Změny, které mohou zásadně ovlivnit budoucí podobu GDPR

Řada evropských dozorových úřadů neváhá sáhnout k vysokým pokutám. Za uplynulý rok zmiňme tři nejzajímavější. Jeden z nejmenších evropských úřadů pro ochranu dat, lucemburský, uložil zatím historicky nejvyšší pokutu za porušení regulí GDPR (Obecné nařízení o ochraně osobních údajů, General Data Protection Regulation) – Amazonu byla uložena pokuta ve výši 746 milionů euro, zhruba 18 a půl miliardy korun.

Důvodem pro sankci byl nesprávný proces pro získávání souhlasu uživatelů se zpracováním jejich údajů a nedostatečné plnění informační povinnosti. Zdánlivě poměrně jednoduché věci mohou, pokud se podcení nebo jsou plněny, řekněme, kreativním a k uživateli ne zcela vstřícným způsobem, zapříčinit velké problémy.

Kromě zveřejnění informací o zpracování osobních údajů v dostupném, jednoduchém a srozumitelném formátu, jsou správci rovněž povinni nastavit proces pro vyřizování podnětů a žádostí subjektu údajů.

I v tomto případě se dle GDPR musí snažit, aby proces byl jednoduchý, uživatelsky přívětivý a aby dotčené osoby od uplatnění jejich práv v důsledku neodrazovali. To se úplně nepodařilo rakouské poště (Österreichische Post AG), která plošně odmítala vyřídit žádosti o poskytnutí informací o zpracování údajů zaslané e-mailem. A rakouský úřad pro ochranu osobních údajů jí za to neváhal uložit pokutu 9,5 milionů euro, v přepočtu tedy zhruba 240 milionů korun.

Místní rekord padl i ve Španělsku, kde tamější dozorový úřad uložil společnosti Vodafone pokutu ve výši 8,15 milionů euro (cca 200 milionů korun) za soubor více pochybení a porušení GDPR.

Telekomunikační operátor například zpracovával osobní údaje za marketingovými účely bez souhlasu dotčených osob, data některých osob byla marketingově využívána i poté, kdy proti tomu namítaly, a Vodafone také nedostatečně chránil osobní údaje předávané do USA.

Situace  v Česku

Český Úřad pro ochranu osobních údajů (ÚOOÚ) naopak zatím ke skutečně vysoké pokutě nepřikročil. Na druhou stranu, i pokuty v řádech milionů, které již ÚOOÚ od účinnosti GDPR udělil, mohou zabolet. Nehledě na související reputační problémy, ztrátu důvěry klientů či obchodních partnerů, možnost domáhat se např. po medializovaném úniku náhrady škody u soudu atd.

V této souvislosti stojí za připomenutí, že Česká republika je povinna do konce roku 2022 zavést zákon o hromadných žalobách. Po jeho přijetí bude riziko související s uplatněním škody za neoprávněné zpracování osobních údajů hrát ještě větší roli než dosud.

ÚOOÚ ke konci loňského roku navíc zintenzivnil svoji metodickou činnost, zejména v souvislosti s novelou zákona o elektronických komunikacích.

Tato novela, která je účinná již od 1. ledna 2022, zavádí nový právní režim opt-in pro telemarketing a pro využívání marketingových a personalizačních cookies. ÚOOÚ ke změně telemarketingu připravil společně s Českým telekomunikačním úřadem obsáhlou metodiku, ke cookies, resp. získávání souhlasu s cookies, připravil soubor často kladených otázek.

Právní úprava zpracování osobních dat a ochrany soukromí je velmi komplexní a má vazby na řadu dalších předpisů a regulací. Proto je metodická podpora jak od českého úřadu, tak Evropského sboru pro ochranu osobních údajů na místě, byť některé části jejich stanovisek mohou být poněkud kontroverzní či nejasné. Na správce a zpracovatele osobních údajů to však klade nároky spočívající ve sledování alespoň důležitých novinek, které na ně mohou mít přímý dopad.

Komplexita narůstá

Ochrana osobních údajů, pravidla pro zpracování dat a ochrana soukromí není zdaleka jen záležitostí GDPR. Komplexita regulace, ale i souvislosti a provázanost obchodních i dalších procesů činí z celkového systému na ochranu dat poměrně náročnou záležitost.

Zesilujícím trendem jak z pohledu zákonodárce a regulátorů, tak i vnímání veřejnosti, je zejména ochrana soukromí online. Návrh nového ePrivacy nařízení, tedy modernizovaného a přímo závazného právního předpisu regulujícího ochranu soukromí a elektronické komunikace, stále ještě nebyl schválen. To ale neznamená, že dozorové úřady a zákonodárci zahálejí.

Jak už jsme zmínili, od počátku tohoto roku je účinná novela zákona, která jak pro telemarketing, tak pro využívání cookies požaduje předchozí souhlas dotčeného uživatele. Obě tyto změny vyvolávají několik otázek. U telemarketingu například to, zda lze s nabídkou nového produktu či služby oslovit současného nebo bývalého klienta.

V případě cookies pak zase jak má takový souhlas s cookies vypadat, do jaké míry granulitarity má být uživateli poskytnuta informace o využívaných cookies, jestli mu lze bránit v návštěvě stránky, dokud se ke cookies nevyjádří atd. Na řadu těchto otázek odpovídají výše uvedené metodiky.

I tyto právní instituty je ale jistě vhodné a efektivní zařadit do širšího celku ochrany soukromí online a využít například některé části procesu pro zajištění souladu s GDPR, celkového compliance management systému nebo prvků informační bezpečnosti.

V případě cookies jistě stojí za zmínku vysoká pokuta uložená zahraničním dozorovým úřadem. Francouzský úřad pro ochranu osobních údajů uložil společnostem Google a Facebook (resp. Meta), pokuty za nesprávně nastavený proces pro získávání souhlasu s cookies a nedostatečné informování o jejich využití.

Kolik že je to bude stát? Google 150 milionů eur, Facebook 60 milionů eur, dohromady tedy přes pět miliard korun. Pro uvedené společnosti to zřejmě nepředstavuje zcela kritický zásah, možná více citlivé jsou ale nápravná opatření, která jim francouzský úřad uložil a která mohou zkomplikovat jejich obchodní model.

Předávání osobních údajů mimo EU

Velkým tématem je a bude předávání osobních údajů mimo Evropskou unii. GDPR stanoví, že toku osobních dat v rámci EU nemají být kladeny žádné překážky. Naproti tomu pro předávání údajů mimo EU, ať už při využití zpracovatele nebo předání údajů dalšímu správci, GDPR upravuje několik záruk, ze kterých si vývozce dat musí vybrat.

Nejčastějším nástrojem pro předávání do USA byl tzv. Privacy Shield. Jednalo se o soubor zásad a závazků, ke kterému se mohly americké společnosti přihlásit. Následně byly považovány za důvěryhodné a předávání dat právě těmto společnostem nevyžadovalo žádné další administrativní kroky. Privacy Shield ale byl Soudním dvorem Evropské unie v červenci roku 2020 bez náhrady zrušen.

Předávání či zpřístupňování osobních údajů americkým společnostem je v praxi velmi časté, ať už při využívání cloudových služeb, bezpečnostních on-line nástrojů nebo aplikací a platforem pro zpracování dat či pro marketing. Od zrušení Privacy Shieldu je tak nutné pro ochranu dat využívat další právní i technické nástroje.

Co to znamená v praxi? Evropský sbor pro ochranu osobních údajů vydal metodiku pro předávání dat do třetích zemí, která se plně vztahuje i na tuto situaci. V ní doporučuje několik základních kroků pro zajištění ochrany osobních údajů a souladu s GDPR, včetně zmapování právní a faktické situace v zemi příjemce, odpovídající smluvní úpravy či zavedení dostatečných technických nebo organizačních opatření k ochraně dat, např. jejich pseudonymizace, využití více zpracovatelů atd.

A přijatá opatření je také nutno pravidelně přezkoumávat, aktualizovat či doplňovat. Jinak řečeno, nastavit k nim alespoň nějakou governance, compliance program.

Tlak některých dozorových úřadů či skupin pro ochranu spotřebitelů na omezení vývozu osobních údajů mimo Evropskou unii sílí. V roce 2021 probíhalo vyjednávání mezi Komisí a americkou administrativou o náhradě Privacy Shieldu a o usnadnění přenosů dat. Bohužel, k dohodě zatím nedošlo. Celkový proces pro předávání dat mimo Evropskou unii a plnění souvisejících povinností z GDPR tak jistě budou horkým tématem i v tomto roce.

Certifikace a kodexy

GDPR také přineslo několik nových nástrojů pro regulaci zpracování osobních údajů. Ty mají usnadnit dokládání souladu s požadavky práva pro zpracování dat, což může být důležité pro spotřebitele, který nakupuje zboží, pro organizace, která hledá dodavatele pro zajištění určité části zpracování dat, stejně jako pro toho, kdo hodlá předávat osobní údaje mimo Evropskou unii a potřebuje si ověřit spolehlivost svého zahraničního partnera.

Těmito novými nástroji jsou především kodexy chování kodifikující specifická pravidla pro zpracování osobních údajů v některém segmentu (např. zdravotnictví, e-commerce, poskytování cloudových služeb atd.) a certifikace souladu operací zpracování s GDPR.

Bohužel v praxi není ani jeden z těchto nástrojů zatím příliš využíván. Několik kodexů již sice bylo přijato, ale ty zdaleka nepokrývají všechny klíčové oblasti zpracování. A systém certifikace v praxi ještě nebyl spuštěn, ačkoliv od účinnosti GDPR v květnu uplynou už čtyři roky.

Certifikace je nicméně trendem, který můžeme sledovat v řadě dalších odvětví. Jedná se o relativně dostupný a důvěryhodný způsob, jak zajistit a doložit kvalitu určité činnosti dané organizace, ať už vůči klientům, obchodním partnerům nebo vůči státu.

A i když se GDPR certifikace zatím příliš neprosazuje, nic není ztraceno. Již v červenci 2019 totiž byla zveřejněna nová ISO norma ISO/IEC 27701, která je zaměřena právě na proces zpracování a ochranu osobních údajů. Ten, kdo chce vůči svým klientům či obchodním partnerům demonstrovat, že to s ochranou soukromí a dodržováním regulace a standardů myslí vážně, může využít právě tento nástroj.