Ani v letních měsících nezůstává agenda ochrany osobních údajů opomenuta. Velkou pozornost na sebe strhl zejména britský dozorový úřad ICO, který oznámil možnost uložení milionových pokut společnostem British Airways a Marriott. Napilno měl i Evropský sbor pro ochranu osobních údajů, který na svém posledním zasedání přijal několik významných dokumentů. Středem pozornosti i nadále zůstává osud standardních smluvních doložek a Štítu soukromí coby nástroje pro předávání osobních údajů do třetích zemí a USA.
Dosud nejvyšší pokuta za porušení GDPR, konkrétně 50 milionů euro, byla uložena společnosti Google francouzským dozorovým úřadem CNIL. Tato hranice může být brzy překonána britským dozorovým úřadem ICO, který začátkem července oznámil úmysl uložit pokuty společnostem British Airways a Marriott.
Hotelový řetězec Marriott
Známý hotelový řetězec čelí pokutě až 99 200 396 britských liber, a to za údajný únik kontaktních a finančních dat několika desítek milionů zákazníků. K samotnému úniku mělo údajně dojít již v roce 2014, kdy byly napadeny systémy hotelové skupiny Starwood, kterou společnost Marriott koupila o dva roky později. Z dané kauzy tak jasně vyplývá, že v rámci akvizičních projektů nesmí být oblast ochrany osobních údajů podceňována.
K odhalení úniku dat došlo v roce 2018, kdy také došlo k jeho oznámení – v souladu s novými evropskými pravidly pro ochranu osobních údajů – britskému regulátorovi, s nímž Marriott v průběhu celého šetření plně spolupracoval a zjištěné nedostatky napravil.
Letecká společnost British Airways
Pokuta, která může být uložena letecké společnosti, je skoro jednou tak vyšší než ta, která má být uložena hotelovému řetězci Marriott, konkrétně má jít až o 183 milionů liber. British Airways se měla dopustit porušení GDPR tím, že nepřijala dostatečná bezpečnostní opatření a nepředešla tak hackerskému útoku na svůj web a mobilní aplikaci, čímž mělo dojít k úniku dat téměř půl milionu zákazníků. Útočníci prostřednictvím falešného webu získávali od června 2018 údaje o jménech zákazníků, jejich platebních kartách, stejně jako o emailových a poštovních adresách.
Letecká společnost oznámila incident ještě v září loňského roku a podobně jako Marriott poskytla při vyšetřování plnou součinnost a provedla opatření k nápravě. Podobně jako Marriott, má i British Airways možnost se k zjištěním ICO a navržené sankci vyjádřit. To samé právo náleží i dozorovým úřadům těch států EU, jejichž občané byli úniky dotčeni.
Ani v jednom případě není výše pokuty zatím definitivní. Obě společnosti se měly dopustit podobného porušení GDPR, tedy úniku dat v důsledku jejich nedostatečného zabezpečení. Ačkoliv se obě pokuty mohou zdát velmi vysoké, je otázkou, zda by britský ICO nenavrhl ještě vyšší pokutu, pokud by společnosti únik ihned neohlásily či během vyšetřování plně nespolupracovaly. V případě British Airways navržená pokuta odpovídá 1,5 % jejího ročního obratu – maximální pokuta za porušení GDPR přitom může být až ve výši 4 % z celosvětového obratu.
Hlavní nástroj předávání osobních údajů do Spojených států amerických, konkrétně rozhodnutí Evropské komise známé jako „Štít soukromí“ (Privacy Shield), je pod drobnohledem Evropského soudního dvora, a to spolu s tzv. standardními smluvními doložkami, které jsou vůbec nejobvyklejším nástrojem pro předávání osobních údajů do třetích zemí.
Rakouský právník Maximilian Schrems, který stál za zneplatněním předchozího nástroje předávání osobních údajů do Spojených států amerických („Safe Harbour“), podal u irského dozorového úřadu stížnost, v níž tvrdí, že ochrana osobních údajů v USA není dostatečná, jelikož k předávaným údajům mají přístup americké úřady. Předběžné otázky adresované Evropskému soudnímu dvoru jsou dostupné na webu eur-lex.
Rozhodnutí Evropského soudního dvoru lze očekávat zřejmě v první polovině roku 2020. Do té doby se Spojené státy snaží vyhovět některým výtkám evropských orgánů ohledně úrovně ochrany soukromí v USA. Jako příklad lze zmínit zejména nové jmenování ombudsmana, na něhož se budou moci evropští občané obracet ohledně zpracování osobních údajů ze strany amerických úřadů. V návaznosti na potvrzení ze strany amerického Senátu na konci června 2019 bude tuto roli zastávat Keith Krach.
Bez povšimnutí nezůstávají ani standardní smluvní doložky, jejichž brzkou revizi přislíbila ve svém červnovém projevu u příležitosti ročního výročí účinnosti GDPR česká eurokomisařka Eva Jourová. Aktuální verze standardních smluvních doložek totiž stále odkazuje na původní směrnici o ochraně osobních údajů.
Potenciální zneplatnění rozhodnutí Privacy Shield či standardních smluvních doložek by mělo rozsáhlé důsledky, jelikož by chyběl právní rámec předávání osobních údajů nejen do USA, ale i do většiny zemí mimo EU. Alternativou by mohlo být užití tzv. závazných podnikových pravidel, které jsou však užívány spíše omezeně (primárně pro jejich omezenou flexibilitu, jelikož musí být schváleny příslušným dozorovým úřadem) a jsou vhodné zejména pro přeshraniční předávání osobních údajů v rámci nadnárodních korporací. Výhledově by jako vhodný způsob předávání mohly sloužit i kodexy chování či osvědčení o ochraně údajů. Jelikož se jedná o nové instituty GDPR, jejich užívání se doposud neujalo, jelikož postupy jejich nastavení stále nebyly plně dokončeny.
V únoru 2019 vydal český Úřad pro ochranu osobních údajů první část dlouho očekávané metodiky, která pro správce osobních údajů zodpovídá otázku, zda pro konkrétní případ zpracování potřebují vypracovat Posouzení vlivu zpracování na ochranu osobních údajů (DPIA).
Druhá část metodiky, která uvádí výjimky z povinnost DPIA provést, zatím vydaná nebyla. Návrh nicméně existuje a byl předložen Evropskému sboru pro ochranu osobních údajů (EDPB), který k němu dne 10. července 2019 vydal stanovisko. Ze stanoviska však nelze zjistit úplný seznam navrhovaných výjimek. Z jeho znění nicméně víme, že český úřad navrhoval vyjmutí minimálně následujících zpracování z povinnosti vypracovat DPIA, kde však musí dle EDPB příslušnou část pozměnit nebo vyloučit:
Na svém červencovém plenárním zasedání přijal Evropský sbor pro ochranu osobních údajů (EDPB) návrh vodítek ke zpracování osobních údajů prostřednictvím video zařízení. Návrh je určen k veřejné konzultaci.
Téměř na 30 stranách EDPB rozebírá několik právních aspektů, z nichž nejzajímavější jsou následující otázky:
- kdy se u kamerových systémů jedná o zpracování, na které ještě GDPR nedopadá a kdy už ano;
- jak fyzické osoby správně informovat o použití kamerových systémů;
- jaká existují specifika z pohledu žádostí o výkon práv subjektů údajů.
- Značná část je pak věnovaná otázkám spojení kamerových systému s biometrickou analýzou.
Nenechte si ujít ani další aktuality z oblastí ochrany osobních údajů, telekomunikací a médií, e-commerce a dalších technologií, sledujte všechny novinky pod tagem TechLaw zpravodaj.
Článek je součástí zpravodaje dReport – srpen 2019, Právní novinky.
Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.
