Technologie  Právo 

TechLaw zpravodaj: Ochrana osobních údajů [červen 2019]

Dne 25. května 2019 uplynul přesně rok od účinnosti GDPR. Za tuto dobu bylo jak v České republice, tak v některých evropských státech uloženo několik pokut za jeho porušení. Zatímco český dozorový úřad se co do výše pokut zatím neodchýlil od své dosavadní praxe poměrně nízkých pokut, některé zahraniční úřady přitvrdily.

Na základě žádosti o poskytnutí informace zveřejnil Úřad pro ochranu osobních údajů („ÚOOÚ“) celkem 9 rozhodnutí/příkazů o pokutě za porušení GDPR. Jako obvykle byl ve většině případů podkladem pro zahájení řízení podnět stěžovatele. Nejčastějším prohřeškem při zpracování osobních údajů bylo porušení zásady minimalizace údajů (tj. zpracování pouze těch údajů, které jsou pro stanovený účel nezbytné), transparentnosti zpracování (neposkytnutí informace o prováděném zpracování, v daných případech dokonce ani po výzvě ÚOOÚ) či nedostatečná technická a organizační opatření.  Pokuty uložené ÚOOÚ se pohybovaly v nízkých hodnotách (viz níže), nejvyšší pokuta byla uložena v částce 250 000 Kč.

Níže uvádíme přehled uložených pokut včetně podkladu pro zahájení řízení. ÚOOÚ neuvedl, komu konkrétně byly pokuty uloženy, nicméně z textu jednotlivých příkazů/rozhodnutí lze dovodit obecnou charakteristiku jednotlivých společností. Nejzajímavější rozhodnutí se vztahuje k biometrickému podpisu, kde byla uložena nejvyšší pokuta 250 000 Kč (viz podrobnosti pod tabulkou níže).

Doposud nejvyšší, byť nepravomocnou, pokutu podle GDPR udělil Úřad nespecifikované bance. Není vyloučené, že kontrolovanou bankou byla BNP Paribas. Rozhodnutí totiž odkazuje na předchozí kontrolu provedenou konkrétní inspektorkou a Úřad již dříve na svých stánkách informoval o kontrole v BNP Paribas, přičemž okolnosti případu i identita inspektorky jsou v zásadě stejné.

Pokuta byla udělena za porušení zásady minimalizace, když banka uzavírala úvěrové smlouvy s klienty za využití tzv. dynamického biometrického podpisu (úřad tento podpis vyhodnotil za sběr citlivých údajů) a rovněž za příliš dlouhou archivaci záznamů telefonických hovorů s klienty, kdy banka nerozlišovala, zda se jednalo o transakční hovory nebo o méně významný (např. pouze informativní) rozhovor.

Dynamický biometrický podpis je způsobem elektronického podepisování, kdy místo tradičního podpisu na papír dochází k podpisu na speciálním snímacím zařízení (tzv. signpad). Úřad zde vyhodnotil, že snímání biometrie podpisu není pro podepisování smluv žádoucí, neboť existuje alternativa v podobě uzavření smlouvy v listinné podobě, kde ke sběru biometrie nedochází. U elektronického podepisování by Úřadu postačovalo zaznamenání prostého vyobrazení podpisu klienta.

Zahraniční dozorové úřady a souhrn jejich dosavadní praxe ve vztahu k ukládaným pokutám

Rok od účinnosti GDPR je nejvyšší pokutou uloženou podle tohoto nařízení sankce 50 milionů euro, kterou potrestal francouzský dozorový úřad CNIL v lednu 2019 společnost Google LLC za nedostatečnou transparentnost zpracování osobních údajů, nedostatečné informování subjektů údajů a za neplatné souhlasy vztahující se k personalizaci reklamy.

Vysoké pokuty byly uloženy také v Portugalsku (400 tisíc euro vůči nemocnici za zpřístupnění pacientských dat neoprávněným osobám), v Polsku (220 tisíc euro společnosti Bisnode za neplnění informační povinnosti spojené se sběrem veřejně dostupných dat pro komerční účely), v Norsku (170 tisíc euro městu Bergen za nedostatečné zabezpečení osobních údajů) a v Dánsku (160 tisíc euro vůči taxislužbě za nedostatečnou anonymizaci dat).

Naopak žádné pokuty na základě GDPR zatím nepadly např. ve Finsku, Nizozemsku, Lucembursku, Rumunsku, Chorvatsku či Řecku.

K nejnověji oznámeným pokutám patří sankce od úřadů ve Francii (400 tisíc euro vůči realitní společnosti za nedostatečná technická a organizační opatření a nedostatečnou úpravu doby uchování dat), ve Španělsku (250 tisíc euro fotbalové lize La Liga za nedostatečné informování o záznamových funkcích její oficiální mobilní aplikace) a v Dánsku (cca 200 tisíc euro vůči nábytkářské společnosti za uchovávání dat o klientech po delší dobu než je nezbytné).

Pokud se chcete dozvědět podrobnější informace o dopadech GDPR v praxi, přečtěte si výroční zprávu Deloitte Living one year with GDPR s postřehy specialistů na ochranu osobních údajů z regionu centrální Evropy.

Osvědčení o ochraně údajů – nový nástroj k prokázání compliance?

V květnu 2019 se konala schůze Evropského sboru pro ochranu osobních údajů („EDPB“), která byla věnována mimo jiné finalizaci vodítek týkajících se akreditace subjektů, které by byly oprávněny k vydávání osvědčení o ochraně údajů, a dále procedurám pro vydávání těchto osvědčení jako takových. Finální text těchto vodítek zveřejnil EDPB začátkem června 2019.

Účelem těchto vodítek je primárně blíže vysvětlit poměrně složitou konstrukci procedury získávání akreditace a následného vydávání osvědčení akreditovanými subjekty. V návaznosti na přijetí tzv. adaptačního zákona k GDPR bude v České republice proces nastaven tak, že rozhodnutí o udělení akreditace bude svěřeno Českému institutu pro akreditaci („ČIA“). Akreditovaný subjekt (tzv. certifikační orgán) pak může vydat žadatelům osvědčení o ochraně osobních údajů.

Primárním účelem vydávání osvědčení, které bude fungovat na čistě dobrovolné bázi, je demonstrace souladu s GDPR navenek. Získání osvědčení tak může být zvláště užitečné v rámci vztahů mezi podnikateli, např. zpracovatelé disponující tímto osvědčením mohou mít jistou komparativní výhodu oproti zpracovatelům bez tohoto osvědčení při výběru nejvhodnějšího a nejdůvěryhodnějšího zpracovatele správcem. Osvědčení může sloužit i jako jedna z vhodných záruk ve smyslu čl. 46 GDPR, na jehož základě může dojít k předávání osobních údajů mimo EU. O akreditaci či udělení osvědčení zatím není pro absenci akreditačních a certifikačních kritérií možné žádat. O dalším vývoji Vás budeme informovat.

Nález ústavního soudu k uchovávání telekomunikačních dat

Ústavní soud ČR ve svém nálezu ze dne 14. května 2019, sp. zn. Pl ÚS 45/17, zamítl návrh skupiny poslanců, kterým se domáhali zrušení vybraných ustanovení týkajících se uchování telekomunikačních dat. Nález blíže komentujeme v naší části TechLaw Newsletteru, zabývající se novinkami z oblasti telekomunikací.

Nenechte si ujít ani další aktuality z oblastí ochrany osobních údajů, telekomunikací a médií, e-commerce a dalších technologií, sledujte všechny novinky pod tagem TechLaw zpravodaj.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)
Právo 

Rostoucí ceny stavebních materiálů komplikují zadávání a plnění veřejných zakázek

Ministerstvo pro místní rozvoj spolu s Úřadem pro ochranu hospodářské soutěže vydalo na začátku září stanovisko k problematice nárůstu cen stavebních materiálů. Reaguje tak na zvyšující se ceny betonářské oceli, tepelných izolací, železného šrotu a dalších materiálů o desítky až stovky procent. Příčinou nárůstu cen je nedostatek zmíněného zboží na trhu, s čímž se pojí i dlouhé dodací lhůty. Autoři stanoviska představují možná řešení problémů, které mohou v důsledku této situace vzniknout na trhu veřejných zakázek. 

22. 9. 2021
Nemovitosti  Právo 

Nový stavební zákon upravuje smlouvy obcí s investory

Poslanecká sněmovna schválila nový stavební zákon, který mimo jiné podstatně rozšíří úpravu tzv. plánovacích smluv. Přestože se jedná o významný nástroj při nastavování vztahů mezi obcemi a investory při výstavbě, plánovací smlouvy byly doposud ve stavebním zákoně upraveny pouze okrajově. V praxi tak byly mezi obcemi a investory uzavírány různé jiné formy závazků. Nově přijatý stavební zákon proto upřesňuje obsah zmíněných smluv, zjednodušuje procesní záležitosti a zajišťuje oběma stranám větší právní jistoty. 

4. 8. 2021