3+1 zásadních změn v GDPR pro rok 2022+
- Datum: 31.01.2022
- Autor: František Nonnemann
Téměř nikdo si nevšiml, že nám pod rukama utekl mezinárodní den ochrany osobních údajů (28. ledna). Asi není co slavit :-) Naopak, jsou zde 3+1 výzvy v oblasti zvyšujícího se tlaku na ochranu soukromí, osobních údajů. To, se se nyní odehrálo defacto udává trend na další měsíce v roce 2022, ale možná i na delší období.
1. problém: další vysoké pokuty
Řada evropských dozorových úřadů neváhá sáhnout k vysokým pokutám. Za uplynulý rok zmiňme tři nejzajímavější
Amazon to má za 18,5 miliardy korun
Jeden z nejmenších evropských úřadů pro ochranu dat, lucemburský, uložil zatím historicky nejvyšší pokutu za porušení GDPR. Společnosti Amazon byla uložena pokuta ve výši 746 milionů euro, zhruba 18 a půl miliardy korun. Důvodem pro sankci byl nesprávný proces pro získávání souhlasu uživatelů se zpracováním jejich údajů a nedostatečné plnění informační povinnosti. Zdánlivě poměrně jednoduché věci mohou, pokud se podcení nebo jsou plněny, řekněme, kreativním a k uživateli ne zcela vstřícným způsobem, zapříčinit velké problémy.
Rakouská pošta odmítala žádosti o zpracování, zaplatí 240 miliónů korun
Kromě zveřejnění informací o zpracování osobních údajů v dostupném, jednoduchém a srozumitelném formátu, jsou správci rovněž povinni nastavit proces pro vyřizování podnětů a žádostí subjektu údajů.
I v tomto případě se dle GDPR musí snažit, aby proces byl jednoduchý, uživatelsky přívětivý a aby dotčené osoby od uplatnění jejich práv v důsledku neodrazovali. To se úplně nepodařilo rakouské poště (Österreichische Post AG), která plošně odmítala vyřídit žádosti o poskytnutí informací o zpracování údajů zaslané e-mailem. A rakouský úřad pro ochranu osobních údajů jí za to neváhal uložit pokutu 9,5 milionů euro, v přepočtu tedy zhruba 240 milionů korun.
Vodafone ve Španělsku tak moc chtěl dělat marketing, až dostal pokutu 200 miliónů
Další rekord, tentokrát místní, padl ve Španělsku. Zdejší dozorový úřad uložil společnosti Vodafone pokutu ve výši 8,15 milionů euro (cca 200 milionů korun) za soubor více pochybení a porušení GDPR. Telekomunikační operátor například zpracovával osobní údaje za marketingovými účely bez souhlasu dotčených osob, data některých osob byla marketingově využívána i poté, kdy proti tomu namítaly, a Vodafone také nedostatečně chránil osobní údaje předávané do USA.
A co na to Češi?
Český Úřad pro ochranu osobních údajů (ÚOOÚ) zatím ke skutečně vysoké pokutě nepřikročil. Na druhou stranu, i pokuty v řádech milionů, které již ÚOOÚ od účinnosti GDPR udělil, mohou zabolet. Nehledě na související reputační problémy, ztrátu důvěry klientů či obchodních partnerů, možnost domáhat se např. po medializovaném úniku náhrady škody u soudu atd.
V této souvislosti stojí za připomenutí, že Česká republika je povinna do konce roku 2022 zavést zákon o hromadných žalobách. Po jeho přijetí bude riziko související s uplatněním škody za neoprávněné zpracování osobních údajů hrát ještě větší roli než dosud.
Odborná veřejnost jistě kvituje, že ÚOOÚ ke konci loňského roku také zintenzivnil svoji metodickou činnost, zejména v souvislosti s novelou zákona o elektronických komunikacích.
Tato novela, která je účinná již od 1. ledna 2022, zavádí nový právní režim opt-in pro telemarketing a pro využívání marketingových a personalizačních cookies. K oběma těmto změnám se ÚOOÚ vyjádřil: Ke změně telemarketingu připravil společně s Českým telekomunikačním úřadem obsáhlou metodiku, ke cookies, resp. získávání souhlasu s cookies, připravil soubor často kladených otázek.
Právní úprava zpracování osobních dat a ochrany soukromí je velmi komplexní a má vazby na řadu dalších předpisů a regulací. Proto je metodická podpora jak od českého úřadu, tak Evropského sboru pro ochranu osobních údajů na místě, byť některé části jejich stanovisek mohou být poněkud kontroverzní či nejasné. Na správce a zpracovatele osobních údajů to však klade nároky spočívající ve sledování alespoň důležitých novinek, které na ně mohou mít přímý dopad.
Komplexita narůstá
Ochrana osobních údajů, pravidla pro zpracování dat a ochrana soukromí není zdaleka jen záležitostí GDPR. Komplexita regulace, ale i souvislosti a provázanost obchodních i dalších procesů činí z celkového systému na ochranu dat poměrně náročnou záležitost.
Zesilujícím trendem jak z pohledu zákonodárce a regulátorů, tak i vnímání veřejnosti, je zejména ochrana soukromí online. Návrh nového ePrivacy nařízení, tedy modernizovaného a přímo závazného právního předpisu regulujícího ochranu soukromí a elektronické komunikace, stále ještě nebyl schválen. To ale neznamená, že dozorové úřady a zákonodárci zahálejí.
Jak už jsme zmínili, od počátku tohoto roku je účinná novela zákona, která jak pro telemarketing, tak pro využívání cookies požaduje předchozí souhlas dotčeného uživatele. Obě tyto změny vyvolávají několik otázek. U telemarketingu například to, zda lze s nabídkou nového produktu či služby oslovit současného nebo bývalého klienta.
V případě cookies pak zase jak má takový souhlas s cookies vypadat, do jaké míry granulitarity má být uživateli poskytnuta informace o využívaných cookies, jestli mu lze bránit v návštěvě stránky, dokud se ke cookies nevyjádří atd. Na řadu těchto otázek odpovídají výše uvedené metodiky.
I tyto právní instituty je ale jistě vhodné a efektivní zařadit do širšího celku ochrany soukromí online a využít například některé části procesu pro zajištění souladu s GDPR, celkového compliance management systému nebo prvků informační bezpečnosti.
V případě cookies jistě stojí za zmínku vysoká pokuta uložená zahraničním dozorovým úřadem. Francouzský úřad pro ochranu osobních údajů uložil dvěma významným, ne-li z globálního hlediska nejvýznamnějším, hráčům na tomto poli, společnostem Google a Facebook (resp. Meta), pokuty za nesprávně nastavený proces pro získávání souhlasu s cookies a nedostatečné informování o jejich využití.
Kolik že je to bude stát? Google 150 milionů euro, Facebook 60 milionů euro. Dohromady tedy přes pět miliard (MILIARD) českých korun. Pro uvedené společnosti to zřejmě nepředstavuje zcela kritický zásah, možná více citlivé jsou ale nápravná opatření, která jim francouzský úřad uložil a která mohou zkomplikovat jejich obchodní model.
Pověřenec ochrany osobních údajů
Předávání osobních údajů mimo EU
Velkým tématem je a bude předávání osobních údajů mimo Evropskou unii. GDPR stanoví, že toku osobních dat v rámci EU nemají být kladeny žádné překážky. Naproti tomu pro předávání údajů mimo EU, ať už při využití zpracovatele nebo předání údajů dalšímu správci, GDPR upravuje několik záruk, ze kterých si vývozce dat musí vybrat.
Nejčastějším nástrojem pro předávání do USA byl tzv. Privacy Shield. Jednalo se o soubor zásad a závazků, ke kterému se mohly americké společnosti přihlásit. Následně byly považovány za důvěryhodné a předávání dat právě těmto společnostem nevyžadovalo žádné další administrativní kroky. Privacy Shield ale byl Soudním dvorem Evropské unie v červenci roku 2020 bez náhrady zrušen.
Předávání či zpřístupňování osobních údajů americkým společnostem je v praxi velmi časté, ať už při využívání cloudových služeb, bezpečnostních online nástrojů nebo aplikací a platforem pro zpracování dat či pro marketing. Od zrušení Privacy Shieldu je tak nutné pro ochranu dat využívat další právní i technické nástroje.
Co to znamená v praxi?
Evropský sbor pro ochranu osobních údajů vydal metodiku pro předávání dat do třetích zemí, která se plně vztahuje i na tuto situaci. V ní doporučuje několik základních kroků pro zajištění ochrany osobních údajů a souladu s GDPR, včetně zmapování právní a faktické situace v zemi příjemce, odpovídající smluvní úpravy či zavedení dostatečných technických nebo organizačních opatření k ochraně dat, např. jejich pseudonymizace, využití více zpracovatelů atd. A přijatá opatření je také nutno pravidelně přezkoumávat, aktualizovat či doplňovat. Jinak řečeno, nastavit k nim alespoň nějakou governance, compliance program.
Tlak některých dozorových úřadů či skupin pro ochranu spotřebitelů na omezení vývozu osobních údajů mimo Evropskou unii sílí. V roce 2021 probíhalo vyjednávání mezi Komisí a americkou administrativou o náhradě Privacy Shieldu a o usnadnění přenosů dat. Bohužel, k dohodě zatím nedošlo. Celkový proces pro předávání dat mimo Evropskou unii a plnění souvisejících povinností z GDPR tak jistě budou horkým tématem i v tomto roce.
Certifikace a kodexy
GDPR přineslo několik nových nástrojů pro regulaci zpracování osobních údajů nových nástrojů. Ty mají usnadnit dokládání souladu s požadavky práva pro zpracování dat, což může být důležité pro spotřebitele, který nakupuje zboží, pro organizace, která hledá dodavatele pro zajištění určité části zpracování dat, stejně jako pro toho, kdo hodlá předávat osobní údaje mimo Evropskou unii a potřebuje si ověřit spolehlivost svého zahraničního partnera.
Těmito novými nástroji jsou především kodexy chování kodifikující specifická pravidla pro zpracování osobních údajů v některém segmentu (např. zdravotnictví, e-commerce, poskytování cloudových služeb atd.) a certifikace souladu operací zpracování s GDPR.
Bohužel v praxi není ani jeden z těchto nástrojů zatím příliš využíván. Několik kodexů již sice byla přijato, ale ty zdaleka nepokrývají všechny klíčové oblasti zpracování. A systém certifikace v praxi ještě nebyl spuštěn, ačkoliv od účinnosti GDPR v květnu uplynou už čtyři roky.
Certifikace je nicméně trendem, který můžeme sledovat v řadě dalších odvětví. Jedná se o relativně dostupný a důvěryhodný způsob, jak zajistit a doložit kvalitu určité činnosti dané organizace, ať už vůči klientům, obchodním partnerům nebo vůči státu.
A i když se GDPR certifikace zatím příliš neprosazuje, nic není ztraceno. Již v červenci 2019 totiž byla zveřejněna nová ISO norma ISO/IEC 27701, která je zaměřena právě na proces zpracování a ochranu osobních údajů. Ten, kdo chce vůči svým klientům či obchodním partnerům demonstrovat, že to s ochranou soukromí a dodržováním regulace a standardů myslí vážně, může využít právě tento nástroj.