Povinnosť vypracovať bezpečnostný projekt síce skončila 25. 5. 2018, no po novom je potrebné posudzovať vplyv na ochranu osobných údajov. Aké nové administratívne povinnosti prinieslo nariadenie GDPR a čo hrozí v prípade ich porušenia?
Od 25. 5. 2018 platí v členských štátoch EÚ nové nariadenie vo veci ochrany osobných údajov - GDPR (General Data Protection Regulation). V podmienkach SR sa toto nariadenie premietlo do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov účinného od 25. 5. 2018, ktorý nahradil dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov. Jedna zo zásadných zmien, ktorú GDPR prinieslo, sa dotkla aj bezpečnostných projektov.
Bezpečnostný projekt podľa starého zákona o ochrane osobných údajov
Predchádzajúca právna úprava ochrany osobných údajov účinná do 24. 5. 2018 ustanovovala ako jeden zo základných dokumentov tzv. bezpečnostný projekt informačného systému (ďalej len „bezpečnostný projekt“), ktorý vymedzoval rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Povinnosť mať vypracovaný bezpečnostný projekt bola v SR zakotvená už od roku 2002.
Prevádzkovateľ musel v bezpečnostnom projekte zdokumentovať všetky bezpečnostné opatrenia, t. j. primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania osobných údajov. Tieto museli byť v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je SR viazaná. Vyplývalo to z toho, že za bezpečnosť osobných údajov zodpovedal sám prevádzkovateľ, ktorý bol povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.
Prevádzkovateľ musel mať vypracovaný bezpečnostný projekt v dvoch prípadoch, ktoré ustanovoval zákon:
- ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (internet) spracúval osobitné kategórie osobných údajov (napr. rodné číslo, biometrické údaje),
- ak informačný systém slúžil na zabezpečenie verejného záujmu.
Bezpečnostný projekt podľa GDPR - posúdenie vplyvu na ochranu osobných údajov
Vstupom GDPR do platnosti, t. j. od 25. 5. 2018, prevádzkovateľ už viac nemá povinnosť vypracúvať bezpečnostný projekt. Dôvodom je, že bezpečnostný projekt je vo svojej podstate podľa GDPR nepoužiteľný. Rovnako ani nový zákon o ochrane osobných údajov neupravuje túto povinnosť. GDPR zavádza nové mechanizmy ochrany založené na dôkladnej analýze rizík, za ktorú bude každý prevádzkovateľ sám zodpovedať.
GDPR nevyžaduje vypracovanie bezpečnostného projektu.
Avšak podľa čl. 35 GDPR je prevádzkovateľ povinný vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov - DPIA (Data Protection Impact Assessment), ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Prevádzkovateľ musí posúdiť vplyv spracovateľských operácii na ochranu osobných údajov ešte pred začatím spracúvania osobných údajov.
GDPR zaviedlo novú povinnosť – posúdenie vplyvu na ochranu údajov.
Jednoducho povedané, pôvodnú povinnosť vypracovania bezpečnostného projektu po novom nahradila povinnosť posúdenia vplyvu na ochranu osobných údajov. Tento nový právny inštitút, ktorý prináša GDPR, však rovnako predstavuje plnenie administratívnych povinností – spracovanie príslušnej bezpečnostnej dokumentácie (spracovanie procesu posúdenia vplyvu na ochranu osobných údajov).
Povinnosť vykonať a následne zdokumentovať vykonanie posúdenia vplyvu na ochranu osobných údajov má iba prevádzkovateľ. Ak je do spracúvania osobných údajov zahrnutý aj sprostredkovateľ, tento je povinný len pomáhať prevádzkovateľovi v procese prípravy posúdenia vplyvu na ochranu údajov, s prihliadnutím na povahu spracúvania a informácie dostupné prevádzkovateľovi. To znamená, že sprostredkovateľ nemusí spracovávať vlastnú dokumentáciu týkajúcu sa vykonávania posúdenia vplyvu na ochranu osobných údajov.
Vykonanie posúdenia vplyvu na ochranu údajov nie je povinné pre každú spracovateľskú operáciu. Vyžaduje len vtedy, keď spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. V praxi to znamená, že prevádzkovateľ musí stále posudzovať riziká vznikajúce v dôsledku ich spracovateľských činností, aby mohli identifikovať, keď určitý druh spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.
Posúdenie vplyvu na ochranu osobných údajov sa podľa GDPR vyžaduje najmä v prípadoch:
- systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania (tzv. automatizované profilovanie dotknutých osôb) a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu (napr. pri systémoch na obmedzenie prístupu k hazardu alebo generované žiadosti o pôžičku),
- spracúvania osobitných kategórií údajov (napr. rasa, zdravotné údaje) vo veľkom rozsahu,
- spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky (napr. odsudzujúce rozsudky),
- systematického monitorovania verejne prístupných miest vo veľkom rozsahu (napr. využívanie kamerových systémov v obchodných centrách).
Ďalšie prípady, pri ktorých prichádza do úvahy posúdenie vplyvu na ochranu osobných údajov:
- monitorovanie zamestnancov v práci (napr. sledovanie elektronickej pošty),
- vykonávanie cezhraničných prenosov dát obsahujúcich osobné údaje do krajín mimo EÚ,
- spracúvanie osobných údajov, ktoré zasahuje citlivé skupiny dotknutých osôb (napr. deti, pacientov).
GDPR teda vymedzuje len niektoré prípady, v ktorých je nutné vykonať posúdenie vplyvu na ochranu osobných údajov. Zoznam spracovateľských operácií, pri ktorých musí prevádzkovateľ posúdiť vplyv na ochranu osobných údajov vypracuje a zverejní Úrad na ochranu osobných údajov. Tiež môže stanoviť a zverejniť zoznam spracovateľských operácií, pri ktorých sa naopak posúdenie vplyvu na ochranu osobných údajov nevyžaduje. Slovenskí podnikatelia sa tak v konečnom dôsledku budú orientovať hlavne podľa týchto zverejnených zoznamov.
Posúdenie vplyvu na ochranu osobných údajov musí podľa GDPR obsahovať aspoň:
- systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,
- posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
- posúdenie rizika pre práva a slobody dotknutých osôb a
- opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.
V skratke, posúdenie vplyvu na ochranu osobných údajov má obsahovať najmä vyhodnotenie rizík z pohľadu zákazníka/klienta a jeho práv a tiež informácie o opatreniach prijatých zo strany prevádzkovateľa na elimináciu prípadných rizík.
Predchádzajúca konzultácia s Úradom na ochranu osobných údajov
Ak je z posúdenia vplyvu na ochranu osobných údajov zrejmé vysoké riziko pre práva fyzických osôb, má prevádzkovateľ ešte pred spracúvaním osobných údajov povinnosť konzultovať spôsoby spracúvania osobných údajov s Úradom na ochranu osobných údajov.
Čo hrozí pri porušení povinnosti posúdenia vplyvu na ochranu osobných údajov?
V najbližšej budúcnosti je možné očakávať, že povinnosť posúdenia vplyvu na ochranu osobných údajov bude zo strany Úradu na ochranu osobných údajov systematicky a cieľavedome kontrolovaná hlavne v tých oblastiach, ktorých sa bude táto povinnosť najviac týkať (napr. verejný sektor, elektronické komunikácie, cloudové služby a pod.).
Ak sa zistí porušenie povinnosti posúdenia vplyvu na ochranu osobných údajov v prípadoch, kedy ho treba vykonať alebo porušenie povinnosti konzultácie s úradom hrozia prevádzkovateľom sankcie – pokuty. Ich výška sa môže vyšplhať až do sumy 10 000 000 eur. Pokuty však majú byť primerané a odrádzajúce, nie likvidačné. Musia byť ukladané v závislosti od okolností každého jednotlivého prípadu.
Pri rozhodovaní o uložení pokuty a určení jej výšky bude úrad zohľadňovať napríklad:
- povahu, závažnosť a trvanie porušenia,
- povahu, rozsah alebo účel spracúvania osobných údajov,
- počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
- prípadné zavinenie porušenia ochrany osobných údajov,
- opatrenia, ktoré prevádzkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
- predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa,
- mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov a ďalšie.
Za nevykonanie posúdenia vplyvu na ochranu údajov hrozia vysoké pokuty.
Bezpečnostný projekt vs. posúdenie vplyvu na ochranu osobných údajov
Najpodstatnejšie rozdiely medzi pôvodnoupovinnosťou vypracovania bezpečnostného projektu a novou povinnosťou posúdenia vplyvu na ochranu osobných údajov:
- pri bezpečnostnom projekte bolo dôležité zameriavať sa na riziká pôsobiace na bezpečnosť a záujmy prevádzkovateľa, kým pri posúdení vplyvu na ochranu údajov je podstatné zameriavať sa na riziká pôsobiace na práva a slobody fyzických osôb,
- minimálne obsahové náležitosti vyžadované pôvodným zákonom vo vzťahu k bezpečnostnému projektu sa odlišujú od minimálnych obsahových náležitostí na dokumentáciu týkajúcu sa posúdenia vplyvu na ochranu údajov stanovené v GDPR.
Zdôrazňujeme, že novo zavedenú povinnosť posúdenia vplyvu na ochranu osobných údajov podľa GDPR nemožno stotožňovať s pôvodnými bezpečnostnými projektmi, ani napriek identickej povinnosti prevádzkovateľa dokumentovať prijaté bezpečnostné opatrenia.
Niektoré prípady, v ktorých je nutné vykonať posúdenie vplyvu na ochranu údajov
Spôsob spracúvania údajov | Kritéria spracúvania údajov | Posúdenie vplyvu na ochranu údajov |
zhromažďovanie údajov z verejných sociálnych médií za účelom vytvárania profilov | spracúvajú sa citlivé údaje údaje sa spracúvajú vo veľkom rozsahu dochádza k spájaniu alebo kombinovaniu súborov údajov | áno |
podnikateľ systematicky monitoruje činnosti svojich zamestnancov (napr. ich počítače, činnosť na internete) | spracúvajú sa citlivé údaje údaje sa spracúvajú vo veľkom rozsahu dochádza k spájaniu alebo kombinovaniu súborov údajov dochádza k hodnoteniu alebo prideľovaniu bodov | áno |
nemocnica spracúvajúca zdravotné údaje pacientov | spracúvajú sa citlivé údaje údaje týkajúce sa zraniteľných dotknutých osôb údaje sa spracúvajú vo veľkom rozsahu | áno |
Viac o GDPR nájdete v diskusnej relácii Poďme k veci na tému GDPR - nový nový míľnik v ochrane súkromia alebo zbytočná byrokracia