Technologie  Právo 

TechLaw zpravodaj: Ochrana osobních údajů [červenec 2019]

Ani v letních měsících nezůstává agenda ochrany osobních údajů opomenuta. Velkou pozornost na sebe strhl zejména britský dozorový úřad ICO, který oznámil možnost uložení milionových pokut společnostem British Airways a Marriott. Napilno měl i Evropský sbor pro ochranu osobních údajů, který na svém posledním zasedání přijal několik významných dokumentů. Středem pozornosti i nadále zůstává osud standardních smluvních doložek a Štítu soukromí coby nástroje pro předávání osobních údajů do třetích zemí a USA.

Britský ICO jako možný průkopník masivních pokut za porušení GDPR

Dosud nejvyšší pokuta za porušení GDPR, konkrétně 50 milionů euro, byla uložena společnosti Google francouzským dozorovým úřadem CNIL. Tato hranice může být brzy překonána britským dozorovým úřadem ICO, který začátkem července oznámil úmysl uložit pokuty společnostem British Airways a Marriott.

Hotelový řetězec Marriott

Známý hotelový řetězec čelí pokutě až 99 200 396 britských liber, a to za údajný únik kontaktních a finančních dat několika desítek milionů zákazníků. K samotnému úniku mělo údajně dojít již v roce 2014, kdy byly napadeny systémy hotelové skupiny Starwood, kterou společnost Marriott koupila o dva roky později. Z dané kauzy tak jasně vyplývá, že v rámci akvizičních projektů nesmí být oblast ochrany osobních údajů podceňována.

K odhalení úniku dat došlo v roce 2018, kdy také došlo k jeho oznámení – v souladu s novými evropskými pravidly pro ochranu osobních údajů – britskému regulátorovi, s nímž Marriott v průběhu celého šetření plně spolupracoval a zjištěné nedostatky napravil.

Letecká společnost British Airways

Pokuta, která může být uložena letecké společnosti, je skoro jednou tak vyšší než ta, která má být uložena hotelovému řetězci Marriott, konkrétně má jít až o 183 milionů liber. British Airways se měla dopustit porušení GDPR tím, že nepřijala dostatečná bezpečnostní opatření a nepředešla tak hackerskému útoku na svůj web a mobilní aplikaci, čímž mělo dojít k úniku dat téměř půl milionu zákazníků. Útočníci prostřednictvím falešného webu získávali od června 2018 údaje o jménech zákazníků, jejich platebních kartách, stejně jako o emailových a poštovních adresách.

Letecká společnost oznámila incident ještě v září loňského roku a podobně jako Marriott poskytla při vyšetřování plnou součinnost a provedla opatření k nápravě. Podobně jako Marriott, má i British Airways možnost se k zjištěním ICO a navržené sankci vyjádřit. To samé právo náleží i dozorovým úřadům těch států EU, jejichž občané byli úniky dotčeni.

Ani v jednom případě není výše pokuty zatím definitivní. Obě společnosti se měly dopustit podobného porušení GDPR, tedy úniku dat v důsledku jejich nedostatečného zabezpečení. Ačkoliv se obě pokuty mohou zdát velmi vysoké, je otázkou, zda by britský ICO nenavrhl ještě vyšší pokutu, pokud by společnosti únik ihned neohlásily či během vyšetřování plně nespolupracovaly. V případě British Airways navržená pokuta odpovídá 1,5 % jejího ročního obratu – maximální pokuta za porušení GDPR přitom může být až ve výši 4 % z celosvětového obratu.

Mimoevropské předávání osobních údajů v ohrožení? Vývoj kolem Privacy Shieldu a standardních smluvních doložek

Hlavní nástroj předávání osobních údajů do Spojených států amerických, konkrétně rozhodnutí Evropské komise známé jako „Štít soukromí“ (Privacy Shield), je pod drobnohledem Evropského soudního dvora, a to spolu s tzv. standardními smluvními doložkami, které jsou vůbec nejobvyklejším nástrojem pro předávání osobních údajů do třetích zemí.

Rakouský právník Maximilian Schrems, který stál za zneplatněním předchozího nástroje předávání osobních údajů do Spojených států amerických („Safe Harbour“), podal u irského dozorového úřadu stížnost, v níž tvrdí, že ochrana osobních údajů v USA není dostatečná, jelikož k předávaným údajům mají přístup americké úřady. Předběžné otázky adresované Evropskému soudnímu dvoru jsou dostupné na webu eur-lex.

Rozhodnutí Evropského soudního dvoru lze očekávat zřejmě v první polovině roku 2020. Do té doby se Spojené státy snaží vyhovět některým výtkám evropských orgánů ohledně úrovně ochrany soukromí v USA. Jako příklad lze zmínit zejména nové jmenování ombudsmana, na něhož se budou moci evropští občané obracet ohledně zpracování osobních údajů ze strany amerických úřadů. V návaznosti na potvrzení ze strany amerického Senátu na konci června 2019 bude tuto roli zastávat Keith Krach.

Bez povšimnutí nezůstávají ani standardní smluvní doložky, jejichž brzkou revizi přislíbila ve svém červnovém projevu u příležitosti ročního výročí účinnosti GDPR česká eurokomisařka Eva Jourová. Aktuální verze standardních smluvních doložek totiž stále odkazuje na původní směrnici o ochraně osobních údajů.

Potenciální zneplatnění rozhodnutí Privacy Shield či standardních smluvních doložek by mělo rozsáhlé důsledky, jelikož by chyběl právní rámec předávání osobních údajů nejen do USA, ale i do většiny zemí mimo EU. Alternativou by mohlo být užití tzv. závazných podnikových pravidel, které jsou však užívány spíše omezeně (primárně pro jejich omezenou flexibilitu, jelikož musí být schváleny příslušným dozorovým úřadem) a jsou vhodné zejména pro přeshraniční předávání osobních údajů v rámci nadnárodních korporací. Výhledově by jako vhodný způsob předávání mohly sloužit i kodexy chování či osvědčení o ochraně údajů. Jelikož se jedná o nové instituty GDPR, jejich užívání se doposud neujalo, jelikož postupy jejich nastavení stále nebyly plně dokončeny.

DPIA: další vývoj ohledně metodiky jejího vypracování

V únoru 2019 vydal český Úřad pro ochranu osobních údajů první část dlouho očekávané metodiky, která pro správce osobních údajů zodpovídá otázku, zda pro konkrétní případ zpracování potřebují vypracovat Posouzení vlivu zpracování na ochranu osobních údajů (DPIA).

Druhá část metodiky, která uvádí výjimky z povinnost DPIA provést, zatím vydaná nebyla. Návrh nicméně existuje a byl předložen Evropskému sboru pro ochranu osobních údajů (EDPB), který k němu dne 10. července 2019 vydal stanovisko. Ze stanoviska však nelze zjistit úplný seznam navrhovaných výjimek. Z jeho znění nicméně víme, že český úřad navrhoval vyjmutí minimálně následujících zpracování z povinnosti vypracovat DPIA, kde však musí dle EDPB příslušnou část pozměnit nebo vyloučit:

  • zpracování v oblasti HR, sociálního zdravotního pojištění (dle EDPB je výjimka přípustná pouze za podmínky, že se jedná o zákonné zpracování nikoliv velikého rozsahu);
  • zpracování v souvislosti s obchodními aktivitami (dle EDPB je výjimka přípustná pouze za podmínky, že se jedná o zpracování necitlivých dat zákazníků a toto zpracování není velikého rozsahu);
  • zpracování za účelem přímého marketingu (dle EDPB je výjimka přípustná za podmínky, že se nejedná o zpracování citlivých údajů a údajů senzitivních skupin osob) a
  • záznamy z palubní kamery ve vozidle (EDPB se staví proti této výjimce).

Evropský sbor pro ochranu osobních údajů vydal návrh vodítek ke kamerovým systémům

Na svém červencovém plenárním zasedání přijal Evropský sbor pro ochranu osobních údajů (EDPB) návrh vodítek ke zpracování osobních údajů prostřednictvím video zařízení. Návrh je určen k veřejné konzultaci.

Téměř na 30 stranách EDPB rozebírá několik právních aspektů, z nichž nejzajímavější jsou následující otázky:

  • kdy se u kamerových systémů jedná o zpracování, na které ještě GDPR nedopadá a kdy už ano;
  • jak fyzické osoby správně informovat o použití kamerových systémů;
  • jaká existují specifika z pohledu žádostí o výkon práv subjektů údajů.
  • Značná část je pak věnovaná otázkám spojení kamerových systému s biometrickou analýzou.

Nenechte si ujít ani další aktuality z oblastí ochrany osobních údajů, telekomunikací a médií, e-commerce a dalších technologií, sledujte všechny novinky pod tagem TechLaw zpravodaj.

ICO Privacy Shield DPIA TechLaw zpravodaj Kamerové záznamy GDPR
Technologie 

Budoucnost dopravy: Centralizace dopravních operačních systémů jako cesta pro udržitelný rozvoj

Drtivá většina obyvatel vyspělých zemí využívá moderních dopravních prostředků každý den. Evoluce všech způsobů dopravy je dnes natolik rychlá, komplexní a přirozená, že už se nad ní ani nepozastavujeme. Každý student, který na cestě do školy nasedne na tramvaj a bezkontaktně zaplatí jízdenku, dokonce i každý turista, který se po městě projíždí na sdílené koloběžce, je však součástí této modernizace. Podívejte se společně s námi, jaké moderní technologie v oblasti dopravy dnes využíváme a položme si otázku: Dokážeme je propojit v jeden provázaný a funkční celek dříve, než nám přerostou přes hlavu? 

16. 8. 2019
Technologie  Daně 

Podpora modernizace a automatizace výroby v oblasti Průmyslu 4.0

Plánujete modernizovat a automatizovat výrobu či zavádět nové procesy řízení podnikatelských aktivit? Jsou s těmito plány spojené investice finančních prostředků do výrobních či souvisejících technologií nebo do informačních systémů a jiného SW/HW vybavení? Pokud ano, pak vás bude určitě zajímat, že Agentura pro podnikání a inovace (API) spustila 22. července 2019 dotační program, který přesně tyto aktivity podporuje. 

14. 8. 2019
Právo 

Alpinismus má se soutěžní regulací více paralel, než si možná dovedete představit. Jak se stát leopardem na trhu?

Každý korporát má svůj příběh. Ten náš teď žije advokátkou Katkou Mandulovou, která když zrovna firmy neprovádí riziky soutěžněprávní regulace, tak leze po horách. Aktuálně se v nadmořské výšce 6000 metrů připravuje na svůj životní výstup na horu Pik Pobědy (7439 m), aby na konci srpna mohla zakončit svůj triumf a stala se první českou Sněžnou leopardkou. Rozumějte ženou, která zdolala 5 náročných vrcholků rozprostírajících se na území bývalého Sovětského svazu. A zatímco my se oddáváme letním dnům, Katku čeká přenocování v ledu s venkovními teplotami -35 stupňů. V mezičase si můžeme připomenout, jak propojuje právo se svým koníčkem. 

9. 8. 2019