Přehled vývoje právní úpravy ochrany osobních údajů

Z kontrolní činnosti ÚOOÚ


+    Vyžadování souhlasu se zpracováním osobních údajů


ÚOOÚ provedl kontrolu jednoho z mobilních operátorů. Stěžovatelé úřad uvědomili o tom, že prostředí jeho elektronické aplikace je nastaveno tak, že přístup klienta ke službám je podmíněn udělením souhlasu se zpracováním osobních údajů, který musel klient udělit okamžitě – navíc aplikace nenabízela ani možnost neudělení souhlasu. Ukázalo se, že operátor předložil svým klientům k podpisu nový formulář souhlasu pro účely dosažení souladu s GDPR. Tento formulář operátor předkládal klientům již od února 2018, proto vznikla situace, že někteří klienti měli podepsané dva souhlasy, a proto jeden z nich odvolávali. Pokud se rozhodli odvolat souhlas souladný s GDPR ještě před jeho účinností, operátor jim to neumožnil s tím, že to bude možné až za účinnosti GDPR. Tento postup shledal ÚOOÚ jako chybný s tím, že souhlas má subjekt údajů právo odvolat kdykoli.


 

+    Aktualizace zpracovávaných osobních údajů


Úřad provedl kontrolu společnosti Mladá fronta, a.s., která na webovém portálu rejstriky.finance.cz nabízí uživatelům informace o právnických a fyzických podnikajících osobách shromážděných z veřejných rejstříků vedených příslušnými úřady ČR. Společnost Mladá fronta, a.s. se mj. dopustila porušení čl. 5 odst. 1 písm. d) GDPR, podle kterého musí být zpracovávané osobní údaje přesné a v případě potřeby aktualizované. Společnost totiž na svém webovém portálu uchovávala také informace o podnikatelích, jejichž živnostenské oprávnění již zaniklo a informace o nich podle zákona již byly zařazeny do neveřejné části živnostenského rejstříku. Proto bylo společnosti Mladá fronta, a.s. uloženo přijmout vhodná opatření k zajištění pravidelné aktualizace zdrojové databáze podnikatelů a s ohledem na další kontrolní závěry bylo zároveň zahájeno správní řízení o uložení pokuty.


 

Z dalších členských států EU

+    Vysoká pokuta za netransparentní zpracování


Francouzský úřad na ochranu osobních údajů (CNIL) udělil počátkem roku 2019 pokutu ve výši 50 milionů EUR společnosti Google. Ta se měla dopustit dvou porušení právních předpisů ve vztahu k osobním údajům. Uživatelé Googlem provozovaného operačního systému Android podle CNIL neměli dostatečně snadno dostupné informace o tom, jak firma jejich osobní údaje využívá. Společnost Google také podle CNIL nezískává od uživatelů informovaný a jednoznačný souhlas, když informace o využívání dat uživatelů k personalizaci reklam jsou rozloženy do několika dokumentů a uživatel si tak nemůže udělat přesnou představu o rozsahu dat, která o něm Google zpracovává. Navíc v uživatelském nastavení účtu je předem zaškrtnut souhlas uživatele se zobrazováním personalizované reklamy, což je podle CNIL také špatně. Aby byl souhlas jednoznačný, musel by jej uživatel sám zaškrtnout.


 

+    DIČ jako osobní údaj


Právě daňové identifikační číslo vyhodnotil Soudní dvůr EU jako osobní údaj ve světle GDPR (rozsudek ve věci C-497/17 Deutsche Post AG v. Hauptzollamt Köln). V projednávaném případě německý celní orgán požadoval sdělení DIČ funkcionářů Deutsche Post AG. Soudní dvůr EU je toho názoru, že DIČ je již svou povahou daňový údaj, který se vztahuje k identifikované nebo identifikovatelné fyzické osobě, a tudíž osobním údajem. Na základě toho poté Soudní dvůr EU dospěl k závěru, že celní orgány mohou požadovat od žadatele o status oprávněného hospodářského subjektu (podle Celního kodexu EU) sdělení DIČ přidělených pro účely výběru daně z příjmu pouze u fyzických osob, které jsou pověřeny vedením žadatele nebo vykonávají kontrolu nad jeho řízením, a těch, které jsou odpovědné za jeho celní záležitosti, za předpokladu, že tyto údaje umožňují těmto orgánům získat informace o závažných nebo opakovaných porušeních celních nebo daňových předpisů nebo o závažných trestných činech, kterých se dopustily tyto fyzické osoby v souvislosti s jejich hospodářskou činností.


 

+    Odpovědnost za osobní údaje


V nedávném rozsudku Soudní dvůr EU (ve věci C-40/17 Fashion ID GmbH & Co.KG v. Verbraucherzentrale NRW eV) uzavřel, že provozovatel internetových stránek, na kterých se nachází tlačítko Facebooku „to se mi líbí“, může být společně se společností Facebook považován za správce ve vztahu ke sběru osobních údajů návštěvníků jeho internetových stránek a jejich přenosu společnosti Facebook. Je to dáno tím, že propojení obchodníka s Facebookem se jeví jako obchodní výhoda a obchodník souhlasil, přinejmenším implicitně, se sběrem a přenosem osobních údajů návštěvníků jeho stránek společnosti Facebook (tyto operace zpracování se tak zřejmě uskutečňovaly v hospodářském zájmu jak obchodníka, tak Facebooku, který těmito údaji může disponovat pro své vlastní obchodní účely). Naopak není v zásadě odpovědným za následně zpracování těchto údajů samotnou společností Facebook.


  

+    Zpráva Evropské komise o GDPR


Na konci července 2019 publikovala Evropská komise zprávu o dopadu pravidel EU na ochranu osobních údajů. Zpráva dochází k závěru, že většina členských států (vč. ČR) zavedla nezbytný právní rámec a že nový systém působí tak, jak bylo zamýšleno, práce na něm však stále musí pokračovat. Podle Komise se podařilo zejména zvýšit bezpečnost osobních údajů. Podniky přizpůsobují své postupy, státní orgány pro ochranu osobních údajů získaly silnější úlohu.


 

+    Zákon o zpracování osobních údajů


Nový zákon č. 110/2019 Sb., o zpracování osobních údajů byl přijat v rámci adaptace GDPR do českého právního řádu. Zákon je účinný od 24. 4. 2019, kdy nahradil dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů. Vedle zákona, který větší změny v praktických důsledcích pro nakládání s osobními údaji, zdá se, nepřináší, zůstává přímo použitelným také samotné GDPR. Významnější změnu však představuje stanovení nulových sankcí za porušení GDPR orgány veřejné moci a veřejnými subjekty. Přesto i tyto orgány může ÚOOÚ upozornit na to, že případné zpracování odporuje GDPR a udělit jim napomenutí nebo mu nařídit provedení nápravy, pokutu jim však udělit nemůže. Na druhou stranu, těmto institucím hrozí i možný postih trestněprávní, podle českého trestního zákoníku a poškození občané (jako subjekty údajů) se mohou po orgánech veřejné moci domáhat případného odškodnění cestou občanskoprávní.


 

V případě konkrétních dotazů se na nás neváhejte obrátit.

 

O dalších novinkách ze světa ochrany osobních údajů Vás budeme informovat.