Technologie  Právo 

TechLaw zpravodaj: Ochrana osobních údajů [březen 2019]

Únor 2019 byl poměrně bohatý na novinky ze strany Úřadu pro ochranu osobních údajů, který zveřejnil finální verzi seznamů operací zpracování, jež vyžadují vypracování posouzení vlivu na ochranu osobních údajů (DPIA) a rozsáhle informoval o své činnosti za uplynulý rok. Významné bylo i poměrně kontroverzní rozhodnutí německého antimonopolního úřadu ohledně porušování pravidel GDPR společností Facebook.

Úřad pro ochranu osobních údajů vydal metodiku k povinnosti provádět posouzení vlivu na ochranu osobních údajů (DPIA)

Úřad se rozhodl nevydat taxativní výčet všech činností, na které povinnost vypracovat DPIA dopadá, ale raději stanovil určovací metodologii. Dokument obsahuje seznam deseti způsobů zpracování (např. monitorování subjektů nebo zpracování údajů velkého rozsahu), u kterých DPIA musí být zvážena. Pro každý z těchto způsobů zpracování metodika stanoví charakteristiky, které jsou vždy rozděleny do tří skupin: charakteristiky nízké hodnoty, významné hodnoty a kritické hodnoty. Povinnost vypracovat DPIA platí, pokud úroveň dvou a více charakteristik zasáhne mezi kritické hodnoty, nebo pokud jedna úroveň zasáhne mezi kritické hodnoty a zároveň nejméně pět charakteristik dosáhne úrovně významné hodnoty. Odpovědnost za posouzení, zda je DPIA třeba vypracovat, je na správcích. Vzhledem k počtu a povaze charakteristik uvedených v metodologii lze očekávat, že vypracovat tato posouzení může být zejména pro větší společnosti poměrně náročné.

Finální verze dokumentu, podle níž se již nyní správci mohou a musejí řídit, je dostupná na stránkách Úřadu pro ochranu osobních údajů.

Činnost Úřadu pro ochranu osobních údajů za uplynulý rok

V měsíci únoru zveřejnil Úřad jak výroční zprávu za rok 2018, tak výsledky své kontrolní činnosti za uplynulý půlrok.

Podle jakých předpisů Úřad postupoval?

Kontroly ukončené před 25. květnem 2018, tedy před účinností GDPR, byly posuzovány vždy podle zákona č. 101/2000 Sb. Jinak bylo pro správné určení aplikace právního předpisu zásadní, kdy se uskutečnilo zpracování, které bylo předmětem kontroly. V případě, že bylo posuzováno zpracování prováděné před 25. květnem 2018, případně došlo k incidentu před tímto datem, byl posuzován primárně soulad se zákonem č. 101/2000 Sb. Současně však byla zohledněna i příslušná ustanovení z GDPR, kde kontrolující konstatovali, že by ke stejným závěrům dospěli i v případě, kdy by se již aplikovalo GDPR. Touto cestou postupoval Úřad např. v případě jeden a půl milionové pokuty pro Internet Mall. V případě rozdílných závěrů pak Úřad uváděl konkrétní vysvětlení odlišnosti obou právních předpisů. Poslední skupinu kontrol pak tvořily ty, kde byl posuzován soulad pouze ve vztahu k GDPR.

Na jaké oblasti se Úřad zaměřoval?

Kontroly se zaměřily zejména na společnosti zabývající se obchodem s databázemi využívanými pro marketingové účely nebo shromažďující osobní údaje získávané finančními poradci, kteří s nimi spolupracují. Úřad se v roce 2018 rovněž zaměřil na kontroly u personálních agentur v souvislosti se zpřísněním podmínek jejich činnosti v důsledku novelizace zákona č. 435/2004 Sb., o zaměstnanosti. Úřad se rovněž zabýval oblastí datových úniků či náležitostmi a okolnostmi získávání souhlasu se zpracováním.

Jaká byla nejčastější pochybení?

K nejčastějším prohřeškům patřilo porušování ustanovení o právech a povinnostech správce a zabezpečení osobních údajů. Za rok 2018 Úřad uložil pokuty v celkové výši přes 7 mil. Kč. Velkou pozornost představovaly hrozící sankce až do výše 20 mil. EUR nebo až do výše 4 % celkového ročního obratu dle GDPR. Vycházeje jak ze své přechozí praxe, tak i z ustálené judikatury nejvyšších soudů, Úřad nepředpokládá, že budou ukládané pokuty dosahovat tak závratných výšin. Během 15 let fungování Úřadu dosáhla nejvyšší pokuta 3,6 mil. Kč.

Organizační změny uvnitř Úřadu – vznik nového oddělení 

GDPR přinesla změnu také ve vnitřní organizaci Úřadu. Dne 1. srpna vzniklo nové oddělení, které provádí veškeré úkony spjaté s nevyžádanými obchodními sděleními. Úřad během roku 2018 zaznamenal v této věci téměř 3000 stížností.

Kdo byl podroben kontrolám Úřadu?

V roce 2018 bylo zahájeno celkem 98 kontrol, což je přibližně o pětinu méně než v roce předchozím (119). Kontrolou byly dotčeny jak veřejnoprávní (např. města, ministerstva), tak soukromoprávní subjekty (pojišťovny, banky, ale i malé či střední podniky) a většina kontrol byla zahájena na podnět. Na základě kontrolního plánu Úřadu byla zahájena přibližně každá čtvrtá kontrola.

Jak Úřad přistupuje k některým otázkám každodenní praxe?

Přehled provedených kontrol přináší rovněž zajímavý vhled do rozhodovací praxe Úřadu, resp. jeho výkladu právních předpisů v praxi:

  • Co (ne)dávat do osobního spisu? V souladu se zákoníkem práce může personální spis obsahovat jen písemnosti obsahující osobní údaje, které jsou nezbytné pro výkon práce v pracovněprávním vztahu, ale právní předpisy neuvádí výčet údajů, které může personální spis obsahovat. Úřad uvedl, že není možné veškeré požadované informace o zaměstnanci dokládat kopiemi všech dokladů a tyto kopie uchovávat v personálních spisech. Povinností zaměstnance je doložit správnost určitých skutečností (např. výpis z evidence rejstříku trestů fyzických osob) tak, aby zaměstnavatel mohl splnit svou zákonnou povinnost. K tomuto však zaměstnavateli stačí do personálního spisu uvést, že požadované informace byly doloženy, a potvrdit, kdo, kdy a na základě jakých dokladů toto ověřil.
  • Jak na prodej marketingových databází? V případě, že společnost za účelem zasílání obchodních sdělení kupuje nebo si pronajímá databáze jiných subjektů, je dle Úřadu povinna zajistit či ověřit, že souhlas se zpracováním osobních údajů, který dotčené osoby poskytly, se vztahuje i na předání osobních údajů a jejich další využití. V opačném případě společnost porušila povinnost zpracovávat osobní údaje výhradně na základě zákonem předvídaného právního titulu.

Další informace o prováděných kontrolách se můžete dočíst na webu Úřadu, kde je rovněž dostupná i příslušná výroční zpráva za rok 2018.

Facebook zneužil své dominantní postavení, vyhodnotil německý antimonopolní úřad

V únoru 2019 vydal německý antimonopolní úřad po téměř tříletém řízení přelomové rozhodnutí, jímž byla společnosti Facebook uložena povinnost úpravy podmínek poskytování svých služeb. Užívání sociální sítě je aktuálně podmíněno zpracováním osobních údajů získaných o daném uživateli z jiných Facebookem vlastněných platforem (např. Instagram či WhatsApp) či webů třetích stran využívajících tzv. Facebook Business Tools. Tyto osobní údaje Facebook přiřazuje k vytvořenému facebookovému účtu uživatele a následně je zpracovává zejména pro marketingové účely. Právním základem tohoto zpracování má být buď poskytování služby samotné, či oprávněný zájem společnosti Facebook.

Německý antimonopolní úřad tuto praxi vyhodnotil jako rozpornou jak s německým soutěžním právem, tak evropskými předpisy na ochranu osobních údajů (GDPR). Dle rozhodnutí Úřadu není možné poskytování určité služby podmiňovat udělením souhlasu ke zpracování těch údajů, které pro samotný smluvní vztah nejsou podstatné. Takový souhlas, coby součást podmínek užívání služby při registraci nového uživatele, není účinný.

Dle německého úřadu je porušování pravidel zpracování osobních údajů nutné hodnotit v kontextu soutěžněprávních předpisů. Facebook má na trhu německých sociálních sítí zcela dominantní postavení, což německý soutěžní úřad odůvodnil následovně:

  • uživatelé mají v důsledku tzv. lock-in efektu nízkou motivaci přejít k alternativním službám (jinými slovy, všichni jsou přeci na Facebooku, tak proč přecházet někam, kde tak široké propojení uživatelů není možné);
  • možnost vstupu alternativních služeb na daný trh je značně omezené (v důsledku nízké motivace prodeje reklamy na nové neznámé platformě, která zdaleka nemá tak širokou uživatelskou základnu jako Facebook);
  • Facebook má přístup k velmi širokému spektru osobních údajů, díky čemuž může nabídnout svým uživatelům velmi personalizovanou reklamu.

S odvoláním na judikaturu německých soudů i text GDPR má německý soutěžní úřad za to, že pokud jsou osobní údaje a způsob jejich zpracování nástrojem pro posílení postavení soutěžitele na určitém trhu, jsou k hodnocení dodržování předpisů na ochranu osobních údajů kompetentní mimo národní dozorové úřady v této konkrétní oblasti i úřady soutěžní.

Facebooku tak byla německým soutěžním úřadem uložena povinnost úpravy podmínek užívání služby, a to nejpozději do 12 měsíců s tím, že do 4 měsíců musí úřad vyrozumět, jakým způsobem požadované změny implementuje v praxi.  V důsledku podaného odvolání Facebookem jsou tyto lhůty suspendovány. Facebook s rozhodnutím nesouhlasí a ve své tiskové zprávě poukazuje zejména na absenci pravomoci soutěžního úřadu hodnotit soulad s předpisy na ochranu osobních údajů.

Ačkoliv se jedná o rozhodnutí ze zahraniční praxe, je z něj minimálně patrná značná problematičnost začleňování souhlasů se zpracováním osobních údajů, které pro existenci smluvního vztahu nejsou podstatné, do obchodních či jiných podmínek poskytování služby či produktu.

Celé rozhodnutí si můžete pročíst na webu německého antimonopolního úřadu. Vyjádření Facebooku je dostupné v jeho Newsroomu.

Nenechte si ujít ani další aktuality z oblastí IP/IT práva, telekomunikací a médií, e-commerce a dalších technologií, sledujte všechny novinky pod tagem TechLaw zpravodaj.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right