Technologie  Právo 

Úřad pro ochranu osobních údajů rozšiřuje působnost, proces vyřizování žádostí se zrychlí

S příchodem nového roku došlo v návaznosti na přijetí implementačního zákona k GDPR i k rozšíření působnosti Úřadu pro ochranu osobních údajů v oblasti svobodného přístupu k informacím. Co to v praxi znamená? Kupříkladu zavedení přezkumného řízení, které by mělo zrychlit a zjednodušit vyřizování žádostí. Více informací najdete v našem únorovém TechLaw zpravodaji, kde se věnujeme ochranně osobních údajů. Dále se můžete dozvědět více o statistikách dozorové činnosti zmíněného Úřadu pro ochranu osobních údajů, rovněž vám představíme seznam operací zpracování, které nepodléhají vypracování DPIA, a podíváme se i na blížící se konec podpory pro cookies třetích stran v Google Chrome.

TechLaw zpravodaj: novinky ze světa ochrany osobních údajů, cybersecurity, IP/IT práva, telekomunikace a spousta dalších informací. Nenechte si ujít další vydání a zaregistrujte se k jeho odběru.

Nová působnost Úřadu pro ochranu osobních údajů od roku 2020

Implementační zákon k Obecnému nařízení o ochraně osobních údajů („GDPR“), jakož i novela zákona o svobodném přístupu k informacím přinesly s účinností od ledna 2020 mimo jiné rozšíření působnosti Úřadu pro ochranu osobních údajů („Úřad“) v oblasti práva na informace.

Od ledna 2020 disponuje Úřad pravomocí k přezkumu rozhodnutí nadřízeného orgánu ve věci žádosti o informace. V případě, že povinný subjekt žadatelovu žádost o poskytnutí informace odmítne, může žadatel podat proti takovému rozhodnutí odvolání k nařízenému orgánu, který o něm musí rozhodnout do 15 dnů od jeho doručení povinným subjektem. Rozhodnutí o odvolání (případně rozkladu) je pak oprávněn přezkoumat v přezkumném řízení Úřad. Pokud Úřad dospěje k závěru, že poskytnutí informace povinnou osobou bylo odepřeno nezákonně, rozhodnutí povinné osoby zruší a přikáže jí, aby povinnému subjektu informaci ve stanovené lhůtě poskytla.

V případě, že nadřízený orgán povinného subjektu nebude možné určit (tj. půjde o orgány, kde o odvolání či stížnosti rozhodovala osoba stojící v jejich čele), bude Úřad rozhodovat již o samotném odvolání či stížnosti jako takové.

Cílem zavedení přezkumného řízení je zejména zjednodušit a zefektivnit vyřizování žádostí a řešit je primárně na úrovni povinných subjektů a nadřízených orgánů v rámci správního řízení. Touto úpravou by tak mělo dojít k odstranění obstrukčních možností povinných orgánů ve smyslu oddalování poskytnutí informace až do vydání soudního rozhodnutí, a tedy ke zrychlení celého procesu.

Úřad má rovněž pravomoc přijímat opatření proti nečinnosti nadřízeného orgánu dle správního řádu.

Nově zveřejněné statistiky z činnosti Úřadu pro ochranu osobních údajů

Na konci loňského roku zveřejnil Úřad v návaznosti na žádosti podané ve smyslu zákona o svobodném přístupu k informacím nové statistiky vztahující se k jeho dozorové činnosti.

Dozorová činnost Úřadu v číslech

  • Hlášení případů porušení zabezpečení – Od účinnosti GDPR v květnu 2018 do listopadu 2019 bylo Úřadu nahlášeno více než 600 případů porušení zabezpečení osobních údajů, které správcům ve vybraných situacích GDPR ukládá.
  • Počet uložených pokut – Od účinnosti GDPR do listopadu 2019 Úřad uložil celkem 105 pokut. Ve většině případů se přitom jednalo o pokuty za porušení ještě původního zákona o ochraně osobních údajů. Porušení GDPR Úřad zatím pokutoval pouze v 17 případech.
  • Souhrnná výše uložených pokut – Od účinnosti GDPR Úřad uložil pokuty v souhrnné výši téměř 7,5 milionu Kč.

Finální verze seznamu zpracování, kdy správce nemá povinnost vyhotovovat DPIA

O nově vydané metodice, podle níž má být postupováno v případě, že správce osobních údajů vyhodnocuje, zda má či nemá povinnost vypracování posouzení vlivu na ochranu osobních údajů („DPIA“) a jak DPIA následně vyhotovit, jsme vás informovali již v listopadovém vydání TechLaw zpravodaje. Tato metodika byla do poloviny prosince loňského roku předmětem veřejné diskuse a její finální verze dosud nebyla zveřejněna.

V únoru 2019 Úřad dostál své povinnosti zveřejnit seznam operací zpracování, které povinnosti vypracování DPIA podléhají vždy. Tento dokument byl v lednu 2020 doplněn rovněž o seznam operací zpracování, kdy správce tuto povinnost naopak nemá.

DPIA tak nepodléhá například zpracování spojeným s jednotlivou návštěvou zákazníka na webové stránce správce, a to včetně jeho profilování na základě jeho výběru položek z nabídky zboží, výrobků či služeb nebo zpracování osobních údajů zákazníků na území ČR. Dále se DPIA nevztahuje na zpracování některých osobních údajů zákazníků, která se týkají obchodní činnosti (například prodeje a poskytování služeb včetně newsletterů) a která jsou prováděna v českém jazyce (a pokud neobsahují zvláštní kategorie údajů).

Dánsko jako první země se schválenými standardními smluvními doložkami

Evropský sbor pro ochranu osobních údajů v prosinci zveřejnil konečnou verzi dánské úpravy standardních smluvních doložek („SSD“) pro smlouvy mezi správci osobních údajů a jejich zpracovateli. Dánský dozorový úřad je prvním, který využil možnost vlastní úpravy SSD ve smyslu čl. 28 odst. 8 Obecného nařízení o ochraně osobních údajů (GDPR).

Cílem přijatých SSD je upřesnit podmínky ochrany osobních údajů stanovené čl. 28 odst. 3 a 4 GDPR a usnadnit tak jejich splnění správci a zpracovateli. Jejich využití není pro smluvní strany povinné, nicméně pokud se rozhodnou SSD do smluv o zpracování osobních údajů implementovat, musí tak učinit bez zásahu do jejich znění (mohou pouze doplnit další opatření, která neomezují již zaručenou ochranu práv a svobod). Výhodou tohoto přístupu (tj. užití SSD ve schváleném znění) je, že dánský dozorový úřad nebude jednotlivá ustanovení smluv o zpracování údajů blíže přezkoumávat.

Dánské SSD nad rámec úpravy GDPR stanoví např.:

  • Seznam osob, kterým je povolen přístup k osobním údajům, musí být pravidelně přezkoumáván. Zpracovatel údajů musí prokázat, že se tyto osoby zavázaly k mlčenlivosti.
  • V situaci, kdy správce po provedení vhodných technických opatření k zajištění odpovídající úrovně zabezpečení zjistí, že jsou potřeba opatření další, může po zpracovateli požadovat, jejich implementaci.
  • Správce může zpracovateli stanovit lhůtu k předložení žádosti o konkrétní povolení před zapojením dílčího zpracovatele. Správce si také může vyžádat kopii dohody o využití dílčích zpracovatelů k zajištění stejné úrovně zabezpečení při zpracování údajů.
  • Správce může zpracovateli stanovit lhůtu k oznámení porušení zabezpečení osobních údajů.

Závěrem je třeba zmínit, že se nejedná o standardní smluvní doložky přijaté Komisí. Ty je třeba i nadále použít v případě předání osobních údajů zpracovateli do třetí země, tj. mimo EU.

Za dva roky skončí v Google Chrome podpora pro cookies třetích stran

Dne 14. ledna 2020 Google prostřednictvím blogu oznámil svůj úmysl do dvou let ukončit podporu cookies třetích stran ve svém prohlížeči Chrome.

Dle vyjádření, by tyto cookies měly být nahrazeny nově vyvíjeným otevřeným standardem, který by měl vzejít z Privacy Sandbox iniciativy. Otevřenou otázkou nicméně zůstává, jak bude tento otevřený standard v praxi fungovat a jaký to bude mít dopad do odvětví internetové reklamy. Dle prvních reakcí odborné veřejnosti se očekává zásadní změna obchodních modelů.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right