Obecné nařízení o ochraně osobních údajů (GDPR) definuje řadu pravidel pro zpracování osobních údajů. GDPR je opravdu obecné, dopadá na velké banky a výrobní firmy, ale i zdravotnická zařízení, školy, obce, e-shopy a vlastně každého, kdo nějakým způsobem pracuje s osobními daty klientů nebo zaměstnanců.
Stovky nových judikátů a metodik!
GDPR je s námi už skoro 6 let. Znáte další metodiky, judikáty a stanoviska, která na něj navazují a upřesňují jednotlivé povinnosti? To, co jste implementovali v roce 2018, už totiž nestačí!
Pokyny z Bruselu
Evropský sbor pro ochranu osobních údajů vydal desítky metodik a výkladových vodítek. A český Úřad pro ochranu osobních údajů (ÚOOÚ) se jimi při kontrolách a auditech řídí. O čem tyto metodiky jsou? Například o tom:
Jak hodnotit incidenty s dopadem na osobní údaje (data breach) a které oznamovat dozorovým úřadům. Jste si jistí, že incident stihnete zaznamenat, vyhodnotit a reportovat do 72 hodin?
Jak správně vyřídit žádosti subjektů údajů o přístup k jejich datům. Víte, kde všude máte osobní údaje svých klientů, dokážete je rychle získat a klientovi je správným způsobem zpřístupnit?
Jak správně určit správce a zpracovatele a nastavit vzájemná práva a povinnosti. To může být komplikované zejména při využití komplexních dodavatelských řetězců, cloudových služeb atd.
Jak aplikovat GDPR pravidla při online marketingu a cílení na sociálních sítích.
Jak se GDPR uplatní na kamery a další sledovací systémy. A to včetně těch online, bez pořizování záznamu
A jak je to s tím souhlasem? Kdy ho používat, kdy ne, a jaké má takový souhlas vypadat, aby byl platný.
Detailní metodiky ÚOOÚ
Nezahálí ani český Úřad pro ochranu osobních údajů. Ten se zaměřil například na to, kdy a jak se provádí posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessmet). Na 25 stránkách definuje kritéria pro přípravu této analýzy a vysvětluje, jak hodnotit rizika zpracování pro subjekty údajů. Znáte tuto metodiku, můžete doložit, že vaše dokumentace je s ní v souladu?
A co nová metodika ÚOOÚ ke kamerám? Úřad v ní, po vzoru Evropského sboru pro ochranu osobních údajů, jednoznačně říká, že GDPR se vztahuje na kamery a kamerové systémy včetně těch v online režimu, tedy bez delšího ukládání přenášených obrazů. Víte o tom, jsou vaše online kamerové systémy v souladu s GDPR?
Cookies a marketing jen se souhlasem!
Velkým tématem je rovněž ochrana soukromí online a při marketingu. V roce 2022 došlo k novelizaci zákona o elektronických komunikacích. Pro využití cookies a obdobných sledovacích nástrojů a pro telemarketingové hovory nyní platí pravidlo opt-in, tzn. nutnost předchozího souhlasu. I pro tuto oblast jsou k dispozici nové metodiky, k telemarketingu společný návod od ÚOOÚ a Českého telekomunikačního úřadu, ke cookies zase detailní rozbor a poznatky z kontrol, které zveřejnil ÚOOÚ.
Výklad upřesňují evropské i české soudy
Podívejme se také na rozhodovací praxi soudů.
České soudy se zabývají například tím, jaké informace je nutné považovat za osobní údaje. A jejich výklad je dosti široký, například Nejvyšší správní soud v rozsudku ze srpna 2023 dospěl k závěru, že osobním údajem je třeba i číslo jednací soudního spisu. Navázal tak na předchozí judikáty Soudního dvora EU, podle kterého je za osobní údaj nutné považovat i dynamickou IP adresu. Stručně řečeno, osobní údaj je podle soudů prakticky vše, co se dá přiřadit ke konkrétní fyzické osobě, byť za vynaložení dalšího úsilí či při využití dodatečných informací.
Soudní dvůr EU se ale zabývá i dalšími otázkami. Například tím, jaký rozsah informací je nutné o zpracování osobních nutné poskytovat dotčeným lidem (nepřekvapivě opět velmi mnoho dat a skutečností), jaké z GDPR plynou povinnosti provozovatelům webových stránek, jak v praxi uplatnit právo na výmaz nebo třeba co to z pohledu GDPR znamená, když si firma zřídí stránku na Facebooku nebo na svůj web dá tlačítko „like“ od některé ze sociálních sítí.
Nové smluvní doložky pro předávání dat mimo EU
Soudní dvůr Evropské unie také poměrně zkomplikoval využití služeb od amerických dodavatelů. V roce 2020 totiž zrušil tzv. Privacy Shield, který umožňoval evropským správcům předávat osobní údaje do USA bez nutnosti dalších administrativních kroků. Evropská komise proto aktualizovala vzorové smluvní doložky pro předávání dat mimo EU. Od roku 2023 byste tak ve smlouvách se svými americkými partnery či v podmínkách využití jejich aplikací měli plně reflektovat tyto nové vzory. Víte, ve kterých procesech a jaká data předáváte mimo Evropskou unii? Znáte všechny cloudové aplikace, byť zdánlivě nevinné a běžné, které jsou ve vaší firmě používány a které vše předávají do USA nebo dalších států?
Speciálně pro předávání osobních údajů do USA byla v roce 2023 přijat nový právní rámec, tzn. Data Privacy Framework. Znáte jeho pravidla, víte, pro které dodavatele či obchodní partnery z USA jej můžete využít a za jakých podmínek?
Co hrozí? Pořádné pokuty, a už i v České republice
V médiích rezonují zprávy o rekordních pokutách. Stovky milionů Euro pro Metu (Facebook) a Amazon další velké hráče. Pokut ovšem padá daleko více prakticky ve všech členských státech. A to i za trochu přehlížené oblasti, například sledování zaměstnanců, špatné vyřizování žádostí klientů o přístup k datům a samozřejmě za nedostatečné zabezpečení a úniky dat.
Ale pozor, i náš ÚOOÚ umí ukázat zuby. Společnosti Avast uložil, zatím nepravomocnou, pokutu 320 milionů korun. Za co? Za to, že jedna z jeho dceřiných společností prodávala informace o klientech. Avast se bránil, že se jednalo jen o technická data, která nikoho přímo neidentifikovala. Ale ÚOOÚ aplikoval už zmíněný široký výklad pojmu osobní údaje a uložil rekordní pokutu.
Zajímavé pokuty ale padají i v dalších oblastech. ÚOOÚ za nesprávné používání cookies uložil za první polovinu roku 2023 pokuty v celkové výši téměř 4,5 milionu korun. Milionové pokuty dává i za mailový marketing, jinak řečeno spamy. Nejen těm, kdo spam přímo posílají, ale i těm, kdo si elektronický marketing objednají a dostatečně si nepohlídají, že to jejich dodavatel dělá správně. Víte, komu může být vaším jménem marketingová nabídka poslána? A ne, veřejně dostupné e-maily to rozhodně nejsou.
Pokuty ale udělují i jiní. Český telekomunikační řad už uložil pokuty za více než 5 milionů za telemarketing. A třeba inspekce práce řešila i maketu kamery na pracovišti. Maketa samozřejmě žádné osobní údaje nezpracovává, proto také tento podnět ÚOOÚ inspekci práce předal. Hádejte, jak to dopadlo? Inspekce práce dospěla k tomu, že i atrapa kamery může představovat porušení zákoníku práce. Proč? Protože její instalací zaměstnavatel porušuje povinnost vytvářet příznivé pracovní podmínky a zajišťovat bezpečnost a ochranu zdraví při práci.
A tím to zdaleka nekončí!
GDPR, české zákony, metodiky, judikáty, pokuty. Je toho opravdu hodně a udržet si povědomí alespoň o těch hlavních změnách a novinkách není snadně.
Důležité ale je dívat se i dopředu. Už jste slyšeli o směrnici NIS2 a návrhu nového zákona o kybernetické bezpečnosti? A co Data Act, DORA, AI Act nebo ePrivacy nařízení? EU nezastavuje svůj regulatorní kolotoč a připravuje další a další předpisy. Mnoho z nich má dopad do pravidel pro zpracování a ochranu informací, včetně osobních údajů.
Pokud nechcete nová pravidla implementovat na poslední chvíli, draze, pod tlakem a za cenu omezení jiných aktivit, je důležité mít alespoň základní přehled, co se chystá. A nové procesy, produkty i smlouvy už připravovat tak, abyste je za rok či dva nemuseli celé předělat, nebo rovnou vyhodit. To by určitě byla škoda.
Co s tím? Kurzy od TayllorCox!
Orientujete se v nových požadavcích GDPR i další regulace. Získejte jistotu, že vaše interní procesy fungují tak, jak mají, a že vám nehrozí pokuta nebo reputační problémy. Připravte se na nové regulace a povinnosti a získejte náskok před konkurencí.
Jak?
S kurzem GDPR Legal Update, kterým vás provede šéfredaktor webu GDPR.cz, František Nonnemann. A s dalšími semináři a nástroji od TayllorCox.
Důležité novinky, praktické tipy a návody a informace o nových regulacích v oblasti ochrany informací a compliance najdete na jednom místě na www.gdpr.cz
