Aj tohtoročný 28. január bol pamätným dňom zdôrazňujúcim dôležitosť ochrany osobných údajov. Pri tejto príležitosti sme sa pozreli na presah ochrany osobných údajov do technologických odvetví, v ktorých bol v roku 2023 zaujímavý posun, ako aj na plán kontrol Úradu na ochranu osobných údajov na rok 2024.
Umelá inteligencia
Finalizujúce diskusie k Aktu o umelej inteligencii sa do značnej miery dotýkajú aj ochrany osobných údajov. Čoraz viac orgánov verejnej moci používa alebo plánuje používať technológiu rozpoznávania tváre postavenú na spracúvaní biometrických údajov a využívajúcej prvky umelej inteligencie alebo strojového učenia.
Takéto rozoznávanie tvárí je náchylné na zásahy do základných práv – aj nad rámec práva na ochranu osobných údajov – čo môže mať vplyv na našu sociálnu, demokratickú a politickú stabilitu. V tejto súvislosti prijal Európsky výbor pre ochranu údajov (EDPB) Usmernenie o používaní technológie na rozpoznávanie tváre v oblasti presadzovania práva, v ktorom sa, okrem iného, vyjadril práve k používaniu systémov diaľkovej biometrickej identifikácie v reálnom čase a vo verejne prístupných priestoroch.
Podľa EDPB musia byť pri zavádzaní systémov diaľkovej biometrickej identifikácie v reálnom čase legislatívne opatrenia nastavené špecificky na dosiahnutie konkrétnych legitímnych cieľov. Cieľ všeobecného záujmu, nech je akokoľvek zásadný, nebude sám o sebe zdôvodňovať obmedzenie základných práva.
Bude zaujímavé sledovať tendencie jednotlivých štátov EÚ pri využívaní a odôvodnení využívania nástrojov umelej inteligencie v oblasti rozpoznávania tváre a biometrickej identifikácie.
Automobilový priemysel
V oblasti automotive vydal Súdny dvor EÚ rozhodnutie v súvislosti s poskytovaním prístupu k informáciám o opravách a údržbe motorových vozidiel, v ktorom sa zaoberal povinnosťou automobilových výrobcov poskytnúť nezávislým prevádzkovateľom (medzi ktorých patria autorizovaní predajcovia, opravovne automobilov alebo prevádzkovatelia kontrolných a skúšobných služieb) identifikačné čísla vozidla (VIN).
Súdny dvor Európskej únie potvrdil, že výrobcovia automobilov majú zákonnú povinnosť sprístupniť VIN vozidiel, ktoré vyrábajú, nezávislým prevádzkovateľom služieb. Títo budú následne považovaní za prevádzkovateľov osobných údajov[1] v zmysle Nariadenia GDPR.
Okrem rozhodnutia vo veci samej Súdny dvor Európskej únie konštatoval, že VIN číslo ako také nie je osobný údaj a stáva sa ním až vtedy, keď niekto, kto k nemu má prístup, môže na základe neho identifikovať vlastníka vozidla (fyzickú osobu).
Sociálne siete
EDPB bol v minulom roku aktívny aj vo vzťahu ku sociálnym sieťam. Tieto aktivity sa prejavili v prijatom Usmernení o klamlivých dizajnových vzoroch v rozhraniach platforiem sociálnych médií: Ako ich rozpoznať a vyhnúť sa im.Usmernenie cieli nie len na tvorcov, ale aj používateľov platforiem sociálnych sietí a ponúka know-how ako sa vyhnúť klamlivým dizajnovým vzorom (deceptive design patterns). Cieľom klamlivých dizajnových vzorov platforiem sociálnych médií je viesť používateľov k tomu, aby robili neochotné, neúmyselné a potencionálne škodlivé rozhodnutia týkajúce sa ich osobných údajov.
Usmernenie poskytuje aj praktický návod pre používateľov sociálnych sietí pri ochrane ich práv. Obsahuje praktické príklady klamlivých dizajnových vzorov, ktorými dochádza k porušovaniu GDPR od založenia si účtu, až po pozastavenie účtu alebo výmaz osobných údajov zo sociálnej siete.
Zdravotníctvo
V oblasti zdravotníctva sa Súdny dvor EÚ venoval otázke práva na bezplatné získanie kópie lekárskych záznamov. Podľa Súdneho dvora EÚ majú pacienti právo získať bezodplatne úplnú kópiu dokumentov obsiahnutých v lekárskom zázname, ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akejkoľvek poskytnutej terapie alebo zákrokov na nej uskutočnených.
Zároveň Súdny dvor EÚ podotkol, že štáty nemôžu prijať vnútroštátnu úpravu, ktorej cieľom je ochrana ekonomických záujmov prevádzkovateľov osobných údajov uhrádzaním nákladov na prvú kópiu osobných údajov dotknutou osobou.
Plán kontrol na rok 2024
Záverom stojí za zmienku nový plán kontrol na rok 2024 Úradu na ochranu osobných údajov Slovenskej republiky. Úrad zverejnil konkrétne kontrolované subjekty pre rok 2024, ktorými sú (i) Ministerstvo zahraničných vecí a európskych záležitostí Slovenskej republiky - Národná časť vízového informačného systému (zastupiteľský úrad SR); (ii) Ministerstvo vnútra Slovenskej republiky - Národná časť Schengenského informačného systému, Národná časť Vízového informačného systému a Automatizovaný európsky systém identifikácie odtlačkov prstov (Eurodac).
V súkromnom sektore sa plánované kontroly dotknú aj podnikateľov a spoločností so zameraním na:
- osoby, ktoré pravidelne alebo príležitostne vstupujú do priestorov základných a stredných škôl;
- osoby, ktoré využívajú služby zdieľanej mobility (bicykle a kolobežky);
- užívateľov osobných motorových vozidiel (predaj, záručné a pozáručné servisné prehliadky);
- osobné údaje získavané v rámci vernostných programov;
- účel elektronickej rezervácie termínu návštevy u lekára a elektronickej komunikácie s lekárom.
Pár slov na záver
Ochrana osobných údajov sa od platnosti Nariadenia GDPR teší nemalej pozornosti, ktorá sa prejavuje zvyšujúcim sa množstvom kontrol, ale aj tlakom na zabezpečovanie súladu a ochrany osobných údajov aj v novo-rozvíjajúcich sa oblastiach. O novinkách ako aj našich skúsenostiach a najnovších požiadavkách na súlad s právnou úpravou ochrany osobných údajov Vás budeme aj naďalej informovať. Zároveň sa na nás neváhajte obrátiť ak budete riešiť akékoľvek otázky z oblasti ochrany osobných údajov alebo dát.
- [1] – Článok 4 ods. 7 Nariadenia GDPR: „prevádzkovateľ" je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.