Druhá polovina léta přinesla několik dalších zajímavých aktualit z oblasti ochrany soukromí a osobních údajů. Mezinárodní organizace pro normalizaci (ISO) vydala standard pro řízení compliance procesů v oblasti ochrany osobních údajů. Zpracování biometrických údajů vyvolává pořád větší a vetší otazníky (a také návrh na změnu zákoníku práce) a souhlasy na tom nejsou o nic lépe. Dále se ukázalo, že hlasoví asistenti vzbuzují kontroverze. A v neposlední řadě se soudy vyjádřily k doplňkům sociálních sítí na webových stránkách a propojování osobních údajů napříč platformou Facebook, WhatsApp a Instagram.
Nový ISO standard pro řízení ochrany osobních údajů
Mezinárodní organizace pro normalizaci (International Organization for Standardization, zkráceně ISO) vydala poslední srpnový den 2019 ISO normu 27701:2019 upravující řízení compliance procesů ochrany osobních údajů. Norma navazuje na starší ISO standardy z tzv. rodiny 27000 týkající se bezpečnostích informací. Nový standard upravuje, jakým způsobem nastolit, implementovat, kontrolovat, udržovat a zlepšovat vyspělou kulturu ochrany osobních údajů a ochranu soukromí jako takového. Společnosti, které jsou certifikované podle ISO normy 27001, budou moci získat rozšíření certifikace o nový standard 27701.
Přetrvávající nejasnosti ohledně zpracování biometrických údajů
Po poměrně kontroverzním rozhodnutí, které se týkalo zpracování biometrického podpisu na jaře tohoto roku, se Úřad pro ochranu osobních údajů („Úřad“) ve druhé polovině léta opět vrátil k problematice zpracování biometrických údajů, tentokrát však v souvislosti s docházkovými systémy pro zaměstnance. Úřad coby připomínkové místo v rámci legislativního procesu navrhl novelu zákoníku práce, jejímž účelem je ukotvit oprávnění zaměstnavatele ke zpracování biometrických údajů pro účely kontroly vstupu na pracoviště.
Souhlasy se zpracováním osobních údajů pořád vyvolávají problémy
Ačkoliv úprava souhlasů se zpracováním osobních údajů byla jedním z prvních kroků, které společnosti podnikly v souvislosti s příchodem GDPR, a souhlasy byly jedním z hlavních medializovaných bodů GDPR, se ani po více než roce nezdá, že jsou souhlasy dnes již zcela bez problémů. Úřad pro ochranu osobních údajů vydal aktualitu, ve které informoval, že vnímá přetrvávající nesprávné chápání souhlasu se zpracováním osobních údajů ve školství.
Evropský sbor pro ochranu osobních údajů a některá média pro změnu informovaly o udělení pokuty ve výši 150 000 EUR pro řeckou pobočku globální poradenské společnosti, která sbírala souhlas se zpracováním osobních údajů svých zaměstnanců v situaci, kdy lze zpracování založit jen na jiném právním titulu. Podle řeckého úřadu pro ochranu osobních údajů se jedná o klamavé a netransparentní zpracování.
Poměrně komplexní vodítka k souhlasům vydal v září 2019 i dánský úřad pro ochranu osobních údajů.
Z výše uvedených zpráv si je potřeba vzít to, že ochranu osobních údajů nelze paušálně řešit tím, že „pro jistotu“ na všechno sebereme souhlas. Dozorové úřady kladou poměrně veliký důraz na to, aby fyzické osoby byly náležitě informované o dobrovolnosti, resp. nedobrovolnosti zpracování, a aby použití slovíčka „souhlas“ skutečně znamenalo svobodu volby a možnost odvolání souhlasu i pár sekund po jeho udělení.
Vložení facebookového tlačítka „like“ na webové stránky činí z jejich provozovatele správce osobních údajů
Soudní dvůr Evropské Unie řešil případ německého online prodejce módy a jeho roli při zpracování osobních údajů na internetu. Prodejce na své webové stránky umístil tlačítko sociální sítě Facebook „Líbí se mi“ (angl. „Like“). Facebook za pomoci tlačítka a příslušného zdrojového kódu přitom monitoruje aktivity uživatele na stránkách, a to bez ohledu na to, zda uživatel kliknul nebo nekliknul na tlačítko a bez ohledu na to, zda má uživatel na sociální síti účet nebo nikoliv. Umístění tlačítka je jak ve prospěch sociální sítě, tak provozovatele webové stránky, jelikož produkty provozovatele pak mají na sítí větší visibilitu. Soud dospěl k závěru, že ve fázi sběru údajů se provozovatel webové stránky stává spolu se společností Facebook společným správcem osobních údajů. Pokud příslušné zpracování nelze založit na jiném právním titulu, např. na tzv. oprávněném zájmu, musí uživatel navíc se sběrem údajů udělit souhlas.
Německý soud společnosti Facebook obnovil možnost spojování osobních údajů z platforem Facebook, WhatsApp a Instagram
V březnovém vydání TechLaw zpravodaje jsme vás informovali o rozhodnutí německého antimonopolního úřadu, podle kterého Facebook zneužil své dominantní postavení při využívání dat třetích stran a třetích aplikací, včetně dat ze svých platforem WhatsApp a Instagram. Následný soudní přezkum tohoto rozhodnutí, které iniciovala společnost Facebook, nicméně vedl ke zrušení tohoto rozhodnutí. Lze očekávat, že příslušná otázka bude ještě předmětem dalšího právního posuzování, např. podá-li německý antimonopolní úřad odvolání proti rozhodnutí soudu. Výsledek právní bitvy bude v každém případě vhodné sledovat, jelikož jeho výsledek se může dotknout i dalších „rozsáhlejších ekosystémů osobních údajů“.
Kontroverzní hlasoví asistenti (smart speakers)
V posledních týdnech rozpoutalo širší debatu zjištění, že záznamy z hlasových asistentů (tzv. smart speakers) různých výrobců mohou v rámci zlepšování poskytovaných služeb poslouchat a analyzovat pracovníci technologických společností, a že navíc někdy dochází k aktivaci asistentů bez pokynu uživatele. Společnosti Amazon, Apple a Google zareagovaly pozastavením nebo změnou monitoringu nahrávek prováděného lidmi.
Dozorový úřad v Hamburku (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) dne 1. srpna 2019 vyhlásil tříměsíční moratorium bránící společnosti Google využívat informace z předmětných zařízení ke zdokonalování její technologie rozpoznávání řeči a zároveň požádal o součinnost další příslušné orgány napříč EU. O vývoji v této oblasti vás budeme informovat v dalších číslech zpravodaje.
Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.
