EURÓPSKA KOMISIA

V Bruseli12. 9. 2018

COM(2018) 638 final

Slobodné a spravodlivé voľby

USMERŇOVACÍ DOKUMENT

Usmernenie Komisie o uplatňovaní práva Únie v oblasti ochrany údajov v kontexte



volieb




Príspevok Európskej komisie k zasadnutiu lídrov



19. - 20. septembra 2018 v Salzburgu

Usmernenie Komisie o uplatňovaní práva Únie v oblasti ochrany údajov v kontexte volieb

Základom demokratického procesu je spojenie s voličmi. Politické strany neustále prispôsobujú volebnú komunikáciu publiku a zisťujú jeho konkrétne záujmy. Pre aktérov zapojených do volieb je preto prirodzené skúmať možnosti, ako využívať údaje na získavanie hlasov. Rozšírením digitálnych nástrojov a online platforiem sa vytvorilo veľa nových možností pre zapájanie ľudí do politickej diskusie.

Mikrozacielenie voličov založené na nezákonnom spracúvaní osobných údajov, ako sme boli svedkami v prípade odhalení ohľadne spoločnosti Cambridge Analytica, má však inú podstatu. Ilustruje, s akými výzvami sa spájajú moderné technológie, ale takisto poukazuje na osobitný význam ochrany údajov v kontexte volieb. Stal sa kľúčovou otázkou nielen pre jednotlivcov, ale aj pre fungovanie našich demokracií, pretože vážne ohrozuje spravodlivý demokratický volebný proces a môže narušiť otvorenú diskusiu, spravodlivosť a transparentnosť, ktoré sú v demokracii zásadné. Komisia sa domnieva, že je nevyhnutné tento problém riešiť, aby sa obnovila dôvera verejnosti v spravodlivý volebný proces.

V prvých správach Úradu pre ochranu údajov Spojeného kráľovstva (Úrad komisára pre informácie – ICO) o používaní analýzy údajov v politických kampaniach 1 a v stanovisku európskeho dozorného úradníka pre ochranu údajov k online manipulácii a osobným údajom 2 sa potvrdilo, že v kontexte volieb narastá vplyv mikrozacielenia, pôvodne vyvinutého na obchodné účely.

Problémom ochrany údajov v kontexte volieb sa zaoberali viaceré orgány pre ochranu údajov 3 .

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (všeobecné nariadenie o ochrane údajov) 4 , ktoré sa stalo priamo uplatniteľné v celej Únii 25. mája 2018, poskytuje Únii potrebné nástroje na riešenie prípadov nezákonného používania osobných údajov v kontexte volieb). Etický priebeh demokratických politík umožní chrániť len dôsledné a jednotné uplatňovanie týchto pravidiel. Keďže v kontexte európskych volieb sa tieto pravidlá po prvýkrát uplatnia pri príležitosti nadchádzajúcich volieb do Európskeho parlamentu, je dôležité, aby boli zrozumiteľné pre aktérov zapojených do volebného procesu, ako sú vnútroštátne volebné orgány, politické strany, sprostredkovatelia údajov a dátoví analytici, platformy pre sociálne média a online reklamné siete. Cieľom tohto usmernenia je preto zdôrazniť príslušné povinnosti týkajúce sa ochrany údajov v kontexte volieb. Vnútroštátne orgány pre ochranu údajov ako subjekty zodpovedné za presadzovanie všeobecného nariadenia o ochrane údajov musia naplno využiť svoje posilnené právomoci na riešenie možných porušení tohto nariadenia, a to najmä tých, ktoré súvisia s mikrozacielením voličov.

1.Rámec ochrany údajov v Únii

Ochrana osobných údajov je základným právom, ktoré je zakotvené v Charte základných práv Európskej únie (článok 8) a v zmluvách (článok 16 ZFEÚ). Vo všeobecnom nariadení o ochrane údajov sa zdôrazňuje rámec ochrany údajov, vďaka ktorému bude Únia v budúcnosti lepšie vybavená na riešenie prípadov zneužitia osobných údajov a aktéri budú niesť väčšiu zodpovednosť za to, ako nakladajú s osobnými údajmi.

Jednotlivci v Únii tak získavajú ďalšie a silnejšie práva, ktoré obzvlášť zavážia v kontexte volieb. Režim ochrany údajov, ktorý existoval v Únii posledných 20 rokov, zlyhával najmä z dôvodov rozdielneho uplatňovania pravidiel medzi členskými štátmi, nedostatku formalizovaných mechanizmov spolupráce medzi vnútroštátnymi orgánmi pre ochranu údajov a obmedzených právomocí týchto orgánov v oblasti presadzovania práva. Vo všeobecnom nariadení o ochrane údajov sa tieto nedostatky riešia: vychádzajúc z osvedčených zásad ochrany údajov sa zjednocujú kľúčové pojmy, ako napríklad súhlas, posilňujú sa práva jednotlivcov na informácie o spracúvaní ich údajov, objasňujú sa podmienky, za ktorých môžu byť osobné údaje ďalej postúpené, zavádzajú sa pravidlá týkajúce sa porušenia ochrany osobných údajov, zriaďuje sa mechanizmus spolupráce medzi orgánmi pre ochranu údajov v cezhraničných prípadoch a posilňujú sa ich právomoci v oblasti presadzovania práva. V prípade porušenia pravidiel EÚ v oblasti ochrany údajov majú orgány pre ochranu údajov právomoc viesť vyšetrovanie (napr. prikázať sprístupnenie informácií, vykonať kontroly v priestoroch prevádzkovateľov a sprostredkovateľov) a napraviť správanie (napr. vydať napomenutie alebo pokarhanie, alebo nariadiť dočasné alebo trvalé pozastavenie spracúvania). Takisto majú právomoc udeliť pokuty do výšky 20 miliónov eur alebo v prípade spoločnosti do výšky 4 % jej celosvetového obratu 5 . Orgány pre ochranu údajov zohľadnia pri rozhodovaní o udelení pokút a ich výškach okolnosti konkrétneho prípadu a faktory, ako sú povaha, rozsah a účel spracovania, počet dotknutých osôb a výška škody, ktorú utrpeli 6 . V kontexte volieb je pravdepodobné, že závažnosť porušenia a počet dotknutých osôb budú vysoké. Najmä vzhľadom na dôležitosť otázky dôvery občanov v demokratický proces to môže viesť k udeleniu vysokých pokút.

Novozriadený Európsky výbor pre ochranu údajov, ktorý združuje všetky vnútroštátne orgány pre ochranu údajov, ako aj Európskeho dozorného úradníka pre ochranu údajov, zohráva kľúčovú úlohu pri uplatňovaní všeobecného nariadenia o ochrane údajov vydávaním usmernení, odporúčaní a najlepších postupov 7 . Ako subjekty zodpovedné za presadzovanie všeobecného nariadenia o ochrane údajov a priame kontakty so zainteresovanými stranami sú vnútroštátne orgány pre ochranu údajov vo vhodnej pozícii na to, aby pri výklade nariadenia poskytovali dodatočnú právnu istotu. Komisia túto ich prácu aktívne podporuje.

Rámec ochrany údajov v Únii dopĺňa smernica o súkromí a elektronických komunikáciách (smernica Európskeho parlamentu a Rady 2002/58/ES 8 ), ktorá je v kontexte volieb dôležitá, lebo v jej rozsahu sú zahrnuté pravidlá týkajúce sa elektronického zasielania nevyžiadaných správ, a to aj na účely priameho marketingu. V smernici o súkromí a elektronických komunikáciách sa stanovujú pravidlá týkajúce sa ukladania informácií a prístupu k informáciám už uloženým v koncových zariadeniach ako smartfón alebo počítač, napríklad k súborom cookies, ktoré sa môžu využívať na sledovanie správania používateľa na internete. V súčasnosti sa rokuje o návrhu nariadenia Komisie o súkromí a elektronických komunikáciách („nariadenie o súkromí a elektronických komunikáciách“) 9 , ktoré je založené na rovnakých princípoch ako smernica o súkromí a elektronických komunikáciách. Rozsah nového nariadenia sa rozšíri nad rámec tradičných telekomunikačných operátorov, aby zahŕňal aj internetové elektronické komunikačné služby.

2.Kľúčové povinnosti jednotlivých aktérov

Všeobecné nariadenie o ochrane údajov sa vzťahuje na všetkých aktérov volieb, ako sú európske a vnútroštátne politické strany (ďalej len „politické strany“), európske a vnútroštátne politické nadácie (ďalej len „nadácie“), platformy, spoločnosti zaoberajúce sa analýzou údajov a orgány verejnej moci zodpovedné za volebný proces. Osobné údaje (napr. mená a adresy) musia spracúvať zákonne, spravodlivo a transparentným spôsobom len na určené účely. Nemôžu ich ďalej použiť spôsobom, ktorý je nezlučiteľný s účelmi, na ktoré boli údaje pôvodne získané. Spracúvanie údajov na žurnalistické účely takisto v zásade patrí do rozsahu pôsobnosti všeobecného nariadenia o ochrane údajov, ale vzhľadom na dôležitosť práva na slobodu prejavu a informácie v demokratickej spoločnosti sa naň môžu vzťahovať výnimky a odchýlky vnútroštátneho práva 10 .

Pojem „osobné údaje“ je komplexný. „Osobné údaje“ sú všetky údaje súvisiace s identifikovanou alebo identifikovateľnou fyzickou osobou. Údaje spracúvané v kontexte volieb často zahŕňajú špeciálne kategórie osobných údajov („citlivé údaje“), ako napríklad politické názory, členstvo v odborových zväzoch, etnický pôvod, sexuálny život atď., na ktoré sa vzťahuje vyšší stupeň ochrany 11 . Okrem toho „citlivé údaje“ (ako sú politické názory, ale aj náboženské presvedčenie alebo sexuálna orientácia) možno prostredníctvom analýzy údajov odvodiť zo súborov údajov, ktoré nie sú citlivé. Spracúvanie takýchto odvodených údajov takisto patrí do rozsahu pôsobnosti všeobecného nariadenia o ochrane údajov, a preto by malo byť v súlade so všetkými pravidlami ochrany údajov.

Všeobecné nariadenie o ochrane údajov sa teda vzťahuje prakticky na všetky operácie spracúvania údajov v kontexte volieb.

Vzhľadom na to, že pravidlá musia byť aktérom zapojeným do volebného procesu zrozumiteľné, ako aj vzhľadom na prvé zistenia v prípade Cambridge Analytica, sú v ďalších častiach zdôraznené povinnosti v oblasti ochrany údajov, ktoré sa zdajú byť obzvlášť relevantné v kontexte volieb. Tieto povinnosti sú zhrnuté v prílohe.

2.1Prevádzkovatelia a sprostredkovatelia údajov

Ústredným prvkom všeobecného nariadenia o ochrane údajov je pojem „zodpovednosť prevádzkovateľov údajov a spoločných prevádzkovateľov“. Prevádzkovateľ údajov je organizácia, ktorá samostatne alebo v spolupráci s inými rozhoduje o tom, prečo a ako sa spracúvajú osobné údaje; sprostredkovateľ údajov spracúva osobné údaje iba v mene a podľa inštrukcií prevádzkovateľa (ich vzťah je stanovený v zmluve alebo inom právne záväznom akte). Prevádzkovatelia údajov musia zaviesť opatrenia primerané rizikám, od začiatku zabezpečovať špecificky navrhnutú ochranu údajov a musia byť schopní preukázať, že dodržiavajú všeobecné nariadenie o ochrane údajov (zásada zodpovednosti).

Rola prevádzkovateľa alebo sprostredkovateľa údajov sa musí posúdiť v každom jednotlivom prípade. V kontexte volieb môže byť prevádzkovateľom údajov niekoľko aktérov: vo väčšine prípadov sú prevádzkovateľmi údajov politické strany, jednotliví kandidáti a nadácie; podľa toho, akú mieru kontroly majú nad spracúvaním príslušných údajov môžu byť (spoločnými) prevádzkovateľmi alebo sprostredkovateľmi pre konkrétne spracovanie platformy a spoločnosti pre analýzu údajov 12 ; v prípade zoznamov voličov sú prevádzkovateľmi vnútroštátne volebné orgány.

Ak činnosti spracúvania údajov súvisia s ponukou tovaru a služieb jednotlivcom v Únii alebo so sledovaním ich správania v Únii, súlad so všeobecným nariadením o ochrane údajov musia dodržiavať aj spoločnosti so sídlom mimo Únie. To je prípad viacerých platforiem a spoločností, ktoré sa venujú analýze údajov.

2.2Zásady, zákonnosť spracúvania a osobitné podmienky pre „citlivé údaje“

Aktéri zapojení do volieb môžu spracúvať osobné údaje vrátane údajov získaných z verejných zdrojov len v súlade so zásadami, ktoré sa vzťahujú na spracúvanie osobných údajov, a na základe obmedzeného počtu dôvodov, ktoré sú jasne určené vo všeobecnom nariadení o ochrane údajov 13 . Najrelevantnejšími dôvodmi pre zákonné spracúvanie údajov v kontexte volieb sa ukazujú byť súhlas jednotlivca, plnenie zákonnej povinnosti podľa právnych predpisov Únie alebo vnútroštátnych právnych predpisov, plnenie úlohy vo verejnom záujme a oprávnený záujem jedného z aktérov. v kontexte volieb sa však aktéri môžu odvolať na oprávnený záujem iba v prípade, že nad ich záujmami neprevažujú záujmy alebo základné práva a slobody dotknutých jednotlivcov.

Okrem toho musí byť ukladanie informácií alebo prístup k už uloženým informáciám v koncových zariadeniach (počítač, smartfón atď.) v súlade s požiadavkami smernice o súkromí a elektronických komunikáciách, ktoré sa týkajú ochrany koncových zariadení, čo znamená, že dotknutý jednotlivec na to musí udeliť súhlas.

Ak sa ako právny základ použije súhlas, vo všeobecnom nariadení o ochrane údajov sa vyžaduje, aby bol udelený na základe jednoznačného potvrdzujúceho úkonu a aby bol slobodný a informovaný 14 .

Orgány verejnej moci zapojené do volebného procesu spracúvajú osobné údaje na účely splnenia zákonnej povinnosti alebo vykonania verejnej úlohy. Ostatní aktéri v kontexte volieb môžu spracúvať údaje na základe súhlasu alebo oprávneného záujmu 15 . Politické strany a nadácie takisto môžu spracúvať údaje z dôvodu verejného záujmu, ak sa tak stanovuje vo vnútroštátnom práve 16 .

Orgány verejnej moci môžu politickým stranám poskytnúť určité informácie o jednotlivcoch, ktorí sú uvedení vo volebných zoznamoch alebo v registri obyvateľov, napríklad meno a adresu, len ak to osobitne povoľuje právo členského štátu, len na reklamné účely v kontexte volieb a len v rozsahu, v akom je to nevyhnutné na daný účel.

Spracúvanie údajov v kontexte volieb často zahŕňa „citlivé údaje.“ Spracúvanie takýchto údajov vrátane vyvodených „citlivých údajov“ je vo všeobecnosti zakázané, pokiaľ sa neuplatňuje jedno zo špecifických odôvodnení stanovených vo všeobecnom nariadení o ochrane údajov 17 . Spracúvanie „citlivých údajov“ si vyžaduje, aby boli splnené osobitné, sprísnené podmienky: osoba musela poskytnúť výslovný súhlas 18 alebo dotknuté údaje zverejnila 19 . Ak existuje významný verejný záujem na základe práva Únie alebo členského štátu a sú zavedené primerané záruky, „citlivé údaje“ môžu spracúvať aj politické strany a nadácie 20 . Vo všeobecnom nariadení o ochrane údajov sa stanovuje, že „citlivé údaje“ môžu spracúvať v rozsahu, v akom sa týkajú výlučne ich členov alebo bývalých členov, alebo osôb, ktoré sú s nimi v pravidelnom kontakte – ale môžu ich poskytnúť len v rámci svojej politickej strany alebo nadácie 21 . Toto konkrétne ustanovenie však politická strana nemôže použiť na spracúvanie údajov perspektívnych členov alebo voličov.

Účel spracúvania údajov by mal byť stanovený v čase ich získania (zásada „obmedzenia účelu“) 22 . Údaje, ktoré boli získané na istý účel, sa môžu ďalej spracúvať len na účel, ktorý je s tým pôvodným zlučiteľný; inak sa spracúvanie údajov na nový účel musí odôvodniť novým právnym základom stanoveným vo všeobecnom nariadení o ochrane údajov, ako napríklad súhlasom. Najmä v prípade, že sprostredkovatelia údajov o životnom štýle alebo platformy získavajú údaje na obchodné účely, tieto údaje nemôžu byť ďalej spracúvané v kontexte volieb.

Politické strany alebo nadácie môžu údaje získané od tretej strany použiť len v prípade, že uplatnia náležitú starostlivosť a overia, že tieto údaje boli získané zákonným spôsobom.

2.3Požiadavky na transparentnosť

Prípad Cambridge Analytica poukázalo na to, aké dôležité je odstrániť neprehľadnosť a riadne informovať dotknutých jednotlivcov. Jednotlivci často nevedia, kto a na aké účely spracúva ich osobné údaje. Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby boli jednotlivci informovaní o spracovateľskej operácii a jej účeloch 23 . Vo všeobecnom nariadení o ochrane údajov sa objasňujú povinnosti prevádzkovateľov údajov v tejto súvislosti. Prevádzkovatelia údajov musia jednotlivcov informovať o kľúčových aspektoch, ktoré súvisia so spracúvaním ich osobných údajov, ako sú:

·totožnosť prevádzkovateľa,

·účely spracovania,

·príjemcovia osobných údajov,

·zdroj údajov, ak neboli získané priamo od danej osoby,

·či sa uplatňuje automatizované rozhodovanie,

·a všetky ostatné informácie nevyhnutné na zaistenie spravodlivého a transparentného spracúvania 24 .

Okrem toho sa vo všeobecnom nariadení o ochrane údajov vyžaduje, aby boli informácie podané v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme a aby boli formulované jasne a jednoducho 25 . Napríklad krátke nejasné oznámenie o ochrane údajov vytlačené na volebných materiáloch malým písmom by požiadavky na transparentnosť nespĺňalo.

Podľa predbežných zistení kľúčovým nedostatkom v prípade kauzy Cambridge Analytica bolo, že spoločnosť neposkytla úplné informácie o účele, na ktorý získavala údaje, čím sa spochybnila aj platnosť súhlasu dotknutých osôb. Všetky organizácie, ktoré spracúvajú osobné údaje v kontexte volieb, sa musia uistiť, že skôr, ako jednotlivci poskytnú súhlas alebo skôr, ako začne spracúvanie ich údajov zo strany prevádzkovateľa z akéhokoľvek iného dôvodu, v plnej miere pochopia, ako a na aký účel budú ich osobné údaje použité.

Informácie sa musia jednotlivcom poskytovať v každom štádiu spracúvania a nielen vtedy, keď sa od nich údaje získavajú.

Najmä keď politické strany spracúvajú údaje získané zo zdrojov tretej strany (napr. zo zoznamu voličov, od sprostredkovateľov údajov, analytikov údajov a z iných zdrojov), musia zvyčajne informovať dotknutých jednotlivcov a vysvetliť im, ako tieto údaje kombinujú a používajú, aby bolo spracúvanie spravodlivé 26 .

2.4Profilovanie, automatizované rozhodovanie a mikrozacielenie

Profilovanie je formou automatizovaného spracúvania údajov, ktoré sa používa na analýzu alebo predvídanie aspektov, ktoré sa týkajú napr. osobných preferencií, záujmov, majetkových pomerov atď. 27 Profilovanie sa môže použiť na mikrozacielenie jednotlivcov, konkrétne na analýzu osobných údajov (napríklad histórie vyhľadávania na internete) s cieľom určiť osobitné záujmy konkrétneho publika alebo jednotlivca a ovplyvniť tak jeho konanie. Mikrozacielenie sa môže použiť pri adresovaní personalizovaných správ jednotlivcom s použitím online služby, napríklad cez sociálne médiá.

Kauza Cambridge Analytica poukázala na osobitné výzvy, ktorým sú v dôsledku využívania metód mikrozacielenia vystavené sociálne médiá. Organizácie môžu pristúpiť k hĺbkovej analýze údajov, ktoré získali prostredníctvom používateľov sociálnych médií, a na jej základe vytvárať profily voličov. To môže pomôcť organizáciám identifikovať ľahko ovplyvniteľných voličov, a teda umožní týmto organizáciám ovplyvniť výsledok volieb.

Na takéto spracúvanie údajov sa vzťahujú všetky všeobecné zásady a pravidlá všeobecného nariadenia o ochrane údajov, ako sú zásady zákonnosti, spravodlivosti, transparentnosti a obmedzenia účelu. Jednotlivci si často neuvedomujú, že sú podrobení profilovaniu: nechápu, prečo dostávajú niektoré reklamy, ktoré sú tak jednoznačne prepojené s ich poslednými vyhľadávaniami, alebo prečo dostávajú personalizované správy od rôznych organizácií. Všeobecné nariadenie o ochrane údajov zaväzuje všetkých prevádzkovateľov údajov, napr. politické strany alebo analytikov údajov, aby jednotlivcov informovali o použití takýchto techník a ich následkoch 28 .

Vo všeobecnom nariadení o ochrane údajov sa uznáva, že automatizované rozhodovanie vrátane profilovania môže mať vážne následky. Vo všeobecnom nariadení o ochrane údajov sa stanovuje, že jednotlivec má právo na to, aby sa naňho nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracovaní údajov a ktoré má preň ho právne účinky alebo ho podobne významne ovplyvňujú, pokiaľ sa takéto spracúvanie nevykonáva za prísnych podmienok, čiže pod podmienkou výslovného súhlasu jednotlivca alebo keď to umožňuje právo Únie alebo členského štátu, v ktorom sú stanovené primerané záruky 29 .

Praktiky mikrozacielenia v kontexte volieb patria do tejto kategórie v prípade, ak majú dostatočne výrazný vplyv na jednotlivcov. Európsky výbor pre ochranu údajov vyhlásil, že takáto situácia nastane, ak môže rozhodnutie výrazne ovplyvniť okolnosti, správanie alebo voľby príslušných jednotlivcov, alebo ak môže mať na dotknutú osobu dlhodobý či trvalý vplyv 30 . Výbor usúdil, že online cielená reklama môže mať za určitých okolností schopnosť dostatočne výrazne ovplyvniť jednotlivcov, napr. ak je intruzívna alebo využíva poznatky o zraniteľnosti jednotlivcov. Vzhľadom na dôležitosť uplatňovania demokratického práva voliť by mohli personalizované správy, na základe ktorých sa jednotlivci môžu rozhodnúť nezúčastniť sa na voľbách alebo hlasovať konkrétnym spôsobom, spĺňať kritérium výrazného vplyvu.

v kontexte volieb preto prevádzkovatelia musia zaistiť, aby bolo každé spracúvanie, pri ktorom sa používajú takého techniky, zákonné v súlade s uvedenými zásadami a prísnymi podmienkami všeobecného nariadenia o ochrane údajov.

2.5Bezpečnosť a správnosť osobných údajov

Bezpečnosť je v kontexte volieb obzvlášť dôležitá vzhľadom na veľkosť súborov s údajmi a skutočnosť, že takéto súbory často obsahujú „citlivé údaje“. Vo všeobecnom nariadení o ochrane údajov sa vyžaduje, aby aktéri, ktorí spracúvajú osobné údaje (prevádzkovatelia aj sprostredkovatelia), zaviedli primerané technické a organizačné opatrenia a zaistili, aby bola úroveň bezpečnosti primeraná rizikám, ktoré spracúvanie predstavuje pre práva a slobody jednotlivcov 31 .

Vo všeobecnom nariadení o ochrane údajov sa vyžaduje, aby prevádzkovatelia oznámili porušenia ochrany osobných údajov príslušnému dozornému orgánu bez zbytočného odkladu a najneskôr do 72 hodín. Ak je pravdepodobné, že porušenie ochrany osobných údajov bude viesť k vysokému riziku pre práva a slobody jednotlivcov, prevádzkovateľ musí takisto bez zbytočného odkladu informovať jednotlivcov, ktorí boli týmto porušením ochrany údajov dotknutí 32 .

Politické strany a ostatní aktéri zapojení do volebného procesu musia venovať osobitnú pozornosť tomu, aby zaistili správnosť osobných údajov, pokiaľ ide o veľké súbory údajov, a o údaje zhromaždené z odlišných a rôznorodých zdrojov. Nesprávne údaje musia byť bezodkladne vymazané alebo opravené a v prípade potreby aktualizované.

2.6Posúdenie vplyvu na ochranu údajov

Vo všeobecnom nariadení o ochrane údajov sa zavádza nový nástroj na posúdenie rizika pred začatím spracúvania: posúdenie vplyvu na ochranu údajov. Vyžaduje sa vždy, keď je pravdepodobné, že spracúvanie so sebou nesie vysoké riziko pre práva a slobody jednotlivcov 33 . V kontexte volieb je to tak vtedy, keď prevádzkovateľ údajov systematicky a rozsiahlo hodnotí osobné aspekty jednotlivca (vrátane profilovania), ktoré výrazne ovplyvňujú jednotlivca, a keď prevádzkovateľ spracúva „citlivé údaje“ vo veľkom rozsahu. Vnútroštátne volebné orgány nemusia pri plnení svojich verejných úloh posudzovať vplyv na ochranu údajov, ak sa posúdenie vplyvu na ochranu údajov uskutočnilo už v procese prijímania právnych predpisov.

V kontexte volieb majú rôzni aktéri vykonať posúdenia vplyvu, ktoré mali obsahovať prvky potrebné na riešenie rizík spojených s takýmto spracúvaním, a to najmä pokiaľ ide o zákonnosť spracúvania aj v prípade súborov dát získaných od tretích strán a požiadavky na transparentnosť.

3.Práva jednotlivcov

Vo všeobecnom nariadení o ochrane údajov sa jednotlivcom priznávajú dodatočné a posilnené práva, ktoré sú obzvlášť relevantné v kontexte volieb:

·právo na prístup k svojim osobným údajom,

·právo požiadať o vymazanie svojich osobných údajov, ak je spracúvanie založené na súhlase a tento súhlas bol odvolaný, ak už údaje nie sú viac potrebné alebo ak je spracúvanie nezákonné, a

·právo na opravu nesprávnych, nepresných alebo neúplných osobných údajov.

Jednotlivci majú takisto právo namietať proti spracúvaniu (napr. tých údajov, ktoré sú uvedené v zozname voličov a predložené politickým stranám), ak je spracúvanie ich údajov založené na dôvodoch „oprávneného záujmu“ alebo „verejného záujmu“.

Jednotlivci majú právo, aby sa na nich nevzťahovali rozhodnutia, ktoré sú založené výlučne na automatizovanom spracúvaní ich osobných údajov. V takýchto prípadoch môže jednotlivec požiadať o zásah fyzickej osoby a má právo vyjadriť svoje stanovisko a napadnúť rozhodnutie.

Aby si mohli jednotlivci uplatňovať tieto práva, všetci zapojení aktéri musia poskytnúť potrebné nástroje a nastavenia. Vo všeobecnom nariadení o ochrane údajov sa stanovuje možnosť vypracovať etický kódex, ktorý schváli orgán pre ochranu údajov a v ktorom by sa spresňovalo uplatňovanie tohto nariadenia v konkrétnych oblastiach vrátane volieb.

Vo všeobecnom nariadení o ochrane údajov sa jednotlivcom udeľuje právo podať sťažnosť príslušnému dozornému orgánu a právo na súdny prostriedok nápravy. V nariadení sa jednotlivcom udeľuje aj právo poveriť mimovládnu organizáciu, aby podala sťažnosť v ich mene 34 . Podľa právnych predpisov niektorých členských štátov sa mimovládnej organizácii umožňuje podať sťažnosť bez toho, aby bola poverená jednotlivcom. To je v kontexte volieb obzvlášť relevantné, keďže môže byť dotknutý veľký počet osôb.

Kľúčové otázky ochrany údajov vo volebnom procese 35

(1)

Správy orgánov pre ochranu osobných údajov Spojeného kráľovstva (Úrad komisára pre informácie – ICO) z 10. júla 2018: „Investigation into the use of data analytics in political campaigns – Investigation update“ a „Democracy Disrupted? Personal information and political influence“.

(2)

https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.

(3)

„Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale“ uverejnený v Úradnom vestníku talianskeho orgánu pre ochranu osobných údajov č. 71, 26. 3. 2014 [web č. dokumentu 3013267], dostupné v sídle http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3013267, „Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?” uverejnila Commission Nationale de l’informatique et des libertés (Francúzska národná komisia pre informatiku a slobodu), 8. 11. 2016, dostupné v sídle https://www.cnil.fr/fr/communication-politique-quelles-sont-les-regles-pour-lutilisation-des-donnees-issues-des-reseaux , Information Commissioner’s Office, „Guidance on political campaigning“ [20170426], dostupné v sídle https://ico.org.uk/media/for-organisations/documents/1589/promotion_of_a_political_party.pdf .

(4)

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1).

(5)

 Usmernenie Komisie o všeobecnom nariadení o ochrane údajov dostupné na sídle: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_sk.

(6)

Článok 83 všeobecného nariadenia o ochrane údajov.

(7)

Stanoviská vydáva aj európsky dozorný úradník pre ochranu údajov.

(8)

Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37).

(9)

Návrh nariadenia Európskeho parlamentu a Rady o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách), COM(2017) 10 final.

(10)

Článok 85 ods. 2 všeobecného nariadenia o ochrane údajov.

(11)

Článok 9 ods. 1 všeobecného nariadenia o ochrane údajov.

(12)

V nedávnej judikatúre Súdneho dvora Európskej únie (rozsudok z 10. júla 2018 vo veci C-25/17 Jehovovi svedkovia) je uvedené, že za určitých okolností môže byť za prevádzkovateľa považovaná organizácia, ktorá „vykonáva vplyv“ na činnosť zberu a spracovania osobných údajov.

(13)

Články 5 a 6 všeobecného nariadenia o ochrane údajov.

(14)

Článok 7 a článok 4 ods. 11 všeobecného nariadenia o ochrane údajov.

(15)

Za predpokladu, že to nemá zásadný vplyv na práva a slobody dotknutých jednotlivcov.

(16)

Pozri odôvodnenie 56 všeobecného nariadenia o ochrane údajov „ak si počas volebných aktivít fungovanie demokratického systému v niektorom členskom štáte vyžaduje, aby politické strany zhromažďovali osobné údaje o politických názoroch ľudí, môže byť spracúvanie takýchto údajov povolené z dôvodov verejného záujmu, a to za predpokladu, že sú poskytnuté primerané záruky.“

(17)

Článok 9 všeobecného nariadenia o ochrane údajov.

(18)

Článok 9 ods. 2 písm. a) všeobecného nariadenia o ochrane údajov.

(19)

Článok 9 ods. 2 písm. e) všeobecného nariadenia o ochrane údajov.

(20)

Článok 9 ods. 2 písm. g) všeobecného nariadenia o ochrane údajov.

(21)

Článok 9 ods. 2 písm. d) všeobecného nariadenia o ochrane údajov. Politická strana alebo nadácia nemôže postúpiť údaje, ktoré sa týkajú jej členov alebo bývalých členov, alebo osôb, s ktorými je v pravidelnom kontakte, tretej strane bez súhlasu dotknutého jednotlivca.

(22)

Článok 5 ods. 1 písm. b) všeobecného nariadenia o ochrane údajov.

(23)

Článok 5 ods. 1 písm. a) všeobecného nariadenia o ochrane údajov.

(24)

Články 13 a 14 všeobecného nariadenia o ochrane údajov.

(25)

Usmernenia Európskeho výboru pre ochranu údajov k transparentnosti.

(26)

Článok 14 všeobecného nariadenia o ochrane údajov.

(27)

Ako je vymedzené v článku 4 ods. 4 všeobecného nariadenia o ochrane údajov.

(28)

Článok 13 ods. 2 všeobecného nariadenia o ochrane údajov.

(29)

Článok 22 všeobecného nariadenia o ochrane údajov.

(30)

Usmernenia Európskeho výboru pre ochranu údajov o automatizovanom rozhodovaní, WP251rev.01 naposledy revidované a prijaté 6. 2. 2018.

(31)

Článok 32 všeobecného nariadenia o ochrane údajov.

(32)

Články 33 a 34 všeobecného nariadenia o ochrane údajov a usmernenia Európskeho výboru pre ochranu údajov o oznámení porušenia ochrany osobných údajov.

(33)

Články 35 a 36 všeobecného nariadenia o ochrane údajov a usmernenia Európskeho výboru pre ochranu údajov týkajúce sa posúdenia vplyvu na ochranu údajov.

(34)

Článok 80 ods. 1 všeobecného nariadenia o ochrane údajov.

(35)

Uvedené informácie nie sú v žiadnom prípade vyčerpávajúce. Ich cieľom je zdôrazniť niekoľko kľúčových povinností týkajúcich sa údajov podľa všeobecného nariadenia o ochrane údajov, ktoré sú relevantné vo volebnom procese. Zodpovedajú situácii, keď samotné politické strany získavajú údaje (z verejných zdrojov, zo svojej prítomnosti na sociálnych médiách, priamo od voličov atď.) a používajú služby sprostredkovateľov údajov a spoločností zameraných na analýzu údajov na zacielenie voličov prostredníctvom platforiem pre sociálne médiá. Pre uvedených aktérov môžu byť zdrojom údajov aj platformy. Môžu sa uplatňovať aj iné právne predpisy, napríklad pravidlá týkajúce sa zasielania nevyžiadaných správ a ochrany koncových zariadení stanovené v smernici o súkromí a elektronických komunikáciách.