Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 („Nariadenie“), známe pod skratkou GDPR, v uplynulom roku vďaka médiám až nadmieru viditeľné, v súčasnosti ako keby upadalo do zabudnutia. A to je škoda, lebo až keď začali dozorné orgány – u nás Úrad na ochranu osobných údajov („Úrad“) – udeľovať pokuty za porušovanie GDPR, sa začína vyjasnievať ako tieto dôležité inštitúcie v praxi interpretujú ustanovenia Nariadenia.
Kto z tých, čo spracúvajú osobné údaje, si napríklad plne uvedomil dôsledky toho, že na rozdiel od predchádzajúcej legislatívy sú ustanovenia Nariadenia záväzné pre všetky členské štáty EÚ ? Z tejto skutočnosti o.i. vcelku priamočiaro vyplýva, že princípy, stanovené Nariadením, by sa mali interpretovať a aplikovať vo všetkých členských štátoch EÚ rovnako. V praxi to znamená, že pri posudzovaní prípadných prehreškov proti Nariadeniu by mal náš Úrad zohľadňovať aj to, ako sa k obdobnej situácii stavajú/postavili dozorné orgány ostatných členských štátov. Informácie o rozhodnutiach dozorných orgánov v členských štátoch EÚ o porušení ustanovení Nariadenia preto poskytujú cenný zdroj informácií pre preskúmanie, či aktuálny prístup organizácie k Nariadeniu zodpovedá tomu, ako asi bude Úrad v prípade kontroly aplikovať princípy Nariadenia pre daný stav.
Ako ilustratívny príklad by som uviedol správne uvedenie tzv. právneho základu pre spracúvanie osobných údajov. Spracovanie na základe súhlasu dotknutých osôb sa javí ako jasná stávka na istotu – veď ak prevádzkovateľ vie preukázať, že dotknuté osoby súhlasili so spracovaním svojich údajov, čo mu už kto môže vytknúť? Nie raz som sa v minulosti stretol s tým, že zamestnávateľ dával zamestnancom podpísať súhlas so spracovaním ich osobných údajov na účely personálnej a mzdovej agendy – a na moju námietku, že na tento účel sa zákonnosť spracúvania odvodzuje z konkrétnych zákonov argumentoval, že to „pre istotu“. Ako však vyplýva z rozhodnutia gréckeho dozorného orgánu, mať súhlas dotknutej osoby ešte neznamená, že spracúvanie jej údajov je zákonné (presnejšie – súhlas má byť právnym základom len ak sa nedajú aplikovať iné možnosti). Spoločnosť PWC Business Solutions síce mala súhlas svojich zamestnancov na spracúvanie ich údajov na účel štandardnej personálnej agendy, ale aj tak sa podľa názoru dozorného orgánu dopustila porušenia princípov Nariadenia. Určenie vhodného právneho základu a informovanie dotknutých osôb o tomto právnom základe totiž súvisí s ich možnosťami uplatniť si svoje práva. Tento poznatok vyšiel PWC Business Solutions dosť draho – grécky dozorný orgán „ocenil“ toto porušenie Nariadenia pokutou 150 000 Eur.
Iné príklady zas ukazujú, že k ochrane osobných údajov a zvlášť k povinnostiam, ktoré prevádzkovateľom ukladá Nariadenie, je potrebné pristupovať s plnou vážnosťou. Prevádzkovateľ, ktorý zamietol žiadosť dotknutej osoby o vymazanie jej telefónneho čísla zo spracúvaných údajov s odôvodnením, že spracúvanie tohto údaju je v jeho oprávnenom záujme, sa podľa rozhodnutia maďarského dozorného orgánu dopustil porušenia princípov minimalizácie a obmedzenia účelu … podľa dozorného orgánu telefónne číslo nie je nevyhnutné pre daný účel (vymáhanie dlhu dotknutej osoby), nakoľko s dotknutou osobou je možné komunikovať iným spôsobom (poštou). Pokuta za neoprávnenú aplikáciu „oprávneného záujmu“ vyšla prevádzkovateľa na milión forintov (cca 3 200 Eur). Ignorovanie žiadostí dotknutých osôb o uplatnenie ich práv, ktoré im Nariadenie priznáva, či dokonca pokynov dozorného úradu, sa nevypláca ani v Česku … z dostupných rozhodnutí vidieť, že porušenie práv jednej osoby český Úrad na ochranu osobných údajov „ocení“ pokutou vo výške 10 000 Kč, porušenie práv dvoch osôb pokutou vo výške 20 000 Kč, čo môže indikovať približnú výšku pokuty v prípade ignorovania žiadostí viacerých osôb jedným prevádzkovateľom.
Ďalší príklad z Nórska zas pripomína, že Nariadenie vykazuje zvýšenú citlivosť na zabezpečenie ochrany spracúvania údajov detí. Nedostatočné zabezpečenie osobných údajov cca 35 000 osôb je problém sám osebe, priťažujúcou okolnosťou však bolo, že vo väčšine prípadov šlo o žiakov škôl. Ďalšou priťažujúcou okolnosťou bolo aj opakované ignorovanie upozornení na nedostatočné zabezpečenie … v konečnom dôsledku to stálo mestskú samosprávu v Bergene 170 000 Eur.
Z dostupných rozhodnutí sa dá tiež usúdiť, že neohlásenie porušenia ochrany spracúvaných údajov dozornému orgánu nebude brané na ľahkú váhu i v prípadoch, kedy možnosť neoprávneného prístupu k údajom bola časovo dosť obmedzená. Dozorný orgán Litvy napríklad usúdil, že už skutočnosť, že dôsledku neadekvátnych technických a organizačných opatrení boli údaje po dobu 2 dní prístupné z Internetu, mala byť dôvodom na podanie oznámenia dozornému orgánu. To, že to prevádzkovateľ (prevádzkovateľ platobných služieb) neurobil, spolu so spracúvaním údajov nad nevyhnutne potrebný rozsah, dozorný orgán „ocenil“ pokutou vo výške 61 500 Eur.
Podľa mojich skúseností sa pri návrhu opatrení na ochranu osobných údajov vcelku bežne zabúda na likvidáciu osobných údajov po uplynutí účelu, na ktorý boli získané a spracúvané. Na to doplatila spoločnosť IDdesign v Dánsku, ktorá jednak spracúvala údaje cca 385 000 klientov dlhšie, ako to bolo nevyhnutné na daný účel, jednak neustanovila a nezdokumentovala termíny pre vymazanie osobných údajov v novom CRM systéme a ani nezdokumentovala procedúry pre takéto vymazanie. Dánsky dozorný orgán jej za to vymeral pokutu 200 850 Eur.
Vyššie uvedené príklady snáď dostatočne ilustrujú moje presvedčenie, že skúmanie rozhodnutí vydaných dozornými orgánmi členských štátov EÚ pomôže lepšie pochopiť, ako interpretovať ustanovenia Nariadenia tak, aby prípadná kontrola zo strany Úradu dopadla pre prevádzkovateľa čo najlepšie. Pre prípadných záujemcov odporúčam stránku http://www.enforcementtracker.com/ ktorá má ambície na jednom mieste prinášať prehľad rozhodnutí dozorných orgánov o prípadoch porušovania Nariadenia.