Monitor osobních údajů 2/2020
V následujícím článku si Vás dovolujeme seznámit s nedávnými rozhodnutí Úřadu pro ochranu osobních údajů (ÚOOÚ) a zejména s pro praxi velmi důležitým rozhodnutím Soudního dvora EU (SDEU). Závěrem si Vás dovolujeme upozornit na postup, který je v návaznosti na toto rozhodnutí třeba učinit. O závěrech některých kontrol provedených ÚOOÚ a dalších aktualitách ze světa ochrany osobních údajů Vás budeme informovat v dalším vydání tohoto přehledu nebo přehledu právních aktualit.
Zrušení štítu soukromí EU-USA
SDEU rozsudkem ze dne 16. 7. 2020 ve věci C-311/18 (případ Schrems II) odpověděl na předběžnou otázku irského vrchního soudu a rozhodl, že Spojené státy americké nezajišťují odpovídající úroveň ochrany, a to ani prostřednictvím tzv. štítu soukromí. V důsledku tohoto rozhodnutí tak nebude možné předávat osobní údaje zpracovatelům do Spojených států (vč. společností jako např. Facebook, Google či Microsoft) na základě štítu soukromí. Co přesně byl štít soukromí EU-USA? Šlo o právní mechanismus certifikace pro předávání dat do USA schválený rozhodnutím Evropské komise č. 2016/1250 ze dne 12. 7. 2016. Štít představoval systém, na základě kterého se zpracovatelé osobních údajů ze Spojených států zavazovali dodržovat zásady ochrany soukromí. Na základě rozhodnutí Komise zpracovatelé z USA zaštiťovaly zpracování osobních údajů těmito zásadami, pokud nevyužili standardních smluvních doložek. Jiné možnosti jim obecné nařízení o ochraně osobních údajů (GDPR) neumožňovalo. A právě rozhodnutí Komise bylo rozsudkem SDEU prohlášeno za neplatné. V důsledku toho není již nadále možné předávat osobní údaje do Spojených států na základě štítu soukromí.
Jak jsme zmínili výše, druhou možností podle GDPR je užití standardních smluvních doložek (známých pod zkratkou SCC), které řada zpracovatelů z USA (vč. třeba právě Facebooku) využívá. Ty SDEU svým rozhodnutím sice nezrušil, ale jejich použití nadále podmínil testem přiměřenosti přijatých opatření v závislosti na okolnostech předávání osobních údajů zpracovatelům v USA. Test přiměřenosti jinými slovy znamená, že správce musí sám prověřit, zda doložky ve smlouvě se zpracovatelem z USA zajišťují ochranu srovnatelnou s tou zaručenou v EU obecným nařízením a Listinou základních práv EU. Správce by měl brát úvahu i prvky právního řádu třetí země, do které osobní údaje předává ke zpracování. V případě USA mu správcům práci ulehčil sám SDEU, když konstatoval, že USA na základě svých zákonů realizují plošný přístup svých státních orgánů k osobním údajům, avšak subjektům údajů nepřiznávají práva vymahatelná před americkými úřady, a tedy nezajišťují jejich dostatečnou ochranu. Spojené státy sice pro tyto účely zřídili úřad příslušného ombudsmana, nicméně podřízeného americkému ministerstvu zahraničních věcí. Úřad proto není nezávislý na americké exekutivě. Z rozhodnutí Komise č. 2010/87 ze dne 5. 2. 2010 o standardních smluvních doložkách vyplývá, že z výše uvedených důvodů by měly být doložky doplněny o další opatření, jinak by měl přenos dat být zastaven dozorovým úřadem.
SDEU také konstatoval, že evropské dozorové úřady (v Česku ÚOOÚ) musí předávání osobních dat do jiných zemí pečlivě posuzovat a pokud v dotyčných státech (např. v USA) nebudou data dostatečně chráněna, musí tento transfer zakázat. To je ale spíš krajní situace.
Správci tedy mohou využít pouze takové zpracovatele podléhající americkému právu, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření podle GDPR. Nesmí totiž zapomínat, že správci jsou odpovědní za předávání osobních údajů.
Správci by tedy v návaznosti na toto rozhodnutí SDEU měli zjistit, zda předávají osobní údaje mimo EU do USA, a pokud ano, tak na základě jakého titulu. Pokud pouze na základě Privacy Shield (štítu soukromí), měl by s příslušným zpracovatelem dohodnout další postup a vyjednat například SCC, pokud jim zpracovatel dříve tento postup sám nenabídne (což se u velkých společností typu Facebook či Google dá očekávat).
Pokud správce zjistí, že údaje předává do USA z titulu smluvních doložek (SCC), měl by i tak zanalyzovat právní i technické aspekty vlastního předávání (např. metody šifrování, pseudonymizace, tokenizace, apod.).
Závěrem
V důsledku rozhodnutí SDEU ve věci C-311/18 očekáváme revizi současného systému předávání dat zpracovatelům ze Spojených států. Vzhledem k případným změnám, které správci v důsledku toho zavedou je namístě jim připomenout, že o konkrétních opatřeních a postupech, komu a do jakých zemí jsou osobní údaje předávány či zpřístupňovány, za jakých podmínek, jak jsou údaje chráněny, příp. jaká rizika s tím souvisejí, by měli informovat subjekty osobních údajů.
Rozsudek SDEU neznamená, že by americké firmy vůbec nemohly s osobními daty zacházet, k toku dat mezi EU a USA tak může docházet nadále. Američtí zpracovatelé však přijdou však o své dosud nadstandardní postavení a budou se muset řídit standardními pravidly EU, zejm. pak smluvními doložkami (tzv. SCC) podle rozhodnutí Komise č. 2010/87, které zůstávají platným nástrojem pro předávání osobních údajů do třetích zemí.
Podstatné je si také uvědomit, že rozhodnutí se vztahuje pouze na určité typy osobních údajů (na ty, na které se vztahoval štít soukromí). Nevztahuje se tedy na tzv. nezbytné datové přenosy (např. e-maily, rezervace letenek a ubytování, obchodní transakce, přístup na zpravodajské weby, apod.).
Významná rozhodnutí ÚOOÚ:
Kontrola zpracování osobních údajů soudním exekutorem
Po zjištění problému s datovými schránkami exekuční úřad přijal technicko – organizační opatření k nápravě softwarové chyby informačního systému, kontrolovaný sám věc prošetřil a současně přijal příslušná opatření, pro součinnost proto nijak potrestán nebyl. Při zpracování osobních údajů by měly být nastaveny a pravidelně vyhodnocovány mechanismy, které umožní odhalení chyb jednotlivce a selhání lidského faktoru.
Kontrola předávání osobních údajů mezi obchodními společnostmi
Po nákupu v e-shopu byla vystavena faktura na objednané zboží právnickou osobou, která není provozovatelem daného e-shopu. Tím, že kontrolovaná určila způsob a prostředek zpracování osobních údajů (zaslaná faktura), je v postavení správce. Povinnost porušila tím, že neposkytla požadované informace a neusnadnila výkon práv subjektu údajů, neboť není známa na adrese svého sídla. Za neposkytnutí součinnosti jí byla uložena pořádková pokuta ve výši 100 000 Kč.
Kontrola zpracování osobních údajů prostřednictvím kopií občanských průkazů: Půjčovna lyžařského vybavení údajně kopírovala osobní doklady klientů. Stěžovatel uvedl, že byl nedostatečně informován, proč je jeho osobní doklad kopírován a jak bude s jeho osobními údaji nakládáno. Jediným právním důvodem pro zpracování dalších údajů uvedených v občanském průkazu, je doložení souhlasu subjektů údajů s tímto zpracováním, který kontrolovaná nedoložila. Dále je potřeba věrohodně vysvětlit rozsah a účel zpracování osobních údajů a dbát na minimalizaci údajů – osobní údaje musí být přiměřené, relevantní a omezené pouze na nezbytný rozsah zpracování. Zákazníci musí být prokazatelně informování a poučeni o zpracování osobních údajů.
Kontrola zpracování osobních údajů při telemarketingu
Pokud obchodní společnost využívá pro zpracování osobních údajů svých klientů služeb externího zpracovatele, musí být řádně uzavřena smlouva. Pro zákonný způsob zpracování musí být doložen souhlas se zpracováním osobních údajů klientů, pokud se tak stane ústně – telefonicky, je potřeba takový souhlas zaznamenat, archivovat, aby mohl být doložen. Subjekt údajů si musí být vědom, pokud osoba odlišná od jeho samotného poskytuje jeho osobní údaje třetí osobě, která je může využívat mimo jiné k telemarketingu. Osobní údaje musí být uchovávány pouze po dobu nezbytnou pro stanovené účely.
Kontrola zpracování osobních údajů v rámci přijímacího řízení na vysokou školu
V rámci elektronické přihlášky byly vyžadovány nadbytečné údaje, bez kterých se údajně elektronická přihláška neodeslala, informační systém pak pro přihlášení požadoval rodné číslo uchazeče. Zpracování těchto osobních údajů lze provádět pouze na právním základě, musí být jednoznačné a subjekt údajů musí být o zpracování přesně informován. Za zpracování osobních údajů je odpovědný správce, kontrolovaná tedy nemůže argumentovat tím, že využívá informační systém externího dodavatele.
Otisky prstů
Zpracování osobních údajů ve formě otisků prstů patří do zvláštní kategorie osobních údajů, jedná se o tzv. biometrické údaje (patří sem například i detekce obličeje). Zpracování biometrických údajů jako takových je zakázáno, jedinou výjimkou zpracování těchto údajů je výslovný souhlas subjektu údajů se zpracováním těchto osobních údajů, kdy poučení subjektu údajů o účelu, způsobech a době zpracování biometrického údaje musí být jednoznačné.
Kontrola zabezpečení internetových stránek v souvislosti s předáváním výsledků zdravotních vyšetření
Poskytování výsledků vyšetření, ať pacientům či lékařům patří do zvláštní kategorie osobních údajů, jedná se o zpracování údajů o zdravotním stavu. Zpracování těchto osobních údajů vyžaduje taková technická a organizační opatření, kterým bude zajištěna vysoká úroveň zabezpečení a důvěrnost výsledků vyšetření. Mezi tato opatření patří například i evidence přístupů k osobním údajům, silně zabezpečené přístupové heslo, zabezpečený protokol a další opatření zabraňující získání neoprávněného přístupu. Veškerá tato opatření se musí vztahovat na systém jako celek a být pravidelně přezkoumávána.
Předávání údajů v ambulantním systému: Pokud osoba zpracovávající osobní údaje uzavře smlouvu s externí společností, v tomto případě se jednalo o poskytovatele softwarové aplikace ambulantního inf. systému, musí poskytnou svým klientům informaci o rozsahu zpracování osobních údajů a musí být uzavřena řádná smlouva s danou externí společností, tedy musí existovat pověření ke zpracování osobních údajů zpracovatelem.
Kynologický spolek
Souhlas se zpracováním osobních údajů není platný, pokud je tak učiněno pod pohrůžkou či donucením. Takový souhlas musí být udělen svobodně na základě přesné informace o zpracování osobních údajů, musí být patrné účely zpracování osobních údajů členů i nečlenů stejně tak i právní titul pro zpracování osobních údajů či jejich likvidaci. Spolek musí mimo jiné doložit existenci vnitřních dokumentů o zpracování osobních údajů a dokumentovat i daná technicko – organizační opatření. V tomto případě však Kynologický spolek jednal v dobré víře a přijal opatření k nápravě, řízení o uložení opatření tedy zahájeno nebylo.
Nevyžádaná obchodní sdělení
Více než 500 stížností směřovalo na rozesílání nevyžádaných obchodních sdělení, které obsahovaly nabídky zboží a služeb internetových obchodů a směřujících k podpoře zboží a služeb kontrolované osoby. K rozesílání takovýchto obchodních sdělení je zapotřebí doložit souhlas adresátů se zasíláním obchodních sdělení a doložení skutečnosti, že se jedná o zákazníky. Označení těchto sdělení bylo značně zavádějící a z předmětu zaslané zprávy nevyplývaly informace o odesílateli. Za zasílání obchodních sdělení je odpovědný faktický odesílatel, ale také ten, v jehož prospěch je obchodní sdělení zasíláno. Za nesoučinnost byla po opakované výzvě společnostem uložena pořádková pokuta.