Markantná zmena
Firmy a inštitúcie majú pri získavaní osobných údajov povinnosť poskytovať nám aj informácie o ich spracúvaní. „Ľudia vďaka tomu zisťujú, kto, v akom rozsahu a na aký účel o nich osobné údaje spracúva,“ hovorí na základe skúseností lektorka Marcela Macová zo spoločnosti DAPRO Consulting.
Ak má teda ktokoľvek podozrenie, že došlo k porušeniu jeho práv pri spracúvaní osobných údajov, môže podať Úradu na ochranu osobných údajov návrh na začatie konania. Silnejúce povedomie potvrdzuje aj hovorkyňa úradu Lucia Bezáková: „V roku 2020 sme začali celkovo 219 správnych konaní, pričom 138 bolo na návrh dotknutej osoby.“
K tomu medziročne rastie aj výška pokút uložených úradom. Minulý rok to bolo päťdesiatštyri pokút za porušenie právnych predpisov v súhrnnej výške 103 300 eur. Od troch stovák za neoprávnené zverejnenie osobných údajov až po 20-tisíc eur za porušenie zásady transparentnosti a minimalizácie uchovávania.
Brutálne čísla
Tri roky s GDPR v Európskej únii, Spojenom kráľovstve, Nórsku, Islande a Lichtenštajnsku priniesli viac ako 281-tisíc hlásených únikov informácii. Výška pokút 272,5 milióna eur, pričom absolútnymi rekordérmi sú Taliansko a Nemecko, ktoré udelili po 69-miliónov eur. Najväčšie pokuty padli v segmente technológií, kde sa 50-miliónmu drží na prvej priečke Google, ktorému ich udelil francúzsky regulátor za „personalizovanú reklama a porušenie transparentnosti“.
Podľa mienky nemeckého úradu zas obchodný reťazez H&M zhromažďoval „príliš osobné údaje zamestnancov“ a túto aktivitu ohodnotili na 35,3-milióna pokuty. Agresívny marketing, neplatné zhromažďovanie súhlasov, nadmerné uchovávanie údajov stál talianskeho operátora 27,8-milióna eur.
Rast povedomia o ochrane osobných údajov sa premieta nielen do pokút, ale aj do záujmu organizovanej kybernetického zločinu. Cena za jeden dátový set obyvateľa EU patrí na darknete k najvyšším a predstavuje priemerne 25 eur. Pre porovnanie - za rovnaký dátový set obyvateľa Spojených štátov sa platí iba osem eur.
Spolužitie s nariadením
Vysvetľovacia etapa a ustálenie pojmov v legislatívnom prostredí trvali na Slovensku vyše roka a všetkých zaplavili najmä výstrahy pred pokutami a množstvo administratívy. V druhej etape dominovali témy, ako a kedy je potrebný a vhodný súhlas ako právny základ pre spracúvanie osobných údajov, ako správne nastaviť vzťahy v e-shopoch a medzi správcami a majiteľmi bytových a nebytových priestorov.
Implementácia nariadenia si vyžiadala vo firmách nemalé investície do analýz a zmien informačných systémov a procesov. „Technické, procesné a organizačné opatrenia boli zamerané na kontrolu a manažment dát a, samozrejme, ich ochranu. Implementačný projekt sa dotkol každého oddelenia a školenia a workshopy absolvovali všetci zamestnanci. Vyžiadal si rádovo státisícové investície a tisícky hodín ľudskej práce,“ hovorí Henrich Šnajder manažér IT bezpečnosti Orange Slovensko.
Zaťažkávacia skúška
Pandemický rok priniesol rýchle úpravy legislatívy, ktorá nie vždy rešpektovala aj ochranu a spracúvanie osobných údajov v miere, ako by to bolo možné a potrebné. Nastolil aj otázky, kto a v akom rozsahu môže spracúvať zdravotné osobné údaje, a upozornil v tejto súvislosti na pracovnoprávne vzťahy. Či už ide o testovanie, preukazovanie sa certifikátom, očkovanie alebo covid pasy.
Odborník na ochranu údajov Miroslav Ilavský zo spoločnosti i-Secure ide ešte ďalej a hovorí o tom, že „štátne a verejné inštitúcie u nás nemajú vytvorené podmienky na to, aby zabezpečili riadny súlad s GDPR a sú dlhodobo podfinancované. Na mýtus, že Slovenská republika dostatočne implementovala nariadenie vo svojich organizáciách, by sme mali zabudnúť.“
Výhodná komodita
Osobné údaje sú všade vo svete cieľom prepracovaných zločineckých aktivít. „Kybernetické útoky sa podieľajú na porušení ochrany osobných údajov stále vyššou mierou,“ upozorňuje Martin Oczvirk z Úradu na ochranu osobných údajov.
V minulom roku bolo hlásených na Slovensku 107 porušení ochrany osobných údajov (data breach), z toho takmer štvrtina kybernetické útoky. „Najčastejšie ide o ransomvérové útoky, čiže zašifrovanie dát a vydieranie. Ak bude tento trend pokračovať, tak to odhadujem na minimálne štyridsať útokov v tomto roku,“ varuje Martin Oczvirk.
Čoho sa vyvarovať
„Vo všeobecnosti je na Slovensku ešte stále veľmi citlivo vnímané rodné číslo,“ hodnotí Lucia Bezáková. A keďže rodné číslo je častým identifikátorom fyzickej osoby, tak jeho spracúvanie a ochrana sú aktuálne, až kým nebude nahradený inou formou.
„Osobným údajom, ktorý je potrebné chrániť, nie je iba meno a priezvisko, ale aj fotografia, video, pracovný e-mail, online identifikátor a iné. V prípade implementácie GDPR v spoločnostiach tam vidím stále nedostatky pri strete s realitou,“ dopĺňa Marcela Macová.
Senzitívnou témou pre obyvateľov, firmy, obce aj organizátorov podujatí sú kamerové záznamy, kam patrí aj zaznamenanie zvuku. Je veľmi citlivo vnímané, ak niekto takéto záznamy vyhotovuje, na aký účel a komu ich poskytuje.
Slepé miesta
„Povinnosti vyplývajúce z GDPR sú v praxi mnohokrát nevykonateľné, prípadne spojené s nadmernou byrokratickou záťažou,“ hovorí Marcela Macová a hneď upresňuje: „Respektíve povinnosti sú vykonateľné niekedy za cenu veľkých finančných nákladov.“
Boľavým miestom ochrany osobných údajov je totiž súčasný právny stav pri používaní služieb technologických gigantov, akými sú Microsoft, Google či Amazon, ktoré majú úložiská mimo EÚ. Jedna vec je zdieľanie dát s cieľom inovácií, druhou je možnosť mať dosah na dáta európskych firiem a používateľov sociálnych sietí v amerických cloudoch.
Transatlantický problém
Súdny dvor EÚ vyhlásil v júni 2020 za neplatný dokument Privacy Shield. Práve tento „Štít na ochranu“ predstavoval rámec na prenos osobných údajov medzi EÚ a USA a ich komerčné spracovanie.
„Spojené štáty sa pokladajú za krajinu, ktorá neposkytuje záruky pre dostatočnú ochranu osobných údajov,“ vysvetľuje Peter Kováč z Americkej obchodnej komory s poukázaním na diskrepanciu medzi právomocami spravodajských služieb v USA a nariadením na ochranu osobných údajov v EÚ. Dátový tok cez Atlantik sa však nezastavil, časť firiem akceptuje určitú mieru rizika a regulátori prejavujú v tomto prípade značnú zhovievavosť. Najpoužívanejším riešením sa javí prenos údajov na základe štandardných zmluvných doložiek medzi správcom a poskytovateľom s použitím silného šifrovania a pseudonymizácie. A rokovania na oboch brehoch pokračujú.
Biznis nepočká
Z praktického hľadiska treba pri uzatváraní zmlúv vedieť, kde sa nachádzajú servery poskytovateľa. „Ak je to možné, je vhodné zmluvne dohodnúť, že vaše dáta budú umiestnené na serveroch v EÚ. Takúto službu poskytuje mnoho zahraničných poskytovateľov,“ radí Peter Kováč.
V prípade serverov mimo EÚ je potrebné posúdiť, či sú prijaté opatrenia, ktoré poskytnú vhodnú ochranu údajom. Treba si
overiť, či sú dáta na serveroch zašifrované a či má poskytovateľ služieb z technického hľadiska možnosť rozšifrovať ich bez toho, aby o tom vedel správca.
Treba sa poradiť
„Zatiaľ vysoké pokuty za porušenia nepadajú, tak aj firmy sa tomu prispôsobili a neriešia, čo ich nepáli,“ hodnotí stav najmä v malých a stredných firmách Miroslav Ilavský. „Aj po troch rokoch ešte stále vnímam ako výzvu dosiahnuť praktickú ochranu osobných údajov u prevádzkovateľov, aby to nebolo len niečo deklarované na papieri v dokumentácii.“
Ochrana osobných údajov podlieha dynamickému vývoju a je nutné aktívne sledovať oficiálne usmernenia regulátorov a právne názory súdov členských krajín aj Súdneho dvora EÚ. Odborný poradca musí preukázať skúsenosti aj odbornosť, a preto sa stále častejšie hovorí o certifikácii poradcov v oblasti ochrany osobných údajov.
(Špeciálny projekt)