTION ACCORDANCE WITH GDPR

Orsolya Kürti

Abstract

   The aim of the article is to characterize the GDPR regulation, which was introduced in 2018. The work will explain the regulation, how it effects the consumers and the companies and what major changes it brought. The thesis will also deal with the fines that the GDPR regulation brought and they serve as motivation.

Key words: internet, internet security, GDPR

Abstrakt

   Cieľom článku je charakterizovať nariadenie GDPR, ktoré bolo zavedené v roku 2018. V práci bude vysvetlené nariadenie, aké má dopady na spotrebiteľov a spoločnosti a aké zásadné zmeny priniesol. Práca sa bude zaoberať aj pokutami, ktoré prinieslo nariadenie GDPR a slúžia ako motivácia.

Kľúčové slová: internet, ochrana na internete, GDPR

Úvod

   Dátové súkromie ako koncept neexistovalo až do konca dvadsiateho storočia, kedy sa zrodil internet a jeho exponenciálna miera prijatia prostredníctvom počítačov a mobilných telefónov. Do tej doby sa súkromie vo veľkej miere vzťahovalo na fyzickú existenciu a informácie súvisiace s jednotlivcom, jeho domovom, dokumentmi a osobným životom. S vývojom technológií nie je vytváranie hraníc v súčasnom spoločenskom prostredí v žiadnom prípade ľahká úloha. Musíme expanzívne myslieť na vytvorenie rámca, kde je zverejnenie, zdieľanie a použitie našich informácií transparentné a v ich každodennom živote je možné riadiť diskrétnosť[1]. Je pomerne jednoduché vytvárať a presadzovať zákony proti premyslenému a nezákonnému použitiu nášho súkromia alebo osobných údajov. napr. hacker získavajúci dôverné údaje prostredníctvom počítačového vniknutia.[1] Zneužívanie osobných súkromných údajov vyvolali v modernej dobe potrebu nariadenia, ako je aj Všeobecné nariadenie o ochrane údajov (GDPR), ktoré je najprísnejším zákonom o ochrane súkromia a bezpečnosti na svete. Výhodou GDPR je jeho schopnosť regulovať podniky, ktoré nedodržiavajú pravidlá. Pokuta môže byť vymedzovaná, ak organizácia nespracúva údaje jednotlivca správnym spôsobom, alebo narušuje bezpečnosť užívateľa.

GDPR nariadenie

   Nariadenie GDPR je pokladané za jeden z najväčších legislatívnych úspechov Európskej únie za posledné roky. Nariadenie sa teraz stalo referenčným bodom pre mnoho krajín mimo Európy, ako sú Čile, Južná Kórea, Brazília, Japonsko, Keňa, India, Indonézia a Taiwan. Nadnárodné spoločnosti tiež dobrovoľne dodržiavajú nariadenie GDPR, aby ušetrili na nákladoch na dodržiavanie predpisov, čím zvyšujú globálne štandardy ochrany osobných údajov pre všetkých používateľov.[7]

   Všeobecné nariadenie o ochrane údajov (GDPR) je najprísnejším zákonom o ochrane súkromia a bezpečnosti na svete. Aj keď to bolo navrhnuté a schválené Európskou úniou (EÚ), ukladá povinnosti organizáciám kdekoľvek, pokiaľ sa zameriavajú alebo zhromažďujú údaje týkajúce sa ľudí v EÚ. Nariadenie vstúpilo do platnosti 25. mája 2018. V podmienkach SR sa premietlo do osobitného zákona č. 18/2018 Z. z. o ochrane osobných údajov účinného od toho istého dňa. Tento zákon nahradil dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov. Smernica potvrdzuje právo na ochranu osobných údajov a základné zásady, ktoré by sa mali vzťahovať na spracovanie údajov, pričom sa dôsledne riadia pravidlami a zásadami zakotvenými vo všeobecnom nariadení o ochrane údajov. Práva fyzických osôb a povinnosti uložené kontrolórom – napríklad v súvislosti so zabezpečením údajov, ochranou údajov už v štádiu návrhu a predvoleným nastavením a oznámeniami o porušení ochrany údajov – sa podobajú právam a povinnostiam vo všeobecnom nariadení o ochrane údajov.[3] Smernica tiež zohľadňuje a snaží sa riešiť vážne vznikajúce technologické výzvy, ktoré môžu mať obzvlášť nepriaznivý dopad na jednotlivcov, napríklad použitie povoľovacích postupov orgánmi činnými v trestnom konaní. V zásade musia byť zakázané rozhodnutia založené výlučne na automatizovanom spracovaní vrátane profilovania. Okrem toho nesmú vychádzať z citlivých údajov. Takéto zásady podliehajú určitým výnimkám stanoveným v smernici. Takéto spracovanie nesmie navyše viesť k diskriminácii žiadnej osoby.[2]

   Dôvodom, prečo boli potrebné nové právne predpisy, je to, že pôvodná smernica z roku 1995 bola formulovaná v dobe, ktorá sa javí ako iná technologická doba. V tom čase používalo internet iba 1% svetovej populácie, dnes je však v EÚ takmer všadeprítomná. Cloudové výpočty a sociálne médiá vtedy neboli známe, takisto to neboli ani smartfóny či tablety. Prevažná väčšina informácií sa dnes vyrába a spotrebúva elektronicky, čo sťažuje ich ochranu.

   Hlavné zmeny Nariadenie GDPR rozširuje rozsah ochrany údajov tak, aby ich ktokoľvek alebo akákoľvek organizácia zhromažďujúca a spracúvajúca informácie týkajúce sa občanov EÚ dodržiavala bez ohľadu na to, kde sa nachádzajú alebo kde sú údaje uložené. Cloudové úložisko nie je výnimkou. Rozšírila sa aj definícia osobných údajov. Uvádza sa v ňom, že osobné údaje zahŕňajú informácie, na základe ktorých je možné priamo alebo nepriamo identifikovať osobu. Podľa novej definície sú identifikátory, ako sú IP adresy a súbory cookie, zahrnuté ako osobné informácie[10]. Pred nariadením GDPR neexistovali jednotné právne predpisy týkajúce sa oznámení o porušení, s výnimkou poskytovateľov služieb elektronickej komunikácie podľa smernice o elektronickej bezpečnosti. Niektoré krajiny pridali do svojich právnych predpisov opatrenia, ktoré sa majú vzťahovať na oznámenia o porušení, ale nie všetky. GDPR zavádza povinné oznámenie o porušení, pokiaľ je nepravdepodobné, že porušenie povedie k riziku pre práva a slobody dotknutých osôb. Obzvlášť závažná požiadavka nového nariadenia je, že organizácie, ktoré utrpeli porušenie ochrany údajov, musia informovať orgány na ochranu údajov do 72 hodín od jeho zistenia.[8]

Oproti existujúcej legislatíve, dopad nariadenia GDPR nie je citeľný po obsahovej stránke, povinnosti spracúvania osobných údajov sa vzťahujú na nakladanie s klasickými papierovými dokumentami, rovnako ako na počítačové databázy a prenosy, teda na typické operácie internetových obchodov s osobnými údajmi.

   Jednou z najväčších a najviac sa najpotrebnejších prvkov GDPR je schopnosť regulačných orgánov zasiahnuť voči podnikom, ktoré ho nedodržiavajú stanoviť  im vysoké pokuty. Ak organizácia nespracúva údaje jednotlivca správnym spôsobom, môže byť pokutovaná. Ak to vyžaduje. ale nemá úradníka pre ochranu osobných údajov, môže vám byť takisto uložená pokuta. Ak dôjde k narušeniu bezpečnosti, môže byť spoločnosť rovnako pokutovaná.[6]

   Jedna z najvyšších pokút podľa GDPR bola doteraz proti spoločnosti Google: francúzsky regulátor ochrany údajov, Národná komisia pre ochranu údajov (CNIL), pokutoval spoločnosť na  50 miliónov EUR. CNIL uviedol, že pokuta bola udelená z dvoch hlavných dôvodov: Google neposkytoval používateľom dostatok informácií o tom, ako využíva údaje, ktoré získava od 20 rôznych služieb, a tiež nezískava riadny súhlas so spracovaním údajov používateľa.[9]

   Na Slovensku úrad na ochranu osobných údajov SR môže uložiť dva druhy sankcií:[4]

  1. pokutu za správne delikty (za priame porušenie GDPR),
  2. poriadkovú pokutu za nesplnenie ním uloženého opatrenia (za nesplnenie predchádzajúceho opatrenia uloženého úradom).

   Nariadenie ustanovilo možnosť ukladať pokuty až do výšky niekoľkých miliónov eur (napr. za závažné porušenie najviac do výšky 20 000 000 eur). Každé porušenie GDPR alebo nového zákona o ochrane osobných údajov musí byť hneď uložená pokuta. Kontrolovaný subjekt (napr. obchodná spoločnosť ako prevádzkovateľ) môže byť napríklad najprv upozornený na to, že jeho spracovateľské operácie pravdepodobne porušujú európske nariadenie alebo pri zistení konkrétneho porušenia mu môže byť udelené napomenutie. To znamená, že úrad posudzuje každé porušenie samostatne a po zhodnotení konkrétnych okolností zváži, či kontrolovanému subjektu hneď uloží pokutu a v akej výške alebo ho len napomenie.

   Nemecký štátny úrad na ochranu údajov udelil pokutu 10,4 mil. EUR voči stredne veľkému online predajcovi, ktorý údajne porušil všeobecné nariadenie EÚ o ochrane údajov (GDPR) monitorovaním svojich zamestnancov pomocou CCTV. Obchodník používal vo svojich priestoroch kamerové systémy na prevenciu a vyšetrovanie trestných činov a na sledovanie toku tovaru v skladoch po dobu najmenej dvoch rokov. Štátny komisár nepovažoval tieto účely za dostatočne legitimizované použitie kamerového systému v pracovných priestoroch a v priestoroch prístupných návštevníkom[5].

   Nórsky úrad pre ochranu údajov oznámil spoločnosti Grindr LLC (Grindr), že majú v úmysle uložiť správnu pokutu vo výške 100 000 000 NOK za nedodržanie pravidiel GDPR o súhlase. V roku 2020 podala Nórska rada spotrebiteľov sťažnosť proti spoločnosti Grindr, ktorá sa týka nezákonného zdieľania osobných údajov s tretími stranami na marketingové účely. Zdieľané údaje zahŕňajú polohu GPS, údaje o profile používateľa a skutočnosť, že dotyčný používateľ je na serveri Grindr. Ročný obrat spoločnosti blíži k 100 000 000 EUR . To znamená, že navrhovaná pokuta bude predstavovať približne 10% obratu spoločnosti.[6]

   Nariadenie o GDPR takisto hovorí ale rôznych druhoch pokút, za rôzne porušenia GDPR. Na Slovensku je síce horný strop určený ako 20 miliónov alebo 4% celkového ročného obratu, toto je ale najvyššia vymedzená sadzba.[11] Nariadenie hovorí aj o pokute do 10 miliónov alebo 2% celkového ročného obratu a dokonca aj o poriadkovej pokute od 2000 EUR do 10 000 EUR. Pro vymedzení pokuty sa berie do úvahy závažnosť porušenie, škody, prijaté dodatočné opatrenia na náhradu škody a takisto spôsob, akým sa úrad o pochybeniach dozvedel. Tieto pokuty je možno uložiť do 6 mesiacov alebo 2 rokov odo dňa porušenia, a sú príjmom do štátneho rozpočtu. Treba ale zdôrazniť, že aj keď úrad prihliada na rôzne okolnosti pri udeľovaní pokuty, táto pokuta môže byť v mnoho prípadoch až likvidačná.

Záver

   Práca sa venovala nariadeniu GDPR a jeho používaniu v praxi. Ako sme mohli vidieť, toto nariadenia má veľmi veľký dopad na každodenné používanie internetu a elektronickej komunikácie. GDPR je prostriedok nie len ochrany používateľa na internete, ale aj jeho osobných dát pred zneužitím. GDPR sa v dnešnej dobre berie veľmi vážne v celej Európskej únií. Práve preto sú aj pokuty za nedodržanie také vysoké a prísne kontrolované. Na to aby bola zabezpečená, čo najväčšia bezpečnosť osoby na internete, treba v čo najväčšej miere motivovať firmy na jej dodržiavanie. Táto práca ukázala, ako je firma negatívne motivovaná  pod hrozbou vysokej pokuty na dodržiavanie GDPR. Európska únie je v tomto neúprosná. Obyvatelia EÚ musia byť v čo najväčšej miere chránení a to aj za cenu vysokých pokút. Preto sa GDPR považuje za prelomové nariadenie, ktoré pôsobí  mení charakter každodenného používania internetu.

Použitá literatúra

  • [1]   KAROVIČ, V. – VESELÝ, P. Vybrané bezpečnostné normy, štandardy a organizácie pre podporu GDPR a testovania bezpečnosti. In Progresívne prístupy a metódy zvyšovania efektívnosti a výkonnosti organizácií [elektronický dokument] . Košice: Slovenská asociácia procesného riadenia, 2018. s. 101–113. ISBN 978-80-972984-1-8.
  • [2]   MATUŠOVIČ, M. et al. Protection of Competition – the Global Economic Crisis VI. . Mukařov – Srbín: Ľuboš Janica, 2018. 190 s. ISBN 978-80-270-1037-0.
  • [3]   MATUŠOVIČ, MARTIN. Business and Cyber Security. In IAktuálne problémy podnikovej sféry 2019. Medzinárodná vedecká konferencia. Aktuálne problémy podnikovej sféry 2019 : zborník vedeckých prác z medzinárodnej vedeckej konferencie, 2019, Ráztočno Handlová, Slovensko. – Bratislava : Vydavateľstvo EKONÓM . 2019. s. 312–320. .
  • [4]   POHORELÁ, P. Ukladanie pokút podľa GDPR. In Podnikajte.sk [online]. 2018. [cit. 2020-12-01]. Dostupné na internete: <https://www.podnikajte.sk/zakonne-povinnosti-podnikatela/pokuty-podla-gdpr>.
  • [5]   RITZER, C. – FILKINA, N. New German fine: EUR 10.4 million for unlawful CCTV. In Data Protection Report [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.dataprotectionreport.com/2021/01/new-german-fine-eur-10-4-million-for-unlawful-cctv/>.
  • [6]   SHARMA, S. Data privacy and GDPR handbook. . [s.l.]: John Wiley & Sons, 2019. 469 s. ISBN 978-1-119-59425-3.
  • [7]   TANKARD, C. What the GDPR means for businesses. In Network Security [online]. 2016. Vol. 2016, no. 6, s. 5–8. [cit. 2020-12-01]. . Dostupné na internete: <https://www.sciencedirect.com/science/article/pii/S1353485816300563>.
  • [8]   VESELÝ, P. 72 hodín. In Ochrana osobných údajov [elektronický dokument] . 2017. .
  • [9]   VESELÝ, P. Manažment ochrany informácií. . Praha: TopSmart Business, 2020. ISBN 978-80-270-9014-3.
  • [10]   VESELÝ, P. Online identifikátory ako osobné údaje. In Ochrana osobných údajov [elektronický dokument] . 2017. .
  • [11]   VESELÝ, P. Sankcie za porušenie GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .

Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2

Indexed : GOOGLE SCHOLAR