Od účinnosti GDPR již uplynuly více než 3 roky. Ač se toto nařízení netěší velké popularitě veřejnosti, jedná se o oblast, která stále hýbe světem. V tomto článku se podíváme na to, jaké jsou aktuální otázky, které se v oblasti ochrany osobních údajů řeší.
Cookies
Nelze začít ničím jiným, než novelou zákona o elektronických komunikacích. Nejedná se tedy o aktualitu přímo řešenou GDPR, ovšem stále se jedná o oblast související se soukromím uživatelů a návštěvníků webových stránek.
Od 1. 1. 2022 bude účinná novela, která zamíchá s fungováním cookies. Konkrétně dojde mimo jiné k novele § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích. Tato novela přinese změnu ze současného opt-out režimu na opt-in. Nově tedy bude potřeba pro využívání cookies v aplikacích a na webových stránkách aktivní souhlas. Pouze pokud by se jednalo o tzv. technické cookies, není souhlasu potřeba.
Cookies jsou malé datové soubory, které se ukládají do koncového zařízení, respektive prohlížeče. Jedná se o běžně používanou definici, ovšem je nutné si připomenout, že pod pojmem cookies se schovává jakýkoliv nástroj či skript, jako například Google Analytics apod. Pokud tedy bude chtít provozovatel webu na svých stránkách mít Google Analytics, musí si předem získat aktivní souhlas uživatele. Je přitom zcela irelevantní, zda budou prostřednictvím nástroje sbírány osobní údaje, či nikoliv.
Souhlas se nejčastěji bude sbírat prostřednictvím tzv. cookie lišty. I v tomto případě je důležité vyhnout se základním nešvarům. Aby byl souhlas svobodný, nesmí být předem automaticky nastaveno, že uživatel souhlasí, cookie lišta nesmí bránit v prohlížení stránky, aniž by uživatel udělil souhlas apod.
Kromě souhlasu musí každý, kdo provozuje webové stránky nebo aplikaci, kde jsou ukládány soubory cookies, dostatečně informovat uživatele o rozsahu, účelu, délce uložení či o tom, kdo je poskytovatelem konkrétního nástroje. Pokud jsou prostřednictvím cookies zpracovávány osobní údaje, musí být uživatel informován v rozsahu, který vyžaduje čl. 13 GDPR.
Na trhu se v souvislosti s novelou objevilo několik různých doporučení na nástroje zdarma, které na webových stránkách automaticky proskenují cookies, nachystají vzorovou informační povinnost a nastaví cookie lištu. Je potřeba upozornit, že i když některé nástroje uvádí, že jsou v souladu s právními předpisy, nemusí tomu tak být vždy. Nejčastějším problémem je například to, že nástroj neumí nastavit svobodné udělení nesouhlasu, nebo aktivně nezablokuje cookies při vstupu na webové stránky. Poté se stává, že se sice objeví cookie lišta, ovšem cookies jako takové už se začínají ukládat do koncového zařízení, aniž by uživatel souhlas udělil.
V první polovině roku 2021 se Úřad pro ochranu osobních údajů zabýval jednou kontrolou v souvislosti s cookies[1]. E-shop, u kterého byla kontrola prováděna měl na webových stránkách nastavenou cookie lištu na souhlas. Zároveň však měl v informacích v cookie liště uvedeno, že cookies se spustí (uživatel udělí souhlas) i v případě, že klikne na jakýkoliv odkaz mimo lištu. Právě v tomto Úřad pro ochranu osobních údajů shledal problém z hlediska svobodnosti souhlasu, neboť pokud si chtěl například uživatel přečíst zásady ochrany osobních údajů v souvislosti s cookies a klikl na odkaz v patičce stránky, automaticky uděloval souhlas.
Očkování a GDPR
Je tomu pár dní, kdy se na sociálních sítích objevila nepřesná informace, že Ústavní soud vydal rozhodnutí, na základě kterého odmítl vyhovět žádosti o informace o tom, kolik soudců Ústavního soudu a asistentů podstoupilo očkování proti onemocnění COVID-19. V souvislosti s touto informaci se následně šířilo, že se jedná o důležité a přelomové rozhodnutí, které může každý využít k tomu, aby nemusel nikde sdílet své osobní údaje týkající se očkování.
K celé problematice se vyjádřil také Úřad pro ochranu osobních údajů, který uvedl: „Nejedná se tedy o rozhodnutí Ústavního soudu vydané v některém z řízení podle čl. 87 a násl. Ústavy potažmo podle zákona č. 182/1993 Sb., o Ústavním soudu, ale pouze o rozhodnutí úřední osoby příslušné v rámci organizační struktury správy Ústavního soudu (jako povinného subjektu) k rozhodování podle zákona č. 106/1999 Sb. ve spojení se správním řádem o žádostech o poskytnutí informací.[2]“
Úřad pro ochranu osobních údajů se tak zabýval i obsahem samotného rozhodnutí Ústavního soudu, přičemž poznamenal, že některé části rozhodnutí mohou působit matoucím dojmem. Stanovisko Úřadu pro ochranu osobních údajů má však dva velmi důležité závěry.
Zaprvé, v době platnosti opatření Ministerstva zdravotnictví (ke dni 3. 12. 2021) a v návaznosti na povinnosti stanovené současnými opatřeními, jsou zaměstnavatelé povinni zkoumat bezinfekčnost svých zaměstnanců, tedy získávat informace v souvislosti s očkováním.
Zadruhé, údaj o očkování je tzv. zvláštní kategorií osobních údajů, přičemž zpracování tohoto údaje je umožněno pouze tehdy, kdy lze aplikovat některou z výjimek uvedených v čl. 9 odst. 2 GDPR. V souvislosti s aktuálními opatřeními je zpracování umožněno na základě výjimky dle čl. 9 odst. 2 písm. g) GDPR, tedy z důvodu významného veřejného zájmu. Pokud by však chtěl například zaměstnavatel získávat informace o očkování z jiných důvodů, než v souvislosti s aktuálními opatřeními (například z důvodu interního přehledu rizik), musel by už dostatečně vyhodnotit, zda je to potřeba z důvodu ochrany zdraví a osob na pracovišti či nikoliv. Pokud nikoliv, nemělo by ke sběru těchto informací docházet.
Předávání osobních údajů do třetích zemí
V praxi se ukazuje, že zejména oblasti vývoje aplikací a poskytování online služeb mají často problém se správným nastavením procesů dle GDPR. V online světě se totiž stírá hranice mezi státy a je naprosto běžné, že provozovatel pro poskytování vlastních služeb využívá poskytovatelů mimo EU. Například při vývoji aplikace, která sbírá osobní údaje, je využíváno cloudové úložiště od společnosti Amazon Web Services, či pro rozesílání e-mailů je využívána služba MailChimp.
Je nesporné, že v takových případech dochází ke sdílení dat (včetně osobních údajů) s poskytovateli těchto služeb. Jedná se tak o stále aktuální téma, kterému se intenzivně věnuje mimo jiné také Evropský sbor pro ochranu osobních údajů.
Na aktuálnosti tomuto tématu přidává zejména rozhodnutí Soudního dvora Evropské unie Schrems II[3]. V tomto rozhodnutí došlo ke zrušení Privacy shield a bylo znemožněno předávání společnostem registrovaným pod Privacy shield do USA, včetně například výše zmíněného Amazonu.
Aby bylo možné předávat osobní údaje do třetích zemí (mimo EU) musí být splněna některá z podmínek stanovená v čl. 44 až 49 GDPR. Typicky je možné předávat osobní údaje do zemí s odpovídající ochranou. To jsou země, které jsou na základě rozhodnutí Komise považovány za bezpečné a je možné do nich předávat bez dalšího. K těmto zemím patří například Izrael, nebo Japonsko[4]. Pokud toto rozhodnutí přijato není, je potřeba hledat jiné vhodné záruky pro předávání (například velmi rozšířené standardní smluvní doložky).
Privacy shield byl pomyslným hybridem rozhodnutí Komise, který stanovil, že společnostem, které jsou v rámci Privacy shield registrovány, je možné předávat osobní údaje dalšího. Právě rozhodnutím Schrems II bylo rozhodnuto, že Privacy shield nepředstavuje dostatečné záruky. Zároveň byla nastavena další pravidla, že i při použití standardních smluvních doložek je potřeba hledat ještě další záruky pro předávání do třetích zemí.
Ač se jedná o rozhodnutí již z minulého roku, stále rezonuje ve společnosti. Evropský sbor pro ochranu osobních údajů nedávno vydal pokyny[5] k tomu, co se rozumí samotným předáváním osobních údajů do třetích zemí, aby nedocházelo k výkladovým problémům. Pokyny podrobně řeší, co se rozumí předáváním osobních údajů a kdy se uplatní pravidla dle čl. 44 a násl. GDPR.
Příkladem může být například situace, kdy si český občan objedná zboží napřímo od společnosti ze Singapuru. V tomhle případě se nejedná o předávání osobních údajů do třetích zemí ve smyslu čl. 44 a násl. GDPR, neboť zde neexistuje žádný mezičlánek mezi subjektem údajů a koncovou společností, který by předání dat zajistil. Pravidla a povinnosti stanovené v čl. 44 a násl. GDPR se tak v tomto případě neuplatní. Zároveň však společnost ze Singapuru nesmí zapomínat na to, že pokud zaměřuje svou činnost na EU, je z důvodu extrateritoriality povinna dodržovat povinnosti stanovené v GDPR pro správce osobních údajů.
Opačným případem, kdy je potřeba mít standardní smluvní doložky či jinou vhodnou záruku pro předávání, je například situace, kdy společnost z České republiky předává osobní údaje svých zaměstnanců další společnosti v Chile, která je následně zpracovává jako zpracovatel. V takovém případě musí česká společnost přijmout vhodné záruky, a kromě zpracovatelské smlouvy mít uzavřeny například již několikrát zmíněné standardní smluvní doložky. Nad rámec toho musí tato česká společnost také zhodnotit, že právní řád v Chile nepředstavuje pro osobní údaje zásadní riziko a pokud představuje, musí se zpracovatelem přijmout další vhodná opatření.
Globální dopad GDPR na další země je zásadní. Omezení možností, jakými je možné předávat osobní údaje do USA může způsobit do budoucna například to, že vznikne nový rámec Asijsko-pacifické hospodářské spolupráce pro ochranu soukromí (CBPR), kterým se některé další světadíly vyhradí proti přísným pravidlům GDPR a nastaví si benevolentněji předávání dat. EU tak může být ve značné hospodářské nevýhodě, a to z důvodu GDPR.
Závěrem
Výše uvedené aktuality jsou pouze zlomkem toho, co se každý měsíc okolo GDPR děje. Je udělováno velké množství sankcí, vychází nová výkladová stanoviska, závěry z kontrol či novely zákonů ovlivňující nakládání s osobními údaji. Závěrem se tedy sluší říct, že nastavení ochrany osobních údajů není jednorázovou činností a všichni správci i zpracovatelé by stále měli sledovat aktuální stav předpisů a best practices. Včerejší doložení souladu s GDPR totiž nemusí odpovídat tomu zítřejšímu.
[1] Protokol o kontrole dostupný zde: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=53433
[2] Celé vyjádření je dostupné zde: https://www.uoou.cz/urad%2Dke%2Dzpracovani%2Dinformaci%2Do%2Dockovani%2Dproti%2Dcovid%2D19/d-53745
[3] Rozsudek Soudního dvora (velkého senátu) ze dne 16. července 2020 C-311/18, Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems. Dostupné z: https://curia.europa.eu/juris/liste.jsf?oqp=&for=&mat=or&jge=&td=%3BALL&jur=C%2CT%2CF&num=C-311%252F18&page=1&dates=&pcs=Oor&lg=&pro=&nat=or&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&language=cs&avg=&cid=11963009
[4] Celý seznam je k dispozici zde: https://eur-lex.europa.eu/legal-content/cs/TXT/?uri=CELEX%3A32016R0679
[5] Pokyny určeny k veřejné konzultaci jsou dostupné zde: https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf
Diskuze k článku ()