1. Úvod
GDPR prináša unifikovaný prístup k ochrane osobných údajov v rámci Európskej únie a svojim dopadom má tak rozsiahle územné a personálne účinky. GDPR tak svojím charakterom bude jedno z najširokospektrálnejšie aplikovaných nariadení Európskej únie. Tomu zodpovedá aj rozsiahla aktivita tzv. Working party 29 (ďalej ako „WP 29“) založenej podľa článku 29 smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (ďalej ako „Smernica“). Aj vyššie uvedené fakty v súčasnosti spôsobuje, že okolo GDPR je marketingový šum, ktorý ho označuje ako revolúciu v oblasti ochrany osobných údajov.
Cieľom tohto príspevku je analyzovať z pohľadu zamestnávateľov právne koncepty, ktoré sú najväčšou zmenou oproti súčasnej legislatíve v Slovenskej republike, ktorá je v oblasti ochrany osobných údajov regulovaná najmä zákonom č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“).
Pracovnoprávne presahy témy ochrany osobných údajov sú zjavné, keď jednou z najväčších skupín, ktorých sa GDPR dotkne budú zamestnávatelia. Každý zamestnávateľ je totiž spracovávateľom (správcom) osobných údajov svojich zamestnancov, pričom tieto údaje je povinný spracovávať v rozsahu, ktorý stanovujú príslušné pracovnoprávne predpisy, ale aj predpisy práva sociálneho zabezpečenia.
Téma ochrany osobných údajov je aj svojím spôsobom „pionierom“ právnej úpravy zohľadňujúce technologický pokrok, čo definuje aj samotné GDPR priamo vo svojom texte.[1] Je tak možné sa na túto tému pozerať aj z pohľadu, že môže byť inšpiráciou pre iné odvetvia práva, ktoré regulujú na informatizáciu citlivé oblasti, keď sa od Dohovoru Rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (ďalej ako „Dohovor“) cez Smernicu táto regulácia dopracovala až k najvyššie miere unifikácie formou GDPR.
Pre účely tohto príspevku sme vybrali z nášho pohľadu najdôležitejšie inštitúty a právne koncepty zavedené GDPR z pohľadu zamestnávateľov, a to i) posudzovanie vplyvu na ochranu osobných údajov, ii) profilovanie a automatizované rozhodovanie a iii) súhlas so spracovaním osobných údajov, ktorého podmienky GDPR značne sprísňuje.
2. Posudzovanie vplyvu na ochranu osobných údajov
Jedným z nových právnych konceptov, ktoré GDPR aplikuje je tzv. „privacy by desing“, ktorého pretavením do praxe je práve aj článok 35 GDPR, ktorý upravuje koncept posudzovania vplyvov špecifických procesov a úkonov na ochranu osobných údajov.
Francúzska a britská legislatíva tento koncept už poznajú a vnútornou legislatívou upravili tzv. Privacy Impact Assesment (PIA). Tento individualizovaný prístup k jednotlivým procesom a úkonom zasahujúcim osobné údaje je upravený aj v rámci právnej úpravy v USA.[2]
Posudzovanie vplyvu na ochranu osobných údajov je správca povinný vykonať pred tým, ako zaháji proces, ktorý napĺňa niektorý z nasledovných predpokladov:
a) napĺňa predpoklady v zmysle čl. 35 ods. 3. písm. a), b) alebo c)[3],
b) spracovanie údajov označil za rizikové príslušný dozorový úrad,
c) spracovanie, u ktorého existuje pravdepodobnosť, že toto spracovanie závažným spôsobom ohrozí práva fyzických osôb.
WP29 pre orientáciu v pomerne ťažko prehľadných rizikách procesov spracovania osobných údajov ponúka vo svojom vodítku zoznam procesov, u ktorých je pravdepodobné, že budú mať vysoké rizko:
a) Hodnotenie a bodovanie
Napríklad vytváranie behaviorálnych profilov marketingovými spoločnosťami na základe internetovej prevádzky
b) Automatizované rozhodovanie
Detailne vysvetlené v príspevku nižšie
c) Systematické monitorovanie
Napríklad systematické monitorovanie verejných priestorov kamerovým systémom
d) Spracovanie údajov citlivej povahy
Napríklad spracovanie a transfer zdravotníckych údajov medicínskymi laboratóriami
e) Údaje spracované v rozsiahlom merítku
Napríklad spracovanie tzv. big data kedy dochádza k spracovaniu veľkého rozsahu údajov dotknutých osôb
f) Priraďovanie, alebo zlučovanie dátových súborov
Zlučovanie údajov v databázach, ktoré boli spracované na rozličný účel
g) Údaje týkajúce sa zraniteľných subjektov údajov
Spracovanie údajov napríklad detí, na ochranu ktorého kladie GDPR osobitný dôraz
h) Nové použitie, alebo využitie nových technologických, alebo organizačných riešení
Napríklad použitie biometrických údajov
i) Operácie, ktoré bránia subjektu uzavrieť určitú zmluvu
Napríklad úverový register pri posudzovaní žiadateľa o úver
Práve tento individualizované prístup, ktorý vyžaduje GDPR, je príkladom toho, že doterajšia prax množstva subjektov, ktoré formalizovali prístup k ochrane osobných údajov formou nákupu generických dokumentov na webových stránkach rôznych pokútnikov, nemá oporu v prístupe, ktorý zvolila Európska únia pri tvorbe tejto regulácie.
3. Profilovanie a automatizované rozhodovanie
Úprava práv a povinností v oblasti profilovania automatizovaného rozhodovania v rámci GDPR vychádza z jedného z práv dotknutých osôb, ktoré boli úpravou GDPR rozšírené, a to práva namietať automatizované rozhodovanie a profilovanie.
Práve z pohľadu technologického progresu a využívania najnovších technologických postupov a prístupov za účelom zjednodušenia a zlepšenia fungovania rôznych typov služieb je profilovanie a automatizované rozhodovanie asi najdôležitejšou oblasťou regulácie. Odstránenie ľudského faktora, ktorý je neodškriepiteľne stále najlepším prístupom, k vyhodnocovaniu rôznych údajov spôsobuje, že popri nespornej výhode, ktorou je výrazne vyššia efektivita automatizovaného rozhodovania, a to ako z pohľadu rýchlosti, objemu, tak aj ceny, sa stráca racionálny a humánny prvok, ktorý ma zabezpečiť individualizáciu konkrétnych rozhodnutí voči konkrétnym ľuďom.
Taktiež samotné profilovanie môže spôsobiť, že dôjde k určitému konzervovaniu existujúcich stereotypov alebo aj k sociálnemu vylúčeniu. Človek tiež môže byť zasadený do určitej kategórie a tým mať obmedzenú možnosť voľby. Môže tým byť podkopaná jeho sloboda voľby, Napríklad u produktov alebo služieb ako knihy, hudba alebo pravidelné zasielanie správ. Môže to viesť k nepresným odhadom, odmietnutiu poskytnutia služby a tovaru, alebo v niektorých prípadoch k nepodloženej diskriminácii. [4]
Z pohľadu zamestnávateľa sa môže profilovanie a automatické rozhodovanie vyskytovať najčastejšie v procese vyhodnocovania výkonu zamestnancov a ich následného odmeňovania, alebo napríklad vyhodnocovania ich prístupu k zákazníkovi a pod.
Práve s ohľadom na vyššie uvedené je podoblasť profilovania a automatizovaného rozhodovania jednou z kľúčových častí novej regulácie v oblasti ochrany osobných údajov.
Treba však aj pri tejto téme poznamenať, že nejde o úplne nový prvok v rámci právnej úpravy ochrany osobných údajov, keď aj v minulosti Smernica upravovala v čl. 15 právo dotknutej osoby "aby nebola závislá na rozhodnutí, ktoré spôsobuje právne účinky týkajúce sa tejto osoby alebo ktoré na ňu významne vplýva a ktoré je založené výhradne na automatizovanom spracovávaní údajov určených na zhodnotenie určitých osobných aspektov, ktoré sa jej týkajú, ako je jeho výkonnosť v práci, dôveryhodnosť, spoľahlivosť, vedenie a iné.“
Niektoré krajiny však túto smernicu neimplementovali spôsobom, ktorým by až na taxatívne výnimky zakázal automatizované rozhodovanie, ale tak, že umožnili po námietke dotknutej osoby správcovi osobných údajov následne vznesenú námietku riešiť (napríklad Veľká Brtiánia).
Pojem profilovanie je definovaný samotným Nariadením v článku 4 odst. 4 ako akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
Profilovanie bude mať teda nasledovné základné pojmové znaky:
- ide o spracovanie osobných údajov automatizovanou formou (teda bez relevantného zásahu ľudským faktorom)
- predmetom spracovania je vyhodnocovanie údajov osobnej povahy u fyzických osôb
Tento proces bude prebiehať v niekoľkých fázach, pričom definícia tých fáz vyplýva z odporúčania Rady Evropy CM/Rec(2010)13:
- zhromažďovanie dát
- automatizovaný rozbor k určeniu korelácií
- použitie korelácií na rozpoznanie charakteristík súčasného, alebo budúceho správania sa osoby
Automatické rozhodovanie je procesom, ktorý je podobným procesom ako profilovanie a tieto dva pojmy sa môžu aj v určitej miere prekrývať. Profilovanie môže byť jedným z prvkov automatizovaného rozhodovania a to či ako jeho vstupný údaj, alebo ako výstup.
Automatizované rozhodovanie môže, ale nemusí byť spojené s profilovaním a jeho základným rozlišovacím znakom je, že ide o formu rozhodovania postavenú výlučne na automatizovanej báze bez ľudského faktora.
Automatizovaná báza bude vyplývať z určitého predtým určeného algoritmu, ktorý bude následne aplikovaný zväčša na väčší objem dát.
Právna úprava v rámci GDPR vychádza z práva subjektu na individualizované rozhodovanie (čl. 22 ods. 1 GDPR). GDPR tak zavádza povinnosť správcu osobných údajov prihliadať na toto právo a okrem stanovených výnimiek sa automatizovanému rozhodovaniu vyhnúť.
Je potrebné poznamenať, že na to, aby išlo o automatizované rozhodovanie, ktoré je relevantné v zmysle právnej úpravy GDPR, musí mať toto rozhodovanie aj relevantný právny účinok, alebo sa musí subjektu relevantným spôsobom dotknúť.
Právnymi účinkami v zmysle právne teórie rozumieme zmenu vznik, alebo zánik právnych povinností. V praxi môže polemiku vyvolať práve tá časť hypotézy tejto právne normy, ktorá stanovuje zákaz automatizovaného rozhodovania aj ak sa toto automatizované rozhodovanie obdobným spôsobom významne dotýka. V tomto prípade možno hovoriť o takmer každom automatizovanom rozhodovaní, keďže každé takéto rozhodovanie sa bude minimálne dotýkať práva subjektu na súkromie, keďže o tomto subjekte tretia osoba zbiera a následne vyhodnocuje jeho osobné údaje.
WP29 vypracovala aj z uvedeného dôvodu vodítko aj k definícii pojmu „obdobným spôsobom“, pričom WP29 uvádza „aby sa spracovanie dát niekoho významne dotýkalo, musí byť jeho účinky viac ako triviálne a musí byť dostatočne rozsiahle alebo závažné, aby stálo za pozornosť." Inými slovami, rozhodnutie musí mať potenciálne významný vplyv na okolnosti súvisiace s dotknutými osobami alebo na ich správanie či výber. V krajnom prípade môže takéto rozhodnutie viesť k vylúčeniu alebo diskriminácii jednotlivcov.
Z pohľadu správcu osobných údajov je potrebné v prípade, ak má záujem spracovávať osobné údaje automatizovaným rozhodovaním a/alebo profilovaním, prihliadať jednak na výnimky zo všeobecného zákazu automatizovaného rozhodovania a zároveň na opatrenia, ktoré je nevyhnutné v týchto prípadoch prijať.
Výnimky zo všeobecného zákazu automatizovaného rozhodovania GDPR definuje nasledovne:
a) v prípade, ak je takéto rozhodovanie nevyhnutné na uzavretie zmluvy medzi subjektmi (napríklad pri hodnotení úverového rizika),
b) ak takéto spracovanie povoľuje príslušná národná legislatíva, alebo právo Európskej únie,
c) ak na takéto spracovanie udelí subjekt výslovný súhlas, pričom v tomto prípade, je potrebné upozorniť na re definíciu pojmu súhlas v zmysle GDPR, nakoľko toto zavádza prísnejšie posudzovanie pojmu súhlas dotknutej osoby a pre tzv. „výslovný“ súhlas zavádza ešte prísnejšie podmienky na jeho získanie, možnosť jeho odvolania a jeho preukazovanie.
Práva dotknutých osôb, ktoré je správca povinný rešpektovať v zmysle GDPR sú:
a) právo na vykonanie ľudského zásahu zo strany správcu,
b) právo vyjadriť svoj názor ohľadne rozhodnutia,
c) právo napadnúť takto vykonané rozhodnutie.
Predmetné práva vyplývajú aj z čl. 12 ods. 2 a 3 GDPR, ktoré stanovujú všeobecné pravidlá uplatňovania tohto Nariadenia a práve tieto odkazujú aj na čl. 22.
V zmysle odôvodnenia Nariadenia je taktiež správca povinný:
a) používať vhodné štatistické a/alebo matematické postupy profilovania,
b) zaviesť organizačné a technické opatrenia, ktoré zabezpečia opravu faktorov, ktoré môžu viesť k nepresnosti spracovania osobných údajov a zároveň zabezpečiť ochranu takto spracovávaných osobných údajov s prihliadnutím na potenciálne riziká.
Taktiež je v zmysle zásady transparentnosti správca povinný:
a) oznámiť subjektom, že dochádza k tomuto typu spracovania osobných údajov,
b) poskytnúť zmysluplné informácie, týkajúce sa príslušného postupu,
c) vysvetliť význam a predpokladané dôsledky spracovania.
Špecifické postavenie ako v rámci celého GDPR tak aj v oblasti profilovania a automatizovaného spracovania majú citlivé osobné údaje, ktoré v rámci automatizovaného rozhodovania a profilovania používať výhradne ak okrem horeuvedených opatrení je k takémuto špecifickému spracúvaniu daný výslovný súhlas a zároveň je takéto spracovanie nevyhnutné pre splnenie dôležitého verejného záujmu definovaného právom Európskej únie, alebo právom členského štátu, ktoré je primerané sledovanému cieľu, dodržuje podstatu práva na ochranu osobných údajov a poskytuje vhodné a konkrétne záruky pre ochranu práv a právom chránených záujmov dotknutých osôb.
Z uvedeného je možné dôjsť k záveru, že v zmysle GDPR je automatizované spracovanie údajov a profilovanie je v zásade zakázané ako také v prípade, ak jeho aplikáciou dochádza k vzniku zmene, alebo zániku práv, alebo sa obdobným spôsobom dotýka dotknutej osoby. GDPR stanovuje špecifické podmienky a výnimky z tohto zákazu. 
[1] (6) GDPR: „Rýchly technologický rozvoj a globalizácia so sebou priniesli nové výzvy v oblasti ochrany osobných údajov. Rozsah získavania a zdieľania a osobných údajov sa výrazne zväčšil. Technológia umožňuje súkromným spoločnostiam a orgánom verejnej moci pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom rozsahu. Fyzické osoby stále viac zverejňujú svoje osobné údaje, a to aj v globálnom meradle. Technológia transformovala hospodársky aj spoločenský život a mala by ďalej uľahčovať voľný tok osobných údajov v rámci Únie a prenos do tretích krajín a medzinárodným organizáciám a súčasne zaručiť vysokú úroveň ochrany osobných údajov.“
[2] Nulíček, M., Donát J., Nonnemann, F., Lichnovský, B., Tomíšek, J.: GDPR Obecné nařízení o ochrane osobních údajů. Praktický komentář. Praha: Wolter Kluwer, 2017, 312 s., ISBN 978-80-7552765-3
[3] Čl. 35 ods. 3 GDPR: Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:
a) systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;
b) spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo
c) systematického monitorovania verejne prístupných miest vo veľkom rozsahu.
[4] Pracovná skupina WP29 Pokyny a vodítka k GDPR [online]. [citované 15.12.2017] dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm
Diskuze k článku ()