MEZINÁRODNÍ DEN OCHRANY OSOBNÍCH ÚDAJŮ

Tento významný den si připomínáme od roku 2007, přičemž Obecné nařízení o ochraně osobních údajů je účinné od roku 2018. To už je poměrně dlouhá doba. Nezasloužilo by si téma GDPR po pěti letech upgrade? Nebo se na něm už pracuje? Či snad upadlo v zapomnění? Těmto otázkám jsme zasvětili letošní newsletter ku příležitosti Dne ochrany osobních údajů.

LEGISLATIVNÍ UPGRADE

Nemáme v úmyslu naše čtenáře dlouho napínat. Žádný velký upgrade Obecného nařízení se nechystá. To ale neznamená, že by téma ochrany osobních údajů bylo mrtvé. Právě naopak. Rozvíjí se, zlepšuje, modernizuje… Byť to jde všechno pomalu. Pomaleji než překotný technologický rozvoj, s kterým přichází další výzvy, příležitosti, ale i hrozby a rizika. 

Mluví se o ledasčem. O tom, že je potřeba přijmout pravidla pro ochranu osobních údajů v elektronických komunikacích, že rodná čísla jsou snadno zneužitelná, že by oznamovatelé měli být více chráněni, o kybernetické bezpečnosti….

K některým tématům má tolik lidí co říct, že se o nich stále jen mluví, mluví a ještě dlouho bude jen mluvit. U jiných se procesy pohnuly a už se máme, nebo brzy budeme mít, oč opřít.

Zpracování osobních údajů

Rodná čísla

Rodná čísla jsou dnes chápána jako přežitek a hrozba ztráty identity. A to nejen proto, že svým charakterem obsahují informaci o datu narození, ale také o pohlaví a u starších čísel i o místě narození (číslo za lomítkem).

Držíte-li v ruce občanský průkaz s uvedeným rodným číslem, můžete si o dotyčné osobě zjistit vše, co uchovávají informační systémy nejen veřejné správy, ale i soukromého sektoru, protože rodná čísla se používají úplně všude. Nejen tam, kde o vás vede informace stát, ale i v bankovnictví a pojišťovnictví, na smlouvách na plyn, vodu, elektřinu a jinde.

Zákon č. 269/2021 Sb., o občanských průkazech
Od 1. ledna 2024 nebudou v občanských průkazech uváděny údaje o rodných číslech jejich držitelů. 

Zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů
Rodná čísla budou nahrazena jinými jednoznačnými identifikátory osob. V soukromém sektoru bude rodné číslo nahrazeno především bezvýznamovým směrovým identifikátorem fyzické osoby.

Whistleblowing

Vzhledem k tomu, že transpozice evropské směrnice o ochraně osob měla být do našeho právního řádu zavedena ke dni 17. prosince 2021, jedná se o další téma, o kterém se dlouhou dobu jen mluvilo.

Minulá vláda návrh zákona projednat nestihla a s novou přišel návrh nový, který byl v listopadu 2022 poslaneckou sněmovnou projednán v prvním čtení. 

Vládní návrh zákona o ochraně oznamovatelů počítá s účinností od „prvního dne druhého kalendářního měsíce následujícího po dni vyhlášení“. Záleží tedy jen na rychlosti schvalovacího procesu v Parlamentu. 
Pro menší zaměstnavatele (s počtem zaměstnanců mezi 50 a 250) je stanoveno konkrétní datum, do kdy musí zavést vnitřní oznamovací systém, a to k 15. prosinci 2023. 

O whistleblowingu a požadavcích směrnice jsme už toho v minulosti napsali mnoho. Provozujeme také web, který se whistleblowingu věnuje OhlasTo.online.

Hromadné žaloby

Hromadná žaloba je institut, který je známý v Nizozemí či Belgii, ale v České republice zatím chybí. Citelně.

Účelem je zvýšení ochrany menších žalobců (tedy sdružení většího množství žalobců pod jednu žalobu) a zefektivnění fungování soudního systému. Což mimo jiné umožní účastnit se řízení i drobným žalobcům, pro které by nebylo efektivní podání samostatné žaloby (aféra Dieselgate nebo Bohemia Energy). 

Od věci není ani fakt, že většina hromadných žalob končí mimosoudním narovnáním a jen zlomek dospěje až k pravomocnému rozsudku. 

Absence tohoto institutu však změní evropská legislativa. Implementační lhůta směrnice o zástupných žalobách uplynula koncem loňského roku.

Opět máme zpoždění. Návrh zákona o hromadném řízení byl nedávno dokončen (zatím neschválen a tudíž ani nepředán k projednávání Parlamentu), ale je velký tlak na to, aby navržená úprava začala fungovat do 25. června 2023. 

Advokát Jaromír Císař: Vláda musí předložit řešení hromadných žalob, jinak hrozí žaloby iniciativ.

Elektronická komunikace

Když Evropská komise představila návrh Nařízení o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích, známé spíš pod názvem Nařízení ePrivacy, mluvilo se o tom, že tento předpis bude časově navazovat na účinnost GDPR.

Nařízení mělo nahradit směrnici 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, které se říká směrnice ePrivacy. To se však nestalo. Směrnice a její národní implementace jsou účinné do dnes a o o Nařízení ePrivacy se stále jen mluví. 

Vzhledem k překotnému vývoji technologií a nových možností v oblasti elektronických komunikací, je onen návrh již nějakou dobu zastaralý a akutně vyžaduje ne update (akatualizaci), ale upgrade (kompletní překopání). Takže se odborníci shodují na tom, že ještě dlouho půjde jen o slova, ale ne o činy. 

Nicméně když už jsme toto téma nakousli, neměli bychom zapomenout na zákon č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony, který výrazně zpřísnil pravidla pro používání cookies. Nebo se spíše jen snažil dohnat směrnicí ePrivacy zavedený evropský standard v přístupu ke cookies a telemarketingu.

Zajímá-li vás toto téma, navštivte novinku v našem archivu Pozor na cookies – většina webů to nemá v pořádku. 

Kybernetická bezpečnost

V souvislosti s ochranou osobních údajů nemůžeme nezmínit největší progres na poli kybernetické bezpečnosti, kterým je bezesporu směrnice NIS 2, která 16. ledna 2023 nabyla účinnosti.

Směrnici 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii musí členské státy implementovat tak, aby přijatá opatření byla účinná od 18. října 2024.

Co se České republiky týče, směrnice si vyžádá změnu zákona o kybernetické bezpečnosti (včetně prováděcích předpisů a související vyhlášky).  

Předávání dat do třetích zemí

Předání osobních údajů bez zvláštních opatření (ze strany předávajícího správce či zpracovatele) do třetích zemí je možné, je-li tato země považována za bezpečnou. Aby tak tomu bylo, musí disponovat platným rozhodnutím Evropské komise o odpovídající úrovni ochrany osobních údajů.

Takové rozhodnutí již obdrželo například Švýcarsko, Kanada, Argentina, Izrael, Japonsko, Spojené království a další země, jejichž výčet naleznete na stránkách Úřadu pro ochranu osobních údajů.

Co se nového rámce pro transatlantické toky dat týče (poté, co byl Soudním dvorem EU v roce 2020 zrušen „štít EU – USA“), dospěla EU a USA ke shodě na principech nové dohody. Nyní se čeká na přetavení v použitelný a zúčastněnými stranami schválený dokument.

Pamatujete ještě na šílenství kolem GDPR nebo vás toto téma nechává chladnými? Proč by nemělo, jsme už psali mnohokrát. Nakoukněte do našeho archivu.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Mezinárodní den ochrany osobních údajů

Od té doby ušla Evropa nemalý kus cesty, přičemž přijetí Obecného nařízení o ochraně osobních údajů (známé jako GDPR) bylo jen jedním z mnoha milníků. Ochrana osobních údajů by se s trochou nadsázky dala přirovnat k živému organismu, který roste a vyvíjí se. Jen v České republice to nemá úplně jednoduché. Nemálo lidí totiž pochopí, jak důležitý nástroj GDPR je, teprve ve chvíli, kdy se sami stanou cílem útoku.

Vzpomenete si, kolikrát jste tento měsíc někam psali nebo zadávali své jméno, telefonní číslo či emailovou adresu? Kolikrát jste se zúčastnili nějakého výzkumu proklikem z mailu? Co všechno jste o sobě uvedli při zavedení do evidence u lékaře, při zakládání bankovního účtu nebo u příležitosti zákaznické registrace v obchodě? A co vaše profily na sociálních sítích? Jste si jisti jejich zpřístupněním pouze vámi zvolenému okruhu osob? Cokoliv na sítích sdílíte, stává se jejich definitivní součástí, a to často i potom, co svůj příspěvek smažete. 

Tlak na vytvoření virtuální identity roste. Možná se bráníte sociálním sítím, ale nic si nenalhávejte, v Matrixu už stejně dávno jste. 

Mezinárodní den ochrany vznikl právě proto, aby rozvíjel povědomí veřejnosti o vlastní odpovědnosti za zacházení s osobními údaji v online i offline světě. 

Nechceme nabádat, abyste nikomu své osobní údaje nesvěřovali. To byste velmi rychle narazili. Ale zdůrazňujeme, že je dobré rozmýšlet nad tím, komu své údaje svěřujete a třeba se i zajímat o to, k jakým účelům je bude využívat. Mějte na paměti, že nemusíte vždy souhlasit úplně se vším. 

Zajímalo vás někdy, které další státy ochranu osobních údajů řeší? Svého času byla Evropská unie první vlaštovkou. Proto nás velmi mile potěšilo, že se od té doby přidalo významné množství dalších zemí, které v nějaké podobě přijaly principy „našeho“ GDPR nebo si zavedly vlastní, ale důležité je, že ochranu osobních údajů vůbec berou v potaz. 

Konference OSN o obchodu a rozvoji (UNCTAD) na svých webových stránkách uvádí, že se ochranou osobních údajů zabývá 128 zemí ze 194. Zároveň nabízí velmi vydařenou interaktivní infografiku (viz obrázek výše), kde se sami můžete přesvědčit, jak si který světadíl či stát v této problematice vede.

Vrátíme se však ještě na chvíli k GDPR. Nedávno se na portálu Novinky.cz objevila informace, že v loňském roce vzrostly pokuty za porušení GDPR téměř sedminásobně (proti roku 2020) na 1,25 miliardy dolarů, přičemž v roce 2020 to bylo i tak nepředstavitelných 180 milionů dolarů. Asi nikoho nepřekvapí, že se na uvedených sumách nejvíce podílí celosvětové technologické značky jako je Google, Facebook, Amazon, WhatsApp a další giganti. Pro zájemce uvádíme, že přehled udělených pokut napříč Evropskou unií je k dispozici na adrese www.enforcementtracker.com, byť se jedná o neúplný výčet, neboť některé národní dozorové úřady udělené pokuty zpřístupňují ke statistickým účelům se zpožděním nebo vůbec.

Jak jste na tom vy? Nedopadly by pokuty i na vás? S měnícími se zákony je čas zkontrolovat stav vašich procesů a IT – a od toho máte nás.

Protože ochranu osobních údajů bereme vážně, v týdnu od 1. do 7. února 2022 nabízíme slevu 10% na služby spojené s ochranou osobních údajů.

Co se týče naší země, údaje o provedených kontrolách a udělených pokutách za loňský rok nejsou zatím k dispozici. Nicméně soudě dle zveřejněných informací za I. pololetí, Úřad nezahálí. Každopádně mu přibyli minimálně dvě další oblasti, kde se dá očekávat udělování sankcí. Jedná se o cookies a whistleblowing. 

Cookie lišty stále ještě nemá velké množství webů v pořádku a neplní tak povinnosti, jež začaly platit s příchodem nového roku. A co se ochrany oznamovatelů týče, ta s sebou také nese povinnosti související s GDPR. Minimálně ty, které vyplývají ze zpracování osobních údajů a vedení registru zpracování. Na tato témata zaměříme naši pozornost v některé z příštích novinek.

Říkáte si, nač se asi tyto vybrané finance použijí? Také nás to zajímalo, proto jsme položili dotaz nejpovolanějšímu – Úřadu pro ochranu osobních údajů. Níže uvádíme úplný přepis odpovědi.

Rozloučíme se s vámi slovy předsedy Úřadu pro ochranu osobních údajů Jiřího Kauckého: „Den ochrany osobních údajů berme jako připomínku doby a situace, ve které žijeme. Všudypřítomná digitalizace a stále větší úloha online světa internetu nám přináší spoustu výhod a ulehčení. Zároveň však představuje také mnohá nebezpečí. Ještě nikdy v minulosti nebylo tak jednoduché dostat se nám do soukromí a zneužít naše osobní údaje k manipulaci nebo dalšímu nekorektnímu jednání ve vlastní prospěch. Jejich hodnotu a křehkost nám ukazují také stále častější kybernetické útoky. Kybernetické útoky však nejsou jedinou současnou hrozbou pro naše soukromí. Značná rizika pro ochranu osobních údajů přinášejí rovněž dobře míněná opatření v rámci boje proti pandemii nemoci COVID-19. Tato opatření je vždy nutno velmi pečlivě posuzovat z hlediska vyvážení chráněných zájmů (ochrana života a zdraví a ochrana soukromí), efektivity a rizika zneužitelnosti vytvořených prostředků. Je proto nutné, aby byla ochraně našich osobních dat věnována větší pozornost než kdy dříve.“

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Doklad totožnosti za účelem legitimování naší osoby vytahujeme čím dál častěji. Někdy do něj dotyčný jen nahlédne, jindy jsou z něj opsány údaje nebo je pořízena jeho kopie. Pojďme se podívat, kdy máme povinnost prokazovat svou totožnost, zda musíme souhlasit s kopírováním dokladu a jak se případně můžeme bránit.

K tomuto tématu nedávno zveřejnil Úřad pro ochranu osobních údajů poměrně rozsáhlý dokument Prokazování totožnosti a zpracování osobních údajů . My vám přinášíme to nejdůležitější obohaceno o náš pohled. 

Občanský průkaz je dle zákona č. 328/1999 Sb., o občanských průkazech veřejnou listinou, kterou občan prokazuje svá jména, příjmení, podobu, státní občanství a další údaje. Ještě letos se pravděpodobně začnou vydávat občanské průkazy s čipy, které budou povinně obsahovat také biometrické údaje – kromě fotky i dva otisky prstů. 

Povinnost vlastnit občanský průkaz má každý, kdo dosáhl věku 15 let. Mezi lidmi je hluboce zakořeněná povinnost nosit občanský průkaz neustále u sebe, avšak zákon, který takovou povinnost určoval, byl v roce 2000 zrušen.

Je-li to druhou stranou akceptováno, lze jako průkaz totožnosti využít i cestovní doklad (obsahuje-li fotografii držitele) nebo jiný doklad, například řidičský průkaz či služební průkaz. Totožnost však v určitých případech můžete prokázat i různými potvrzeními, jejich kombinací, nebo i prohlášením třetí osoby, která dosvědčí vámi uvedené nacionále.

Prokázání totožnosti vůči orgánům veřejné moci je zákonná povinnost občana.

Policie České republiky je oprávněna požadovat prokázání totožnosti. Podle zákona o Policii ČR však rozsah a způsob zjišťování osobních údajů musí být přiměřené účelu zjišťování totožnosti. 

Koho by snad napadlo vzdorovat či svou totožnost na místě prokázat nemohl (za to, že u sebe nemáte doklady nemůžete dostat pokutu), je policista oprávněn odpůrce předvést na policii za účelem zjištění jeho totožnosti dle evidencí, sejmutím otisků prstů, zjišťováním tělesných znaků, měřením těla, pořizováním obrazových, zvukových a jiných záznamů či odebíráním biologických vzorků. 

Obdobná oprávnění mají i příslušníci některých jiných bezpečnostních sborů (vojenská policie, příslušník hasičského záchranného sboru atd.) či strážník dle zákona o obecní policii. 

Zjišťovat totožnost však mohou i další orgány veřejné moci na základě příslušných zákonů například podle daňového řádu, kontrolního řádu, zákona o inspekci práce, zákona o rybářství, zákona o ochraně přírody a dalších. 

Totožnost účastníků soudního řízení ověřují soudy. Stejně tak je potřeba prokázat správním orgánům totožnost účastníků správního řízení.

Uzavírání řady smluv se také neobejde bez prokázání totožnosti.

Stejně tak může být oprávněný i požadavek na prokázání totožnosti návštěvníka objektu – výrobní haly, skladu, kancelářské budovy, areálu školy apod. Můžeme být vyzváni k předložení občanského průkazu, služebního průkazu či jiného odpovídajícího dokumentu (třeba předvolání). 

Nezřídka dochází k zaznamenání osobních údajů návštěvníka. Obvykle z bezpečnostních důvodů pro případ vzniku mimořádné události a potřeby následné identifikace návštěvníka.

Správce osobních údajů by měl dle GDPR dbát na minimalizaci osobních údajů. Lze zaznamenat jméno a příjmení návštěvníka, číslo a typ předkládaného dokladu, účel návštěvy či jméno navštívené osoby. Je však nezbytné informovat návštěvníky proč, jakým způsobem a po jakou dobu budou jejich osobní údaje zpracovávány. 

Pořizování kopií dokladů totožnosti je poměrně častý jev, byť ve většině případů by mělo stačit jejich pouhé předložení a případné zaznamenání (opsání) nezbytných údajů. Ani orgány veřejné moci při kontrole totožnosti fyzické osoby zpravidla kopii občanského průkazu či cestovního dokladu nepotřebují a ani zákon jim takový postup neukládá.

Zákonem stanovené pořizování kopií těchto dokladů je spíše výjimečné. Kopie se například přikládá k žádosti o ověření rodného čísla.  Kopie či výpisy z předložených dokladů mohou pořizovat povinné osoby dle zákona č. 253/2008 Sb. Kromě bank, dalších finančních institucí, pojišťoven, notářů patří mezi povinné osoby také obchodníci s uměleckými díly či bazary a zastavárny. Nicméně zákonná povinnost zpracovávat kopie průkazu totožnosti je těmto osobám dána pouze v případech, kdy dochází k uzavření smlouvy bez fyzické přítomnosti klienta (například při sjednání bankovního účtu na dálku – online). Jinak by pořizování kopií nemělo být plošné, ale v konkrétních případech odůvodněné (například při podezření na možné porušování zákona).  

Vzhledem ke zneužitelnosti občanského průkazu (případně cestovního dokladu) stanoví příslušné zákony zákaz pořizovat jakýmikoliv prostředky kopie těchto průkazů bez prokazatelného souhlasu občana, kterému byl průkaz vydán. Z praxe však víme, že poskytnutí některých služeb je podmiňováno souhlasem s pořízením kopie průkazu totožnosti. Takový souhlas však není získán v souladu s GDPR, neboť nenaplňuje podmínku svobodného projevu vůle.  

Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je v současné době přestupkem fyzické osoby, která kopii pořídila (byť se tak stalo na základě rozhodnutí zaměstnavatele/právnické osoby) a tento přestupek projednává příslušný obecní úřad. Aktuálně se však projednává novela zákona o občanských průkazech, kde se už počítá s tím, že za takové jednání bude moci být postihnuta i právnická osoba. Nicméně z pohledu GDPR je za správné (a minimalistické) zpracování osobních údajů odpovědný správce, tedy ve zmíněném případu právnická osoba. Tento přestupek patří do agendy Úřadu pro ochranu osobních údajů.

Pozor na pořizování kompletních kopií dokladů a jejich ukládání do evidence. Mohou obsahovat i další osobní nebo i citlivé údaje, které nejsou nezbytné pro daný účel a došlo by tak k porušení zásady minimalizace zpracovávaných údajů. Zde se pak jedná o zpracování osobních údajů na základě souhlasu se zpracováním osobních údajů ve smyslu GDPR (tedy svobodný, konkrétní, informovaný a jednoznačný). 

Možné porušení zásady minimalizace i v případě osobních dokladů bývá někdy řešeno pořízením kopie pouze části dokladu se zakrytím nepotřebných údajů např. pomocí šablony, což je akceptovatelné (např. při uzavírání soukromoprávních smluv).

Přestupky proti zpracování osobních údajů projednává Úřad pro ochranu osobních údajů.  

Proto jsme-li žádáni o umožnění pořízení kopie svého průkazu totožnosti, měli bychom se zajímat, zda je požadavek vznášen na základě zákona nebo na základě dobrovolného souhlasu. Rovněž by nám nemělo být lhostejné, jaké jsou pro to důvody a případné následky odmítnutí. Není-li pořízení kopie pro ověření totožnosti nezbytné, mělo by stačit pouhé nahlédnutí do dokladu či zaznamenání příslušných údajů. 

Pokud byla kopie občanského průkazu nebo cestovního dokladu pořízena neoprávněně, obraťme se se stížností na příslušný obecní úřad s rozšířenou působností. Máme-li podezření na porušení zásady minimalizace (například při ukládání kompletních kopií), jedná se o porušení GDPR, což přísluší k posouzení Úřadu pro ochranu osobních údajů. 

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Množí se nám s dotazy, jak se ve firmě postavit k povinnému testování zaměstnanců. Co na to GDPR? A kam s odpadem? 

Povinnost testovat zaměstnance na přítomnost nákazy COVID-19 je zaměstnavatelům nařízena mimořádným opatřením Ministerstva zdravotnictví MZDR 47828/2020-16/MIN/KAN . Přestože se týká zaměstnavatelů s více jak padesátkou zaměstnanců, dá se do budoucna očekávat, že tato povinnost bude rozšířena i na menší společnosti.

Při plnění uložené povinnosti zajišťovat testování zaměstnanců dochází ke zpracování osobních údajů. Zaměstnavatel je v tomto případě správcem a nepotřebuje souhlas zaměstnance. Záznamy o provedených testech u jednotlivých zaměstnanců pořizuje z důvodu zákonné povinnosti a veřejného zájmu v oblasti veřejného zdraví. Jen je potřeba dát pozor na rozsah evidovaných údajů. 

Na webu Ministerstva průmyslu a obchodu je zveřejněn vzor přehledu o provedených testech . Tyto záznamy mohou obsahovat jméno, příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, údaje o čase provedení testu a výsledku, případně je možno uvést důvod výjimky z testování. Vyjádření Úřadu pro ochranu osobních údajů k povinnosti evidovat testy naleznete zde . 

Pozor, pracujeme se zvláštní kategorií osobních údajů (citlivé údaje), které vyžadují důsledné zabezpečení a rozhodně není možné tyto údaje uchovávat po neomezeně dlouhou dobu.

Evidence by měla být zpřístupněna pouze osobám, jež zaměstnavatel pověřil plněním úkolů spojených s dodržováním mimořádného opatření. 

Co se předávání těchto údajů týče (například pojišťovnám), nepředejme více, než co je požadováno. Informaci o pozitivním testu by měl sám zaměstnanec, jehož se výsledek týká, hlásit praktickému/podnikovému lékaři či jinému poskytovateli zdravotních služeb nebo orgánu hygieny.

Doba, po kterou je nutno vést a uchovávat evidenci, stanovena nebyla.
Z logiky věci je však potřeba ponechat si ji po dobu účinnosti mimořádného opatření k provádění povinného testování zaměstnanců a pro případné kontroly zpracování plateb a nároků, které mohou v důsledku testování vzniknout. Po této době musí následovat fyzická i elektronická likvidace údajů. 

Nezapomínejme, že i v tomto případě jsme povinni zaměstnance informovat o tom, kdo jeho osobní údaje zpracovává, komu budou předávány (např. zdravotním pojišťovnám, orgánům ochrany veřejného zdraví), jaký je právní základ tohoto zpracování a po jakou dobu budou údaje uchovávány. Rovněž mu nesmíme zatajit informace o druhu a povaze testů či způsobu testování.

Na závěr je potřeba zdůraznit, že i toto zpracování by mělo být vedeno v záznamech o činnostech zpracování dle článku 30 obecného nařízení. 

Druhý dotaz našich klientů se týká likvidace kontaminovaného materiálu z antigenních testů. Ministerstvo životního prostředí k této problematice vydalo metodické sdělení , které tento odpad zařazuje jako směsný komunální odpad pod katalogové číslo 20 03 01. Je však potřeba dodržet určité postupy při manipulaci s tímto odpadem:

	Veškerý odpad z testovacích výrobků ukládejte do pevného plastového pytle určeného na odpady o minimální tloušťce 0,2 mm (u tenčích pytlů obal zdvojte).
	Po naplnění pytle (nejpozději do 24 hodin) pytel pevně zavažte a na povrchu ošetřete dezinfekčním prostředkem.
	Pytel odložte do černého kontejneru na směsný komunální odpad. Nikdy odpad nenechávejte mimo sběrnou nádobu!
	Po manipulaci s odpadem si důkladně umyjte ruce mýdlem a teplou vodou nebo použijte dezinfekci.

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Přesně před 40 lety přijala Rada Evropy Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů jakožto první zákonodárný dokument, který upravoval oblast ochrany osobních údajů. Na tuto úmluvu následně navázaly další zákony v čele s obecným nařízením GDPR.

Připomeňme si právě dnes, proč je ochraně osobních údajů věnována pozornost. Každodenně jsme svědky neustále se prohlubující digitalizace, komunikační technologie pomalu ukrajují z naší anonymity a řečeno trochu nadneseně,  řídí naše životy.

Nekorektní jednání a prospěchářství je staré jako lidstvo samo. Není tedy s podivem, že jsou moderní technologie zneužívány ve snaze o manipulaci lidí, zisk či dosažení jiného cíle. Osobní údaje, potažmo naše soukromí, je v této souvislosti potřeba chápat jako komoditu, kterou je nezbytné chránit, jinak o ni přijdeme.

DEN OCHRANY OSOBNÍCH ÚDAJŮ

28. ledna 2021

Pojďme tedy nahlédnout, co se na poli GDPR v poslední době událo.

Zjistili jsme, jak se to má s certifikací GDPR. Organizace, které mají zájem zdokumentovat a doložit svůj soulad s GDPR nemusí čekat na dokončení zdlouhavého schvalovacího procesu zavedení akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA). Mají i jiné možnosti.

Dáváte pozor na osobní údaje, které zpracováváte? Někteří berou GDPR na lehkou váhu. Výtečníků, které napadlo rozesílat spam do datových schránek si už Úřad pro ochranu osobních údajů (ÚOOÚ) všiml a pokuty na sebe nenechaly dlouho čekat.

Kapry z českého rybníčku nelze srovnávat s úlovky ze zahraničí. Portál Finance in Bold  na svých stránkách uvádí, že v zemích EU byly v roce 2020 rozdány pokuty ve výši 306,3 milionů EUR. Rozhodně se nejedná o konečné číslo, neboť v žebříčku nejsou ještě zahrnuty všechny země. Co do výše udělených pokut vede Francie, která nehodlá pochybení odpustit Googlu, Amazonu a dalším. Bude zajímavé sledovat, zda zmíněné společnosti skutečně 138,3 milionů EUR zaplatí.   

A když už jsme zabrousili do zahraničí, mrkneme se na to, jaké nástrahy čekají na ty, kteří hodlají předávat osobní údaje do Velké Británie či USA. 

ÚOOÚ jakožto odpovědný dozorový státní orgán v oblasti dodržování českého zákona č. 110/2019 Sb., o zpracování osobních údajů a evropského předpisu č. 2016/679 o ochraně osobních údajů rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované ČIA.

Aby tento proces mohl být zahrnut do akreditačního systému ČR, bylo zapotřebí, aby ÚOOÚ vytvořil dokument specifikující a doplňující obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu. Vzhledem k faktu, že se jedná o velmi komplexní problematiku, vznikla následně na evropské úrovni pracovní skupina, která měla za cíl připravit evropský dokument jako vodítka pro místní dozorové orgány. Text připravený ÚOOÚ bylo tedy potřeba dle těchto vodítek upravit a předložit Evropskému sboru pro ochranu osobních údajů ke schválení. Ten vydal své stanovisko a doporučení k úpravám dokumentu dne 25. května 2020.

Současný model vychází z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo dle požadavků normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících hmotné a nehmotné produkty, ale také procesy a služby. Tak totiž norma definuje termín produkt. Dá se tedy předpokládat, že oficiální certifikace GDPR nebudou zahrnovat celé organizace, ale jen služby a produkty v konkrétním způsobu použití. 

V kontextu aktuální pandemie se však celá problematika upozadila a v tuto chvíli nemáme informaci o konkrétním termínu zavedení akreditace v oblasti GDPR v České republice. 

Samozřejmě je zde stále možnost nechat si  certifikovat interně nastavená pravidla a procesy týkající se osobních údajů nezávislým certifikačním orgánem neakreditovaně nebo v rámci certifikace systému řízení bezpečnosti informací (ISMS), kterou lze doplnit o certifikaci GDPR dle normy ISO/IEC 27701, jež nastavuje rámec pro zpracování osobních údajů nejen pro správce, ale i pro zpracovatele osobních údajů. Její zavedení v organizaci vede k dosažení kontroly nad zpracováním osobních údajů a nastavení procesů zmírňujících či eliminujících možná rizika. ISO 27701 je rozšířením ISO řady 27000, kde jsou obecná pravidla ISMS uplatňována na osobní údaje v intencích požadavků GDPR.

Certifikace dle normy ISO/IEC 27701 již v České republice probíhají. Zájem je především z oblasti zdravotnictví a od organizací, které zpracovávají rozsáhlé soubory velmi citlivých údajů. Jedním z certifikovaných je například Ústav zdravotnických informací a statistiky ČR. 

O rekordní pokutě udělené českým Úřadem pro ochranu osobních údajů ve výši 6 milionů korun za rozesílání nevyžádaných obchodních sdělení jsme psali v naší říjnové novince s názvem „Máte pořádek v souhlasech? Padla rekordní pokuta (GDPR)„.

Další z vyšších penalizací na sebe nenechala dlouho čekat a opět se jednalo o spam. Tentokrát si pokutu ve výši 3 111 000 Kč rozdělí jedenáct společností, které zaplevelily datové schránky rozesílanou nevyžádanou reklamou. Nekalé jednání je o to horší, že spameři se chtěli přiživit na období bezplatného rozesílání datových zpráv, které bylo nastoleno kvůli usnadnění komunikace mezi občany a státní správou v době nouzového stavu, aby lidé zbytečně nechodili na úřady. 

Pokuty byly uloženy nepravomocně, dotčené společnosti se tedy mohou proti nim odvolat.

V porovnání s ostatními zeměmi se držíme spíše na chvostu co se výše udělovaných pokut týče. Z dostupných zdrojů lze vyčíst, že kromě výše zmíněných bylo v České republice rozdáno osm dalších v celkové výši půl milionů korun (údaje za druhé pololetí nebyly v den vzniku tohoto článku aktualizovány). Pojďme se tedy podívat na ty největší úlovky ze zahraničních vod.

Přehled, který sestavil portál Finance in Bold (Finbold.com) sice neobsahuje všechny udělené pokuty za porušení pravidel GDPR za rok 2020, ale i tak se jedná o astronomické částky. Dvacítka zemí na 302 pokutách za loňský rok hodlá vybrat či již vybrala 306,3 milionů EUR, tedy 8 miliard korun českých. 

Google dostal v prosinci od francouzského úřadu pro ochranu osobních údajů pokutu 100 milionů EUR (2,6 miliardy Kč) za porušení pravidel pro sledování internetové reklamy, takzvaných cookies, jež používají internetové stránky k ukládání informací o činnosti uživatelů. Je to nejvyšší pokuta, jakou kdy tento úřad udělil.
A nezahálel, neboť si na paškál vzal také amerického internetového prodejce Amazon, kterému vyměřil za stejné porušení pravidel pokutu ve výši 35 milionů EUR (téměř miliarda Kč).
Údajně oba provozovatelé internetových stránek ve Francii nepožádaly předem své návštěvníky o souhlas s uložením reklamních cookies a neposkytly uživatelům jasné informace o tom, jak budou získané informace použity či jak mohou jejich použití odmítnout. Na nápravu mají nyní tři měsíce. Pokud tak neučiní, hrozí jim další pokuta, a to 100 tisíc EUR denně až do doby, než budou úpravy provedeny. Na celkovém objemu pokut se tak Francie podílí 45%.

V Hamburku se zas projednávalo protiprávní zpracování osobních údajů, kdy se společnost H&M nebála intenzivně monitorovat své zaměstnance. Informace o osobních a rodinných poměrech, zdravotním stavu, nemocech či náboženském přesvědčení systematicky zaznamenávala a bohužel si tyto záznamy nepohlídala. V důsledku technické chyby byly na několik hodin zpřístupněny v rámci firemní sítě. Tato chyba bude stát 35,3 milionů EUR (přibližně 920 milionů korun). 

O úniku osobních údajů a údajů karetních dat více než 400 tisíc klientů aerolinek British Airways jsme již také psali. Britský dozorový úřad původně avizoval pokutu 183 milionů britských liber. Po složitém vyjednávání však úřad aerolinkám na sklonku loňského roku uložil pokutu 20 milionů liber (zhruba 580 milionů korun). 

Také britskému hotelovému řetězci Marriott International snížil dozorový úřad prvotní pokutu z 99 milionů liber na 18,4 milionů (530 milionů korun). Zaplatit musí za únik dat stovek milionů hotelových hostů (jména, adresy bydliště, telefonní čísla, emailové adresy, příjezdy/odjezdy a další informace z databáze rezervačního systému jako jsou údaje o cestovních pasech či občanských průkazech).  

Na jihu Evropy uložil italský úřad místnímu telekomunikačnímu operátorovi Wind Tre SpA pokutu ve výši 17 milionů EUR (asi 440 milionů Kč) za porušení více pravidel při zpracování osobních údajů pro marketingové účely. Převážně šlo o marketingové oslovování uživatelů bez předchozího souhlasu a bez možnosti další komunikaci zabránit. 

Jak vidno na případu z Německa, ani přílišný prozákaznický přístup při vyřizování požadavků subjektu údajů na přístup k údajům se nemusí vyplatit. Místní telekomunikační operátor 1&1 Telecom GmbH nastavil příslušný proces způsobem, kdy stačilo zavolat na informační linku, uvést jméno a datum narození klienta a bez jakéhokoliv dalšího ověření dotyčný získal detailní klientská data.
Taková vstřícnost měla přijít na 9,55 milionů EUR (necelých 250 milionů korun). Do procesu byl však v rámci odvolání pokutovaného subjektu přizván i německý soud, dle kterého je současný německý model výpočtu pokuty nepřiměřený, neboť zásadním kritériem je výše obratu společnosti. Za malé prohřešky by byly velké společnosti pokutovány vysokými pokutami a naopak, malé společnosti by za velké prohřešky proti GDPR platily pakatel. Vzhledem k tomu, že se nejednalo o masový únik dat, ale o ojedinělé případy a dotčené osobní údaje jsou mnohdy veřejně dostupné a také že pokutovaná společnost ochotně spolupracovala, byla pokuta snížena soudním rozhodnutím o 90%.

Německý soud tak svým precedenčním rozsudkem poskytl velkým hráčům silnou zbraň až budou žádat o upuštění použití ustanovení Obecného nařízení zohledňující celosvětový obrat ve snaze vyhnout se vyšším pokutám, které by jim jinak hrozily.  

Ještě necelých šest měsíců bude GDPR v platnosti ve Spojeném království.

V praxi to znamená, že nevydá-li Evropská komise rozhodnutí o odpovídající úrovni ochrany osobních údajů ve Velké Británii umožňující jejich bezpečný transfer do Velké Británie, bude tato v brzké budoucnosti považována z pohledu předávání dat za třetí zemi.

Zmíněné rozhodnutí považuje třetí zemi z hlediska úrovně poskytované ochrany osobním údajům za bezpečnou a staví ji na roveň členským státům Evropské unie, kdy předávání osobních údajů do těchto zemí nevyžaduje ze strany předávajícího správce či zpracovatele přijetí žádných dodatečných opatření. Mezi tyto země se řadí Švýcarsko, Kanada, Argentina, Andorra, Izrael, Nový Zéland, Japonsko a další. 

Co však pro Spojené království přestalo platit s příchodem roku 2021 je mechanismus jediného kontaktního místa. Správci a zpracovatelé sídlící pouze ve Velké Británii musí jmenovat svého zástupce v jednom z členských států EU, ve kterém se vyskytují subjekty údajů, jejichž osobní údaje jsou zpracovávány v souvislosti s nabízeným zbožím či službami nebo jejichž chování je monitorováno. Zástupce musí být správcem nebo zpracovatelem zmocněn, že se na něj mohou obracet zejména dozorové úřady a subjekty údajů ohledně otázek souvisejících se zpracováním za účelem zajištění souladu s GDPR. 

Z podobného soudku pochází i červencová informace, že Evropský soudní dvůr prohlásil za neplatné Rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU-USA na ochranu osobních údajů, který zajišťoval bezproblémový transfer osobních údajů mezi EU a USA. Nadále tak již není možné předávat osobní údaje do USA na základě tzv. štítu soukromí.

Používané standardní smluvní doložky však Evropský soud svým rozsudkem nezrušil, jejich použití ale podmiňuje testem přiměřenosti přijatých opatření v závislosti na okolnostech předání a zemi dovozce údajů. Což znamená, že si má správce či zpracovatel sám prověřit před předáním osobních údajů do třetí země, zda záruky a ochranná opatření v doložkách zajišťují srovnatelnou úroveň ochrany zaručené v Evropské Unii GDPR a Listinou základních práv. 

V případě USA toto posouzení učinil sám Evropský soudní dvůr a došel k závěru, že zde není zajištěna dostatečná ochrana předávaným osobním údajům ani účinná právní ochrana subjektům údajů. 

Z rozhodnutí Komise o standardních smluvních doložkách pak přímo vyplývá, že pokud vývozce a dovozce údajů dojdou k závěru, že standardní smluvní doložky nemohou být ve třetí zemi dodrženy, měly by být doplněny o další opatření nebo přenos údajů zastaven. 

Vzhledem k výše uvedenému by měl každý správce či zpracovatel, který  o předání osobních údajů do USA na základě standardních smluvních doložek uvažuje, řešit s dovozcem údajů dopady rozsudku Evropského soudního dvora a navrhovat řešení v podobě dalších bezpečnostních záruk (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Nesmí se přitom zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související.

Protože ochranu osobních údajů bereme vážně, nabízíme v týdnu od 1. do 7. února 2021 slevu 15% na služby spojené s GDPR.

I letos platí, že Den ochrany osobních údajů může být stejný jako ostatních 364 letošních dnů, kdy zvítězí naše pohodlnost a nechuť cokoliv měnit.

Ale také to může být den, kdy začneme používat zdravý selský rozum! 

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

V českém rybníčku se téma GDPR zase jednou dostalo nad hladinu. Vodu zčeřila zpráva, že Úřad pro ochranu osobních údajů uložil rekordní pokutu ve výši 6.000.000 Kč  společnosti zabývající se prodejem ojetých automobilů za opakovaná, nevyžádaná rozesílání obchodních sdělení.

Výše uvedená společnost totiž ve své marketingové kampani obeslala 459 779 adresátů prostřednictvím prostředků elektronické komunikace. Úřad se zaměřil na právní důvod, na základě kterého společnost svá obchodní sdělení zasílala. Ta však nebyla schopna prokázat udělené souhlasy.

Nejmenovaná společnost se proti rozhodnutí odvolala, nicméně rozklad byl zamítnut a rozhodnutí bylo v srpnu potvrzeno. Zajímají-li vás podrobnosti, ÚOOÚ prvoinstanční i druhoinstanční rozhodnutí zveřejnil zde . Potrestaná společnost již údajně uloženou pokutu v plné výši uhradila. 

Víte, kdy souhlas potřebujete a kdy ne? A víte, že musíte být připraveni prokázat udělený souhlas? 

Jak to máte vy?

Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili Vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Je však potřeba pohlídat, zda souhlasům neskončila jejich platnost. Jestli však svobodný souhlas nemáte, skončila jeho platnost nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, s kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit.

Je čas na inventuru, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i o další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? Zajisté se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet… 

Q – COM je připraven vás nenechat ve štychu a pomoci s tím nelehkým úkolem. GDPR je převážně o revizi datových toků a nastavení interních pravidel, procesů a směrnic. My víme, jak na to.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Cítíte, že GDPR je Vaše slabina a nevíte, jak na to? 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Cítíte, že GDPR je Vaše slabina a nevíte, jak na to? 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat