Technologie  Právo 

TechLaw zpravodaj: Ochrana osobních údajů [červenec 2019]

Ani v letních měsících nezůstává agenda ochrany osobních údajů opomenuta. Velkou pozornost na sebe strhl zejména britský dozorový úřad ICO, který oznámil možnost uložení milionových pokut společnostem British Airways a Marriott. Napilno měl i Evropský sbor pro ochranu osobních údajů, který na svém posledním zasedání přijal několik významných dokumentů. Středem pozornosti i nadále zůstává osud standardních smluvních doložek a Štítu soukromí coby nástroje pro předávání osobních údajů do třetích zemí a USA.

Britský ICO jako možný průkopník masivních pokut za porušení GDPR

Dosud nejvyšší pokuta za porušení GDPR, konkrétně 50 milionů euro, byla uložena společnosti Google francouzským dozorovým úřadem CNIL. Tato hranice může být brzy překonána britským dozorovým úřadem ICO, který začátkem července oznámil úmysl uložit pokuty společnostem British Airways a Marriott.

Hotelový řetězec Marriott

Známý hotelový řetězec čelí pokutě až 99 200 396 britských liber, a to za údajný únik kontaktních a finančních dat několika desítek milionů zákazníků. K samotnému úniku mělo údajně dojít již v roce 2014, kdy byly napadeny systémy hotelové skupiny Starwood, kterou společnost Marriott koupila o dva roky později. Z dané kauzy tak jasně vyplývá, že v rámci akvizičních projektů nesmí být oblast ochrany osobních údajů podceňována.

K odhalení úniku dat došlo v roce 2018, kdy také došlo k jeho oznámení – v souladu s novými evropskými pravidly pro ochranu osobních údajů – britskému regulátorovi, s nímž Marriott v průběhu celého šetření plně spolupracoval a zjištěné nedostatky napravil.

Letecká společnost British Airways

Pokuta, která může být uložena letecké společnosti, je skoro jednou tak vyšší než ta, která má být uložena hotelovému řetězci Marriott, konkrétně má jít až o 183 milionů liber. British Airways se měla dopustit porušení GDPR tím, že nepřijala dostatečná bezpečnostní opatření a nepředešla tak hackerskému útoku na svůj web a mobilní aplikaci, čímž mělo dojít k úniku dat téměř půl milionu zákazníků. Útočníci prostřednictvím falešného webu získávali od června 2018 údaje o jménech zákazníků, jejich platebních kartách, stejně jako o emailových a poštovních adresách.

Letecká společnost oznámila incident ještě v září loňského roku a podobně jako Marriott poskytla při vyšetřování plnou součinnost a provedla opatření k nápravě. Podobně jako Marriott, má i British Airways možnost se k zjištěním ICO a navržené sankci vyjádřit. To samé právo náleží i dozorovým úřadům těch států EU, jejichž občané byli úniky dotčeni.

Ani v jednom případě není výše pokuty zatím definitivní. Obě společnosti se měly dopustit podobného porušení GDPR, tedy úniku dat v důsledku jejich nedostatečného zabezpečení. Ačkoliv se obě pokuty mohou zdát velmi vysoké, je otázkou, zda by britský ICO nenavrhl ještě vyšší pokutu, pokud by společnosti únik ihned neohlásily či během vyšetřování plně nespolupracovaly. V případě British Airways navržená pokuta odpovídá 1,5 % jejího ročního obratu – maximální pokuta za porušení GDPR přitom může být až ve výši 4 % z celosvětového obratu.

Mimoevropské předávání osobních údajů v ohrožení? Vývoj kolem Privacy Shieldu a standardních smluvních doložek

Hlavní nástroj předávání osobních údajů do Spojených států amerických, konkrétně rozhodnutí Evropské komise známé jako „Štít soukromí“ (Privacy Shield), je pod drobnohledem Evropského soudního dvora, a to spolu s tzv. standardními smluvními doložkami, které jsou vůbec nejobvyklejším nástrojem pro předávání osobních údajů do třetích zemí.

Rakouský právník Maximilian Schrems, který stál za zneplatněním předchozího nástroje předávání osobních údajů do Spojených států amerických („Safe Harbour“), podal u irského dozorového úřadu stížnost, v níž tvrdí, že ochrana osobních údajů v USA není dostatečná, jelikož k předávaným údajům mají přístup americké úřady. Předběžné otázky adresované Evropskému soudnímu dvoru jsou dostupné na webu eur-lex.

Rozhodnutí Evropského soudního dvoru lze očekávat zřejmě v první polovině roku 2020. Do té doby se Spojené státy snaží vyhovět některým výtkám evropských orgánů ohledně úrovně ochrany soukromí v USA. Jako příklad lze zmínit zejména nové jmenování ombudsmana, na něhož se budou moci evropští občané obracet ohledně zpracování osobních údajů ze strany amerických úřadů. V návaznosti na potvrzení ze strany amerického Senátu na konci června 2019 bude tuto roli zastávat Keith Krach.

Bez povšimnutí nezůstávají ani standardní smluvní doložky, jejichž brzkou revizi přislíbila ve svém červnovém projevu u příležitosti ročního výročí účinnosti GDPR česká eurokomisařka Eva Jourová. Aktuální verze standardních smluvních doložek totiž stále odkazuje na původní směrnici o ochraně osobních údajů.

Potenciální zneplatnění rozhodnutí Privacy Shield či standardních smluvních doložek by mělo rozsáhlé důsledky, jelikož by chyběl právní rámec předávání osobních údajů nejen do USA, ale i do většiny zemí mimo EU. Alternativou by mohlo být užití tzv. závazných podnikových pravidel, které jsou však užívány spíše omezeně (primárně pro jejich omezenou flexibilitu, jelikož musí být schváleny příslušným dozorovým úřadem) a jsou vhodné zejména pro přeshraniční předávání osobních údajů v rámci nadnárodních korporací. Výhledově by jako vhodný způsob předávání mohly sloužit i kodexy chování či osvědčení o ochraně údajů. Jelikož se jedná o nové instituty GDPR, jejich užívání se doposud neujalo, jelikož postupy jejich nastavení stále nebyly plně dokončeny.

DPIA: další vývoj ohledně metodiky jejího vypracování

V únoru 2019 vydal český Úřad pro ochranu osobních údajů první část dlouho očekávané metodiky, která pro správce osobních údajů zodpovídá otázku, zda pro konkrétní případ zpracování potřebují vypracovat Posouzení vlivu zpracování na ochranu osobních údajů (DPIA).

Druhá část metodiky, která uvádí výjimky z povinnost DPIA provést, zatím vydaná nebyla. Návrh nicméně existuje a byl předložen Evropskému sboru pro ochranu osobních údajů (EDPB), který k němu dne 10. července 2019 vydal stanovisko. Ze stanoviska však nelze zjistit úplný seznam navrhovaných výjimek. Z jeho znění nicméně víme, že český úřad navrhoval vyjmutí minimálně následujících zpracování z povinnosti vypracovat DPIA, kde však musí dle EDPB příslušnou část pozměnit nebo vyloučit:

  • zpracování v oblasti HR, sociálního zdravotního pojištění (dle EDPB je výjimka přípustná pouze za podmínky, že se jedná o zákonné zpracování nikoliv velikého rozsahu);
  • zpracování v souvislosti s obchodními aktivitami (dle EDPB je výjimka přípustná pouze za podmínky, že se jedná o zpracování necitlivých dat zákazníků a toto zpracování není velikého rozsahu);
  • zpracování za účelem přímého marketingu (dle EDPB je výjimka přípustná za podmínky, že se nejedná o zpracování citlivých údajů a údajů senzitivních skupin osob) a
  • záznamy z palubní kamery ve vozidle (EDPB se staví proti této výjimce).

Evropský sbor pro ochranu osobních údajů vydal návrh vodítek ke kamerovým systémům

Na svém červencovém plenárním zasedání přijal Evropský sbor pro ochranu osobních údajů (EDPB) návrh vodítek ke zpracování osobních údajů prostřednictvím video zařízení. Návrh je určen k veřejné konzultaci.

Téměř na 30 stranách EDPB rozebírá několik právních aspektů, z nichž nejzajímavější jsou následující otázky:

  • kdy se u kamerových systémů jedná o zpracování, na které ještě GDPR nedopadá a kdy už ano;
  • jak fyzické osoby správně informovat o použití kamerových systémů;
  • jaká existují specifika z pohledu žádostí o výkon práv subjektů údajů.
  • Značná část je pak věnovaná otázkám spojení kamerových systému s biometrickou analýzou.

Nenechte si ujít ani další aktuality z oblastí ochrany osobních údajů, telekomunikací a médií, e-commerce a dalších technologií, sledujte všechny novinky pod tagem TechLaw zpravodaj.

Článek je součástí zpravodaje dReport – srpen 2019, Právní novinky.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)
Technologie  Právo 

Priorita pro EBA: bezproblémový přístup třetích stran k vyhrazenému rozhraní bank

V červnu 2020 vydal Evropský orgán pro bankovnictví (EBA) nové stanovisko k výkladu vybraných ustanovení nařízení opravujícího regulační technické normy (RTS) pro silné ověření klienta (SCA). V předmětném stanovisku se EBA konkrétně věnovala problematice nastavení vyhrazených rozhraní pro třetí strany, konkrétně pro poskytovatele služeb informování o účtu (AISP) a poskytovatele služeb nepřímého dání platebního příkazu (PISP), ze strany poskytovatele platební služby vedoucího účet klienta (ASPSP). Jím poskytované rozhraní nesmí být nastaveno tak, aby třetím stranám vytvářelo překážky v jeho využití. 

25. 6. 2020
Právo  Deloitte živě 

Jaké změny přináší novela zákoníku práce? Nová pravidla pro čerpání dovolené, sdílené pracovní místo i jednodušší využití datové schránky

Novela zákoníku práce byla v první polovině června schválena Senátem a většina nových pravidel se začne promítat v praxi již od 30. července 2020. Vedle poměrně dlouho proklamovaných změn týkajících se například vysílání pracovníků do zahraničí či systému čerpání dovolené se dílčí novinky dotknou také institutu sdíleného pracovního místa, některých případů náhrady nemajetkové újmy či pravidel při doručování zaměstnanci a zaměstnavateli. Jaké konkrétní legislativní změny podnikatele a jejich zaměstnance čekají a jaký budou mít dopad v praxi? 

24. 6. 2020