Chyby a problémy ve vztahu k obecnému nařízení o ochraně osobních údajů z pohledu dozorového úřadu PhDr. Miroslava Matoušová Praha, 11. června 201

Část I Staré chyby

7 loňských chyb Jmenování pověřence pro ochranu osobních údajů „na radu“ Neznalost základního pojmu, jímž je zpracování os. údajů ** Nákup řešení, za něž zhotovitel nenese odpovědnost Nadřazení informačních technologií + zúžené vnímání rizik Nesprávné „čtení“ problému („únik osobních údajů“) Nesprávné a zavádějící informace pro subjekty údajů *** Odcizené „zavádění GDPR“

Pojem zpracování definice: jakákoliv operace nebo soubor operací s osob-ními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení zpracování sleduje nějaký účel

Pojem zpracování 2 Systematičnost daná určením účelu a prostředků zpracování (funkčnost SW) Ne každé nakládání s os. údaji je jejich zpracováním důsledky pro chápání povinnosti podle čl. 33 vliv na rozsah povinností podle čl. 15 - 21 Definice v § 4 zák. č. 101/2000 Sb., čl. 2 směrnice 95/46/ES a čl. 4 ON NSS 9 Aps 5/2012 Jiná právní úprava (povinnosti, práva): občanský zákoník, trestní zákoník, předpisy zakotvující mlčenlivost (zák. č. 372/2011 Sb. a zák. č. 373/3011 Sb.)

Účel zpracování Tytéž údaje mohou být zpracovány současně k více účelům (x zpracování pro jiný účel, samostatná zpracování) přiměřená granularita účelů a „samostatných“ zpracování Deklarace účelu má odpovídat praxi správce, ne být citací právního základu podle čl. 6(1) záznamy podle čl. 30 informace pro subjekty údajů podle čl. 13 a 14) Promítnutí účelu do čl. 6(1) Demonstrace na příkladu biometriky

Nesprávné a zavádějící informace pro subjekty údajů „Stará“ chyba č. 7 Nesprávné a zavádějící informace pro subjekty údajů

Transparentnost vůči subjektu údajů GDPR ukládá správci poskytnout subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednodu-chých jazykových prostředků veškeré informace o jeho právech ve vztahu k správci podávajícímu informace. Nepřiměřeně obecná konstatování a vysloveně věcně nesprávné informace mohou být úspěšně napadeny. Za toto porušení může být podle článku 83 odst. 5 písm. b) GDPR uložena sankce v horní sazbě

Informace podle čl. 13 a 14: poznatky z průzkumu odkaz na ON jako na výlučný právní předpis (chybné: žádný z povinných správců podle čl. 37(1)a) nezpracovává os. údaje pouze na základě ON → nesoulad s čl. 39 odst. 1 písm. a) a b) ) Informace koncipovány jako opis ON (někde vč. prostého odkazu na „zákon“), méně často jako aplikace Nepřiměřeně obecná konstatování (zpracovává osobní údaje pouze po dobu trvání právního vztahu k ní a po nezbytnou dobu po jeho skončení pro splnění účelů evidenčních, kontrolních, statistických, archivních a pro účely vědeckého a historického výzkumu) Věcné chyby/nepravdy (získává osobní údaje přímo od subjektu údajů; používání souhlasu subjektu údajů (titul podle čl. 6 odst. 1 písm. a) v situaci, kdy je na místě titul podle písm. e), příp. b))

Souhlas se zpracováním Vyžadování souhlasu se zpracováním podle čl. 6 odst. 1 písm. a) GDPR v případě, že je pro zpracování jiný právní důvod, je současně porušením povinnosti podmínek vyjádření souhlasu podle čl. 7 a zásady transparentnosti podle čl. 12 GDPR § 66 odst. 7 zák. č. 110/2019 Sb.: Souhlas subjektu údajů udělený podle zák. č. 101/2000 Sb. se považuje za souhlas podle ON, ledaže způsob jeho udělení nebyl v souladu s ON.

Problémy nové: adaptační zákony Část 2 Problémy nové: adaptační zákony

Působnost zákona č. 110/2019 Sb., o zpracování osobních údajů (§ 2) a) zpracování osobních údajů podle nařízení 2016/679, b) zpracování příslušnými orgány za účelem předcházení, vyhledávání, odhalování trestné činnosti, stíhání tr. činů, výkonu trestů a ochran-ných opatření, zajišťování bezpečnosti ČR nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, vč. pátrání po osobách a věcech, c) zpracování při zajišťování obranných a bezpečnostních zájmů ČR, d) další zpracování os. údajů, které mají být/jsou zařazeny do evidence nebo jejichž zpracování probíhá automatizovaně, nejde-li o zpracování fyzickou osobou při výlučně osobních/domácích činnostech e) postavení a pravomoc Úřadu pro ochranu osobních údajů

Adaptace GDPR Hlava II. Způsobilost dítěte pro souhlas v souvislosti s nabídkou služeb informační společnosti - 15 let (§ 7) Jmenování pověřence pro ochranu osobních údajů orgány veřejné moci a orgány zřízenými zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu (§ 14) Zpracování za účelem vědeckého nebo historického výzkumu a statistické účely (§ 16) Zpracování pro novinářské účely nebo účely akademického, uměleckého nebo literárního projevu (§ 17 - § 23) Omezení některých práv subjektu údajů a povinností správců Ochrana zdroje a obsahu informací

Adaptace GDPR 2 Hlava V. : Úřad pro ochranu osobních údajů mj. činnosti Úřadu podle ON (výluka pro dozor nad soudy a státními zastupitelstvími v činnosti podle hl. III.) oprávnění pro přístup k informacím, mlčenlivost zaměstnanců Hlava VI.: přestupky Přebírá se úprava ze zák. 101/2000 Sb., která vynucuje zákazy zveřejňování stanovené např. § 8a až 8d trestního řádu vůči fyzickým osobám (§ 61) Stanoví se , že porušení nařízení uvedená v čl. 83 odst. 4 až 6 jsou přestupky (předpisy o správním trestání) Upouští od uložení správního trestu veřejnoprávním entitám ! Horní hranice pokut podle GDPR není dotčena!

Implementace trestněprávní směrnice Hlava III.: Spravujícím orgánem se rozumí orgán veřejné moci příslušný k plnění úkolů v trestněprávní oblasti, který není zpravodajskou službou nebo obecní policií Některé povinnosti spravujícího orgánu jsou upraveny jinak než povinnosti správce podle GDPR Např. čl. 12 odst. 3 GDPR možnost odložení odpovědi na žádost subjektu údajů celkem až na 3 měsíce, se zdůvodněním odkladu § 30 zákona o zpracování osobních údajů – povinnost spravujícího orgánu odpovědět nejdéle do 60 dnů Hlava V. (Úřad) Hlava VI. (přestupky): horní hranice pokut ze zák. 101/2000 Sb. (10 mil. Kč) přejata pro řestupky podle hlavy III. („spravující orgány“)

Hlava IV. zajišťování obranných a bezpečnostních zájmů ČR Ustanovení této hlavy se použijí při zpracování osobních údajů k zajišťování obranných a bezpečnostních zájmů ČR, pokud jiný právní předpis nestanoví jinak. úprava převzata z obecné úpravy ve zrušeném zák. č. 101/2000 Sb. s tím, že jiný právní předpis většinou jinak stanoví (např. zákon č. 153/1994 Sb., o zpravodajských službách, č. 154/1994 Sb., o Bezpečnostní informační službě) Ani ustanovení této hlavy, např. povinnost mlčenlivosti zaměstnanců podle § 47 nelze aplikovat „podle“ GDPR; správce podléhající GDPR musí přijmout opatření podle článku 32(4) GDPR.

Působnost hlavy II (§ 4) (1) Ustanovení této hlavy se použijí při zpracování osobních údajů podle obecného nařízení (2016/679). (2) Ustanovení této hlavy a obecného nařízení se použijí i při zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence, a při zpracování osobních údajů, které probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností, a) při výkonu činností, které nespadají do oblasti působnosti práva EU nebo do působnosti hlavy III nebo IV, nebo b) při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii.

Vztah mezi § 5 a § 10 Vztah mezi právním základem v existujících předpisech (oprávněním ke zpracování) a posouzením vlivu na zpracování (výjimkou z povinnosti posouzení provádět): § 5 poskytuje základ pro (výkon) určitého zpracování § 10 liberuje správce z povinnosti pouze za předpokladu, že právní předpis výslovně ukládá určité zpracování provést.

Zpracování os. údajů při plnění povin-nosti nebo výkonu působnosti (§ 5) Správce je oprávněn zpracovávat osobní údaje, pokud je to nezbytné pro splnění a) povinnosti, která je správci uložena, nebo b) úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Pravomoci správců se nerozšiřují, pouze se zajišťuje, že tam, kde plní úkoly na základě zákonné povinnosti nebo z důvodu veřejného zájmu, nejsou zbaveni možnosti zpracovávat osobní údaje. Omezení pro zpracování osobních údajů v platných předpisech nejsou dotčena, zpracování musí být v mezích těchto právních předpisů.

Posouzení vlivu (§ 10) Provádí možnost danou čl. 35(10) ON. Pokud právní předpis ukládá povinnost, jejíž součástí je i zpracování osobních údajů, nemusí správce provádět posouzení vlivu na ochranu os. údajů, protože by to nemohlo vést k nesplnění uložené povinnosti. Staví na jisto, že se povinnost nevztahuje ani na zpracování povinná podle předpisů přijatých před účinností nařízení. Posouzení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů je od 14. listopadu 2012 s účinností od 1. ledna 2013 standardní součástí návrhu věcného záměru, důvodové zprávy/odůvodnění zákona nařízení vlády a vyhlášky podle Legislativních pravidel vlády.

Rodné číslo Rozšíření právních titulů pro využívání: § 13c zák. č. 133/2000 Sb.: a) jde-li o činnost ministerstev, jiných správních úřadů, orgánů pově-řených výkonem státní správy, soudů, vyplývající z jejich /…/ působnosti, nebo notářů pro vedení Centrální evidence závětí, b) stanoví-li tak zvláštní zákon, c) pokud je to nezbytné pro vymáhání soukromoprávních nároků nebo pro předcházení vzniku nesplácených pohledávek, jsou-li přijata konkrétní opatření k ochraně práv a svobod subjektu údajů, která odpovídají stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob, d) se souhlasem nositele rodného čísla/jeho zákonného zástupce.

Rodné číslo 2 Opatření k ochraně práv/svobod subjektu úd. mohou zahrnovat zejm.: - opatření zaměřená na důsledné uplatnění povinnosti podle čl. 5(1)c) ON (rozsah), - pořizování přístupových logů, které umožní určit a ověřit totožnost osoby provádějící operaci, a uchovávání záznamů nejm. 2 r. od provedení operace, - informování osob zpracovávajících osobní údaje o povinnostech při ochraně, - jmenování pověřence, - zvláštní omezení přístupu k osobním údajům u správce/zpracovatele, - pseudonymizaci a šifrování osobních údajů, - opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování; opatření umožňující obnovení dostupnosti v případě incidentů, - pravidelné testování, posuzování a hodnocení účinnosti zavedených opatření pro zajištění bezpečnosti zpracování, nebo k) zvláštní omezení přenosu osobních údajů do třetí země.

Vymáhání souladu s GDPR Část 3 Vymáhání souladu s GDPR

Vymáhání souladu v EU 25. 5. 2018 – 30. 4. 2019 (za 27 ČS): 294 148 zahájených případů (113 530 uzavřeno) 391 uložených pokut (62 487 490 EUR) 446 přeshraničních případů: 205x využit mechanismus jednotnosti, 63% uzavřeno 144,000 dotazů a stížností > 89 000 ohlášených případů porušení zabezpečení osobních údajů 25. 5. 2018 – 30. 4. 2019 (za 27 ČS):

Vymáhání souladu v ČR 2 25. 5. 2018 – 24. 5. 2019: 38 ukončených kontrol (v 16 zjištěno porušení zákona o ochraně osobních údajů), 23 kontrol probíhá 8 uložených pokut za porušení GDPR (370 000 Kč): marketingová a zprostředkovatelská firma, banka, podnikatelský subjekt, otevřený webový registr, půjčovna aut nezabezpečení smluv s osobními údaji klientů, zveřejňování seznamu s osobními údaji na internetu, únik databáze hráčů on-line hry, nevyřízení žádostí o přístup k osobním údajům, zpracování osobních údajů po lhůtě stanovené pro likvidaci

Vymáhání souladu v ČR: stížnosti a podněty 25. 5. 2018 – 22. 5. 2019: 3 851 stížností, podnětů a dotazů (160%). Stížnosti na: získávání souhlasu (opakované získávání souhlasu) nerespektování práv subjektů údajů obchodní sdělení (není podle GDPR) a zvl. telemarketing (stálé téma ve správním trestání) zveřejnění osobních údajů na internetu bez právního důvodu (obecně, sociální sítě, klony veřejných rejstříků) – často mimo působnost Úřadu kamery na obydlí, u podnikatelů, vč. sledování vlastních zaměstnanců 423 případů na základě stížnosti (389 ukončeno), 23 případů na základě čl. 33, 254 případů na základě přímých i nepřímých podnětů

Ohlašování porušení zabezpečení osobních údajů (čl. 33) Evidováno 390 ohlášení Mnohdy nedodržovány náležitosti ohlášení, zejm. co se týče pravděpodobných důsledků a popisu přijatých opatření Deklarované příčiny porušení: úmyslné zneužití údajů zaměstnancem neoprávněný přístup do počítačového systému chyba techniky či softwaru lidské selhání Smyslem povinnosti není za každé porušení udělit pokutu Ohlašovatele Úřad nesděluje veřejnosti.

Stíhaná porušení(EU): lokální případy DE: 09/2018 SA LfDI Baden-Württemberg € 20 000 za porušení čl. 32 provozovateli německé sociální sítě po ohlášeném porušení zabezpečení (nešifrované os. údaje 330 000 uživatelů - e-mailové adresy a hesla) AT: 09/2018 € 5 280 provozovateli sportovní sázkové kavárny a „kamerového systému“ za porušení čl. 5(1)a) a c) a čl. 6(1) ON + ust. rakouského zák. (DSG): zabírány veřejné ulice a parkoviště chybějící logy a informace a uchovávání záznamů děle než 72 hod. (napadeno u soudu) BE: 05/2019 € 2 000 za zneužití osobních údajů pro volební účely XX: zahajují případ nejmenování pověřence pro ochranu osobních údajů

Stíhaná porušení (EU): přeshraniční případy Výkon práv subjektu údajů: právo na přístup, trvalý výmaz, souhlas se zpracováním Transparentnost vůči subjektu údajů: informační dokumenty, obchodní podmínky a často kladené otázky Chybějící právní základ zpracování osobních údajů (čl. 6 ON) Ohlášená i neohlášená porušení zabezpečení ochrany osobních údajů

Další aktuální informace na www.uoou.cz https://www.uoou.cz/ https://gdpr.uoou.cz/