Autori: Štěpán Štarha, Martina Rievajová, Adam Kližan,
Už sú to štyri roky, odkedy vstúpilo do účinnosti nariadenie o ochrane osobných údajov fyzických osôb, skrátene GDPR. Pri tejto príležitosti by sme sa radi pozreli na vývoj tejto oblasti očami rozhodovacej praxe Úradu na ochranu osobných údajov. Prinášame preto stručný výber oblastí rozhodovania Úradu, ktoré by nemali ujsť Vašej pozornosti.
Súhlas dotknutej osoby je jedným z najviac využívaných právnych základov spracúvania osobných údajov. Na to, aby mohol byť použitý, ako právny základ je potrebné, aby spĺňal zákonom predpokladané kvality. Súhlas musí byť konkrétny, informovaný, jednoznačne prejavený a najmä poskytnutý slobodne.
Jednou z hlavných prekážok slobody súhlasu je, ak je medzi prevádzkovateľom a dotknutou osobou vzťah podriadenosti či závislosti. Typickým vzťahom podriadenosti, a teda nepomeru síl je vzťah zamestnanca a zamestnávateľa[1].
Dôvodom nepomeru v tomto prípade je práve nepravdepodobnosť toho, „že by dotknutá osoba mohla odmietnuť poskytovanie súhlasu na spracúvanie údajov svojmu zamestnávateľovi bez pocitu strachu alebo skutočného rizika nepriaznivých následkov odmietnutia.“[2]
O nevhodnosti použitia súhlasu zamestnanca so spracúvaním údajov o jeho psychodiagnostike rozhodoval v januári tohto roku aj slovenský Úrad.
HR oddelenie jednej z popredných slovenských spoločností začalo vykonávať psychodiagnostické hodnotenie svojich zamestnancov. Ako základ spracúvania týchto údajov používali súhlas zamestnancov. Vzhľadom k tomu, že sloboda udelenia súhlasu zamestnancom bola v predmetnej veci minimálne otázna, slovenský Úrad spoločnosti aj pre ďalšie porušenia udelil pokutu až vo výške 40.000 EUR.[3]
Pred použitím súhlasu zamestnanca, ako základu spracúvania jeho údajov, preto vo všeobecnosti odporúčame zvážiť použitie iných právnych základov, napríklad plnenia zmluvy či oprávneného záujmu, ak je to s ohľadom na okolnosti možné.
Na spracúvanie údajov zamestnávateľa o zamestnancovi, a dokonca aj o uchádzačovi o zamestnanie, je možné použiť viacero právnych základov.
Pri akomkoľvek právnom základe spracúvania však netreba zabúdať na informačnú povinnosť zamestnávateľa – prevádzkovateľa. V rámci informačnej povinnosti je prevádzkovateľ povinný informovať dotknutú osobu okrem iného o účeloch spracúvania jej osobných údajov, ako aj o príjemcoch takýchto údajov.
Porušením informačnej povinnosti sa Úrad zaoberal v nedávnom rozhodnutí, v rámci ktorého slovenskému zamestnávateľovi uložil pokutu vo výške 500 EUR.[4]
Porušenie spočívalo v tom, že uchádzača o zamestnanie neinformoval, že jeho osobné údaje použije na kontaktovanie jeho predchádzajúceho zamestnávateľa za účelom získania referencií na tohto uchádzača.
Uchádzačov o zamestnanie preto odporúčame na začiatku náborového procesu informovať o plánovanom využití ich údajov, a to v celom rozsahu.
Rodné číslo je jeden z najpresnejších identifikátorov fyzickej osoby minimálne v podmienkach Slovenskej republiky. Keďže ide o osobitý údaj, samotný zákon č. 18/2018 Z. z. zakazuje jeho zverejňovanie. Zverejňovanie rodného čísla je tak prípustné len v prípade, ak ho zverejnila samotná dotknutá osoba.
Zákaz zverejňovania rodného čísla sa pritom netýka len jeho zverejňovania na rôznych webových stránkach, ale aj ako súčasť povinne zverejňovaných zmlúv. V tejto súvislosti slovenský Úrad za posledný rok uložil dvom slovenským obciam pokuty vo výške 500 EUR a 700 EUR za to, že na svojom webovom sídle zverejňovali povinne zverejňovanú zmluvu, pričom neanonymizovali údaj zodpovedajúci rodnému číslo jednej zo zmluvných strán. [5] [6]
K zverejňovaniu rodného čísla sa slovenský Úrad vyjadril aj v prípade zverejnenia rodného čísla v internetovom článku známeho slovenského denníka. Slovenský denník na svojom webovom sídle zverejnil rodné čísla známych hercov v rozpore so zákonným zákazom. Za takéto konanie mu Úrad uložil pokutu vo výške 1.500 EUR.[7]
Spracúvanie rodného číslo je problematické nielen pre zákaz jeho zverejňovania. Samotné rodné číslo možno podľa znenia vyššie uvedeného ustanovenia spracúvať len v prípade, že je to nevyhnutné alebo na takéto spracúvanie udelila súhlas dotknutá osoba.
Podmienka nevyhnutnosti či zodpovedajúceho právneho základu nebola splnená ani v prípade parkovacieho systému mestskej časti Bratislavy. Na účely registrácie do tohto systému bolo totiž potrebné, aby doň dotknuté osoby uvádzali svoje rodné čísla. Keďže takúto povinnosť nestanovoval zákon a účel identifikácie osoby bolo možné dosiahnuť aj údajmi o mene a dátume narodenia osoby, podmienka uvedenia rodného čísla bola neoprávnená. Úrad preto za toto a ďalšie porušenia ochrany osobných údajov udelil mestskej časti pokutu vo výške 4.700 EUR.[8]
Jedným z najčastejších dôvodov sankcionovania slovenského Úradu je porušenie ochrany osobných údajov pri monitorovaní priestorov kamerovými systémami.
Z hľadiska informovania dotknutých osôb o monitorovaní priestorov kamerovými systémami je potrebné naplniť dve „informačné vrstvy“. Dotknuté osoby musia byť jednak informované priamo na mieste, ktoré je monitorované, a to oznámením/nálepkou – piktogramom so skrátenými nevyhnutnými informáciami a jednak komplexným poučením alebo informáciami o spracúvaní ich osobných údajov pri monitorovaní.
V prípade skrátenej informácie na mieste monitorovania je potrebné, aby piktogram obsahoval základné údaje o takomto spracúvaní. Úrad vo svojom rozhodnutí z októbra 2021 posudzoval či nasledujúca skrátená informácia umiestnená na mieste monitorovania spĺňa požadované náležitosti: „Prevádzkovateľ: XY, Objekt je monitorovaný kamerovým systémom so záznamom. Informácie o spracúvaní osobných údajov kamerovým systémom sú k dispozícii: www.xy.sk“[9].
Úrad konštatoval, že piktogram vo vyššie uvedenom znení je nedostatočný. Aj keď skrátená informácia nemusí vyčerpávajúco obsahovať všetky povinné informácie (je možné odkázať na webstránku), je potrebné, aby obsahovala kontaktné údaje na prevádzkovateľa a zodpovednú osobu, dobu uchovávania, a účel a základ spracúvania.
Za nedostatočnú skrátenú informáciu a iné porušenia udelil Úrad spoločnosti pokutu vo výške 2.500 EUR.
Rozhodovacia prax a aj usmernenia v oblasti ochrany osobných údajov sa rýchlo vyvíjajú a len aktuálne informácie môžu pomôcť predchádzať porušeniam v tejto oblasti.
Preto tento vývoj sledujeme za Vás a v prípade potreby Vám so správnym nastavením spracúvania osobných údajov radi pomôžeme.
[1] Podľa usmernenia EDPB č. 05/2020 k súhlasu podľa nariadenia 2016/679
[2] Podľa usmernenia EDPB č. 05/2020 k súhlasu podľa nariadenia 2016/679
[3] Rozhodnutie č. 01339/2021-Os-10
[4] Rozhodnutie zo dňa 11. 2. 2021, nebolo nám poskytnuté číslo rozhodnutia
[5] Rozhodnutie č. 00193/2021-Os-18
[6] Rozhodnutie č. 00136/2022-Os-7
[7] Rozhodnutie č. 00921/2021-Os-8
[8] Rozhodnutie č. 00337/2021-Op-5
[9] Rozhodnutie č. 00649/2021-Os-12