GDPR legislatíva
Určite Vašej pozornosti neuniklo, že od 25.05.2018 sa začalo uplatňovať Nariadenie EÚ 2016/679 (link) o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (Nariadenie GDPR) a zároveň nadobudol účinnosť nový zákon č. 18/2018 Zb. o ochrane osobných údajov (link) a o zmene a doplnení niektorých zákonov.
Nariadenie GDPR zaviedlo úplne nové povinnosti a jednotné pravidlá v oblasti ochrany osobných údajov pre všetky členské štáty EÚ. Podľa novej legislatívy sa ochrana osobných údajov z hľadiska vypracovania potrebnej dokumentácie podstatne sprísnila, pričom za nedodržanie podmienok vypracovania takejto dokumentácie a porušenie ustanovených povinností hrozia povinnému subjektu nemalé sankcie.
Dokumentácia GDPR
V súčasnosti má už drvivá väčšina povinných fyzických a právnických osôb – prevádzkovateľov osobných údajov vypracovanú dokumentáciu GDPR, no nájdu sa aj takí, ktorí sa k tomu ešte stále nedostali a s vypracovaním potrebnej dokumentácie o ochrane osobných údajov otáľajú.
Napriek tomu sa neraz stáva, že aj prevádzkovatelia, ktorí si splnili svoje povinnosti stanovené príslušnými právnymi predpismi a vypracovali potrebnú dokumentáciu včas, čelia rôznym sankciám a pokutám zo strany kontrolného orgánu, ktorým je Úrad na ochranu osobných údajov SR za nesprávne, či neúplné vypracovanie dokumentácie, či porušenie povinností na úseku ochrany osobných údajov.
Kontrola GDPR Úradom na ochranu osobných údajov SR
V ďalších riadkoch Vás oboznámime s tým, ako prebieha kontrola dodržiavania Nariadenia GDPR . V rámci procesu kontroly dodržiavania povinností týkajúcich sa ochrany osobných údajov vykonáva Úrad na ochranu osobných údajov dva typy kontrol, a to je kontrolu riadnu a mimoriadnu. Mimoriadna kontrola spočíva v tom, že Úrad na ochranu osobných údajov vykoná u konkrétneho prevádzkovateľa alebo inej kontrolovanej osoby kontrolu bez toho, aby ju o vykonaní takejto kontroly vopred informoval. Táto kontrola sa vykonáva v prípade, ak by informovaním kontrolovanej osoby vopred hrozilo zmarenie účelu kontroly, pričom v takomto prípade vykoná kontrolný orgán oznámenie o výkone kontroly bezprostredne pred samotným výkonom kontroly, a teda na mieste.
V ostatných prípadoch vykonáva Úrad na ochranu osobných údajov riadnu kontrolu, pričom v takomto prípade je kontrolný orgán povinný oznámiť výkon kontroly kontrolovanému subjektu aspoň 10 dní vopred pred vykonaním kontroly. Jednotlivé oprávnenia a povinnosti kontrolného orgánu a kontrolovaného subjektu na úseku kontroly sú bližšie obsiahnuté v Zákone o ochrane osobných údajov. Avšak stále platí, že pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.
Výsledkom každej kontroly by mal byť protokol (ak sa kontrolou zistí porušenie povinností na úseku ochrany osobných údajov), alebo záznam o kontrole (ak sa kontrolou nezistí porušenie povinností na úseku ochrany osobných údajov). V prípade, ak s kontrolnými zisteniami uvedenými v protokole nesúhlasíte, ste ako kontrolovaná osoba oprávnená podať voči protokolu písomné námietky v lehote 21 dní odo dňa doručenia protokolu. O výsledku preskúmania námietok je kontrolný orgán povinný rozhodnúť v lehote 15 pracovných dní odo dňa ich doručenia.
Zároveň v zmysle novej právnej úpravy je Úrad na ochranu osobných údajov oprávnený viesť konanie o ochrane osobných údajov, účelom ktorého je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov, alebo k porušeniu príslušných právnych predpisov. Ak je to dôvodné a účelné, Úrad na ochranu osobných údajov je v tomto konaní následne oprávnený rozhodnúť nielen o opatreniach, ktoré je potrebné prijať na nápravu porušených povinností, ale zároveň aj udeliť kontrolovanému subjektu nemalú pokutu.
Sankcie za porušenie povinností
V prvom rade je potrebné upozorniť na to, že v prípade, ak z Vašej strany dôjde k porušeniu povinností na úseku ochrany osobných údajov dotknutých osôb, je Vašou zákonnou povinnosťou ako prevádzkovateľa, oznámiť Úradu na ochranu osobných údajov porušenie ochrany osobných údajov do 72 hodín po tom, ako ste sa o ňom dozvedeli. To však neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
A aké sú teda sankcie za porušenie práv dotknutej osoby alebo za nesplnenie povinností pri spracúvaní osobných údajov?
Úrad na ochranu osobných údajov môže okrem iného predovšetkým
- uložiť kontrolovanému subjektu opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia
- nariadiť kontrolovanému subjektu odstránenie zistených nedostatkov a príčin ich vzniku v stanovenej lehote
- nariadiť kontrolovanému subjektu prijatie konkrétnych technických a organizačných opatrení
- nariadiť kontrolovanému subjektu posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov v súlade so Zákonom o ochrane osobných údajov a inými osobitnými predpismi
- uložiť kontrolovanému subjektu pokutu
- uložiť kontrolovanému subjektu iné, zákonom stanovené sankcie
GDPR pokuty
Určite jedným z najnepríjemnejších následkov zistenia porušenia povinností kontrolovaného subjektu Úradom na ochranu osobných údajov je uloženie pokuty, o ktorých výške sa v tejto súvislosti neustále hovorí. Pokuty, ktoré je Úrad na ochranu osobných údajov oprávnený za porušenie povinností ustanovených GDPR alebo Zákonom o ochrane osobných údajov uložiť sú v niektorých prípadoch takmer likvidačné.
Zákon o ochrane osobných údajov rozlišuje nasledovné výšky pokút:
- pokutu do výšky 10 000 000 Eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia – za menej závažné porušenia povinností, napríklad v prípadoch, ak prevádzkovateľ:
- opomenie získanie súhlasu so spracúvaním osobných údajov od zákonného zástupcu v súvislosti s ponukou služieb informačnej spoločnosti osobe mladšej ako 16 rokov,
- neprijme vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie vykonáva v súlade so Zákonom o ochrane osobných údajov,
- neustanoví zodpovednú osobu napriek tomu, že sa naňho vzťahuje táto zákonná povinnosť,
- neoznámi porušenie ochrany osobných údajov Úradu na ochranu osobných údajov alebo dotknutej osobe atď.,
- pokutu do výšky 20 000 000 Eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratuza predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia – za závažné porušenia povinností, napríklad v prípadoch, ak dôjde k porušeniu:
- niektorej zo základných zásad spracúvania osobných údajov vrátane zákonných podmienok udelenia súhlasu,
- práv dotknutej osoby,
- povinností pri prenose osobných údajov do tretej krajiny,
- opatrenia, ktoré uložil Úrad na ochranu osobných údajov,
- poriadkovú pokutu do výšky 2 000 Eur,ak kontrolovaná osoba nezabezpečí primerané podmienky na výkon kontroly,
- poriadkovú pokutu do výšky 10 000 Eur, ak kontrolovaná osoba marí výkon kontroly.
Pokuty a poriadkové pokuty Úrad na ochranu osobných údajov ukladá v závislosti od posúdenia okolností každého jednotlivého prípadu. Treba však zdôrazniť, že porušenie povinností na úseku ochrany osobných údajov nekončí len uložením pokuty zo strany kontrolného orgánu.
Následky porušenia GDPR
Následky v civilnoprávnej rovine
Podstatným následkom nesplnenia takýchto povinností, môže byť aj podanie žaloby jednotlivcom – dotknutou osobou voči Vám ako prevádzkovateľovi osobných údajov v prípade porušenia práv týkajúcich sa ochrany osobných údajov takejto dotknutej osoby. Každá osoba, ktorej vznikla majetková ujma alebo nemajetková ujma v dôsledku porušenia ustanovení Zákona o ochrane osobných údajov, má totiž právo na náhradu škody. Podanie takejto žaloby môže mať navyše za následok nielen stratu zákazníkov, či klientov Vašej spoločnosti, ale určite to môže zanechať aj iné negatívne následky vo Vašom ďalšom podnikaní. Zároveň je potrebné pripomenúť, že podaním žaloby nie je dotknutá možnosť poškodenej osoby paralelne uplatniť ochranu svojich práv aj pred Úradom na ochranu osobných údajov.
Poškodenie reputácie
Áno, pokuty a odškodnenia dotknutých osôb sú jedným z negatívnych následkov porušenia povinností týkajúcich sa ochrany osobných údajov a mali by byť brané vážne. Ale pre väčšinu podnikateľov je podstatnejším následkom porušenia práve potenciálna strata reputácie, ktorá by mala byť hlavným záujmom každého podnikateľa, bez ohľadu na odvetvie, v ktorom podniká.
Ojedinelá nie je ani medializácia prípadu, najmä vtedy, ak porušením ochrany osobných údajov boli podnikateľom spôsobené veľké a rozsiahle škody. V takomto prípade môže dôjsť k významnej negatívnej reklame podnikateľa, čím sa mu podstatným spôsobom zhorší jeho postavenie na trhu. Nielen, že Vaši existujúci zákazníci sa môžu dozvedieť o porušení, ale týka sa to aj tých, ktorí zvažujú, alebo by mohli zvažovať podnikanie s Vami v budúcnosti. Uvedené je potrebné vziať do úvahy práve v dnešnom svete sociálnych sietí a internetu, kedy sa zlé správy šíria bleskovou rýchlosťou.
Trestnoprávne následky
Odhliadnuc od vyššie uvedeného, ochranou osobných údajov sa zaoberá aj zákon č. 300/2005 Zb. Trestný zákon. V zmysle Trestného zákona zákonodarca trestá odňatím slobody toho, kto neoprávnene poskytne, sprístupní alebo zverejní osobné údaje o inom zhromaždené v súvislosti s výkonom verejnej moci alebo uplatňovaním ústavných práv osoby, alebo osobné údaje o inom získané v súvislosti s výkonom svojho povolania, zamestnania alebo funkcie, a tým poruší všeobecne záväzným právnym predpisom ustanovenú povinnosť.
Napriek tomu, že sa skutková podstata trestného činu neoprávneného nakladania s osobnými údajmi podľa ustanovenia § 374 Trestného zákona doposiaľ vyskytuje len zriedkavo, je nepochybné, že právo na ochranu osobných údajov má v našich právnych podmienkach pomerne vysokú dôležitosť.
Význam a vypracovanie GDPR dokumentácie
Je zrejmé, že v súčasnosti je primárnym záujmom väčšiny osôb mať dostatočnú kontrolu nad sprístupňovaním a spracúvaním ich osobných údajov. Ľudia majú právo vedieť, na aké účely, na akom právnom základe, či po akú dobu sa ich osobné údaje spracúvajú, a zároveň majú právo na to, aby sa dostatočnými prostriedkami zabránilo zneužitiu ich osobných údajov. Je preto v záujme každého podnikateľa náležite dotknuté osoby informovať o spracúvaní ich osobných údajov, vypracovať v tomto smere potrebnú dokumentáciu vrátane postupov, ktoré zabezpečia, že k zneužitiu osobných údajov dotknutých osob nedôjde.
V prípade, ak ešte stále nemáte dokumentáciu GDPR vypracovanú, odporúčame Vám jej bezodkladné vypracovanie odborníkom, ktorý má v danej oblasti skúsenosti. Berte na vedomie, že vypracovanie takejto dokumentácie je špecifické v závislosti od predmetu činnosti, v ktorej Vy, alebo Vaša spoločnosť pôsobí. Nemožno sa preto spoliehať na jednotlivé vzory GDPR dokumentácií, ktoré sa šíria po internete, a ktoré len v ojedinelých prípadoch spĺňajú všetky podmienky dané príslušnými právnymi predpismi pre charakter Vášho podnikania.
Aj v prípade, ak už máte dokumentáciu GDPR vypracovanú, odporúčame Vám aj naďalej sledovanie prípadných zmien v oblasti ochrany osobných údajov a na to nadväzujúcu pravidelnú aktualizáciu takejto dokumentácie. Aj to môže byť kľúčovým vo fungovaní Vášho ďalšieho podnikania.
Obrázky: Pixabay.com
Potrebujete vypracovať GDPR dokumentáciu? Naši právnici Vám s tým pomôžu…