Všeobecné nariadenie o ochrane osobných údajov (GDPR = General Data Protection Regulation) má nahradiť Smernicu EP a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.
Nové nariadenie GDPR nadobudne účinnosť 25. mája 2018. Nariadenie GDPR je priamo uplatniteľné v každom členskom štáte a povedie k väčšej harmonizácii ochrany osobných údajov členských štátov EÚ.
Malé firmy i veľké spoločnosti už prijali procesy a postupy ochrany osobných údajov v súlade s doterajšou smernicou 95/45/ES. Teraz bude potrebné zosúladiť ochranu osobných údajov s nariadením GDPR.
S novými povinnosťami týkajúcimi sa napríklad súhlasu dotknutých osôb, anonymizácie údajov, oznámení o porušení ochrany osobných údajov, cezhraničných prenosoch osobných údajov, vymenúvania zodpovedných osôb a ďalších, GDPR vyžaduje od subjektov, ktoré spracúvajú osobné údaje občanov EÚ, aby vykonali zásadnú operačnú reformu.
V tomto a ďalších súvisiacich článkoch si povieme práve niečo viac o najdôležitejších dopadoch GDPR na zmenu procesov, prostriedkov a postupov ochrany osobných údajov.
GDPR obmedzuje profilovanie a udeľuje dotknutým osobám významné práva v súvislosti s profilovaním
Stará smernica o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov nadobudla účinnosť pred viac ako dvadsiatimi rokmi. Odvtedy sa rozšírili technológie, ktoré umožňujú prevádzkovateľom údajov zhromažďovať osobné údaje a analyzovať ich na rôzne účely.
Vrátane vyvodzovania záverov týkajúcich sa zhromaždených údajov o dotknutých osobách a a reagovaním na zistené skutočnosti. Spomínanou reakciou je napríklad cieľový marketing, cenová diferenciácia a podobne. Hoci sa v starej smernici uvádzajú pojmy "profilovanie" alebo "cieľový marketing", nie sú presne zadefinované.
Vo svojom rozsiahlom úsilí o definovanie a posilnenie práv dotknutých osôb na kontrolu ich osobných údajov obsahuje GDPR mnoho obmedzení v oblasti automatizovaného spracovania údajov. A taktiež rozhodnutí založených na takomto spracovaní - v rozsahu, v ktorom ich možno charakterizovať ako profilovanie.
Ako GDPR definuje profilovanie?
Veľmi diskutované ustanovenia GDPR, týkajúce sa obmedzenia profilovania boli nakoniec prijaté ešte prísnejšie, než sa pôvodne navrhovalo.
GDPR charakterizuje spracovanie údajov ako "profilovanie", ak zahŕňa:
-
automatizované spracovanie osobných údajov
-
používanie týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby.
Medzi konkrétne príklady patrí analýza alebo predvídanie aspektov:
-
týkajúcich sa výkonu fyzickej osoby v práci
-
majektových pomerov
-
zdravia
-
osobných preferencií
-
záujmov
-
spoľahlivosti
-
správania
-
polohy alebo pohybu
Táto definícia implicitne vylučuje spracovanie údajov, ktoré nie je "automatizované".
Ďalšie rozpracovanie tejto definície možno nájsť v odôvodneniach, v ktorých GDPR ustanovuje svoju jurisdikciu voči prevádzkovateľom z krajín mimo EÚ za predpokladu, že sledujú správanie dotknutých osôb (občanov EÚ), ak ide o ich správanie v rámci Európskej únie.
Ako príklad môžeme uviesť monitorovanie dotknutej osoby, keď je osoba sledovaná na internete, vrátane potenciálneho následného používania techník spracovania údajov, ktoré pozostávajú z profilovania jednotlivca. A to najmä za účelom prijímania rozhodnutí týkajúcich sa dotknutej osoby alebo analýzy či predvídania jej osobných preferencií, správania a postojov.
Táto definícia naznačuje, že profilovanie nie je ekvivalentné sledovaniu! Namiesto toho stojí svojou závažnosťou ešte nad ním! Zahŕňa totiž zámer prijímať rozhodnutia týkajúce sa dotknutej osoby alebo predpovedať jej správanie a preferencie.
Dotknutá osoba má právo byť informovaná o profilovaní aj jeho možných dôsledkoch
Takéto profilovanie vyžaduje určitý druh výsledku alebo činnosti vyplývajúcej zo spracovania údajov (napríklad cielená reklama). GDPR zdôrazňuje práva dotknutej osoby byť informovanej o dôsledkoch možných rozhodnutí v súvislosti s profilovaním.
GDPR vyžaduje zverejnenie existencie automatizovaného spracovania údajov dotknutej osoby za účelom automatizovaného rozhodovania vrátane profilovania. Zároveň ukladá povinnosť informovať o význame a predpokladaných dôsledkoch takéhoto spracovania pre dotknutú osobu. Dotknutá osoba môže tiež kedykoľvek sama požiadať prevádzkovateľa o získanie potvrdenia o akomkoľvek takomto spracovaní vrátane profilovania a jeho dôsledkov.
Zároveň sa dotknutým osobám poskytuje právo vzniesť námietky proti spracovaniu na účely priameho marketingu, ako aj k profilovaniu v rozsahu, v ktorom súvisí s priamym marketingom. Podľa GDPR profilovanie nie je samotným priamym marketingom, ale stojí ešte nad ním.
GDPR prináša aj povinnosť posúdiť vplyv údajov na ochranu súkromia dotknutej osoby. Posudzovanie by sa malo vykonať vtedy, keď sa spracúvajú osobné údaje na prijímanie rozhodnutí o konkrétnych fyzických osobách po akomkoľvek systematickom rozsiahlom hodnotení osobných aspektov týkajúcich sa týchto osôb na základe profilovania týchto údajov.
Keď si dáme dohromady všetky vymedzenia pojmov a diskusie o "profilovaní", je zjavné, že nevyžadujú len sústavné zhromažďovanie osobných údajov týkajúcich sa osobných aspektov dotknutých osôb, ale aj automatické spracovanie takýchto údajov na účely rozhodovania o nich.
Dotknuté osoby majú podľa GDPR nárok na práva týkajúce sa profilovania, z ktorých niektoré - ako napríklad oznamovanie o profilovaní a prístup k údajom - vyžadujú postupy podobné spracovaniu údajov, ktoré nie sú profilované. Ale ďalšie, ako napríklad právo vzniesť námietku, odmietnuť profilovanie a vyhnúť sa rozhodnutiam založeným na profilovaní - si budú vyžadovať osobitnú pozornosť a postupy.
Obmedzenia rozhodnutí založených na profilovaní, ktoré majú právne účinky
GDPR ustanovuje, že dotknutá osoba sa nemusí nevyhnutne vyhnúť profilovaniu (napr. automatizovanému spracovaniu osobných údajov na účely rozhodovania). Skôr vyhnúť sa tomu, aby bola predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú, alebo ju podobne významne ovplyvňujú.
Ako príklad môžeme uviesť odmietnutie žiadosti o prijímanie postupov elektronického náboru kandidátov na pracovné miesta bez akéhokoľvek zásahu človeka.
Toto právo dotknutej osoby, aby sa na ňu nevzťahovalo rozhodnutie založené výlučne na automatizovanom spracovaní osobných údajov vrátane profilovania, sa nemusí uplatniť ak je rozhodnutie:
-
nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom
-
povolené právom EÚ alebo právom členského štátu, ktorému prevádzkovateľ podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby
-
založené na výslovnom súhlase dotknutej osoby
Medzi vhodné ochranné opatrenia môžeme zaradiť anonymizáciu alebo pseudonymizáciu ako súčasť činností založených na profilovaní.
V prípade rozhodnutia prijatého na základe zmluvy s dotknutou osobou alebo jej výslovného súhlasu musí prevádzkovateľ v obidvoch týchto prípadoch naďalej umožniť dotknutej osobe vyjadriť svoje stanovisko a napadnúť toto rozhodnutie.
Ak sa údaje prenášajú medzinárodne z Únie organizáciám v rámci tej istej skupiny podnikov podľa záväzných firemných pravidiel (ďalej len "ZFP"), takéto ZFP musia špecifikovať práva dotknutých osôb v súvislosti so spracovaním ich osobných údajov a prostriedky na výkon týchto práv, vrátane práva nepodliehať rozhodnutiam založeným výlučne na automatizovanom spracovaní vrátane profilovania.
GDPR stanovuje, že rozhodnutia založené na profilovaní sa nesmú zakladať na osobitných kategóriách osobných údajov (napr. informáciách o rasovej, etnickej alebo náboženskej príslušnosti).
Možné to je len vtedy, keď:
-
dotknutá osoba udelila výslovný súhlas so spracovaním týchto osobných údajov na jeden alebo viacero konkrétnych účelov, okrem prípadov, keď to zakazuje právo EÚ alebo právo členského štátu
-
je spracovanie nevyhnutné z dôvodov významného verejného záujmu na základe právnych predpisov EÚ alebo členského štátu
Aj za týchto okolností musí prevádzkovateľ jednoznačne zabezpečiť vhodné opatrenia na ochranu práv a slobôd dotknutej osoby a jej oprávnených záujmov. Predpokladá sa, že budú prijaté ešte ďalšie usmernenia týkajúce sa okolností, za ktorých sú prípustné rozhodnutia založené na profilovaní pre osobitné kategórie osobných údajov.
Pri akomkoľvek povolenom profilovaní musí prevádzkovateľ používať vhodné matematické alebo štatistické postupy, vykonať technické a organizačné opatrenia na nápravu nepresností osobných údajov a zabrániť možným chybám. Taktiež musí zabezpečiť všetky osobné údaje a minimalizovať riziko diskriminačných účinkov voči fyzickým osobám na základe rasového alebo etnického pôvodu, politického názoru, náboženského presvedčenia alebo viery, členstva v odboroch, zdravotného stavu alebo sexuálnej orientácie.
Spracovanie musí skončiť v prípade námietky dotknutej osoby
Aj keď je profilovanie inak zákonné, dotknutá osoba má právo vzniesť kedykoľvek námietku. Na základe námietky dotknutej osoby k profilovaniu, ktoré je inak podľa GDPR povolené a legálne, sa musí spracúvanie skončiť, pokiaľ prevádzkovateľ nepreukáže presvedčivé oprávnené dôvody na spracúvanie, ktoré majú prednosť pred záujmami, právami a slobodami dotknutej osoby.
Ak je spracovanie určené na účely priameho marketingu vrátane profilovania, dotknutá osoba má podobne právo vzniesť námietku. Avšak v tomto prípade musí spracovanie skončiť a prevádzkovateľ nie je oprávnený v ňom za žiadnych okolností pokračovať.
Posúdenie vplyvu údajov pre prevádzkovateľov zaoberajúcich sa profilovaním
Jedným z faktorov, ktoré si vyžadujú posúdenie vplyvu údajov, je to, keď prevádzkovateľ vykonáva systematické a rozsiahle hodnotenie osobných aspektov týkajúcich sa fyzických osôb, ktoré sú založené na automatizovanom spracovaní vrátane profilovania a na ktorých sú založené rozhodnutia, ktoré majú právne účinky, ktoré sa ich týkajú, alebo ich podobne významne ovplyvňujú.
Analýza týchto ustanovení GDPR opäť dokazuje, že profilovanie zahŕňa viac ako len automatické spracovanie! Podobne aj, že profilovanie môže alebo nemusí zahŕňať rozhodnutia, ktoré majú právne účinky alebo významne ovplyvňujú jednotlivca, ale ak sa tak deje, dotknutá osoba má nárok na mnoho ďalších práv a opravných prostriedkov.
Zhrnutie
Prevádzkovatelia budú nepochybne čakať na ďalšie, konkrétnejšie usmernenia s cieľom určiť, ktoré činnosti automatizovaného spracovania údajov spadajú pod definíciu profilovania a aké činnosti v oblasti profilovania by mohli spadať do rozsahu pôsobnosti článku 22 GDPR, v ktorom sa píše o práve dotknutej osoby, aby sa na ňu nevzťahovalo rozhodnutie založené výlučne na automatizovanom spracovaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú, alebo ju podobne významne ovplyvňujú.
Na druhej strane, dotknuté osoby budú mať prospech zo širšie poňatého výkladu profilovacích aktivít, a budú sa tak môcť účinnejšie vyhnúť rozhodnutiam založeným na profilovaní - dokonca aj tým, na ktoré dali predchádzajúci výslovný súhlas.
Autor: Bc. Rastislav Teplánský, Gdpr-Riesenie.sk
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.