Novinky
Press
4/30/2021

HN: Komodita storočia? Osobné údaje

Téma:

Európska komisia vydala už nejedno nariadenie, ale GDPR sa stalo svojou popularitou, medializáciou a následkami až fenoménom.

Tri roky platnosti nariadenia o ochrane osobných údajov si pripomíname únikmi dát, vyššími pokutami a hlasnejšími diskusiami. Občania sa viacej zaujímajú o to, kto a kde ich dáta skladuje.

Markantná zmena

Firmy a inštitúcie majú pri získavaní osobných údajov povinnosť poskytovať nám aj informácie o ich spracúvaní. „Ľudia vďaka tomu zisťujú, kto, v akom rozsahu a na aký účel o nich osobné údaje spracúva,“ hovorí na základe skúseností lektorka Marcela Macová zo spoločnosti DAPRO Consulting.

Ak má teda ktokoľvek podozrenie, že došlo k porušeniu jeho práv pri spracúvaní osobných údajov, môže podať Úradu na ochranu osobných údajov návrh na začatie konania. Silnejúce povedomie potvrdzuje aj hovorkyňa úradu Lucia Bezáková: „V roku 2020 sme začali celkovo 219 správnych konaní, pričom 138 bolo na návrh dotknutej osoby.“

K tomu medziročne rastie aj výška pokút uložených úradom. Minulý rok to bolo päťdesiatštyri pokút za porušenie právnych predpisov v súhrnnej výške 103 300 eur. Od troch stovák za neoprávnené zverejnenie osobných údajov až po 20-tisíc eur za porušenie zásady transparentnosti a minimalizácie uchovávania.

Spolužitie s nariadením

Vysvetľovacia etapa a ustálenie pojmov v legislatívnom prostredí trvali na Slovensku vyše roka a všetkých zaplavili najmä výstrahy pred pokutami a množstvo administratívy. V druhej etape dominovali témy, ako a kedy je potrebný a vhodný súhlas ako právny základ pre spracúvanie osobných údajov, ako správne nastaviť vzťahy v e-shopoch a medzi správcami a majiteľmi bytových a nebytových priestorov.

Implementácia nariadenia si vyžiadala vo firmách nemalé investície do analýz a zmien informačných systémov a procesov. „Technické, procesné a organizačné opatrenia boli zamerané na kontrolu a manažment dát a, samozrejme, ich ochranu. Implementačný projekt sa dotkol každého oddelenia a školenia a workshopy absolvovali všetci zamestnanci. Vyžiadal si rádovo státisícové investície a tisícky hodín ľudskej práce,“ hovorí Henrich Šnajder manažér IT bezpečnosti Orange Slovensko.

Zaťažkávacia skúška

Pandemický rok priniesol rýchle úpravy legislatívy, ktorá nie vždy rešpektovala aj ochranu a spracúvanie osobných údajov v miere, ako by to bolo možné a potrebné. Nastolil aj otázky, kto a v akom rozsahu môže spracúvať zdravotné osobné údaje, a upozornil v tejto súvislosti na pracovnoprávne vzťahy. Či už ide o testovanie, preukazovanie sa certifikátom, očkovanie alebo covid pasy.

Odborník na ochranu údajov Miroslav Ilavský zo spoločnosti i-Secure ide ešte ďalej a hovorí o tom, že „štátne a verejné inštitúcie u nás nemajú vytvorené podmienky na to, aby zabezpečili riadny súlad s GDPR a sú dlhodobo podfinancované. Na mýtus, že Slovenská republika dostatočne implementovala nariadenie vo svojich organizáciách, by sme mali zabudnúť.“

Výhodná komodita

Osobné údaje sú všade vo svete cieľom prepracovaných zločineckých aktivít. „Kybernetické útoky sa podieľajú na porušení ochrany osobných údajov stále vyššou mierou,“ upozorňuje Martin Oczvirk z Úradu na ochranu osobných údajov.

V minulom roku bolo hlásených na Slovensku 107 porušení ochrany osobných údajov (data breach), z toho takmer štvrtina kybernetické útoky. „Najčastejšie ide o ransomvérové útoky, čiže zašifrovanie dát a vydieranie. Ak bude tento trend pokračovať, tak to odhadujem na minimálne štyridsať útokov v tomto roku,“ varuje Martin Oczvirk.

Čoho sa vyvarovať

„Vo všeobecnosti je na Slovensku ešte stále veľmi citlivo vnímané rodné číslo,“ hodnotí Lucia Bezáková. A keďže rodné číslo je častým identifikátorom fyzickej osoby, tak jeho spracúvanie a ochrana sú aktuálne, až kým nebude nahradený inou formou.

„Osobným údajom, ktorý je potrebné chrániť, nie je iba meno a priezvisko, ale aj fotografia, video, pracovný e-mail, online identifikátor a iné. V prípade implementácie GDPR v spoločnostiach tam vidím stále nedostatky pri strete s realitou,“ dopĺňa Marcela Macová.

Senzitívnou témou pre obyvateľov, firmy, obce aj organizátorov podujatí sú kamerové záznamy, kam patrí aj zaznamenanie zvuku. Je veľmi citlivo vnímané, ak niekto takéto záznamy vyhotovuje, na aký účel a komu ich poskytuje.

Slepé miesta

„Povinnosti vyplývajúce z GDPRsú v praxi mnohokrát nevykonateľné, prípadne spojené s nadmernou byrokratickou záťažou,“ hovorí Marcela Macová a hneď upresňuje: „Respektíve povinnosti sú vykonateľné niekedy za cenu veľkých finančných nákladov.“

Boľavým miestom ochrany osobných údajov je totiž súčasný právny stav pri používaní služieb technologických gigantov, akými sú Microsoft, Google či Amazon, ktoré majú úložiská mimo EÚ. Jedna vec je zdieľanie dát s cieľom inovácií, druhou je možnosť mať dosah na dáta európskych firiem a používateľov sociálnych sietí v amerických cloudoch.

Transatlantický problém

Súdny dvor EÚ vyhlásil v júni 2020 za neplatný dokument Privacy Shield. Práve tento „Štít na ochranu“ predstavoval rámec na prenos osobných údajov medzi EÚ a USA a ich komerčné spracovanie.

„Spojené štáty sa pokladajú za krajinu, ktorá neposkytuje záruky pre dostatočnú ochranu osobných údajov,“ vysvetľuje Peter Kováč z Americkej obchodnej komory s poukázaním na diskrepanciu medzi právomocami spravodajských služieb v USA a nariadením na ochranu osobných údajov v EÚ. Dátový tok cez Atlantik sa však nezastavil, časť firiem akceptuje určitú mieru rizika a regulátori prejavujú v tomto prípade značnú zhovievavosť. Najpoužívanejším riešením sa javí prenos údajov na základe štandardných zmluvných doložiek medzi správcom a poskytovateľom s použitím silného šifrovania a pseudonymizácie. A rokovania na oboch brehoch pokračujú.

Biznis nepočká

Z praktického hľadiska treba pri uzatváraní zmlúv vedieť, kde sa nachádzajú servery poskytovateľa. „Ak je to možné, je vhodné zmluvne dohodnúť, že vaše dáta budú umiestnené na serveroch v EÚ. Takúto službu poskytuje mnoho zahraničných poskytovateľov,“ radí Peter Kováč.

V prípade serverov mimo EÚ je potrebné posúdiť, či sú prijať opatrenia, ktoré poskytnú vhodnú ochranu údajom. Treba si overiť, či sú dáta na serveroch zašifrované a či má poskytovateľ služieb z technického hľadiska možnosť rozšifrovať ich bez toho, aby o tom vedel správca.

Treba sa poradiť

„Zatiaľ vysoké pokuty za porušenia nepadajú, tak aj firmy sa tomu prispôsobili a neriešia, čo ich nepáli,“ hodnotí stav najmä v malých a stredných firmách Miroslav Ilavský. „Aj po troch rokoch ešte stále vnímam ako výzvu dosiahnuť praktickú ochranu osobných údajov u prevádzkovateľov, aby to nebolo len niečo deklarované na papieri v dokumentácii.“

Ochrana osobných údajov podlieha dynamickému vývoju a je nutné aktívne sledovať oficiálne usmernenia regulátorov a právne názory súdov členských krajín aj Súdneho dvora EÚ. Odborný poradca musí preukázať skúsenosti aj odbornosť, a preto sa stále častejšie hovorí o certifikácii poradcov v oblasti ochrany osobných údajov.


Tri roky nariadenia
Európska únia, Spojené kráľovstvo, Nórsko, Island a Lichtenštajnsko
• Hlásených viac ako 281 000 únikov informácií
• Denný nárast 19 percent nahlásených porušení GDPR v roku 2021 v porovnaní s rokom 2019
• Výška pokút 272,5 milióna eur

  • Taliansko 69 328 716
  • Nemecko 69 085 000
  • Francúzsko 54 438 300
  • Spojené kráľovstvo 44 221 000
  • Španielsko 14 490 094

Najväčšie pokuty

  • Dôvod: nedostatočný právny základ na spracovanie osobných údajov
  • 50 miliónov eur spoločnosť Google  – Personalizovaná reklama a porušenie transparentnosti (Francúzsko)
  • 35,3 MILIÓNA eur -obchodný REŤA ZEC H&M – „Príliš“ osobné údaje zamestnancov (Nemecko)
    27,8 MILIÓNA eur telekomunikačný operátor TIM Telecom- Agresívny marketing, neplatné zhromažďovanie súhlasov, nadmerné uchovávanie údajov (Taliansko)

Zdroj: AT


ANKETA: Prečo sú naše osobné údaje vzácne?

Peter Dostál, generálny riaditeľ a predseda predstavenstva, Aliter Technologies, a. s.

“GDPR usmerňuje spoločnosti, ktoré zbierajú osobné údaje a dáva možnosť dotknutým osobám rozhodnúť o tom, kto a aké osobné údaje o nich môže mať. Je dôležité si uvedomiť, že k zberu osobných údajov dochádzalo automatizovane aj bez súhlasu dotknutých osôb. Tieto údaje predstavujú hodnotu, za ktorú sú ochotné zaplatiť marketingové spoločnosti ale napríklad aj rôzne kriminálne živly. Na druhej strane ochrana týchto dát je nákladná a spoločnosti bez regulácie nemajú motiváciu osobné údaje chrániť.” 

ZDROJ: HN