Za všechny lze v tuto chvíli poukázat například na Úřadem pro ochranu osobních údajů předloženou metodiku ke kamerovým systémů, kterou je aktuálně možné připomínkovat.[1] V návaznosti na zkušenosti z aplikační praxe a aktuální přístupy Úřadu pro ochranu osobních údajů a Evropského sboru pro ochranu osobních údajů se ve vztahu k právní úpravě na ochranu osobních údajů nabízí podotknout a částečně zopakovat:
- informační povinnost – Úřad pro ochranu osobních údajů lpí na srozumitelnosti a přehlednosti informací podávaných ve vztahu k jednotlivým zpracováním osobních údajů. Negativně hodnotí zejména situace, kdy jsou informace k jednotlivým zpracováním osobních údajů podávány souhrnně, tedy bez vzájemného rozlišení;
- on-line kamerové systémy – z metodických materiálů Evropského sboru pro ochranu osobních údajů plyne, že přenos obrazu z kamerového systému v režimu on-line (bez záznamu) má taktéž povahu zpracování osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů. Mimo jiné i ze shora zmíněné metodiky ke kamerovým systémům plyne, že Úřad pro ochranu osobních údajů tento přístup reflektuje a (oproti stavu před přijetím obecného nařízení o ochraně osobních údajů, kdy v režimu podle zákona č. 101/2000 Sb. on-line kamerové systémy ze své působnosti vylučoval) kamerové systémy v režimu on-line považuje taktéž za zpracování osobních údajů;
- věrnostní kluby/uživatelské profily – Úřad pro ochranu osobních údajů aktuálně vede interní diskusi ohledně právního titulu pro zpracování osobních údajů ve věrnostních klubech či při provozování uživatelských profilů věrnostních karet atp. V základu jsou uvažovány dvě varianty. Jednak se jedná o souhlas se zpracováním osobních údajů a jednak se jedná o smlouvu mezi správcem osobních údajů a subjektem údajů. V tuto chvíli není k dispozici konečné stanovisko. Z dosavadních výstupů však lze dovozovat, že rozlišujícím kritériem by měly být funkcionality profilu. Konkrétněji řečeno, pokud profil slouží pouze k získávání informací a nejsou s ním (například s použitím věrnostní karty navázané na profil) spojeny další zvláštní práva neregistrovaným osobám nedostupná (například prodloužená záruka, možnost vrácení zboží v prodloužené době, bezplatná výměna zboží atd.), právním základem zpracování osobních údajů by měl být souhlas se zpracováním osobních údajů. Ve zbylých případech, tedy zejména pokud je na členství navázáno poskytování dalších zvláštních práv při uzavření kupní smlouvy či smlouvy o poskytování služeb, by právním titulem mělo být dle čl. 6 odst. 1 písm. b) GDPR uzavření smlouvy, resp. přijetí nezbytných opatření před uzavřením smlouvy na žádost subjektu údajů;
- standardní smluvní doložky pro předávání osobních údajů do třetích zemí – počínaje dnem 27. června 2021 je k dispozici univerzální sada standardních smluvních doložek pro zajištění odpovídající úrovně ochrany pro předávání osobních údajů do třetích zemí, které nejsou z hlediska GDPR tzv. bezpečné. Tyto smluvní doložky jsou obsaženy v rozhodnutí Komise 2021/914. Jmenovaným rozhodnutím bylo taktéž stanoveno, že nejpozději do dne 27. prosince 2022 musí být v rámci úpravy vztahů při zpracování osobních údajů, kdy dochází k předávání osobních údajů do třetích zemí neposkytujících odpovídající úroveň ochrany, nahrazeny dřívější standardní smluvní doložky nově schválenou sadou. Pakliže se tak do uvedeného termínu nestalo, na zpracování osobních údajů využívající standardní smluvní doložky obsažené v dřívějších rozhodnutí Komise se hledí, jako by nebyla zajištěna odpovídající úroveň ochrany osobních údajů při předávání do třetích zemí.
Současně se nabízí připomenout, že s ohledem na rozhodnutí Soudního dvora EU ve věci Schrems II je třeba ověřovat, zda záruky plynoucí ze standardních smluvních doložek (zejména s ohledem na úroveň právního státu ve třetí zemi) lze reálně považovat za dostatečný prostředek ochrany pro předávané osobní údaje.
[1] Viz zde: https://www.uoou.cz/metodika-ke-kamerovym-systemum-zahajena-verejna-konzultace/d-56872
Diskuze k článku ()