3. diel - GDPR kompletne a ľudsky - Zásady spracovania osobných údajov Nové

V minulej lekcii, GDPR kompletne a ľudsky - Slovník pojmov , sme si predstavili základné pojmy GDPR, najmä profilovanie a pseudonymizáciu, ale aj ďalšie dôležité pojmy, ktoré musíme poznať.

V tomto tutoriále kurzu GDPR kompletne a ľudsky si ukážeme základné zásady, podľa ktorých musíme postupovať pri spracovaní osobných údajov. Vysvetlíme si, ako tieto zásady pomáhajú nastaviť spracovanie údajov tak, aby bolo zákonné, primerané, transparentné a bezpečné.

Zásady spracovania osobných údajov

GDPR stavia spracovanie osobných údajov na niekoľkých základných zásadách. Tie nám hovoria, ako máme s údajmi zaobchádzať od okamihu, keď ich získame, až po ich výmaz alebo archiváciu. Nejde teda len o to, či máme súhlas alebo či máme dáta uložené v zabezpečenej databáze. Dôležité je, aby každé spracovanie malo jasný účel, primeraný rozsah, zodpovedajúci právny dôvod, rozumne nastavenú dobu uchovania a dostatočnú ochranu.

Zásady spracovania sú dôležité aj preto, že sa k nim GDPR opakovane vracia. Pokiaľ si ich nastavíme správne, ľahšie potom riešime informačnú povinnosť, práva užívateľov, bezpečnosť, dokumentáciu i prípadné kontroly.

Zákonnosť, korektnosť a transparentnosť

Prvá zásada hovorí, že osobné údaje musia byť spracovávané zákonne, korektne a transparentne:

• Zákonnosť znamená, že pre každé spracovanie osobných údajov musíme mať vhodný právny dôvod. Súhlas je len jednou z možností. Často sa používa aj plnenie zmluvy, právna povinnosť alebo oprávnený záujem. Pokiaľ napríklad zákazník vytvorí objednávku, potrebujeme jeho kontaktné a doručovacie údaje, aby sme mohli objednávku vybaviť. Na to nepotrebujeme zvláštny súhlas, pretože údaje spracovávame kvôli splneniu zmluvy.
• Korektnosť znamená, že s údajmi zaobchádzame férovo a nepoužívame ich spôsobom, ktorý by bol pre človeka nečakaný, zavádzajúci alebo neprimeraný. Pokiaľ nám užívateľ poskytne e-mail kvôli registrácii, nemali by sme ho bez ďalšieho začať používať na úplne iný účel, s ktorým nemohol rozumne počítať.
• Transparentnosť znamená, že človeku zrozumiteľne vysvetlíme, aké údaje spracovávame, prečo ich potrebujeme, komu ich prípadne odovzdávame, ako dlho ich uchovávame a aká má v súvislosti so spracovaním práva. Pri webe alebo aplikácii sa to obvykle rieši stránkou so zásadami spracovania osobných údajov, prípadne stručnými informáciami priamo pri formulároch, kde údaje získavame.

Účelové obmedzenie

Osobné údaje musíme zhromažďovať na určité, výslovne vyjadrené a legitímne účely. Inými slovami: ešte pred získaním údajov by sme mali vedieť, na čo ich potrebujeme. Neskôr ich nemáme používať spôsobom, ktorý je s pôvodným účelom nezlučiteľný.

Ak napríklad používateľ zadá e-mail pri registrácii do služby, neznamená to automaticky, že ho môžeme použiť pre ľubovoľné marketingové oznámenia. Musíme posúdiť, za akým účelom sme e-mail získali, o aký právny dôvod sa opierame a či sa neuplatnia aj ďalšie pravidlá, napríklad pravidlá pre obchodné oznámenie.

To neznamená, že údaje nikdy nemôžeme použiť na nový účel. GDPR umožňuje posúdiť, či je nový účel zlučiteľný s pôvodným. Pozeráme sa pritom hlavne na:

• väzbu medzi pôvodným a novým účelom,
• okolnosti získania údajov,
• povahu spracovávaných údajov,
• možné dôsledky pre dotknuté osoby,
• vhodné ochranné opatrenia, napríklad pseudonymizáciu alebo šifrovanie.

Minimalizácia údajov a presnosť

Ďalšou dôležitou zásadou je minimalizácia údajov. Spracovávame len také osobné údaje, ktoré sú primerané, relevantné a nevyhnutné na daný účel. Údaje teda nezbierame "pre istotu", pretože by sa nám raz mohli hodiť.

To znamená, že ak na registráciu užívateľa stačí e-mail a heslo, nemáme dôvod vyžadovať aj dátum narodenia, adresu bydliska alebo telefónne číslo. Čím viac údajov zbierame, tým väčšiu zodpovednosť na seba berieme. Zbytočne široké formuláre navyše zvyšujú riziko, že nám používatelia vyplnia aj údaje, ktoré vôbec nepotrebujeme.

Zvláštna opatrnosť je vhodná pri voľných textových poliach. Pokiaľ užívateľovi dáme priestor napísať čokoľvek, môže do poznámky omylom uviesť aj citlivé alebo úplne zbytočné informácie. Preto je lepšie formuláre navrhovať tak, aby zbierali len to, čo na daný účel skutočne potrebujeme.

S minimalizáciou súvisí aj presnosť údajov. Osobné údaje majú byť presné av prípade potreby aktualizované. Ak zistíme, že sú nepresné, mali by sme prijať rozumné opatrenia na ich opravu alebo výmaz. Pri webovom portáli to môže znamenať napríklad možnosť upraviť profilové údaje, zmeniť e-mailovú adresu alebo požiadať o opravu údajov, ktoré používateľ nemôže zmeniť sám.

Doba uloženia a zabezpečenia

Osobné údaje nemáme uchovávať dlhšie, než je nevyhnutné na účel, na ktorý ich spracovávame. Tejto zásade sa hovorí obmedzenie uloženia. Nestačia teda údaje raz získať a nechať ich v systéme navždy. Mali by sme vedieť, ako dlho potrebujeme uchovávať napríklad údaje o užívateľskom účte, objednávke, faktúre, reklamácii, prihlásení k newsletteru alebo bezpečnostnom incidente.

Niekedy môžeme údaje uchovávať aj po skončení hlavného účelu, napríklad kvôli zákonnej povinnosti, reklamačnej lehote alebo obrane právnych nárokov. V takom prípade ale musíme mať jasný dôvod a údaje nepoužívať na iné účely.

Okrem doby uloženia musíme riešiť aj integritu a dôvernosť. Osobné údaje majú byť chránené pred neoprávneným prístupom, stratou, zničením, poškodením alebo protiprávnym spracovaním. Nejde len o technické opatrenia, ako sú silné heslá, šifrovanie, zálohovanie alebo viacfaktorové overovanie. Rovnako dôležité sú aj organizačné opatrenia: prístupové práva, školenia ľudí, pravidlá pre prácu s údajmi alebo kontrola dodávateľov.

Právne dôvody spracovania

Zásada zákonnosti znamená, že pre každé spracovanie osobných údajov musíme mať právny dôvod. GDPR uvádza šesť základných právnych dôvodov. Pre konkrétne spracovanie pritom stačí jeden vhodný právny dôvod, pokiaľ skutočne zodpovedá danej situácii.

Je dobré si uvedomiť, že právny dôvod by sme mali poznať už vo chvíli, keď spracovanie nastavujeme. Nie je možné ho určovať až dodatočne podľa toho, čo sa nám práve hodí.

Medzi právne dôvody patria:

• súhlas – používame ho tam, kde sa človek môže slobodne rozhodnúť, či so spracovaním súhlasí,
• plnenie zmluvy – použijeme ho napríklad vtedy, keď potrebujeme spracovať údaje na vybavenie objednávky, poskytnutie služby, komunikáciu so zákazníkom alebo doručenie,
• právna povinnosť – týka sa situácií, kedy nám spracovanie ukladá zákon, napríklad pri účtovníctve, daňových dokladoch alebo zákonných evidenciách,
• životne dôležité záujmy – môžu sa uplatniť v mimoriadnych situáciách, keď ide napríklad o ochranu života alebo zdravia človeka,
• verejný záujem alebo výkon verejnej moci – typicky sa týka orgánov verejnej moci alebo úloh vykonávaných vo verejnom záujme,
• oprávnený záujem – môže sa uplatniť napríklad pri zaistení bezpečnosti služby, ochrane pred zneužívaním, obrane právnych nárokov alebo pri niektorých formách priameho marketingu.

Súhlas teda nie je jediný spôsob, ako je možné osobné údaje spracovávať. V niektorých situáciách by dokonca nebol vhodným právnym dôvodom. Pokiaľ napríklad zákon ukladá firme povinnosť uchovávať účtovné doklady, nejde o spracovanie založené na súhlase zákazníka. Rovnako tak pri vybavení objednávky obvykle potrebujeme spracovať údaje potrebné na splnenie zmluvy bez toho, aby sme na to žiadali samostatný súhlas.

Oprávnený záujem v marketingu

Oprávnený záujem sa v praxi často rieši aj pri marketingu voči existujúcim zákazníkom. Môže ísť napríklad o situáciu, keď firma oslovuje zákazníka s ponukou vlastných obdobných výrobkov alebo služieb. Ani v takom prípade ale nejde o voľnú možnosť posielať reklamu komukoľvek. Aby bolo možné oprieť sa o oprávnený záujem, musia byť splnené konkrétne podmienky podľa GDPR aj podľa pravidiel pre obchodné oznámenie.

Pri e-mailovom marketingu sa popri GDPR uplatní aj zákon č. 480/2004 Zb., o niektorých službách informačnej spoločnosti, najmä pravidlá pre obchodné oznámenia. Podľa týchto pravidiel možno bez predchádzajúceho súhlasu za určitých okolností oslovovať existujúcich zákazníkov, ak:

• firma získala e-mail zákazníka v súvislosti s predajom svojho výrobku alebo služby,
• obchodné oznámenie sa týka vlastných obdobných výrobkov alebo služieb,
• zákazník mal jasnú a jednoduchú možnosť zasielania odmietnuť, a to pri získaní e-mailu aj v každom ďalšom obchodnom oznámení,
• správa je zreteľne označená ako obchodné oznámenie a je jasné, kto ju posiela,
• správca zároveň splní informačnú povinnosť podľa GDPR.

Nestačí teda iba napísať do obchodných podmienok, že marketing posielame na základe oprávneného záujmu. Správca musí byť schopný vysvetliť, prečo je tento právny dôvod v danej situácii vhodný, a zároveň musí dodržať osobitné pravidlá pre zasielanie obchodných oznámení.

Zodpovednosť správcu

GDPR kladie dôraz aj na zodpovednosť správcu. Nestačia pravidlá len dodržiavať. Správca musí byť schopný doložiť, že ich dodržiava.

Ako správcovia musíme mať prehľad najmä o tom, aké údaje spracovávame, prečo ich potrebujeme ao aký právny dôvod sa opierame. Zároveň by sme mali vedieť, komu ich prípadne odovzdávame, ako dlho ich uchovávame a akým spôsobom ich chránime.

Táto zodpovednosť sa premieta do dokumentácie, interných postupov i technického nastavenia systému. Pri malom webe môže ísť o jednoduchý prehľad spracovania, správne napísané zásady spracovania osobných údajov a rozumne nastavené formuláre. U väčšej organizácie už pôjde o prepracovanejšie procesy, zmluvy s dodávateľmi, riadenie prístupov a pravidelné kontroly.

Zhrnutie

V tejto lekcii sme si vysvetlili základné zásady, na ktorých GDPR stavia spracovanie osobných údajov. Pre bežnú prax je dôležité hlavne to, aby sme osobné údaje zhromažďovali len vtedy, keď na to máme jasný dôvod, a iba v rozsahu, ktorý skutočne potrebujeme. Zároveň ich musíme používať len na určené účely a vedieť doložiť, prečo a ako s nimi pracujeme.

V nasledujúcom kvíze, Kvíz - Úvod do nariadenia GDPR, si vyskúšame nadobudnuté skúsenosti z predchádzajúcich lekcií.