Ochrana osobných údajov a digitálneho súkromia
Úvod
Základné ľudské práva
Základné ľudské právo na ochranu osobných údajov je dôležitým aspektom v súčasnej dobe digitálnej komunikácie a informačných technológií.
Toto právo je zakotvené v rôznych legislatívnych dokumentoch, ako napríklad v Článku 8 Charty základných práv Európskej únie a Článku 19 Ústavy Slovenskej republiky.
Článok 8 Charty základných práv EÚ
Každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.
Tieto údaje musia byť riadne spracované na určené účely na základe súhlasu dotknutej osoby alebo na inom oprávnenom základe ustanovenom zákonom. Každý má právo na prístup k zhromaždeným údajom, ktoré sa ho týkajú, a právo na ich opravu. Dodržiavanie týchto pravidiel podlieha kontrole nezávislého orgánu.
Článok 19 ods. 3 Ústavy Slovenskej republiky
Každý má právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe.
Je však dôležité si uvedomiť, že právo na ochranu osobných údajov nie je absolútnym právom.
Je potrebné prihliadnuť aj na ostatné základné práva a vyvážiť právo na ochranu osobných údajov s ostatnými súvisiacimi základnými právami, napr.:
- právo na rešpektovanie súkromného a rodinného života, obydlia a komunikácie;
- sloboda prejavu a právo na informácie;
- sloboda podnikania;
- právo na účinný prostriedok nápravy a spravodlivý proces.
Komu sa poskytuje ochrana?
Základné právo na ochranu osobných údajov patrí výlučne fyzickým osobám, a to bez ohľadu na ich štátnu príslušnosť alebo miesto bydliska, ak sa nachádzajú v EÚ.
Ochrana sa neposkytuje právnickým osobám, napr. vo vzťahu k podnikom a ich obchodnému menu, právnej forme a kontaktným údajom. Ochrana sa neposkytuje ani osobným údajom zosnulých osôb.
Čo považujeme za osobný údaj?
Článok 4 ods. 1 GDPR: „osobné údaje sú akékoľvek údaje týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby“
Rozlišujeme:
- identifikovanú osobu – jednoznačne vieme určiť, o koho ide, na základe určitého údaju;
- identifikovateľnú osobu – osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;
Príklady osobných údajov
Príklad 1: Odoberanie a ukladanie odtlačkov prstov štátnymi orgánmi (Rozhodnutie SD EÚ vo veci C-291/12 Michael Schwarz vs. Stadt Bochum)
Príklad 2: Záznamy o pracovnom čase (Rozhodnutie SD EÚ vo veci C-342/12)
Príklad 3: Údaje o výške prímu (Rozhodnutie SD EÚ vo veci C-465/00, C-38/01, C-139/01)
Príklad 4: Čas a dátum hovorov a správ
Osobitné kategórie osobných údajov
Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú:
- rasový alebo etnický pôvod,
- politické názory,
- náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách,
- spracúvanie genetických údajov,
- biometrických údajov na individuálnu identifikáciu fyzickej osoby,
- údajov týkajúcich sa zdravia.
Príklad 1: pri spracúvaní odtlačkov prstov (biometrické údaje) v súvislosti s prihlasovaním do informačného systému „ISKO“, spoločnosť nespĺňala aspoň jednu z podmienok na spracúvanie osobitných kategórií OÚ taxatívne vymenovaných v čl. 9 ods. 2 GDPR (obchodná spoločnosť, pokuta 1.700€)
Online identifikátor
Čo sa považuje za online identifikátor?
- IP adresa,
- cookies,
- iné.
IP adresa ako osobný údaj
Prípad Patrick Breyer/Spolková republika Nemecko (C-582/14): Hovorí o tom, že je potrebné zdržať sa toho, aby sa sama ukladala alebo aby sa nechala tretími osobami ukladať IP adresa hostiteľského systému žalobcu.
Objektívny prístup
- „adresa IP je osobným údajom v rukách každého, pretože poskytovateľ internetových služieb (ISP) môže prepojiť IP adresu s reálnou svetovou identitou pána Breyera, aj keď to nikto iný nedokáže“
Subjektívny prístup
- adresa IP je osobnými údajmi v sfére ISP, ale nebudú to osobné údaje v rukách inej strany, ktorá nemá zákonné prostriedky na prístup k informáciám, ktoré má napr. ISP
Cookies
Sú prostriedkom na prenos informácií medzi pôvodným serverom a používateľom s ich uložením v koncovom zariadení používateľa.
Súbory cookies sú malými dátovými alebo textovými súbormi používanými servermi používateľom navštívených webových stránok za účelom zberu informácií, pričom sú ukladané priamo v koncovom zariadení používateľa.
Z hľadiska účelov, na dosiahnutie ktorých sú súbory cookies používané, možno uviesť najmä:
- uchovávanie informácií o preferenciách používateľa vo vzťahu k navštevovanej webovej stránke (zvolený jazyk, veľkosť písma a pod.),
- overovanie totožnosti používateľa za účelom prihlásenia sa na konkrétnu stránku alebo na uskutočnenie obchodných transakcií online (bez potreby opätovného zadávania informácií),
- analýza efektívnosti a využívania konkrétnej webovej stránky (návštevnosť),
- analýza efektívnosti zobrazovaných reklám na stránke a realizácia cielenej online reklamy a marketingu založenej na predchádzajúcom správaní používateľa.
Oprávnený záujem
Oprávnené záujmy môžu poskytnúť právny základ pre spracúvanie, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi.
Toto znamená, že ak prevádzkovateľ má legitímne záujmy, ktoré sú v súlade s právom a nemajú negatívny vplyv na dotknutú osobu, môže spracúvať jej osobné údaje na základe tohto právneho základu.
Test proporcionality: Pri aplikácii právneho základu „oprávnený záujem“ je dôležité, aby prevádzkovateľ vyhodnotil, či množstvo a rozsah osobných údajov, ktoré sú spracúvané, nie je nadbytočné a či je primerané na dosiahnutie cieľa, ktorým sú oprávnené záujmy prenasledované.
Príklady:
- zaistenie bezpečnosti siete a informačnej bezpečnosti,
- prevádzkovanie kamerového systému (ochrana majetku a bezpečnosti),
- kontaktný formulár na webovej stránke.
Bezpečnosť osobných údajov
Bezpečnosť spracúvania OÚ podľa GDPR (čl. 32):
Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:
- pseudoanonymizáciu a šifrovanie osobných údajov;
- schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
- schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
- proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.
Informačná bezpečnosť:
Z hľadiska informačnej bezpečnosti je dôležité zabezpečovať dôvernosť, integritu a dostupnosť nie len osobných údajov.
- Dôvernosť – informácie prístupné len osobám, ktoré určíme
- Integrita – informácie sú úplné a neboli nevedomky upravované
- Dostupnosť – informácie prístupné na požiadanie týchto osôb v tom čase
Príklad 1
Prevádzkovateľ prostredníctvom dvoch hromadných mailov sprístupnil bez právneho základu OÚ 372 študentov x. ročníka v rozsahu: meno, priezvisko, emailová adresa, výsledok testu, údaje týkajúce sa zaradenia do študijných krúžkov (údaje boli sprístupnené študentom a všetkým zamestnancom fakulty) a osobné údaje 217 študentov x. ročníka v rozsahu: meno, priezvisko, všeobecne použiteľný identifikátor (rodné číslo), údaje týkajúce sa zaradenia do študijných krúžkov (údaje boli sprístupnené študentom a všetkým zamestnancom fakulty) (vysoká škola, 900€). Prevádzkovateľ prijal opatrenia – preškolenie zamestnanca.
Príklad 2
Sprostredkovateľ zaslal email obsahujúci OÚ dotknutej osoby v rozsahu meno, priezvisko, dátum narodenia, adresa, telefónne číslo a číslo poistnej zmluvy mobilného zariadenia na emailovú adresu bez toho, aby boli uvedené OÚ v rámci zaslaného emailu zabezpečené heslom, čím bez právneho základu sprístupnil OÚ inej osobe (ISP, 700€).
Príklad 3
Zverejnenie rodných čísiel 186 uchádzačov o štúdium (škola, 700€).
Novou právnou úpravou ochrany OÚ sa všeobecne použiteľný identifikátor – RČ FO nezaraďuje medzi tzv. osobitné kategórie OÚ, ale naďalej sa na spracúvanie RČ vzťahuje osobitný režim podľa § 78 ods. 4 ZOOU.
Anonymizácia vs. pseudoanonymizácia
Anonymizácia je proces, pri ktorom sa osobné údaje upravia tak, že už nie je možné ich priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií. To znamená, že údaje sú úplne odpojené od jednotlivcov a nemôžu byť identifikované.
Pseudoanonymizácia je proces, pri ktorom sa osobné údaje upravia tak, aby nebolo možné okamžite identifikovať jednotlivca, ale stále existuje možnosť priradenia údajov k dotknutej osobe pomocou dodatočných informácií, kľúča alebo identifikátora.
Aj keď sú údaje zdanlivo anonymizované, je potrebné zabezpečiť, že kľúč alebo informácie na ich de-anonymizáciu sú riadne chránené a uchovávané bezpečne.
Zodpovednosť prevádzkovateľa
Prevádzkovateľ je zodpovedný za dodržanie zásad a musí vedieť tento súlad preukázať („zodpovednosť“) (čl. 5 ods. 2 GDPR).
S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením (čl. 24 ods. 1 GDPR).
V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu … Dotknutej osobe (čl. 33 ods. 1 a čl. 34 ods. 1 GDPR).
Ktoré incidenty je potrebné oznámiť?
Porušenie ochrany osobných údajov (personal data breach)
Porušenie bezpečnosti
Kto musí oznamovať?
Každý prevádzkovateľ a sprostredkovateľ
Komu je potrebné incident oznámiť?
Úradu na ochranu osobných údajov dotknutým osobám (niektoré prípady)
Do kedy je potrebné incident oznámiť?
Bez zbytočného odkladu, resp. do 72 hodín