Aj po vyše roku a pol od účinnosti GDPR sa na internetových stránkach či e-shopoch nájdu neaktuálne a nesprávne informácie o ochrane osobných údajov. Aké sú najčastejšie chyby?
Európske nariadenie o ochrane osobných údajov, známe pod skratkou GDPR, je vo všetkých štátoch EÚ účinné od 25. mája 2018. V rámci slovenskej legislatívy sa toto nariadenie premietlo do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov, rovnako účinného od 25. mája 2018 (ďalej len „nový zákon“). Týmto zákonom bol nahradený dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov (ďalej len „starý zákon“).
V zmysle GDPR má každý, kto spracúva osobné údaje informačnú povinnosť vo vzťahu k dotknutým osobám. Splniť si ju môže napríklad zverejnením pravidiel (podmienok, zásad) ochrany osobných údajov na svojej webovej stránke.
Novú právnu úpravu týkajúcu sa spracúvania osobných údajov sa po jej účinnosti snažili podnikatelia zaviesť do praxe, avšak nie všetkým sa to podarilo úplne bezchybne. Veľa z nich sa spoľahlo na vzorovú dokumentáciu dostupnú na internete alebo narýchlo vypracovanú podľa nejakých šablón.
Aj napriek tomu, že na Slovensku platí GDPR a nový zákon už dlhší čas, na viacerých webových stránkach (napr. e-shopov) sa stále vyskytujú chybné (staré) informácie týkajúce ochrany osobných údajov. Je pravdepodobné, že za účelom ušetrenia finančných prostriedkov a zjednodušenia si práce, sa novovznikajúce e-shopy, ale aj ďalšie webové stránky často inšpirujú z iných webov, resp. z ich obchodných podmienok a pravidiel ochrany osobných údajov a tieto len skopírujú, prípadne minimálne upravia. Takéto riešenie však nie je vhodné, pretože, niektoré weby nemajú uvedené dokumenty aktualizované a zosúladené s GDPR. Chyby je možné rozoznať na prvý pohľad.
Príklady na chybné (neaktuálne) informácie ohľadom ochrany osobných údajov
- Dbáme na to, aby sme všetky Vaše osobné údaje, spracúvali v súlade s platnými právnymi predpismi v tejto oblasti. Tieto Pravidlá ochrany osobných údajov boli pripravené s ohľadom na nové Nariadenie Európskeho parlamentu a Rady (EU) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „Nariadenie“) a zároveň s ohľadom na zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „Zákon“), ktorý bude neskôr nahradený zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Nový Zákon“). Pravidlá objasňujú, ktoré osobné údaje vo všeobecnosti zhromažďujeme v rámci našej činnosti a ako tieto údaje používame a chránime.
- Prevádzkovateľ postupuje pri spracovaní osobných údajov v súlade so zákonom 122/2013 Z. z. o ochrane osobných údajov a ďalšími právnymi predpismi (ďalej len „zákon č. 122/2013 Z. z.“). Od 25.5.2018 sa bude Prevádzkovateľ namiesto zákona č. 122/2013 Z. z. riadiť pri spracovaní osobných údajov dotknutých osôb Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) a zákonom č. 18/2018 Z. z, o ochrane osobných údajov.
Z uvedených príkladov je zrejmé, že v pravidlách ochrany osobných údajov dochádza často k chybám, ktoré sa týkajú označenia nesprávneho zákona, podľa ktorého sú spracúvané. V úvode pravidiel pritom stačí „len“ uviesť, že sú vytvorené v súlade s aktuálne účinným nariadením GDPR a novým zákonom č. 18/2018 Z. z. o ochrane osobných údajov.
Samozrejme, tomu má zodpovedať aj obsah týchto pravidiel, ktorý musí byť vypracovaný podľa vyššie uvedených účinných právnych predpisov. Nie je preto správne, keď je v pravidlách o ochrane osobných údajov napísané, že sú síce spracované v súlade s GDPR a novým zákonom, avšak v ich obsahu sú neaktuálne informácie platiace za účinnosti starého zákona. Napríklad, keď je v pravidlách obsiahnuté nesprávne poučenie o právach dotknutej osoby podľa § 28 starého zákona o ochrane osobných údajov, namiesto aktuálne platného poučenia podľa § 61 a nasl. nového zákona alebo čl. 14 a nasl. GDPR.
Tiež považujeme za dôležité zdôrazniť, že súhlas, ako jeden z právnych základov na spracúvanie osobných údajov, nemôže byť v žiadnom prípade platne udelený podľa starého zákona. Súhlas dotknutej osoby musí spĺňať náležitosti ustanovené GDPR (napr. musí byť udelený slobodne a konkrétne na každý účel atď.) a nesmie byť súčasťou obchodných podmienok.
Príklad na chybné (neplatné) udelenie súhlasu so spracúvaním osobných údajov
Odoslaním vyplneného formulára súhlasíte so spracovaním a uchovaním osobných údajov uvedených vo formulári v súlade so zákonom č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
Registráciou v našom e-shope súčasne udeľujete súhlas so spracúvaním svojich osobných údajov aj na zasielanie marketingových ponúk.
V takomto prípade dotknutá osoba nemá možnosť samostatne prejaviť svoju slobodnú vôľu pre každý jednotlivý účel uvedený v súhlase.
Zhrnutie na záver
Aj v súčasnosti možno natrafiť na e-shopy, dotazníky či formuláre, ktoré neobsahujú informácie ohľadne ochrany osobných údajov alebo odkazujú na starý zákon č. 122/2013 Z. z., ktorý nie je účinný (platil len do 24. mája 2018). Súhlas dotknutej osoby so spracúvaním osobných údajov udelený podľa starého zákona je preto úplne neplatný, čo znamená, že akoby ani nebol udelený. Rovnako je neplatný súhlas v prípade, že je obsiahnutý v obchodných podmienkach firmy (napr. na marketingové účely). Vyplýva to z toho, že takýto súhlas nespĺňa požiadavku konkrétnosti a slobody.
Pravidlá ochrany osobných údajov treba mať spracované v súlade s účinným nariadením GDPR a novým zákonom č. 18/2018 Z. z. o ochrane osobných údajov. Taktiež súhlas musí byť udelený platne (t. j. spĺňať všetky požadované náležitosti) a len v prípadoch, v ktorých sa vyžaduje. Súhlas nie je potrebný, ak sa napríklad spracúvajú osobné údaje v rámci zákonnej povinnosti (napr. na účely miezd zamestnancov).
Ak si s obsahom pravidiel neviete dať rady, obráťte sa na odborníkov, ktorý vám s tým pomôžu. Vyhnete sa tak prípadným problémom a pokutám za nesplnenie povinností v súvislosti s GDPR.