12. apríl 2012
Verejná diskusia k návrhu nariadenia o ochrane
fyzických osôb pri spracúvaní osobných údajov a o
voľnom pohybe takýchto údajov
ÚVOD
Dňa 25. januára 2012 Európska komisia prijala návrh nového nariadenia1 (ďalej aj Nariadenie), ktoré má
nahradiť smernicu 95/46/ES o ochrane osobných údajov (v SR implementovaná zákonom č. 428/2002 Z. z.
o ochrane osobných údajov).
Allen & Overy je jednou z najväčších medzinárodných advokátskych kancelárií s približne 2500 právnikmi a
480 partnermi pôsobiacimi v 27 krajinách sveta. V Európskej únii má Allen & Overy špecializované právne
oddelenia pre oblasť ochrany osobných údajov v 16 krajinách vrátane Bratislavy2. Allen & Overy Bratislava
poskytuje právne poradenstvo vo všetkých oblastiach ochrany súkromia, outsourcingu, cloud computingu,
ochrany osobných údajov na internete, prenosu osobných údajov, legálnosti spracovávania osobných údajov a
pod.
Allen & Overy Bratislava víta možnosť zapojiť sa do verejnej diskusie, ktorú za účelom pripomienkovania
nového Nariadenia vyhlásil Úrad na ochranu osobných údajov SR3. Radi by sme na túto príležitosť upozornili
aj našich klientov a zároveň by sme chceli informovať o niektorých aspektoch novej legislatívy, ktoré
považujeme za najviac problematické.
Podnikateľov čakajú nákladné zmeny informačných systémov
Je nepochybne potrebné venovať vyššiu pozornosť ochrane osobných údajov najmä v online prostredí, avšak je
potrebné zvážiť, nakoľko rozpočty podnikateľov budú schopné na novú legislatívu reagovať. Reformy
ako napríklad súhlas daný explicitne, právo byť zabudnutý, privacy by design, zákaz profilovania, povinnosť
1
Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov
(všeobecné nariadenie o ochrane údajov), COM (2012) 11
2
Naši právni experti: Zuzana Hečko ([email protected]) ochrana osobných údajov a duševné vlastníctvo, Katarína Matulníková
([email protected]) ochrana osobných údajov a pracovné právo, Peter Jedinák ([email protected]) ochrana osobných
údajov a bankové / finančné právo.
3
Podrobnejšie informácie k verejnej diskusii nájdete na stránke:
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=882&buxus=9dc285c0b05675ac2bd8e41a239d4a2e
Verejná diskusia k návrhu nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe
takýchto údajov
hodnotenia dopadov z hľadiska ochrany osobných údajov a pod. sa dotknú podnikateľov zásadným spôsobom
a budú vyžadovať značné investície na zladenie informačných systémov s novým Nariadením. Dopadová
štúdia, ktorá bola vykonaná4 síce riešila množstvo právnych a technických otázok, avšak neriešila otázku
nákladov podnikateľského sektora a najmä otázku, ako finančne náročná bude nová legislatíva pre
podnikateľov, ktorí spracúvajú osobné údaje.
Navrhované pokuty sú likvidačného charakteru a spôsob ich
výpočtu nie je jasne stanovený
Pokuty do výšky 2 % ročného globálneho obratu za porušenia ako napr. nevykonanie hodnotenia dopadov
prevádzkovateľom pred spracovávaním, prenos osobných údajov pri vynechaní čo i len niektorej z mnohých
povinností, ktoré prevádzkovateľ má, spracúvanie údajov v prípadoch, kde súhlas dotknutej osoby nebude
klasifikovaný ako "platne daný" alebo dostatočný a pod. sú neadekvátne vzhľadom na závažnosť porušenia
a pre spoločnosti likvidačného charakteru.
Pokuty do výšky 1% ročného globálneho obratu pre porušenia ako napr. neposkytnutie dostatočných
informácií o spracúvaní osobných údajov, nerešpektovanie práva byť zabudnutý, neinformovanie tretích strán,
že dotknutá osoba žiada o výmaz osobných údajov sú pre spoločnosti neproporčne vysoké a majú likvidačný
charakter.
Nariadenie by malo presnejšie definovať, akým spôsobom budú stanovené ukladané pokuty (najmä či sa
do základu budú zahŕňať aj obraty dcérskych spoločností alebo organizačných zložiek prevádzkovateľa),
podobne ako je to v práve hospodárskej súťaže.
Definícia "hlavného sídla" je nejasná
Pozitívnou zmenou je, že podnikatelia operujúci vo viacerých ako v jednej jurisdikcii si budú môcť zvoliť
regulátora osobných údajov, pod ktorého jurisdikciu budú spadať, a to podľa miesta svojho "hlavného sídla",
ktoré je podľa článku 4(13) a odôvodnenia 27 Nariadenia definované ako miesto, kde spoločnosť rozhoduje o
účele, podmienkach a spôsoboch spracovávania. To bude znamenať, že spoločnosti sídliace v SR budú môcť
spadať pod jurisdikciu iného regulátora osobných údajov než Úrad na ochranu osobných údajov SR. Aj keď
toto môže znamenať zníženie administratívnej záťaže pre veľké spoločnosti, ktoré momentálne musia
nastavovať svoje systémy tak, aby boli v súlade so zákonmi na ochranu osobných údajov každej z krajín, kde
pôsobia, nazdávame sa, že definícia hlavného sídla (main establishment) potrebuje väčšie upresnenie. Tiež
treba upozorniť na to, že vo veľkých korporáciách účel, podmienky ako aj spôsoby spracovávania môžu byť
určované súčasne vo viacerých štátoch.
4
http://ec.europa.eu/justice/news/consulting_public/0003/summary_replies_en.pdf
2
www.allenovery.com
Nové nariadenie bude mať značný vplyv na existujúce zmluvné
vzťahy
Nariadenie zavádza nové prvky, ktoré sa podstatne dotknú zmlúv uzavretých za súčasného právneho
režimu (IT outsourcing, cloud computing, HR outsourcing a pod.). Otázky ako zmluvná zodpovednosť
sprostredkovateľov či cloud providerov, povinnosť vykonávať hodnotenie dopadov a pod. ovplyvnia tieto
zmluvy podstatným spôsobom bez toho, aby tento aspekt bol predmetom vykonanej dopadovej štúdie. Toto
môže byť pre spoločnosti (najmä menšie a stredné podniky) kritické nevynímajúc prípady, kde mnoho z týchto
zmlúv bude musieť byť po účinnosti Nariadenia prehodnotených.
Nejasné stanovenie povinnosti vykonávať hodnotenia dopadov
Nariadenie zavádza novú povinnosť pre prevádzkovateľov alebo sprostredkovateľov vykonávať
hodnotenie dopadov v prípadoch, kde spracúvanie osobných údajov predstavuje špecifické riziko pre
základné práva a slobody dotknutých osôb. Aj keď je táto povinnosť s najväčšou pravdepodobnosťou
namierená voči prevádzkovateľom veľkých informačných systémov (banky, poisťovne, IT a e-commerce
spoločnosti, farmaceutické spoločnosti atď.), z definície v článkoch 33 a 34 Nariadenia jasne nevyplýva, kedy
by takéto prípady, kde existuje "špecifické" riziko pre práva a slobody dotknutých osôb, mohli nastať.
Požiadavka explicitného súhlasu
Súhlas daný "explicitne" bude pre podnikateľov v praxi znamenať omnoho vyšší počet prípadov, kde budú
musieť vyžiadavať súhlas na spracovanie osobných údajov od dotknutých osôb. Takýto súhlas nebude
možné zahrnúť do Všeobecných obchodných podmienok či Podmienok používania. Prevádzkovatelia budú
pravdepodobne musieť prehodnotiť dokumentáciu týkajúcu sa poskytovania súhlasu a vykonať nevyhnutné
zmeny. Podnikatelia poskytujúci služby priameho marketingu budú musieť zvážiť, či sú ich systémy
kompatibilné s novými, vyššími štandardmi poskytnutia súhlasu. Pre IT a e-commerce spoločnosti to môže
znamenať omnoho vyšší počet "pop-up" okien na monitore. Nie je však jasné, či súhlas daný explicitne bude
znamenať, že spoločnosť je povinná poskytnúť dotknutej osobe vždy dve explicitné možnosti ("súhlasím" alebo
"nesúhlasím") alebo či bude postačujúce ak dotknutá osoba vyjadrí svoj súhlas odkliknutím možnosti
"súhlasím" za podmienky, že tento súhlas nebude prevádzkovateľom prednastavený. Vyžiadavanie takéhoto
súhlasu bude pre podnikateľov administratívne zaťažujúce a posúdenie platnosti súhlasu môže znamenať
zvýšené náklady na evidenciu a právne poradenstvo.
www.allenovery.com
3
Verejná diskusia k návrhu nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe
takýchto údajov
Aplikácia práva byť zabudnutý je v internetovom prostredí
nerealistická
Nariadenie zavádza nové "právo byť zabudnutý", podľa ktorého dotknuté osoby budú mať právo žiadať
prevádzkovateľa, aby ich osobné údaje boli vymazané. V prípade, že osobné údaje boli zverejnené,
prevádzkovateľ bude musieť informovať tretie strany, ktoré tieto údaje spracúvajú a informovať ich, že
dotknutá osoba žiada ich odstránenie, vrátane odstránenia liniek či iných odkazov. Je otázne, do akej miery je
právo byť zabudnutý aplikovateľné v praxi, a to najmä v online prostredí. Kapacity IT a e-commerce
spoločností nebudú postačujúce na možný počet žiadostí zo strany dotknutých osôb. Výmaz údajov, ktoré boli
prenesené sprostredkovateľovi, prípadne subdodávateľovi, do tretích krajín, bude nanajvýš obtiažny. Zároveň
nie je jasné, nakoľko je trvalý výmaz osobných údajov možný z technického hľadiska (dáta sú prístupné na
back up serveroch a pod.), a to najmä v online prostredí. Nazdávame sa, že IT a e-commerce spoločnosti
nemajú kapacitu ani expertné znalosti na vyvažovanie ochrany súkromia so slobodou prejavu pri
posudzovaní žiadostí o výmaz.
Cezhraničné prenosy osobných údajov budú jednoduchšie
Vítanou zmenou je zjednodušenie prenosov osobných údajov do tretích krajín najmä vypustenie požiadavky
na súhlas Úradu na ochranu osobných údajov s prenosom. Z návrhu však nie je jasné, či prenosy budú
možné, ak tretia krajina bude Komisiou klasifikovaná ako krajina nemajúca primeranú úroveň ochrany
osobných údajov a ak áno, za splnenia ktorých podmienok (článok 41(6)).
Definícia osobných údajov v online prostredí je nejasná
Nie je jasné, za akých podmienok budú identifikátory ako napr. IP adresa považované za osobné údaje, resp.
za citlivé osobné údaje (vzhľadom na nesúlad článku 4(1) s odôvodnením 24 Nariadenia).
4
www.allenovery.com
Európsky režim ochrany osobných údajov aplikovateľný pre
subjekty etablované mimo EÚ
Nariadenie zavádza nové vymedzenie svojej územnej pôsobnosti podľa ktorého budú podliehať novým
pravidlám aj prevádzkovatelia, ktorí sídlia mimo Európskej únie, pokiaľ ponúkajú tovary/služby dotknutým
osobám v Európskej únii alebo monitorujú ich správanie. To vytvorí tzv. "level playing field" a
prevádzkovatelia so sídlom v Európskej únii už nebudú diskriminovaní oproti svojim konkurentom z tretích
krajín.
Kontakt
Zuzana Hečko
Tel +421 2 5920 2438
[email protected]
Allen & Overy Bratislava, s.r.o.
Eurovea Central 1, Pribinova 4, 811 09 Bratislava
Tel +421 2 5920 2400
Fax +421 2 5920 2424
www.allenovery.com
Allen & Overy vedie databázu obchodných kontaktov za účelom zlepšenia služieb zákazníkom. Tieto informácie nie sú poskytované žiadnym tretím
stranám. Ak sú Vaše údaje nesprávne alebo si neželáte dostávať publikácie od Allen & Overy, prosím kontaktujte nás na e-mailovej adrese
[email protected]
V tomto dokumente pojem Allen & Overy znamená Allen & Overy LLP a/alebo jej spriaznené osoby. Pojem partner sa používa na označenie člena
Allen & Overy LLP, zamestnanca alebo konzultanta s obdobným postavením a kvalifikáciou, prípadne osoby s obdobným štatútom v jednej zo
spriaznených osôb Allen & Overy LLP.
Allen & Overy LLP a spriaznené osoby majú kancelárie v: Abú Dhabí, Amsterdam, Antverpy, Atény (zastupiteľská kancelária), Bangkok, Belfast,
Bratislava, Brusel, Budapešť, Bukurešť (pridružená kancelária), Casablanca, Doha, Dubaj, Düsseldorf, Frankfurt, Hamburg, Hongkong, Jakarta,
Londýn, Luxemburg, Madrid, Mannheim, Miláno, Mníchov, Moskva, New York, Paríž, Peking, Perth, Praha, Rijád (pridružená kancelária), Rím, Sao
Paulo, Šanghaj, Singapur, Sydney, Tokio, Varšava, Washington D.C.
Tento dokument je všeobecný informačný dokument a nepredstavuje konkrétne právne poradenstvo.
Všetky práva vyhradené © Allen & Overy LLP 2012.
www.allenovery.com
5
Download

Verejná diskusia k návrhu nariadenia o ochrane