Blog, Strana 3

Oprávnený záujem je jedným zo šiestich právnych základov spracúvania osobných údajov podľa GDPR. Je považovaný za najflexibilnejší právny základ, ale jeho použitie je viazané na splnenie konkrétnych podmienok a nie je vhodný pre všetky situácie.

Kedy možno použiť oprávnený záujem

Oprávnený záujem možno použiť, ak sú splnené tieto tri podmienky (tzv. trojstupňový test):

1. Účelový test: Spracúvanie sleduje skutočný, konkrétny a zákonný záujem prevádzkovateľa alebo tretej strany (napr. prevencia podvodov, zabezpečenie IT bezpečnosti, priame marketingové aktivity, administratívne účely, ochrana majetku).
2. Test nevyhnutnosti: Spracúvanie je nevyhnutné na dosiahnutie tohto záujmu a neexistuje menej invazívny spôsob, ako ho dosiahnuť.
3. Vyvažovací test: Záujem prevádzkovateľa neprevažuje nad právami a slobodami dotknutých osôb. Musí sa posúdiť, či by dotknuté osoby spracúvanie rozumne očakávali, či má spracúvanie minimálny dopad na ich súkromie a či by im nespôsobilo neprimeranú ujmu.

Oprávnený záujem je často vhodný, ak:

• použitie údajov je v súlade s očakávaniami dotknutej osoby,
• spracúvanie má minimálny dopad na súkromie,
• spracúvanie je v záujme prevádzkovateľa alebo tretej strany (napr. marketing existujúcim zákazníkom, prevencia podvodov, zabezpečenie siete).

Kedy oprávnený záujem použiť nemožno

Oprávnený záujem nemožno použiť, ak:

• existuje iný vhodnejší právny základ (napr. zákonná povinnosť, zmluva, súhlas),
• spracúvanie by bolo pre dotknutú osobu neočakávané alebo by jej spôsobilo ujmu,
• práva a slobody dotknutej osoby prevažujú nad záujmom prevádzkovateľa,
• ide o spracúvanie citlivých údajov (osobitné kategórie údajov, napr. zdravie, rasa, náboženstvo) – tu je použitie oprávneného záujmu veľmi obmedzené a väčšinou nevhodné,
• spracúvanie je vykonávané verejným orgánom pri plnení jeho úloh ako verejnej moci.

Oprávnený záujem nie je vhodný, ak by dotknuté osoby s vysokou pravdepodobnosťou nesúhlasili, ak by boli o spracúvaní informované, alebo ak by spracúvanie bolo v rozpore s ich očakávaniami.

Ako správne postupovať

• Vykonajte posúdenie oprávneného záujmu (LIA): Dokumentujte účel, nevyhnutnosť a vyváženie záujmov voči právam jednotlivca.
• Transparentnosť: Informujte dotknuté osoby o spracúvaní na základe oprávneného záujmu.
• Rešpektujte práva dotknutých osôb: Umožnite im namietať proti spracúvaniu ich údajov na tomto právnom základe.

Oprávnený záujem možno použiť, ak je spracúvanie v záujme prevádzkovateľa, je nevyhnutné a neprevažuje nad právami dotknutých osôb. Nemožno ho použiť pri spracúvaní citlivých údajov, ak existuje vhodnejší právny základ, alebo ak by spracúvanie bolo pre dotknuté osoby neprimerané či neočakávané.

Súhlas je jedným zo šiestich právnych základov na spracúvanie osobných údajov podľa GDPR. Je vhodné ho použiť najmä vtedy, keď chcete, aby dotknutá osoba výslovne a slobodne súhlasila s konkrétnym účelom spracúvania jej údajov – a zároveň nemáte k dispozícii iný vhodnejší právny základ (napr. zmluva, zákonná povinnosť, oprávnený záujem).

Kedy je vhodné použiť súhlas?

1. Marketingové účely

Ak chcete zasielať newsletter, reklamné e-maily alebo iné marketingové oznámenia, potrebujete od príjemcu výslovný a informovaný súhlas. Súhlas musí byť konkrétny pre daný účel a príjemca ho môže kedykoľvek odvolať.

2. Výskumné účely

Pri zbere osobných údajov na výskumné alebo štatistické účely je vhodné získať explicitný súhlas účastníkov. Musia byť jasne informovaní o účele, rozsahu a potenciálnych rizikách.

3. Spracúvanie citlivých údajov

Ak spracúvate citlivé údaje (napr. o zdraví, rasovom/etnickom pôvode, sexuálnej orientácii), súhlas musí byť výslovný, informovaný a konkrétny.

4. Spracúvanie údajov detí

Pri spracúvaní údajov detí do 16 rokov je potrebný súhlas rodiča alebo zákonného zástupcu.

5. Automatizované rozhodovanie

Ak používate automatizované rozhodovanie alebo profilovanie, je často potrebné získať výslovný súhlas a dotknutú osobu informovať o procese a dôsledkoch.

Kedy nie je vhodné použiť súhlas?

• Ak existuje iný vhodnejší právny základ (napr. plnenie zmluvy, zákonná povinnosť, oprávnený záujem), je lepšie použiť ten.
• Ak nemôžete zabezpečiť skutočne slobodnú voľbu (napr. ak je súhlas podmienkou pre poskytnutie služby a osoba nemá reálnu možnosť odmietnuť).
• Ak je spracúvanie nevyhnutné na výkon verejnej moci alebo splnenie zákonnej povinnosti.

Ako má vyzerať platný súhlas?

• Musí byť slobodne daný, konkrétny, informovaný a jednoznačný (napr. zaškrtnutím políčka, podpisom).
• Osoba musí byť jasne informovaná o účele spracúvania a o možnosti svoj súhlas kedykoľvek odvolať.
• Súhlas nesmie byť vopred zaškrtnutý alebo podmienkou pre využitie služby, ak to nie je nevyhnutné.

Súhlas je vhodné použiť najmä pri marketingu, výskume, spracúvaní citlivých údajov, údajov detí a pri automatizovanom rozhodovaní. Vždy musí byť slobodný, konkrétny, informovaný a odvolateľný. Ak je k dispozícii iný právny základ, je často vhodnejšie použiť ten.

Kybernetická bezpečnosť je v súčasnosti jedným z najdôležitejších pilierov ochrany organizácií, štátov aj jednotlivcov. S rastúcou digitalizáciou, rozvojom cloudových služieb, internetu vecí (IoT) a umelej inteligencie narastá aj riziko kybernetických útokov, ktoré môžu mať vážne finančné, reputačné aj spoločenské dôsledky.

Základy kybernetickej bezpečnosti

Kybernetická bezpečnosť zahŕňa ochranu systémov, sietí a dát pred neoprávneným prístupom, zneužitím, poškodením alebo zničením. Kľúčové princípy zahŕňajú:

• Identifikáciu a ochranu dát: Citlivé informácie je potrebné identifikovať a chrániť šifrovaním, správou prístupov a monitorovaním aktivít.
• Prevenciu a detekciu: Opatrenia na predchádzanie útokom (firewally, antivírusy, školenia) a schopnosť rýchlo odhaliť a reagovať na incidenty.
• Odpoveď a obnova: Pripravenosť na rýchlu reakciu pri útoku a schopnosť obnoviť normálnu prevádzku.

Vplyv kybernetickej bezpečnosti

• Podniková bezpečnosť: Úniky dát môžu firmám spôsobiť stratu dôvery zákazníkov, pokuty a prerušenie prevádzky. Priemerná cena dátového úniku dosahuje milióny dolárov a môže viesť až k zániku firmy.
• Osobná bezpečnosť: Jednotlivci čelia riziku krádeže identity, finančných strát a zneužitia osobných údajov.
• Národná bezpečnosť: Kybernetické útoky môžu ochromiť kritickú infraštruktúru štátov (energetika, zdravotníctvo, doprava) a vyžadujú koordinovanú obranu medzi vládami a súkromným sektorom.

Najlepšie postupy v kybernetickej bezpečnosti

• Vzdelávanie a tréning: Ľudský faktor je najčastejšou príčinou incidentov. Pravidelné školenia zamestnancov a budovanie povedomia o hrozbách výrazne znižujú riziko.
• Aktualizácie a záplaty: Pravidelné aktualizovanie softvéru a systémov eliminuje známe zraniteľnosti.
• Zálohovanie dát: Pravidelné zálohy umožňujú obnovu dát po útoku alebo havárii.
• Monitorovanie a analýza: Kontinuálne sledovanie systémov a analýza bezpečnostných udalostí umožňuje rýchlu reakciu na incidenty.
• Silné heslá a viacfaktorová autentifikácia: Komplexné heslá a dvojfaktorová autentifikácia výrazne zvyšujú ochranu účtov.

Budúcnosť kybernetickej bezpečnosti

Vývoj technológií ako umelá inteligencia, strojové učenie a kvantové výpočty prinesie nové možnosti ochrany, ale aj nové typy útokov. Kybernetická bezpečnosť sa bude musieť neustále prispôsobovať meniacim sa hrozbám, ako sú AI-generované útoky, zraniteľnosti v IoT zariadeniach či štátom sponzorované kyberútoky.

Kybernetická bezpečnosť je nevyhnutnou súčasťou moderného digitálneho sveta. Chráni dáta, infraštruktúru a dôveru zákazníkov aj občanov. Investície do technológií, vzdelávania a najlepších postupov sú kľúčové pre minimalizáciu rizík a budovanie odolného digitálneho prostredia pre firmy, štáty aj jednotlivcov.

Informačná povinnosť je základnou požiadavkou GDPR, ktorá zabezpečuje transparentnosť spracúvania osobných údajov. Každá organizácia, ktorá spracúva osobné údaje, je povinná informovať dotknuté osoby o tom, ako a prečo ich údaje spracúva – a to ešte pred začatím samotného spracúvania.

Aké informácie musia byť poskytnuté?

Podľa článkov 13 a 14 GDPR musí informačná povinnosť obsahovať najmä tieto informácie:

• Totožnosť a kontaktné údaje prevádzkovateľa (a prípadne zástupcu alebo zodpovednej osoby/DPO)
• Účel a právny základ spracúvania osobných údajov
• Oprávnené záujmy (ak je právnym základom oprávnený záujem)
• Príjemcovia alebo kategórie príjemcov osobných údajov
• Prenos údajov do tretích krajín alebo medzinárodných organizácií (a informácie o zárukách, ak sa prenos uskutočňuje)
• Obdobie uchovávania osobných údajov alebo kritériá na jeho určenie
• Práva dotknutých osôb (napr. právo na prístup, opravu, výmaz, obmedzenie spracúvania, prenosnosť údajov, právo namietať)
• Právo na odvolanie súhlasu (ak je právnym základom súhlas)
• Právo podať sťažnosť dozornému orgánu
• Zákonná alebo zmluvná požiadavka na poskytnutie údajov (či je poskytnutie povinné a aké sú dôsledky neposkytnutia)
• Existencia automatizovaného rozhodovania vrátane profilovania (ak sa vykonáva)

Kedy a ako poskytovať informácie?

• Priamy zber údajov: Informácie musia byť poskytnuté najneskôr v čase získavania osobných údajov (napríklad pri registrácii, vyplnení formulára).
• Nepriamy zber údajov (od tretej strany): Informácie musia byť poskytnuté v primeranej lehote, najneskôr do jedného mesiaca, alebo pri prvom kontakte s dotknutou osobou, prípadne pri prvom poskytnutí údajov ďalšiemu príjemcovi.

Informácie musia byť poskytnuté stručne, transparentne, zrozumiteľne a ľahko dostupným spôsobom, v jazyku zrozumiteľnom cieľovej skupine (napríklad aj deťom).

Ako zabezpečiť súlad s informačnou povinnosťou?

• Aktualizujte zásady ochrany osobných údajov a ďalšie informačné materiály, aby obsahovali všetky povinné informácie.
• Zverejnite informácie na webovej stránke alebo ich poskytnite priamo pri zbere údajov (napr. v papierovom alebo elektronickom formulári).
• Používajte jasný a jednoduchý jazyk a zabezpečte, aby informácie boli ľahko dostupné a pochopiteľné pre všetky dotknuté osoby.
• Pravidelne revidujte a aktualizujte informačné povinnosti podľa zmien v procesoch alebo legislatíve.

Informačná povinnosť podľa GDPR je kľúčová pre transparentnosť a dôveru. Organizácie musia dotknuté osoby jasne a včas informovať o všetkých podstatných aspektoch spracúvania ich osobných údajov, a to spôsobom, ktorý je zrozumiteľný a ľahko dostupný.