So svojimi osobnými údajmi na internete operujeme v podstate denne. Aféra s britskou konzultantskou spoločnosťou Cambridge Analytica v roku 2018 ukázala, že osobné údaje, ktoré užívatelia sami zadávajú na sociálne siete, možno zneužiť dokonca aj na ovplyvnenie výsledku volieb. Bežne sa osobné údaje požívajú na cielený marketing, vďaka čomu je dnes Google jednou z troch najsilnejších značiek na svete. Čo všetko je osobný údaj a aké práva v súvislosti s nimi máte?
Osobný údaj
Od mája 2018 platí všeobecné nariadenie o ochrane osobných údajov (GDPR), ktoré upravuje všetky podstatné aspekty ochrany osobných údajov. Zásadnú zmenu v chápaní údajov a práv síce GDPR neprinieslo, no zainteresovaných primälo viac si problematiku všímať a dôkladnejšie dbať o zabezpečenie osobných dát.
Definícia osobného údaja je veľmi široká. Je ním každá informácia, na základe ktorej je možné identifikovať fyzickú osobu (človeka), v terminológii GDPR nazývaného „subjekt údajov“. Osobným údajom tak je meno a priezvisko, adresa, dátum narodenia i rodné číslo, ale aj sieťový identifikátor (IP adresa) alebo fotografie, ak z nej môžete určiť totožnosť fotografovaného. Súdy už skôr medzi osobné údaje zaradili aj mobilné číslo či e-mail, pretože dnes umožňujú sa s držiteľom spojiť v reálnom čase, čo je základom, ako sa niekomu dostať do súkromia. Osobným údajom teda môže byť skutočne čokoľvek, čo umožní, hoci po doplnení informácií, identifikáciu konkrétneho človeka.
Kto a ako osobné údaje spracováva
Podobne široko, ako je definovaný osobný údaj, je široko definované aj spracovanie osobných údajov. Ide o akúkoľvek operáciu s nimi – od zaznamenania, cez uloženie, až po ich zničenie.
Prečo GDPR
Jedným z hlavných dôvodov pre prijatie nového nariadenia bolo zjednotiť úpravy ochrany osobných údajov v rámci celej EÚ. Predchádzajúca úprava bola
obsiahnutá v smernici, no tá vyžaduje, aby ju každý členský štát zapracoval do svojho právneho rámca, čím môžu vznikať väčšie či menšie odchýlky. Jedno spoločné nariadenie, priamo aplikovateľné v každom členskom štáte EÚ, sa snaží tento nevhodný stav napraviť. GDPR ďalej spresňuje a sprehľadňuje niektoré princípy, ktoré v predchádzajúcej úprave neboli úplne jasne stanovené, čo často spôsobovalo výkladové problémy.
Cieľom GDPR je chrániť osobné údaje občanov EÚ v čo najväčšej možnej miere a pravidlám EÚ sa musia prispôsobiť aj spoločnosti, ktoré síce majú sídlo mimo EÚ, ale údaje spracúvajú na jej území. Spracovanie vykonáva správca prípadne spracovateľ. Správca tiež určuje účely a prostriedky spracovania údajov. Údaje musia byť zabezpečené primerane k rozsahu a rizikovosti spracovania. Stolár, ktorý zamestnáva dvoch pomocníkov, musí zabezpečiť menej ako spoločnosť, ktorá prevádzkuje internetovú platobnú bránu, a riziká sú neporovnateľné. Je potrebné zvoliť aj primerané prostriedky ochrany: zamknutá skriňa so šanónmi a zaheslovaný počítač s nainštalovaným antivírusom na jednej strane, či drahý šifrovací systém, ktorý chráni platobné údaje zákazníkov.
Pri spracovaní má správca aj množstvo informačných povinností. Ak od vás niekto na internete žiada osobné údaje, mal by pri ich získavaní vždy uviesť svoju totožnosť a kontaktné údaje, účely spracovania (prečo a na čo údaje chce), právny základ pre spracovanie údajov (najčastejšie zmluva či súhlas), ďalej či údaje bude správca niekomu predávať, ako dlho ich bude mať uložené a musí vás poučiť o právach, ktoré podľa GDPR máte. Správca tiež musí bezplatne vybavovať vaše žiadosti ohľadne osobných údajov najneskôr do jedného mesiaca.
Vaše práva k osobným údajom
Podľa GDPR sa každý slobodne rozhoduje, čo s jeho osobnými údajmi bude. Primárne je preto povinnosǒu správcu na požiadanie vám oznámiť, či vaše údaje spracováva, a ak áno, poskytnúť aj predpísané informácie a kópiu spracovávaných osobných údajov. Môžete tiež požadovať opravu nepresných a doplnenie neúplných osobných údajov alebo ich výmaz, ak už nie je dôvod na ich spracovanie. Vymazať údaje, na ktorých spracovanie už nemá právo, musí správca sám od seba. S tím súvisí aj zásada minimalizácie údajov (spracovávať len tie skutočne nevyhnutné) a obmedzenie doby uloženia (čas, po ktorý sú údaje uchovávané, má byť obmedzený na minimum).
Predvyplnené kolonky alebo Cookies
Na internete sa často stretávame so situáciami, keď sa v prihlasovacom formulári do e-mailu alebo pri objednávke tovaru po kliknutí automaticky zobrazí vaše meno. Deje sa to vďaka cookies alebo malým dátovým súborom, ktoré sa a vašim súhlasom ukladajú do počítača a následne pri otvorení webových stránok prispôsobujú stránku vašim preferenciám.
Cookies sa dnes využívajú najmä na cielenú reklamu. Názov cookie, alebo keksík, koláčik, je odvodený od anglosaského zvyku ponúknuť návštevníkom pamlsok, aby sa rýchlejšie vytvorila príjemná atmosféra. Všetky cookies je možné zakázať alebo následne z počítača zmazať. Vďaka cookies niektoré spoločnosti môžu mapovať váš pohyb po sieti alebo priamo fyzickú adresu, preto stojí za to nastavením prehliadača cookies tretích strán zakázať.
Novo zavedeným právom na zjednodušenie prechodu medzi jednotlivými poskytovateľmi služieb je právo na prenos údajov. Ak je spracovanie údajov založené na súhlase alebo zmluvne a vykonáva sa automatizovane, máte nárok, aby vám správca vydal vaše údaje v bežne používanom a strojovo čitateľnom formáte.
Tento súbor potom môžete poskytnúť ďalšej spoločnosti, prípadne požadovať, aby jej ho poskytol pôvodný správca, ak je to technicky možné. Toto opatrenie by vám malo pomôcť pri zmene banky, poisťovne či mobilného operátora.
Ak správca vaše údaje spracováva na základe oprávneného záujmu (musí vás o tom v podmienkach informovať), môžete vzniesť námietku, čo v prípade priameho marketingu povedie k ukončeniu spracovania údajov a ich výmazu.
Ako je to so súhlasom
Je potrebné si uvedomiť, že súhlas nie je jediným dôvodom na spracovanie osobných údajov. Veľmi často sa najmä na internete stretnete aj so spracovaním na základe zmluvy.
Kým si niečo v e-shope kúpite, nie je potrebné, aby ste udeľovali súhlas so spracovaním osobných údajov, ktoré sú nevyhnutné pre uzatvorenie kúpnej zmluvy. Vaše meno, priezvisko, adresu, kontaktné a platobné údaje tak e-shop môže spracovať aj bez súhlasu, pretože bez nich by vám tovar doručiť nemohol. Ak však bude chcieť e-shop údaje využiť aj inak, napríklad na zasielanie pravidelných noviniek, váš súhlas už potrebuje. Všeobecne je teda súhlas potrebný na všetko nad rámec zmluvy alebo povinností stanovených ďalšími právnymi predpismi (napríklad pre účely správy daní).
Čo v prípade, že niekto svoje povinnosti porušuje
GDPR nekonkretizuje, akou pokutou sankcionovať konkrétny prehrešok, vždy záleží na okolnostiach daného prípadu ako povaha tovaru, závažnosť a dĺžka trvania porušenia GDPR, či sa správca dopustil iného porušenia už aj v minulosti alebo ako s dozorným úradom spolupracuje pri riešení situácie. V prípade porušenia vašich práv, medzi ktoré patrí aj právo na výmaz osobných údajov, hrozí pokuta až do výšky 20 miliónov eur alebo 4 % celkového ročného obratu, podľa toho, čo je vyššie. Za neveľmi závažný prehrešok však môže Úrad pre ochranu osobných údajov uložiť len napomenutie. Ak od vás ktokoľvek na sieti požaduje súhlas so spracovaním osobných údajov, musí to urobiť oddelene od akýchkoľvek ďalších oznámení. Vysvetlenie, o čo ide, prečo a na ako dlho sú údaje potrebné vám správca musí poskytnúť jednoducho a zrozumiteľne, aby to pochopil aj ten, kto nie je právnik. V praxi by preto pre každý súhlas malo byť k dispozícii zaškrtávacie políčko či samostatné tlačítko, a chýbať by nemal ani odkaz na ďalšie vysvetlenie. Svoj súhlas môžete vždy, bez akýchkoľvek znevýhodnení, odvolať, rovnakými prostriedkami, akými ste ho udelili. Majte tiež na pamäti, že poskytnutie služby či akéhokoľvek iného plnenia zmluvy nesmie byť viazané na súhlas so spracovaním osobných údajov, ktoré nie sú pre danú vec potrebné. Je preto dôležité, si dávať pozor, komu a na čo súhlas udeľujete. Ak niekto napríklad podmieňuje dodanie tovaru súhlasom so zasielaním spravodaja, no nevysvetlí, ako dlho plánuje vaše údaje uchovať, je pravdepodobné, že nebude vaše práva rešpektovať ani pri odstúpení od zmluvy do 14 dní alebo pri reklamácii.
A čo sociálne siete
Na sociálne siete dávame denne veľké množstvo osobných údajov – či už ide o fotografie so životnými úspechmi, informácie o zmene zamestnania, o sťahovaní či jednoducho „len“ meno, priezvisko a dátum narodenia. Rozsiahle poskytovanie údajov ale neprispieva len „k lepšiemu užívateľskému zážitku“, ako deklarujú prevádzkovatelia sociálnych sietí. Vaše údaje sú tu v podstate platidlom, ktoré vymieňate za možnosť využívať službu. Sociálne siete a ďalšie internetové spoločnosti (predovšetkým Facebook a Google) totiž nie sú charita, a ak svoje služby poskytujú zdarma, primárnym zdrojom ich nemalých príjmov je využívanie vašich osobných údajov na účely cielenej a ďalšej reklamy. Dobe si vždy preto vopred zvážte, komu detaily zo svojho súkromia prezradíte.
Kam sa obrátiť
Ak máte podozrenie, že správca vaše údaje spracováva v rozpore s dohodnutým účelom, dostatočne ich nezabezpečil alebo ignoruje vaše požiadavky, podajte sťažnosť Úradu na ochranu osobných údajov
(ÚOOÚ). Ten je v tejto oblasti dozorným úradom a podľa nariadenia GDPR je poverený spolupracovať s úradmi z iných členských štátov pri riešení cezhraničných prípadov. O postupe pri riešení sťažnosti či priamo o jeho výsledku má úrad povinnosť vyrozumieť vás do troch mesiacov. Ak tak neurobí, môžete sa obrátiť na súd, kde sa tiež môžete domáhať náhrady ujmy, ktorú vám správca porušením svojich povinností spôsobil.
Pozrite si aj videá kolegov z nórskej a dánskej spotrebiteľskej organizácie:
