Upgrade GDPR po 5 letech – co nás nemine
Rok s rokem se sešel a my ani letos nechceme, ba přímo nemůžeme, zapomenout na jedno významné výročí. Na sobotu totiž připadá
MEZINÁRODNÍ DEN OCHRANY OSOBNÍCH ÚDAJŮ
Tento významný den si připomínáme od roku 2007, přičemž Obecné nařízení o ochraně osobních údajů je účinné od roku 2018. To už je poměrně dlouhá doba. Nezasloužilo by si téma GDPR po pěti letech upgrade? Nebo se na něm už pracuje? Či snad upadlo v zapomnění? Těmto otázkám jsme zasvětili letošní newsletter ku příležitosti Dne ochrany osobních údajů.
LEGISLATIVNÍ UPGRADE
Nemáme v úmyslu naše čtenáře dlouho napínat. Žádný velký upgrade Obecného nařízení se nechystá. To ale neznamená, že by téma ochrany osobních údajů bylo mrtvé. Právě naopak. Rozvíjí se, zlepšuje, modernizuje… Byť to jde všechno pomalu. Pomaleji než překotný technologický rozvoj, s kterým přichází další výzvy, příležitosti, ale i hrozby a rizika.
Mluví se o ledasčem. O tom, že je potřeba přijmout pravidla pro ochranu osobních údajů v elektronických komunikacích, že rodná čísla jsou snadno zneužitelná, že by oznamovatelé měli být více chráněni, o kybernetické bezpečnosti….
K některým tématům má tolik lidí co říct, že se o nich stále jen mluví, mluví a ještě dlouho bude jen mluvit. U jiných se procesy pohnuly a už se máme, nebo brzy budeme mít, oč opřít.
Zpracování osobních údajů
Zákon č. 110/2019 Sb., o zpracování osobních údajů
V roce 2019 byl po dlouhém čekání (a nesplnění původní stanovené lhůty) přijat tento adaptační zákon, který na národní úrovni zlehka upravuje, co Obecné nařízení členským státům EU upravit dovolilo.
Tedy věk pro udělení souhlasu se zpracováním osobních údajů (15 let), žurnalistické výjimky, výjimky z DPIA, změnu struktury a kompetencí Úřadu pro ochranu osobních údajů, nulové pokuty pro velkou část veřejného sektoru…
Zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů
Změna, která souvisí s přijetím zákona o zpracování osobních údajů, se týká 39 zákonů – především veřejnoprávních.
Rodná čísla
Rodná čísla jsou dnes chápána jako přežitek a hrozba ztráty identity. A to nejen proto, že svým charakterem obsahují informaci o datu narození, ale také o pohlaví a u starších čísel i o místě narození (číslo za lomítkem).
Držíte-li v ruce občanský průkaz s uvedeným rodným číslem, můžete si o dotyčné osobě zjistit vše, co uchovávají informační systémy nejen veřejné správy, ale i soukromého sektoru, protože rodná čísla se používají úplně všude. Nejen tam, kde o vás vede informace stát, ale i v bankovnictví a pojišťovnictví, na smlouvách na plyn, vodu, elektřinu a jinde.
Zákon č. 269/2021 Sb., o občanských průkazech
Od 1. ledna 2024 nebudou v občanských průkazech uváděny údaje o rodných číslech jejich držitelů.
Zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů
Rodná čísla budou nahrazena jinými jednoznačnými identifikátory osob. V soukromém sektoru bude rodné číslo nahrazeno především bezvýznamovým směrovým identifikátorem fyzické osoby.
Whistleblowing
Vzhledem k tomu, že transpozice evropské směrnice o ochraně osob měla být do našeho právního řádu zavedena ke dni 17. prosince 2021, jedná se o další téma, o kterém se dlouhou dobu jen mluvilo.
Minulá vláda návrh zákona projednat nestihla a s novou přišel návrh nový, který byl v listopadu 2022 poslaneckou sněmovnou projednán v prvním čtení.
Vládní návrh zákona o ochraně oznamovatelů počítá s účinností od „prvního dne druhého kalendářního měsíce následujícího po dni vyhlášení“. Záleží tedy jen na rychlosti schvalovacího procesu v Parlamentu.
Pro menší zaměstnavatele (s počtem zaměstnanců mezi 50 a 250) je stanoveno konkrétní datum, do kdy musí zavést vnitřní oznamovací systém, a to k 15. prosinci 2023.
O whistleblowingu a požadavcích směrnice jsme už toho v minulosti napsali mnoho. Provozujeme také web, který se whistleblowingu věnuje OhlasTo.online.
Hromadné žaloby
Hromadná žaloba je institut, který je známý v Nizozemí či Belgii, ale v České republice zatím chybí. Citelně.
Účelem je zvýšení ochrany menších žalobců (tedy sdružení většího množství žalobců pod jednu žalobu) a zefektivnění fungování soudního systému. Což mimo jiné umožní účastnit se řízení i drobným žalobcům, pro které by nebylo efektivní podání samostatné žaloby (aféra Dieselgate nebo Bohemia Energy).
Od věci není ani fakt, že většina hromadných žalob končí mimosoudním narovnáním a jen zlomek dospěje až k pravomocnému rozsudku.
Absence tohoto institutu však změní evropská legislativa. Implementační lhůta směrnice o zástupných žalobách uplynula koncem loňského roku.
Opět máme zpoždění. Návrh zákona o hromadném řízení byl nedávno dokončen (zatím neschválen a tudíž ani nepředán k projednávání Parlamentu), ale je velký tlak na to, aby navržená úprava začala fungovat do 25. června 2023.
Advokát Jaromír Císař: Vláda musí předložit řešení hromadných žalob, jinak hrozí žaloby iniciativ.
Elektronická komunikace
Když Evropská komise představila návrh Nařízení o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích, známé spíš pod názvem Nařízení ePrivacy, mluvilo se o tom, že tento předpis bude časově navazovat na účinnost GDPR.
Nařízení mělo nahradit směrnici 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, které se říká směrnice ePrivacy. To se však nestalo. Směrnice a její národní implementace jsou účinné do dnes a o o Nařízení ePrivacy se stále jen mluví.
Vzhledem k překotnému vývoji technologií a nových možností v oblasti elektronických komunikací, je onen návrh již nějakou dobu zastaralý a akutně vyžaduje ne update (akatualizaci), ale upgrade (kompletní překopání). Takže se odborníci shodují na tom, že ještě dlouho půjde jen o slova, ale ne o činy.
Nicméně když už jsme toto téma nakousli, neměli bychom zapomenout na zákon č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony, který výrazně zpřísnil pravidla pro používání cookies. Nebo se spíše jen snažil dohnat směrnicí ePrivacy zavedený evropský standard v přístupu ke cookies a telemarketingu.
Zajímá-li vás toto téma, navštivte novinku v našem archivu Pozor na cookies – většina webů to nemá v pořádku.
Kybernetická bezpečnost
V souvislosti s ochranou osobních údajů nemůžeme nezmínit největší progres na poli kybernetické bezpečnosti, kterým je bezesporu směrnice NIS 2, která 16. ledna 2023 nabyla účinnosti.
Směrnici 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii musí členské státy implementovat tak, aby přijatá opatření byla účinná od 18. října 2024.
Co se České republiky týče, směrnice si vyžádá změnu zákona o kybernetické bezpečnosti (včetně prováděcích předpisů a související vyhlášky).
Předávání dat do třetích zemí
Předání osobních údajů bez zvláštních opatření (ze strany předávajícího správce či zpracovatele) do třetích zemí je možné, je-li tato země považována za bezpečnou. Aby tak tomu bylo, musí disponovat platným rozhodnutím Evropské komise o odpovídající úrovni ochrany osobních údajů.
Takové rozhodnutí již obdrželo například Švýcarsko, Kanada, Argentina, Izrael, Japonsko, Spojené království a další země, jejichž výčet naleznete na stránkách Úřadu pro ochranu osobních údajů.
Co se nového rámce pro transatlantické toky dat týče (poté, co byl Soudním dvorem EU v roce 2020 zrušen „štít EU – USA“), dospěla EU a USA ke shodě na principech nové dohody. Nyní se čeká na přetavení v použitelný a zúčastněnými stranami schválený dokument.
Pamatujete ještě na šílenství kolem GDPR nebo vás toto téma nechává chladnými? Proč by nemělo, jsme už psali mnohokrát. Nakoukněte do našeho archivu.