Vedeli ste, že za závažné porušenie ustanovení GDPR hrozia pokuty až do 4 % celkového svetového ročného obratu podniku, prípadne do 20 miliónov eur?
Právna úprava GDPR sa v členských krajinách Európskej únie vrátane Slovenska uplatňuje už viac ako 5 rokov, no niektoré povinnosti, ktoré z nej vyplývajú, sú pre prevádzkovateľov a sprostredkovateľov naďalej problematické. Neznalosť povinností a ich neplnenie môže viesť k významným sankciám.
Prinášame Vám preto prehľad častých porušení Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) („GDPR“) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov („Zákon“) vrátane praktických rád, ako sa týmto porušeniam vyhnúť.
Základné zásady spracúvania osobných údajov
Konať v súlade so základnými zásadami spracúvania osobných údajov je najdôležitejšou povinnosťou prevádzkovateľov a sprostredkovateľov. Konanie v rozpore so základnými zásadami predstavuje najčastejšie porušenie ustanovení GDPR, resp. Zákona.
A) Zásada zákonnosti
Podľa článku 6 GDPR, resp. § 13 Zákona je spracúvanie osobných údajov zákonné len v prípade, ak sa vykonáva na základe aspoň jedného z právnych základov vymedzených v týchto ustanoveniach. V praxi často dochádza k nesprávnemu určeniu právneho základu alebo k spracúvaniu osobných údajov bez právneho základu.
Typickým porušením zásady zákonnosti je vopred zaškrtnuté políčko súhlasu so spracúvaním osobných údajov, ktoré sú v takejto forme umiestňované napríklad na webových stránkach e-shopov. Podľa GDPR sa takéto poskytnutie súhlasu nepovažuje za súhlas, a preto by mali prevádzkovatelia webových stránok dbať na to, aby mohla dotknutá osoba slobodne a vedome rozhodovať o udelení súhlasu so spracúvaním jej osobných údajov a aby ho mohla rovnako jednoducho aj odvolať.
Súhlas ako podmienka plnenia zmluvy je ďalším častým prípadom porušenia zásady zákonnosti. Pre spracúvanie osobných údajov na plnenie zmluvy existuje osobitný právny základ v zmysle článku 6 ods. 1 písm. b). Je preto nesprávne, ak pracovná zmluva alebo zmluva medzi podnikateľom a fyzickou osobou (t. j. dotknutou osobou) obsahuje ustanovenia navádzajúce na udelenie súhlasu, napríklad: „Zamestnanec súhlasí so spracúvaním osobných údajov na účely plnenia zmluvy.“ V tomto prípade zamestnávateľ spracúva osobné údaje na základe nevyhnutnosti ich spracúvania na plnenie zmluvy, a preto nie je správnym postupom vyžadovať udelenie súhlasu zamestnanca.
B) Zásada spravodlivosti a transparentnosti
Z uvedenej zásady sa odvodzuje najmä informačná povinnosť prevádzkovateľov a sprostredkovateľov, ktorá zahŕňa najmä nevyhnutnosť zabezpečiť, aby všetky informácie a komunikácia súvisiace so spracúvaním osobných údajov boli pre dotknuté osoby ľahko prístupné, ľahko pochopiteľné a formulované jasne a jednoducho. K porušeniu tejto zásady dôjde neposkytnutím požadovaných informácií vôbec, ich poskytnutie v nevhodnej forme či poskytnutím neúplných informácií. Za účelom predchádzania porušovaniu tejto zásady odporúčame odbornú revíziu/vypracovanie zásad spracúvania osobných údajov a ich poskytnutie dotknutým osobám (napr. ich zverejnením na webovej stránke).
C) Zásada obmedzenia účelu, minimalizácie osobných údajov a minimalizácie uchovávania
V zmysle týchto zásad možno spracúvať osobné údaje len na konkrétne vymedzený účel, len v rozsahu, ktorý je daný vymedzeným účelom a len po dobu, ktorá je na naplnenie vymedzeného účelu nevyhnutná. K porušeniu zásady dochádza spracúvaním osobných údajov na iný účel ako bol určený alebo spracúvaním osobných údajov, ktoré na daný účel nie sú potrebné.
V praxi dochádza často k porušeniu týchto zásad nezákonnou archiváciou osobných zložiek zamestnancov:
- archivovaním osobných zložiek obsahujúcich aj osobné údaje, ktoré nie sú na určené účely potrebné,
- uchovávaním osobných údajov aj po uplynutí doby, na ktorú bolo ich uchovávanie pre naplnenie účelu nevyhnutné,
- archivovaním osobných zložiek bez určenia jednotlivých účelov archivácie.
Za účelom zákonného postupu pri archivácii osobných zložiek zamestnancov odporúčame vypracovanie interného predpisu s určením 1. konkrétnych účelov spracúvania osobných údajov, 2. rozsahu osobných údajov a 3. s vymedzením doby archivácie jednotlivých osobných údajov.
D) Zásada správnosti osobných údajov a zásada integrity a dôvernosti
Zásada správnosti vyžaduje, aby boli spracúvané osobné údaje správne a v prípade potreby aktualizované. Ak sú nesprávne z hľadiska účelu, je potrebné zabezpečiť ich opravu alebo výmaz. Zásada integrity a dôvernosti je požiadavkou bezpečnosti spracúvania osobných údajov, ktorá v praxi predstavuje povinnosť prijatia primeraných technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti s ohľadom na mieru potenciálneho rizika.
Ukladanie sankcií
V prípade najzávažnejších porušení základných zásad spracúvania osobných údajov môže Úrad na ochranu osobných údajov („Úrad“) uložiť pokutu až do výšky 4 % celkového svetového ročného obratu podniku alebo do 20 miliónov eur, podľa toho, ktorá z týchto súm je vyššia. Pri menej závažnom porušení zásad sa aplikuje pokuta do výšky 10 miliónov eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. Zákon tiež umožňuje uloženie poriadkovej pokuty do výšky 2 000 eur alebo do 10 000 eur za neposkytnutie súčinnosti alebo marenie výkonu kontroly vykonávanej Úradom v rámci dozoru na úseku dodržiavania právnej úpravy GDPR.
Ak si nie ste istí zákonnosťou Vašich spracovateľských operácií a funkčným nastavením interných pravidiel ochrany osobných údajov vo Vašom podniku, neváhajte sa na nás obrátiť.
Naše služby Vám zabezpečia kvalitnú implementáciu alebo revíziu interných postupov ochrany osobných údajov vrátane kvalitných interných predpisov tak, aby spĺňali všetky požiadavky GDPR a Zákona.
Autori článku
Milina Schifferdeckerová
Senior Manager, Legal
Martina Blažová
Consultant, Legal
Kontaktujte nás
Ak si želáte viac informácií o tom, ako môžeme pomôcť vášmu podniku, prípadne ak si chcete dohodnúť stretnutie kvôli osobnej prezentácii našich služieb, kontaktujte nás.