2. 6. 2022
Autor: Richard Otevřel
Spolupracoval: Robert Nešpůrek
Zatímco v lednu můžeme slavit mezinárodní den ochrany osobních údajů, tak koncem května si připomínáme výročí vstoupení GDPR v účinnost – letos už počtvrté. A stejný počet let je tu s vámi naše společnost FairData Professionals, které GDPR koluje v žilách.
A jak bychom to „hranaté“ výročí, kromě decentního přípitku ze čtyřhranných skleniček, vhodně oslavili? Doporučujeme Vám udělat malý audit vaší praxe.
Před čtyřmi lety vstoupilo v EU v platnost Obecné nařízení o ochraně osobních údajů („GDPR“). Od té doby má GDPR dominový efekt, protože jej mnoho zemí světa použilo jako model pro utváření vlastních pravidel pro nakládání s osobními údaji. Vzhledem k rychlým změnám v legislativě ochrany údajů po celém světě jsou právní a compliance týmy odpovědné za dodržování předpisů nejen nadnárodních organizací pod tlakem, aby držely krok s takovým vývojem.
Pokud jste ve vaší organizaci dělali poslední audit ochrany osobních údajů při implementaci GDPR před čtyřmi roky, nastal nejvyšší čas zkontrolovat, zda máte vše v pořádku, zda vše odpovídá tomu, jak se váš byznys v minulých letech rozvíjel, jak se vyvíjel výklad GDPR i rozhodovací praxe kontrolního úřadu.
FairData Professionals stála uplynulé čtyři roky věrně po boku svých klientů. Získali jsme praxi u řady z vás, učili jsme se společně s vámi, jak přistupovat k ochraně osobních údajů prakticky, tak abyste mohli svá data bez obav využívat pro potřeby vašeho podnikání. Dovolte nám u příležitosti 4. výročí připomenout vám 4 pravidla, která se v každodenní praxi nejčastěji porušují, a upozornit vás na 4 oblasti, na které se bude zaměřovat kontrola dozorového orgánu v nejbližší době.
Čtyři pravidla
- Zapomeňte na vzory z internetu, GDPR není formalita. Pokud míníte svůj byznys posouvat v digitálním světě, spíš dříve, než později se setkáte s tím, že budete chtít zpracovávat ve velkém osobní údaje svých zákazníků. Anebo budete nabízet technologie, jež z podstaty věci pracují s údaji týkajícími se fyzických osob. A v takovém případě mít pár vzorových dokumentů nebude stačit k prokázání toho, že plníte compliance povinnosti v oblasti GDPR. Nechte si zpracovat dokumentaci, která odpovídá vašemu podnikání, vašim produktům anebo službám, nevymýšlí si neexistující postupy a budete se o ni moci opřít jako o solidní důkaz plnění GDPR povinností. Oceníte to při kontrole ze strany Úřadu pro ochranu osobních údajů, při dotazech ze strany zákazníků nebo obchodních partnerů či investorů, na jejichž důvěře je vaše podnikání závislé.
- Aktivně zapojujte DPO do relevantních procesů. Mít pověřence takříkajíc pro okrasu může být sice z ekonomických důvodů lákavé, ale ve výsledku se může prodražit. Předně nemá jít o obdobu advokáta, kterého si zvolíte, až se objeví problém. V případě pověřence je důležitá již prevence a kontinuální spolupráce s ním má za cíl upozorňovat vás na rizika ještě dřív, než nastanou. Nehledě na to, že i samotný Úřad pro ochranu osobních údajů zdůrazňuje, že je porušením GDPR, pokud organizace nevyužívá potenciálu pověřence, ač jej oficiálně jmenovala a některé dozorové úřady v EU dokonce přikročily i k ukládání pokut v takových případech
- Mějte dobře rozmyšleno, proč osobní údaje zpracováváte. Jinak řečeno, právní základ či titul je to první a poslední, co vás postaví buď do role správce, který oprávněně zpracovává osobní údaje, anebo máte data ilegálně a moc šancí, jak s nimi dále pracovat, mít už nebudete. Stále se např. objevují tendence nadhodnocovat význam souhlasu subjektu údajů, který by snad mohl zhojit absenci reálného a právně nezpochybnitelného důvodu, proč byste měli mít možnost zpracovávat osobní údaje – opak je pravdou a dozorové úřady na to často upozorňují (pokutou, zákazem zpracování). Nechte si proto poradit, kdy a za jakých podmínek lze zpracovávat osobní údaje i bez souhlasu.
- Myslete na ochranu osobních údajů systematicky, již při plánování rozvoje vašeho podnikání, ušetříte tím čas i peníze. Jde o opomíjený princip privacy by design (záměrná a standardní ochrana osobních údajů), který znamená, že ochrana osobních údajů se neřeší jako dílčí ohraničený problém ex post, ale jako nedílná součást rozhodovacího procesu už při plánování obchodního rozvoje firmy a nastavování vnitřních procesů v organizaci. Pokud se totiž na ochranu osobních údajů nemyslí včas, skončí to v lepším případě interním konfliktem, kdy slibně se vyvíjející projekt kolegů z business intelligence začnou kvůli právním mezerám kritizovat právníci z compliance oddělení (a nalezení zákonného řešení pak může znamenat velký krok zpátky), v horším případě na tyto mezery ukážou zákazníci nebo kontrola Úřadu pro ochranu osobních údajů.
Kromě sankčních pravomocí dozorových úřadů, které by na Vás mohly dolehnout za zmíněná nejčastější porušení, se v oblasti ochrany osobních údajů začala objevovat nezanedbatelná skupina soukromých hlídačů. Jak zejména ukazuje oblast mezinárodních transferů či nově pravidel při zpracování dat z cookies, získali správci a zpracovatelé osobních údajů významnou opozici v samotných subjektech údajů či v uskupeních zastupujících subjekty údajů.
A jak naznačuje rozhodovací praxe Soudního dvora EU, může být oblast ochrany osobních údajů brzy vynucována stejně jako oblast ochrany spotřebitele, neboť ve svém důsledku jde o stejný princip ochrany. Nejen technologie zrychlují svět – vedle stávajícího rámce dozorových úřadů tak stále častěji spotřebitelé alias subjekty údajů nalézají vedlejší a případně i rychlejší cestu v uplatňování svých práv.
Čtyři okruhy plánovaných kontrol
Vyšší zájem samotných subjektů údajů o ochranu svých práv činí méně předvídatelným, na co se dozorový úřad může v nejbližším období zaměřovat, protože podněty mohou přijít odkudkoliv na cokoliv. Nicméně konkrétní oblasti zájmu dozorového úřadu lze vysledovat ze zveřejněného kontrolního plánu Úřadu pro ochranu osobních údajů – vybíráme pro vás čtyři okruhy:
- Cookies – nedávnou novelizací zákona o elektronických komunikacích dohnala Česká republika více než desetiletý dluh vůči povinnostem vyplývajícím z unijních předpisů. Je tedy zřejmé, že dosavadní opatrný přístup dozorového úřadu se může rázem změnit, přičemž vymáhání harmonizovaných pravidel pro práci s cookies má jedno specifikum: většinu důkazního materiálu si úřad dokáže posbírat sám a během pár minut ještě před zahájením řízení prostou návštěvou vašich webových stránek.
- Obchodní sdělení – toto téma zasílání především e-mailových anebo SMS nabídek dozorový úřad sleduje dlouhodobě a výše ukládaných pokut i incidence porušení naznačují, že přísnost pokut možná ještě nedosáhla maxima.
- Nahrávání telefonů či kamerové systémy – obliba těchto technologií v posledních letech stoupá a ač mohou usnadňovat spoustu činností, nakládání s nimi by mělo podléhat přísným pravidlům z důvodu jejich snadného zneužití. Dozorový úřad taktéž zkoumá jejich nadbytečné používání – např. délku uchování či kombinaci s novými technologiemi (biometrické analýzy).
- Telefonický přímý marketing – poslední okruh je spojen se stejnou zákonnou novelou jako cookies, která mj. zakázala volání na náhodně generovaná telefonní čísla. Kontrola ale spadá do kompetence jiného dozorového úřadu, a to Českého telekomunikačního úřadu. Bude zajímavé sledovat toto prolínání ochrany osobních údajů a regulace elektronických komunikací, obdobně jako inspektoráty práce posuzují ochranu soukromí na pracovištích a do jisté míry tím narušují určitý „monopol“ Úřadu pro ochranu osobních údajů.
Oslavme 4. výročí GDPR společně
Pokud se rozhodnete, že po 4 letech nastal čas na revizi vaší praxe, jsme tady pro vás a každou z nejen výše popsaných situací:
- projdeme s vámi, jaké zpracovatelské činnosti v organizaci využíváte a zda odpovídají požadavkům právních předpisů
- posoudíme rizikovost zpracovatelských činností a tomu adekvátně přizpůsobíme technicko-organizační opatření
- pomůžeme nastavit vnitřní postupy, aby se na ochranu osobních údajů nezapomínalo – uvedeme tak do praxe princip privacy by design & default
- zajistíme podporu vašeho pověřence pro ochranu osobních údajů anebo se této role sami zhostíme
- doporučíme vhodnou strategii pro využití historické databáze obchodních příležitostí při minimalizaci rizika plynoucího z regulace přímého marketingu
- vyhodnotíme instalaci kamerových systémů, ať už z pohledu zajištění nezbytné dokumentace, anebo rozmístění konkrétních kamer např. na pracovištích
- zkontrolujeme vaše webové stránky, ve spolupráci s vašimi web designery navrhneme optimální řešení pro funkční marketing založený na cookies
- zastoupíme vás v řízeních vedených Úřadem pro ochranu osobních údajů, Státním úřadem inspekce práce či Českým telekomunikačním úřadem
Právní tým specialistů z advokátní kanceláře HAVEL & PARTNERS a pověřenců pro ochranu osobních údajů z FairData Professionals je vám k dispozici.