Zneužitie osobných údajov

Jedným z najväčších rizík samotného spracúvania osobných údajov je ich zneužitie. Zneužitie osobných údajov patrí pod množinu rôznych spôsobov neoprávneného spracúvania osobných údajov, ktoré Nariadenie GDPR zaraďuje pod pojem – porušenie ochrany osobných údajov.

Pojem: porušenie ochrany osobných údajov

Na úvod je potrebné ozrejmiť pôvod „zneužitia osobných údajov“, ktorý je podriadený“ porušeniu osobných údajov. Pojem porušenie ochrany osobných údajov je definovaný v čl. 4 odsek 12 nariadenia GDPR. V zmysle tohto článku porušením ochrany osobných údajov je „porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim“.

Čo môže byť porušením a s akými porušeniami sa možno v praxi najbežnejšie stretnúť? Porušenie je všeobecnejší pojem. Najčastejšie sa stretávame so základnými porušeniami osobných údajov – nedodržiavanie zásad Nariadenia v zmysle čl. 6 Nariadenia GDPR, neplnenie informačnej povinnosti atď., o čom sme písali vo viacerých článkoch – pokuty GDPR.

zneužitie-osobných-údajov-gdpr-securion

Ochrana osobných údajov vo všeobecnosti nie je obsiahnutá len v Nariadení GDPR, ale je to aj jedno z ústavných práv, ktoré je ustanovené v čl. 19 odsek 3 Ústavy Slovenskej republiky, podľa ktorého má každý právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe. Ochrana osobných údajov má „prienik“ aj s právom na ochranu osobnosti. Tá je obsiahnutá v § 11 a nasl. Občianskeho zákonníka.

V zmysle § 11 Občianskeho zákonníka: „Fyzická osoba má právo na ochranu svojej osobnosti, najmä života a zdravia, občianskej cti a ľudskej dôstojnosti, ako aj súkromia, svojho mena a prejavov osobnej povahy.“ Ďalej, v § 12 ods. 1 Občianskeho zákonníka je uvedené, že „Písomnosti osobnej povahy, podobizne, obrazové snímky a obrazové a zvukové záznamy týkajúce sa fyzickej osoby alebo jej prejavov osobnej povahy sa smú vyhotoviť alebo použiť len s jej privolením.“ Existujú teda prípady, kedy môžu byť osobné údaje spracúvané v súlade s GDPR, ale sú porušením ochrany osobných údajov alebo opačne – sú v rozpore s ustanoveniami GDPR a predpismi o ochrane osobných údajov, ale nie sú v rozpore s ustanoveniami o ochrane osobnosti.

Okrem toho, že je právo na ochranu osobných údajov jedným z ústavou garantovaných práv, zneužitie osobných údajov zakladá aj skutkovú podstatu trestného činu Neoprávneného nakladania s osobnými údajmi podľa § 374 Trestného zákona. Tohto trestného činu sa dopustí ten, kto neoprávnene poskytne, sprístupní alebo zverejní:

  • osobné údaje o inom zhromaždené v súvislosti s výkonom verejnej moci alebo uplatňovaním ústavných práv osoby, alebo
  • osobné údaje o inom získané v súvislosti s výkonom svojho povolania, zamestnania alebo funkcie a tým poruší všeobecne záväzným právnym predpisom ustanovenú povinnosť.

Keďže účelom článku je priblížiť zneužitie osobných údajov, resp. porušenie ochrany osobných údajov, ústavnoprávnej, občianskoprávnej a trestnoprávnej rovine sa bližšie nevenujeme. Treba si však uvedomiť, že s porušením ochraný osobných údajov a prípadným medializovaním týchto porušení môže prísť aj k zniženiu reputácie z podnikateľského hľadiska, ktoré môže mať nezanedbateľné dopady.

Porušenie ochrany osobných údajov v praxi a jeho dôsledky

Za bezpečnosť spracúvaných osobných údajov zodpovedá prevádzkovateľ, ktorého povinnosťou je v zmysle čl. 32 nariadenia GDPR prijať primerané technické a organizačné opatrenia s cieľom zaistiť bezpečnosť spracúvaných osobných údajov, ktorá bude primeraná rizikám, ktoré v dôsledku spracúvania osobným údajom a dotknutým osobám hrozia.1 Samozrejme, samotná bezpečnosť nie je garanciou spracúvania osobných údajov v súlade s GDPR. 

Typickým príkladom porušenia ochrany osobných údajov a ich následného zneužitia patrí porušenie osobných údajov spracúvaných elektornicky prostredníctvom verejnej siete (napr. „nabúranie sa“ do webovej stránky a databáz v nej uložených) v dôsledku nedostatočného IT zabezpečenia prevádzkovateľa.

K porušeniu ochrany osobných údajov môže prísť aj v prípade, ak Prevádzkovateľ prijal primerané postupy v oblasti bezpečnosti spracúvaných osobných údajov, najmä v dôsledku zlyhania ľudkého faktora, napr. strata USB kľúča obsahujúceho dokumenty s osobnými údajmi klientov alebo odoslanie e-mailu s osobnými údajmi nesprávnemu adresátovi. V zmysle uvedeného je preto pri doržiavaní bezpečnosti spracúvaných osobných údajov dôležité nie len jasné nastavenie pravidiel, ale aj ich implementovanie do praxe a pravidelné vzdelávanie osôb, ktoré v mene prevádzkovateľa osobné údaje spracúvajú (najmä zamestnancov).

V prípade, ak si prevádzkovateľ svoje povinnosti v oblasti bezpečnosti pri spracúvaní osobných údajov neplní alebo ich plní iba nedostatočne, môže prísť k porušeniu ochrany osobných údajov. Následkom porušenia ochrany osobných údajov môže byť:

  • udelenie pokuty dozorným orgánom – každý dozorný orgán by mal zabezpečiť, aby bolo ukladanie pokút účinné, primerané a odrádzajúce. Nesplnenie povinností pri bezpečnosti a porušení ochrany osobných údajov je v zmysle príslušných ustanovení Zákona o ochrane osobných údajov správnym deliktom, za ktorý je Úrad na ochranu osobných údajov oprávnený uložiť pokutu až do výšky 20 000 000 € (prečítajte si aj naše články: pokuty GDPR),
  • zhoršenie podnikateľskej reputácie – veľa spoločností využilo GDPR ako konkurenčnú výhodu tým, že sa s témou vysporiadalo a otvorene voči verejnosti komunikuje „GDPR compliance.

Ako predísť porušeniu?

Porušeniu ochrany osobných údajov, aj ich zneužitiu možno predísť viacerými spôsobmi. Najdôležitejšou povinnosťou prevádzkovateľov je povinnosť dodržiavať základné zásady spracúvania osobných údajov v zmysle z čl. 5 Nariadenia.2

Prevádzkovateľ by mal na plnenie svojich povinností prijať zodpovedajúce interné postupy, ktoré sú obsahom internej dokumentácie o ochrane osobných údajov. S dokumentáciou a postupmi v nej obsiahnutými by mali byť oboznámené všetky osoby, ktoré z hľadiska internej štruktúry spracúvajú osobné údaje. Prevádzkovateľ by mal dodržiavanie interných postupovať pravidelne testovať, vyhodnocovať a v prípade potreby aktualizovať.

Ako postupovať v prípade porušenia osobných údajov

Ak už k porušeniu ochrany osobných údajov príde, má prevádzkovateľ podľa čl. 33 nariadenia GDPR tzv. „notifikačnú povinnosť“. Ide o oznámenie o porušení ochrany osobných údajov, ktoré je povinný doručiť  príslušnému dozornému orgánu a to bez zbytočného odkladu, najneskôr však do 72 hodín od kedy zistil, že prišlo k porušeniu ochrany osobných údajov.

Obsahové náležitosti oznámenia o porušení ochrany osobných údajov sú upravené v čl. 33 odsek 3 nariadenia GDPR.3

Oznamovaciu povinnosť voči dozornému orgánu nemusí prevádzkovateľ plniť vtedy, ak porušenie ochrany osobných údajov pravdepodobne nepovedie k riziku pre práva a slobody dotknutých osôb, a teda nenastane zneužitie osobných údajov. V zmysle uvedeného je preto prevádzkovateľ povinný každé jedno porušenie vyhodnocovať.

Prevádzkovateľ má v niektorých prípadoch oznamovaciu povinnosť nielen voči dozornému orgánu, ale aj voči dotknutej osobe. Ide o prípady, kedy porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.4 Prevádzkovateľ nemusí oznamovaciu povinnosť voči dotknutej osobe plniť vtedy, ak:

  • prijal technické a organizačné opatrenia, ktoré uplatnil na osobné údaje, ktorých sa porušenie týka, v dôsledku čoho sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup alebo
  • prijal také následné opatrenia, ktorými zabezpečí, že vysoké riziko pre práva a slobody fyzických osôb spôsobené porušení ochrany osobných údajov už nebude mať dôsledky alebo
  • by to vyžadovalo neprimerané úsilie. V takom prípade prevádzkovateľ informuje verejnosť hromadnými prostriedkami alebo inak obdobne zabezpečí, že dotknuté osoby budú o porušení informované rovnako efektívne.

V oboch prípadoch notifikačnej povinnosť sa táto vzťahuje na Prevádzkovateľa. Nariadenie GDPR sprostredkovateľom oznamovacie povinnosti neukladá. Uvedené platí najmä preto, že za plnenie povinností pri spracúvaní osobných údajov voči dotknutým osobám zodpovedá prevádzkovateľ, a to aj v prípade, ak do spracúvania osobných údajov vo svojom mene zapojí sprostredkovateľa. Vzájomné zodpovednostné vzťahy prevádzkovateľa a sprostredkovateľa sú predmetom zmluvy o poverení so spracúvaním osobných údajov, ktorá sa v prípade zapojenia sprostredkovateľa do spracúvania osobných údajov v mene prevádzkovateľa povinne uzatvára.

Slovo na záver

Zneužitie osobných údajov alebo porušenie ochrany osobných údajov môže vyústiť cez správne konanie až do súdneho konania. V týchto prípadoch je potrebné vynaložiť nemalé časové úsilie, ale aj finančné prostriedky na zastupovanie v týchto konaniach. Ak máte skúsenosti s „pokutovaním“ od orgánov štátnej správy, viete, že takéto konanie značne zasahuje do Vášho podnikania a oberá Vás o čas aj peniaze. A môže trvať roky…

Preto odporúčame vysporiadať sa s ochranou osobných údajov preventívne a využiť GDPR compliance ako konkurenčnú výhodu. Dôležité je dôkladne zvážiť výber dodávateľa, keďže vzorová dokumentácia nemusí stačiť k plneniu povinností vyplývajúcich z predpisov o ochrane osobných údajov.

Pozrite si naše videoškolenia GDPR k ochrane osobných údajov:

 


  1. Povinnosti v oblasti bezpečnosti sú jednými zo základných povinností každého prevádzkovateľa a sprostredkovateľa 

  2. Ide najmä o povinnosť minimalizácie osobných údajov, pretože z prevenčného hľadiska nemôže prísť k úniku tých údajov, ktoré nie sú spracúvané 

  3. Súčasťou oznámenia o porušení ochrany osobných údajov je napríklad opis povahy porušenia ochrany osobných údajov, opis pravdepodobných následkov porušenia a opis prijatých alebo navrhovaných opatrení, ktorých cieľom je napraviť porušenie ochrany osobných údajov 

  4. Kým v prípade oznamovacej povinnosti voči dozornému orgánu ide iba o riziko ako také, pri oznamovacej povinnosti voči dotknutým osobám musí isť o vysoké riziko, ktoré zakladá notifikačnú povinnosť prevádzkovateľa voči dotknutým osobám 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.