Hranaté výročí aneb 4 roky s GDPR

Zatímco v lednu můžeme slavit mezinárodní den ochrany osobních údajů, koncem května jsme si připomněli výročí vstoupení GDPR v účinnost – letos už počtvrté.

counsel, HAVEL & PARTNERS s.r.o., advokátní kancelář
Partner, HAVEL & PARTNERS s.r.o., advokátní kancelář
GDPR, ochrana osobních údajů
Foto: Fotolia

A jak bychom to „hranaté“ výročí, kromě decentního přípitku ze čtyřhranných skleniček, vhodně oslavili? Doporučujeme Vám udělat malý audit vaší praxe.

Před čtyřmi lety vstoupilo v EU v platnost Obecné nařízení o ochraně osobních údajů („GDPR“). Od té doby má GDPR dominový efekt, protože jej mnoho zemí světa použilo jako model pro utváření vlastních pravidel pro nakládání s osobními údaji. Vzhledem k rychlým změnám v legislativě ochrany údajů po celém světě jsou právní a compliance týmy odpovědné za dodržování předpisů nejen nadnárodních organizací pod tlakem, aby držely krok s takovým vývojem.

Pokud jste ve vaší organizaci dělali poslední audit ochrany osobních údajů při implementaci GDPR před čtyřmi roky, nastal nejvyšší čas zkontrolovat, zda máte vše v pořádku, zda vše odpovídá tomu, jak se váš byznys v minulých letech rozvíjel, jak se vyvíjel výklad GDPR i rozhodovací praxe kontrolního úřadu.

Dovolte nám u příležitosti 4. výročí připomenout vám 4 pravidla, která se v každodenní praxi nejčastěji porušují, a upozornit vás na 4 oblasti, na které se bude zaměřovat kontrola dozorového orgánu v nejbližší době.

ČTYŘI PRAVIDLA

Zapomeňte na vzory z internetu, GDPR není formalita. Pokud míníte svůj byznys posouvat v digitálním světě, spíš dříve, než později se setkáte s tím, že budete chtít zpracovávat ve velkém osobní údaje svých zákazníků. Anebo budete nabízet technologie, jež z podstaty věci pracují s údaji týkajícími se fyzických osob. A v takovém případě mít pár vzorových dokumentů nebude stačit k prokázání toho, že plníte compliance povinnosti v oblasti GDPR. Nechte si zpracovat dokumentaci, která odpovídá vašemu podnikání, vašim produktům anebo službám, nevymýšlí si neexistující postupy a budete se o ni moci opřít jako o solidní důkaz plnění GDPR povinností. Oceníte to při kontrole ze strany Úřadu pro ochranu osobních údajů, při dotazech ze strany zákazníků nebo obchodních partnerů či investorů, na jejichž důvěře je vaše podnikání závislé.

Aktivně zapojujte DPO do relevantních procesů. Mít pověřence takříkajíc pro okrasu může být sice z ekonomických důvodů lákavé, ale ve výsledku se může prodražit. Předně nemá jít o obdobu advokáta, kterého si zvolíte, až se objeví problém. V případě pověřence je důležitá již prevence a kontinuální spolupráce s ním má za cíl upozorňovat vás na rizika ještě dřív, než nastanou. Nehledě na to, že i samotný Úřad pro ochranu osobních údajů zdůrazňuje, že je porušením GDPR, pokud organizace nevyužívá potenciálu pověřence, ač jej oficiálně jmenovala a některé dozorové úřady v EU dokonce přikročily i k ukládání pokut v takových případech

Mějte dobře rozmyšleno, proč osobní údaje zpracováváte. Jinak řečeno, právní základ či titul je to první a poslední, co vás postaví buď do role správce, který oprávněně zpracovává osobní údaje, anebo máte data ilegálně a moc šancí, jak s nimi dále pracovat, mít už nebudete. Stále se např. objevují tendence nadhodnocovat význam souhlasu subjektu údajů, který by snad mohl zhojit absenci reálného a právně nezpochybnitelného důvodu, proč byste měli mít možnost zpracovávat osobní údaje – opak je pravdou a dozorové úřady na to často upozorňují (pokutou, zákazem zpracování). Nechte si proto poradit, kdy a za jakých podmínek lze zpracovávat osobní údaje i bez souhlasu.         

Myslete na ochranu osobních údajů systematicky, již při plánování rozvoje vašeho podnikání, ušetříte tím čas i peníze. Jde o opomíjený princip privacy by design (záměrná a standardní ochrana osobních údajů), který znamená, že ochrana osobních údajů se neřeší jako dílčí ohraničený problém ex post, ale jako nedílná součást rozhodovacího procesu už při plánování obchodního rozvoje firmy a nastavování vnitřních procesů v organizaci. Pokud se totiž na ochranu osobních údajů nemyslí včas, skončí to v lepším případě interním konfliktem, kdy slibně se vyvíjející projekt kolegů z business intelligence začnou kvůli právním mezerám kritizovat právníci z compliance oddělení (a nalezení zákonného řešení pak může znamenat velký krok zpátky), v horším případě na tyto mezery ukážou zákazníci nebo kontrola Úřadu pro ochranu osobních údajů.

Kromě sankčních pravomocí dozorových úřadů, které by na Vás mohly dolehnout za zmíněná nejčastější porušení, se v oblasti ochrany osobních údajů začala objevovat nezanedbatelná skupina soukromých hlídačů. Jak zejména ukazuje oblast mezinárodních transferů či nově pravidel při zpracování dat z cookies, získali správci a zpracovatelé osobních údajů významnou opozici v samotných subjektech údajů či v uskupeních zastupujících subjekty údajů.

A jak naznačuje rozhodovací praxe Soudního dvora EU, může být oblast ochrany osobních údajů brzy vynucována stejně jako oblast ochrany spotřebitele, neboť ve svém důsledku jde o stejný princip ochrany. Nejen technologie zrychlují svět – vedle stávajícího rámce dozorových úřadů tak stále častěji spotřebitelé alias subjekty údajů nalézají vedlejší a případně i rychlejší cestu v uplatňování svých práv.

ČTYŘI OKRUHY PLÁNOVANÝCH KONTROL

Vyšší zájem samotných subjektů údajů o ochranu svých práv činí méně předvídatelným, na co se dozorový úřad může v nejbližším období zaměřovat, protože podněty mohou přijít odkudkoliv na cokoliv. Nicméně konkrétní oblasti zájmu dozorového úřadu lze vysledovat ze zveřejněného kontrolního plánu Úřadu pro ochranu osobních údajů – vybíráme pro vás čtyři okruhy:

Cookies – nedávnou novelizací zákona o elektronických komunikacích dohnala Česká republika více než desetiletý dluh vůči povinnostem vyplývajícím z unijních předpisů. Je tedy zřejmé, že dosavadní opatrný přístup dozorového úřadu se může rázem změnit, přičemž vymáhání harmonizovaných pravidel pro práci s cookies má jedno specifikum: většinu důkazního materiálu si úřad dokáže posbírat sám a během pár minut ještě před zahájením řízení prostou návštěvou vašich webových stránek.

Obchodní sdělení – toto téma zasílání především e-mailových anebo SMS nabídek dozorový úřad sleduje dlouhodobě a výše ukládaných pokut i incidence porušení naznačují, že přísnost pokut možná ještě nedosáhla maxima.

Nahrávání telefonů či kamerové systémy – obliba těchto technologií v posledních letech stoupá a ač mohou usnadňovat spoustu činností, nakládání s nimi by mělo podléhat přísným pravidlům z důvodu jejich snadného zneužití. Dozorový úřad taktéž zkoumá jejich nadbytečné používání – např. délku uchování či kombinaci s novými technologiemi (biometrické analýzy).

Telefonický přímý marketing – poslední okruh je spojen se stejnou zákonnou novelou jako cookies, která mj. zakázala volání na náhodně generovaná telefonní čísla. Kontrola ale spadá  do kompetence jiného dozorového úřadu, a to Českého telekomunikačního úřadu. Bude zajímavé sledovat toto prolínání ochrany osobních údajů a regulace elektronických komunikací, obdobně jako inspektoráty práce posuzují ochranu soukromí na pracovištích a do jisté míry tím narušují určitý „monopol“ Úřadu pro ochranu osobních údajů.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články