Jedným z najväčších rizík samotného spracúvania osobných údajov je ich zneužitie. Zneužitie osobných údajov patrí pod množinu rôznych spôsobov neoprávneného spracúvania osobných údajov, ktoré Nariadenie GDPR zaraďuje pod pojem – porušenie ochrany osobných údajov.
Na úvod je potrebné ozrejmiť pôvod „zneužitia osobných údajov“, ktorý je podriadený“ porušeniu osobných údajov. Pojem porušenie ochrany osobných údajov je definovaný v čl. 4 odsek 12 nariadenia GDPR. V zmysle tohto článku porušením ochrany osobných údajov je „porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim“.
Čo môže byť porušením a s akými porušeniami sa možno v praxi najbežnejšie stretnúť? Porušenie je všeobecnejší pojem. Najčastejšie sa stretávame so základnými porušeniami osobných údajov – nedodržiavanie zásad Nariadenia v zmysle čl. 6 Nariadenia GDPR, neplnenie informačnej povinnosti atď., o čom sme písali vo viacerých článkoch – pokuty GDPR.
Ochrana osobných údajov vo všeobecnosti nie je obsiahnutá len v Nariadení GDPR, ale je to aj jedno z ústavných práv, ktoré je ustanovené v čl. 19 odsek 3 Ústavy Slovenskej republiky, podľa ktorého má každý právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe. Ochrana osobných údajov má „prienik“ aj s právom na ochranu osobnosti. Tá je obsiahnutá v § 11 a nasl. Občianskeho zákonníka.
V zmysle § 11 Občianskeho zákonníka: „Fyzická osoba má právo na ochranu svojej osobnosti, najmä života a zdravia, občianskej cti a ľudskej dôstojnosti, ako aj súkromia, svojho mena a prejavov osobnej povahy.“ Ďalej, v § 12 ods. 1 Občianskeho zákonníka je uvedené, že „Písomnosti osobnej povahy, podobizne, obrazové snímky a obrazové a zvukové záznamy týkajúce sa fyzickej osoby alebo jej prejavov osobnej povahy sa smú vyhotoviť alebo použiť len s jej privolením.“ Existujú teda prípady, kedy môžu byť osobné údaje spracúvané v súlade s GDPR, ale sú porušením ochrany osobných údajov alebo opačne – sú v rozpore s ustanoveniami GDPR a predpismi o ochrane osobných údajov, ale nie sú v rozpore s ustanoveniami o ochrane osobnosti.
Okrem toho, že je právo na ochranu osobných údajov jedným z ústavou garantovaných práv, zneužitie osobných údajov zakladá aj skutkovú podstatu trestného činu Neoprávneného nakladania s osobnými údajmi podľa § 374 Trestného zákona. Tohto trestného činu sa dopustí ten, kto neoprávnene poskytne, sprístupní alebo zverejní:
Keďže účelom článku je priblížiť zneužitie osobných údajov, resp. porušenie ochrany osobných údajov, ústavnoprávnej, občianskoprávnej a trestnoprávnej rovine sa bližšie nevenujeme. Treba si však uvedomiť, že s porušením ochrany osobných údajov a prípadným medializovaním týchto porušení môže prísť aj k zníženiu reputácie z podnikateľského hľadiska, ktoré môže mať nezanedbateľné dopady.
Za bezpečnosť spracúvaných osobných údajov zodpovedá prevádzkovateľ, ktorého povinnosťou je v zmysle čl. 32 nariadenia GDPR prijať primerané technické a organizačné opatrenia s cieľom zaistiť bezpečnosť spracúvaných osobných údajov, ktorá bude primeraná rizikám, ktoré v dôsledku spracúvania osobným údajom a dotknutým osobám hrozia.1 Samozrejme, samotná bezpečnosť nie je garanciou spracúvania osobných údajov v súlade s GDPR.
Typickým príkladom porušenia ochrany osobných údajov a ich následného zneužitia patrí porušenie osobných údajov spracúvaných elektronicky prostredníctvom verejnej siete (napr. „nabúranie sa“ do webovej stránky a databáz v nej uložených) v dôsledku nedostatočného IT zabezpečenia prevádzkovateľa.
V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.
K porušeniu ochrany osobných údajov môže prísť aj v prípade, ak Prevádzkovateľ prijal primerané postupy v oblasti bezpečnosti spracúvaných osobných údajov, najmä v dôsledku zlyhania ľudského faktora, napr. strata USB kľúča obsahujúceho dokumenty s osobnými údajmi klientov alebo odoslanie e-mailu s osobnými údajmi nesprávnemu adresátovi. V zmysle uvedeného je preto pri dodržiavaní bezpečnosti spracúvaných osobných údajov dôležité nie len jasné nastavenie pravidiel, ale aj ich implementovanie do praxe a pravidelné vzdelávanie osôb, ktoré v mene prevádzkovateľa osobné údaje spracúvajú (najmä zamestnancov).
V prípade, ak si prevádzkovateľ svoje povinnosti v oblasti bezpečnosti pri spracúvaní osobných údajov neplní alebo ich plní iba nedostatočne, môže prísť k porušeniu ochrany osobných údajov. Následkom porušenia ochrany osobných údajov môže byť:
Porušeniu ochrany osobných údajov, aj ich zneužitiu možno predísť viacerými spôsobmi. Najdôležitejšou povinnosťou prevádzkovateľov je povinnosť dodržiavať základné zásady spracúvania osobných údajov v zmysle z čl. 5 Nariadenia.2
Prevádzkovateľ by mal na plnenie svojich povinností prijať zodpovedajúce interné postupy, ktoré sú obsahom internej dokumentácie o ochrane osobných údajov. S dokumentáciou a postupmi v nej obsiahnutými by mali byť oboznámené všetky osoby, ktoré z hľadiska internej štruktúry spracúvajú osobné údaje. Prevádzkovateľ by mal dodržiavanie interných postupovať pravidelne testovať, vyhodnocovať a v prípade potreby aktualizovať.
Ak už k porušeniu ochrany osobných údajov príde, má prevádzkovateľ podľa čl. 33 nariadenia GDPR tzv. „notifikačnú povinnosť“. Ide o oznámenie o porušení ochrany osobných údajov, ktoré je povinný doručiť príslušnému dozornému orgánu a to bez zbytočného odkladu, najneskôr však do 72 hodín od kedy zistil, že prišlo k porušeniu ochrany osobných údajov.
Obsahové náležitosti oznámenia o porušení ochrany osobných údajov sú upravené v čl. 33 odsek 3 nariadenia GDPR.3
Oznamovaciu povinnosť voči dozornému orgánu nemusí prevádzkovateľ plniť vtedy, ak porušenie ochrany osobných údajov pravdepodobne nepovedie k riziku pre práva a slobody dotknutých osôb, a teda nenastane zneužitie osobných údajov. V zmysle uvedeného je preto prevádzkovateľ povinný každé jedno porušenie vyhodnocovať.
Prevádzkovateľ má v niektorých prípadoch oznamovaciu povinnosť nielen voči dozornému orgánu, ale aj voči dotknutej osobe. Ide o prípady, kedy porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.4 Prevádzkovateľ nemusí oznamovaciu povinnosť voči dotknutej osobe plniť vtedy, ak:
V oboch prípadoch notifikačnej povinnosť sa táto vzťahuje na Prevádzkovateľa. Nariadenie GDPR sprostredkovateľom oznamovacie povinnosti neukladá. Uvedené platí najmä preto, že za plnenie povinností pri spracúvaní osobných údajov voči dotknutým osobám zodpovedá prevádzkovateľ, a to aj v prípade, ak do spracúvania osobných údajov vo svojom mene zapojí sprostredkovateľa. Vzájomné zodpovednostné vzťahy prevádzkovateľa a sprostredkovateľa sú predmetom zmluvy o poverení so spracúvaním osobných údajov, ktorá sa v prípade zapojenia sprostredkovateľa do spracúvania osobných údajov v mene prevádzkovateľa povinne uzatvára.
Zneužitie osobných údajov alebo porušenie ochrany osobných údajov môže vyústiť cez správne konanie až do súdneho konania. V týchto prípadoch je potrebné vynaložiť nemalé časové úsilie, ale aj finančné prostriedky na zastupovanie v týchto konaniach. Ak máte skúsenosti s „pokutovaním“ od orgánov štátnej správy, viete, že takéto konanie značne zasahuje do Vášho podnikania a oberá Vás o čas aj peniaze. A môže trvať roky…
Preto odporúčame vysporiadať sa s ochranou osobných údajov preventívne a využiť GDPR compliance ako konkurenčnú výhodu. Dôležité je dôkladne zvážiť výber dodávateľa, keďže vzorová dokumentácia nemusí stačiť k plneniu povinností vyplývajúcich z predpisov o ochrane osobných údajov.
Povinnosti v oblasti bezpečnosti sú jednými zo základných povinností každého prevádzkovateľa a sprostredkovateľa ↩
Ide najmä o povinnosť minimalizácie osobných údajov, pretože z prevenčného hľadiska nemôže prísť k úniku tých údajov, ktoré nie sú spracúvané ↩
Súčasťou oznámenia o porušení ochrany osobných údajov je napríklad opis povahy porušenia ochrany osobných údajov, opis pravdepodobných následkov porušenia a opis prijatých alebo navrhovaných opatrení, ktorých cieľom je napraviť porušenie ochrany osobných údajov ↩
Kým v prípade oznamovacej povinnosti voči dozornému orgánu ide iba o riziko ako také, pri oznamovacej povinnosti voči dotknutým osobám musí isť o vysoké riziko, ktoré zakladá notifikačnú povinnosť prevádzkovateľa voči dotknutým osobám ↩
Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viacWe will be happy to answer all your questions by e-mail, phone or in person.
Vytvorené digitálnou agentúrou UPVISION
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.