Novinky z GDPR – Den ochrany osobních údajů 2021

Den ochrany osobních údajů 2021
Přesně před 40 lety přijala Rada Evropy Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů jakožto první zákonodárný dokument, který upravoval oblast ochrany osobních údajů. Na tuto úmluvu následně navázaly další zákony v čele s obecným nařízením GDPR.

Připomeňme si právě dnes, proč je ochraně osobních údajů věnována pozornost. Každodenně jsme svědky neustále se prohlubující digitalizace, komunikační technologie pomalu ukrajují z naší anonymity a řečeno trochu nadneseně,  řídí naše životy.

Nekorektní jednání a prospěchářství je staré jako lidstvo samo. Není tedy s podivem, že jsou moderní technologie zneužívány ve snaze o manipulaci lidí, zisk či dosažení jiného cíle. Osobní údaje, potažmo naše soukromí, je v této souvislosti potřeba chápat jako komoditu, kterou je nezbytné chránit, jinak o ni přijdeme.

DEN OCHRANY OSOBNÍCH ÚDAJŮ

28. ledna 2021

Pojďme tedy nahlédnout, co se na poli GDPR v poslední době událo.

Zjistili jsme, jak se to má s certifikací GDPR. Organizace, které mají zájem zdokumentovat a doložit svůj soulad s GDPR nemusí čekat na dokončení zdlouhavého schvalovacího procesu zavedení akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA). Mají i jiné možnosti.

Dáváte pozor na osobní údaje, které zpracováváte? Někteří berou GDPR na lehkou váhu. Výtečníků, které napadlo rozesílat spam do datových schránek si už Úřad pro ochranu osobních údajů (ÚOOÚ) všiml a pokuty na sebe nenechaly dlouho čekat.

Kapry z českého rybníčku nelze srovnávat s úlovky ze zahraničí. Portál Finance in Bold  na svých stránkách uvádí, že v zemích EU byly v roce 2020 rozdány pokuty ve výši 306,3 milionů EUR. Rozhodně se nejedná o konečné číslo, neboť v žebříčku nejsou ještě zahrnuty všechny země. Co do výše udělených pokut vede Francie, která nehodlá pochybení odpustit Googlu, Amazonu a dalším. Bude zajímavé sledovat, zda zmíněné společnosti skutečně 138,3 milionů EUR zaplatí.   

A když už jsme zabrousili do zahraničí, mrkneme se na to, jaké nástrahy čekají na ty, kteří hodlají předávat osobní údaje do Velké Británie či USA. 

ÚOOÚ jakožto odpovědný dozorový státní orgán v oblasti dodržování českého zákona č. 110/2019 Sb., o zpracování osobních údajů a evropského předpisu č. 2016/679 o ochraně osobních údajů rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované ČIA.

Aby tento proces mohl být zahrnut do akreditačního systému ČR, bylo zapotřebí, aby ÚOOÚ vytvořil dokument specifikující a doplňující obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu. Vzhledem k faktu, že se jedná o velmi komplexní problematiku, vznikla následně na evropské úrovni pracovní skupina, která měla za cíl připravit evropský dokument jako vodítka pro místní dozorové orgány. Text připravený ÚOOÚ bylo tedy potřeba dle těchto vodítek upravit a předložit Evropskému sboru pro ochranu osobních údajů ke schválení. Ten vydal své stanovisko a doporučení k úpravám dokumentu dne 25. května 2020.

Současný model vychází z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo dle požadavků normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících hmotné a nehmotné produkty, ale také procesy a služby. Tak totiž norma definuje termín produkt. Dá se tedy předpokládat, že oficiální certifikace GDPR nebudou zahrnovat celé organizace, ale jen služby a produkty v konkrétním způsobu použití. 

V kontextu aktuální pandemie se však celá problematika upozadila a v tuto chvíli nemáme informaci o konkrétním termínu zavedení akreditace v oblasti GDPR v České republice. 

Samozřejmě je zde stále možnost nechat si  certifikovat interně nastavená pravidla a procesy týkající se osobních údajů nezávislým certifikačním orgánem neakreditovaně nebo v rámci certifikace systému řízení bezpečnosti informací (ISMS), kterou lze doplnit o certifikaci GDPR dle normy ISO/IEC 27701, jež nastavuje rámec pro zpracování osobních údajů nejen pro správce, ale i pro zpracovatele osobních údajů. Její zavedení v organizaci vede k dosažení kontroly nad zpracováním osobních údajů a nastavení procesů zmírňujících či eliminujících možná rizika. ISO 27701 je rozšířením ISO řady 27000, kde jsou obecná pravidla ISMS uplatňována na osobní údaje v intencích požadavků GDPR.

Certifikace dle normy ISO/IEC 27701 již v České republice probíhají. Zájem je především z oblasti zdravotnictví a od organizací, které zpracovávají rozsáhlé soubory velmi citlivých údajů. Jedním z certifikovaných je například Ústav zdravotnických informací a statistiky ČR. 

O rekordní pokutě udělené českým Úřadem pro ochranu osobních údajů ve výši 6 milionů korun za rozesílání nevyžádaných obchodních sdělení jsme psali v naší říjnové novince s názvem „Máte pořádek v souhlasech? Padla rekordní pokuta (GDPR)„.

Další z vyšších penalizací na sebe nenechala dlouho čekat a opět se jednalo o spam. Tentokrát si pokutu ve výši 3 111 000 Kč rozdělí jedenáct společností, které zaplevelily datové schránky rozesílanou nevyžádanou reklamou. Nekalé jednání je o to horší, že spameři se chtěli přiživit na období bezplatného rozesílání datových zpráv, které bylo nastoleno kvůli usnadnění komunikace mezi občany a státní správou v době nouzového stavu, aby lidé zbytečně nechodili na úřady. 

Pokuty byly uloženy nepravomocně, dotčené společnosti se tedy mohou proti nim odvolat.

V porovnání s ostatními zeměmi se držíme spíše na chvostu co se výše udělovaných pokut týče. Z dostupných zdrojů lze vyčíst, že kromě výše zmíněných bylo v České republice rozdáno osm dalších v celkové výši půl milionů korun (údaje za druhé pololetí nebyly v den vzniku tohoto článku aktualizovány). Pojďme se tedy podívat na ty největší úlovky ze zahraničních vod.

Přehled udělených pokut za porušení GDPR v roce 2020 v členění dle zemí EU

Přehled, který sestavil portál Finance in Bold (Finbold.com) sice neobsahuje všechny udělené pokuty za porušení pravidel GDPR za rok 2020, ale i tak se jedná o astronomické částky. Dvacítka zemí na 302 pokutách za loňský rok hodlá vybrat či již vybrala 306,3 milionů EUR, tedy 8 miliard korun českých. 

Podíl udělených pokut za porušení GDPR v roce 2020 v členění dle zemí EU

Google dostal v prosinci od francouzského úřadu pro ochranu osobních údajů pokutu 100 milionů EUR (2,6 miliardy Kč) za porušení pravidel pro sledování internetové reklamy, takzvaných cookies, jež používají internetové stránky k ukládání informací o činnosti uživatelů. Je to nejvyšší pokuta, jakou kdy tento úřad udělil.
A nezahálel, neboť si na paškál vzal také amerického internetového prodejce Amazon, kterému vyměřil za stejné porušení pravidel pokutu ve výši 35 milionů EUR (téměř miliarda Kč).
Údajně oba provozovatelé internetových stránek ve Francii nepožádaly předem své návštěvníky o souhlas s uložením reklamních cookies a neposkytly uživatelům jasné informace o tom, jak budou získané informace použity či jak mohou jejich použití odmítnout. Na nápravu mají nyní tři měsíce. Pokud tak neučiní, hrozí jim další pokuta, a to 100 tisíc EUR denně až do doby, než budou úpravy provedeny. Na celkovém objemu pokut se tak Francie podílí 45%.

V Hamburku se zas projednávalo protiprávní zpracování osobních údajů, kdy se společnost H&M nebála intenzivně monitorovat své zaměstnance. Informace o osobních a rodinných poměrech, zdravotním stavu, nemocech či náboženském přesvědčení systematicky zaznamenávala a bohužel si tyto záznamy nepohlídala. V důsledku technické chyby byly na několik hodin zpřístupněny v rámci firemní sítě. Tato chyba bude stát 35,3 milionů EUR (přibližně 920 milionů korun). 

O úniku osobních údajů a údajů karetních dat více než 400 tisíc klientů aerolinek British Airways jsme již také psali. Britský dozorový úřad původně avizoval pokutu 183 milionů britských liber. Po složitém vyjednávání však úřad aerolinkám na sklonku loňského roku uložil pokutu 20 milionů liber (zhruba 580 milionů korun). 

Také britskému hotelovému řetězci Marriott International snížil dozorový úřad prvotní pokutu z 99 milionů liber na 18,4 milionů (530 milionů korun). Zaplatit musí za únik dat stovek milionů hotelových hostů (jména, adresy bydliště, telefonní čísla, emailové adresy, příjezdy/odjezdy a další informace z databáze rezervačního systému jako jsou údaje o cestovních pasech či občanských průkazech).  

Na jihu Evropy uložil italský úřad místnímu telekomunikačnímu operátorovi Wind Tre SpA pokutu ve výši 17 milionů EUR (asi 440 milionů Kč) za porušení více pravidel při zpracování osobních údajů pro marketingové účely. Převážně šlo o marketingové oslovování uživatelů bez předchozího souhlasu a bez možnosti další komunikaci zabránit. 

Jak vidno na případu z Německa, ani přílišný prozákaznický přístup při vyřizování požadavků subjektu údajů na přístup k údajům se nemusí vyplatit. Místní telekomunikační operátor 1&1 Telecom GmbH nastavil příslušný proces způsobem, kdy stačilo zavolat na informační linku, uvést jméno a datum narození klienta a bez jakéhokoliv dalšího ověření dotyčný získal detailní klientská data.
Taková vstřícnost měla přijít na 9,55 milionů EUR (necelých 250 milionů korun). Do procesu byl však v rámci odvolání pokutovaného subjektu přizván i německý soud, dle kterého je současný německý model výpočtu pokuty nepřiměřený, neboť zásadním kritériem je výše obratu společnosti. Za malé prohřešky by byly velké společnosti pokutovány vysokými pokutami a naopak, malé společnosti by za velké prohřešky proti GDPR platily pakatel. Vzhledem k tomu, že se nejednalo o masový únik dat, ale o ojedinělé případy a dotčené osobní údaje jsou mnohdy veřejně dostupné a také že pokutovaná společnost ochotně spolupracovala, byla pokuta snížena soudním rozhodnutím o 90%.

Německý soud tak svým precedenčním rozsudkem poskytl velkým hráčům silnou zbraň až budou žádat o upuštění použití ustanovení Obecného nařízení zohledňující celosvětový obrat ve snaze vyhnout se vyšším pokutám, které by jim jinak hrozily.  

Ještě necelých šest měsíců bude GDPR v platnosti ve Spojeném království.

V praxi to znamená, že nevydá-li Evropská komise rozhodnutí o odpovídající úrovni ochrany osobních údajů ve Velké Británii umožňující jejich bezpečný transfer do Velké Británie, bude tato v brzké budoucnosti považována z pohledu předávání dat za třetí zemi.

Zmíněné rozhodnutí považuje třetí zemi z hlediska úrovně poskytované ochrany osobním údajům za bezpečnou a staví ji na roveň členským státům Evropské unie, kdy předávání osobních údajů do těchto zemí nevyžaduje ze strany předávajícího správce či zpracovatele přijetí žádných dodatečných opatření. Mezi tyto země se řadí Švýcarsko, Kanada, Argentina, Andorra, Izrael, Nový Zéland, Japonsko a další. 

Co však pro Spojené království přestalo platit s příchodem roku 2021 je mechanismus jediného kontaktního místa. Správci a zpracovatelé sídlící pouze ve Velké Británii musí jmenovat svého zástupce v jednom z členských států EU, ve kterém se vyskytují subjekty údajů, jejichž osobní údaje jsou zpracovávány v souvislosti s nabízeným zbožím či službami nebo jejichž chování je monitorováno. Zástupce musí být správcem nebo zpracovatelem zmocněn, že se na něj mohou obracet zejména dozorové úřady a subjekty údajů ohledně otázek souvisejících se zpracováním za účelem zajištění souladu s GDPR. 

Z podobného soudku pochází i červencová informace, že Evropský soudní dvůr prohlásil za neplatné Rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU-USA na ochranu osobních údajů, který zajišťoval bezproblémový transfer osobních údajů mezi EU a USA. Nadále tak již není možné předávat osobní údaje do USA na základě tzv. štítu soukromí.

Používané standardní smluvní doložky však Evropský soud svým rozsudkem nezrušil, jejich použití ale podmiňuje testem přiměřenosti přijatých opatření v závislosti na okolnostech předání a zemi dovozce údajů. Což znamená, že si má správce či zpracovatel sám prověřit před předáním osobních údajů do třetí země, zda záruky a ochranná opatření v doložkách zajišťují srovnatelnou úroveň ochrany zaručené v Evropské Unii GDPR a Listinou základních práv. 

V případě USA toto posouzení učinil sám Evropský soudní dvůr a došel k závěru, že zde není zajištěna dostatečná ochrana předávaným osobním údajům ani účinná právní ochrana subjektům údajů. 

Z rozhodnutí Komise o standardních smluvních doložkách pak přímo vyplývá, že pokud vývozce a dovozce údajů dojdou k závěru, že standardní smluvní doložky nemohou být ve třetí zemi dodrženy, měly by být doplněny o další opatření nebo přenos údajů zastaven. 

Vzhledem k výše uvedenému by měl každý správce či zpracovatel, který  o předání osobních údajů do USA na základě standardních smluvních doložek uvažuje, řešit s dovozcem údajů dopady rozsudku Evropského soudního dvora a navrhovat řešení v podobě dalších bezpečnostních záruk (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Nesmí se přitom zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související.

Protože ochranu osobních údajů bereme vážně, nabízíme v týdnu od 1. do 7. února 2021 slevu 15% na služby spojené s GDPR.

I letos platí, že Den ochrany osobních údajů může být stejný jako ostatních 364 letošních dnů, kdy zvítězí naše pohodlnost a nechuť cokoliv měnit.

Ale také to může být den, kdy začneme používat zdravý selský rozum! 

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.