Verejná diskusia k návrhu nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

12. apríl 2012

Verejná diskusia k návrhu nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

ÚVOD Dňa 25. januára 2012 Európska komisia prijala návrh nového nariadenia1 (ďalej aj Nariadenie), ktoré má nahradiť smernicu 95/46/ES o ochrane osobných údajov (v SR implementovaná zákonom č. 428/2002 Z. z. o ochrane osobných údajov). Allen & Overy je jednou z najväčších medzinárodných advokátskych kancelárií s približne 2500 právnikmi a 480 partnermi pôsobiacimi v 27 krajinách sveta. V Európskej únii má Allen & Overy špecializované právne oddelenia pre oblasť ochrany osobných údajov v 16 krajinách vrátane Bratislavy2. Allen & Overy Bratislava poskytuje právne poradenstvo vo všetkých oblastiach ochrany súkromia, outsourcingu, cloud computingu, ochrany osobných údajov na internete, prenosu osobných údajov, legálnosti spracovávania osobných údajov a pod. Allen & Overy Bratislava víta možnosť zapojiť sa do verejnej diskusie, ktorú za účelom pripomienkovania nového Nariadenia vyhlásil Úrad na ochranu osobných údajov SR3. Radi by sme na túto príležitosť upozornili aj našich klientov a zároveň by sme chceli informovať o niektorých aspektoch novej legislatívy, ktoré považujeme za najviac problematické.

Podnikateľov čakajú nákladné zmeny informačných systémov Je nepochybne potrebné venovať vyššiu pozornosť ochrane osobných údajov najmä v online prostredí, avšak je potrebné zvážiť, nakoľko rozpočty podnikateľov budú schopné na novú legislatívu reagovať. Reformy ako napríklad súhlas daný explicitne, právo byť zabudnutý, privacy by design, zákaz profilovania, povinnosť 1

Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov), COM (2012) 11

2

Naši právni experti: Zuzana Hečko ([email protected]) ochrana osobných údajov a duševné vlastníctvo, Katarína Matulníková ([email protected]) ochrana osobných údajov a pracovné právo, Peter Jedinák ([email protected]) ochrana osobných údajov a bankové / finančné právo.

3

Podrobnejšie informácie k verejnej diskusii nájdete na stránke: http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=882&buxus=9dc285c0b05675ac2bd8e41a239d4a2e

Verejná diskusia k návrhu nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

hodnotenia dopadov z hľadiska ochrany osobných údajov a pod. sa dotknú podnikateľov zásadným spôsobom a budú vyžadovať značné investície na zladenie informačných systémov s novým Nariadením. Dopadová štúdia, ktorá bola vykonaná4 síce riešila množstvo právnych a technických otázok, avšak neriešila otázku nákladov podnikateľského sektora a najmä otázku, ako finančne náročná bude nová legislatíva pre podnikateľov, ktorí spracúvajú osobné údaje.

Navrhované pokuty sú likvidačného charakteru a spôsob ich výpočtu nie je jasne stanovený Pokuty do výšky 2 % ročného globálneho obratu za porušenia ako napr. nevykonanie hodnotenia dopadov prevádzkovateľom pred spracovávaním, prenos osobných údajov pri vynechaní čo i len niektorej z mnohých povinností, ktoré prevádzkovateľ má, spracúvanie údajov v prípadoch, kde súhlas dotknutej osoby nebude klasifikovaný ako "platne daný" alebo dostatočný a pod. sú neadekvátne vzhľadom na závažnosť porušenia a pre spoločnosti likvidačného charakteru. Pokuty do výšky 1% ročného globálneho obratu pre porušenia ako napr. neposkytnutie dostatočných informácií o spracúvaní osobných údajov, nerešpektovanie práva byť zabudnutý, neinformovanie tretích strán, že dotknutá osoba žiada o výmaz osobných údajov sú pre spoločnosti neproporčne vysoké a majú likvidačný charakter. Nariadenie by malo presnejšie definovať, akým spôsobom budú stanovené ukladané pokuty (najmä či sa do základu budú zahŕňať aj obraty dcérskych spoločností alebo organizačných zložiek prevádzkovateľa), podobne ako je to v práve hospodárskej súťaže.

Definícia "hlavného sídla" je nejasná Pozitívnou zmenou je, že podnikatelia operujúci vo viacerých ako v jednej jurisdikcii si budú môcť zvoliť regulátora osobných údajov, pod ktorého jurisdikciu budú spadať, a to podľa miesta svojho "hlavného sídla", ktoré je podľa článku 4(13) a odôvodnenia 27 Nariadenia definované ako miesto, kde spoločnosť rozhoduje o účele, podmienkach a spôsoboch spracovávania. To bude znamenať, že spoločnosti sídliace v SR budú môcť spadať pod jurisdikciu iného regulátora osobných údajov než Úrad na ochranu osobných údajov SR. Aj keď toto môže znamenať zníženie administratívnej záťaže pre veľké spoločnosti, ktoré momentálne musia nastavovať svoje systémy tak, aby boli v súlade so zákonmi na ochranu osobných údajov každej z krajín, kde pôsobia, nazdávame sa, že definícia hlavného sídla (main establishment) potrebuje väčšie upresnenie. Tiež treba upozorniť na to, že vo veľkých korporáciách účel, podmienky ako aj spôsoby spracovávania môžu byť určované súčasne vo viacerých štátoch.

4

http://ec.europa.eu/justice/news/consulting_public/0003/summary_replies_en.pdf

2

www.allenovery.com

Nové nariadenie bude mať značný vplyv na existujúce zmluvné vzťahy Nariadenie zavádza nové prvky, ktoré sa podstatne dotknú zmlúv uzavretých za súčasného právneho režimu (IT outsourcing, cloud computing, HR outsourcing a pod.). Otázky ako zmluvná zodpovednosť sprostredkovateľov či cloud providerov, povinnosť vykonávať hodnotenie dopadov a pod. ovplyvnia tieto zmluvy podstatným spôsobom bez toho, aby tento aspekt bol predmetom vykonanej dopadovej štúdie. Toto môže byť pre spoločnosti (najmä menšie a stredné podniky) kritické nevynímajúc prípady, kde mnoho z týchto zmlúv bude musieť byť po účinnosti Nariadenia prehodnotených.

Nejasné stanovenie povinnosti vykonávať hodnotenia dopadov Nariadenie zavádza novú povinnosť pre prevádzkovateľov alebo sprostredkovateľov vykonávať hodnotenie dopadov v prípadoch, kde spracúvanie osobných údajov predstavuje špecifické riziko pre základné práva a slobody dotknutých osôb. Aj keď je táto povinnosť s najväčšou pravdepodobnosťou namierená voči prevádzkovateľom veľkých informačných systémov (banky, poisťovne, IT a e-commerce spoločnosti, farmaceutické spoločnosti atď.), z definície v článkoch 33 a 34 Nariadenia jasne nevyplýva, kedy by takéto prípady, kde existuje "špecifické" riziko pre práva a slobody dotknutých osôb, mohli nastať.

Požiadavka explicitného súhlasu Súhlas daný "explicitne" bude pre podnikateľov v praxi znamenať omnoho vyšší počet prípadov, kde budú musieť vyžiadavať súhlas na spracovanie osobných údajov od dotknutých osôb. Takýto súhlas nebude možné zahrnúť do Všeobecných obchodných podmienok či Podmienok používania. Prevádzkovatelia budú pravdepodobne musieť prehodnotiť dokumentáciu týkajúcu sa poskytovania súhlasu a vykonať nevyhnutné zmeny. Podnikatelia poskytujúci služby priameho marketingu budú musieť zvážiť, či sú ich systémy kompatibilné s novými, vyššími štandardmi poskytnutia súhlasu. Pre IT a e-commerce spoločnosti to môže znamenať omnoho vyšší počet "pop-up" okien na monitore. Nie je však jasné, či súhlas daný explicitne bude znamenať, že spoločnosť je povinná poskytnúť dotknutej osobe vždy dve explicitné možnosti ("súhlasím" alebo "nesúhlasím") alebo či bude postačujúce ak dotknutá osoba vyjadrí svoj súhlas odkliknutím možnosti "súhlasím" za podmienky, že tento súhlas nebude prevádzkovateľom prednastavený. Vyžiadavanie takéhoto súhlasu bude pre podnikateľov administratívne zaťažujúce a posúdenie platnosti súhlasu môže znamenať zvýšené náklady na evidenciu a právne poradenstvo.

www.allenovery.com

3

Verejná diskusia k návrhu nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

Aplikácia práva byť zabudnutý je v internetovom prostredí nerealistická Nariadenie zavádza nové "právo byť zabudnutý", podľa ktorého dotknuté osoby budú mať právo žiadať prevádzkovateľa, aby ich osobné údaje boli vymazané. V prípade, že osobné údaje boli zverejnené, prevádzkovateľ bude musieť informovať tretie strany, ktoré tieto údaje spracúvajú a informovať ich, že dotknutá osoba žiada ich odstránenie, vrátane odstránenia liniek či iných odkazov. Je otázne, do akej miery je právo byť zabudnutý aplikovateľné v praxi, a to najmä v online prostredí. Kapacity IT a e-commerce spoločností nebudú postačujúce na možný počet žiadostí zo strany dotknutých osôb. Výmaz údajov, ktoré boli prenesené sprostredkovateľovi, prípadne subdodávateľovi, do tretích krajín, bude nanajvýš obtiažny. Zároveň nie je jasné, nakoľko je trvalý výmaz osobných údajov možný z technického hľadiska (dáta sú prístupné na back up serveroch a pod.), a to najmä v online prostredí. Nazdávame sa, že IT a e-commerce spoločnosti nemajú kapacitu ani expertné znalosti na vyvažovanie ochrany súkromia so slobodou prejavu pri posudzovaní žiadostí o výmaz.

Cezhraničné prenosy osobných údajov budú jednoduchšie Vítanou zmenou je zjednodušenie prenosov osobných údajov do tretích krajín najmä vypustenie požiadavky na súhlas Úradu na ochranu osobných údajov s prenosom. Z návrhu však nie je jasné, či prenosy budú možné, ak tretia krajina bude Komisiou klasifikovaná ako krajina nemajúca primeranú úroveň ochrany osobných údajov a ak áno, za splnenia ktorých podmienok (článok 41(6)).

Definícia osobných údajov v online prostredí je nejasná Nie je jasné, za akých podmienok budú identifikátory ako napr. IP adresa považované za osobné údaje, resp. za citlivé osobné údaje (vzhľadom na nesúlad článku 4(1) s odôvodnením 24 Nariadenia).

4

www.allenovery.com

Európsky režim ochrany osobných údajov aplikovateľný pre subjekty etablované mimo EÚ Nariadenie zavádza nové vymedzenie svojej územnej pôsobnosti podľa ktorého budú podliehať novým pravidlám aj prevádzkovatelia, ktorí sídlia mimo Európskej únie, pokiaľ ponúkajú tovary/služby dotknutým osobám v Európskej únii alebo monitorujú ich správanie. To vytvorí tzv. "level playing field" a prevádzkovatelia so sídlom v Európskej únii už nebudú diskriminovaní oproti svojim konkurentom z tretích krajín.

Kontakt

Zuzana Hečko Tel +421 2 5920 2438 [email protected]

Allen & Overy Bratislava, s.r.o. Eurovea Central 1, Pribinova 4, 811 09 Bratislava Tel +421 2 5920 2400 Fax +421 2 5920 2424 www.allenovery.com Allen & Overy vedie databázu obchodných kontaktov za účelom zlepšenia služieb zákazníkom. Tieto informácie nie sú poskytované žiadnym tretím stranám. Ak sú Vaše údaje nesprávne alebo si neželáte dostávať publikácie od Allen & Overy, prosím kontaktujte nás na e-mailovej adrese [email protected]. V tomto dokumente pojem Allen & Overy znamená Allen & Overy LLP a/alebo jej spriaznené osoby. Pojem partner sa používa na označenie člena Allen & Overy LLP, zamestnanca alebo konzultanta s obdobným postavením a kvalifikáciou, prípadne osoby s obdobným štatútom v jednej zo spriaznených osôb Allen & Overy LLP. Allen & Overy LLP a spriaznené osoby majú kancelárie v: Abú Dhabí, Amsterdam, Antverpy, Atény (zastupiteľská kancelária), Bangkok, Belfast, Bratislava, Brusel, Budapešť, Bukurešť (pridružená kancelária), Casablanca, Doha, Dubaj, Düsseldorf, Frankfurt, Hamburg, Hongkong, Jakarta, Londýn, Luxemburg, Madrid, Mannheim, Miláno, Mníchov, Moskva, New York, Paríž, Peking, Perth, Praha, Rijád (pridružená kancelária), Rím, Sao Paulo, Šanghaj, Singapur, Sydney, Tokio, Varšava, Washington D.C. Tento dokument je všeobecný informačný dokument a nepredstavuje konkrétne právne poradenstvo. Všetky práva vyhradené © Allen & Overy LLP 2012.

www.allenovery.com

5