GDPR po dvoch rokoch – ako sme pokročili?
Od účinnosti GDPR (General data protection regulation) čoskoro uplynú dva roky. V našom článku z roku 2018 sme vám priniesli prehľad najdôležitejších informácií o zmenách, ktoré GDPR prinieslo, najmä v online prostredí. Aká je situácia pri spracúvaní osobných údajov v online prostredí dnes a aký má GDPR na online prostredie skutočný dopad?
—
Náš pôvodný GDPR článok sa týkal hlavne online marketingu a aj to je dôvod, prečo sme oslovili právnika, ktorý sa špecializuje na ochranu osobných údajov, Frederika Ravasa z firmy Securion.sk, aby nám pomohol zanalyzovať situáciu po takmer dvoch rokoch.
GDPR pri nadobudnutí účinnosti (25.05.2018) spôsobilo doslova „šialenstvo“. Pamätáte si, koľko e-mailov a newsletterov vám v tomto čase prišlo do e-mailu? A koľko z nich ste nepotvrdili len z princípu, lebo ste sa do odberu ani neprihlásili? ☺
Povedomie o ochrane osobných údajov, ktoré GDPR zaviedlo, je v súčasnosti na vysokej úrovni. Legislatíva bola považovaná za „strašiaka“, aj keď na Slovensku bola v tejto oblasti pomerne striktná. A úprimne, GDPR nezaviedlo na našom území až také drastické zmeny pre tých, ktorí riešili ochranu osobných údajov poctivo.
„Boom“ už trochu upadol, v rámci EÚ (a už aj na Slovensku) sa udeľujú pokuty za porušenia. Avšak povedomie je stále vysoké a v online prostredí je často požiadavkou klientov vysporiadať sa, napríklad pri tvorbe webových stránok, aj s ochranou osobných údajov.
Stále sa však môžeme stretnúť s porušovaním ochrany osobných údajov. Príkladom môžu byť ešte stále zverejňované zásady ochrany osobných údajov na webových stránkach, ktoré obsahujú odkazy na neaktuálne právne predpisy, nedodržiavanie zásady minimalizácie alebo minimalizácie doby uchovávania…
Najčastejšie chyby
GDPR a celkovo problematika ochrany osobných údajov je pomerne široká téma. Začína pri zmluvách, ide cez kamerové záznamy a končí pri zverejňovaní osobných údajov verejne.
K najčastejším chybám, ktorých sa spoločnosti ako prevádzkovatelia pri spracúvaní osobných údajov dopúšťajú, patrí:
- Prijatie dokumentácie o ochrane osobných údajov, ktorá nezodpovedá skutočne vykonávaným spracovateľským operáciám – zlé definovanie účelov spracúvania,
- Nedodržiavanie zásad GDPR,
- Absencia plnenia informačnej povinnosti – v praxi premietnutá do „Privacy policy“ alebo „Ochrany súkromia“ voči dotknutým osobám,
- Neriešenie alebo ignorácia sprostredkovateľských vzťahov, resp. jej nesprávne poňatie z pohľadu GDPR – opomenutie uzatvorenia zmluvy napr. s reklamnou agentúrou,
- Nesprávne nastavenie používania súborov cookies, ktoré však vychádza aj z nie úplne šťastnej implementácie e–Privacy smernice prostredníctvom nášho zákona o elektronických komunikáciách.
Tieto chyby často súvisia s nevedomosťou samotných podnikateľov. S „boomom“ prišla aj vlna dodávateľov, ktorí poskytovali služby v tejto oblasti. Odovzdali klientom vzory, ktoré v prevažnej väčšine prípadov nestačia k plneniu povinností. Spoločnosti často dokumentáciu k ochrane osobných údajov „len“ prevzali, avšak neimplementovali do života spoločnosti.
Pri nastavovaní procesov v rámci ochrany osobných údajov sa kladie dôraz na rozsah a obsah (veľkosť) konkrétnej spracovateľskej operácie, kategórií a počtu dotknutých osôb a pod., na ktoré nadväzujú ďalšie povinnosti, ako vypracovanie testu proporcionality, posúdenia vplyvu na ochranu osobných údajov a pod…
Príkladom je bezpečnosť – princípy privacy by design a privacy by default. Rešpektovanie týchto princípov znamená, že každý prevádzkovateľ rešpektuje základné princípy ochrany súkromia a osobných údajov v podmienkach, v ktorých osobné údaje spracúva, a bezpečnostné opatrenia, ktoré prijme, budú vychádzať z jeho reálnych potrieb, ktoré sú dané druhom spracovateľských operácií, ktoré vykonáva, a prostriedkami, ktoré za týmto účelom využíva. Tento princíp preto v tzv. vzorových dokumentáciách absentuje.
Pokuty
S (ne)dodržiavaním povinností pri ochrane osobných údajov úzko súvisí kontrolná činnosť dozorných orgánov. Od účinnosti GDPR bolo udelených viacero pokút dozornými orgánmi tak v zahraničí, ako aj slovenským Úradom na ochranu osobných údajov. Jednou zo zásadných zmien, ktoré GDPR zaviedlo, boli práve pomerne vysoké horné hranice pokút, ktoré dozorné orgány môžu udeľovať.
Prehľadný a aktuálny zoznam udelených pokút nájdete na webe enforcement tracker. Pri každej pokute uvádza, v ktorej krajine bola udelená, aká bola jej výška a špecifikáciu povinnosti, za ktorej porušenie bola pokuta udelená.
Pokuty udeľujú dozorné orgány za každé porušenie povinností, preto je dôležité poznamenať, že prevádzkovatelia by sa mali ochrane osobných údajov venovať komplexne a plniť všetky povinnosti, ktoré im GDPR ukladá.
Na Slovensku zatiaľ nebolo veľa medializovaných prípadov o porušení GDPR. V druhej polke roka 2019 ich bolo komunikovaných len niekoľko, rádovo vo výškach pár tisíc EUR. Koncom roka sa v médiách objavila aj hrozba pokuty vo výške 50 tisíc EUR pre Sociálnu poisťovňu, ktorá porušila GDPR pri posielaní zásielok do zahraničia.
V iných krajinách EU sa však objavili aj extrémne prípady, kde firmám ako British Airways hrozili pokuty až v stovkách miliónov EUR. Pokute vo výške 50 miliónov EUR sa nevyhol ani náš veľký brat Google, konkrétne vo Francúzsku.
Pokuty v online prostredí
Pokuty v online prostredí súvisia s neplnením informačnej povinnosti a zásady transparentnosti – „privacy policy“ na webovej stránke, ale aj s cookies.
Keďže cookies sú stále živou témou v tejto oblasti, zameriame sa na ne.
Za nesprávne nastavenie cookies nedávno udelil španielsky úrad na ochranu osobných údajov pokutu, týkajúcu sa úpravy cookies na webovej stránke. Španielsky úrad udelil pokutu vo výške 30.000 eur španielskej leteckej spoločnosti Vueling za nesprávne nastavenie používania súborov cookies na ich webovej stránke.
Nesprávne nastavenie spočívalo v tom, že návštevníkom nebolo umožnené si prezerať webovú stránku leteckej spoločnosti bez toho, aby návštevník webu akceptoval, že webová stránka bude do jeho zariadenia ukladať súbory cookies.
V obdobných intenciách rozhodol vo svojom nedávnom rozhodnutí (október 2019) aj Súdny dvor Európskej únie, ktorý posudzoval otázku spojenú s používaním súborov cookies, ktorú mu adresoval nemecký súd. Vo svojom rozhodnutí o prejudiciálnej otázke Súdny dvor Európskej únie zašiel oproti doteraz zaužívanému výkladu ešte ďalej, keď potvrdil, že súhlas s cookies účinne daný prostredníctvom vopred označeného check-boxu (čo je zrejmé v rámci štandardného udeľovania súhlasu v súlade s GDPR.)
K tomu trochu kontextu – cookies je pôvodne upravované smernicou e-Privacy a v rámci nášho právneho poriadku je úprava obsiahnutá v zákone č. 351/2011 z. z. o elektronických komunikáciách v znení neskorších predpisov. V § 55 ods. 5 tohto zákona sa uvádza, že za „…súhlas sa považuje aj použitie príslušného nastavenia webového prehliadača…“.
Uvedené logicky možno premietnuť do „našich“ podmienok a konštatovať, že aj u nás je potrebné ukladať cookies so súhlasom (okrem tzv. funkčných), ktorý podlieha GDPR.
Na vyššie uvedenom závere nič nemení ani to, či informácie uložené v zariadení používateľa, alebo informácie, do ktorých sa v takom zariadení nahliada, predstavujú alebo nepredstavujú osobné údaje. Podľa názoru Súdneho dvora Európskej únie cieľom práva Únie je totiž chrániť používateľov pred akýmkoľvek zásahom do ich súkromia, a to najmä pred nebezpečenstvom, že skryté identifikátory alebo iné podobné zariadenia preniknú do ich zariadení bez ich vedomia.
Z rozhodnutia Súdneho dvora Európskej únie tak vyplýva, že súhlas s používaním súborov cookies by mal spĺňať štandardy pre udeľovanie súhlasu, ktoré vyžaduje GDPR (najmä to, že musí ísť o aktívny úkon toho, kto súhlas udeľuje).
Cookies a e-Privacy
Súbory cookies dnes už využíva takmer každá webová stránka, či už ide o funkčné (predvyplnenie údajov vo formulároch), meranie (webová analytika) alebo reklamy (remarketing a cielenie bannerov).
V súčasnosti môžeme pri používaní cookies rozlišovať medzi súbormi cookies, prostredníctvom ktorých dochádza k spracúvaniu osobných údajov, a súbormi cookies, prostredníctvom ktorých sa spracúvanie osobných údajov nevykonáva. Druhé v poradí je však skôr výnimkou.
Vhodným právnym základom pre „zbieranie“ analytických a marketingových súborov cookies je súhlas dotknutej osoby.
Povinnosť získania súhlasu sa nevzťahuje (a nebude sa vzťahovať) len na tie súbory cookies, ktoré nie sú nevyhnutne potrebné na zabezpečenie základnej funkčnosti webovej stránky. Tým v žiadnom prípade nie je analytika ani marketing.
Povinnosť získania súhlasu sa vzťahuje na prevádzkovateľov webovej stránky bez ohľadu na to, či prostredníctvom súborov cookies dochádza k spracúvaniu osobných údajov alebo nie. Prevádzkovateľ je tak povinný získať súhlas od návštevníkov webovej stránky vždy, keď zamýšľa používať súbory cookies, okrem funkčných.
Súhlas s používaním cookies by mal spĺňať podmienky na udelenie súhlasu stanovené GDPR, najmä by malo ísť o slobodný a jednoznačne potvrdzujúci úkon dotknutej osoby. Tieto požiadavky vyjadrila aj skupina EDPB alebo britský dozorný orgán ICO.
Vychádzajú z praxe, odborníkov a dozorných orgánov v tejto oblasti, ako aj z rozhodnutí Súdneho dvora Európskej únie. Podľa Súdneho dvora Európskej únie nespĺňa súhlas udelený prostredníctvom nastavení internetového prehliadača, ktorý povoľuje ukladanie súborov cookies do zariadenia návštevníka webovej stránky, náležitosti GDPR.
Právna úprava pri používaní súborov cookies v súčasnosti nie je na našom území jednotná. E-Privacy ako smernica bola implementovaná v členských štátoch odlišne. Zaujímavosťou je, že na našom území vykonáva dohľad nad cookies Telekomunikačný úrad SR. Dohľad nad GDPR je v kompetencii Úradu na ochranu osobných údajov, ktorých rozhodovacie postupy môžu byť rozdielne.
Dokonca existuje už aj rozsudok Európskeho súdneho dvora z 1.10.2019 o tom, ako majú požiadavky na využívanie cookies na webovej stránke vyzerať. Vyplýva z neho aj nasledovné:
- Súhlas s cookies nie je zákonný, ak políčko súhlasu je vopred predkliknuté.
- Súhlas s používaním cookies musí byť informovaný (používateľ internetu musí mať vopred poskytnutú informáciu napríklad aj o lehote funkčnosti cookies alebo o tretích stranách, ktoré budú mať k nim prístup).
Aktuálny stav na Slovensku
Pozreli sme sa na vybrané komerčné aj štátne inštitúcie a najväčšie eshopy z pohľadu cookie lišty a podstránok o spracovaní osobných údajov:
Nové GDPR, nová „cookies legislatíva“? A slovo na záver…
Správne. Nejednotnosť v oblasti cookies má vyriešiť nové e-Privacy. Podobne ako GDPR, aj e-Privacy má byť nariadením – záväzným pre všetky členské štáty Európskej únie. Dôvodom je zosúladenie legislatívy aj v tejto oblasti, ktorá je súčasťou ochrany súkromia a ochrany osobných údajov. E-Privacy je v súčasnosti v legislatívnom procese.
Na legislatívny proces tohto nariadenia môžu vplývať nielen doterajšie rozhodnutia Súdneho dvora Európskej únie a odporúčania dozorných orgánov, ale aj „loby“ z firiem, ktoré cookies živia – Google, Facebook a podobne.
E-privacy bude mať za úlohu riešiť aj bezpečnosť prenosu dát a komunikácie používateľov cez internet, takže, čo sa týka ochrany osobných údajov, pôjde ešte viac do hĺbky k technickým riešeniam.
Takmer dva roky po zavedení GDPR teda vidíme, že firmy a webové stránky si našli cestu, ako GDPR nariadenie spĺňať aspoň na oko a že veľké pokuty hrozia hlavne veľkým firmám za závažné porušovania tejto legislatívy. Ak niekde máte zapnuté remarketingové publikum a nemali by ste mať alebo ste vyzbierali o nejakú tú cookie viac, ako je v súhlase návštevníkov, je malá šanca, technické riešenie a ani personálna kapacita kontrolných orgánov na to, aby sa to riešilo. Samozrejme, netreba zabúdať na škodoradosť ľudí, nespokojných zákazníkov a nekalej konkurencie, anonymné podanie môže tento fakt rýchlo zmeniť.
Aj napriek tomu stále ešte existujú online služby, ktoré sa po zavedení GDPR do praxe z EU regiónu biznisovo stiahli a doteraz sa nevrátili späť, najlepším príkladom je služba Unroll.me.