Havel & Partners: ako nakladať s údajmi o osobných údajoch na Slovensku

BRATISLAVA – Deň ochrany osobných údajov: prehľad najdôležitejších udalostí v roku 2020 a rozhodnutia, tak ako ich vníma právnická kancelária Havel & Partners.

Ochrana osobných údajov naberá na význame s každým ďalším technologickým pokrokom. Práve preto by sme Vám radi jej význam pripomenuli dnes, 28. januára. Rada Európy vyhlásila Deň ochrany osobných údajov v roku 2006. Najvýznamnejšiu zmenu a aj najvýraznejšiu pozornosť si však ochrana osobných údajov získala až prijatím „GDPR,“ ktoré v máji oslávi už tretí rok svojej platnosti.

Pri príležitosti tohto dňa Vám v dnešnom krátkom vydaní flash news prinášame stručný prehľad vybraných udalostí z oblasti ochrany osobných údajov za rok 2020, ako aj nedávne rozhodnutie Súdneho dvora EÚ, o ktorom by ste rozhodne mali vedieť.

Ochrana osobných údajov po slovensky

V podmienkach Slovenskej republiky rezonovali v oblasti ochrany osobných údajov najmä tieto udalosti:

  • na podporu protipandemických opatrení bola prijatá novela zákona o elektronických komunikáciách, ktorá umožňovala Úradu verejného zdravotníctva prístup k viacerým osobným údajom obyvateľov Slovenska. V prvej verzii túto novelu zastavil Ústavný súd SR, druhá verzia prešla bez podpisu prezidentky SR,
  • Slovenská republika nestihla transponovať smernicu, ktorou sa prijíma Európsky kódex elektronickej komunikácie. Tento kódex významne zasahuje do investícii v súvislosti s 5G sieťami, ako aj stanovuje pravidlá pre spotrebiteľské užívanie rôznych foriem elektronickej komunikácie (aplikácie, sociálne siete),
  • Okresný súd Komárno rozhodol, že v prípade, keď žalobkyňa namietala proti monitorovaniu jej pozemku kamerovým systémom suseda, nestačí, aby toto tvrdenie podložila len 4 fotografiami kamerového systému.

Ochrana osobných údajov v zahraničí

Rok 2020 sa celosvetovo niesol v znamení výrazných zmien v oblasti ochrany osobných údajov. Prinášame preto prehľad vybraných udalostí:

  • Súdny dvor EÚ vyhlásil za neplatné rozhodnutie Komisie Privacy Shield (o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi USA a EÚ). Osobné údaje už teda nie je možné prenášať do USA a do iných tretích krajín na základe tzv. Privacy Shieldu, ale len na základe tzv. štandardných zmluvných doložiek. Viaceré prenosy osobných údajov do tretích krajín preto musia byť prehodnotené a podložené novou dokumentáciou,
  • Európsky výbor pre ochranu osobných údajov prijal usmernenia o spracúvaní osobných údajov prostredníctvom kamerových zariadení, v ktorých príkladne popísal, aké nastavenie kamerových systémov v budovách či vozidlách sú v súlade s ochranou osobných údajov,
  • Český Úrad na ochranu osobných údajov uložil obchodnej spoločnosti rekordnú pokutu vo výške 6 miliónov CZK (cca. 230 061 EUR) za zasielanie nevyžiadanej elektronickej pošty. Obchodná spoločnosť nebola schopná preukázať platne získané súhlasy so zasielaním takejto pošty.

Súdny dvor vyriešil problematiku „predzaškrtnutého“ súhlasu

Otázkou platne udeleného súhlasu, ako jedného z najčastejších právnych základov spracovania osobných údajov, sa zaoberal aj Súdny dvor EÚ vo svojom nedávnom rozhodnutí.

Keďže je pre Vás získavanie platných súhlasov so spracovaním osobných údajov dôležité, prinášame Vám stručné zhrnutie tohto rozhodnutia.

Uchovávanie údajov a opt-out princíp pri získaní súhlasu

Po rozhodnutí vo veci Planet49 sa Súdny dvor EÚ opäť stretol s problematikou vopred označeného políčka vyjadrujúceho súhlas so spracúvaním osobných údajov v prípade rumunskej spoločnosti Orange Romania. Spoločnosť Orange Romania, ako poskytovateľ mobilných telekomunikačných služieb na území Rumunska, podľa zistení rumunského Národného orgánu dohľadu nad spracúvaním osobných údajov („Úrad“), zhromažďovala a uschovávala kópie identifikačných dokumentov svojich zákazníkov (napr. občianskych preukazov), a to bez ich súhlasu. Za túto činnosť bola spoločnosti Orange Romania zo strany Úradu udelená pokuta. Spoločnosť Orange Romania v konaní argumentovala, že takýto zber osobných údajov a ich uchovávanie bolo oprávnené, keďže jej na to zákazníci poskytli súhlas vo forme tlačiva, na ktorom bol „predzaškrtnutý“ súhlas s takýmto spracúvaním osobných údajov. Predmetné tlačivo bolo pritom súčasťou zmluvy o poskytnutí telekomunikačných služieb. Podľa dodatočných zistení Úradu však tieto súhlasy zaškrtávali samotní obchodní zástupcovia Orange Romania pred ich podpisom zákazníkmi. Keďže sa spoločnosť Orange Romania domnievala, že koná v súlade s platnou legislatívou a vopred označené súhlasy sú plne relevantné, spor pokračoval pred rumunskými súdmi. Prípad sa dostal až pred Krajský súd v Bukurešti, ktorý sa obrátil na Súdny dvor EÚ s otázkou, aké sú špecifiká, ktoré určujú či je súhlas so spracúvaním osobných údajov platne poskytnutý.

Pokiaľ súhlas nie je aktívne vyjadrený, je neplatný

Súdny dvor už v úvode svojho rozhodnutia jasne uviedol, že podľa platnej európskej legislatívy je spracúvanie osobných údajov na základe súhlasu oprávnené len vtedy, ak je súhlas daný slobodne, jednoznačne, určito a informovane. Na druhej strane takúto kvalitu nebude mať súhlas, ktorý bude daný mlčaním, predzaškrtnutím alebo neaktivitou, a teda inak ako výslovným  a aktívnym vyjadrením súhlasu.

Oddelenie súhlasu od poskytnutej služby

Okrem toho, ak má byť súhlas dotknutej osoby súčasťou písomného vyhlásenia, ktoré sa netýka len poskytnutia tohto súhlasu, tieto informácie musia byť dotknutej osobe poskytnuté v zrozumiteľnej a ľahko prístupnej forme. Navyše, aj v takomto prípade je potrebné zabezpečiť, aby dotknutá osoba súhlas poskytla slobodne. Súhlas je poskytnutý slobodne len vtedy, ak jeho neposkytnutie nemá negatívny vplyv na prijatie iných zmluvných podmienok, ktorých súčasťou je tento súhlas.

Skryté ustanovenie nezabezpečí informovanosť

Nič na tom nemenil ani fakt, že súčasťou zmluvy medzi zákazníkmi a spoločnosťou Orange Romania bolo ustanovenie, ktoré ich upozorňovalo, že ak zaškrtnuté políčko „neodškrtnú“, dávajú spoločnosti Orange Romania svoj súhlas, aby mohla uchovávať kópie identifikačných dokumentov zákazníkov. Takéto konanie totižto Súdny dvor EÚ posúdil ako zavádzajúce pre spotrebiteľa a navyše nespĺňajúce podmienky pre slobodne daný súhlas.

Spoločnosť Orange Romania v tomto prípade podľa Súdneho dvora EU len ťažko obháji zákonnosť udelených súhlasov, keďže samotní zákazníci svoj súhlas neprejavili odškrtnutím súhlasného políčka. Udeliť súhlas nečinnosťou dotknutej osoby, a to tak vopred vyplnený, a zákazník ho len „neodškrtne“, je v rozpore s pravidlami pre platné a účinné udelenie súhlasu na spracúvanie osobných údajov, ako ich vykladá Súdny dvor EÚ. Samotné posúdenie prípadu Orange Romania však ostáva úlohou regionálneho rumunského súdu.

Poučenie z rozhodnutia

Aj keď v tejto chvíli nie je jasné, ako to so spoločnosťou Orange Romania pred rumunskými súdmi dopadne, pravidlá stanovené Súdnym dvorom EÚ sú čoraz jednoznačnejšie:

  1. vopred označené políčko súhlasu so spracúvaním osobných údajov nie je dostatočným právnym základom pre spracúvanie osobných údajov,
  2. predzaškrtnutie nebude postačovať, ani keď na to bude zákazník upozornený v texte samotného súhlasu,
  3. súhlas nebude daný skutočne slobodne, ak samotná možnosť uzatvoriť zmluvu o poskytnutí iných služieb bude závisieť od jeho (ne) udelenia. 

Pár slov na záver

Regulácia ochrany osobných údajov má minimálne v prostredí Európskej únie vzrastajúcu tendenciu a aj v roku 2021 sa očakáva prijatie viacerých právnych predpisov a usmernení.

Znalosť a „compliance“ s pravidlami v tejto oblasti je už takmer súčasťou základnej výbavy podnikania, a to nielen toho v elektronickom priestore.

Rozumieme, že neustále sledovanie aj tohto legislatívneho vývoja a striehnutie na možné riziká je náročné, preto sme pripravení Vám aj v tejto oblasti poskytnúť svoje služby.

(Článok pripravili špecialisti z kancelárie Havel & Partners. Finančné noviny vyjadrujú veľké poďakovanie.)