Súkromné firmy aj štátne inštitúcie sa v priebehu prvej polovice tohto roka museli oboznámiť s novou európskou legislatívou zameranou na ochranu osobných údajov, čiže General Data Protection Regulation alebo v skratke GDPR. O cieľoch, o výhodách i o úskaliach GDPR, ale aj o tom, na čo si treba dať pozor z pohľadu zdravotníckeho pracovníka a ako správne pochopiť a implementovať nariadenie do každodennej praxe, sme sa porozprávali s Miroslavou Terem Greštiakovou, ktorá pôsobí ako Global Data Protection Officer v skupine Unilabs.
Dá sa jednoducho vysvetliť, čo je GDPR?
GDPR je nová legislatíva o ochrane osobných údajov z dielne Európskej únie, ktorá vstúpila do účinnosti v máji 2018. Bola však pripravená už pred 2 rokmi. Počas tohto obdobia jednotlivé krajiny pripravili svoju lokálnu legislatívu na to, aby bola v súlade s touto európskou legislatívou. GDPR je všeobecné nariadenie o ochrane osobných údajov, ktorého účelom má byť zadefinovanie jednotnej ochrany osobných údajov v rámci celej EÚ.
Mnohí považujú GDPR za nezmysel a komplikáciu. Aké boli dôvody vzniku tohto opatrenia a aké sú jeho ciele?
Dôvody jeho vzniku sú viaceré. Predovšetkým medzi ne patria aspekty ako vývoj spoločnosti, vývoj médií, elektronizácia, sociálne siete, možnosť zbierania a nutnosť spracúvania veľkého množstva dát – takzvané big data, ktoré umožňujú úplne iný pohľad na jednotlivca a na jeho bežné správanie a návyky. V aktuálnom digitálnom svete je možné úkony jednotlivca dopátrať a sledovať prostredníctvom rôznych kombinácií jeho osobných údajov. GDPR je reakciou na vývoj doby a na to, že nie všetky krajiny rovnako pristupovali k ochrane osobných údajov. Primárnym účelom bolo stanoviť pravidlá pre väčšie spoločnosti typu Facebook, Google a podobné, ktoré dodávajú tovary alebo obstarávajú služby cez elektronické siete. Toto nariadenie sa však týka všetkých spoločností, samozrejme, s určitými výnimkami vrátane našej organizácie. Toto opatrenie má svoj zmysel práve preto, že tento prístup k ochrane údajov unifikuje. Aj keď GDPR neprináša žiadny nový produkt, neotvára žiadny nový trh a neotvára žiadne nové biznisové možnosti pre bežne fungujúce subjekty, dáva do istej miery možnosť komerčne sa odlíšiť práve tým, že spoločnosť bude spracúvať osobné údaje vo vysokej miere v súlade s princípmi GDPR. Tiež, GDPR dáva skôr administratívne povinnosti a definuje rámec, akým spôsobom majú spoločnosti spravovať osobné údaje svojich zamestnancov, klientov alebo tretích strán. Z tohto pohľadu je GDPR jedným z mála zákonov, ktorý je prierezový. Čo si však treba uvedomiť je fakt, že práve spoločnosti ako Unilabs môžu z toho získať konkurenčnú výhodu tým, že budú v súlade s legislatívou GDPR na rovnakej úrovni vo všetkých krajinách a budú mať komplexný prehľad o tom, ako spracúvajú osobné údaje. GDPR prináša zjednotenie. Okrem toho vytvára priestor si v spoločnosti, obrazne povedané, upratať, čiže pochopiť, aké údaje, prečo a s akým cieľom spoločnosť spracúva, ako aj vyhodnotiť, či ich skutočne potrebuje.
Aké sú výhody zavedenia tohto nariadenia do praxe?
Zmyslom GDPR je ochraňovať údaje v tejto veľmi rýchlo sa vyvíjajúcej elektronickej dobe. Ľudia často nedbajú na ochranu svojich údajov. Zverejňujú všeličo na sociálnych sieťach a neuvedomujú si, čo všetko je možné z týchto údajov rôznym spôsobom zistiť. Najväčšou výhodou je, že týmto nariadením sa nastavila uniformná forma ochrany osobných údajov pre celú EÚ, respektíve pre všetky dáta osôb, ktoré sa nachádzajú na území EÚ.
Týka sa GDPR aj fyzických osôb v zmysle ochrany osobných údajov? Napríklad, ak mám v telefóne zoznam kontaktov, vzťahuje sa aj na tento prípad GDPR?
Nie, nariadenie nepostihuje použitie dát na súkromné účely. Samozrejme, za predpokladu, že tento zoznam nebudete chcieť speňažiť alebo zneužiť. Vo všeobecnosti naše domáce diáre a databázy kontaktov sú mimo dosahu GDPR.
Ktoré spoločnosti nie sú primárnymi cieľmi GDPR?
Najmä menšie spoločnosti, ktoré majú menší počet zamestnancov. Také, ktoré dokážu technickým spôsobom zabezpečiť dáta a anonymizovať ich spôsobom, ktorý neumožňuje ich opätovné odanonymizovanie. Napríklad malá pekáreň, ktorá nemá vernostný systém, prijíma platby a spracúva údaje svojich zamestnancov. Toto sú spoločnosti, ktoré do istej miery môžu nepodliehať GDPR.
Pôsobíte vo funkcii Global Data Protection Officer (DPO). Čo to znamená v praxi, čo táto pozícia obnáša?
V preklade do slovenčiny je to Skupinová zodpovedná osoba. Tou je osoba, ktorej primárnou úlohou je koordinácia a zaručenie uniformnej komunikácie v rámci jednotlivých spoločností. Mojou úlohou je fungovať ako kontaktná osoba pre lokálnych koordinátorov, čiže pre zodpovedné osoby v každej krajine. Slúžim ako prvý bod kontaktu pre fyzické osoby, ktoré chcú uplatniť svoje práva kdekoľvek v rámci Európskej únie. A tiež som kontaktnou osobou pre úrady na ochranu osobných údajov jednotlivých krajín. Som prvým styčným bodom pre všetky podnety týkajúce sa ochrany osobných údajov – z interného aj z externého prostredia. Rovnako je mojou úlohou dávať odporúčania, ako postupovať v rámci ochrany osobných údajov a v neposlednom rade koordinujem a projektovo vediem aj tzv GDPR Projekt, čo je projekt implementácie GDPR pre všetky Unilabs entity.
Ak by niekto chcel uplatniť svoje práva, kontaktuje vás. Aký proces nasleduje?
Je niekoľko rôznych procesov. Fyzické osoby, takzvané dotknuté osoby, môžu podľa GDPR uplatniť niekoľko svojich práv. Nazývame ich aktívne práva – patria sem právo byť vymazaný, právo na opravu údajov, na informáciu o tom, ktoré osobné údaje sa spracúvajú v spoločnosti a tak ďalej. Rovnako majú fyzické osoby právo namietať proti niektorým veciam – napríklad majú právo namietať proti profilovaniu. V rámci skupiny Unilabs sme sa dohodli na definovaní jedného všeobecného princípu, podľa ktorého by mali tieto žiadosti byť spracované. Aktuálne je kontakt prostredníctvom elektronickej schránky dpo@unilabs.com. E-maily chodia priamo mne. Potom spoločne s lokálnymi koordinátormi riešime, či je osoba oprávnená podať daný podnet. Analyzujeme, aké riziko plynie z podnetu pre spoločnosť. Mojou úlohou je podporiť lokálne zodpovedné osoby, aby k takejto žiadosti správne pristúpili a prípadne na ňu odpovedali vhodným spôsobom.
Na akom princípe funguje sieť lokálne zodpovedných osôb vo vzťahu k vašej funkcii?
Pozícia DPO je nezávislá. To znamená, že nepodlieha koordinácii alebo príkazom vedenia. Nedá sa povedať, že zodpovedné osoby v jednotlivých krajinách sú nevyhnutne definovaným tímom s priamou zodpovednosťou voči DPO. Je to skôr proces, ktorý je nastavený na základe kolegiálnej zodpovednosti.
Čomu ste sa venovali pred nástupom na túto pozíciu do Unilabs? Prečo ste sa rozhodli študovať právo a pracovať v tejto oblasti?
Som vzdelaním právnik a dlhodobo pôsobím ako advokát. Právnické a súvisiace vzdelanie som získala na Slovensku, v Rakúsku a v Austrálii. Na otázku, prečo som študovala právo, asi ani nemám jasnú odpoveď. Zrejme mi to prišlo ako dobrý nápad v tom čase. Tiež som očakávala, že mi to poskytne široký záber a prehľad či možnosti uplatnenia. Teraz už viem, že uvedené nie je úplne o vzdelaní, ale skôr o otvorenosti príležitostiam a tiež o snahe a o záujme si rozširovať obzory. Pred nástupom do Unilabs som viac než 10 rokov pôsobila ako vedúci advokát v PricewaterhouseCoopers Legal a následne 5 rokov ako partner a vedúci advokát v spoločnosti Deloitte Legal. Ochrana osobných údajov nie je moja jediná špecializácia alebo smer záujmu. Dlhodobo som pôsobila ako M&A špecialista a mám za sebou niekoľko zaujímavých projektov ako vedenie tímu pri akvizíciách najväčších nákupných centier na Slovensku či pri veľkých investičných projektoch. Téme ochrany osobných údajov som sa začala viac venovať v roku 2013, keď na Slovensku vstúpil do platnosti už starý zákon o ochrane osobných údajov. Táto téma ma bavila práve z pohľadu poradcu, keďže som mala možnosť riešiť túto tému komplexne, majúc v tíme kolegov špecializujúcich sa na IT bezpečnosť či na cyber kriminalitu. Potom pre mňa ochrana osobných údajov dostala úplne iný rozmer, samozrejme aj v záujme klientov, keďže to už nebolo len o príprave dokumentov či o takzvanej čistej právničine. Posledné dva roky som zastrešovala tému GDPR pre 17 krajín centrálnej Európy v Deloitte, čo znamenalo aj kontakt s inými právnymi poriadkami. Mala som na starosti projekty najmä v bankovom sektore, v energetike či v telekomunikačných spoločnostiach. Fungovanie v skupine Unilabs a špecificky fakt, že pracujem pre najvyšší manažment, je pre mňa do istej miery nový. Najmä preto, že som teraz na strane klienta, vidím absolútne do detailu, ako funguje skupina Unilabs v praxi, aké sú praktické úskalia implementácie GDPR a podobne. Ďalšie špecifikum je to, že som prvá Slovenka na globálnej pozícii, táto pozícia nie je úplne typická a tiež to, že nie som denne vo Švajčiarsku, ale časť pracovného času trávim na Slovensku. Nateraz je to však super a teším sa z každej novej skúsenosti.
Akým spôsobom skupina Unilabs integruje do praxe GDPR? V čom sú odlišnosti medzi integráciou v nadnárodnej firme a vo firme, ktorá pôsobí na území jedného štátu?
Skupina Unilabs pristupuje k tejto téme veľmi determinovane a súčasne aj prakticky – tak, aby všeobecné ustanovenia tejto legislatívy, prípadne jednotlivých lokálnych legislatív, bolo možné priviesť do praxe takým spôsobom, aby boli vykonateľné. Skupina Unilabs sa rozhodla prijať rovnakú úroveň ochrany pre všetky jednotlivé krajiny. To znamená, že každá spoločnosť v rámci našej siete podlieha rovnakému procesu, takzvanému governance, čiže všeobecnému rámcu ochrany osobných údajov. Tento rámec je založený na ustanoveniach GDPR a na princípoch našej spoločnosti. Odlišnosť medzi integráciou v nadnárodnej firme a integráciou v rámci jedného štátu je zásadná. Spoločnosť, ktorá pôsobí na území jedného štátu, sa riadi GDPR a zároveň lokálnou legislatívou, ktorá môže zadefinovať rôzne špecifiká. Nadnárodná spoločnosť potrebuje zobrať do úvahy všetky lokálne legislatívy, zamyslieť sa aj nad tým, ako pristúpiť ku krajinám, ktoré priamo nepodliehajú legislatíve GDPR. V prípade Unilabs sú to napríklad Peru alebo Arabské Emiráty. Treba zobrať do úvahy aj praktické aspekty a zvyky, ktoré sú zaužívané v rámci ochrany osobných údajov v tej ktorej krajine. Okrem toho je odlišný aj prístup jednotlivých úradov na ochranu osobných údajov. No a v neposlednom rade, nastavenie jednotnej úrovne ochrany osobných údajov je tiež komplikované v tom zmysle, že aj interne medzi jednotlivými krajinami existujú odchýlky vo vnímaní toho, čo je dôležité a aká je dostačujúca úroveň ochrany osobných údajov. Koordinácia 15 krajín, z ktorých každá má svoje podjednotky, vyžaduje komplexný prístup. Preto je projekt implementácie pre mňa zaujímavý a súčasne je výzvou.
Ako dlho prebieha proces integrácie v Unilabs?
Legislatíva GDPR je v platnosti už dva roky. Spoločnosť Unilabs začala s prípravou v lete 2017. Začiatkom septembra 2017 bol pripravený projekt, na základe ktorého momentálne fungujeme. Je to komplexný plán na implementáciu GDPR do konca roka 2018. Takže celkovo je implementačná fáza plánovaná na skoro rok, respektíve rok a pol.
Často sa stretávame s pojmom oprávnený záujem. Čo tento pojem znamená?
GDPR limituje spracovanie osobných údajov. Hovorí o tom, že spracúvanie osobných údajov je možné len na základe zákonom predpokladaných dôvodov alebo na základe súhlasu. V podmienkach Unilabs je týmto právnym základom napríklad legislatíva zdravotníctva. Pokiaľ ide o zamestnancov, môže byť základom napríklad Zákonník práce alebo predpisy o sociálnom alebo o zdravotnom zabezpečení. Môže to byť aj všeobecný záujem. Okrem týchto preddefinovaných dôvodov je vo všeobecnosti možné spracovať osobné údaje len na základe súhlasu dotknutej osoby, o ktorej údaje ide. Spojkou medzi týmito dvomi časťami je práve oprávnený záujem. Existujú situácie, v ktorých na to, aby sme napríklad my ako Unilabs dokázali poskytovať svoju zákonnú službu, ktorou je poskytovanie zdravotnej starostlivosti, potrebujeme kontaktovať našich pacientov kvôli doručeniu výsledkov, kvôli tomu, aby sme s nimi dohodli stretnutie a podobne. Čiže je tam prítomný praktický záujem o to, aby sme spracúvali a mali k dispozícii aj iné údaje než tie, ktoré nám povoľuje medicínska a farmaceutická legislatíva. V tomto prípade sú to napríklad telefónne číslo alebo e-mailová adresa. A je naším oprávneným záujmom vykonávať napríklad telefonické hovory, aby sme mohli poskytovať základnú službu, ktorú robíme. Oprávnený záujem je jednoducho možnosť spracovať niektoré osobné údaje, na ktoré by inak bolo treba udelenie súhlasu, s cieľom vykonať základnú úlohu, ktorú vykonávame a tou je medicínska služba.
Medicínskym údajom sa pripisuje vyššia dôležitosť a ich spracovanie je spojené s ďalšími úkonmi.
Tento princíp teda rovnako platí aj pre lekárov?
Áno.
A čo právo na výmaz údajov? Ako sa tento aspekt rieši v praxi v sfére tlačovín?
Právo na výmaz je často veľmi preceňované. Je to v skutočnosti právo byť zabudnutý. Je to teda oprávnenie fyzickej osoby žiadať, aby jej údaje boli odstránené, vymazané, zničené, skartované a podobne. Bez ohľadu na médium, ktoré je nositeľom údajov. Treba však povedať, že nie je možné žiadať uplatnenie takéhoto práva na akékoľvek osobné údaje. Často sa zabúda na tento dôvetok a v povedomí verejnosti sa udomácnila myšlienka, že môžem požadovať vymazanie všetkého. V zásade to nie je možné. Vymazať možno len také dáta alebo osobné údaje, ktorých účel spracovania nie je stanovený zákonom. To znamená, že ak by pacient prišiel za nami s požiadavkou, že chce vymazať svoje zdravotné záznamy, nemôžeme mu vyhovieť. Existuje totiž špecifická legislatíva o poskytovaní zdravotnej starostlivosti, ktorá hovorí, že istý rozsah dát, pod ktorý spadajú aj zdravotné výsledky, musíme uchovávať v lehote, ktorá je definovaná. Takže právo na výmaz sa môže využiť len vtedy, ak by sme spracovávali neoprávneným spôsobom získané údaje alebo nad rozsah účelu, ktorý potrebujeme. V tomto prípade je relatívne ťažko preukázateľné, ktoré údaje to sú. Pokiaľ ide o tlačoviny, GDPR je postavené na tom, že hovorí o všeobecných princípoch. Nehovorí o tom, ako treba niektoré záležitosti vykonať, o tom, že treba tlačoviny skartovať alebo spáliť. Hovorí o tom, že pokiaľ je to technicky a ekonomicky v rozumnej miere možné, údaje sa dajú odstrániť. Ak teda máme časopis, v ktorom je publikovaná fotografia zamestnanca bez jeho súhlasu a on žiada o vymazanie, spoločnosť by mala vyjsť tejto žiadosti v ústrety. Avšak, ak nie je možné všetky výtlačky stiahnuť z obehu alebo nie je jasné, kam tento časopis bol distribuovaný a preukážeme, že sme urobili všetko, čo bolo v našich silách na to, aby sme žiadosti vyhoveli, je v poriadku, ak sa to nepodarí. Dokonca môžu nastať aj situácie, v ktorých by aj žiadna aktivita bola obhájiteľná. Ide najmä o situácie, v ktorých by vymazanie údaju spôsobilo omnoho väčšiu ekonomickú alebo inú záťaž pre spoločnosť než je hodnota, akú má uplatnenie tohto práva fyzickej osoby.
Kto posudzuje tieto situácie?
GDPR je postavené na takzvanom risk-assesment princípe, čiže na vyhodnotení rizika. To znamená, že tým, že neexistuje žiadna GDPR technická norma správneho správania, vždy to závisí od vyhodnotenia zo strany samotnej spoločnosti, aké riziko je spojené so spracovaním osobných údajov alebo s tým, aby vyšla v ústrety žiadosti o uplatnenie práv fyzických osôb. Spoločnosť teda musí byť samostatne schopná vyhodnotiť aj odôvodniť závažnosť a rizikovosť takéhoto procesu. Môže sa stať aj to, že ak by spoločnosť odmietla odpovedať na žiadosť, dotknutá osoba by mohla podať podnet na úrad na ochranu osobných údajov a žiadať o prešetrenie. Potom by nastala diskusia a došlo by k rozhodnutiu zo strany úradu.
Zdravotné údaje o pacientoch sú osobitnou kapitolou GDPR. Aké podmienky platia v tomto prípade a akým spôsobom sa tieto skutočnosti týkajú zdravotníckych pracovníkov pri výkone ich povolania?
GDPR sa vzťahuje aj na zdravotníckych pracovníkov. Zdravotné údaje sú osobitnou kategóriou osobných údajov a prináleží im ešte vyššia ochrana než, zjednodušene povedané, obyčajným osobným údajom. Účelom je obmedziť spracovanie osobných údajov nekalým spôsobom. Údaje o zdravotnom stave je vo všeobecnosti zakázané spracúvať. Samozrejme, existujú výnimky a to sú práve tieto zákonné dôvody, medzi ktoré patrí aj poskytovanie zdravotnej starostlivosti. Medicínskym údajom sa pripisuje vyššia dôležitosť a ich spracovanie je spojené s ďalšími úkonmi.
Nariadenie definuje tri kategórie zdravotných údajov – genetické údaje, biometrické údaje a údaje týkajúce sa zdravia. Čo označujú tieto pojmy, môžete uviesť konkrétne príklady?
Sú to pojmy, ktoré používa GDPR aj lokálna legislatíva Slovenskej republiky aj legislatíva v rámci Európskej únie. Genetické údaje sú údaje o genetických predpokladoch fyzickej osoby. Biometrické údaje umožňujú primárnu identifikáciu osoby – napríklad na základe odtlačku prsta, snímania očnej sietnice, rozpoznávania hlasu a podobne. Údaje týkajúce sa zdravia sú údaje o zdravotnom stave fyzickej osoby. Prečo sú takto rozdelené? Je na to viacero dôvodov. Biometrická rekognícia sa veľmi často využíva v rámci finančného sektoru, preto boli biometrické údaje vyňaté z kategórie zdravotných údajov. Sú tam isté výnimky na ich spracúvanie, napríklad práve pri identifikácii potrebnej na prístup k bankovému účtu.
Aké zmeny prináša nariadenie GDPR pre lekárov? Má rozdielny dosah na lekárov so súkromnou praxou a štátnych lekárov? Ak áno, v čom?
Áno aj nie. Legislatíva GDPR platí pre lekárov rovnakým spôsobom, udáva rovnaký rozsah práv aj povinností pre štátnych aj pre súkromných lekárov. Praktický rozdiel môže byť v spôsobe implementácie. Lekár so súkromnou praxou sa musí s implementáciou GDPR vysporiadať sám, zatiaľ čo u štátneho lekára implementáciu zabezpečuje väčšinou nemocnica alebo inštitúcia, v ktorej pracuje. V tomto ohľade to majú jednoduchšie štátni lekári.
Ak má lekár súkromnú prax, aký spôsob by mal zvoliť pri implementácii GDPR, na koho sa môže obrátiť, ak potrebuje pomoc?
Legislatíva je napísaná veľmi všeobecne, nehovorí o technických špecifikách napríklad pre informačné systémy, nehovorí ani o špecifikách fyzickej bezpečnosti. Hovorí len o tom, že osobné údaje majú byť spracúvané bezpečne a tak ďalej. Základom je pochopiť, ktoré povinnosti sa vzťahujú na daného lekára, pochopiť, ako a kde sú spracúvané osobné údaje a vyhodnotiť riziko, či sú spracúvané dostatočne bezpečne. Ak si lekár chce najať externú pomoc, musí si premyslieť, koľko chce do toho investovať a ako sa s tým vysporiada. Ani objasnenie legislatívy zo strany právnika nie je zárukou toho, že bude všetko v poriadku, pretože ťažisko v dnešnej dobe leží v IT systémoch, v ktorých sú údaje spracúvané. Je dobré, keď tomu rozumie aj niekto, kto vie spravovať informačné systémy. Teraz prichádzajú ako huby po daždi rôzni samozvaní špecialisti na GDPR, objavujú sa rôzne bilbordy o efektívnej a lacnej implementácii GDPR. Vždy je to však o logickom uvažovaní, jednoducho treba zapojiť zdravý sedliacky rozum. Súkromný lekár musí zvážiť, či zaplatí niekomu 50 eur a dostane 2 hárky textu so všeobecnými informáciami alebo si k tomu sadne, naštuduje si základné informácie, zorientuje sa v problematike a bude k tomu zodpovedne pristupovať.
Ako sa GDPR týka pacientov? Čo sa zmenilo v ich právach a povinnostiach?
V podstate sa nezmenilo nič. Zmenili sa iba administratívne práva. Všetky fyzické osoby majú z pohľadu GDPR rovnaké práva – právo na úpravu, na vymazanie, na prístup k údajom, na prenositeľnosť údajov a tak ďalej. Všetky tieto práva majú aj pacienti.
Najdôležitejšia informácia pre zdravotníckych pracovníkov je zrejme o tom, že sú povinní poskytnúť pacientovi ako dotknutej osobe pri získavaní osobných údajov zákonom stanovené informácie – poučenie. Na aké ďalšie dôležité povinnosti netreba zabudnúť?
Spomenutá povinnosť je formálna. Treba poučiť a dať informáciu o rozsahu spracúvaných osobných údajov. Z ostatných povinností si môžeme spomenúť napríklad tieto: narábať s osobnými dátami tak, aby k nim nikto iný nemal prístup, nenechávať ich prístupné tretím osobám, nezverejňovať ich. Ak ide o akékoľvek osobné údaje, ktoré bežne patria do agendy zdravotníckeho pracovníka, sú to každodenné úkony ako zamykať si skrinku, vypnúť počítač, keď od neho odchádzam, mať špecifické a dostatočné heslo, nenechávať voľne položené papiere, na ktorých sa nachádzajú tieto údaje a podobne. Tieto povinnosti nie sú presne pomenované, ale veľmi všeobecne ich môžeme označiť ako povinnosť nakladať s osobnými údajmi striedmo, bezpečne a v súlade s GDPR. Táto povinnosť u nás existovala už aj pred implementáciou GDPR.
Čiže ak sa niekto dostane do môjho počítača bez môjho vedomia a zneužije údaje, ktoré v ňom mám, je to moja vina a musím to riešiť?
V zásade áno. Môže to byť bezpečnostný incident, nemusí to byť nevyhnutne porušenie ochrany osobných údajov. Je to však vec, s ktorou sa musí každý vysporiadať sám, bez ohľadu na to, či je lekár alebo pracovník telekomunikačnej firmy.
GDPR prináša nepríjemnú hrozbu vo forme extrémne vysokých pokút až do výšky 20 miliónov eur, prípadne 4 percentá z obratu. Ako vidíte ich reálnosť v praxi?
Štandardne sa v legislatívnom procese postupuje tak, že ak je nejaká povinnosť, ktorej chceme dať veľkú váhu a dôležitosť, dôsledkom jej nesplnenia môže byť vysoká pokuta. V tomto prípade sa aj Európska únia snažila zvýšiť povedomie o ochrane osobných údajov práve tým, že zaviedla takéto vysoké pokuty. To, či budú takéto vysoké pokuty zavedené aj do praxe, je ťažké predvídať. Celá GDPR bola primárne zameraná na spoločnosti typu Facebook, Google, Amazon – skrátka na tie, ktoré majú prístup k big data. Pokiaľ ide o lokálnu úroveň, aj Úrad na ochranu osobných údajov Slovenskej republiky sa opakovane vyjadril, že budú k pokutovaniu pristupovať veľmi striedmo. To znamená, že pokuty by reálne nemali byť likvidačné. Určite budú k tomu pristupovať aj s ohľadom na isté kritériá, ktoré ich oprávňujú modifikovať výšku pokuty. Ak ide o prevádzku s piatimi zamestnancami, ktorá vyrába pekárenské výrobky a náhodou jej ujde telefónny zoznam, je to úplne iný prehrešok voči GDPR než napríklad aktuálne skloňovaný prípad Cambridge analytika a Facebooku a ovplyvňovanie výsledku volieb v USA. Nemyslím si, že pokuty budú reálne také vysoké. Doteraz mnohé krajiny v rámci Európskej únie nemali povinnosť dávať pokuty. Pre nich je to teda úplne nová povinnosť. My v Unilabs máme navrhnutú uniformnú rovinu ochrany osobných údajov. Sme vnímaní ako skupina, takže porušenie v jednej krajine môže byť porušením povinnosti aj v inej krajine a tým pádom sa na výpočet pokuty bude zohľadňovať celosvetový obrat. Pokuty sú vysoké, ale omnoho závažnejšie než finančné straty je reputačné riziko. Čiže zverejnenie informácií o možno bezvýznamnej udalosti môže byť omnoho horšou sankciou než samotná pokuta.
Ako prebiehajú kontroly? Čo nastane v prípade, ak sa zistí, že firma pochybila?
Je tu niekoľko rovín. Úrady na ochranu osobných údajov štandardne postupujú tak, že vydávajú plánovaný zoznam subjektov, ktoré budú kontrolovať. Tento zoznam nie je menný, je podľa oblasti podnikania – čiže medicínske firmy, banky, poisťovne, telekomunikácie, skrátka ktokoľvek. Tento harmonogram nasledujú v rámci svojej pravidelnej kontrolnej činnosti. Druhá možnosť je, že dôjde k porušeniu povinnosti a buď to ohlási úradu samotný subjekt alebo dotknutá osoba, ktorej práva boli narušené, prípadne niekto tretí, kto je nejakým spôsobom zainteresovaný. Na základe toho prebieha individuálna špecifická kontrola konkrétneho prípadu. Kontroly prebiehajú väčšinou na mieste, vykonáva ich Úrad na ochranu osobných údajov Slovenskej republiky a môže si k nim prizvať aj externých poradcov alebo špecialistov. Spomínaný zoznam subjektov je zverejnený na webových stránkach úradov na ochranu osobných údajov v jednotlivých krajinách.
Čím sa treba riadiť pri ochraňovaní svojich vlastných osobných údajov? Ktoré údaje by sme si mali strážiť najviac?
Každý z nás má odlišnú citlivosť ohľadne svojich osobných údajov, ako aj ohľadne osobitných kategórií osobných údajov. Moderná doba, výdobytky techniky a sociálne siete nám prinášajú možnosť nekontrolovane zdieľať extrémne veľké množstvo informácií o sebe. Pri správnej kombinatorike tieto informácie dokážu poskytnúť veľmi detailný pohľad na život a návyky konkrétnej fyzickej osoby. Pri rozhodovaní o tom, čo zverejním, by malo fungovať rácio. Ak zverejňujem na facebooku to, ako a s kým trávim svoj voľný čas, zrejme by som nemala ísť za nejakou spoločnosťou, aby vymazala moje telefónne číslo, na ktoré mi volajú napríklad kvôli výsledkom vyšetrení. Treba zvážiť, komu ktoré údaje poskytnem, aký papier podpíšem a podobne.
Často sa vynára otázka, či nie je nariadenie GDPR do istej miery retroaktívne. Dajme tomu, že osobný údaj, na ktorého spracovanie bol pred niekoľkými rokmi udelený súhlas, si v súčasnosti dotknutá osoba želá vymazať.
Retroaktivita GDPR je mierne otázna. Aj ja ako právnik sa ňu pozerám trošku s otáznikmi. Na Slovensku máme veľkú výhodu v tom, že mnoho povinností, ktoré existovali u nás už od roku 2013 po zavedení predchádzajúceho zákona o ochrane osobných údajov, je veľmi podobných ako tie, ktoré prináša GDPR. Či už ide o povinnosť informovať, žiadať o súhlas, mať ho preukázaný a podobne. Tieto povinnosti neboli uniformné vo všetkých krajinách. Takže to, čo sa nám môže zdať ako dvojitá robota, je pre niekoho absolútna novinka. Informovanie o rozsahu a spôsobe spracovania osobných údajov, ktoré sme my už bežne vykonávali v rámci regiónu Česko a Slovensku, sú absolútne nové v Portugalsku. Práve z tohto pohľadu je retroaktivita GDPR diskutabilná. Na Slovensku máme obrovskú výhodu v tom, že sme na podobnú úroveň ochrany osobných údajov už zvyknutí a GDPR teda pre nás nepredstavuje žiadne enormné zmeny.
foto: Ladislav Rybár