The post Priamy marketing po novele zákona o elektronických komunikáciách appeared first on Avris Consulting.

Neskoré alebo nedostatočné vybavenie žiadosti dotknutej osoby zvyčajne vedie k tomu, že sa táto osoba obráti na Úrad na ochranu osobných údajov SR ako dozorný orgán, ktorý v danej spoločnosti začne preverovať nastavenie ochrany osobných údajov. Pokiaľ dozorný orgán zistí, že žiadosť nebola včas alebo riadne vybavená prípadne zistí, že sa spoločnosť dopúšťa aj ďalších porušení GDPR, môže spoločnosti, okrem iného, uložiť aj pokutu.

Práve preto by malo byť pre každú spoločnosť dôležité, aby pri takejto žiadosti spozornela a dala jej v rámci svojich iných povinností náležitú prioritu.

Kto môže žiadosť o uplatnenie práv podať?

Žiadosť o uplatnenie práv môže podať len dotknutá osoba prípadne jej splnomocnený (advokát) alebo zákonný zástupca (rodič dieťaťa). Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje spoločnosť spracúva (napr. zamestnanec, uchádzač o zamestnanie, zákazník, dodávateľ, návštevník webovej stránky).

Žiadosť u uplatnenie práv teda nemôže podať osoba, ktorej sa osobné údaje netýkajú. Preto je spoločnosť, v prípade pochybností, povinná overiť identitu dotknutej osoby. Ak je to potrebné, môže spoločnosť dotknutú osobu pred vybavením jej žiadosti požiadať o doplňujúce informácie, na základe ktorých bude vedieť riadne overiť jej identitu (napr. nahliadnutím do dokladu totožnosti; preverením emailovej adresy, pokiaľ dotknutá osoba uplatnila žiadosť z inej emailovej adresy, akú uviedla pri objednávke tovaru a pod.). Takto sa spoločnosť vyhne riziku, že by informácie o osobných údajoch dotknutej osoby poskytla neoprávnenej osobe.

Ako žiadosť o uplatnenie práv dotknutej osoby identifikovať?

Keďže uplatnenie práv dotknutej osoby môže byť spojené aj s inými požiadavkami dotknutej osoby, napr. reklamáciou tovaru alebo služby, je potrebné vedieť takúto žiadosť identifikovať a oddeliť od iných skutočností.

Niekedy nie je úplne jednoznačné, či si dotknutá osoba uplatňuje svoje práva podľa GDPR alebo len komentuje nejaké postupy spoločnosti. Každopádne je vhodné, v prípade pochybností, pristupovať k takejto žiadosti ako k žiadosti o uplatnenie práv dotknutej osoby.

Často žiadosť dotknutej osoby nemusí mať nejaké konkrétne náležitosti alebo nemusí byť podaná na tlačive, ktoré spoločnosť používa alebo nemusí byť poslaná na email zodpovednej osoby. Spoločnosť sa nezbaví povinnosti žiadosť vybaviť tým, že bude argumentovať, že dotknutá osoba nepodala žiadosť určeným spôsobom. Preto je potrebné, aby všetky osoby, ktoré v rámci spoločnosti komunikujú s dotknutými osobami, boli poučené o možnostiach podávania takýchto žiadostí a ďalšom postupe určenom spoločnosťou na ich vybavenie (napr. okamžité preposlanie žiadosti na vybavenie určenej osobe).

Aké práva si môže dotknutá osoba uplatniť?

Dotknutá osoba má právo na potvrdenie o tom, či sa jej osobné údaje v spoločnosti spracúvajú a ak tomu tak je, má právo získať informácie o:

1. účeloch spracúvania,
2. kategórii osobných údajov,
3. príjemcoch týchto údajov,
4. lehote uchovávania,
5. existencii všetkých práv dotknutej osoby vrátane práva podať sťažnosť dozornému orgánu,
6. zdroji osobných údajov, ak sa nezískali priamo od dotknutej osoby,
7. existencii prípadne neexistencii automatizovaného rozhodovania vrátane profilovania.

Ak dochádza k prenosu údajov do tretích krajín, aj informáciu o primeraných zárukách tohto prenosu.

Spoločnosť v rámci uplatnenia tohto práva poskytuje dotknutej osobe kópiu osobných údajov.

Ďalej má dotknutá osoba vždy právo na okamžitú opravu svojich nesprávnych údajov.

Za určitých okolností, teda nie v každom prípade, môže dotknutá osoba žiadať o vymazanie osobných údajov, obmedzenie ich spracúvania alebo ich prenos do inej spoločnosti.

Rovnako má dotknutá osoba právo namietať spracúvanie svojich osobných údajov na základe oprávneného záujmu spoločnosti, ako aj namietať automatizované individuálne rozhodovanie vrátane profilovania, ak sa domnieva, že ho spoločnosť vykonáva.

Pokiaľ spoločnosť spracúva osobné údaje dotknutej osoby na základe jej súhlasu (napr. zverejňovanie fotografie, posielanie Newslettra), dotknutá osoba na vždy právo kedykoľvek tento súhlas odvolať.

Uplatnenie vyššie uvedených práv nie je absolútne a spoločnosť v každom jednotlivom prípade posúdi, či môže žiadosti dotknutej osoby vyhovieť úplne, čiastočne alebo jej nemôže vyhovieť vôbec (napr. zamestnávateľ nemôže vymazať osobné údaje zamestnanca, ktoré spracúva na účel sociálneho poistenia alebo plnenia daňových povinností). Aj v prípade, ak spoločnosť žiadosti dotknutej osoby nemôže vyhovieť, musí na jej žiadosť adekvátnym spôsobom zareagovať a nezabudnúť uviesť všetky informácie o spracúvaní osobných údajov dotknutej osoby v spoločnosti, o jej právach, ako aj dôvodoch nevyhovenia žiadosti.

Určite netreba opomenúť v žiadosti uviesť aj právo dotknutej osoby, že ak s vybavením žiadosti nesúhlasí alebo vybavenie považuje za nedostatočné, môže sa obrátiť na Úrad na ochranu osobných údajov SR.

V akej lehote musí spoločnosť žiadosť dotknutej osoby vybaviť?

Spoločnosť musí vybaviť žiadosť dotknutej osoby bez zbytočného odkladu najneskôr do 30 dní od jej prijatia. Túto lehotu môže spoločnosť predlžiť o ďalšie dva mesiace, ak je žiadosť komplikovaná. O taktom predĺžení lehoty však musí spoločnosť dotknutú osobu informovať.

Akým spôsobom je potrebné žiadosť dotknutej osoby vybaviť?

Žiadosť dotknutej osoby sa zvyčajne vybavuje spôsobom, akým bola jej žiadosť uplatnená (napr. ak poslala žiadosť emailom, odpoveď na žiadosť bude poslaná na tento email). Dotknutá osoba však môže požiadať aj o iný spôsob vybavenia žiadosti, napr. že si odpoveď vyzdvihne osobne v sídle spoločnosti. Ak je to možné, spoločnosť by mala takejto žiadosti dotknutej osoby vyhovieť.

Pokiaľ sú však v odpovedi na žiadosť dotknutej osoby uvedené aj citlivé osobné údaje (napr. dokumenty obsahujúce údaje o zdraví), je vhodné zvážiť poslanie odpovede poštou do vlastných rúk, aby sa predišlo riziku, že sa k nim dostane neoprávnená osoba alebo sa tieto dokumenty stratia.

Aké ďalšie povinnosti vyplývajú spoločnosti pri vybavovaní žiadostí dotknutých osôb?

Vybavenie žiadosti dotknutej osoby je bezplatné. Pokiaľ ide o žiadosť neopodstatnenú alebo neprimeranú, najmä ak je žiadosť opakovaná, môže si spoločnosť žiadať primeraný poplatok alebo aj odmietnuť konať. Bremeno dokazovania týchto skutočností je však na spoločnosti samotnej.

Všetky žiadosti, odpovede na žiadosti a evidenciu žiadostí dotknutých osôb musí spoločnosť uchovávať 5 rokov, aby vedela preukázať splnenie týchto povinností pri prípadnej kontrole zo strany dozorného orgánu.

Záver

Riadnym a včasným vybavením žiadosti dotknutej osoby môže spoločnosť predísť kontrole zo strany dozorného orgánu, keďže je vysoký predpoklad, že sa dotknutá osoba, v prípade nespokojnosti, na tento orgán obráti. V prípade, že sa dotknutá osoba na dozorný orgán obráti, spoločnosť bude vedieť preukázať, že na žiadosť dotknutej osoby odpovedala v prepísanej lehote, so všetkými potrebnými informáciami a vhodným spôsobom.

Potrebujete nastaviť systém vybavovania žiadosti dotknutých osôb vo Vašej organizácii? Dajte nám vedieť na avris@avris.sk.

The post Vyhnite sa rizikám pri vybavovaní žiadosti dotknutej osoby appeared first on Avris Consulting.

The post Povinnosti pri používaní GPS v služobných vozidlách appeared first on Avris Consulting.

Ako ovplyvňuje GDPR vývoj AI a čo prinesie nová regulácia?

GDPR kladie dôraz na niekoľko základných zásad spracúvania osobných údajov, ktoré sa však dostávajú do konfliktu s fungovaním AI. Ide o najmä o tieto zásady:

1. Transparentnosť a informovanosť

GDPR vyžaduje, aby boli algoritmy a rozhodovacie procesy zrozumiteľné pre jednotlivcov, ktorých osobné údaje sú spracúvané, čo je problém pri zložitých modeloch strojového učenia AI (napr. neurónové siete). Užívateľ AI má právo vedieť, ako AI dospela k určitému rozhodnutiu, čo je v praxi ťažké zabezpečiť. Problematická je aj tzv. „black box“ AI, kde modely na báze hlbokého učenia robia rozhodnutia bez možnosti jednoduchého vysvetlenia ich logiky.

Riešením môže byť použitie tzv. interpretable AI (XAI), kde sú modely navrhnuté tak, aby boli ľahšie pochopiteľné. Ide najmä o metódy:

• Feature importance (Dôležitosť prvkov) – identifikácia kľúčových faktorov, ktoré ovplyvnili rozhodnutie modelu.
• SHAP (Shapley Additive Explanations) – kvantifikácia vplyvu jednotlivých vstupných parametrov na výstup AI modelu.
• LIME (Local Interpretable Model-Agnostic Explanations) – vytvorenie zjednodušeného modelu, ktorý napodobňuje správanie AI v konkrétnej situácii.
• Vizualizácie neurónových sietí – nástroje na grafické znázornenie aktivácií neurónov v rôznych vrstvách modelu.

2. Súhlas so spracúvaním osobných údajov

AI často spracováva veľké objemy dát, pričom získanie súhlasu od každého jednotlivca je náročné. GDPR však vyžaduje špecifický a informovaný súhlas, čo môže obmedziť využívanie určitých AI technológií. Niektoré AI systémy, ako personalizované reklamy či odporúčacie algoritmy, môžu operovať na údajoch, ktoré neboli získané priamym súhlasom, ale cez tzv. oprávnený záujem, čo je právne sporné.

Pre firmy je dôležité jasne komunikovať, ako sa osobné údaje používajú a umožniť jednoduché odvolanie súhlasu.

3. Právo na výmaz („právo byť zabudnutý“)

Ak AI pracuje s osobnými údajmi a jednotlivec požiada o ich vymazanie, môže to byť problematické, ak boli už údaje použité na trénovanie modelu. Modely strojového učenia si môžu „pamätať“ určité údaje aj po ich formálnom odstránení, čo môže viesť k porušeniu GDPR.

4. Minimalizácia osobných údajov a získavanie len nevyhnutných údajov

GDPR vyžaduje, aby boli spracúvané len nevyhnutné údaje, no AI systémy často fungujú efektívnejšie pri väčších datasetoch. Firmy musia nájsť rovnováhu medzi efektívnosťou AI a požiadavkou na ochranu súkromia. Implementácia techník ako syntetické dáta, kde sa generujú anonymizované verzie skutočných údajov, môže pomôcť splniť požiadavky GDPR bez straty výkonnosti AI modelov.

AI Act vs. GDPR

GDPR rieši ochranu osobných údajov, zatiaľ čo AI Act sa zameriava na bezpečnosť a etiku AI systémov. Spolu vytvárajú komplexný regulačný rámec pre AI v EÚ.

Európska únia prijala AI Act, ktorý dopĺňa GDPR a zavádza nové pravidlá pre využívanie AI:

1. Kategorizácia AI systémov podľa rizika:

AI Act rozdeľuje systémy do štyroch skupín:

1. zakázané (napr. AI systémy na sociálne skórovanie, ako je napr. hodnotenie jednotlivcov na základe och správania a manipulácia verejnej mienky);
2. vysokorizikové (napr. systémy používané v biometrickej identifikácii, zdravotníctve, bankovníctve a v kritickej infraštruktúre);
3. obmedzené riziko (napr. chatboty, ktoré musia jasne informovať používateľa, že s ním komunikuje AI);
4. minimálne riziko (napr. AI systémy na automatické preklady, spamové filtre alebo herné AI, ktoré nezasahujú do práv jednotlivcov).

     2. Nové povinnosti pre vývojárov a firmy

Vývojári  a firmy majú povinnosť zabezpečiť transparentnosť a náležitú starostlivosť pri vývoji AI systémov. AI Act kladie dôraz na požiadavku pri overení  a testovaní AI pred jej uvedením na trh. Vývojári musia zdokumentovať spôsob fungovania AI, jeho tréningové dáta a mechanizmy rozhodovania.

Ďalej je potrebné zaviesť etické a bezpečnostné kontroly, ktoré zabránia zaujatosti alebo nepredvídaným dôsledkom rozhodnutí AI.

Rovnako vzniká povinnosť pravidelného auditovania AI systémov najmä, ak patria do kategórie vysokorizikových systémov. Zabezpečenie, že AI systémy umožnia ľudský dohľad, čím sa minimalizuje riziko autonómnych rozhodnutí bez možnosti zásahu človeka.

Dôležitá tiež bude implementácia mechanizmov na odvolanie alebo opravu rozhodnutí AI, najmä v situáciách, kde môže dôjsť k nespravodlivosti alebo diskriminácii.

Ako sa firmy môžu pripraviť?

1. Zaviesť audit AI systémov spočívajúci v kontrole, či AI dodržiava pravidlá GDPR a AI Act a rovnako vykonávať pravidelné hodnotenie rizík súvisiacich so spracúvaním osobných údajov.

1. Zabezpečiť transparentnosť poskytovaním zrozumiteľných informácií pre používateľov o tom, ako AI pracuje, dokumentovať rozhodovacie procesy AI a umožniť ich kontrolu dozornými orgánmi.

3. Minimalizovať spracúvanie osobných údajov používaním anonymizácie a pseudonymizácie osobných údajov a zaviesť techniky federatívneho učenia na ochranu súkromia (učenie, pri ktorom sa modely trénujú priamo na používateľských zariadeniach, napr. smartfónoch a počítačoch, namiesto odosielania všetkých údajov na centrálny server.

1. Školiť zamestnancov v oblasti GDPR a nových regulácií týkajúcich sa AI a pripraviť interné postupy na riešenie incidentov súvisiacich s únikom osobných údajov.
2. Zaviesť mechanizmy na spracúvanie žiadostí o právo na výmaz, najmä vytvoriť efektívne procesy na odstránenie údajov z AI systémov na požiadanie a monitorovať, či sú splnené požiadavky GDPR na vymazanie osobných údajov.

Záver

GDPR a AI Act predstavujú zásadný krok k regulácii AI technológií. Hoci GDPR kladie dôraz na ochranu osobných údajov, AI Act dopĺňa tieto pravidlá špecifickými požiadavkami na vývoj a použitie AI systémov.

Pre firmy a vývojárov AI je dôležité pochopiť nové povinnosti a implementovať opatrenia na ochranu osobných údajov. Budúcnosť AI v EÚ bude závisieť od schopnosti regulátorov a technologických firiem nájsť rovnováhu medzi inováciami a ochranou súkromia.

Potrebujete pomôcť s nastavením pravidiel pri vývoji a používaní AI tak, aby bola v súlade s GDPR? Neváhajte nás kontaktovať na avris@avris.sk.

The post Výzvy pri používaní AI pri zabezpečovaní ochrany osobných údajov a AI Act appeared first on Avris Consulting.

Zamestnanec je u zamestnávateľa podľa GDPR jednak dotknutou osobou, ktorej osobné údaje zamestnávateľ spracúva, jednak poverenou osobou, ktorá má prístup k informačným systémom zamestnávateľa, kde sa spracúvajú osobné údaje iných fyzických osôb (dodávateľov, iných zamestnancov, klientov a pod.).

Zamestnanec ako dotknutá osoba

Zamestnávateľ potrebuje spracúvať určité osobné údaje zamestnancov vo vymedzenom rozsahu. Zamestnanec je tak dotknutou osobou podľa GDPR, ktorá má všetky práva, ktoré jej z tohto postavenia vyplývajú.
Predovšetkým si zamestnávateľ musí plniť voči zamestnancom informačnú povinnosť, t. j. informovať zamestnancov o spracúvaní ich osobných údajov.
Zamestnávateľovi vo vzťahu ku zamestnancom môžu vyplývať v závislosti od vykonávaných spracovateľských činností aj iné povinnosti, napr. pri monitorovaní zamestnancov, pri zverejňovaní ich fotografií a pod. Tento článok sa zameriava len na základné povinnosti, ktoré sa týkajú každého zamestnávateľa.

Čo musia obsahovať informácie o spracúvaní osobných údajov zamestnanca?

Informácie o spracúvaní osobných údajov zamestnancov musia obsahovať všetky informácie podľa článku 13 GDPR.
Ide o pomerne široké spektrum informácií, ako je:
a) totožnosť a kontaktné údaje prevádzkovateľa (zamestnávateľa);
b) kontaktné údaje zodpovednej osoby, pokiaľ je určená;
c) účely spracúvania osobných údajov, čiže všetky dôvody spracúvania osobných údajov;
d) ak sa spracúvanie zakladá na oprávnenom záujme, je potrebné uviesť tieto oprávnené záujmy (napr. ochrana majetku zamestnávateľa prostredníctvom kamerového systému);
e) príjemcovia alebo kategórie príjemcov osobných údajov, ktorí majú k týmto údajom prístup (napr. externá účtovná firma, poskytovateľ BOZP, IT podpora);
f) informácia o tom, či zamestnávateľ zamýšľa prenos osobných údajov do tretej krajiny, teda mimo EÚ;
g) doba uchovávania osobných údajov pri každej spracovateľskej činnosti;
h) existencia práva zamestnanca na prístup k údajom, právo na ich opravu, vymazanie, obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;
i) informácia o práve podať sťažnosť dozornému orgánu;
j) informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;
k) existencia automatizovaného rozhodovania vrátane profilovania a v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

Ako má byť informačná povinnosť zamestnancovi sprístupnená?

Informácie o spracúvaní osobných údajov musia byť formulovane jednoducho a zrozumiteľne, nemalo by teda ísť len o prepis právnych predpisov, ale o stručné vysvetlenie konkrétnych situácií.
Informácie by mali byť zamestnancom trvalo dostupné, napr. na nástenke na pracovisku, na internom úložisku údajov, na vyžiadanie na personálnom oddelení, zverejnením na webovej stránke, na firemnom intranete a pod.
Keď má zamestnávateľ sprístupnené informácie podľa odseku vyššie, v ďalších dokumentoch a formulároch, cez ktoré získava údaje zamestnancov, už môže len odkazovať na miesta, kde sú tieto informácie dostupné.
Informácie o spracúvaní osobných údajov zamestnávateľ v prípade potreby aktualizuje a zamestnancov o týchto zmenách informuje (napr. emailom, na školení, písomným dokumentom a pod.).

Ako preukázať plnenie informačnej povinnosti?

Zamestnávateľ ako prevádzkovateľ má v zmysle článku 5 ods. 2 GDPR, povinnosť preukázať súlad s GDPR, teda aj plnenie informačnej povinnosti vo vzťahu k zamestnancom.
Systém informovania zamestnancov môže byť závislý od počtu zamestnancov, počtu a lokalizácie prevádzok. Dôležité je zvoliť si systém, ktorý bude nastavený tak, aby sa táto povinnosť neopomínala.
Spôsoby na naplnenie tejto povinností môžu byť rôzny, napr.:
– podpísanie a založenie dokumentu za každého zamestnanca,
– sprístupnenie dokumentu v tlačenej forme (na personálnom oddelení pri podpise pracovnej zmluva) alebo v elektronickej verzii (napr. poslané emailom spolu so vstupným dotazníkom) a zdokumentovať vyhlásenie o oboznámení sa s informáciami o spracúvaní osobných údajov v pracovnej zmluve, na vstupnom dotazníku a pod.

Zamestnanec ako poverená osoba

Zamestnanci vo väčšine prípadov majú prístup k informačným systémom zamestnávateľa, aby mohli vykonávať svoje pracovné povinnosti a v týchto prípadoch sú poverenými osobami.
Zamestnávateľ ako prevádzkovateľ osobných údajov je povinný písomne zaviazať poverenú osobu mlčanlivosťou, ktorá je planá aj po ukončení pracovného pomeru. Takáto mlčanlivosť môže byť súčasťou pracovnej zmluvy, samostatného dokumentu alebo ako súčasť poverenia zamestnanca.
Súčasne musí mať zamestnanec ako poverená osoba písomné poverenie na prístup k určeným informačným systémom a poučenie ohľadom ochrany osobných údajov.

Písomné poverenie a poučenie zamestnanca by malo obsahovať minimálne:
– základné zásady spracúvania osobných údajov,
– práva a povinnosti poverenej osoby pri spracúvaní osobných údajov,
– pravidlá pri spracúvaní osobných údajov tzv. papierovou formou, čiastočne automatizovane a automatizovane, podľa toho, čo je relevantné,
– prípadne pravidlá pri práce na diaľku, ak sa vykonáva,
– zodpovednosť poverenej osoby za porušenie pravidiel a pokynov zamestnávateľa,
– odkaz na interné predpisy, ktoré upravujú detailné postupy pri ochrane osobných údajov u zamestnávateľa, napr. postupy pri vybavovaní žiadostí dotknutých osôb, oznamovaní a riešení porušenia ochrany osobných údajov, pri zavádzaní nových spracovateľských činnostiach a pod.
Súčasťou poverenia môže byť aj vyššie spomínané vyhlásenie o mlčanlivosti.

Aký je minimálny rozsah dokumentov pre zamestnancov v rámci GDPR?
– Informácia o spracúvaní osobných údajov zamestnanca
– Poverenie a poučenie poverenej osoby s odkazom aj na príslušné interné predpisy
– Mlčanlivosť poverenej osoby

Potrebujete pomôcť s dokumentáciou pre zamestnancov? Neváhajte nás kontaktovať na avris@avris.sk.

The post Povinnosti zamestnávateľa vo vzťahu k zamestnancom podľa GDPR appeared first on Avris Consulting.

Vo väčšine prípadov je pracovná emailová adresa osobný údaj. Emailová adresa môže identifikovať meno, priezvisko a pracovisko zamestnanca. Výnimkou sú všeobecné emailové adresy (napr. info@), z názvu ktorých nie je možné konkrétneho zamestnanca identifikovať.

Zamestnávatelia nepotrebujú súhlas zamestnanca na poskytovanie a zverejňovanie jeho pracovnej emailovej adresy. To sa však netýka obsahu emailovej komunikácie, ku ktorému musí zamestnávateľ pristupovať nielen v súlade s GDPR, ale aj Zákonníkom práce.

Prečo je obsah emailovej komunikácie zamestnanca chránený?

Pracovné emaily obsahujú obrovské množstvo osobných údajov, ktorých spracúvanie podlieha pravidlám GDPR. Okrem toho, emailová schránka zamestnanca bežne obsahuje aj súkromné informácie zamestnanca, ak zamestnanec pracovný email použil aj na súkromné účely.

Súčasne platí, že zákaz používania pracovných emailov na súkromné účely na pracovisku, zamestnávateľa nijakým spôsobom nezbavuje jeho povinností podľa GDPR a Zákonníka práce.

Kedy môže zamestnávateľ obsah emailovej komunikácie spracúvať?

Zamestnávateľ môže spracúvať obsah emailov zamestnanca len, ak má na to právny základ podľa GDPR a súčasne je takýto postup v súlade so Zákonníkom práce.

Každé spracúvanie osobných údajov sa musí opierať o jeden z právnych základov určených GDPR. Niektorí zamestnávatelia sa snažia odôvodniť prístup k emailom zamestnancov na základe pracovnej zmluvy. Avšak prístup zamestnávateľa k emailom zamestnanca, vo všeobecnosti, nie je potrebný na plnenie pracovnej zmluvy, takže tento právny základ je ťažko obhájiteľný.

Ďalším právnym základom, ktorý sa môže zvažovať, je súhlas zamestnanca. Avšak súhlas, ako právny základ, má niekoľko nevýhod:

• Zvyčajne je ťažké získať platný súhlas od zamestnancov, pretože vzťah nadradenosti a podradenosti medzi zamestnancom a zamestnávateľom môže spochybniť jeho dobrovoľnosť. Zamestnanec sa môže cítiť byť nútený udeliť súhlas, aby vyhovel zamestnávateľovi, čo okamžite robí súhlas neplatným.
• Získanie súhlasu nie je zaručené. Zamestnanci napríklad len ťažko budú súhlasiť s prístupom k ich emailom, keď je cieľom zamestnávateľa získať dôkazy proti nim pre podozrenie z porušenia pracovnej disciplíny.
• Okrem toho, je možné súhlas kedykoľvek odvolať, čím sa stáva menej istým základom pre spracúvanie.
• Nakoniec, v prípade bývalých zamestnancov môže byť nemožné získať súhlas, ak neexistuje spôsob, ako ich kontaktovať.

Ďalším možným právnym základom pre prístup k emailom je oprávnený záujem zamestnávateľa. Tento základ si vyžaduje vykonanie posúdenia oprávneného záujmu cez tzv. test proporcionality. V teste proporcionality sa identifikuje zákonnosť dôvodov na prístup k emailom, analyzuje sa nevyhnutnosť a primeranosť spracúvania údajov a posúdi sa, či práva a slobody dotknutých osôb neprevažujú nad záujmami zamestnávateľa.

Okrem vyššie uvedeného, zamestnávateľ je povinný postupovať v súlade s § 13 ods. 4 Zákonníka práce, podľa ktorého môže zamestnávateľ monitorovať emailovú komunikáciu len v prípade, ak:

• má na to vážny dôvod,
• vážny dôvod spočíva v osobitnej povahe jeho činnosti,
• ide o zásah do súkromia na pracovisku zamestnávateľa,
• o monitorovaní upovedomil dotknutých zamestnancov,
• monitorovanie zamestnancov prerokoval so zástupcami zamestnancov.

Upozorňujeme, že splnenie týchto podmienok musí vedieť zamestnávateľ preukázať, ideálne písomne právnou analýzou a určením pravidiel monitorovania. Za monitorovanie emailov sa považuje napr. aj presmerovanie emailov odídeného zamestnanca na iných zamestnancov.

Dozorné orgány udeľujú vysoké pokuty

Maďarsko už má v tejto oblasti vydané rozhodnutia, v ktorých dozorný orgán odporúča zamestnávateľom, aby vopred informovali zamestnancov o plánoch prístupu k ich emailom, poskytli im možnosť kontroly údajov a umožnili zamestnancom byť prítomní počas tohto prístupu alebo zabezpečili prítomnosť zástupcu zamestnancov na ochranu ich záujmov.

V júni 2021 nórsky úrad na ochranu údajov udelil zamestnávateľovi pokutu 13 000 eur za prístup k emailovému účtu zamestnanca počas šiestich týždňov po jeho odchode zo spoločnosti. Podľa dozorného orgánu neexistuje žiadny právny základ, ktorý by odôvodňoval takýto postup. Podľa nórskeho úradu, zamestnávatelia musia mať oprávnený záujem, prístup k emailom musí byť nevyhnutný na presadzovanie tohto záujmu a záujem zamestnávateľa musí prevážiť nad právami zamestnanca. Napr. môže ísť o zabezpečenie prevádzky podniku alebo existenciu dôvodného podozrenia, že zamestnanec hrubo porušuje pracovnú disciplínu.

Taliansky dozorný orgán uložil pokutu 10 000 eur za pokračovanie v používaní emailu zamestnanca po skončení pracovného pomeru a za prístup k jeho 34 000 emailom. Úrad kritizoval, že spoločnosť vopred neinformovala zamestnanca o tomto postupe a nemala prijaté žiadne predpisy na používanie nástrojov IT.

Rozhodnutie Krajského pracovného súdu v Nemecku skúmalo prípustnosť používania emailov ako dôkazov v súdnych konaniach proti zamestnancom. Súd vysvetlil, že ak zamestnávateľ povolí len pracovné používanie komunikačných nástrojov, má širšie, aj keď nie absolútne, prístupové práva. Ak je však súkromné použitie povolené alebo tolerované, prístup k e-mailom si vyžaduje včasné informovanie zamestnanca, poskytnutie možnosti ukladať súkromné správy oddelene a zákaz skrytého monitorovania ich obsahu.

Pravidlá prístupu k emailovým schránkam zamestnancov

Vo svetle týchto rozhodnutí musia zamestnávatelia pristupovať k emailovej komunikácii zamestnancov mimoriadne opatrne. Nevyhnutné je najmä vypracovať:

• právnu analýzu podľa Zákonníka práce, ktorá preukáže, či plánovaný postup zamestnávateľa je zákonný,
• test proporcionality podľa GDPR (ak si zamestnávateľ zvolí ako právny základ oprávnený záujem),
• komplexnú politiku o pravidlách používania a kontroly emailovej komunikácie,
• informačný dokument a sprístupniť ho zamestnancom pred prístupom zamestnávateľa k ich emailom, poskytnúť im možnosť ochrániť svoje súkromné informácie (napr. výmazom, označením emailov ako súkromné a pod.) a zúčastniť sa pri samotnom prístupe (či už osobne alebo prostredníctvom zástupcu).

Súčasne je nevyhnutné dodržiavať zásadu minimalizácie údajov, napr. tým, že sa nebude robiť export všetkých emailov zamestnanca, ale len tých, ktoré sú na ochranu záujmov zamestnávateľa nevyhnutné.

Prístupom zamestnávateľa zvyčajne dochádza k spracúvaniu údajov s vysokým dopadom na práva a slobody zamestnancov. Každý prípad je však iný a neexistujú presne určené pravidlá a aj malé odchýlky v postupoch môžu viesť k rôznym právnym následkom.

Potrebujete pomôcť s nastavením pravidiel pri používaní emailovej komunikácie tak, aby bola v súlade s GDPR a Zákonníkom práce? Neváhajte nás kontaktovať na avris@avris.sk.

The post Pribúdajú pokuty za porušenia ochrany osobných údajov zamestnancov pri emailovej komunikácii na pracovisku appeared first on Avris Consulting.

Oznámenia o porušení ochrany osobných údajov

Zo správy Úradu vyplýva, že organizácie nahlásili v roku 2023 celkovo 185 porušení ochrany osobných údajov, ku ktorým v ich organizáciách došlo.

Takmer polovica prípadov sa týkala kybernetických útokov (93). Ďalej nasledovalo neoprávnené poskytnutie/sprístupnenie osobných údajov (33), podnety (31) a neoprávnené spracúvanie osobných údajov (19). V menšom rozsahu sa objavili krádeže, strata dokumentácie a USB kľúčov.

Tieto čísla nezobrazujú reálny stav porušenia ochrany osobných údajov v organizáciách, ale len tie, ktoré tieto organizácie Úradu nahlásili v súlade s GDPR.

Každopádne môžeme skonštatovať, že kybernetické útoky významne prevažujú a preto je dôležité dbať na informačnú bezpečnosť a nespoliehať sa na to, že „nám sa to nemôže stať“.

Kontroly zo strany Úradu

Úrad v roku 2023 ukončil celkovo 67 kontrol, z toho 41 kontrol bolo zameraných výhradne na kamerové systémy.

Najčastejšie nedostatky zistené pri kontrolách

Až v 21 prípadoch bolo zistené porušenie zásady zákonnosti, spravodlivosti a transparentnosti. Toto zistenie sa opakuje v kontrolných činnostiach Úradu každoročne.

V praxi to znamená, že organizácie nemajú riadne spracované a/alebo náležitým spôsobom nezverejňujú a nesprístupňujú informácie o spracúvaní osobných údajov fyzických spôsob, tzv. Privacy Policy.

Preto je dôležité dôkladne zmapovať spracúvanie osobných údajov v organizácii a všetky fyzické osoby (zamestnancov, uchádzačov o zamestnanie, dodávateľov, klientov, návštevy na webovej stránke, monitorované osoby kamerovým systémom  apod.) informovať o spracúvaní ich osobných údajov. Ideálny postup je zverejniť tieto informácie na webovej stránke a z ostatných dokumentov, formulárov či v rámci emailovej komunikácie na tento dokument odkazovať. Rovnako je vhodné sprístupniť tieto informácie aj v tlačenej forme, napr. na recepcii, na nástenke pri vstupe do organizácie, pre zamestnancov na personálnom oddelení a pod.

Rovnako je dôležité tieto informácie pravidelne aktualizovať, a to na všetkých miestach, kde sú tieto informácie zverejnené či inak sprístupnené.

Porušenia GDPR pri používaní kamerových systémov

Keďže väčšina kontrol sa zameriavala na kamerové systémy, pozrieme sa bližšie na konkrétne prípady v tejto oblasti:

• Škola nepretržite monitorovala kamerovým systémom tzv. citlivé priestory, ako sú šatne. Tiež monitorovala chodby, telocvičňu, knižnicu, učebne a vonkajší areál školy. Úrad konštatoval rozpory so zásadou zákonnosti, keďže škola mala určený ako právny základ súhlas dotknutej osoby. Úrad spochybnil slobodu poskytnutia súhlasu, a to najmä vo vzťahu k zamestnancom, ktorí sú vo vzťahu k zamestnávateľovi podriadení a v takomto vzťahu je sloboda poskytnutého súhlasu veľmi otázna. Tým dochádzalo k nezákonnému spracúvaniu osobných údajov.
• Fyzická osoba si z dôvodu pretrvávajúcich konfliktov so susedom, ako aj z dôvodu zvýšenej kriminality v danej lokalite, nainštalovala kameru nad vstupom do svojho bytu. Kamera prepojená s mobilným telefónom kontrolovanej osoby zaznamenávala pohyb v zornom poli kamery, konkrétne priestor pred vstupom do bytu kontrolovanej osoby, časť vstupu do susediaceho bytu, priestor pred výťahom a schodisko. Na kontrolovanou osobou stanovený účel, ktorým bola ochrana majetku a zdravia rodinných príslušníkov, nebolo nevyhnutné monitorovať priestor v takom rozsahu, v akom bol monitorovaný. Túto skutočnosť Úrad vyhodnotil ako porušenie zásady minimalizácie údajov.
• Organizácia kamerovým systém nepretržite monitorovala pracovisko zamestnancov (kuchyňa pri školskej jedálni). Kontrolou bolo zistené, že organizácia postupovala v rozpore so zásadou zákonnosti, nakoľko nepreukázala splnenie aspoň jednej z podmienok zákonného spracúvania podľa GDPR, ako aj v rozpore so zásadou minimalizácie údajov podľa GDPR, nakoľko nepreukázala, že prostredníctvom kamier je nevyhnutné spracúvať aj osobné údaje zamestnancov na ich pracovisku.
• Kamera bola osadená na okne jedného z bytov bytového domu. Kontrolou bolo zistené, že kontrolovaná osoba postupovala v rozpore so zásadou minimalizácie tým, že prostredníctvom kamerového systému monitorovala priestor prístupný verejnosti vo väčšom rozsahu, než bolo nevyhnutné na dosiahnutie ňou stanoveného účelu (ochrana majetku). Ďalej bolo zistené, že kontrolovaná osoba monitorovala verejný priestor bez splnenia aspoň jednej z podmienok zákonného spracúvania, v dôsledku čoho postupovala v rozpore so zásadou zákonnosti.
• Anonymným podnetom bol Úrad informovaný o možnom nezákonnom spracúvaní osobných údajov dotknutých osôb kamerovým systémom inštalovaným na budove mestského úradu. Nezákonné spracúvanie malo spočívať v  monitorovaní pohybu zamestnancov počas ich pracovnej doby prednostom mestského úradu, ktorý mal kamerové záznamy neoprávnene využívať na preukazovanie porušovania pracovnej disciplíny. Úrad konštatoval porušenie zásady minimalizácie uchovávania osobných údajov, nakoľko kontrolovaná osoba nepreukázala, že štrnásťdňová lehota uchovávania kamerových záznamov, ktorú si stanovila, je primeraná a nevyhnutná k naplneniu účelu spracúvania. Mestský úrad zároveň postupoval v rozpore s GDPR z dôvodu, že pri vstupe do monitorovaného priestoru neposkytoval dotknutým osobám všetky informácie o spracúvaní osobných údajov.

Pokuty

V roku 2023 bolo Úradom za porušenia GDPR uložených 46 pokút v celkovej výške 94 000 Eur. Taktiež boli uložené aj poriadkové pokuty, t. j. pokuty za to, že kontrolované osoby neposkytli Úradu súčinnosť pri výkone kontroly, a to 3 poriadkové pokuty, v celkovej výške 4000 Eur.

Chcete sa vyhnúť nedostatkom pri spracúvaní osobných údajov?

Neváhajte nás kontaktovať: avris@avris.sk

The post Informácie z kontrol dodržiavania GDPR v roku 2023 appeared first on Avris Consulting.

Objednávka tovarov/služieb

Prevádzkovateľ e-shopu potrebuje spracúvať osobné údaje na účel vybavenia objednávky. Na takéto spracúvanie osobných údajov nie je potrebný súhlas zákazníka, keďže získanie údajov prostredníctvom objednávkového formuláru je nevyhnutné na uzavretie zmluvy na diaľku medzi zákazníkom a e-shopom.

Preto, ak pod objednávkovým formulárom zákazník potvrdzuje vyhlásenie o súhlase, napr. že „Súhlasím so spracúvaním mojich osobných údajov na účel vybavenie objednávky“, takéto vyhlásenie nie je správne a je v rozpore s GDPR.

Marketingová komunikácia

Pokiaľ prevádzkovateľ smeruje k zákazníkovi aj marketingovú komunikáciu (napr. zasielanie Newslettra, iné formy priameho marketingu), nepotrebuje jeho súhlas, pokiaľ ide o informovanie zákazníka o novom tovare a službách daného e-shopu s cieľom podporiť ich predajnosť. Právnym základom spracúvania osobných údajov bude v tomto prípade oprávnený záujem. Na preukázanie oprávneného záujmu musí mať prevádzkovateľ e-shopu vypracovaný test proporcionality.

Vernostné programy a spotrebiteľské súťaže

Spracúvanie osobných údajov na účel účasti zákazníka vo vernostnom programe alebo spotrebiteľskej súťaži môže byť len na základe jeho súhlasu.

Prieskumy spokojnosti

Pokiaľ e-shop vykonáva aj prieskumy spokojnosti zákazníka so zakúpeným tovarom/službou, môže údaje zákazníka na tento účel použiť len s jeho súhlasom.

Vyhlásenia pod objednávkovým formulárom

1. E-shop získava údaje len na vybavenie objednávky. Pred odoslaním osobných údajov treba sprístupniť vyhlásenie (môže, ale nemusí byť check box):

Odoslaním objednávky potvrdzujem, že som si prečítal/a a porozumel/a som Zásadám spracúvania osobných údajov.

K touto vyhláseniu sa často pridávajú aj ďalšie informácie, napr. vyhlásenie o prečítaní a porozumení Všeobecných obchodných podmienok a pod.

1. E-shop získava osobné údaje zákazníkov prostredníctvom objednávkového formuláru aj na iné účely ako je vybavenie objednávky:

Odoslaním objednávky potvrdzujem, že som si prečítal/a a porozumel/a som Zásadám spracúvania osobných údajov.

☐  Súhlasím so spracúvaním mojich osobných údajov v rámci vernostného programu predajcu.

☐  Súhlasím so spracúvaním mojich osobných údajov na účel účasti v súťaži o poháre s logom.

☐  Súhlasím so zasielaním dotazníka spokojnosti.

Ďalšie odporúčania k objednávkovým formulárom

E-shop musí mať v každom prípade vypracované Zásady spracúvania osobných údajov v súlade s článkom 13 a 14 GDPR a zverejniť ich napr. na podstránke e-shopu, na ktorú pod objednávkovým formulárom uvedenie odkaz.

V objednávkovom formulári je potrebné získavať len osobné údaje, ktoré sú na vybavenie objednávky (čiže uzavretie zmluvy) nevyhnutné. Napr. získavanie údajov o dátume narodenia, rôznych preferenciách či správaní sa zákazníka, nie je na účel vybavenia objednávky nevyhnutné a na takéto získavanie údajov je potrebné nájsť iný vhodný právny základ ako je uzavretie zmluvy.

Musí byť určené, ako dlho sa osobné údaje na daný účel spracúvajú. Napr. posielanie Newslettra 5 rokov, objednávkový formulár 10 rokov, spotrebiteľská súťaž do ukončenia súťaže a pod. Tieto informácie e-shop deklaruje v Zásadách o spracúvaní osobných údajov.

Pokiaľ je právnym základom spracúvania osobných údajov oprávnený záujem, je potrebné disponovať testom proporcionality (napr. pri posielaní Newslettra zákazníkom).

Pokiaľ sa cez objednávkový formulár získavajú osobné údaje aj na základe súhlasu zákazníka (napr. pri účasti vo vernostnom programe), je potrebné:

• aby sa objednávka dala odoslať aj bez zaškrtnutia súhlasu (súhlas musí byť dobrovoľný),
• súhlas nesmie byť vopred zaškrtnutý (vyžaduje sa aktivita zákazníka),
• informáciu o udelení súhlasu je potrebné uchovávať 5 rokov po uplynutí platnosti tohto súhlasu (po uplynutí doby spracúvania osobných údajov na daný účel alebo po odvolaní súhlasu), pričom môže ísť o elektronickú stopu uchovanú priamo v systéme webovej platformy,
• súhlas je kedykoľvek odvolateľný, takže musia byť vytvorené procesy a/alebo technické nástroje na spracovanie tejto požiadavky zákazníka.

Povinnosti e-shopu týmto ani zďaleka nekončia a ďalšie informácie nájdete v našich ďalších článkoch.

Potrebujete poradiť? Neváhajte nás kontaktovať.

Autor: Monika Fegyveres Oravská

The post Ako správne „ošetriť“ objednávkový formulár podľa GDPR? appeared first on Avris Consulting.

Potom sú naše webináre určené priamo vám!

Vybrali sme niektoré oblasti, ktoré by Vás mohli zaujať. Ak ste sa v týchto okruhoch nenašli a mali by ste záujem o inú špecifickú oblasť v rámci ochrany osobných údajov, neváhajte nám napísať na academy@avris.sk.

GDPR a otázky súvisiace so zameraním vašej činnosti

Ponúkame niekoľko tém, kde sme už tento rok webináre úspešne realizovali. Pokiaľ máte záujem, ozvite sa nám a dohodneme obsah a termín šitý na mieru vaším potrebám:

GDPR pre realitné kancelárie

GDPR pre prevádzkovateľov kamerových systémov

Návod na určenie právneho základu

GDPR pre e-shopy a weby

GDPR pre začiatočníkov

Lektor: JUDr. Monika Fegyveres Oravská, lektor je držiteľom certifikátu ISO 27 001 – Informačná bezpečnosť[/vc_column_text]

The post GDPR a súvisiace otázky – cyklus webminárov appeared first on Avris Consulting.

Bezpečnosť osobných údajov spracúvaných v boji proti COVID-19

Najväčšou výzvou pre prevádzkovateľa bude dodržať zásady integrity a dôvernosti údajov, t.j. zabezpečiť ich v IT prostredí pred stratou krádežou, alebo zneužitím.

Nie je zatiaľ známe kedy začnú mobilní operátori lokalizačné dáta Úradu verejného zdravotníctva poskytovať, ale povinnosťou úradu je pred plánovaným spracúvaní vykonať posúdenie vplyvu na ochranu osobných údajov. Na základe medializovaných informácií:

• bude spracúvanie bude využívať moderné technológie
• budú spracúvané osobitné kategória údajov – údaje o zdraví
• bude dochádzať systematickému monitorovaniu osôb
• bude rozsah spracúvaných údajov veľký (veľká časť populácie)
• hrozí dotknutých osobám obmedzenie osobnej slobody (obmedzenie pohybu, karanténa)

Podľa čl. 35 nariadenia ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov (tzv. DPIA).

Spracúvanie údajov o pohybe osôb,  tak ako boli medializované, môže byť veľmi náročné a zatiaľ nebol predstavený systematický opis toho ako bude spracúvanie prebiehať. Medializovaný bol zámer, t.j. výsledok spracúvania (informovať občanov o riziku, ktoré predstavuje pohyb osôb). Prevádzkovateľa však bude musieť okrem zákonných požiadaviek splniť aj náročné technické požiadavky na bezpečnosť dát. Ak si ich zosumarizujeme:

• Meno a priezvisko
• Mobilné telefónne číslo

Na základe týchto údajov je osoba jednoznačne identifikovateľná

• údaje o zdraví (minimálne údaj či je COVID-19 pozitívna)
• lokalizačné údaje – údaje pohybe, alebo mieste pobytu

Spracúvanie týchto údajov pomocou moderných technológií (ich prenášanie, využívanie, poskytovanie, uschovávanie) predstavujú riziko pre práva a slobody osôb, najmä v dôsledku porušenia ich ochrany (únik údajov, zverejnenie, zneužitie spracúvania na iné účely, obmedzenie slobody v dôsledku nesprávnych údajov, a pod.).

Integrita a dôvernosť

Mobilní operátori si IT prostredie budovali roky, disponujú tímami odborníkov v oblasti  kybernetickej bezpečnosti, majú aplikácie na analýzy veľkých dát. Úrad verejného zdravotníctva naproti tomu ničím podobným nedisponuje. Vybudovať bezpečný informačný systém ktorý by v priebehu pár týždňov, či mesiacov dokázal začať spracúvať poskytované osobné údaje, je nereálne.

Ak by sa dáta poskytnuté od mobilných operátorov týkali zopár osôb, spracovať ich pomocou Excelu, a máp bolo náročné na ľudské zdroje, ale v zásade možné. Ak ale mobilní operátori začnú poskytovať gigabajty a tera bajty dát týkajúce sa všetkých mobilných telefónov, nevedno ako ich úrade verejného zdravotníctva k sebe vôbec prenesie, kam si ich uloží, nehovoriac o tom, ako ich následne spracuje.

Zabezpečiť dôvernosť dát neznamená iba zaviazať pracovníkov mlčanlivosťou. Je potrebné im vytvoriť pracovné podmienky na to, aby sa mohli k údajom prihlasovať bezpečne, aby systém prístupových práv rozlišoval jednotlivé úrovne poverení na prácu, aby údaje nebolo možné neoprávnene kopírovať, alebo prenášať, aby ukladané a prenášané údaje boli zašifrované a aby odolali pokusom hackerov prelomiť ochranu a údaje zneužiť.

Druhou možnosťou spracúvania údajov je poskytnutie prístupu Úradu verejného zdravotníctva do špeciálne pripravených vyčlenených systémov priamo v IT prostredí operátorov. Bezpečnosť by bola vyriešená ľahšie, ale problémom je že dáta štyroch rôznych operátorov by sa nadali „spojiť“ a identifikovať kontakty ohrozených osôb by bolo limitované iba na okruh mobilov príslušného operátora.

Čo dodať na záver?

Niet pochýb o tom, že situácia s pandémiou ochorenia COVID-19 je vážna a treba hľadať aj nové riešenia na riešenie vzniknutej situácie. Pripravené, otestované a funkčné technologické riešenie v súčasnosti neexistuje.

Zámer využiť nové technológie je dobrý, ale legislatívne riešenie nie je dostatočnej konkrétne. Dáva právomoc úradu, ktorý nie je na to dostatočne technicky, organizačne ani personálne pripravený.

Zatiaľ (na základe zverejnených informácií) možno usudzovať, že poskytovanie údajov predstavuje pre dotknuté osoby väčšie riziko, ako prípadný prínos k ochrane životov a zdravia.

Autor článku: Dušan Peško, Senior Consultant

The post Koronavírus a sledovanie polohy ľudí pomocou mobilov – časť 2. appeared first on Avris Consulting.