Kódexy správania

Nariadenie 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov („GDPR“) prináša novú možnosť čiastočnej samoregulácie zo strany prevádzkovateľov a sprostredkovateľov vo forme tzv. kódexov správania.

1.   Čo sú to kódexy správania?

Kódexy správania budú v zásade nezáväzné[1] súbory pravidiel v oblasti ochrany osobných údajov vyvinuté združeniami alebo inými subjektami zastupujúcimi určité kategórie prevádzkovateľov a sprostredkovateľov.
 

2.   Aký je účel a funkcia kódexov správania

Jednotliví prevádzkovatelia a sprostredkovatelia pôsobia v rôznych sektoroch, spracúvajú rôzne kategórie osobných údajov s rôznou úrovňou „citlivosti“, v rôznom kvantitatívnom rozsahu a rozdielnym spôsobom. Inými slovami povedané, iné osobné údaje, v inom rozsahu a iným spôsobom spracúva na jednej strane banka a na druhej strane podnikateľ, ktorý predáva drobný tovar a má jedného zamestnanca. Ustanovenia GDPR sú však v mnohých prípadoch veľmi všeobecné, keďže ich účelom je vytvoriť komplexnú reguláciu pre ochranu osobných údajov a nedostatočne rozlišujú medzi povinnosťami rôznych druhov prevádzkovateľov, predovšetkým s ohľadom na potenciálne riziká vyplývajúce zo spracúvania osobných údajov dotknutých osôb.

Účelom kódexov správania je prispieť k správnemu uplatňovaniu GDPR berúc do úvahy osobitné črty rôznych sektorov podnikania. Medzi základné funkcie spomenutých kódexov teda možno zaradiť: 

a) vytvorenie samoregulačného mechanizmu pre jednotlivé sektory, ktoré si môžu prostredníctvom svojich spoločných zástupcov vypracovať kódexy správania upresňujúce ich povinnosti v súlade s GDPR; 

b) vytvorenie „best practices“ pre spracovanie osobných údajov v jednotlivých sektoroch; 

c) zabezpečenie podkladu pre vznik záväznej regulácie v danom sektore.
 

 3.   Kto vypracúva kódexy správania

GDPR ponecháva vypracovanie kódexov správania na „združeniach alebo iných subjektoch zastupujúcich určité kategórie prevádzkovateľov a sprostredkovateľov“. Nie je presne stanovené, o aké združenia má ísť, a aké kategórie prevádzkovateľov a sprostredkovateľov majú byť vytvorené.

Keďže ide o samoreguláciu, je na prevádzkovateľoch a sprostredkovateľoch, či kódexy správania vytvoria, a aké spoločné združenie za týmto účelom využijú. Z praktického hľadiska bude samozrejme vhodné, aby takéto združenie zastupovalo záujmy a požiadavky tých subjektov, ktorí spracúvajú podobné kategórie osobných údajov podobným spôsobom (napr. poskytovatelia cloudových služieb, banky, poisťovne, subjekty pôsobiace vo farmaceutickom priemysle a pod.).

4.   Sú kódexy správania záväzné?

Kódexy správania vo všeobecnosti záväzné nebudú, ich cieľom je predovšetkým vytvárať „best practices“ a usmernenia pre daný sektor. GDPR však reguluje postup, na základe ktorého Európska komisia môže prostredníctvom vykonávacích aktov rozhodnúť, že určitý kódex správania, ktorý sa týka spracovateľských činností vo viacerých štátoch, sa stane všeobecne záväzný.

5.   Budú kódexy správania nejakým spôsobom kontrolované alebo schvaľované?

Pri kódexoch správania ide o čiastočnú samoreguláciu, pričom GDPR upravuje kontrolný mechanizmus pre ich fungovanie.

Vo všeobecnosti platí, že návrhy kódexov správania je potrebné predkladať príslušnému dozornému orgánu na schválenie.  

6.   Čo budú kódexy správania znamenať pre prevádzkovateľov a sprostredkovateľov?

Pokiaľ nepôjde o záväzné kódexy správania (pozri bod č. 4), bude na prevádzkovateľoch a sprostredkovateľoch, či sa k určitému kódexu „pripoja“ a budú dodržiavať jeho ustanovenia. Pokiaľ sa tak rozhodnú, budú podliehať monitorovaniu zo strany akreditovaného subjektu.

V prípade porušovania kódexu budú mať akreditované subjekty oprávnenie prevádzkovateľom resp. sprostredkovateľom pozastaviť členstvo alebo ich z kódexu vylúčiť.

7.   Kedy budú vytvorené kódexy správania a odkedy začnú platiť?

Je na prevádzkovateľoch a sprostredkovateľoch (resp. subjektoch, ktoré ich združujú), či a kedy dôjde k vypracovaniu kódexu správania pre daný sektor. Uvedená otázka je ponechaná v plnej miere na samoregulácii.

Výhodou vypracovania a „pridania sa“ ku kódexu správania bude bližšia špecifikácia konkrétnych ustanovení GDPR (napr. vo vzťahu k oprávneným záujmom, ktoré prevádzkovatelia sledujú v konkrétnych situáciách; spôsobu pseudonymizácie osobných údajov; uplatňovaniu práv dotknutých osôb a pod.). Pokiaľ sa teda daný prevádzkovateľ alebo sprostredkovateľ pridá k určitému kódexu správania, mal by mať väčšiu mieru právnej istoty, že spĺňa príslušné požiadavky GDPR. Rovnako môže takýto prevádzkovateľ alebo sprostredkovateľ skutočnosť, že sa pridal ku kódexu správania využívať v rámci svojho marketingu na uistenie dotknutých osôb, že spĺňa štandardy uvedené v kódexe.

Tento článok slúži len ako všeobecná informácia a nenahrádza právne poradenstvo v konkrétnej veci.

---

[1] Existuje možnosť, že určité kódexy správania nadobudnú všeobecnú záväznosť, a to za podmienok uvedených nižšie.

Oznámenie porušenia ochrany osobných údajov dozornému orgánu

Nariadenie 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov („GDPR“) zavádza novú dôležitú povinnosť pre prevádzkovateľov, a to notifikáciu dozornému orgánu v prípade porušenia ochrany osobných údajov.

1.      Čo znamená „porušenie ochrany osobných údajov“?

Pod porušením ochrany osobných údajov sa rozumie porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim.

Porušenie je teda chápané veľmi široko a zahŕňa v podstate každú neoprávnenú manipuláciu s osobnými údajmi. Nemusí ísť len o výslovné zneužitie resp. „únik“ osobných údajov, ale porušením je rovnako aj ich strata alebo zmena.

2.      Účel notifikácie

Zavedenie inštitútu notifikácie porušenia ochrany osobných údajov (de facto „samonahlásenia“ porušenia zo strany prevádzkovateľa) sa môže javiť pomerne kontroverzné. Prevádzkovatelia budú musieť sami upozorňovať dozorné orgány na porušenia (ktoré v mnohých prípadoch nastanú v dôsledku zanedbania ich povinností v zmysle GDPR), čím riskujú uloženie sankcie.

V dnešnej dobe spojenej s vysokou rýchlosťou a vysokým objemom spracúvania osobných údajov a veľkým rizikom ich zneužitia vo veľkom rozsahu je však potrebné, aby porušenia boli včas odhalené, nahlásené a následne čo najviac obmedzené ich nepriaznivé dôsledky. GDPR uvádza ako možné dôsledky porušenia napr. stratu kontroly nad svojimi osobnými údajmi, diskrimináciu, krádež totožnosti alebo podvod, finančnú stratu, neoprávnenú reverznú pseudonymizáciu, poškodenie dobrého mena a stratu dôvernosti osobných údajov chránených profesijným tajomstvom.

Zároveň môže mať táto povinnosť priaznivý účinok v tom, že prevádzkovateľov bude motivovať, aby prijali opatrenia (niektoré z nich sú spomenuté nižšie), ktorými zamedzia riziku pre práva a slobody dotknutých osôb aj v prípade, aj v prípade, ak dôjde k porušeniu – za takých okolností notifikácia dozornému orgánu nie je potrebná.

3.      Na ktoré prípady porušenia ochrany sa vzťahuje notifikácia dozornému orgánu?

Úprava GDPR je postavená na princípe, že notifikácia sa vzťahuje na každé porušenie, ktoré nie je možné zaradiť pod výnimku. Touto výnimkou sú prípady keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.

Pojem „riziko pre práva a slobody fyzických osôb“ je veľmi všeobecný a bude potrebný jeho upresňujúci výklad, či už zo strany súdov, dozorných orgánov a Európskeho výboru pre ochranu údajov. Každopádne je možné vykonať určité prvotné generalizácie.

V prvom rade GDPR nerozlišuje medzi tým, akých osobných údajov sa porušenie týka. To znamená, že riziko pre práva a slobody fyzických osôb nenastane len v prípade zásahu do osobitných kategórií osobných údajov (údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, biometrické údaje, atď.) alebo iných „citlivých“ osobných údajov. Riziko pre práva a slobody fyzických osôb sa rovnako vzťahuje napr. aj na únik údajov týkajúcich sa nákupných preferencií dotknutých osôb alebo iných údajov, ktoré fyzické osoby nepovažujú za „citlivé“.

Ďalej je potrebné poznamenať, že k riziku pre práva a slobody fyzických osôb by za štandardných okolností nemalo dôjsť v nasledovných prípadoch:

(i)      ak sú „uniknuté“ osobné údaje pseudonymizované alebo šifrované a neoprávnené osoby, ktoré získajú k takýmto údajom prístup, ich nevedia priradiť ku konkrétnym fyzickým osobám;

(ii)       zničené alebo zmenené osobné údaje sú zálohované a je ich možné z tejto zálohy obnoviť.

Je teda vhodné odporučiť (pre prípady, keď je to možné a efektívne) osobné údaje pseudonymizovať, šifrovať a zálohovať. Týmto spôsobom je možné zamedziť riziku pre práva a slobody fyzických osôb a tým pádom aj potrebe notifikácie dozorným orgánom.

4.      Dokedy je potrebné realizovať notifikáciu dozornému orgánu?

V zmysle príslušnej úpravy GDPR musí byť notifikácia porušenia ochrany osobných údajov realizovaná bez zbytočného odkladu potom, ako sa prevádzkovateľ o porušení dozvedel. GDPR uvádza aj maximálnu lehotu, a to najneskôr do 72 hodín potom, ako sa prevádzkovateľ dozvedel o porušení. Ak dôjde k omeškaniu, je potrebné ho zdôvodniť.

V prípade potreby je možné notifikáciu vykonať aj postupne, t.j. po jednotlivých etapách.

5.      Aké informácie je potrebné dozornému orgánu notifikovať?

Minimálny rozsah notifikovaných informácií zahŕňa:

(i)               údaje týkajúce sa povahy samotného porušenia, vrátane kategórií a počtu dotknutých osôb a dotknutých záznamov;

(ii)             kontaktné údaje, na ktorých možno získať ďalšie informácie;

(iii)           opis následkov porušenia a

(iv)            opis opatrení na zmiernenie dôsledkov porušenia.

6.      Aké sú ďalšie povinnosti spojené s porušením ochrany osobných údajov?

Každé porušenie ochrany osobných údajov nemusí mať za následok notifikáciu dozornému orgánu (viď výnimka spomenutá vyššie). Pri každom porušení je však prevádzkovateľ povinný toto porušenie zdokumentovať, a to vrátane jeho následkov a prijatých opatrení na nápravu?

7.      Možné sankcie v prípade neoznámenia porušenia

V prípade, ak prevádzkovateľ neoznámi porušenie ochrany osobných údajov (alebo poruší iné povinnosti spojené s notifikáciou), hrozí mu pokuta až do výšky 10.000.000 EUR resp. 2% globálneho ročného obratu za minulý rok (podľa toho, ktorá suma je vyššia).

Je však potrebné poznamenať, že napriek tomu, že horná hranica výšky pokuty pôsobí pomerne odstrašujúcu, konkrétna výška pokuty závisí od špecifických podmienok porušenia a vo väčšine prípadov sa pokuta nebude pohybovať v okolí tejto hornej hranice.

Tento článok slúži len ako všeobecná informácia a nenahrádza právne poradenstvo v konkrétnej veci.