Požadavky na zabezpečení dat dle GDPR
Klíčovým bodem pro zajištění souladu zpracování osobních údajů s požadavky GDPR je odpovídající zabezpečení osobních údajů. GDPR však neposkytuje žádné konkrétní návody, jak takového stupně zabezpečení dosáhnout.
Dle čl. 32 GDPR platí, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provede každý správce vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, a to zejména tak, že zajistí:
- pseudonymizaci[1] a šifrování osobních údajů;
- schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
- schopnost obnovit dostupnost osobních údajů a včasný přístup k nim v případě, že dojde k fyzickým či technickým bezpečnostním incidentům;
- procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Bohužel ani GDPR ani příslušná výkladová stanoviska (jako např. stanoviska publikovaná pracovní skupinou WP29) nedávají žádný návod, jak by výše uvedené požadavky měly být technicky splněny. Je proto nutné, aby každý správce (zpracovatel) osobních údajů byl osobně zodpovědný za zajištění odpovídajícího zabezpečení dat nezávisle na tom, jakým způsobem bude zabezpečení dosaženo.
Porušení zabezpečení osobních údajů
Porušení zabezpečení osobních údajů je definováno v čl. 4 odst. 12 GDPR jako porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Jelikož porušení ochrany osobních údajů bude pro správce s největší pravděpodobností představovat značně stresovou situaci, je vhodné, aby správci většího množství osobních údajů měli vypracovaný nouzový plán pro případ porušení ochrany osobních údajů, který by měl zahrnovat např. kontaktní údaje osob uvnitř organizace příslušných k řešení situace, postupy řešení, kontaktní údaje dozorových úřadů, které mají být uvědomněny, atd.
S porušením zabezpečení osobních údajů, které představuje riziko pro práva a svobody fyzických osob, spojuje GDPR ohlašovací povinnost dozorovému úřadu (čl. 33 GDPR), a v případě, že porušení osobních údajů představuje vysoké riziko pro práva a svobody fyzických osob, také povinnost informovat o tomto riziku subjekt údajů (čl. 34 GDPR).
Ohlašování porušení zabezpečení osobních údajů dozorovému úřadu
Jakékoli porušení zabezpečení osobních údajů, které představuje riziko pro práva a svobody fyzických osob, je správce povinen oznámit příslušnému dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů. Ohlášení by mělo být provedeno bez zbytečného odkladu a, je-li to možné, do 72 hodin od zjištění, že k porušení došlo. Pokud není ohlášení provedeno do 72 hodin, musí být současně s ním uvedeny důvody, proč k včasnému ohlášení nemohlo dojít.
Pro začátek běhu lhůty je rozhodující, kdy se správce dozvěděl o bezpečnostním incidentu. V některých případech bude velmi složité určit začátek této lhůty přesně[2], jelikož GDPR nespecifikuje, která z osob uvnitř správce se musí o incidentu dozvědět, aby lhůta mohla začít běžet – každý správce může příslušné zaměstnance stanovené jiným způsobem. Je proto nezbytné, aby každý správce identifikoval potencionální okruh zaměstnanců, u kterých je pravděpodobné, že by mohli odhalit bezpečností incident, a poučit je o tom, jak v takovém případě postupovat a komu hlásit informace o bezpečnostním incidentu, aby mohl správce splnit ohlašovací povinnost ve stanovené lhůtě.
GDPR v čl. 33 odst. 3 také stanoví podmínky, které musí každé hlášení dozorovému úřadu splňovat:
- popis povahy porušení údajů včetně informace, pokud je k dispozici, o kategoriích a přibližném počtu dotčených subjektů údajů a kategoriích a přibližném množství dotčených záznamů osobních údajů,
- jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiné kontaktní osoby, která může poskytnout bližší informace,
- popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
- popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Pokud není z jakéhokoli důvodů možné poskytnout informace uvedené v čl. 33 odst. 3 okamžitě a zároveň, mohou být poskytnuty i postupně, avšak bez zbytečného odkladu. Prvotní informace o porušení zabezpečení osobních údajů však musí být poskytnuta ve stanovené lhůtě.
Ohlašování porušení zabezpečení osobních údajů subjektu údajů
Jelikož porušení zabezpečení osobních údajů může mít negativní dopad na subjekty údajů, stanoví GDPR v čl. 34 povinnost pro správce ohlašovat případy porušení též subjektu údajů, pokud je pravděpodobné, že takové porušení osobních údajů subjektu bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Rozdíl mezi ohlašovací povinností dozorovému orgánu a ohlašovací povinností subjektu údajů tedy spočívá v závažnosti rizika. Subjekt údajů musí být informován, pokud porušení představuje vysoké riziko, zatímco dozorový úřad musí být informován vždy, pokud existuje jakékoli riziko. Co se týče podmínky vysokého rizika pro práva a svobody fyzických osob, tato podmínka zahrnuje závažné bezpečnostní incidenty, které by mohly narušit práva subjektu nebo působit diskriminačně. Jelikož v praxi takové bezpečnostní incidenty nejsou vyloučeny, je v zájmu správce takovým případům zabránit. GDPR za tímto účelem navrhuje mimo jiné bezpečnostní opatření uvedená výše, tj. např. pseudonymizaci a zašifrování osobních údajů.
[1] Pseudonymizace, jako jedno z hlavních bezpečnostních opatření, je definované v GDPR, konkrétně v čl. 4 odst. 5, jako zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření zajišťující, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě. Podstatou pseudonymizace je tedy dočasné funkční oddělení určité “podmnožiny údajů” od ostatních údajů, přičemž identifikace subjektu údajů je možná pouze pokud jsou tyto skupiny údajů použity společně.
Tabulka níže ukazuje příklad pseudonymizace, přičemž první řádek představuje kompletní osobní údaje, ze kterých je možné identifikovat subjekt údajů, ke kterému se údaje vztahují. Druhý řádek obsahuje příklad pseudonymizace v kombinaci se šifrováním, jelikož správce uložil jméno, příjmení a adresu subjektu údajů odděleně od zbývajících osobních údajů subjektu a navíc tyto údaje nahradil číselným kódem.
Jméno | Příjmení | Adresa | Věk | Vzdělání | Pozice | Měsíční příjem |
Jan | Novák | Ječná 1, Praha | 45 | VŠ | strojní inženýr | 45.000 Kč |
00001 | 45 | VŠ | strojní inženýr | 45.000 Kč |
Pseudonymizace a šifrování údajů jsou bezpečnostní opatření zaváděná GDPR, nikoliv však jako povinně. Jejich použití jako bezpečnostních opatření je tedy na rozhodnutí každého správce osobních údajů.
[2] K tomuto tématu se však již WP29 vyjadřovala např. zde ec.europa.eu/newsroom/document.cfm?doc_id=47741
Zákaz prodeje luxusního zboží na online tržištích v rozhodnutí SDEU
Dle poměrně zajímavého, a v mnoha ohledech přelomového, rozhodnutí Soudního dvora Evropské Unie z prosince minulého roku ve věci Coty mohou nyní dodavatelé luxusního zboží zakázat svým autorizovaným distributorům jeho prodej přes tzv. online tržiště.
Luxusní značky tedy již nadále nebudou moci být bez omezení prodávány na online platformách jako je Amazon, eBay, či české a slovenské Aukro (a Allegro v Polsku). Soudní dvůr tím aproboval dřívější názor generálního advokáta Wahla[1], když stanovil, že v systémech selektivní distribuce zboží je možné omezit prodeje na internetových tržnicích, pokud je to nutné k vzhledem k zachování luxusní povahy zboží.
Soudním dvorem byl rozhodován spor mezi společností Coty Germany GmbH, dodavatelem luxusních kosmetických výrobků, mezi jejíž vlajkové lodě patří kosmetika jako je Calvin Klein a Chloé, a německou společností Parfümerie Akzente GmbH, distributorem těchto výrobků na základě uzavřené smlouvy v systému selektivní distribuce. Selektivní distribuce ve zkratce znamená, že výrobky mohou na trhu dále prodávat pouze předem schválení, tedy tzv. autorizovaní, distributoři, kteří splňují celou řadu povinností a podmínek za účelem ochrany zachování definovaných standardů prodeje těchto výrobků.
Společnost Parfümerie Akzente GmbH prodávala luxusní výrobky nejen prostřednictvím sítě různých kamenných obchodů a butiků, ale i na portálu amazon.de. Dle Coty Germany GmbH tím však byly porušeny podmínky uzavřené distribuční smlouvy. Ta sice povolovala prodej na internetu, ale pouze při dodržení striktních podmínek. Konkrétně toto omezujíc a ze strany Parfümerie Akzente namítané ustanovení znělo: „distributor je oprávněn nabízet a prodávat výrobky na internetu, avšak může tak činit pouze pod podmínkou, že internetový prodej probíhá prostřednictvím ‚elektronické výkladní skříně‘ schválené prodejny“. Jedním z hlavních požadavků společnosti Coty Germany GmbH rovněž bylo zajištění ochrany luxusní povahy výrobků – způsob a forma online prodeje měla dostatečně zdůrazňovat a posilovat luxusní charakter značek a nemohla být prováděna pod jiným obchodním názvem nebo neschváleným třetím subjektem.
Parfümerie Akzente GmbH nesouhlasila s těmito podmínkami a odmítla zastavení distribuce na Amazonu, neboť tato jí generovala nemalý obrat. Coty Germany GmbH se tak žalobou u vnitrostátního soudu domáhala zákazu distribuce výrobků sporné značky prostřednictvím platformy „amazon.de“. Vnitrostátní soud žalobu zamítl s odůvodněním, že je smluvní ustanovení upravující online prodej zakazující prodej na amazan.de v rozporu s německým zákonem proti omezováním hospodářské soutěže. Odvolací soud Oberlandesgericht Frankfurt am Main se rozhodl přerušit řízení a položit Soudnímu dvoru ohledně případu několik předběžných otázek, především ohledně výkladu článku 101 SFEU a jeho aplikace.
SDEU následně rozhodl[2] takto:
Systém selektivní distribuce luxusních výrobků, jehož hlavním účelem je zajistit ochranu luxusní image těchto výrobků, je s ustanovením 101 odst. 1 SFEU v souladu, pokud jsou prodejci vybíráni na základě objektivních kritérií kvalitativní povahy, tato kritéria nejsou uplatňována diskriminačním způsobem, a pokud stanovená kritéria nepřekračují meze toho, co je nezbytné. Článek 101 odst. 1 SFEU musí být vykládán v tom smyslu, že nebrání předmětnému smluvnímu ustanovení o online prodeji, které zakazuje schváleným distributorům systému selektivní distribuce luxusních výrobků, aby k internetovému prodeji smluvních výrobků navenek viditelným způsobem využívali platforem třetích stran za účelem zajištění luxusní povahy uvedených výrobků, je stanoveno jednotně, není uplatňováno diskriminačním způsobem a je přiměřené sledovanému cíli. Článek 4 nařízení Komise (EU) č. 330/2010 ze dne 20. dubna 2010 o použití čl. 101 odst. 3 Smlouvy o fungování Evropské unie na kategorie vertikálních dohod a jednání ve vzájemné shodě musí být vykládán v tom smyslu, že za okolností vymezených v této věci nepředstavuje zákaz využívat k internetovému prodeji viditelným způsobem služeb třetích podniků ani omezení okruhu zákazníků ve smyslu tohoto nařízení, ani omezení pasivních prodejů konečným uživatelům ve smyslu uvedeného nařízení.
Výše zmíněný Rozsudek Soudního dvora znamená zajímavý přelom pro účastníky selektivních distribučních systémů, kteří prodávají výrobky na internetu. Rozsudek také řeší určité nejasnosti vyvolané předešlou judikaturou evropského soudu. Soudní dvůr nyní jasně řekl, že výrobci určitého zboží mají možnost omezit jeho prodej prostřednictvím online tržišť. Je však nutné zdůraznit, že tento závěr neplatí bezvýhradně a uplatní se pouze u zboží, jehož charakter vyžaduje selektivní distribuci (tedy zejména o luxusní nebo technologicky náročné výrobky, u nichž luxus, kvalita a správné používání jsou jedním z definičních znaků). Také bude nutné při praktické aplikaci tohoto rozsudku zvážit celou řasu dalších okolností, jako například stav distribuční sítě v konkrétní členské zemi EU, převažující formy prodeje, charakter internetových tržišť apod. Jinými slovy nelze mít za to, že tento rozsudek se do budoucna bude vztahovat na distribuci jakéhokoliv (byť i luxusního zboží) na všech on-line prodejních platformách.
[1] http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1507736908900&uri=CELEX:62016CC0230
[2] http://curia.europa.eu/juris/liste.jsf?num=C-230/16
GDPR: Pracovní skupina WP29 k souhlasům se zpracováním
16.2.2018
Nezařazené
Comments Off on GDPR: Pracovní skupina WP29 k souhlasům se zpracováním
Jaroslav Tajbr
Skupina WP29 vydala další vodítka k výkladu ustanovení, které přináší již brzy účinné (25.5.2018) Nařízení o ochraně osobních údajů (GDPR). Tentokrát se Working Party zaměřila na podrobnou interpretaci institutu souhlasu. Souhlas je jedním právních základů pro zpracovávání osobních údajů. Je třeba opakovaně uvést, že souhlas je z pohledu GDPR méně preferovaným právním základem pro zpracování, přičemž nařízení dává jasnou přednost zákonným důvodům jiným.
Definice souhlasu se zpracováním je obsažena v článku 4 odst. 11 GDPR: „Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“
Konkrétní prvky potřebné pro platnost souhlasu tedy jsou: svobodnost, určitost, informovanost, jednoznačnost. Working Party se vyjádřila k jednotlivým prvkům takto:
Svoboda udělení souhlasu – subjektům údajů musí být poskytnuta možnost skutečného výběru, rozhodnutí a následné kontroly nad uděleným souhlasem, jinak souhlas nebude platný. Pokud je nutné v rámci služby provádět více zpracování pro více účelů, je nutné udělit konkrétní souhlas vždy pro každou konkrétní operaci odděleně. „Generální“ souhlas pro více sloučených účelů zpracování by byl neplatný. Je nepřípustné, aby zpracování osobních údajů na základě souhlasu bylo určitou formou protislužby za plnění smlouvy. Potencionálním odmítnutím souhlasu nesmí subjekt údajů utrpět újmu, správce musí být vždy schopen prokázat, že služba umožňuje odvolat souhlas bez jakýchkoliv negativních důsledků. Pro zpracování osobních údajů veřejnými orgány nebo zaměstnavatelem by měly být téměř výlučně používány zákonné důvody.
Určitost souhlasu – určitost souhlasu má zajistit možnost kontroly a transparentnosti zpracování osobních údajů. Požadavek určitosti je naplněn, pokud je jasně stanoven účel zpracování, souhlas je udělován pro každou oddělenou operaci zvlášť a informace týkající se udělení souhlasu jsou zřetelně vymezeny od ostatních informací. Získání platného souhlasu musí předcházet stanovení určitého, výslovně vyjádřeného a legitimního účelu pro zamýšlené činnosti zpracování. V žádosti správce o souhlas k několika různým účelům by měly být dány samostatně na výběr možnosti (především udělení souhlasu odmítnout) pro každý jednotlivý účel.
Informovanost subjektu údajů – souhlas musí být informovaný. V praxi je vyžadováno několik náležitostí, aby souhlas tuto podmínku splňoval. Informace musí být podána o: totožnosti správce, účelu každé z operací zpracování, pro které je žádáno o souhlas, druhy údajů, které budou zpracovány, existence práva odvolat souhlas, informace o případném profilování, případné náležitosti při předávání informací. Seznámit se s informacemi nesmí být pro dotčený subjekt údajů nijak obtížné, sdělení musí být jasné, srozumitelné a pokud možno stručné. Neúplné, nepřesné nebo vůbec neposkytnuté informace mají za následek neplatnost udělení souhlasu.
Jednoznačnost souhlasu – z jednání dotčeného subjektu údajů musí být zcela zřejmé, že daný souhlas je jím udělen. Musí jít o aktivní konání subjektu, konkludentnost udělení je vyloučena. Z jednání také musí být zřejmé ke kterému konkrétnímu zpracování se vztahuje.
Specifická forma souhlasu, souhlas udělený elektronicky – v případě, kdy je souhlas se zpracováním udělován elektronicky, by takové udělení mělo být pro uživatele co nejméně zatěžující. Vzhledem k tomu, že mnoho digitálních služeb vyžaduje osobní údaje pro svou funkci, panuje obava, že neustálé udělování může vést k jisté míře tzv. „klikací únavy“. V praxi poté uživatel (potencionální subjekt údajů) souhlas dává instinktivně, bez toho, aby si byť jen částečně podmínky přečetl. Jedním z možných řešení nastíněných WP29 je získání souhlasu vycházející z nastavení prohlížeče.
GDPRochrana údajůosobní údajeWP29