Soud v případu uživatele, který žaloval poskytovatele českého e-shopu za únik přihlašovacích a identifikačních údajů, dospěl k rozsudku a přiznal žalující straně finanční odškodnění. Chcete se dozvědět více? Přečte si náš prosincový TechLaw zpravodaj. V oblasti ochrany osobních údajů se dále věnujeme návrhu metodiky Úřadu pro ochranu osobních údajů k problematice správného provedení posouzení činnosti zpracování na ochranu osobních údajů či důležitému Evropskému judikátu ohledně limitů sledování zaměstnanců zaměstnavatelem.
Odškodnění za uniklé heslo
Internetový server Lupa.cz informoval o případu uživatele českého internetového obchodu, který se domáhal přiznání soudního odškodnění za únik přihlašovacích a identifikačních údajů vůči provozovateli serveru.
Z původně žalované částky 125 tisíc korun musí obchod zaplatit 10 tisíc korun a soudem stanovenou náhradu nákladů řízení. Podle soudu došlo k porušení uživatelova práva na informační sebeurčení. Zbytek požadované částky Městský soud v Praze žalobci nepřiznal s odůvodněním, že to byl žalobce, kdo umocnil rozsah nepříznivých důsledků úniku hesel tím, že je používal i u jiných služeb.
TechLaw zpravodaj: novinky ze světa ochrany osobních údajů, e-commerce, cybersecurity, IP/IT práva a spousta dalších informací. Zaregistrujte se k jeho odběru.
Rozsudek není precedentní. V jiných případech bude zcela jistě záležet na konkrétních okolnostech a důkazech k případu a výše vysouzené částky, délka a náklady vedení sporu pravděpodobně nevytvářejí dostatečnou motivaci k podobným žalobám. Změna by případně mohla nastat v budoucnu se zavedením tzv. hromadných žalob, nicméně ty české právo zatím nezná. Případ nám však připomíná, že v případě jeho porušení i GDPR umožňuje soukromoprávní vymáhání náhrady újmy na straně dotčených osob.
Metodika ÚOOÚ k provádění DPIA
Nařízení GDPR zavedlo pro správce osobních údajů zcela novou povinnost, a to provádět ve stanovených případech posouzení vlivu na ochranu osobních údajů („DPIA“). Po předchozím zveřejnění pravidel k identifikaci případů, kdy je DPIA potřeba provést (psali jsme v březnovém a červencovém vydání zpravodaje), nyní Úřad pro ochranu osobních údajů („ÚOOÚ“) předložil k veřejné diskusi na svých webových stránkách návrh metodiky k samotnému provádění DPIA.
Účelem DPIA je včasná prevence možných negativních dopadů zpracování osobních údajů, a to prostřednictvím vyhodnocení možných rizik a zavedení přiměřených a účinných technických a jiných opatření. Z uvedeného je tedy patrné, že takové posouzení je prováděno před zahájením samotného zpracování. Pokud se na správce povinnost provedení DPIA skutečně vztahuje, podléhá správce rovněž povinnosti veškerou dokumentaci k DPIA uchovat pro účely případné kontroly.
Jak postupovat při provádění DPIA?
ÚOOÚ rozdělil proces vyhotovení DPIA do 4 etap, které směřují k náležitému splnění této povinnosti.
- Správce by měl začít shromážděním informací o zpracování osobních údajů a měl by sestavit popis zpracování a jeho účelu.
- Další etapou je určení, zda se povinnost vypracovat DPIA na správce vztahuje.
- Třetí etapa je nejobsáhlejší, jelikož spočívá v samotném vypracování DPIA. Tuto etapu ÚOOÚ rozdělil na 8 částí, do kterých mimo jiné spadá posouzení nezbytnosti a přiměřenosti zpracování z hlediska účelů, posouzení rizik pro práva a svobody subjektů údajů, monitorování a aktualizace DPIA nebo také opatření stanovisek zástupců subjektů údajů, nezávislých odborníků a pověřence pro ochranu osobních údajů (pokud byl jmenován). Posouzení rizik pro práva a svobody doporučuje ÚOOÚ provést v 6 krocích, mezi které patří zejména identifikace primárních a sekundárních aktiv (např. zpracované informace, nosiče dat atd.), určení „zranitelnosti“ subjektů údajů (např. hrozby vyvolané zastaralostí technologií, nedostatečnou ochranou dat nebo aktiv apod.), určení hrozeb (např. poškození technického vybavení, neoprávněný přístup k údajům atd.) a také určení možného rizika.
- Za čtvrtou a zároveň závěrečnou etapu ÚOOÚ označuje monitorování dodržování opatření a pravidelné revize DPIA. K tomuto účelu má správce vypracovat harmonogram kontrol.
Judikát ESLP: sledování zaměstnanců a právo na soukromí
K Evropskému soudu pro lidská práva (ESLP) se dostal zajímavý případ sledování zaměstnanců pomocí průmyslových kamer. Zaměstnavatel, konkrétně španělský řetězec supermarketů, při provádění inventury zjistil, že se mu ztratilo zboží v celkové hodnotě několika desítek tisíc EUR. Aby se dopátral, jak k tomu došlo, nainstaloval do své provozovny několik kamer, přiznaných i skrytých, přičemž zaměstnance upozornil pouze na ty přiznané. Po deseti dnech došel zaměstnavatel ke zjištění, že zboží systematicky kradli někteří zaměstnanci, se kterými byl následně pracovní poměr ukončen. Někteří z těchto zaměstnanců se poté domáhali vyslovení neplatnosti výpovědi a celý spor se dostal až k ESLP.
Ten ve svém rozhodnutí zmíněné sledování poměřoval s právem na soukromí zaměstnanců, které zde mohlo být narušeno. Soud konstatoval, že ačkoliv je zaměstnavatel obecně povinen zaměstnance informovat o všech nainstalovaných kamerách, kterými je sledoval, existovaly zde spravedlivé důvody, proč tak neučinil, zejména s přihlédnutím k velkému rozsahu krádeží, důvodnosti podezření a faktu, že zjistit pachatele těchto krádeží by jiným způsobem bylo skoro nemožné. Zaměstnanci byli navíc sledováni pouze po omezenou dobu deseti dnů a záběry z kamer viděl pouze úzce omezený okruh lidí. Soud také poznamenal, že zaměstnanci měli i jiné možnosti obrany (například místní orgán pro ochranu osobních údajů), které ale nevyužili. Soud tedy dospěl k názoru, že takovéto sledování zaměstnanců je v souladu s právem.
Rozsudek je relevantní i pro Českou republiku a doplňuje sérii jiných rozsudků Evropského soudu pro lidská práva ohledně limitů sledování zaměstnanců zaměstnavatelem.
Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.
