Pripravili sme pre Vás ďalší zo série článkov venovanej druhému výročiu účinnosti nariadenia GDPR, v ktorých sa pozeráme na osobné údaje prostredníctvom čísiel a štatistík.
V tomto článku sa venujeme činnosti Európskeho výboru na ochranu osobných údajov (predtým WP29)1 v roku 2019, ktorú EDPB zhrnulo vo svojej výročnej správe. Podobne ako EDPB, výročnú správy pripravujú všetky dozorné orgány v krajinách, kde sa GDPR uplatňuje. Výročné správy spravidla obsahujú zaujímavé štatistiky a prehľady rozoberajúce osobné údaje, z ktorých niektoré vyberáme aj v našom článku.
Úrad na ochranu osobných údajov Slovenskej republiky v zmysle § 81 zákona o ochrane osobných údajov vydáva raz za rok správu o stave ochrany osobných údajov, ktorú od účinnosti nariadenia GDPR2 pripravuje za obdobie od mája do mája ďalšieho roka. Správu o stave ochrany osobných údajov v Slovenskej republike za obdobie od mája 2019 do mája 2020 by mal Úrad na ochranu osobných údajov SR zverejniť v najbližších týždňoch a budeme sa jej venovať v ďalšom článku zo série venovanej dvojročnému výročiu účinnosti nariadenia GDPR.
V predhovore k výročnej správe EDPB za rok 2019 predsedníčka EDPB, p. Andrea Jelinek zdôrazňuje, že prijatím GDPR prišlo k zvýšeniu povedomia o ochrane osobných údajov či už medzi fyzickými osobami, ktorých osobné údaje sú spracúvané, ako aj medzi organizáciami, ktoré ich osobné údaje spracúvajú.
K uvedenému prispieva svojou činnosťou aj EDPB, ktorého hlavnou úlohou je prostredníctvom rôznych legislatívnych nástrojov prispievať ku konzistentnému uplatňovaniu nariadenia GDPR vo všetkých štátoch, kde sa nariadenie GDPR uplatňuje a voči všetkým subjektom, ktoré sú povinné jeho ustanovenia dodržiavať.3
K najdôležitejším činnostiam EDPB patrí vydávanie všeobecných odporúčaní a stanovísk týkajúcich sa rôznych článkov nariadenia GDPR a ich výkladu.4 V roku 2019 vydalo EDPB päť nových všeobecných odporúčaní (guidelines), ktoré sa týkali napríklad kódexov správania, spracúvania osobných údajov prostredníctvom kamerovým systémom, alebo práva na zabudnutie pri spracúvaní osobných údajov prostredníctvom internetových vyhľadávačov.
Ďalšou dôležitou činnosťou EDPB je prijímanie tzv. zistení o konzistentnosti v cezhraničných prípadoch spracúvania osobných údajov, ktoré musia príslušné dozorné orgány pri rozhodovaní v konkrétnych prípadoch vziať pri svojom rozhodovaní do úvahy. V roku 2019 prijalo EDPB 16 zistení o konzistentnosti.
EDPB spolupôsobí aj v legislatívnom procese EÚ, keď podáva odporúčania najmä Európskej komisií v záležitostiach týkajúcich sa ochrany osobných údajov, vrátane zabezpečovania primeraného stupňa ochrany osobných údajov v tretích krajinách5 alebo medzinárodných organizáciách. V roku 2019 sa EDPB vyjadrovalo najmä k rozhodnutiu o primeranosti týkajúceho sa programu EU-US Privacy Shield.6
V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.
Každý dozorný orgán posiela svoje výročné a obdobné správy EDBP, ktorý ich následne hodnotí a sumarizuje. Na základe zistení rôznych dozorných orgánov identifikoval EDBP ako najčastejšie porušenia nariadenia GDPR nasledujúce:
Ako uvádza EDBP, prevádzkovatelia, ktorý porušovali ustanovenia nariadenia GDPR boli tak súkromné spoločnosti, ako aj orgány verejnej moci.
Zaujímavými štatistikami zo svojej činnosti prispel aj Írsky dozorný orgán v oblasti ochrany osobných údajov7 vo svojej výročnej správe za rok 2019.
K najčastejším dôvodom sťažností dotknutých osôb týkajúcich sa spracúvania ich osobných údajov podľa nariadenia GDPR, ktoré DPC v roku 2019 v celkovom počte 6,904 prijal, boli sťažnosti týkajúce sa:
Nariadenie GDPR so sebou prinieslo povinnosť prevádzkovateľov vo väčšine prípadov oznámiť porušenie ochrany osobných údajov príslušnému dozornému orgánu. DPC v roku 2019 obdržal celkovo 6,069 oznámení porušenia ochrany osobných údajov, z čoho najviac, až 83%, tvorili porušenia ochrany osobných údajov z dôvodu neoprávneného sprístupnenia spracúvaných osobných údajov tretím osobám. Ako „najvtipnejší“ príklad porušenia ochrany osobných údajov z dôvodu neoprávneného sprístupnenia osobných údajov v rámci činnosti DPC vyberáme porušenie ochrany osobných údajov spôsobeným zamestnancom bezpečnostnej spoločnosti, ktorý použil svoj súkromný mobilný telefón, prostredníctvom ktorého nahral záznam z bezpečnostného kamerového systému. Záznam zachytával dve fyzické osoby z radov verejnosti pri intímnom akte v monitorovanom priestore. Zamestnanec bezpečnostnej spoločnosti sprístupnil tento záznam viacerým neoprávneným osobám (svojim známym) prostredníctvom aplikácie WhatsApp. Výsledkom konania o ochrane osobných údajov bolo okrem iného aj hodnotenie DPC, ktoré zdôraznilo, že prevádzkovateľ síce mal prijaté primerané bezpečnostné opatrenia, tieto však neboli zavedené adekvátne zavedené do praxe, v dôsledku čoho prišlo k porušeniu ochrany osobných údajov.8
K ďalším častým dôvodom porušenia ochrany osobných údajov identifikovaným v rámci činnosti DPC v roku 2019 patrili porušenia ochrany osobných údajov z dôvodu phisingu,9 porušenia ochrany osobných údajov prameniace zo straty papierových dokumentov obsahujúcich osobné údaje, ako aj porušenia ochrany osobných údajov v dôsledku straty alebo odcudzenia technických zariadení spracúvajúcich osobné údaje.
Viaceré z uvedených porušení ochrany osobných údajov nám ukazujú, že nariadenie GDPR a povinnosti v ňom ustanovené je potrebné dodržiavať nie len „na papieri“ ale aj v praxi. Rovnakú pozornosť treba venovať tak spracúvaniu osobných údajov, ktoré je vykonávané elektronicky, ako aj spracúvaniu osobných údajov prostredníctvom dokumentov a iných papierových nosičov osobných údajov. V neposlednom rade netreba zabúdať, že každý prevádzkovateľ je povinný implementovať takú úroveň ochrany spracúvaných osobných údajov, ktorá je primeraná vzhľadom na činnosti, ktoré vykonáva. Dôležitý je preto individuálny prístup a zohľadnenie individuálnych potrieb každého subjektu.
Na uvedené a všetky ďalšie činnosti týkajúce sa správneho nastavenia ochrany a spracúvania osobných údajov je tu práve securion. Neváhajte nás kontaktovať.
European Data Protection Board – EDPB ↩
Nariadenie GDPR nadobudlo účinnosť 25.5.2018 ↩
Napríklad aj voči prevádzkovateľom z krajín mimo EHS, ktorí spracúvajú osobné údaje občanov členských štátov Európskej únie ↩
V uvedenom prípade však môžeme hovoriť iba o odporúčanom výklade, keďže právne záväzný výklad právnych predpisov Európskej únie môže podávať iba jediný orgán – Súdny dvor Európskej únie ↩
Krajiny mimo Európskeho hospodárskeho priestoru ↩
EU-US Privacy Shield je certifikačný program slúžiaci na zabezpečenia primeranej úrovne ochrany osobných údajov pri ich prenose do USA ↩
Data Protection Commission – DPC ↩
DPC v rozhodnutí vydanom v tomto konaní odporučilo bezpečnostnej spoločnosti ďalej zlepšiť systém školenia osôb, ktoré v spoločnosti spracúvajú osobné údaje či dôraznejšie informovať zamestnancov o zákaze používania mobilných telefónov v miestnosti, kde sa nachádza zobrazovacie zariadenie kamerového systému ↩
Phising je činnosť, v ktorej sa niekto neoprávnene snaží pomocou návnady v elektronickej komunikácií vylákať a neoprávnene získať od používateľov rôzne osobné alebo iné údaje, ako sú heslá alebo používateľské mená, prípadne získať iný prístup do zariadenia používateľa ↩
12. 8. 2022
GDPR Nariadenie, Videoškolenia11. 3. 2022
Cookies, VideoškoleniaLegislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viacNa všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.
Created by Wink & Nod
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.