Problematika ochrany osobných údajov je v poslednom období intenzívne diskutovanou témou, keďže 25. mája 2018 vstúpi do platnosti Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej GDPR – General Data Protection Regulation), ktoré predstavuje nový právny rámec a pravidlá pre zber a spracúvanie osobných údajov v EÚ a zároveň v plnom rozsahu ruší uplatniteľnosť ustanovení zákona č. 122/2013 Z. z. o ochrane osobných údajov, ako aj doteraz platnú smernicu EP/Rady č. 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov1.
GDPR vychádza zo zásad už doteraz upravených v smernici EP/Rady č. 95/46/EHS, a to najmä zo zásady ochrany fyzických osôb (ďalej aj FO) v súvislosti so spracúvaním ich osobných údajov, ktorá patrí medzi základné práva (právo na súkromie – pozn. autora). Cieľom nariadenia bolo vytvorenie jednotného súboru pravidiel na ochranu osobných údajov v celej EÚ, zjednodušenie regulačného prostredia a odstránenie právnej neistoty v jednotlivých členských štátoch. Vzhľadom na technologický rozvoj GDPR reaguje aj na novovzniknuté potreby ochrany osobných údajov v on-line prostredí (e-shopy, sociálne siete a pod.).
Platnosť GDPR je definovaná tak negatívne (nevzťahuje sa na otázky ochrany základných práv a slobôd, spracúvanie osobných údajov inštitúciami EÚ, na spracúvanie osobných údajov FO v priebehu výlučne osobnej alebo domácej činnosti ani na ochranu FO pri spracúvaní osobných údajov orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania2), ako aj pozitívne (vzťahuje sa na spracúvanie osobných údajov vykonávané automatizovanými a inými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému).
GDPR definuje pojmy ako osobný údaj (akákoľvek informácia, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby3 (ako napr. meno, adresa, lokalizácia a iné), prevádzkovateľ (fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov) a sprostredkovateľ (fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa).
Z hľadiska činnosti správcov bytových domov (keďže sa nevyhnutne dostávajú do kontaktu s osobnými údajmi vlastníkov bytov a spracúvajú ich) predstavuje ochrana osobných údajov oblasť záujmu vo viacerých smeroch:
- plnenie povinností vyplývajúcich z GDPR (vykonávať posúdenie vplyvu na ochranu osobných údajov, viesť záznamy o spracovaní osobných údajov, ohlásiť prípady narušenia bezpečnosti, zaviesť pracovnú pozíciu Data Protection Officer a pod.)
- sankcie za porušenie týchto povinností, ktoré môžu siahať až do výšky 20 miliónov eur alebo 4 % z celkového ročného obratu spoločnosti, znamenajú, že tejto téme je potrebné venovať pozornosť
- zodpovednosť za škodu a náhradu spôsobenej škody4 prevádzkovateľom alebo sprostredkovateľom, ktorý sa zúčastnil na spracúvaní osobných údajov
V zmysle príslušných ustanovení zákona č. 246/2015 Z. z. o správcoch bytových domov, ktorý ustanovuje povinnosť mať uzavreté poistenie zodpovednosti za škodu, za ktorej vznik zodpovedá správca pri výkone správy5, treba konštatovať, že štandardne ponúkané produkty v poistení zodpovednosti za škodu pri výkone správy na slovenskom poistnom trhu neobsahujú krytie poistenia zodpovednosti za stratu, prípadne únik osobných údajov. Možným riešením je poistenie tzv. kybernetických rizík (tzv. CYBER EDGE).
Vo všeobecnosti poistenie CYBER EDGE poskytuje poistnú ochranu na prípady úniku (strata, odcudzenie) osobných údajov z informačného systému/PC/mobilného zariadenia (náhodný únik, nedbalosť, cielené napadnutie informačného systému – tzv. hackerský útok) za účelom získania prístupu k osobným údajom a ich zneužitiu.
Z poistenia CYBER EDGE sa teda uhrádzajú napríklad:
- náklady na právne zastúpenie poisteného (správca) v súvislosti s jeho zodpovednosťou voči tretím stranám (vlastník/nájomník) pri narušení ochrany osobných údajov a ich úniku
- náklady poisteného na identifikáciu úniku osobných údajov, realizáciu znovuobnovenia bežnej prevádzky informačného systému a opatrení na nápravu nedostatkov
- náklady poisteného na oficiálne oznámenie úniku osobných údajov (verejnosti, dozorným orgánom) a náklady na konanie pred dozorným orgánom vrátane uložených pokút
Poistenie kybernetických rizík je relatívne nový poistný produkt na slovenskom poistnom trhu, no v kontexte aktuálne platnej legislatívnej úpravy osobných údajov na úrovni EÚ možno predpokladať, že jeho význam v najbližšom období porastie. V prípade záujmu o bližšie informácie alebo o vypracovanie cenovej ponuky poistenia je vhodné obrátiť sa s takouto požiadavkou na vybraných sprostredkovateľov poistenia/poisťovacích maklérov, ktorí majú s týmto typom poistenia a riešením poistných udalostí preukázateľné skúsenosti.
Pokiaľ vás problematika kybernetických rizík zaujíma, RENOMIA je ten správny partner. V RENOMIA disponujeme špecializovaným tímom skúsených odborníkov pre oblasť poistenia kybernetických rizík. Poznáme a aktívne vyhodnocujeme špecifické riziká, ktoré môžu ovplyvniť vaše podnikanie. Na dnešnom trhu existujú rôzne verzie poistenia kybernetických rizík, ktoré vieme nastaviť podľa vašich potrieb a požiadaviek.
V prípade záujmu o ponuku poistenia kybernetických rizík alebo otázok súvisiacich s poistením sa na nás môžete s dôverou obrátiť.
Mgr. Mikuláš Gürtler
RENOMIA, s.r.o, www.renomia.sk
M: +421 915 768 065, E: mikulas.gurtler@renomia.sk