Pokuty podle GDPR se počítají se podle obratu celé skupiny, ne jednotlivé firmy
Soudní dvůr Evropské unie (SDEU) potvrdil, že při určování výše pokut podle obecného nařízení o ochraně osobních údajů (GDPR) se nepočítá jen obrat firmy, která konkrétně porušila pravidla, ale celý obrat skupiny firem, do které patří. Takže i pokud chyboval „jen“ lokální pobočný podnik, sankce se může odvíjet od celosvětových tržeb celé korporace. To je důležité hlavně pro nadnárodní společnosti, kde může jít o opravdu vysoké částky.
Jsou údaje anonymní, nebo jen pseudonymní? Záleží, kdo je má v rukou
V debatě o tom, zda určitá data ještě jsou osobními údaji, generální advokát SDEU zdůraznil jednoduché, ale zásadní pravidlo: Pokud někdo nemá reálnou možnost zjistit, komu data patří, nejde o osobní údaje. Platí to, i když jiná strana by to udělat mohla. Jinými slovy, stejný soubor údajů může být pro jednu osobu anonymní, a tedy mimo režim GDPR, a pro druhou jen pseudonymní. To může mít velký význam třeba u předávání dat v rámci skupiny podniků nebo konzultanty či při nastavování přiměřených bezpečnostních opatření.
Automatizované rozhodování? Lidé mají právo vědět, jak funguje
Pokud se o vás rozhoduje „automaticky“, například při posuzování úvěruschopnosti nebo při vytváření spotřebitelských profilů, máte právo vědět, jak ten systém funguje. Nejen obecně, ale konkrétně: Jaké algoritmy a podle jaké logiky o vás rozhodují. A pokud se správce dat vymlouvá na obchodní tajemství? SDEU potvrdil, že správce t tak musí citlivé informace zpřístupnit soudu nebo úřadu pro ochranu osobních údajů, aby se ověřilo, jestli jsou vaše práva respektována.
Lze se bránit i budoucímu zneužití dat? Ano, říká generální advokát
GDPR sice výslovně neříká, že byste mohli požadovat, aby se s vašimi daty v budoucnu nezacházelo protiprávně, ale z principů GDPR taková možnost vyplývá (konkrétně pak z článků 5 a 6, které subjektům údajů umožňují domáhat se soudní ochrany podle článku 79), jak uvedl generální advokát SDEU v další kauze.
Stanovisko generálního advokáta dále objasňuje, že články 17 GDPR (právo na výmaz) a 18 GDPR (právo na omezení zpracování) ze své podstaty nebrání budoucímu protiprávnímu zpracování. Kromě toho podle čl. 82 odst. 1 GDPR při posuzování výše náhrady nemajetkové újmy není polehčující okolností oprávnění subjektu údajů domáhat se rovněž příkazu upustit od dalšího protiprávního zpracování. Pokud tedy máte obavy, že někdo bude vaše údaje zneužívat opakovaně, můžete se obrátit na soud a žádat, aby tomu zamezil. A není nutné čekat, až zakročí úřad, můžete jednat i sami.
Soudy rozšiřují odpovědnost za využití osobních dat
Evropská pravidla pro ochranu osobních údajů jsou stále velmi „živá“. Při jejich výkladu hrají klíčovou roli právě evropské soudy. Ať už jste právník, compliance specialista, správce dat nebo běžný uživatel internetu, vyplatí se sledovat, kam se výklad GDPR posouvá. Klíčová zpráva? Odpovědnost za data je čím dál větší – a možnosti obrany jednotlivců se rozšiřují.
