Technologie  Právo 

TechLaw zpravodaj: Ochrana osobních údajů [září 2019]

Druhá polovina léta přinesla několik dalších zajímavých aktualit z oblasti ochrany soukromí a osobních údajů. Mezinárodní organizace pro normalizaci (ISO) vydala standard pro řízení compliance procesů v oblasti ochrany osobních údajů. Zpracování biometrických údajů vyvolává pořád větší a vetší otazníky (a také návrh na změnu zákoníku práce) a souhlasy na tom nejsou o nic lépe. Dále se ukázalo, že hlasoví asistenti vzbuzují kontroverze. A v neposlední řadě se soudy vyjádřily k doplňkům sociálních sítí na webových stránkách a propojování osobních údajů napříč platformou Facebook, WhatsApp a Instagram.

Nový ISO standard pro řízení ochrany osobních údajů

Mezinárodní organizace pro normalizaci (International Organization for Standardization, zkráceně ISO) vydala poslední srpnový den 2019 ISO normu 27701:2019 upravující řízení compliance procesů ochrany osobních údajů. Norma navazuje na starší ISO standardy z tzv. rodiny 27000 týkající se bezpečnostích informací. Nový standard upravuje, jakým způsobem nastolit, implementovat, kontrolovat, udržovat a zlepšovat vyspělou kulturu ochrany osobních údajů a ochranu soukromí jako takového. Společnosti, které jsou certifikované podle ISO normy 27001, budou moci získat rozšíření certifikace o nový standard 27701.

Přetrvávající nejasnosti ohledně zpracování biometrických údajů

Po poměrně kontroverzním rozhodnutí, které se týkalo zpracování biometrického podpisu na jaře tohoto roku, se Úřad pro ochranu osobních údajů („Úřad“) ve druhé polovině léta opět vrátil k problematice zpracování biometrických údajů, tentokrát však v souvislosti s docházkovými systémy pro zaměstnance. Úřad coby připomínkové místo v rámci legislativního procesu navrhl novelu zákoníku práce, jejímž účelem je ukotvit oprávnění zaměstnavatele ke zpracování biometrických údajů pro účely kontroly vstupu na pracoviště.

Souhlasy se zpracováním osobních údajů pořád vyvolávají problémy

Ačkoliv úprava souhlasů se zpracováním osobních údajů byla jedním z prvních kroků, které společnosti podnikly v souvislosti s příchodem GDPR, a souhlasy byly jedním z hlavních medializovaných bodů GDPR, se ani po více než roce nezdá, že jsou souhlasy dnes již zcela bez problémů. Úřad pro ochranu osobních údajů vydal aktualitu, ve které informoval, že vnímá přetrvávající nesprávné chápání souhlasu se zpracováním osobních údajů ve školství.

Evropský sbor pro ochranu osobních údajů a některá média pro změnu informovaly o udělení pokuty ve výši 150 000 EUR pro řeckou pobočku globální poradenské společnosti, která sbírala souhlas se zpracováním osobních údajů svých zaměstnanců v situaci, kdy lze zpracování založit jen na jiném právním titulu. Podle řeckého úřadu pro ochranu osobních údajů se jedná o klamavé a netransparentní zpracování.

Poměrně komplexní vodítka k souhlasům vydal v září 2019 i dánský úřad pro ochranu osobních údajů.

Z výše uvedených zpráv si je potřeba vzít to, že ochranu osobních údajů nelze paušálně řešit tím, že „pro jistotu“ na všechno sebereme souhlas. Dozorové úřady kladou poměrně veliký důraz na to, aby fyzické osoby byly náležitě informované o dobrovolnosti, resp. nedobrovolnosti zpracování, a aby použití slovíčka „souhlas“ skutečně znamenalo svobodu volby a možnost odvolání souhlasu i pár sekund po jeho udělení.

Vložení facebookového tlačítka „like“ na webové stránky činí z jejich provozovatele správce osobních údajů

Soudní dvůr Evropské Unie řešil případ německého online prodejce módy a jeho roli při zpracování osobních údajů na internetu. Prodejce na své webové stránky umístil tlačítko sociální sítě Facebook „Líbí se mi“ (angl. „Like“). Facebook za pomoci tlačítka a příslušného zdrojového kódu přitom monitoruje aktivity uživatele na stránkách, a to bez ohledu na to, zda uživatel kliknul nebo nekliknul na tlačítko a bez ohledu na to, zda má uživatel na sociální síti účet nebo nikoliv. Umístění tlačítka je jak ve prospěch sociální sítě, tak provozovatele webové stránky, jelikož produkty provozovatele pak mají na sítí větší visibilitu. Soud dospěl k závěru, že ve fázi sběru údajů se provozovatel webové stránky stává spolu se společností Facebook společným správcem osobních údajů. Pokud příslušné zpracování nelze založit na jiném právním titulu, např. na tzv. oprávněném zájmu, musí uživatel navíc se sběrem údajů udělit souhlas.

Německý soud společnosti Facebook obnovil možnost spojování osobních údajů z platforem Facebook, WhatsApp a Instagram

V březnovém vydání TechLaw zpravodaje jsme vás informovali o rozhodnutí německého antimonopolního úřadu, podle kterého Facebook zneužil své dominantní postavení při využívání dat třetích stran a třetích aplikací, včetně dat ze svých platforem WhatsApp a Instagram. Následný soudní přezkum tohoto rozhodnutí, které iniciovala společnost Facebook, nicméně vedl ke zrušení tohoto rozhodnutí. Lze očekávat, že příslušná otázka bude ještě předmětem dalšího právního posuzování, např. podá-li německý antimonopolní úřad odvolání proti rozhodnutí soudu. Výsledek právní bitvy bude v každém případě vhodné sledovat, jelikož jeho výsledek se může dotknout i dalších „rozsáhlejších ekosystémů osobních údajů“.

Kontroverzní hlasoví asistenti (smart speakers)

V posledních týdnech rozpoutalo širší debatu zjištění, že záznamy z hlasových asistentů (tzv. smart speakers) různých výrobců mohou v rámci zlepšování poskytovaných služeb poslouchat a analyzovat pracovníci technologických společností, a že navíc někdy dochází k aktivaci asistentů bez pokynu uživatele. Společnosti Amazon, Apple a Google zareagovaly pozastavením nebo změnou monitoringu nahrávek prováděného lidmi.

Dozorový úřad v Hamburku (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) dne 1. srpna 2019 vyhlásil tříměsíční moratorium bránící společnosti Google využívat informace z předmětných zařízení ke zdokonalování její technologie rozpoznávání řeči a zároveň požádal o součinnost další příslušné orgány napříč EU. O vývoji v této oblasti vás budeme informovat v dalších číslech zpravodaje.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)
Technologie  Právo 

Úřad pro ochranu osobních údajů rozšiřuje působnost, proces vyřizování žádostí se zrychlí

S příchodem nového roku došlo v návaznosti na přijetí implementačního zákona k GDPR i k rozšíření působnosti Úřadu pro ochranu osobních údajů v oblasti svobodného přístupu k informacím. Co to v praxi znamená? Kupříkladu zavedení přezkumného řízení, které by mělo zrychlit a zjednodušit vyřizování žádostí. Více informací najdete v našem únorovém TechLaw zpravodaji, kde se věnujeme ochranně osobních údajů. Dále se můžete dozvědět více o statistikách dozorové činnosti zmíněného Úřadu pro ochranu osobních údajů, rovněž vám představíme seznam operací zpracování, které nepodléhají vypracování DPIA, a podíváme se i na blížící se konec podpory pro cookies třetích stran v Google Chrome. 

21. 2. 2020
Technologie  Právo 

Robot nemůže být vynálezcem, potvrdil Evropský patentový úřad

Evropský patentový úřad potvrdil doposud uznávaný výklad, že umělá inteligence nemůže být u patentů uváděna jako vynálezce. Není totiž možné, aby práva s touto rolí spjatá vykonávalo zařízení nemající právní osobnost. Více informací najdete v našem únorovém TechLaw zpravodaji, kde se věnujeme oblasti cybersecurity a novým technologiím. To ale není vše – dále se dozvíte více o tom, jak kancelář prezidenta USA vydala návrh regulace vývoje na používání umělé inteligence, o upřesňovací novele zákona o kybernetické bezpečnosti, o hackerských útocích na benešovskou nemocnici a OKD a o ukončení podpory pro Windows 7. 

21. 2. 2020
Technologie  Právo 

YouTube a další videoplatformy čeká regulace, nově budou mít oznamovací povinnost vůči Radě pro rozhlasové a televizní vysílání

Na přelomu roku byly v oblasti telekomunikací a médií představeny dva legislativní návrhy, a to novela zákona o elektronických komunikacích a nový zákon o službách platforem pro sdílení videonahrávek, který se dotkne služeb jako je YouTube. Chcete se dozvědět více? Přečtěte si náš únorový TechLaw zpravodaj. Zjistíte například také, jak Český telekomunikační úřad rozhodl v otázce spolků, které poskytují svým členům připojení k internetu, jsou podnikateli a podléhají vůči úřadu oznamovací povinnosti. 

21. 2. 2020