Právne riziká
V slovenskom právnom prostredí je ochrana osobných údajov stále vnímaná ako relatívne nové odvetvie osobitnej časti správneho práva, ktoré vyvoláva značnú administratívnu záťaž takmer každému podnikateľovi.
Každý podnikateľ nevyhnutne prichádza do styku s rôznymi osobnými údajmi svojich zamestnancov, klientov, či obchodných partnerov, ktoré spracúva na rôzne účely. Tie sú buď vyžadované priamo zákonom (napr. vykonávanie starostlivosti pri ochrane pred praním špinavých peňazí, vytváranie whistleblowingových mechanizmov, či oznamovanie zamestnaneckých údajov Sociálnej poisťovni) alebo vyplývajú zo samotných aktivít podnikateľa (napr. rôzne formy marketingovej komunikácie, vernostný program, spotrebiteľská súťaž).
Okrem toho často nastáva situácia, kedy sa podnikateľ (prevádzkovateľ) dobrovoľne rozhodne spracúvať osobné údaje na ním zvolený účel (napr. prevádzkovanie elektronického dochádzkového systému, GPS monitoring služobného vozidla, kontrola firemnej pošty a browsingu počas pracovnej doby, monitorovanie priestorov kamerovým systémom apod.). Aj v týchto prípadoch je však podnikateľ povinný splniť zákonom stanovené podmienky spracúvania osobných údajov.
Pri dosahovaní účelov spracúvania osobných údajov si podnikateľ určuje vlastné podmienky ich spracúvania (napr. HW, SW a iné prostriedky spracúvania osobných údajov, obsah formulárov, spôsob získavania a formulácie súhlasov dotknutej osoby, priestory, v ktorých budú údaje spracúvané a uchovávané, vykonávanie cezhraničných prenosov, zapojenie sprostredkovateľov do procesu spracúvania údajov, riadenie prístupov či nastavenie likvidácie osobných údajov a pod.). Tieto podmienky spracúvania osobných údajov sú u každého podnikateľa individuálne, avšak je potrebné ich vždy zosúladiť s požiadavkami a povinnosťami ustanovenými v zákone o ochrane osobných údajov.
V prípade porušenia týchto povinností sú hlavným právnym rizikom sankcie ukladané podnikateľom Úradom na ochranu osobných údajov SR. Podľa závažnosti porušenia hrozia aktuálne sankcie v troch úrovniach.
Za najmenej závažné správne delikty sa ukladajú fakultatívne pokuty vo výške od 300 EUR do 3000 EUR (napr. neoznámenie IS[1], nepreukázanie poučenia oprávnenej osoby, nepredloženie evidenčného listu k IS). Za stredne závažné správne delikty sa ukladajú fakultatívne pokuty vo výške od 1000 EUR do 50.000 EUR (napr. nedostatočné bezpečnostné opatrenie, nedostatky pri likvidácii údajov, porušenie alebo nerešpektovanie základných zásad). Za najzávažnejšie správne delikty sa pokuty ukladajú povinne (obligatórne), a to vo výške od 1000 EUR do 200.000 EUR (napr. absencia bezpečnostného projektu alebo disponovanie dokumentom, ktorý sa iba „tvári“ ako bezpečnostný projekt, vykonávanie protiprávnych cezhraničných prenosov do špecifických krajín, neuzavretie zákonom o ochrane osobných údajov požadovanej zmluvy so sprostredkovateľom, či ignorovanie povinnosti osobitnej registrácie IS). Výška súčasných sankcií ako aj model ich ukladania sa v dôsledku prijatia GDPR[2] od r. 2018 zvýši a sprísni.
Vyššie uvedené právne riziká vyplývajú priamo zo zákona o ochrane osobných údajov, čo však nie je jediná právna norma, ktorú je vhodné zobrať do úvahy pri vymedzovaní právnych rizík.
V dôsledku nedostatočného zabezpečenia ochrany osobných údajov totiž môže dôjsť aj k vážnym zásahom do práva na ochranu súkromia a rodinného života konkrétnej osoby. Takýto neželaný zásah môže viesť civilnoprávnym žalobám na ochranu osobnosti či na náhradu škody, vrátane kompenzácie nemajetkovej ujmy v peniazoch (napr. únik a následné zneužitie citlivých osobných údajov na kompromitáciu osoby a poškodenie jej súkromného života).
Práve civilnoprávny aspekt potenciálneho nezvládnutia verejnoprávnej ochrany osobných údajov sa bude v blízkej budúcnosti v dôsledku účinnosti GDPR od roku 2018 viac posilňovať. Článok 79 GDPR zavádza pre dotknuté osoby právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi, takže dotknuté osoby ako „majitelia“ svojich osobných údajov budú môcť priamo na všeobecnom národnom súde žalovať podnikateľov za porušenie svojich práv ustanovených priamo v GDPR. Podaním žaloby nebude dotknutá možnosť dotknutej osoby uplatňovať ochranu svojich práv paralelene aj pred dozorným orgánom (Úradom na ochranu osobných údajov). Z uvedeného je zrejmé, že civilnoprávny aspekt ochrany osobných údajov sa viac posilní a bude predstavovať väčšie právne riziko ako je tomu v súčasnosti.
Bezpečnostné riziká
Každý podnikateľ spracúvajúci osobné údaje svojich zamestnancov, klientov, alebo obchodných údajov je povinný tieto údaje chrániť, a to s využitím primeraných technických, personálnych a organizačných bezpečnostných opatrení. Posúdenie miery primeranosti týchto opatrení je síce vecou úvahy podnikateľa, ale aj táto úvaha má svoje zákonné limity.
Pre splnenie povinnosti náležite zabezpečiť osobné údaje je potrebné vždy individuálne posudzovať použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných (bezpečnostných) rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačných systémov, v ktorých sa tieto osobné údaje nachádzajú.
Bezpečnostným rizikom je možné rozumieť „pravdepodobnosť, že zraniteľnosť v systéme ovplyvní overenie alebo dostupnosť, pravosť, integritu alebo dôvernosť spracúvaných alebo prenesených údajov, ako aj vážnosť dopadu úmyselného alebo neúmyselného využitia takejto zraniteľnosti.“[3]
Z hľadiska bezpečnostných rizík je teda veľmi dôležité vedieť identifikovať hrozby pôsobiace na individuálne zraniteľnosti v systémoch a podmienkach spracúvania osobných údajov prevádzkovateľa. Tieto postupy sa dokumentujú v zmysle vyhlášky Úradu na ochranu osobných údajov SR č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky č. 116/2014 Z. z. v tzv. analýze bezpečnosti informačného systému, ktorá musí byť povinnou súčasťou každého bezpečnostného projektu. Pri dokumentovaní tejto činností je podľa našich skúseností vhodné aplikovať metodiku popísanú v STN ISO/IEC 27005 Informačné technológie – Bezpečnostné metódy – Riadenie rizík informačnej bezpečnosti.
Nezvládnutie bezpečnostných rizík vedie k bezpečnostným incidentom, ktoré spôsobujú podnikateľom reálne škody. Rozsah a charakter škody môžu mať tiež rozličnú mieru, od čiastočného prerušenia a štaženia výkonu činnosti (napr. DOS alebo DDOS útok[4] znefukčňujúci webové sídlo firmy na obmedzený čas), až po vznik neodstrániteľných škôd znemožňujúcich ďalšiu efektívnu činnosť (napr. kompromitácia a vymazanie celej klientskej databázy, vrátane aktívnych objednávok prevádzkovej i archivačnej zálohy).
Reputačné riziká
Slovenský zákon o ochrane osobných údajov síce pozná právny inštitút zverejnenia „porušovateľov ochrany osobných údajov“ (§ 71 zákona o ochrane osobných údajov), avšak tento sa v praxi vôbec nevyužíva. V tejto súvislosti je tak potrebné rátať hlavne s medializáciou prípadného „failu“ ako tomu bolo v minulosti napr. pri úniku zoznamu a rodných čísiel študentov košickej univerzity veterinárneho lekárstva, alebo úniku asi 2200 životopisov uchádzačov o zamestnanie v známej slovenskej finančnej skupine.
Každé chcené, ale aj nechcené zneužitie osobných údajov, má negatívny dopad na reputáciu a dôveryhodnosť podnikateľa. V regulovaných odvetviach, v ktorých podnikatelia nakladajú s vysoko dôvernými údajmi (napr. prevádzkovatelia platobných služieb, bankový sektor) môže mať medializované porušenie ochrany osobných údajov pre podnikateľov priam likvidačné dôsledky. Viaceré prípady porušenia ochrany osobných údajov sú s obľubou široko medializované a často zverejňované ako odstrašujúci prípad aj priamo regulačnými orgánmi pri ukladaní sankcií.
Podobne ako pri právnych rizikách, tak aj pri reputačných rizikách sa domnievame, že po nadobudnutí účinnosti GDPR sa ešte viac pre podnikateľov zvýšia a viac globalizujú naprieč celou Európou, pretože „data privacy fails“ bude protiprávne „ututlávať“. Práve naopak, GDPR zavedie notifikačné povinnosti spočívajúce v povinnosti oznamovania určitého porušenia ochrany osobných údajov, jednak vo vzťahu k dotknutým osobám a jednak aj vo vzťahu k dozorným orgánom.
Podnikateľské riziká
Okrem právnych, bezpečnostných a reputačných rizík však prináša regulácia nakladania s osobnými údajmi aj viaceré podnikateľské riziká.
V prvom rade ide o trhové riziko. Transparentné a bezpečné mechanizmy ochrany osobných údajov sa postupne stávajú nezanedbateľnou konkurenčnou výhodou a v určitých sektoroch doslova nevyhnutnosťou. Pri absencii týchto mechanizmov podnikateľ stráca konkurenčnú výhodu, ktorá je pre viaceré segmenty (napr. e-commerce biznis modely, e-shopy) kľúčová.
Rovnako dôležitým je aj inovačné riziko. Zavedenie novej technológie bez potrebného právneho zabezpečenia (napríklad zakúpenie biometrického dochádzkového systému pre zamestnancov bez požadovanej registrácie) s veľkou pravdepodobnosťou povedie k uloženiu pokuty a zákazu využívania tejto technológie úradom.
V neposlednom rade ide o priame finančné riziko. Pokuty za porušenie ochrany osobných údajov sa pohybujú reálne v tisícoch až desiatkach tisícov eur. Opakovane uložená pokuta vie zatriasť aj finančne silnejšou spoločnosťou.
Záver
Ochrana osobných údajov sa stáva reguláciou súčasnej dekády, čo bolo tento rok umocnené schválením GDPR. Nerešpektovanie a ignorovanie regulácie ochrany osobných údajov sa podnikateľom nevypláca, a to aj vzhľadom na početné právne, bezpečnostné a podnikateľské riziká, ktoré táto regulácia prináša.
JUDr. Ondrej Zimen
Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.
Poznámky pod čiarou:
[1] Porušenie oznamovacej povinnosti vo vzťahu k informačnému systému osobných údajov podľa § 34 ods. 1 zákona o ochrane osobných údajov nastane, keď najneskôr ku dňu vykonania prvej spracovateľskej operácie nie sú úradu oznámené ustanovené informácie týkajúce sa prevádzkovateľa a samotného spracúvania osobných údajov; splnenie predmetnej povinnosti je možné vykonať aj zadarmo a online priamo cez aplikáciu integrovanú do úradného webu www.dataprotection.gov.sk.
[2] General Data Protection Regulation – Všeobecné nariadenie o ochrane osobných údajov.
[3] Ministerstvo financií SR: Metodický pokyn na použitie odborných výrazov pre oblasť informatizácie spoločnosti. Verzia 1.0. Číslo: MF/014235/2008-132.
[4] DOS (Denial of Service) je typ útoku na internetové služby alebo stránky, ktorého cieľom je cieľovú službu znefunkčniť a zneprístupniť ostatným užívateľom; môže k tomu dôjsť využitím nejakej chyby, ktorá síce útočníkovi neumožní službu ovládnuť, ale umožní ju znefunkčniť. DDoS (Dedistributed Denial of Service) je typickým útokom typu DOS vedeným na webový server pri ktorom útočník zaplaví server veľkým počtom požiadaviek z veľkého počtu rôznych miest prostredníctvom viacerých počítačov. Tým ho zablokuje a server na ktorý je útok vedený prestane fungovať.
