PROTECTION OF PERSONAL DATA IN INTERNATIONAL COMPETITION
Diana Zuberiová
Abstract
The issue of processing personal data in international competitions is relatively complicated, in accordance with the GDPR Regulation, it is necessary to determine the scope of legislation and define the rules for processing personal data.
Key words: GDPR, personal data, international competitions
Abstrakt
Problematika spracúvania osobných údajov na medzinárodných súťažaich je pomerne komplikovaná, v zmysle GDPR nariadenia je potrebné určiť rozsahy legislatívy a vymedziť pravidlá spracúvania osobných údajov.
Kľúčové slová: GDPR, osobné údaje, medzinárodné súťaže
Úvod
Ochrana údajov patrí do oblasti základných ľudských práv a slobôd[11]. Účelom tejto ochrany je chrániť práva a slobody každého, koho osobné údaje sa na našom území spracovávajú alebo sa majú spracúvať v zahraničí.[1] Ochrana osobných údajov v Slovenskej republike musí spĺňať požiadavky zabezpečenia ochrany osobných údajov na štandardnej európskej úrovni. Ochrana osobných údajov je garantovaná Ústavou SR[2].
Stav ochrany osobných údajov
Úrad na ochranu osobných údajov Slovenskej republiky už nesleduje stav a spracúvanie osobných údajov v súlade so zákonom č. 122/2013 Z. z. o ochrane osobných údajov, ale sleduje súlad s nariadením EÚ – Všeobecné nariadenie o ochrane osobných údajov ( GDPR – General Data Protection Regulation ) bolo zverejnené 04.05.2016 v Úradnom vestníku Európskeho parlamentu pod číslom 2016/679 z 27.04.2016 pod názvom NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). Vo viacerých prípadoch Úrad na ochranu osobných údajov zistil, že prevádzkovatelia, prípadne spoločnosti vyhlasujúce spotrebiteľské súťaže, konajú v rozpore s platnou legislatívou a častokrát vo svojich všeobecných obchodných podmienkach, prípadne v súťažných podmienkach uvádzajú zákon č. 428/2002 Z. z. o ochrane osobných údajov, ktorý je však už viac ako osem a pol roka neúčinný[13]. Taktiež súhlasy so spracúvaním osobných údajov súťažiacich sú formulované tak, že sa súhlas súťažiaceho získava na viacero účelov naraz, čo je v rozpore so zásadami spracúvania osobných údajov. V rozpore so zákonom konajú prevádzkovatelia aj vtedy, keď v súhlase na spracúvanie osobných údajov uvádzajú skutočnosť, že súťažiaci im poskytujú súhlas na dobu neurčitú.[9] Čas spracúvania v súlade so zákonom má byť konkrétne špecifikovaný, minimálne limitovaný účelom spracúvania osobných údajov (napríklad po dobu trvania súťaže a následne po dobu 5 rokov a pod.).[7] Úrad na ochranu osobných údajov preto na tieto nedostatky jednotlivé spoločnosti a prevádzkovateľov spotrebiteľských súťaží upozorňuje a poukazuje na neúčinný a neplatný zákon o ochrane osobných údajov – zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení zákona č. 84/2014 Z. z.; (zákon v konsolidovanom znení je zverejnený v Zbierke zákonov Slovenskej republiky pod číslom 136/2014 Z. z.)[7].
To znamená, že napríklad pravidlá spotrebiteľskej súťaže musia byť pre súťažiacich dostupné, teda zverejnené.[6] Keďže zákon nepredpisuje konkrétnu formu zverejnenia štatútu (pravidiel súťaže), môže byť štatút spotrebiteľskej súťaže zverejnený na webovej stránke firmy napríklad ako samostatný text v plnom znení alebo ako odkaz na .pdf dokument na stiahnutie. Štatút musí obsahovať hlavne tieto informácie:[16]
- identifikácia organizátora súťaže (kto organizuje súťaž – firemné a kontaktné údaje,
- predmet súťaže,
- lehota súťaže (od kedy do kedy súťaž trvá),
- okruh účastníkov súťaže (kto sa môže zapojiť do súťaže) a okruh vylúčených osôb (kto sa nemôže zapojiť do súťaže – napr. zamestnanci organizátora),
- podmienky pre zapojenie sa do súťaže, pre získanie výhry, spôsob určenia výhercu,
- ceny v súťaži a ich hodnota, prípadne znášanie daňovej povinnosť za výhry,
- spôsob a čas oznámenia výhercu, spôsob odovzdávania výhry,
- ochrana osobných údajov (aké osobné údaje sa budú spracúvať, ako budú využívané, aké sú práva súťažiteľov v súvislosti s ochranou osobných údajov),
- v prípade súťaže na Facebooku – prehlásenie súťažiaceho o tom, že Facebook voči nemu nemá žiadne záväzky, a o tom, že súťaž nie je žiadnym spôsobom sponzorovaná, odobrená ani riadená Facebookom a nemá s ním žiaden vzťah.
Je veľmi dôležité vytvoriť si jednoduché pravidlá, ktoré budú obsahovať hore napísané informácie a tie sa následne zverejnia na webovej stránke v podobe dokumentu, ktorý bude dostupný na stiahnutie. V pri zdieľaní na sociálnych sieťach treba odkaz na tento dokument pripojiť.[15]
Osoby, ktoré sa zapojené do súťaže najčastejšie vypĺňajú rôzne formuláre alebo dotazníky, v ktorých organizátorovi súťaže poskytujú svoje osobné údaje pre účely organizovania a následného vyhodnotenia súťaže. Väčšinou ide o tieto osobné údaje:
- titul, meno a priezvisko,
- adresa,
- kontaktné údaje (napr. e-mail alebo telefónne číslo),
- fotografia (napr. pri výhercoch).
Každý súťažiaci, ktorý sa zapojí do súťaže, takto koná na základe svojho dobrovoľného súhlasu. Dobrovoľný súhlas súťažiaceho ako dotknutej osoby je právnym základom (oprávnením organizátora súťaže ako prevádzkovateľa) pre spracúvanie osobných údajov na účely realizovania spotrebiteľskej súťaže. Jednoducho povedané, na účasť osoby v súťaži sa vyžaduje jej súhlas. V prípade, že osobné údaje súťažiaceho majú byť spracúvané aj na iný účel než je súťaž (napr. zasielanie reklamných e-mailov), musí súťažiaci súhlas udeliť pre tento iný účel samostatne, t. j. je potrebné vyžiadanie súhlasu súťažiaceho vždy pre každý účel zvlášť. V internetovom súťažnom formulári tak môžu byť samostatné vyplňovacie políčka:[17]
- k pravidlám súťaže,
- k súhlasu na spracúvanie osobných údajov na účely spotrebiteľskej súťaže a
- k súhlasu so zasielaním reklamných e-mailov.
Ak bude súčasťou súťaže spracúvanie fotografii výhercov, mal by si organizátor súťaže osobitne vyžiadať súhlas výhercu aj na tento účel a samozrejme ho predtým informovať, kde všade a na ako dlho budú tieto fotky zverejnené. V dnešnej dobe s neustále sa meniacimi podmienkami k spracovaniu údajov a použitiach osobných údajov je niekedy veľmi ťažké sa zorientovať. Treba brať na vedomie, že vyplňované údaje majú byť pravdivé no zároveň si podrobne prečítať na čo všetko môžu byť údaje použité a spracované. Častokrát tento fakt súťažiaci zanedbávajú a potom sú nemilo prekvapení kde všade môžu byť údaje použité.[10] Našťastie sa podmienky ochrany neustále zlepšujú hlavne v prospech súťažiaceho a tak organizátori dávajú veľkí pozor kde tieto údaje zverejnia alebo by mohli uniknúť. Stále však žijeme v dobe, ktorá každý deň napreduje a tak treba brať aj napriek uzákoneným ochranám dbať ohľad a podstúpiť opatrenia aj na ochranu úniku týchto citlivých údajov[3].
Taktiež je potrebné zamyslieť sa nad relatívne zložitou hypotetickou situáciou. Kedy sa súťaží na území členského štátu EÚ, ktorý plne podlieha legislatíve GDPR nariadenia. Súťaž pritom organizuje medzinárodná organizácia so sídlom mimo EÚ, napríklad z U.S.A. a súťažiaci sú z krajín celého sveta, teda z členských krajín EÚ ako aj z tretích krajín z hľadiska GDPR legislatívy.[14] Záznamy z daného športového podujatia sú z viacerých televíznych spoločností vysielané v rámci celého sveta. V tomto hypotetickom svete by sme sa mali v zmysle dvoch základných premís – protection by default[12] a protection by design[5] zamyslieť nad vytvorením tak bezpečného informačného systému na spracúvanie osobných údajov, že miestami by to zachádzalo do absurdít pri realizácii. Pritom vo svojej podstate je nutné uvedomiť si jednotlivé základné pojmy. Pre možnosť väčšej komplikácie pri návrhu riešenia by sa súťaže zúčastňovali aj osoby mladšie ako 16 rokov[8]. Riešenie by nebolo jednoduché.
Problematickú časť je možné vidieť najmä pri ukladaní informácií o športovcoch a ich športových výsledkoch, pričom pokiaľ by požiadali v zmysle nariadenia o striktné uplatnenie svojich práv na ochranu osobných údajov, tak by bolo pomerne zložité dohľadať a zabezpečiť všetky dáta týkajúce sa uplatnenia tohto práva[4].
Záver
V dnešnej dobe s neustále sa meniacimi podmienkami k spracovaniu údajov a použitiach osobných údajov je niekedy veľmi ťažké sa zorientovať. Treba brať na vedomie, že vyplňované údaje majú byť pravdivé no zároveň si podrobne prečítať na čo všetko môžu byť údaje použité a spracované. Častokrát tento fakt súťažiaci zanedbávajú a potom sú nemilo prekvapení kde všade môžu byť údaje použité. Našťastie sa podmienky ochrany neustále zlepšujú hlavne v prospech súťažiaceho a tak organizátori dávajú veľkí pozor kde tieto údaje zverejnia alebo by mohli uniknúť. Stále však žijeme v dobe, ktorá každý deň napreduje a tak treba brať aj napriek uzákoneným ochranám dbať ohľad a podstúpiť opatrenia aj na ochranu úniku týchto citlivých údajov. A v prípade súťažiaceho zvážiť a overiť si potrebu poskytnutých údajov a bezpečne s nimi zaobchádzať.
Použitá literatúra
- [1] JURČÁK, V. et al. Evropská bezpečnost. 4. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 89–140. ISBN 978-80-7380-758-0.
- [2] KAROVIČ, V. – VESELÝ, P. Vybrané bezpečnostné normy, štandardy a organizácie pre podporu GDPR a testovania bezpečnosti. In Progresívne prístupy a metódy zvyšovania efektívnosti a výkonnosti organizácií [elektronický dokument] . Košice: Slovenská asociácia procesného riadenia, 2018. s. 101–113. ISBN 978-80-972984-1-8.
- [3] MATUŠOVIČ, MARTIN – VESELÝ, PETER – PAWERA, RENÉ Protection of Competition – the Global Economic Crisis VI. . [s.l.]: Edition. Mukařov – Srbín : Ľuboš Janica, 2018, 2018. .
- [4] VESELÝ, P. Bezpečné mazanie a likvidácia osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [5] VESELÝ, P. Bezpečnosť IS/IT. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
- [6] VESELÝ, P. Dotknutá osoba. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
- [7] VESELÝ, P. Hlavné zmeny v ochrane osobných údajov podľa GDPR. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
- [8] VESELÝ, P. Osobné údaje detí. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [9] VESELÝ, P. Povinnosti prevádzkovateľa voči dotknutým osobám. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [10] VESELÝ, P. Prevencia pred únikom dát a osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [11] VESELÝ, P. Problém GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [12] VESELÝ, P. Štandardná a špecifická ochrana osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [13] VESELÝ, P. Technické normy a další metodiky pro bezpečnost ICT. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 175–175. ISBN 978-80-7380-758-0.
- [14] VESELÝ, P. Zabezpečenie odolnosti systémov spracúvania osobných údajov ako požiadavka GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [15] VESELÝ, P. Základné zásady spracúvania osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
- [16] VESELÝ, P. Zavedenie opatrení v organizácii. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [17] VESELÝ, P. Získanie súhlasu a prenosnosť osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2017. .
Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 1
Indexed : GOOGLE SCHOLAR