25.máj 2018 je „magickým dátumom“. Od tohto dátumu, kedy nadobudlo účinnosť Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej ako „Nariadenie“) sa pojem osobný údaj skloňuje na každodennej báze, a to aj napriek tomu, že úprava ochrany osobných údajov tu bola aj pred Nariadením.
Nariadenie však spravilo ochrane osobných údajov zaslúžený marketing,
a tak sa osobné údaje a ich ochrana dostali do širokého povedomia prevádzkovateľov osobných údajov a tiež samotných dotknutých osôb, ktoré nie len, že si začínajú byť vo väčšej miere vedomé svojich práv, ale tieto si voči prevádzkovateľom osobných údajov aj uplatňujú a presadzujú. O to viac je potom dôležitejšie, aby prevádzkovatelia tieto práva dotknutých osôb ale predovšetkým tomu zodpovedajúce vlastné povinnosti dôkladne poznali a najmä ich správne aplikovali v procesoch svojho fungovania a prevádzky.
Nariadenie sa z dôvodu komplexnosti a náročnosti problematiky stalo pre mnohých prevádzkovateľov strašiakom.
Niektorí svoje povinnosti pravdepodobne z nedostatku vedomostí bagatelizujú a v praxi nedostatočne dodržiavajú, pre iných aj napriek značnej snahe, predstavuje súlad s právnou úpravou ochrany osobných údajov nedosiahnuteľnú métu.
Nie je pritom potrebné veľmi vysvetľovať, že
byť „kamoš“ s Nariadením a dodržiavať Nariadením stanovené povinnosti sa oplatí,
keďže možné pokuty za porušenie, ktoré je oprávnený udeliť Úrad na ochranu osobných údajov ako dozorný orgán sú vysoké a môžu byť pre niektorých prevádzkovateľov až likvidačné (pokuta môže dosahovať výšku až 20 000 000 EUR, alebo v prípade podniku až výšku 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok).
Ako má teda prevádzkovateľ minimalizovať riziká spojené s porušením povinností na úseku ochrany osobných údajov?
Tak ako prevádzkovateľ v rámci vlastného chodu s odbornou starostlivosťou zabezpečuje činnosti, ktorých výkon si vyžaduje odborné vedomosti, praktické skúsenosti, či konkrétne technické zručnosti prostredníctvom osôb na to kvalifikovaných, má možnosť vo vzťahu k ochrane osobných údajov angažovať tzv. zodpovednú osobu (data protection officer alebo v skratke DPO), a to nie len v prípadoch, kedy je tak povinný urobiť priamo podľa Nariadenia.
Zodpovedná osoba v zmysle čl. 39 Nariadenia plní nasledovné úlohy:
1. poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov
2. monitorovanie súladu s Nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;
3. poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania podľa článku;
4. spolupráca s dozorným orgánom;
5. plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 36 Nariadenia a podľa potreby aj konzultácie v akýchkoľvek iných veciach.
Čo však naozaj obnáša postavenie zodpovednej osoby nám odpoveďami na naše otázky priblížili Ing. Miroslav Ilavský, konateľ spoločnosti i-Secure, s. r. o. (DPO roka 2022 pre verejný sektor) a Ing. Martin Pilka, MBA zo spoločnosti PROENERGY, s. r. o. (DPO roka 2021).
1. Ako by ste výstižne popísali, čo je vlastne tá zodpovedá osoba?
M. Ilavský: „Zodpovedná osoba by mal byť odborník na ochranu osobných údajov, mal by mať prehľad o príslušnej legislatíve, mať prehľad o hrozbách, ktoré môžu ohroziť spracúvané údaje, mal by ovládať bezpečnostné štandardy a technológie, ktoré tieto údaje chránia. Súčasne musí byť manažér, ktorý vie riadiť proces ochrany osobných údajov a efektívne pracovať s ľuďmi v organizácii.“
M. Pilka: „Mediátor, prostredný článok a pomocná ruka pre všetkých, ak je reč o osobných údajoch. DPO musí zosúlaďovať procesy v rámci organizácie, chrániť záujmy dotknutých osôb ale zároveň vyhovieť požiadavkám vedenia, čiže rieši veľa kompromisov.“
2. Prečo odporúčate prevádzkovateľom ustanoviť zodpovednú osobu aj nad rámec povinnosti podľa Nariadenia?
M. Ilavský: „V štátnej a verejnej správe je to jasné, tam vyplýva povinnosť mať zodpovednú osobu priamo z legislatívy. Osobné údaje sú v dnešnej dobe cenným aktívom, častokrát sú nevyhnutné na vykonávanie podnikania a preto je v záujme každej firmy ich získavať zákonne a chrániť ich voči zneužitiu, neoprávnenému zverejneniu alebo zničeniu. Opatrenia na ochranu osobných údajov súčasne slúžia na kybernetickú ochranu informačných systémov a ochranu priestorov firmy, teda chránia aj podnikanie firmy a jej zamestnancov. Podcenenie tejto oblasti častokrát vedie k vysokým stratám, škodám a sankciám zo strany kontrolných orgánov. Podľa môjho názoru, každá firma, ktorá má viac ako 100 zamestnancov alebo spracúva osobitné kategórie osobných údajov alebo vykonáva rozsiahle monitorovanie kamerami či GPS, callcentrum, poskytovateľ marketingových, finančných služieb, personálna a cestovná agentúra, prevádzkovateľ e-shopu, vývoj SW, poskytovateľ IT a cloudových služieb a mnoho ďalších, by mala o vymenovaní zodpovednej osoby určite uvažovať, je pre ňu určite prínosom.“
M. Pilka: „Prevádzkovateľ nemá šancu nájsť vhodnú pracovnú pozíciu z vlastnej organizačnej štruktúry, ktorá sa podobá práci DPO. Dobrý DPO sa učí z praxe a pokiaľ tá absentuje, nikdy nebude dobrým DPO. DPO má zároveň priestor študovať problematiku, čítať rozhodnutia súdov a dozorných orgánov, monitorovať všetky zmeny, odporúčania, stanoviská a pod. Preto, ak niekto berie ochranu osobných údajov vážne, s menovaním DPO by vôbec nemal váhať, bez ohľadu na povinnosť menovania.“
3. Akým spôsobom je možné vykonávať činnosť zodpovednej osoby u prevádzkovateľa?
M. Ilavský: „V praxi sa nám osvedčili dva spôsoby. Prvý je mať interného zamestnanca, ktorý sa výkonu zodpovednej osoby naplno venuje, vzdeláva sa, zúčastňuje sa odborných konferencií, sleduje aktuálne bezpečnostné trendy a technológie, vzdeláva zamestnancov a konzultuje s nimi. Druhým modelom je uzatvoriť si zmluvu s externým odborníkom – firmou, ktorá sa tejto činnosti profesionálne venuje a má kompetencie právne i technické na výkon tejto činnosti. Vždy je vhodné, aby pri tomto spôsobe bol poverený interný zamestnanec, tzv. GDPR koordinátor, ktorý s externým DPO primárne komunikuje, poskytuje mu informácie a pomáha riešiť agendu GDPR.“
M. Pilka: „Interne, vlastným zamestnancom alebo externe a to poverením iného subjektu. Ja osobne vykonávam aj preferujem externú DPO, nakoľko externista nie je úzko profilovaný na jeden segment alebo jeden a ten istý proces spracúvania údajov. Externá DPO podľa mňa tiež vykonáva svoju prácu s väčšou mierou „slobody, nezávislosti a nezaujatosti“.“
4. Aký je základný postup krokov, keď Vás osloví nový klient?
M. Ilavský: „U klienta, ktorého nepoznáme, začíname vyplnením dotazníka. Väčšinou si s ním uzatvárame aj NDA. Osvedčilo sa nám robiť implementáciu v dvoch krokoch – GAP analýza – zistenie skutkového stavu u klienta, následne podľa výstupov GAP analýzy nastupuje implementácia súladu s GDPR. Samostatnou službou, ktorá nadväzuje na predošlé, je služba externej zodpovednej osoby, teda udržiavanie súladu, konzultačná, poradenská a kontrolná činnosť, vzdelávanie a pod. V ďalších krokoch je to implementácia technických riešení, ktoré pomáhajú reálne chrániť dáta klienta.“
M. Pilka: „V prvom rade je potrebné vykonať hĺbkový audit a zistiť, aké procesy má klient zavedené a komplexne si zanalyzovať celú organizáciu z hľadiska spracúvania osobných údajov. V druhom kroku si DPO dáva do súladu všetky interné politiky, smernice, šablóny, dokumenty a formuláre. Následne zisťuje súlad alebo nesúlad s pravidlami Nariadenia. Popri tom DPO zhodnotí primerané bezpečnostné opatrenia a vydá analýzu rizík. Ďalším postupom je implementácia nových pravidiel, smerníc a politík a v neposlednom rade každoročné auditovanie a pravidelná kontrolná činnosť zameraná jednak na aktuálnosť dokumentov a jednak na dodržiavanie stanovených procesov.“
5. Riešite aj technické a bezpečnostné opatrenia? Čo si pod nimi môžeme v skratke predstaviť, keďže z praxe vieme, že v zmluvných vzťahoch to končí práve pri použití týchto pojmov bez toho, aby sa ďalej bližšie špecifikovali?
M. Ilavský: „Áno, sme jedna z tých firiem, ktorá dodáva komplexnú službu. Venujeme sa aj informačnej a kybernetickej bezpečnosti, vieme pomôcť s vyhodnotením rizík, odporúčaním bezpečnostných opatrení. Technické opatrenia vo fyzickom svete sú napr. bezpečnostné dvere, zámky, úschovné objekty, kamerové a el. zabezpečovacie systémy, systémy skartácie dokumentov, APC a pod. Vo virtuálnom svete je to bezpečnostný a prevádzkový monitoring, DLP systémy, rôzne bezpečnostné SW, šifrovanie, sieťová bezpečnosť, patch manažment, riadenie prístupov, logovanie, zálohovanie a veľa iných. Vychádzame s medzinárodných štandardov ISO, NIST a pod. Vždy by mala byť základom analýza rizík, opatrenia sa nastavujú na základe konkrétnych podmienok prevádzkovateľa.“
M. Pilka: „V skratke je to nejaký balík opatrení, ktoré vychádzajú z bezpečnostných štandardov. Za bezpečnostný štandard môžeme považovať ISO normu 27001. Tieto pravidlá požadujeme od klientov aj od ich partnerov. Koniec koncov aj pre samotný dozorný orgán je uvedená norma tým spomínaným odporúčaným bezpečnostným štandardom. Neznamená to však, že klient ju musí mať prijatú a byť certifikovaný. Je to návod, ako riešiť a nastaviť bezpečnostné opatrenia.“
6. S akými najčastejšími porušeniami na úseku ochrany osobných údajov sa u Vašich klientov stretávate?
M. Ilavský: „U našich klientov sa snažíme pravidelne vyhodnocovať úroveň ochrany osobných údajov a systémovo ju vylepšovať. Ide teda najčastejšie o zlyhanie konkrétneho ľudského faktora porušením stanovených postupov a pravidiel. U našich dlhoročných klientov sa snažíme podporovať papierovo nastavené pravidlá aj informačnými systémami, teda technickými opatreniami, aby boli aj v praxi pravidlá vyžadované, sledované, logované a notifikované. U niektorých klientov prepájame ochranu osobných údajov s informačnou alebo kybernetickou bezpečnosťou. Ak by sme otázku poňali aj mimo našich klientov, časté porušenia firiem, že vôbec nenastavili súlad s Nariadením, alebo majú len formálnu dokumentáciu, ktorá nie je vôbec uplatnená v praxi, stretli sme sa aj s „čiernymi“ nakúpenými databázami získanými a spracúvanými bez právneho základu, veľa porušení je pri kamerových systémoch, samostatnou témou sú cookies, je toho veľa.“
M. Pilka: „Phishing (čo vedie k hackovaniu alebo vymámeniu údajov), iné druhy sociálneho inžinierstva (takisto vyzradenie údajov), ale veľmi populárne je tiež svojvoľné ponechanie laptopu v aute a jeho následná krádež 😊 .“
7. Keď si Vás klienti zazmluvnia aká je ich ochota prijímať navrhované riešenia/opatrenia, ktoré predpokladáme často vyžadujú zásadné zmeny zaužívaných postupov a interných či externých procesov? Aké sú Vaše skúsenosti?
M. Ilavský: „Je to rôzne, závisí od postoja najvyššieho vedenia klienta k tejto oblasti. Máme klientov, ktorí sú nastavení na compliance, považujú to za svoju konkurenčnú výhodu, sú na to hrdí. Tam sa darí systémovo budovať ochranu osobných údajov na vysokej úrovni. Žiaľ, sú aj takí, kde to skôr ide k filozofii urobiť len nevyhnutné minimum a nič viac od nás nečakajte.“
M. Pilka: „Je to prípad od prípadu. Ak to niekto berie seriózne, je veľmi rád za nové opatrenia a nové názory. Klienti vtedy bažia po nových informáciách napr. o pokutách a chybách, aby sa im mohli vyvarovať. Vytvára to jednoducho pocit, že sú veci pod kontrolou. Ak si niekto zazmluvní nás, tak vie, že to myslíme vážne. Pokiaľ to je však prípad nutnosti, komunikácia aj ochota meniť procesy je samozrejme ťažšia. Vtedy, možno to vyznie hlúpo, nám k práci pomáhajú bezpečnostné incidenty. Potom sa aj ten laxný prístup zmení na nepoznanie a odrazu celá ochrana osobných údajov začne dávať zmysel.“
8. Ako zodpovedná osoba spolupracujete aj s dozorným orgánom od akých vysokých pokút sa Vám podarilo uchrániť klientov, resp. aká najvyššia pokuta bola udelená dozorným orgánom u nás na Slovensku?
M. Ilavský: „Mali sme niekoľko kontrol u našich klientov. Všetky boli na základe podnetu dotknutej osoby. Väčšina kontrol skončila bez povinnosti zaplatiť pokutu, najvyššia pokuta udelená nášmu klientovi bola 300 €. Bežné pokuty v SR sa pohybujú vo výške niekoľko tisíc eur, ak sa nemýlim, najvyššia udelená pokuta v SR bola 50 tisíc €. V iných krajinách to už také veselé nie je, pokuty padajú oveľa vyššie, najvyššiu pokutu dosiaľ vôbec dostala spoločnosť META vo výške 1.2 miliardy€.“
M. Pilka: „Pokiaľ viem, tak to bolo 50 tis. EUR, paradoxne udelená sociálnej poisťovni. Niektoré pokuty u našich klientov máme v štádiu „rozkladu“, nakoľko sme sa nestotožnili s výškou pokuty a celkovým rozhodnutím. Mne osobne sa podarilo uzavrieť konanie voči nášmu klientovi spôsobom, že dozorný orgán udelil len nápravné opatrenia.“
9. Označenie zodpovedná osoba navádza k tomu sa domnievať, že ste tou osobou, ktorá za všetko zodpovedá, ak dôjde k porušeniu ochrany osobných údajov. Aby sme veci uviedli na pravú mieru kam teda siaha Vaša zodpovednosť ako zodpovednej osoby?
M. Ilavský: „Za súlad s Nariadením u prevádzkovateľa zodpovedá jeho štatutár. Zodpovedná osoba zodpovedá za činnosti a poskytnuté služby v zmysle dohodnutých zmluvných podmienok. Pokiaľ by klientovi vznikla v dôsledku zlého odporúčania alebo zanedbania zmluvných povinností zodpovednej osoby škoda, môže si ju klient vymáhať. Samozrejme pokiaľ klient nedodržal odporúčania zodpovednej osoby, neriadil sa alebo porušil nastavené pravidlá, je za takéto konanie zodpovedný on. Pri zodpovednej osobe - zamestnancovi sa postupuje štandardne v zmysle Zákonníka práce.“
M. Pilka: „Zodpovedný je vždy prevádzkovateľ. Podľa mňa pojem zodpovedná osoba je dosť nešťastné pomenovanie, lebo automaticky sa to vníma, že to je naša zodpovednosť 😊 Oveľa radšej mám výraz Data Protection Officer (DPO). Našou úlohou pri porušení ochrany osobných údajov je vyšetriť bezpečnostný incident. My konštatujeme, či došlo k strate dôvernosti, integrity alebo dostupnosti osobných údajov. Následne hodnotíme dopady na práva a slobody týchto osôb a aké ujmy z toho môžu mať. Navrhujeme opatrenia, aby sa predišlo ďalším incidentom a záverom odporúčame, či sa tento incident má nahlásiť dozornému orgánu alebo tiež aj samotným dotknutým osobám. Treba poznamenať, že to všetko potrebujeme stihnúť v lehote 72 hodín. Preto je to u nás vždy priorita číslo jeden.“
10. Myslíte si, že je vôbec možné byť na 100 % alebo aspoň 99,9 % v súlade s Nariadením 😊?
M. Ilavský: „To je zaujímavá otázka. 😊 Úprimne, myslím si, že nie a ani to aktuálne nie je cieľom. Keď má klient nastavený súlad na 85-90%, je to podľa mňa perfektný výsledok.”
M. Pilka: „Aj keby sa nám to náhodou raz podarilo, určite to nebude trvať dlho 😊. Tie zmeny sú neustále. Vnímame množstvo legislatívnych úprav, nástup nových technológií (napr. AI, IoT, Web 3.0 a pod.) a celkovo by bolo asi až moc trúfalé povedať si, že už nemám čo zlepšovať a zdokonaľovať. Naša práca je večná 😊„
Za adresné odpovede obom DPO týmto ďakujeme a za nás zodpovedná osoba a jej angažovanie rozhodne nie je zbytočným luxusom, ale skôr nevyhnutnosťou, keďže vývoj právnej úpravy týkajúcej sa ochrany osobných údajov ruka v ruke najmä s technologickým rozvojom je dynamický a neustále sa meniaci, a preto aj riadne plnenie povinností v tejto oblasti je konštantnou výzvou.
Comments