GDPR rok poté: Mezi nejčastější stále se vyskytující chyby patří vynucování souhlasu se zpracováním osobních údajů
Advokátní kancelář Taylor Wessing Česká republika se po více jak roce v rámci spolupráce s klienty zaměřila na vyhodnocení GDPR, jinak známé jako Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Podniky a organizace věnovaly nemalé finanční a lidské zdroje do implementace povinností, které GDPR zavádí v oblasti zpracování osobních údajů. Bez ohledu na to, zda investice přesáhly statisíce korun nebo opatření související s implementací GDPR byla minimální, 25. květnem 2018 nic neskončilo, spíše začalo.
Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Česká republika k tomu dodává: „Byť GDPR není prvním předpisem, který upravuje ochranu osobních údajů, některé otázky se stále opakují, zejména ohledně toho, co je a co není zpracování osobních údajů. Pro mnohé je jazyk GDPR nesrozumitelný, jen těžce se jim hledají jeho dopady do každodenní firemní praxe. Někteří spatřují v ochraně osobních údajů nepotřebnou byrokracii, a proto ji věnují pozornost jen v nejnutnější míře. Bohužel nespatřují v ochraně osobních údajů, a tedy v ochraně soukromí jednotlivců, hodnotu, která požívá obecně respekt a která si zaslouží pozornost a péči. Vysoké pokuty na tom změní jen málo.“
A Pomaizlová doplňuje: „Každodenně můžeme narazit na základní chyby v oblasti zpracování osobních údajů. Mezi nejčastější stále vyskytující se chyby patří vynucování souhlasu se zpracováním osobních údajů tím, že e-shop odmítá přijmout objednávku, pokud zákazník nezaškrtne souhlas se zpracováním osobních údajů. Některé e-shopy tento souhlas nahrazují vynuceným potvrzením zákazníka, že se seznámil s informací o ochraně osobních údajů.“ Některé e-shopy dosud nemají transparentní informaci o tom, které osobní údaje zpracovávají a za jakým účelem. Případně, pokud informace o zpracování osobních údajů na svých webových stránkách uvádějí, pak neobsahují jasnou a srozumitelnou informaci, ale pouze všeobecné konstatování ve stylu „zpracováváme vaše osobní údaje za účelem plnění smlouvy, marketingu a splnění právních povinností“. Dalším problémem je absence jasných komunikačních kanálů pro uplatnění práv subjektů údajů, zejména pokud chtějí odvolat svůj souhlas se zpracováním osobních údajů nebo požadují výmaz svých osobních údajů, které již nejsou potřebné, ani pro uplatnění práva na informace o tom, jaké osobní údaje, za jakým účelem konkrétní osobní údaje správce zpracovává. Zejména e-shopy a mobilní aplikace nemají jasně propracovaný způsob zrušení registrace a s tím související výmaz zpracovávaných osobních údajů. V neposlední řadě firmy využívají moderní digitální technologie, jako je podpis smluv mimo hlavní provozovnu prostřednictvím elektronického zařízení, které zaznamenává nejen podpis, ale i biometrické údaje s tím spojené (tlak na pero, sklon pera), aniž by zákazníka řádně informovaly o rizicích s tím spojených, daly jim na výběr a vyžádaly si výslovný souhlas se zpracováním jejich biometrických údajů. Dále jde o nepřiměřené sledování zaměstnanců užívajících služební automobily pomocí nových aplikací sledující jízdy pomocí GPS systému a umožňující elektronické vedení knihy jízd. V neposlední řadě je nyní aktuální skandál s aplikací FaceApp, která poskytuje služby subjektům, které se nachází na území Evropské unie a vysála fotografie z tisíců mobilních telefonů uživatelů, kteří si v dobré víře tuto aplikaci nainstalovali, a která nerespektuje základní zásady GDPR.
Proč je implementace GDPR náročný a nikdy nekončící proces? A Pomaizlová uvádí: „Jednak je to tím, že na splnění povinností dle GDPR neexistuje jeden univerzální návod. GDPR je založen na řízení rizik a na stanovení základních zásad tak, aby byly použitelné napříč veškerým spektrem možného zpracování osobních údajů pro jiné než pro osobní/soukromé účely. Univerzalita GDPR ale v praxi klade vysoké nároky na všechny správce a zpracovatele osobních údajů, protože musí převzít zodpovědnost za korektní zpracování osobních údajů. Často neexistuje jen jedna správná nebo ideální odpověď na konkrétní situaci z praxe. Každý podnik je jiný, zpracovává odlišné osobní údaje, za odlišnými účely, odlišnými způsoby.“ GDPR stanoví pouze obecné zásady, velká část zpracování zejména v oblasti personalistiky vyplývá z dalších právních předpisů (Zákoník práce, daňové právní předpisy, zákon o veřejném zdravotním pojištění, o archivnictví atd.) a GDPR je nutno implementovat v kontextu těchto právních předpisů, minimálně co se týče identifikace procesů zpracování v záznamech o zpracování podle článku 30 GDPR.
Dalšími důvody jsou vývoj techniky, odhalená porušení zabezpečení osobních údajů, změna právních předpisů, to je jen několik důvodů, proč je třeba dodržování pravidel GDPR věnovat stálou pozornost a nastavení pravidel a zabezpečení neustále aktualizovat. V rámci kontinuálního plnění povinností podle GDPR pak i dále bude na místě aktualizovat a dále do detailu propracovávat procesy zpracování osobních údajů; zpracování interních směrnic a jejich další aktualizace, průběžné vyhodnocování rizik spojených se zpracováním osobních údajů (balanční testy, DPIA), školení a v neposlední řadě kontrola dodržování a vymáhání dodržování stanovených pravidel (postihy, nápravná opatření, nová školení).
Od účinnosti GDPR již dozorové úřady přijaly několik prvoinstančních rozhodnutí o porušení GDPR a udělení pokut. Tato rozhodnutí mohou být vodítkem k další interpretaci GDPR a jeho aplikaci v praxi.
TaylorWessing e|n|w|c advokáti v.o.s.
U Prašné brány 1078/1
110 00 Praha 1
Tel.: +420 224 819 216
e-mail: prag@taylorwessing.com
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz