Tip na článok
Andrej Schwarz:  Treba pamätať na to, že ľudská hlúposť sa legislatívne regulovať nedá.

Dvadsaťmiliónové pokuty pre živonostníkov: Ktoré inštitúcie môžete požiadať o vymazanie vašich osobných údajov?

Do praxe vošlo nariadenie, ktoré má chrániť osobné údaje všetkých občanov európskeho spoločenstva. Pripravte sa na absurdné situácie, vraví právnik Andrej Schwarz.

Štyri písmená, ktoré spôsobujú strach a hystériu. Alebo nespôsobujú nič a vôbec netušíme, o čo ide. Pod skratkou nového nariadenia Európskej únie (EÚ) GDPR sa skrýva anglický názov General Data Protection Regulation, v preklade zákon na ochranu osobných údajov. Tento európsky výmysel, ktorý bol prijatý v roku 2016 a začal platiť 25. mája tohto roka, už stihol zľudovieť vo vtipoch. „Poznáš odborníka na GDPR? Áno, ale nemôžem ti dať na neho kontakt.“ Prinesie nariadenie skutočne takéto absurdné situácie? Bude z neho úžitok, keď sa prekoná počiatočná byrokracia? Čo bude mať z GDPR občan a čo pozitívne prinesie firmám?

Nariadenie, ktoré mnohých Slovákov zaskočilo, vysvetľuje v rozhovore s JANOU ŠIMÍČKOVOU a VERONIKOU COSCULLUELA advokát ANDREJ SCHWARZ (40).

Je GDPR dobré nariadenie?

Odpovedal by som na to asi takto: Ak ho vnímam ako bežný občan obyčajným sedliackym rozumom, tak si nemyslím, že toto nariadenie bude nejakým zásadným spôsobom užitočné. Z odborného pohľadu v nariadení v určitých ohľadoch nejaký prínos vidím.

Prečo si to myslíte?

Pretože sú aj dôležitejšie veci, ktoré sa týkajú ochrany osobných údajov, a podceňujú sa. Napríklad zdravý úsudok ľudí, ktorí vlastné osobné údaje dávajú kdekade. Na jednej strane máme síce snahu Európskej únie, a nielen jej, osobné údaje chrániť pred zneužitím, ale na konci dňa ľudia veľmi ľahkovážne svoje osobné údaje prezrádzajú. Je otázka času, kedy ich to dobehne. Navyše tí najagresívnejší obťažovatelia spamom a rôznymi telefonickými ponukami konali nelegálne doteraz a budú tak robiť naďalej.

Hádam má prijaté nariadenie GDPR nejaké pozitíva.

Určite. Pozitívum pre občanov vidím v tom, že nariadenie stransparentňuje vzťahy medzi dotknutými osobami, teda tými, ktorých údaje sa spracúvajú, a prevádzkovateľmi, čiže podnikmi, ktoré osobné údaje využívajú. Momentálne síce prevláda akýsi negatívny sentiment vo vzťahu k tomuto nariadeniu, valí sa na nás prílišná byrokracia, ale ak sa bude aplikovať rozumne, tak to bude dobré, a to aj z toho pohľadu, že na Slovensku nestaviame na zelenej lúke. Práve naopak, aj predtým sme mali relatívne prísny zákon o ochrane osobných údajov, v niektorých ohľadoch dokonca rigidnejší ako európske nariadenie.

Čo znamená stransparentnenie vzťahov?

To, že, ja ako dotknutá osoba by som mal presne vedieť, kto moje osobné údaje spracúva, s akým cieľom a kde sa moje osobné údaje nachádzajú.

Aký dosah má nariadenie GDPR na bežného občana?

Ľudia v uplynulých dňoch už zrejme zaregistrovali dosah, keď sa im začali plniť mailové schránky rôznymi oznámeniami a poučeniami. Spoločnosti tak robia v snahe plniť si svoju informačnú povinnosť. Ak máte napríklad nejakú vernostnú kartu, daná spoločnosť vám musí poskytnúť informáciu, na čo vaše osobné údaje potrebuje, ktoré osobné údaje potrebuje, na aký účel ich potrebuje, ako dlho ich bude spracúvať, na akom právnom základe, a poučiť vás, aké máte práva.

Aké máme práva?

Máme najmä právo na informácie o spracúvaní osobných údajov, právo na vymazanie, odvolanie súhlasu, namietanie proti spracúvaniu údajov, ale aj právo na ich prenosnosť niekomu inému. Zatiaľ je to síce zložité, najmä z technologického pohľadu, ale minimálne tieto práva občanom nariadenie GDPR zabezpečuje.

Prečo bolo treba nariadenie GDPR prijať?

Zjednotenie úprav v Európskej únii, to bol základ, prečo sa prijalo. Všade bola totiž iná regulácia. Spôsobovalo to problémy najmä tým, ktorí majú e-shopy, lebo keď je iná regulácia na Slovensku, iná v Poľsku či Rakúsku, všade musia svo­jim zákazníkom predostrieť iné poučenia a majú iné povinnosti. GDPR je dôležité práve kvôli rozvoju onlinu, virtuálneho sveta. Pokým sme boli v analógovom svete, podpísali sme zmluvu, v ktorej boli uvedené osobné údaje, zmluva sa založila do fascikla, ten do poličky a tak sa to končilo. Teraz sa osobné údaje spracúvajú online a my ani nevieme, kam putujú, na aké zahraničné servery. Nevieme prakticky nič o tom, čo sa s nimi robí.

Čo všetko sa pokladá za osobný údaj?

Dnes už dôležitým osobným údajom nie je len to, ako sa voláte, kde bývate, koľko máte rokov, akého ste pohlavia. To sú „klasické“ osobné údaje. Osobným údajom je už aj vaše spotrebiteľské správanie, čiže čo ste si kúpili, ako často si to kupujete, kde si to kupujete. To všetko sú informácie, ktoré o vás spracúvajú. Alebo ak máte záujem o dovolenku, doma na počítači si vyťukáte „dovolenka v Chorvátsku“, ráno prídete do práce a na druhom počítači vám vyskočia reklamné banery s podobnými dovolenkami. To nie je náhoda. To je tak­zvané profilovanie vášho správania na internete.

Dá sa vôbec ochrana údajov zabezpečiť?

Akýkoľvek zákon sa dá porušiť a obísť. Vždy sa nájde niekto, komu stojí za to, že vaše osobné údaje zneužije. Čiže na túto otázku sa nedá jednoznačne odpovedať. To je ako s Trestným zákonom. Dá sa zabezpečiť, aby ľudia nekradli a nevraždili? Dá sa, samozrejme, tieto negatívne javy minimalizovať, po prvé vhodnou reguláciou, teda zákonným prostredím, a po druhé vhodnou a efektívnou implementáciou úradmi. No a po tretie aj určitým spoločenským povedomím, kultúrou a morálkou spoločnosti. Pri ochrane osobných údajov musia pôsobiť všetky tri elementy a dnes hádam najviac pokrivkáva povedomie verejnosti, ktorá so svoji­mi osobnými údajmi nie vždy narába obozretne.

Narážate na to, že ľudia sú schopní na sociálne siete o sebe napísať a zverejniť skutočne čokoľvek?

Keby len o sebe, aj o susede! (Smiech.)

Aká je teda ochrana, keď ľudia svoje osobné veci zverejňujú bez akéhokoľvek donútenia?

To je pravda, ľudia akoby si neuvedomovali, že nimi poskytnuté údaje môžu byť zneužité. To sa už však dostávame k podvodom, ku kyberšikanovaniu a k problémom z úplne inej sféry, ako je GDPR. Treba pamätať na to, že ľudská hlúposť sa legislatívne regulovať nedá.

Viaceré firmy majú na webe fotografie svojich tímov. Musím s tým súhlasiť?

Zverejňovanie fotografií zamestnancov na internete alebo na intranete môže byť oprávnený záujem zamestnávateľa alebo sa to môže diať po súhlase. Neexistuje na všetko presný návod. Prax bude musieť tieto veci vyriešiť. Oprávnený záujem je v tomto prípade diskutabilný, ale ak ide napríklad o obchodného zástupcu, dá sa na tento záujem pozerať aj ako na odôvodniteľný. Obchodný zástupca je v dennodennom kontakte s klientmi, telefonuje s nimi. Aby klient vedel, s kým hovorí, viem si predstaviť, že je žiaduce v rámci osobnejšieho vzťahu a efektívnejšej komunikácie a zvýšenia dôveryhodnosti, aby klient vedel aj podľa fotografie, s kým hovorí. Na zverejnenie jeho fotografie preto jeho zamestnávateľ nepotrebuje súhlas, ak obháji svoj oprávnený záujem.

Čiže ak by s publikovaním svojej fotky nesúhlasil obchodný zástupca, mohol by prísť o prácu?

Ak by sa so zamestnávateľom nedohodli, na konci by musel rozhodnúť úrad alebo súd. Tieto veci sa musia vykryštalizovať.

Školy v týchto dňoch posielajú rodičom papiere na podpis. Pýtajú súhlas na to, aby mohli zverejniť na nástenke výsledky detí v súťažiach alebo na webe zverejniť ich fotografie zo školských akcií. Ak nesúhlasím s fotografiami, ako to v praxi bude škola robiť?

Školám teda nezávidím. Niektoré veci budú v praxi ťažko realizovateľné. Záleží na škole, aký spôsob zvolí. Napríklad, keď polovica rodičov dá súhlas a druhá nie, tak sa deti na akciách odfotia, ako hrajú futbal, a potom to na webe zretušujú. Ak ide o triedne foto s cieľom zverejniť ho na webe, tak sa polovica pošle preč a odfotia sa len tie deti, ktorých rodičia s fotením súhlasili. Sú to však všetko trochu neférové riešenia, niekedy až absurdné, ale je to minimálne formálne podľa zákona. Vždy si treba zachovať zdravý úsudok, čo áno, čo nie. Treba zvážiť ochranu dieťaťa aj to, aby ho neposlali do kúta, keď sa idú fotiť všetci. Predstavte si, že rodič súhlas najprv dá, potom si to rozmyslí a súhlas zoberie späť. Úprimne, táto oblasť nie je v nariadení veľmi domyslená.

Štátne úrady o nás zbierajú množstvo informácií aj ich publikujú v online registroch, ako je katasterportal, Obchodný register, zoznam dlžníkov poisťovní. Mám právo žiadať od úradov, aby vymazali z webov informácie o mne?

Úprimne, neviem odpovedať, či by ste mali mať v týchto online úradných registroch právo žiadať, aby ste neboli dohľadateľní. Čo je prevládajúci verejný záujem - ochrana osôb alebo otvorenosť dát? V tejto súvislosti vnímam ošiaľ ohľadom rodného čísla, a pritom je to len údaj, z ktorého viem vyčítať, kedy ste sa narodili a akého ste pohlavia. Hystéria s jeho ochranou je neúmerná tomu, čo tento údaj obsahuje.

Nie je to právnicky jasné? Mám právo vymazať sa z úradných online databáz?

V týchto registroch môžeme vidieť verejný záujem, ktorý sledujú jedno­tlivé zákony upravujúce verejné registre. Preto sa jednoducho nemôžete domáhať vymazania vašich údajov z katastra alebo z Obchodného registra. Tam sa vaše osobné údaje spracúvajú na základe zákona.

Je v poriadku, ak moje údaje úrady uchovávajú. Ale čo ak mám problém s tým, aby z nich potom údaje čerpali iné weby na svoj biznis? U nich mám právo na vymazanie?

Oprávnený záujem je sporný napríklad na Finstate, Foaf.sk a v iných agregáciách, ktoré majú svoj biznis model postavený na spracovaní verejných dát. Domnievam sa, že aj v prípade, ak súkromné spoločnosti sú oprávnené takéto zverejnené osobné údaje zbierať a ďalej spracúvať, neznamená to, že sa na nich nevzťahujú povinnosti ako na akéhokoľvek iného správcu osobných údajov, a teda aj povinnosť vymazať vaše údaje, ak budete namietať proti ich ďalšiemu spracúvaniu.

Aktuálne nariadenie GDPR odpoveď na túto otázku nemá?

Nariadenie nemá odpovede na množstvo otázok. Podľa doterajšej legislatívy bolo možné spracúvať údaje, ktoré už raz boli zverejnené, teda boli verejne dostupné. Táto možnosť však z nariadenia vypadla. Preto sa teraz organizujú na túto tému odborné konferencie a som zvedavý, ako sa k tomu postaví náš úrad. Foaf.sk, Finstat a iné súkromné firmy, ktoré spracúvajú verejné dáta, si musia na svoje ďalšie fungovanie nájsť iný právny zá­klad. Osobne si neviem predstaviť, aký iný právny základ by si mohli nájsť ako oprávnený záujem. Pri oprávnenom záujme však budú musieť urobiť dôsledný test proporcionality, či záujem občana neprevyšuje záujem týchto spoločností na spracúvaní takýchto osobných údajov.

Kto bude kontrolovať, či sa firmy riadia novým nariadením o nakladaní s osobnými údajmi? Úrad na ochranu osobných údajov?

Áno, ako doteraz.

Bude to prísnejšie?

Neviem, treba sa opýtať úradu. Doteraz sme mali zákon, ktorý vyžadoval presne štruktúrovaný bezpečnostný projekt, mali sme také a také formuláre, potrebnú pečiatku. Bolo to veľmi formálne, nalinajkované. Nové GDPR nariadenie je postavené inak. Hovorí - toto sú základné princípy, toto sú ciele. Ty ako prevádzkovateľ si povinný prijať nevyhnutné organizačno-technické opatrenia na zabezpečenie ochrany osobných údajov. Ak dôjde k úniku, je to bezpečnostný incident, ktorý treba do 72 hodín nahlásiť. Nariadenie už nešpecifikuje, čo sú organizačno-technické opatrenia. To si musí každá spoločnosť vyhodnotiť sama. Či to bude robiť cez svojich IT bezpečnostných technikov, právnikov, alebo konzultantov, jednoducho musí prijať také riešenia, ktoré si bude vedieť pred úradom obhájiť ako dostatočné.

Sú pokuty 20 miliónov reálne?

Nemyslím. Keby sa skutočne ukladali, mohlo by dôjsť aj ku kolapsu ekonomického systému. V Európe likvidačné pokuty ukladajú úrady výnimočne, to sa deje skôr v Amerike.

Čo reálne hrozí firmám? Žiadosť o nápravu? Menšie pokuty?

Ak firmy urobia poriadok s osobnými údajmi, nemusia sa obávať. Je dôležité, aby zabezpečili dodržiavanie určitých zásad, napríklad, že zamestnanci si nebudú preposielať nezašifrované osobné údaje o klientoch, spolupracovníkoch, že nebudú behať po kancelárii s USB kľúčmi. Musia určiť, kto s osobnými údajmi nakladať môže, kto ich nepotrebuje, kto nevyužíva. Všetko závisí, samozrejme, aj od rozsahu a charakteru údajov, ktoré spracúvajú. To sú príklady opatrení, ktoré musí každý prijať a budú predmetom kontrol z úradu.

Ako budú prebiehať kontroly?

Z pohľadu výkonu dozoru sa pre prevádzkovateľov nič dramaticky nemení. Príde kontrola z úradu a bude sa pýtať, tak ako predtým - aké opatrenia ste prijali, ako funguje vaša spoločnosť, aké údaje zbierate, či si plníte jednotlivé povinnosti. Vašou úlohou bude preukázať, že áno. Napríklad - naša spoločnosť žiadny marketing nevykonáva, sme priemyselná fabrika. Máme zamestnancov, ktorí boli poučení, takéto poučenia dostali, podpísali, tu sú naše zásady spracovania našich osobných údajov, tu je opísané, aké IT systémy máme, ako sú zabezpečené.

Ak nie je všetko v poriadku?

Žiaľ, je to oblasť, kde platí, že kto chce psa biť, palicu si nájde. Môže nastať situácia, že nájdu nedostatok. Ten však musia v zmysle zásad správneho trestania vyhodnocovať. Môžu uložiť administratívnu sankciu, ale pri zohľadnení závažnosti porušenia, dĺžky trvania, následkov, škody a ďalších parametrov. Od toho by sa mala odvíjať výška pokuty. Je zásadný rozdiel, keď niekto drzo spracúva vaše údaje bez vášho vedomia, bez poučenia a ešte drzejšie ich predáva ďalším firmám, a niekto, kto má všetko v poriadku a jediný jeho prehrešok je, že fotografie zamestnancov na webe zaradil do oprávneného záujmu a nie pod súhlas. Tu by išlo len o problém v interpretácii nariadenia. Dúfam, že prax sa bude vyvíjať v rozumných medziach, lebo najhoršie zo všetkého by bolo vytvoriť atmosféru strachu.

Prinieslo nariadenie GDPR právnu neistotu pre podnikateľov?

Neviem, či by som to takto povedal, ale práve istotu to nikomu neprinieslo. Najmä pri spomínaných opatreniach na ochranu osobných údajov, ktoré musia podnikatelia prijať. Ako bude úrad vyhodnocovať, či sú konkrétne opatrenia dostatočné? Každá firma ich môže mať odlišné.

Čo ak zistím, že niekto má moje údaje bez súhlasu?

Vaše základné právo, ktoré prináša toto nariadenie, je pýtať sa, odkiaľ ich má, čo presne o vás má, na čo ich má a na základe čoho tieto informácie o vás spracúva. Je povinný odpovedať do 30 dní. Na druhej strane, ľudia sú „vrtáci“ a dúfajme, že zbytočne nebudú podnikateľov zaťažovať. Aby sa z využívania práva nestalo zneužívanie.

Aký je rozdiel medzi právom na vymazanie a právom na zabudnutie?

Keď sú dôvody na vymazanie u prevádzkovateľa, prevádzkovateľ má povinnosť vymazať všetky vaše osobné údaje. To je právo na výmaz. Ak však tento prevádzkovateľ o vás osobné údaje zverejnil, je povinný prijať primerané opatrenia, aby informoval iných prevádzkovateľov, aby vymazali všetky odkazy na tieto osobné údaje. To je právo na zabudnutie.

Možno bude lepšie objasniť to na príklade.

Niekto sa kedysi dávno zúčastnil na amatérskych pretekoch a nedosiahol excelentný výsledok. Výsledky sú zverejnené na webe už desať rokov. Požiadate organizátora súťaže, aby nespracúval vaše údaje, a on výsledky z webu stiahne. Zároveň by mal požiadať napríklad aj Google, aby vymazal odkaz na tieto výsledky tak, aby nevyskakovalo vaše meno ako účastníka súťaže zakaždým, keď zadáte svoje meno do vyhľadávača.

Na aké dáta by sme mali byť skúpi? Ktoré si chrániť ostražito?

Keďže obľubujete príklady, uvediem jeden zo života. Jeden pán bol nepríjemne prekvapený, keď mu začali chodiť rôzne komerčné ponuky na mail. Naštvaný oslovil preto dotknutú spoločnosť, odkiaľ má jeho údaje a na základe čoho ich spracúva. Spoločnosť mu podľa pravdy odpovedala, že údaje má od neho, keď pred pár rokmi vyplnil nejaký online kvíz či dotazník o sexuálnom zdraví mužov a zjavne pritom dal svoje osobné údaje aj súhlas na ich spracúvanie. Čiže, ak nemusíte, nedávajte svoje údaje, ak to nie je nevyhnutné, a riaďte sa zdravým úsudkom. Asi by som upozornil aj na to, čo a ako prezentujete najmä na internete, možno trocha v naivnej predstave anonymity či bezpečia.

Sú najväčším zlom vernostné kartičky?

Pre mňa je najväčšie zlo, keď sa zneužijú deti. Hovorím najmä o kyberšikanovaní alebo o behaviorálnom targetingu detí. Druhé najväčšie zlo - spamy. Stále vám niečo ponúkajú a je jasné, že vašu e-mailovú adresu niekde stiahli z webu alebo od niekoho dostali. Nelegálne je však už aj to, že na svoje obchodné účely použili váš mail. To, že je zverejnený, neznamená, že ho môže hocikto spracúvať. Aj keď na katastri je všetko zverejnené, neznamená to, že si z toho urobíte databázu a budete ľuďom do schránok posielať ponuky. Navyše, oslovovanie cez e-mailový direct marketing sa môže prevádzkovať len na základe súhlasu. Aj z toho však existuje výnimka, ak si niekde kúpite tovar alebo službu, môže vám dotyčný predajca posielať ponuku svojich podobných tovarov aj bez vášho súhlasu, samozrejme, máte možnosť takéto oslovovanie dodatočne zakázať.

Spamov sa však ani s novým nariadením nezbavíme.

Nie, tí ktorí to robia „na hulváta“, to budú robiť ďalej. Navyše ich ťažko vystopovať. Môže to prichádzať zo serverov niekde na ostrovoch v Pacifiku. Prax ukáže, či sa telefonáty s ponukami obmedzia, ale myslím, že mi stále budú volať, či nechcem obchodovať s kukuricou na komoditnej burze.

Aké vypuklé problémy s ochranou osobných údajov GDPR nerieši?

Ako sme spomenuli, napríklad spracovanie už zverejnených osobných údajov. Alebo ako postupovať pri fotografovaní detí v školách a podobne. Žiaľ, problémov je dosť. Veľký problém predstavujú napríklad služby, ktoré sú síce zadarmo, ale platí sa za ne vašimi osobnými údajmi. Napríklad taký freemail. Zriadite si nejakú e-mailovú adresu, ale cenou za to je, že vám na ňu chodia cielené marketingové ponuky. Je to dovolené? Nie je? Nad tým si teraz láme hlavu množstvo firiem.

Niektorí europoslanci prispeli k hystérii absurdnými príkladmi. Akú otázku by si mal človek položiť, kým o dôsledkoch GDPR začne vymýšľať nepravdepodobné situácie?

Neviem, či prispeli. Skôr si myslím, že chceli poukázať na obludnosť dôsledkov prehnanej regulácie. Zoberme si príklad vášho časopisu. Máte tam meno redaktorov a meno firmy. To je už osobný údaj. Dajme tomu, že ho odoberám ako firma a uskladňujem noviny na poličke. Teda vaše osobné údaje uchovávam. Lebo ochrana sa týka nielen údajov v elektronickej, ale aj v papierovej forme. Prídete a uplatníte si právo - spýtate sa ma - Pán Schwarz, aké osobné údaje o mne spracúvate? Zároveň si uplatníte právo na výmaz. Spálim všetky vydania? Ísť do absurdít je ľahké. Veľmi bude záležať na tom, ako sa svojej úlohy zhostia dozorné orgány. Budú uplatňovať zákon rigidne a formalisticky alebo v súlade s realitou a potrebami praxe?

Ako by sa teda mali riešiť takéto absurdné prípady v praxi?

Asi by sme mali zákony, smernice a nariadenia čítať od prvej vety a s pochopením ich zmyslu a účelu. Hneď by sme zistili, či sa vecná pôsobnosť na ten-ktorý prípad vôbec uplatňuje. V mojom prípade týkajúcom sa vášho časopisu spracúvam osobné údaje? Podľa toho, ako nariadenie definuje spracúvanie, tak áno. Ale pozor, potom treba, aby bol jasný prevádzkovateľ, teda fyzická a právnická osoba, ktorá určí cieľ a prostriedky spracúvania. No a tu je problém. Ja údaje v PLUS 7 DNÍ o vašom mene a pracovnej pozícii nepotrebujem. Nemám teda cieľ, nie som prevádzkovateľom týchto údajov, teda nariadenie v tomto príklade sa ma netýka. Asi by sme mali povedať, že nariadenie sa netýka fyzických osôb, ktoré spracúvajú informácie v rámci osobnej alebo domácej činnosti. Ak máte ako súkromná osoba fotky či kontakty uložené v počítači, v mobiloch a podobne, to všetko ide mimo GDPR.

VIDEO Plus 7 Dní