Big data a profilovanie ľudí na komerčné účely

Pri spracúvaní Big data na komerčné účely prestáva byť konotácia osobných údajov ako nového platidla digitálnej ekonomiky iba kaviarenskou frázou a stáva sa skutočnosťou. Komerčný potenciál Big data je neuveriteľný, čoho dôkazom je aj fakt, že korporácie stojace za najúspešnejšími sociálnymi sieťami a internetovými vyhľadávačmi sú súčasnými víťazmi na stupňoch globálnej ekonomiky. O tom, čo v praxi znamená využívanie Big Data pre bežných ľudí a čo pre podnikateľov sa dozviete viac v tomto článku.

STEINIGER | law firm 19. 03. 2017 16 min.

Čo sú to Big Data?

Big Data a profilovanie dotknutej osoby je možné zjednodušene vysvetliť ako spracúvanie veľkého množstva (nielen osobných údajov) týkajúceho sa rozličných jedincov, ktoré primárne pozostáva z analýzy a kombinovania týchto dát prostredníctvom zložitých algoritmov za účelom hľadania presne definovaných vzťahov, resp. medzi vzťahov, čoho výsledkom sú profily aplikovateľné na skupiny jednotlivcov, ktoré sú rozdelené na vopred definované kategórie jednotlivcov alebo na skupiny jednotlivcov, podľa predpokladaného budúceho správania sa týchto skupín.

Pojem Big Data je tiež možné interpretovať ako „obrovské množstvo dát rôzneho typu získavaných s vysokou rýchlosťou z vysokého počtu rôznych typov zdrojov. Big Data sa vyznačujú 4 charakteristikami: objem, rôznorodosť (napríklad videá, tweety, dáta zo senzorov), rýchlosť (spracovávanie tokov dát v reálnom čase) a hodnovernosť (s  množstvom zbieraných dát sa spája neistota o ich presnosti). Spracovávanie takého množstva rôznorodých dát zbieraných v reálnom čase si vyžaduje nové nástroje a metódy ako výkonné procesory, nové softvérové riešenia a algoritmy.“[1]

Súčasťou Big Data tak môžu aj nemusia byť osobné údaje, avšak aj keď súčasťou Big Data na začiatku nie sú osobné údaje je potrebné zobrať do úvahy, či v dôsledku analýzy dát a tzv. data miningu nevzniknú také datasety, ktorých súčasťou budú informácie, ktoré by mohli byť využiteľné (alebo zneužiteľné) na priamu či nepriamu identifikáciu konkrétnych ľudí (i.e. osobné údaje by vznikli až na základe výsledkov analýzy Big Data).

Napríklad analýzou dát z rôznych senzorov a navigácie moderných aút je možné získať obrovské množstvo dát, vrátane profilu vodičského správania majiteľa určitého typu auta, čo môže byť veľmi cenným údajom pre poisťovne pri nastavovaní hodnôt poistného rizika, pričom však nemusí ísť ešte o osobné údaje. Ak by však tento dataset obsahoval aj údaj na základe, ktorého by bolo možné priamo (napr. osobné ID údaje) či nepriamo (napr. EČV) identifikovať aj majiteľa takéhoto konkrétneho vozidla a dataset by sa použil na stanovenie výšky poistného, či iné ovplyvnenie poistných podmienok, či okolností zmluvného vzťahu poisťovne a konkrétneho človeka, bolo by potrebné prípad posúdiť ako spracúvanie osobných údajov.

Čo je to profilovanie dotknutej osoby?

Profilovanie dotknutej osoby pri spracúvaní jej osobných údajov nie je žiadnou novinkou. Avšak stará regulácia ochrany osobných údajov (smernica 95/46/ES transponovaná do nášho aktuálneho národného zákona o ochrane osobných údajov) túto skutočnosť zohľadňovala iba minimálne[2] pri zakotvení práva dotknutej osoby namietať a nepodrobiť sa takým rozhodnutiam prevádzkovateľa, ktoré by boli založené výlučne na základe úkonov plne automatizovaného spracúvania osobných údajov (napr. softvérom vyhodnotené správanie užívateľa a obmedzenie alebo znemožnenie využívania služby).

Nová regulácia ochrany osobných údajov - Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len ako „GDPR“) ide pri úprave a regulácii profilovania pochopiteľne oveľa viac do hĺbky.

Podľa článku 4 ods. 4 GDPR je profilovanie legálne definované ako „akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.“

V bežnej praxi je tak možné podľa nášho názoru považovať za profilovanie dotknutej osoby napr.:

  • spracúvanie osobných údajov na účely tzv. behaviorálnej reklamy, ktorá je založená na predpokladoch záujmov dotknutej osoby v dôsledku jej online správania (napr. návštevy webu s určitým obsahom, vyhľadávanie kľúčových slov, prejavenie sympatie s obsahom na sociálnej sieti a pod.) a ukladania určitého typu súborov cookies do prehliadača alebo zariadenia využívaného dotknutou osobou ako aj využívanie údajov majúcich väzbu k zariadeniu dotknutej osoby (napr. IP, príp. MAC adresa, typ zariadenia, typ pripojenia), príp. geolokalizácia tohto zariadenia dotknutej osoby pri dosahovaní efektívnejšieho cielenia reklamného obsahu v reálnom čase;
  • spracúvanie osobných údajov poisťovňou na účely analýzy poistného rizika alebo identifikovanie potenciálnych poistných podvodov;
  • spracúvanie osobných údajov veriteľom (napr. bankou alebo iným oprávneným subjektom) pri preverovaní bonity záujemcu o úver (napr. prostredníctvom údajov z elektronických registrov údajov o spotrebiteľských úveroch);
  • spracúvania osobných údajov povinnou osobou s využitím sofistikovaných a interne vyvinutých AML programov využívaných vo finančnom sektore na účely ochrany pred legalizáciou príjmov z trestnej činnosti a financovaním terorizmu;
  • spracúvanie dát registrovaného užívateľa tzv. „zdravotnými appkami“ a ich ukladanie a automatizované vyhodnocovanie na cloudových úložiskách prevádzkovateľa;
  • vytváranie tzv. psychogramov voliča na účely politického marketingu;
  • vylúčenie uchádzača o zamestnanie v dôsledku aplikovania plne automatizovaného vyhodnocovania prijatých životopisov v elektronickej forme, ktoré sa postupne začína využívať vo väčších HR agentúrach v prvej fáze obsadzovania pracovného miesta na odfiltrovanie nevhodných uchádzačov pri väčších počtoch prijatých životopisov.

Samozrejme vyššie uvedený výklad je iba príkladmý a slúži na lepšie predstavenie toho, čo je v praxi potrebné považovať za profilovanie dotknutej osoby.

Interakcia profilovania a Big data ako zdroja osobných údajov

Existuje veľa príkladov analýz data setov, ktoré nebudú využívať a ani generovať žiadne osobné údaje (napr. údaje o počasí a celosvetovej klíme, údaje o hustote dopravy, či GPS dáta lodných kontajnerov určených na prevoz tovaru apod.), ale zároveň existuje aj mnoho datasetov využívaných v rámci analýzy tzv. Big data, ku ktorým je potrebné pristupovať ako k osobným údajom (napr. dáta zo zdravotníckych monitorovacích prístrojov priradených alebo priraditeľných ku konkrétnemu pacientovi, prevádzkové a lokalizačné údaje spracúvané mobilnými operátormi, či rozsiahle dáta analyzujúce spotrebiteľské správanie člena bežného retailového vernostného programu).[3]

V prípade, ak ten kto rozhodne o analýze Big data (vymedzí účel spracúvania dát) a súčasťou alebo výsledkom datasetov budú dáta právne kvalifikované ako osobné údaje dôjde nevyhnutne k aplikácii GDPR. Subjekt, ktorý rozhodol o takejto analýze Big data získa postavenie prevádzkovateľa, čo je spojené so vznikom veľkého množstva regulačných povinností.

Ak takýto prevádzkovateľ pri analýze Big data využije externých partnerov (napr. špecializované marketingové spoločnosti alebo nové typy technologicko-analyticko-poradenských organizácií schopných analyzovať Big data pomocou vlastných unikátnych algoritmov, HR agentúry, prevádzkovateľov rôznych elektronických úverových registrov), ktorí vykonajú profilovanie dotknutej osoby de facto namiesto prevádzkovateľa, tak tieto subjekty budú mať spravidla postavenie sprostredkovateľov a tiež budú musieť pri zabezpečovaní ochrany osobných údajov splniť časť regulačných povinností.

Prevádzkovateľ a sprostredkovateľ zároveň budú musieť takéto spracúvanie osobných údajov dostatočne právne legitimizovať spôsobom, ktorý presne stanovuje regulácia definovaním požiadaviek na obsahové náležitosti súvisiaceho zmluvného vzťahu (aktuálne § 8 ods. 4 Zákona o ochrane osobných údajov, od 25. mája 2018 článok 28 ods. 3 GDPR).  

V týchto prípadoch bude zároveň vykonávanie spracovateľských operácii s dátami mať povahu profilovania podľa GDPR, čo je spojené so vznikom ďalších osobitných regulačných povinností.

Základnou premisou pre aplikáciu vyššie uvedených interakcií a právnych vzťahov sú teda nasledovné fakty:

 

Interakcia

Aplikácia GDPR

1.    Spracúvanie Big data

Nie

2.    Súčasťou datasetu spracúvaného v rámci Big data sú osobné údaje

Áno

3.    Súčasťou datasetu spracúvaného v Big data nie sú osobné údaje, ale výsledkom analýzy Big data bude vznik nových dát právne kvalifikovateľných ako osobné údaje

Áno

4.    Pri analýze datasetov podľa bodov 2 a 3 nevyhnutne dôjde k tzv. profilovaniu v zmysle článku 4 ods. 4 GDPR

Áno

 

Z vyššie uvedených interakcií je možné vyvodiť záver, že každé využitie Big data by malo byť osobitne posúdené z hľadiska prítomnosti alebo neprítomnosti dát, ktoré by mohli byť právne kvalifikované ako osobné údaje.

GDPR a regulovanie profilovania

Z úvodných (nenormatívnych) ustanovení GDPR[4], , ktoré poskytujú bližšie vysvetlenie normatívneho obsahu vlastného znenia GDPR je možné identifikovať, viacero zaujímavých bodov, ktoré je pri dosahovaní žiaducich compliance štandardov potrebné implementovať do praxe, keďže je viac než isté, že dozorné orgány to budú od konca mája roku 2018 od prevádzkovateľov a sprostredkovateľov vyžadovať. Dôležité je vypichnúť to, že regulátori budú považovať profilovanie za vysoko rizikové spracúvanie osobných údajov, čo je spojené so zvýšenou reguláciou i rizikom vyšších sankcií.[5]

Samozrejme určujúce je primárne samotné normatívne znenie GDPR, z ktorého vyplývajú explicitne stanovené povinnosti, ktoré sa týkajú legálneho profilovania dotknutých osôb.

V nasledujúcom výklade preto uvedieme „To do list“, ktorý odporúčame splniť každej firme, ktorá uvažuje o využití profilovania (a Big data) na podporu alebo zefektívnenie svojho biznisu alebo interných činností.

 

Popis povinnosti

Identifikácia nositeľa povinnosti

Relevantné právne ustanovenia

Čo treba spraviť?

Disponovať vhodným právnym základom pre vykonávanie profilovania

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

Článok 6 ods. 1 písm. a) a písm. b) GDPR

Zabezpečiť získanie jednoznačného a informovaného „opt in“súhlasu dotknutej osoby (vo väčšine prípadov) alebo nastaviť poskytovanú službu právne takým spôsobom, že vykonanie profilovania bude nevyhnutné na uzatvorenie alebo plnenie súvisiaceho zmluvného vzťahu medzi prevádzkovateľom a dotknutou osobou

Vykonať posúdenie vplyvu na ochranu osobných údajov

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

Sprostredkovateľ je povinný prevádzkovateľovi pomáhať pri plnení tejto povinnosti s prihliadnutím na povahu spracúvania a informácie, ktorými disponuje

Článok 35 ods. 3 písm. a) GDPR

Zabezpečiť vypracovanie právneho dokumentu, ktorý bude spĺňať stanovené požiadavky

Uskutočniť pred začatím spracúvania predchádzajúcu konzultáciu s Úradom na ochranu osobných údajov, v prípade ak z posúdenia vplyvu na ochranu údajov vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

Sprostredkovateľ je povinný prevádzkovateľovi pomáhať pri plnení tejto povinnosti s prihliadnutím na povahu spracúvania a informácie, ktorými disponuje

Článok 36 ods. 1 a 3 GDPR

Napísať a poslať žiadosť s určenými prílohami a informáciami na Úrad na ochranu osobných údajov

Vymenovať zodpovednú osobu, ktorá bude okrem iného zabezpečovať aj plnenie regulačných povinností spojených s profilovaním dotknutých osôb

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

Sprostredkovateľ

Článok 37 ods. 1 písm. b) GDPR

Článok 38 ods. 3 GDPR

Rozhodnúť o forme obstarania zodpovednej osoby

Vybrať vhodného profesionála do funkcie zodpovednej osoby

Upraviť organizačný poriadok alebo zmluvné dojednania pri outsourcingu s ohľadom na osobitné nezávislé postavenie zodpovednej osoby vyžadované GDPR

Vhodne zverejniť kontaktné údaje zodpovednej osoby

Zabezpečiť vhodným spôsobom transparentné informovanie dotknutej osoby s dôrazom na zmysluplné informácie o použitom postupe a o význame i predpokladaných dôsledkoch profilovania

 

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

 

Článok 13 a 14 GDPR

Zabezpečiť aktualizáciu „Privacy Policy“ zverejnenej na firemnom webe

Posilniť mechanizmy transparantnosti smerom k dotknutej osobe najlepšie v momente získavania jej osobných údajov

Pri vykonávaní profilovania zabezpečiť úplné vylúčenie aplikácie rozhodnutí založených na automatizovanom spracúvaní osobných údajov vo vzťahu k maloletým osobám

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

 

Úvodné ustanovenie č.  71 GDPR

Vymedziť účel spracúvania a okruh dotknutých osôb, resp. cieľovú skupinu spracúvania tak, aby profilovanie nebolo zamerané na osoby mladšie ako 16 rokov, príp. nastaviť filtre, ktoré zabránia prijať rozhodnutia založené výlučne na automatizovanom spracúvaní osobných údajov.

Obmedziť pri vykonávaní profilovania spracúvanie osobitnej kategórie osobných údajov na nevyhnutné prípady a nevyhnutné minimum

V žiadnom prípade nevyužívať profilovanie na diskrimináciu dotknutých osôb na základe vopred definovaných kritérií založených na spracúvaní osobitnej kategórie osobných údajov (napr. rasa, vierovyznanie, zdravotný stav atď.)

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

 

Úvodné ustanovenie č.  71 GDPR

Veľmi dobre právne posúdiť a odôvodniť otázky nevyhnutnosti a proporcionality spracúvania ako aj vylúčiť eventuálne úvahy o diskriminácii dotknutých osôb v posúdení vplyvov na ochranu osobných údajov, príp. rozhodnúť o nespracúvaní osobitnej kategórie osobných údajov

Zabezpečiť výber vhodného obchodného partnera (sprostredkovateľa), ktorý bude profilovanie prakticky vykonávať v mene prevádzkovateľa a uzatvoriť s ním zmluvu, ktorá bude spĺňať reguláciou vyžadované obsahové náležitosti

 

Článok 28 ods. 3 GDPR

Uzatvoriť so sprostredkovateľom právne perfektnú zmluvu, ktorá zabezpečí praktické aspekty spolupráce i regulačné povinnosti v oblasti ochrany osobných údajov

V prípade využívania súborov typu cookies v rámci profilovania zabezpečiť získanie osobitného opt in súhlasu od dotknutej osoby a poskytnutie potrebných informácii o spracúvaní tohto typu súborov

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

 

Úvodné ustanovenie č.  30 GDPR

 

§ 55 ods. 5 zákona č.  351/2011  Z.  z. o elektronických komunikáciách

Zabezpečiť vytvorenie alebo aktualizáciu právnych informácii o spracúvaní súborov typu cookies a integrovať do užívateľského rozhrania webového sídla vhodný mechanizmus pre získanie súhlasu so spracúvaním cookies (napr. pop up okná alebo statický informačný banner v hornej časti webových stránok vyžadujúci používateľov súhlas s inštaláciou niektorých cookies do koncového zariadenia, s hypertextovým odkazom na vyhlásenie o ochrane osobných údajov s podrobnými vysvetleniami týkajúcimi sa podstatných okolností spracovania)

Zabezpečiť predpoklady pre riadny výkon osobitných práv dotknutých osôb spojených s profilovaním – právo namietať a právo na individuálne rozhodovanie o automatizovanom spracúvaní osobných údajov, ktoré je neoddeliteľnou súčasťou profilovania

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

Sprostredkovateľ je povinný pomáhať

Článok 21 a 22 GDPR

Zabezpečiť účinné mechanizmy vyhodnotenia a spracovania námietok dotknutej osoby voči spracúvaniu osobných údajov a umožniť technicky efektívne zlikivdovať jej údaje

Umožniť preskúmanie rozhodnutia založeného na automatizovanom spracúvaní osobných údajov (právo na ľudský zásah) a tiež umožniť dotknutej osobe vyjadriť jej názor a napadnúť súvisiace rozhodnutie.

Zabezpečiť v rámci procesu vybavovania námietky dotknutej osoby dodatočné informovanie o jej právach, ak ide o spracúvanie na marketingové účely.

 

Implementovať v rámci bezpečnosti spracúvania Špecificky navrhnutú („Privacy by default“) a štandardnú ochranu údajov („Privacy by standard“)

Prevádzkovateľ

Zástupca prevádzkovateľa (napr. v prípade online trackingu zacieleného na obyvateľov EÚ firmou usadenou mimo EÚ)

Sprostredkovateľ

Článok 20 GDPR

Zabezpečiť vhodnou formou v v datasetoch psudonymizáciu osobných údajov (napr. kryptovaním datasetu alebo osobitným oddelením a zabezpečením časti údajov, ktoré sú rozhodujúcim identifikátorom) a prijať ďalšie vhodné bezpečnostné opatrenia.

Minimalizovať zoznam osobných údajov na nevynutné minimum potrebné na dosiahnutie účelu, a to nielen z hľadiska rozsahu dát, ale aj doby uchovávania a ich dostupnosti subjektom a zamestnancom participujúcim na spracúvaní dát.

 

Samozrejme vyššie uvedený výpočet povinností nie je konečný vo vzťahu k individuálnym podmienkam spracúvania osobných údajov a statusu konkrétneho prevádzkovateľa, či sprostredkovateľa. Avšak aj napriek tomu môžeme skonštatovať, že regulačný rámec uvedený v tabuľke je nevyhnutne spojený so všetkými prípadmi, keď dochádza k spracúvaniu Big data spojeného s vykonávaním profilovania v zmysle GDPR.

Čo znamená spracúvanie Big Data pre bežného človeka?

V dnešnom svete nie je možné existovať bežným spôsobom bez toho, aby ste po sebe nezanechávali obrovské množstvo digitálnych stôp prepojiteľných s Vašou identitou (napr. používanie platobnej karty, nakupovanie a surfovanie po internete, prevádzkové a lokalizačné údaje týkajúce sa využívania Vášho telefónu, použitie vernostnej karty pri nákupe v supermarkete atď.), a to aj bez toho, aby ste boli aktívnym a registrovaným užívateľom sociálnej siete, kde na dennej báze dotvárate svoj profil vyjadrovaním sympatií, nesympatií, či pridávaním rôzneho obsahu a komentárov.

Skrátka stačí normálne žiť a Vaše údaje sa nevyhnutne dostávajú v rozličnej forme do rozličných databáz, s ktorými je možné pracovať a prípadne ich aj predať niekomu pre koho môžu byť zaujímavým zdrojovým (referenčným rámcom) pre dataset určený na Big data analýzu, ktorej zmyslom môže byť politický marketing, komerčné účely a potenciálne aj identifikácia nepohodlných názorov a ich perzekúcia zo strany štátnej moci, ktorá nie všade na svete dáva sama sebe limity ukotvené v podstate liberálnej demokracie a systéme základných ľudských práv, vrátane práva na ochranu súkromia.

Možno ste zachytili, že jeden poľský psychológ vyvinul v r. 2014 metódu, ktorá je schopná už na základe 70 „lajkov“ vytvoriť lepší profil Vašej osoby, akoby to dokázali Vaši najbližší priatelia a 250 „lajkov“ lepšie ako Váš dlhoročný životný partner. Táto metóda sa samozrejme postupne zdokonalila a podľa známeho komentátora Mariána Leška dokonca viedla k zvoleniu Donalda Trumpa za amerického prezidenta.[6]

Leško vo svojom komentári vyslovil znepokojivý, bohužiaľ však nie nerealistický názor, že:

 

„... nielen vlády, ale aj súkromné spoločnosti môžu v nie príliš vzdialenej budúcnosti vedieť o obyvateľstve oveľa viac, ako si vieme predstaviť. A nebudú na to potrebovať špeciálne informačno-technické prostriedky či príslušníkov tajnej služby. Náš dôkladný psychologický profil získajú bez nášho vedomia a súhlasu. V demokratickom a právnom štáte to bude znamenať, že ústavné právo na súkromie, čiže „právo na ochranu pred neoprávneným zhromažďovaním... údajov o svojej osobe“ zostane iba na papieri. A je veľmi pravdepodobné, že psychografické dáta, ktoré získajú, využijú na to, aby na veľké skupiny osôb pôsobili individualizovane, a preto účinnejšie.“

 

GDPR má občanom EÚ poskytnúť voči takýmto praktikám predpoklad pre účinnú právnu ochranu. Predpoklad preto, lebo bez iniciatívy a obozretnosti dotknutej osoby sprevádzanej kompetenčne a odborne dostatočne vybaveným dozorným orgánom vynucujúcim v praxi princípy GDPR, pôjde naozaj iba o neživý právny text na proklamatívne upokojovanie verejnosti politikmi. Do značnej miery je preto na každom z nás, ako bude pristupovať k využívaniu svojich osobných údajov a k ich ochrane.

GDPR posilňuje možnosti právnej ochrany bežných ľudí aj tým, že im umožňuje nielen začať správne konanie voči prevádzkovateľovi, či sprostredkovateľovi prostredníctvom dozorného orgánu (Úradu na ochranu osobných údajov), z čoho de facto ľudia nič nemajú, ale GDPR zároveň otvára aj možnosť podať od toho nezávislú žalobu na súd, ktorej predmetom môže byť aj uplatnenie rôznych subjektívnych nárokov konkrétneho človeka, čo môže byť spojené aj s požadovaním odškodnenia v peniazoch.

Záver

Využívanie Big data môže predstavovať kľúčovú výhodu, nový komerčný potenciál či veľký priestor pre tvorbu inovácií Vášho biznisu. Ak je však súčasťou datasetu informácia, ktorú treba považovať za osobný údaj alebo v dôsledku analýzy Big data dôjde k vytvoreniu dát využiteľných na priamu, či nepriamu identifikáciu konkrétnych ľudí dôjde k robustnej aplikácii regulačných pravidiel na ochranu osobných údajov.

Nová európska legislatíva považuje tieto aktivity za rizikové spracúvanie osobných údajov, takže splniť príslušné povinnosti dá zabrať aj väčším firmám. Ignorovanie týchto povinností je spojené s rizikom sankcií, ktoré sa ukladajú až do výšky 10 miliónov alebo 20 miliónov EUR podľa charakteru konkrétne porušenej povinnosti.

JUDr. Ondrej Zimen

Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

Poznámky pod čiarou:

[1] Ministerstvo financií SR. Strategická priorita Riadenie údajov a „Big data“ verzia 1.2. Dostupné na internete: www.informatizacia.sk/index/open_file.php?ext_dok=22727 [online].[cit 27.02.2017].

[2] Pozri viac napr. v § 28 ods. 2 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

[3] Bližšie pozri napr. Information Commisioner´s Office: Big data and data protection. Dostupné na internete: https://ico.org.uk/media/for.../big-data-and-data-protection.pdf. [online].[cit 27.02.2017].

[4] Bližšie pozri najmä úvodné ustanovenie č. 24, č. 63, č. 66 a č. 70 až č. 75 GDPR.

[5] Bližšie pozri úvodné ustanovenie č. 75 GDPR.

[6] LEŠKO, M.: Bomba politického marketingu už dvakrát vybuchla. Dostupné na internete: https://www.etrend.sk/trend-archiv/rok-2017/cislo-9/bomba-politickeho-marketingu-uz-dvakrat-vybuchla.html.  [online].[cit 02.03.2017].