GDPR rok poté Praktické zkušenosti

Transkript

1 GDPR rok poté Praktické zkušenosti Osobní údaje GDPR rok poté Mgr. Michal Nulíček, LL.M., CIPP/E nulicek@rowanlegal.com

2 Aktuality z ČR

3 Adaptační legislativa účinnost přijala PS zákon účinnost Nařízení 2016/679 Obecné nařízení o ochraně údajů (GDPR) návrh zákona o zpracování osobních údajů (sněmovní tisk č. 138) doprovodný zákon (sněmovní tisk č. 139) zákon o zpracování osobních údajů (č. 110/2019 Sb.) doprovodný zákon (č. 111/2019 Sb.)

4 Adaptační legislativa Minimum změn pro soukromou sféru (př. výzkum a statistika) Výjimky a vyloučení pokut pro veřejnou správu Upuštění od trestání orgánů veřejné moci ve smyslu čl. 83 odst. 7 GDPR včetně ÚSC Možnost odložení bez vyrozumění účelu lze dosáhnout / bylo dosaženo jinak Vyjasněny a rozšířeny kompetence úřadu Ochrana osobních údajů, právo na informace Účinnost od

5 Přínos pro správce? Výjimky z povinností dle GDPR: z posuzování slučitelnosti účelů ( 6 ZZOÚ) např. zpracování údajů o transakcích (za účelem plnění smlouvy s klientem) v rámci zamezování legalizace výnosů z TČ (plnění právní povinnosti) chráněný zájem není nutné provést posouzení slučitelnosti z informační povinnosti vůči subjektům údajů ( 8) pro zpracování uložené zákonem postačí zveřejněním umožňujícím vzdálený přístup z posouzení vlivu DPIA ( 10) pokud je zákonem uložená povinnost provést zpracování

6 Adaptační legislativa a RČ Změna zákona o evidenci obyvatel a rodných číslech Nová pravidla pro nakládání s rodnými čísly ( 13c): Možnost (ne povinnost) nakládat s RČ, pokud to bude nezbytné pro vymáhání soukromoprávních nárokůnebo pro předcházení vzniku nesplácených pohledávek Podmíněno přijetím opatření k ochraně práv a svobod subjektů (technická a organizační opatření, ověřování totožnosti přistupujícího, záznamy o zpracování, pseudonymizace a zajištění důvěrnosti ) Zpracování na základě oprávněného zájmu vhodné provést balanční test a u nových zpracování rovněž posouzení vlivu na ochranu osobních údajů (DPIA)

7 Kontrolní činnost ÚOOÚ po GDPR Od 25. května 2018 Úřad: obdržel 433 oznámených porušení zabezpečení osobních údajů 23 reakcí ÚOOÚ na oznámení (kontrola, řízení, pokuta) provedl 31 kontrol skončil 37 řízení (z toho 17 bez obdržené stížnosti) v souvislosti s GDPR uložil 6 pravomocných pokut (v rozmezí Kč) a 2 nepravomocné pokuty ( a Kč)

8 Stanoviska a doporučení ÚOOÚ Vyjádření ke kopiím veřejných rejstříků na internetu Veřejnost údajů neznamená možnost jejich dalšího bezmezného zpracování Povinnost mít titul (balanční test), informovat, vyřizovat námitky Prokazování totožnosti při výkonu práv přes OP / ověřený podpis nadměrné omezení Sdělení k vyžadování souhlasu Poskytnutí služby nesmí být vázáno na udělení souhlasu GDPR a přímý elektronický marketing FAQ k obchodním sděleními (viz dále) K povinnosti provádět posouzení vlivu Seznam zpracování, která ne/podléhají DPIA Metodika kodexy(dlouho nebudou), incidenty

9 FAQ k obchodním sdělením Obchodním sdělením i přání k svátku nebo žádost o ohodnocení produktu Zákazníkem není ten, kdo se jen např. přihlásí do soutěže Doporučení double opt-inu a povinnost opt-out při sběru Doporučení vést seznam robinsonů Obchodní sdělení označit v předmětu, ne obsahu zprávy Souhlas s marketingem 3. stran zvlášť, vč. jejich identifikace Uvéstv OS, v čí prospěchje zasíláno, nejen jehož jménem se tak děje, jak uvádí zákon Odklon od rozlišování předání dat jinému správci a marketingu ve prospěch třetích stran u vlastních klientů

10 Nová rozhodnutí & praxe ÚOOÚ 1 Udělování souhlasu k obchodním sdělením vč. sdělení třetích stran Zpracování osobních údajů klientů banky a (ne)zbytnost double opt-inu Nepřiměřený požadavek ověřeného podpisu při výkonu práv a omezení kanálů pro jejich uplatnění Pokud dříve komunikace s klientem přes , nelze při uplatnění práva vyžadovat ověřený podpis. Běžné kanály lze využít vždy. Správce nemusí být odpovědný za jednání zpracovatele Nesystémové pochybení zaměstnance nemusí být pochybenímsprávce

11 Nová rozhodnutí & praxe ÚOOÚ 2 Povinnost správce k provedení balančního testu Povinnost přizpůsobit dobu archivace obsahu konkrétní nahrávky telefonických hovorů běžné hovory informativního charakteru vs. jednání o smlouvě / změně atp. Anonymizace osobních údajů při zadávání veřejných zakázek Nadbytečné zpracování biometrického podpisu na základě souhlasu

12 Biometrické podpisy 1 Kontrola na základě plánu kontrol u zprostředkovatele finančních služeb Použití DBP k potvrzení a uchování smluv, ověření a verifikace podpisu klienta ; ne k autentizaci, DBP spojen s dokumentem Reálně rovněž k případné následné ochraně práv v případě sporu Subjektu údajů dána možnost zda podepsat klasicky či pomocí DBP Při uzavření smlouvy souhlas nevyžadován data ihned zašifrována, správce nepovažoval za zpracování Pro zpracování dešifrovaných dat v rámci sporu titul čl. 9 písm. f) GDPR

13 Biometrické podpisy 2 Otázka, zda se jedná o zpracování (ot. šifrování) ANO Otázka titulu pro DBP výslovný souhlas? Odvolání není problém, nemění nic na platnosti smlouvy Ale neřešeno, co to znamenápro ochranupráv Zpracování DBP bylo ale ÚOOU vyhodnoceno jako nadbytečné už možnost podepsat klasicky indikuje nadbytečnost pro uzavření smlouvy stačí údaje vyžadované právní úpravou + klasický podpis nebo elektronický 2D ekvivalent při uzavření v listinné podobě se DBP také nevyžaduje od zavedení použití DBP nebylo nikdy potřeba dešifrovat (nebyl spor) Znamená tedy princip minimalizace konec DBP?

14 Aktuality z EU

15 Situace v EU po 25. květnu 1/3 Tisíce stížností, první pokuty Německo pro provozovatele sociální sítě za únik dat ( ů a hesel) uživatelů včasná reakce jako důvod snížení pokuty Francie Googlu za podmiňování užívání služby souhlasem a za příliš vágní a nicneříkající informování subjektů údajů o kategoriích údajů a účelech zpracování Velká Británie Facebooku v souvislosti s vytěžováním údajů uživatelů sociální sítě pro účely cílení v rámci volební kampaně (Cambridge Analytica) Polsko společnosti provádějící scoringklientů na základě zveřejněných dat za nedostatečné informování subjektů údajů podle čl. 14 GDPR. Info SÚ em, u ostatních(jen tel/adresa) na webu. Výklad nepřiměřeného úsilí. Dánsko taxi společnosti pro rozpor se zásadou minimalizace při zpracování osobních údajů zákazníku po dobu delší než nutnou Portugalsko za neoprávněné přistupování zaměstnanců nemocnice k údajům o pacientech (falešné profily)

16 Situace v EU po 25. květnu 2/3 Stížnostem se nevyhnuly ani další velké korporace Google, Facebook,Instagram a WhatsApp(Rakousko, Belgie, Německo a Francie) V rámci EU hlášeny desetitisíce incidentů Nejvíce v Nizozemsku, Německo a Velké Británii British Airways, Facebook, Marriott Porušení GDPR ze strany Microsoftu Německé úřady uložily do první poloviny ledna 41 pokut Nejvyšší pokuta za zveřejnění citlivých (zdravotních) údajů Pokuty především za nedostatečnou smluvní úpravu se zpracovateli, nevyžádaný marketing, zveřejňování citlivých údajů, úniky OÚ, nedostatečná technická a organizační opatření

17 Situace v EU po 25. květnu 3/3 Zákaz zpracování jako sankce německý úřaduld zakázal zpracování v případě provozovatele online webových kamer Nová vodítka dozorových úřadů K politikám ochrany OÚ a k udělování pokut (Nizozemí) K minimalizaci a právu na výmaz (Dánsko) Evropský sbor pro ochranu osobních údajů vydávání pokynů a stanovisek, koordinace úřadů při přeshraničním uplatňování GDPR Brexit a jeho dopady omezení volného pohybu osobních údajů UK se stane třetí zemí nutné najít právní titul pro předání osobních údajů do UK -zejména standardní smluvní doložky, které současně tyto ukládají celou řadu povinností, či jiné vhodné záruky

18 Pokuta pro Google - Francie Vztahuje se k procesům při instalaci nového Android telefonu Uživatelé nebyli jasně informování o tom, jak Google s jejich údaji nakládá Informace roztříštěny do několika dokumentů, vzájemné odkazy, úmyslné vágní a zavádějící formulace Informace o personalizaci reklamy dostupné po 5-6 krocích (nedostupnost) Podmiňování užívání služby souhlasem Výzva k souhlasu automaticky při nastavování zařízení, info o horší zkušenosti Založení účtu a instalace zařízení by měly být oddělené Souhlas nekonkrétní a neinformovaný souhlas s personalizovanou reklamou platil pro řadu služeb, aniž by o tom Google informoval uživatele Komplikovaná(několika kroková) možnost odvolání souhlasu

19 Zákaz kombinování OÚ Facebook Německý antimonopolní úřad poprvé zahrnul soulad s GDPR do posouzení zneužití dominantního postavení (80-95% share) Konstatováno vykořisťovací zneužití VOP Součásti podmínek služby souhlas se sběrem a kombinováním uživatelských dat z jiných zdrojů Jiné zdroje jakékoliv stránky obsahující Like nebo Share tlačítko (i bez kliknutí) a stránky bez FB tlačítek využívající Facebook Analytics poskytují data Facebooku Výsledek? Zákaz bez souhlasu kombinovat údaje uživatelů z aplikací WhatsApp, Instagram a Facebook Zákaz bez souhlasu propojovat údaje shromážděné z webových stránektřetích stran 3 roky šetření, lhůta na přijetí opatření 4 měsíce / 12 měsíců na úpravu politik

20 Pokyny Sboru 2019 Ke kodexům chování a monitoringu (č. 1/2019) Vyjasnění obsahových náležitostí kodexů chování (dokumentace, přesné vymezení procesů zpracování, územní působnost, dohled atd.) Proces schvalování (národní x nadnárodní kodexy) u nadnárodních stanovisku Sboru a poté schválení Komisí! K přezkoumání a posuzování kritérií osvědčení Slouží jako checklist pro (i) dozorové orgány (i) správce a zpracovatele Ke zpracování založeném na plnění smlouvy v oblasti online služeb (č. 2/2019)

21 Pokyny Sboru k místní působnosti GDPR se uplatní při Zpracování v kontextu provozovny v EU Cílenína subjekty v EU (nabízení služeb/sledování) namísto prostředků zpracování Stále obecné pojmy (provozovna, zpracování v souvislosti s činností provozovny, cílení) Hlavní případy vyjasněny pokyny Zástupce správce/zpracovatele v Unii

22 Místní působnost příklady Příklady: zpracovatel v EU zpracovává pro správce mimo EU správce v EU zpracovává údaje zákazníků mimo EU zpracovatel mimo EU zpracovává pro správce v EU V praxi příklady komplexnější nutnost předchozího konkrétního posouzení dopadu GDPR

23 Pokyny Sboru k plnění smlouvy v e-commerce Podmínky aplikace čl. 6 odst. 1 písm. b) GDPR: lze použít již ve fázi předcházející uzavření smlouvy, detaily ale nejsou dodržení zásad omezení účelu a minimalizace zpracování -vždy nutné posoudit, zda může být služba poskytována bez daného zpracování pokud ano, musí se opírat o jiný právní základ nedochází ke zpracování citlivých OÚ podle čl. 9 smlouva může obsahovat podmínky zpracování pro účely reklamy, cookies atd., to ale neznamená, že pro ně lze využít tento právní titul důležitým hlediskem je legitimní očekávání subjektů údajů při podepisování smlouvy v případě ukončení smlouvy je správce povinen přestat zpracovávat OÚ

24 Co se chystá mimo GDPR Novela NOZ Rozšíření demonstrativního zakázaných ujednání ve spotřebitelské smlouvě (automatické obnovy s krátkou lhůtou k odmítnutí, některá postoupení, ) Smlouva je po telefonu uzavřena až po doručení nabídky spotřebiteli v textové podobě a jejím podepsáním nebo vyslovením souhlasu New Deal for Consumers Horní hranice pokuty za nekalé obchodní praktiky (minimálně 4 % zobratu) Právo spotřebitelů domáhat individuální náhrady při nekalých obchodních praktikách Povinnost informování spotřebitelů o personalizaci ceny na základě automatizovaného rozhodování

25 Dotazy? Mgr. Michal Nulíček, LL.M., CIPP/E Právnická firma roku v kategorii Právo informačních technologií Nepřetržitě od roku 2010 včetně ROWAN LEGAL Band 1 v oblasti TMT dle Chambers& Partnersi dle Legal500 Band 2dleChambers pro Compliance

26 GDPR rok poté Kontrola ÚOOÚ a jak se na ní připravit Osobní údaje GDPR rok poté Mgr. Michal Nulíček, LL.M., CIPP/E nulicek@rowanlegal.com

27 Průběh kontroly ÚOOÚ 1. předběžné šetření zpravidla bez obeznámení dozorovaného subjektu, údaje z veřejně přístupných zdrojů 2. oznámení o kontrole požadována řada dokumentů, kontrola v horizontu 2-6 týdnů 3. šetření na místě široká oprávnění Úřadu -vstup na pozemky, do prostor, vyžádání si informací 4. protokol o kontrole výsledkem kontroly, možnost bránit se námitkami(zpravidla 15 dnů!) 5. správní řízení -řízení opřestupku (uložení sankce) nebo řízení o nápravných opatřeních

28 Oznámení o kontrole

29 Oznámení o kontrole

30 Kontrola ÚOOÚ, zpracovatelé a odpovědnost 1/2 Právní / procesní dokumentace Záznamy o zpracování správce / zpracovatel Informaceo zpracování pro subjekty / zpracovatele (pokud FO) Pravidla výběru zpracovatelů / obchodních partnerů Interní směrnice o nakládání s OÚ pro zaměstnance / partnery Plán kontrol zaměstnanců / zpracovatelů Zpracovatelská smlouva, dohody o mlčenlivosti Kopie ohlášení pověřence na ÚOOÚ Na vyžádání: řešení případných předchozích incidentů daného zpracovatele, přijatá nápravná opatření V budoucnu: provedená DPIA pro dané zpracování

31 Kontrola ÚOOÚ, zpracovatelé a odpovědnost 2/2 Technická dokumentace Bezpečnostní politika, př. aplikace s přístupem 3. strany (zpracovatele) zabezpečení od udělení hesla až po ukončení spolupráce a likvidace účtu vč. logování a dalších opatření dle 13 ZOOÚ vč. další dílčí dokumentace k aplikacím, systémům a technologiím (webové aplikace s vnějším přístupem, cloud, atd.) ISO certifikace vlastní / dodavatelů, další bezpečnostní dokumentce apod.! Připravenost umožnit přístup do systému! Připravenost předložit info o nakládání s papírovými dokumenty

32 13 odst. 4 zákona 101/2000 Sb. a)zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b)zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c)pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodubyly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům.

33 Zkušenosti z kontroly 1. Důležitá je připravenost- shromáždit podklady 2. Nepodceňovat technickou rovinu -opatření v systémech 3. Projít si podklady a systémy pohledem Úřadu 4. Opatření musí být dostatečně dokumentována Pokud zapojíte externisty, požadujte výstup ve formě použitelné pro splnění accountability

34 Dotazy? Mgr. Michal Nulíček, LL.M., CIPP/E Právnická firma roku v kategorii Právo informačních technologií Nepřetržitě od roku 2010 včetně ROWAN LEGAL Band 1 v oblasti TMT dle Chambers& Partnersi dle Legal500 Band 2dleChambers pro Compliance