NAŠE PUBLIKÁCIE

Appka “Zostaň zdravý” a GDPR

Slovenskí lekári a informatici vyvinuli aplikáciu „Zostaň zdravý“, ktorá má na základe dobrovoľnej registrácie upozorňovať užívateľov na to, že sa ocitli vo vzdialenosti 50 m od osoby, ktorej bol zistený nový coronavírus. Dáta poskytnú mobilní operátori.

Informácia o aplikácii:

https://techbox.dennikn.sk/aplikacia-zostan-zdravy-vas-upozorni-na-potvrdenie-koronavirusu-vo-vasom-okoli/

Za bežných okolností by takejto aplikácii, ktorá bude upozorňovať na nosičov určitého ochorenia rozhodne vehementne bránilo Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej ako „GDPR“).

Údaje o zdravotnom stave sú podľa GDPR osobitne chránené a iste by za bežných okolností neprešlo, aby Vás mobilný telefón informoval, že vo Vašom okolí je napríklad osoba chorá na rakovinu alebo človek s iným ochorením, hoc aj prenosným.

Pre všetkej úcte k tvorcom aplikácie, trocha tiež pochybujem, či sú skutočne údaje v appke „anonymné“. Anonymné sú také osobné údaje, ktoré už nie je možné spätne priradiť k osobe, ku ktorej patrili a tiež neumožnia žiadnu osobu identifikovať.

V prípade appky „Zostaň zdravý“ by to znamenalo, že algoritmus, ktorý priradí určitej osobe kód následne „zahodí kľúč“ podľa ktorého kód vytvoril, čiže nielenže ho neposkytne appke, ale ho zlikviduje, zničí, takže ani sám algoritmus, ktorý kód vytvoril nebude reverzne schopný existujúci kód priradiť pôvodnému nositeľovi. No, povedzme, že je to tak (neviem).

Potom stále ostáva problém „identifikovateľnosti“ dotknutej osoby. Ak appka „zameria“ nositeľa ochorenia na 50m, v odľahlých oblastiach s malým počtom obydlí alebo v prírode nebude až také problematické identifikovať o ktorú osobu ide, ak sa tam zdržuje osoba jedna alebo ich je tam len zopár.

Je to ale problém podľa GPDR? Nie, nemusí byť.  Lepšie povedané, všeobecne nemusí byť, ale u nás možno áno. Prečo?

Jednoducho preto, že v prípade epidémie idú bežné princípy bokom a uplatní sa princíp verejného záujmu, ktorý charakterizuje bod 46 Preambuly GDPR.

Bod 46 Preambuly GDPR:

„Spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitom záujme inej fyzickej osoby by sa malo uskutočniť v zásade len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.“

Okej, všeobecný princíp by sme mali, ako ho upravuje samotná normatívna časť GDPR?

Čl. 9 ods. 2 písm. i) GDPR stanovuje výnimku zo všeobecného zákazu spracúvania osobných údajov, týkajúcich sa zdravia takto:

Zákaz sa neuplatní, ak je spracúvanie nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo

Nuž, otázka, ktorá by sa teraz mala položiť, hoci ju kladiem veľmi nerada, lebo appke „Zostaň zdravý“ osobne fandím je: sú v prípade tejto appky splnené podmienky výnimky podľa čl. 9 ods. 2 písm. i) GDPR?

Nepožaduje sa náhodou, aby takéto použitie údajov o zdraví malo okrem dôvodu verejného záujmu aj právny základ v práve Únie alebo v práve členského štátu?

A ak taký právny základ treba, existuje v Slovenskej republike taký právny základ? Máme dnes právny predpis, ktorý by určoval, ako funguje výnimka podľa čl. 9 ods. 2 písm. i) GDPR – teda použitie údajov pre verejný záujem v oblasti verejného zdravia?

Neviem, nehľadala som ho teraz narýchlo v „zdravotníckych predpisoch“. Logicky by ale takéto pravidlá pre všetky prípady, kde GDPR odkazuje na právo členského štátu, patrili do nášho slávneho zákona 18/2018 Z.z. o ochrane osobných údajov. Pravda, keby išlo o skutočný zákon a nie o paškvil, ktorý doslovne opísal nariadenie (prekvapko pre náš úrad: nariadenie platí aj bez neho). V tomto zákone sme mali riešiť práve a jedine tie otázky, ktoré nariadenie GDPR ponechalo na členské štáty.

Je teda v ňom niečo o podmienkach použitia údajov o zdraví vo verejnom záujme?

Nuž ja som v ňom nič také nenašla, pokiaľ to tam tvorcovia nejako umne nezašifrovali.

Tak čo teraz? Nebude musieť spustenie appky náhodou počkať, až kým napochytro nejaké také právne základy vyrobíme? (Napríklad v zrýchlenom legislatívnom konaní, keďže až teraz ide o typický prípad, ako a kedy by sa malo také konanie používať.)

Obávam sa, že aj v tomto prípade môže ísť o ďalšiu z nášľapných mín, ktoré po sebe zdevastovaná legislatíva a verejná správa po 12 rokoch Smeru nechala.

Výhrada: Neosobujem si právo, že toto moje zamyslenie je nejaká nepriestrelná analýza, za ktorú by si tá správna advokátska kancelária vypýtala od štátu zopár desiatok tisíc. Otázky nezodpovedám, len ich kladiem. Stručne – ide o moje obavy, spísané za 45 minút, počas ktorých som moju uzemnenému školákovi pustila telku, viac času som si medzi dezinfikovaním, varením a vybavovaním pracovných emailov nenašla.

Tak len bodaj by som sa mýlila a bezproblémovému spusteniu appky „Zostaň zdravý“ nestálo právne nič v ceste.

Ostaňme zdraví. A dúfajme v najlepšie.

 

20.3.2020

Zápis konečného užívateľa výhod do obchodného registra – postup krok za krokom

V mnohých článkoch ste sa mohli v poslednej dobe dočítať o povinnosti, ktorú majú osoby zapísané v obchodnom registri – doplniť do obchodného registra informácie o konečnom užívateľovi výhod.

V tomto článku neriešime podrobnosti o tom, prečo a koho je potrebné zapísať, ani čo sa stane, ak to včas nespravíte (no dobre,  predsa len zmieňme maximálnu pokutu do 3310 EUR).

Tiež nebudeme hovoriť o rozdiele medzi zápisom konečného užívateľa výhod do osobitného registra partnerov verejného sektora  podľa osobitného zákona (teda do „RPVS“), čo je povinnosť, ktorá  sa týka len niektorých spoločností a zápisom konečného užívateľa do obchodného registra, ktorý sa týka (takmer) každej spoločnosti.

Pokiaľ máte o tom, koho a kam zapísať nejaké pochybnosti, radi Vám pomôžeme. Naše kontakty nájdete na konci článku.

Zameriame sa na dve základné otázky:

  1. Dokedy je spoločnosť povinná konečného užívateľa výhod (ďalej mu budeme hovoriť „KÚV“) zapísať do obchodného registra?
  2. Ako presne sa zapisuje KÚV do obchodného registra?

Odpoveď na prvú otázku je jednoduchá – do 31.12.2019.

A ako to urobiť?

Máte dve možnosti. Prvá je ľahšia – môžete sa obrátiť na právnika, ktorý Vám s tým za poplatok pomôže.  Napríklad advokátska kancelária, ktorá pripravila tento článok, to rada spraví za Vás za 100 eurový poplatok.

Druhá možnosť je pre tých, čo majú radi výzvy. V tomto článku Vám dáme DYI návod ako to môžete urobiť sami, od svojho počítača, pomocou elektronického formulára a portálu slovensko.sk. Prevedieme vás jednotlivými krokmi tohto procesu.

Predpokladom na to, aby ste to zvládli však je, aby ste mali aktivovaný občiansky preukaz s čipom, v počítači stiahnutý softvér umožňujúci vytvorenie elektronického podpisu a nemali panický strach z portálu slovensko.sk.

Pripravení? Tak poďme na to. […]

TEST OPRÁVNENÉHO ZÁUJMU – VZOR A POZNÁMKY

Od účinnosti Všeobecného nariadenia o ochrane osobných údajov (“GDPR“) už uplynulo 5 mesiacov, ale niektoré jeho pojmy sú stále pomerne “mystické”. Napríklad taký test proporcionality (alebo vyváženosti) oprávneného záujmu. Okrem testov, ktoré som sama pre klientov vypracovala, som stále nevidela žiaden iný zmysluplný test oprávneného záujmu, a to napriek tomu, že usmernenie Európskeho výboru pre osobné údaje o transparentnosti odporúča tieto testy, alebo aspoň ich najdôležitejšie časti, zverejniť. Šíria sa o nich rôzne povery a zaručené správy, ako napríklad, že testy musia mať iba veľké organizácie a malých sa netýka. To nie je pravda. Test oprávneného záujmu je potrebný vždy vtedy, ak využívate ako právny základ spracúvania osobných údajov oprávnený záujem. Mal by sa vyhotoviť dokonca aj vtedy, ak ide o oprávnený záujem výslovne upravený v GDPR, akým je napríklad priamy marketing.

Prečo je test oprávneného záujmu vôbec potrebný? Potreba posúdenia, či je oprávnený záujem skutočne dostatočný a legitímny, vychádza zo samotného znenia čl. 6 ods. 1 písm. f) GDPR, ktorý hovorí o tom, že právnym základom spracúvania je, ak:

f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby,ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Ak chcete teda použiť ako právny základ spracúvania oprávnený záujem, musíte sa teda najskôr uistiť, že nejde o prípad, kedy by nad oprávnenými záujmami prevažovali záujmy alebo základné práva a slobody dotknutej osoby.

[…]

Protibyrokratický zákon a GDPR

Novelou živnostenského zákona tzv. „zákonom proti byrokracii“, inak takto aj zákonom č. 177/2018 Z.z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy a o zmene a doplnení niektorých zákonov sa zaviedla od 1.9.2018 povinnosť ohlasovateľa živnosti priložiť k ohláseniu „súhlas so spracovaním osobných údajov.“ Tu nájdete aj „tlačivko“ tohto súhlasu, ktoré bude po novom potrebovať: http://www.minv.sk/?zivnostenske-podnikanie.

Zákon proti byrokracii správne uvádza, že obsahuje “niektoré opatrenia” na zníženie byrokracie. Obsahuje totiž aj “niektoré opatenia” na jej nezmyselné zvýšenie, ako napríklad túto novú povinnosť.

Požadovať totiž zákonom, aby niekto udeľoval štátu súhlas na spracovanie osobných údajov pri úkonoch, kde štát vykonáva verejnú moc, totiž nie je iba byrokracia. Je to aj diletantizmus najvyššieho stupňa, požadujúci nepotrebný a nezmyselný doklad. Je to stelesnenie zbytočnej a škodlivej nadpráce štátnej moci. Nikomu totiž nemôže byť uložené zákonom, aby poskytoval súhlas so spracovaním osobných údajov.

Súhlas, podľa Všeobecného nariadenia o ochrane osobných údajov (toľko premieľané GDRP), totiž musí byť slobodný, informovaný a musí sa dať kedykoľvek odvolať. Požadovať preto “povinný” súhlas zákonom, aby ste vôbec mohli podnikať, je natoľko absurdné, že by to Európskej komisii zrejme odpálilo dekel.

GDPR skutočne vyžaduje aby každý, kto spracúva osobné údaje, orgány verejnej moci nevynímajúc, preukázal na ich spracovanie právny základ. Lenže pozor, GDPR nepozná jediný právny základ, súhlas, ako zrejme naši zákonodarcovia predpokladajú. Pozná právnych základov šesť. A jedným z nich je viete čo? Plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Orgán verejnej moci predsa nepotrebuje žiaden súhlas na to, aby pri výkone svojej kompetencie  spracúval informácie, ktoré na to potrebuje. A ak by to nestačilo, GDPR pozná aj plnenie zákonnej povinnosti ako ďalší právny základ.

Ak má teda štátna moc spracúvať osobné údaje, potom jej stačí upraviť si pri stanovení svojej právomoci aké údaje a na aký účel vyžaduje. Ak by chcela byť dokonalá, spomenie v zákone aj to, po akú dobu ich bude uchovávať.

Ale novelizovať zákon a požadovať ním predloženie povinného súhlasu so spracovaním osobných údajov?

Ako to bude pokračovať? Budeme dávať súhlas aj daňovému úradu, aby preskúmal daňové priznanie na to, aby nám vyrubil daň? A keď súhlas nedáme alebo odvoláme? Daň nebude? A čo takto súhlas s udelením trestu odňatia slobody? Súhlas s vedením záznamov o trvalom pobyte? Alebo súhlas s pridelením rodného čísla?

Dnes som sa pokúšala zistiť, v ktorej fáze legislatívneho procesu táto múdrosť do zákona prekĺzla. Verila som, že to bola nejaká aktivita “expertného poslanca” v rámci parlamentného legislatívneho procesu. So zhrozením som zistila, že sa povinnosť nachádza už v prvom v návrhu zákona, ako je dnes dostupný na stránke NRSR https://www.nrsr.sk/web/Default.aspx?sid=zakony/zakon&MasterID=6709. To nasvedčuje tomu, že ju navrhlo samotné ministerstvo, čo zasa vypovedá o kvalite legislatívnej práce. Je pravdou, že v dôvodovej správe jej odôvodnenie chýba, čiže zrejme ide o prílepok na poslednú chvíľu, inšpirovaný možno nejakým „štátnym“ expertom v stave akútnej paniky z GDPR, stále však, ide o súčasť vládneho zákona.

Bolo by to aj na smiech, keby to nebolo smutné  a na porazenie. Teraz totiž musí každý ohlasovateľ živnosti prikladať  k ohláseniu papier, ktorý nielen, že nie je potrebný, ale je výsmechom samotnému názvu zákona, ktorým bol zavedený. Protibyrokratický zákon po slovensky.

 

OPRÁVNENÝ ZÁUJEM PODĽA GDPR

Presne o 100 dní, teda 25.5.2018 vstupuje do účinnosti Všeobecné nariadenie o ochrane osobných údajov známejšie ako „General Data Protection Regulation“ , čiže GDPR[1].

Tento článok nemá za účel obsiahnuť všetko, čo by bolo dobré vedieť o GDPR. Zameriava sa na jednu vybranú otázku: Aké sú podmienky spracúvania osobných údajov na základe oprávneného záujmu prevádzkovateľa alebo tretej osoby?

Vychádzame v ňom zo samotného znenia GDPR, diskusie v odborných publikáciách a z užitočnej publikácie vydanej Data Protection Network, ktorá sa volá „Legitimate Interest Guidance“ a je dostupná po registrácii na tejto stránke: https://www.dpnetwork.org.uk/dpn-legitimate-interests-guidance/. Upozorňujeme, že Data Protection Network je súkromná asociácia a nie verejný orgán oprávnený vykladať právne predpisy, nemožno teda ani ich názory ani tento článok brať ako záväzný výklad právnych predpisov.

[…]

Prvé rozhodnutia podnikateľa – spoločnosť či živnosť?

Na začiatku máte nápad. Možno sa tiež chcete oslobodiť od ťažoby novodobého otrokárstva, mašinérie korporácií, zvlčilosti kapitalizmu, v ktorom nie ste sami kapitalistami. Alebo inak – dokážete si svoj čas zorganizovať aj lepšie, ako cvakať kartu od 8 do 5.  Alebo do 7. Alebo do 10. Alebo do kedy sa to dnes vlastne patrí pracovať.

A možno, že ste začali už dávno a vaše pôvodné hobby sa rozrastá a začína byť zaujímavé aj z hľadiska príjmov.

Jednoducho, rozhodnete sa stať sa profíkom, podnikateľom. Živiť sa „vlastnou hlavou“. Alebo vlastnými rukami.

Keď už ste si prešli cez všetky fázy rozhodovania, prekonali strach a obavy z budúcnosti, čaká vás ešte jedno rozhodnutie. Ako začať? Ako to všetko sformalizovať? Chcem byť živnostník? Založím si spoločnosť? Alebo nepotrebujem ani jedno z toho? […]