Hoci už dnes máme na Slovensku pomerne prísny zákon o ochrane osobných údajov, jeho dodržiavanie firmami je minimálne. Sprísnenie pravidiel, ktoré prináša celoeurópska regulácia GDPR, sa tak dotkne drvivej väčšiny spoločností. Na prípravu budú potrebovať zhruba pol roka. Po novom začnú omnoho častejšie využívať „oprávnený záujem“ ako zákonný dôvod na spracovanie osobných údajov, očakáva advokátka kancelárie Čechová & Partners Jana Černáková.

logo_cechovaV spolupráci s advokátskou kanceláriou Čechová & Partners budeme na portáli Simple Talent v najbližších týždňoch uverejňovať články o najdôležitejších zmenách, ktoré firmy čakajú a poskytovať rady, ako ich zvládnuť. Pýtajte sa aj vy! Čakáme na vaše otázky na adrese redakcia@simpletalent.sk

Podľa odhadov predkladateľov sa zmeny vyplývajúce z GDPR dotknú vyše pól milióna subjektov na Slovensku. Ktorých najviac?

Dotknú to veľkých aj malých firiem. No tí, ktorí by sa tým mali čo najskôr zaoberať, sú predovšetkým veľké firmy, ktoré majú veľa riešení zabezpečených softvérovo cez dodávateľov. Vzťahy s dodávateľmi je potrebné upraviť tak, aby riešenia boli v súlade s GDPR. To nebude jednodňová záležitosť.

Aký čas budú potrebovať?

Záleží od druhu firmy a spôsobu jej nastavenia. Napríklad také, ktoré sú súčasťou nadnárodných spoločností, musia tieto riešenia zohľadniť pri spolupráci aj s ostatnými sesterskými spoločnosťami. Takže budú potrebovať viac času. Už dnes je viac než potrebné začať. Polrok je ideálny.

A menšie firmy?

U nich to nemusí trvať až pol roka. No podľa môjho názoru je to ideálny čas na revíziu spracovania osobných údajov. Aj malé firmy majú dodávateľov, ktorí im spracúvajú osobné údaje. Drvivá väčšina firiem rieši mzdy a účtovníctvo cez externé firmy. Aj tieto vzťahy je potrebné ošetriť.

Predkladatelia uviedli odhad nákladov na úpravu procesov a systémov na vyše 40 miliónov eur. Čo pre ne bude najnákladnejšie?

Gro budú práve informačné systémy a IT zabezpečenie ochrany osobných údajov. V súčasnom svete sú v drvivej väčšine prípadov osobné údaje súčasťou informačných systémov, IT databáz a počítačových súborov. Len malý zlomok údajov je dnes podchytený manuálne.

GDPR má posilniť práva a ochranu fyzických osôb. Splní tento zámer?

Aktuálna slovenská úprava je pomerne striktná. Omnoho striktnejšia, ako v iných členských štátoch a ako vyžaduje aktuálna európska smernica. Do značnej miery teda GDPR kopíruje úroveň ochrany, ktorú už dnes máme zakotvenú v právnych predpisoch. No v určitých aspektoch ju aj rozširuje a dopĺňa. Domnievam sa, že medzi úrovňou, ktorá sa má dosiahnuť a úrovňou, ktorú dnes vyžaduje zákon, nie je až taký veľký rozdiel.

Zodpovedá realita v slovenských firmách požiadavkám vyplývajúcim z dnešných zákonov na Slovensku?

To je skôr otázka na Úrad na ochranu osobných údajov. No ochrana osobných údajov dnes rozhodne nie je prioritou každého podniku. Firmy spĺňajú formálne požiadavky – oznámenia, interné dokumenty a podobne. No nemožno to povedať aj o zabezpečení osobných údajov, ktoré nie je prvotným cieľom zabezpečenia. Hoci pokiaľ sú osobné údaje súčasťou systémov, ktoré obsahujú aj obchodné tajomstvo alebo iné dôverné informácie, zabezpečenie je zväčša dostatočné. Problém nastáva, keď je nie sú súčasťou takýchto systémov.

Do značnej miery GDPR kopíruje úroveň ochrany, ktorú už dnes máme zakotvenú v právnych predpisoch.

Bude pre firmy motivovať k splneniu požiadaviek GDPR zavedenie likvidačných pokút?

To do veľkej miery závisí od informovanosti a od praktického uplatňovania GDPR v EÚ. Smerodajným budú práve prvé udelené pokuty, ktoré udajú smer uplatňovaniu samotnému. Už v súčasnom zákone máme pokuty do 200-tisíc eur, teda nie malé. Napriek tomu plnenie zákonných povinností nie je na vysokej úrovni. Nemyslím si, že ukladanie pokút je jediná cesta, ako dosiahnuť plnenie povinností GDPR. Väčší dôraz by mal byť kladený na informovanosť a vzdelávanie.

V ktorých oblastiach uvoľňuje GDPR našu súčasnú úpravu?

Znižuje formálne povinností vo vzťahu k Úradu na ochranu osobných údajov. Dnes je povinné oznamovanie informačných systémov. Je to povinnosť zo zákona, ktorú si až na výnimky musel splniť každý prevádzkovateľ predtým, než začal spracúvať osobné údaje. Predtým, než sa vôbec začalo so spracúvaním museli podniky vyplniť formulár predpísaný úradom. Až podaním na úrad mohli začať so spracovaním. Pri osobitnej registrácii bolo potrebné čakať na jej potvrdenie. Najmä pri nadnárodných spoločnostiach to bolo v praxi niekedy ťažko realizovateľné, keďže nie vždy vedeli miestne pobočky v dostatočnom predstihu rozsah spracúvania osobných údajov a jeho jednotlivé detaily. Zväčša tieto informácie získali až v rámci spustenia projektu. Uvedené narážalo na problém napríklad pri koordinovanom celosvetovom spustení projektu. Pozitívom však bolo, že firmy oznámením či registráciou dostali akési odobrenie spracúvania úradom. Plnilo to nielen formálnu povinnosť, ale aj akúsi ochrannú funkciu.

Vnímate ako uvoľnenie aj povinnosť ustanovovať zodpovednú osobu, ktorá bude povinná pre užší okruh subjektov než doteraz?

V zmysle nášho zákona dnes nie je ustanovenie zodpovednej osoby povinné. V tomto ide naopak o sprísnenie. Uvoľnenie však nastáva v oblasti požiadaviek na zodpovednú osobu, ktorá napr. už nebude musieť povinne absolvovať skúšku na Úrade na ochranu osobných údajov.

V tomto smere však vnímam aj praktickú líniu. Domnievam sa, že zodpovednú osobu je potrebné určiť v každom podniku, či už v rámci plnenia povinností GDPR alebo na základe dobrovoľného rozhodnutia. Každý podnik určitým spôsobom osobné údaje spracúva a teda sa naň bude GDPR vzťahovať a bude musieť plniť tam stanovené povinnosti. Ak nebude mať takúto zodpovednú osobu, tak v zásade nebude v podniku nik, kto by vedel zabezpečiť plnenie alebo koordináciu pri plnení týchto povinností.

V čom GDPR sprísňuje našu aktuálnu právnu úpravu ochrany osobných údajov?

Nariadenie širšie definuje osobné údaje, takže povinnosti sa budú týkať väčšej skupiny údajov. Zároveň, ako sme spomínali, ukladá povinnosť ustanoviť zodpovednú osobu v určitých prípadoch spracúvania osobných údajov.

Nariadenie širšie definuje osobné údaje, takže povinnosti sa budú týkať väčšej skupiny údajov.

Zmeny sú aj v udeľovaní súhlasov so spracúvaním osobných údajov. Hoci GDPR neustanovuje presný obsah súhlasu (na rozdiel od súčasného zákona), nepriamo určuje podmienky za akých sa má a nesmie získavať. Príkladom je klasické opt-in a opt-out, využívané najmä v elektronickej komunikácii. Doteraz boli do určitej miery akceptované aj opt-out súhlasy, teda vopred zaškrtnuté políčka so súhlasom, ktoré však ľudia často prehliadali. GDPR výslovne zakazuje opt-out súhlasy. Dovolené sú už iba opt-in, teda aktívne zaškrtnutie políčka súhlasu dotknutej osoby. Vo všeobecnosti sa podľa GDPR nečinnosť a neprejavenie vôle už nemôže považovať za súhlas.

Po novom musí byť zároveň súhlas udelený na každý účel spracovania údajov zvlášť. Znamená to pre firmy, že budú musieť všetky súhlasy získať nanovo?

Uvedené sa údajne ešte stále rieši na európskej úrovni. Domnievam sa však, že ak staré súhlasy spĺňajú podmienky GDPR, nemalo by byť potrebné získavať ich nanovo.

Čo v prípade, že sú súhlasy formulované všeobecne a pokrývajú viacero účelov naraz?

Všeobecná formulácia súhlasu je problematická aj podľa súčasnej právnej úpravy. Podnik už aj dnes musí preukázať, že súhlas bol výslovný, jasný, zrozumiteľný a informovaný. Tam GDPR neprináša zásadnú zmenu.

Avšak súhlas podľa GDPR obsahuje viaceré podmienky, ktoré náš zákon doteraz neupravoval. Jednou z nich je napr. povinnosť oznámiť osobe možnosť súhlas kedykoľvek odvolať a možnosť podať sťažnosť na Úrad na ochranu osobných údajov. Dnes je potrebné len informovať dotknutú osobu o tom, či sú údaje spracované na dobrovoľnej báze na základe súhlasu, na akú dobu alebo na báze iného právneho základu. Táto informácia pritom nemusí byť súčasť súhlasu. Na túto oblasť dostávame aj najviac dopytov.

Klienti sa vás najviac pýtajú, ako naformulovať nový súhlas?

Pýtajú sa, či staré súhlasy budú platné aj pre účely GDPR. Odporúčame im, aby staré súhlasy prekontrolovali a aktuálne pripravované súhlasy nastavili tak, aby spĺňali podmienky jednak súčasného zákona, ako aj podmienky GDPR, ktoré bude účinné od mája budúceho roka.

Táto prechodná verzia je, predpokladám, dlhšia.

Obsahový rozdiel je, no rozdiel v dĺžke nie je až taký výrazný. Problém je skôr v tom, že v aktuálnych právnych predpisoch sú povinnosti, ktoré po máji už nebude potrebné do súhlasu zahrnúť. Táto prechodná verzia teda musí aktuálne spĺňať oba predpisy.

Ak sa firma chce vyhnúť starostiam so súhlasmi, mala by si nájsť právny základ na spracúvanie údajov. Tie sa menia. Ktoré po novom vypadnú?

Pokiaľ firma spracúva osobné údaje, v prvom rade by mala hľadať právny základ inde ako v súhlase. V súčasnosti často platí, že podniky sa ošetria súhlasom a majú pocit, že môžu spracúvať čokoľvek, akokoľvek a kamkoľvek  posielať. Tak to nefunguje. Ak dochádza k spracovaniu osobných údajov, odporúčala by som uprednostniť iné právne základy, ktoré sú zákonodarcom už akýmsi spôsobom odobrené ich vložením do právneho predpisu. Právne základy spracúvania sú v GDPR veľmi podobné tým v súčasnom zákone, hoci niektoré vypadli.

V súčasnosti často platí, že podniky sa ošetria súhlasom a majú pocit, že môžu spracúvať čokoľvek.

Je ešte otvorené, či vypadnuté právne základy nebude ošetrovať náš nový zákon. GDPR totiž dáva možnosť členským štátom rozšíriť niektoré právne základy. Znenie nového zákona ešte nie je finálne, v rámci pripomienkového konania prišlo vyše tisíc pripomienok od subjektov. Návrh prešiel radikálnymi úpravami, no v súčasnom stave (predloženom Národnej rade SR) obsahuje oproti GDPR ako samostatné právne základy aj akademické, umelecké a literárne účely, informovanie verejnosti masovokomunikačnými prostriedkami, či v obmedzenej miere aj realizáciu pracovného pomeru.

Z aktuálne dostupnej verzie vyplývalo, že vypadne právny základ spracovania osobných údajov pre marketingové účely a spracovanie osobných údajov, ktoré už boli zverejnené. Aký to bude mať vplyv napríklad na oslovovanie kandidátov, pri ktorom firmy zbierali a spracúvali dáta z LinkedInu a podobne?

Je tu právny základ, ktorý bol doteraz tak trochu mystériom na Slovensku – a to je právny základ oprávneného záujmu prevádzkovateľa alebo tretej osoby. Nebol veľmi využívaný aj vzhľadom na pomerne striktný výklad úradom. No v iných členských štátoch bol využívaný práve na účely priameho marketingu, získavania zverejnených údajov a podobne. Domnievam sa, že vo väčšine prípadov spracúvanie osobných údajov na základe právnych základov, ktoré vypadnú, sa pre účely GDPR podriadi právnemu základu oprávneného záujmu.

Pokiaľ ide o údaje pre účely zamestnania, tak právnym základom bude samotný nový zákona a pracovnoprávne predpisy, ale aj samotná pracovná zmluva. V prípade zmluvy nejde len o zmluvu samotnú, ale aj o predzmluvné vzťahy, ktoré zahŕňajú aj spracovanie osobných údajov získaných v predzmluvných vzťahoch.

Čo sa týka sťahovania informácií z LinkedInu, tam treba byť opatrný aj vzhľadom na iné riziká, akými sú diskriminácia a podobne. Ale pre samotné spracovanie určite bude možné nájsť iný právny základ v GDPR.

Aké ďalšie účely sa dajú schovať pod oprávnený záujem prevádzkovateľa?

Oprávnený záujem prevádzkovateľa je definovaný negatívne, teda je limitovaný základnými právami dotknutej osoby, do ktorých nesmie spracúvanie neprimeraným spôsobom zasahovať. V praxi pôjde najmä o ochranu súkromia, ochranu rodinného života a ochranu osobnosti. Takisto je limitovaný základnými povinnosťami v súvislosti so spracovaním, akými sú minimalizácia spracúvaných údajov či obmedzenie účelu. Každý podnik, ktorý bude spracovávať osobné údaje, musí tak robiť iba v nevyhnutnom rozsahu. Nevyhnutnosť je posudzovaná objektívne, a teda nemá ísť len o subjektívne uľahčenie činností.

Oprávnený záujem nie je definovaný vymenovaním zoznamu účelov, ktoré ho predstavujú. To je v dnešnom rýchle sa rozvíjajúcom svete plus. Je tam priestor na prispôsobenie sa vývoju. Otázku si teda musia podniky položiť negatívne, a to či nimi zadefinovaný oprávnený záujem spĺňa povinnosti a nezasahuje do základných práv a slobôd dotknutých osôb neprimeraným spôsobom.

Z toho, čo hovoríte, to pre podniky nevyzerá až tak dramaticky …

V podnikoch, ktoré sa už stretli s našim aktuálnym zákonom o ochrane osobných údajov (zákon č. 122/2013) a snažili sa ho aspoň čiastočne naplniť, by nemal byť prechod až taký dramatický. Nie je možné sa však spoliehať na to, že ak podnik spĺňal povinnosti podľa aktuálneho zákona, bude v plnom súlade aj s GDPR. Tak tomu nie je. Procesy, obsahy aj viaceré formálne náležitosti sa menia. Revízia je preto nevyhnutná.

Ako má firma začať s revíziou?

Prvým krokom by mala byť revízia osobných údajov, ktoré spracúva. Na začiatok by som odporúčala, aby sa stretli zodpovední pracovníci – v praxi HR, IT, manažér obchodnej divízie, a pod – ktorí majú najlepší prehľad o informáciách, ktoré podnik dostáva a spracúva, a teda aj o prípadných osobných údajov. Následne sa pripraví sumár osobných údajov a ich spracúvania, teda čo vlastne podnik spracúva, za akým účelom a v akom rozsahu. Na základe sumáru zodpovedná osoba vyhodnotí, aké právne základy spracúvania podnik používa, aký druh osobných údajov spracúva, aké sú s tým spojené riziká a ako je potrebné spracúvanie zabezpečiť. Predovšetkým posledná časť (riziká spracúvania a jeho zabezpečenie) by sa mala realizovať v spolupráci s IT oddelením.

Prvým krokom by mala byť revízia osobných údajov, ktoré firma spracúva.

Táto povinnosť do určitej miery vyplýva aj z GDPR, ktoré ukladá povinnosť určitému typu podnikov viesť záznamy o spracúvaní osobných údajov. Avšak aj ostatné podniky môžu značne profitovať z vedenia záznamov o spracúvaní osobných údajov. Tieto záznamy sú prvotným zdrojom informácií a zároveň odrazovým mostíkom a pomôckou pri efektívnom plnení ostatných povinností. Jedným z odporúčaní z mojej strany by tak určite bolo viesť záznamy aj v prípade, ak táto povinnosť nevyplýva priamo z GDPR.

Existuje nejaká predpísaná forma záznamov?

Aktuálne nie, ale mala by byť pripravená. Úrad prisľúbil, že dá k dispozícii formulár, ktorý by mal byť v zásade podobný súčasným evidenčným listom informačných systémov.

Ako dokáže vaša advokátska kancelária pomôcť podnikom v príprave na GDPR a v čom majú najviac nejasností?

Väčšina našich klientov už má nejakým spôsobom podchytenú ochranu osobných údajov. Najčastejšie sa na nás obracajú s otázkou použitia ich aktuálnych dokumentov aj po účinnosti GDPR. S tým vieme byť nápomocní, preskúmať dané dokumenty, nastaviť ich na podmienky GDPR a doplniť prípadne novými dokumentmi.

Ďalšiu skupinu predstavujú klienti, ktorí sa doteraz ochranou osobných údajov nezaoberali a potrebujú nastaviť spracovanie kompletne od základov. V takom prípade vieme pomôcť pri sumarizácii spracúvania osobných údajov a nastavení dokumentov a procesov. Treťou skupinou sú špecifické, individuálne dopyty od klientov, týkajúce sa už konkrétnych typov spracovateľských operácií.

Kto je Jana Černáková

cpa_pr_cernakovaV roku 2006 ukončila štúdium na Právnickej fakulte Univerzity Pavla Jozefa Šafárika v Košiciach a v roku 2016 získala titul PhD. na Právnickej fakulte Trnavskej univerzity v Trnave. Je členkou Slovenskej advokátskej komory, plynule ovláda anglický a nemecký jazyk. V rámci praxe sa zameriava najmä na oblasť pracovného práva, ochrany osobných údajov, sporovú agendu a na oblasť kriminality bielych golierov a compliance.
Okrem každodennej pracovnoprávnejagendy sa Jana špecializuje na problematiku pracovného času, zamestnávania cudzincov a kolektívneho vyjednávania. Zároveň často v rámci komplexných úloh týkajúcich sa reorganizácií, zlúčení a akvizícií, a iných prevodov podnikov zastrešuje s tým súvisiace pracovnoprávne otázky. Jana je tiež skúsenou sporovou právničkou a úspešne zastupovala klientov v konaniach najmä v oblastiach pracovného práva, dopravného práva, ako aj v oblasti farmaceutického práva. S narastajúcim významom ochrany osobných údajov sa Jana čoraz častejšie venuje aj tejto oblasti, predovšetkým problematike prenosu a spracúvaniu osobných údajov v rámci nadnárodných skupín spoločností. V advokátskej kancelárii Čechová & Partners pôsobí od roku 2011, od júla 2017 je partnerkou kancelárie.

Advokátska kancelária Čechová & Partners

Advokátska kancelária Čechová & Partners je jednou z popredných a najväčších advokátskych kancelárií na Slovensku s rozsiahlymi medzinárodnými skúsenosťami. Ako jedna z prvých advokátskych kancelárií, ktoré boli na Slovensku založené po začiatku transformácie na trhovú ekonomiku, už od svojho založenia v roku 1990 poskytuje služby domácim a zahraničným klientom.

red, 31.11.2017