Předávání osobních údajů mezi EU a USA se zjednodušuje
Život se zjednoduší pro každého, kdo využívá americké nástroje, jako jsou například Facebook, Mailchimp nebo má obchodní partnery v USA. Dne 10. července 2023 Evropská komise přijala Rozhodnutí o odpovídající ochraně poskytované rámcem EU–USA pro ochranu údajů ("Rozhodnutí"). Tímto krokem je ukončeno období, během něhož byla otázka transatlantického datového toku řešena zejména prostřednictvím standardních smluvních doložek a závazných podnikových pravidel.
Mohlo by vás zajímat: TOP 30 pojišťovacích makléřů za rok 2022 v Česku dle oPojištění.cz
Z pohledu evropského správce údajů má klíčový význam seznam tzv. certifikovaných společností, které lze považovat za bezpečné příjemce osobních údajů. Tento seznam lze nalézt ZDE. V případě předávání dat společnostem, které se na seznamu nenacházejí, budou stále vyžadována další opatření k zajištění bezpečného předání dat. Evropský správce nebo zpracovatel by zároveň neměl zapomínat, že bez ohledu na to, zda má přijímající společnost certifikaci či nikoli, je naprosto zásadní, aby zpracování osobních údajů bylo v souladu s Obecným nařízením o ochraně osobních údajů ("GDPR").
Rozhodnutím vytvořený rámec přináší přísnější omezení přístupu amerických zpravodajských služeb k evropským osobním údajům a subjekty údajů budou moci napadnout nesprávné zacházení s jejich údaji ze strany amerických společností před nezávislým soudem.
Na závěr je však důležité poznamenat, že nad Rozhodnutím stále visí možný stín dalšího právního sporu. Kritici Rozhodnutí tvrdí, že nová opatření nedostatečně adresují výhrady, které vedly k zrušení tzv. Privacy Shieldu. Kontroverzi Rozhodnutí ilustruje i skutečnost, že ani ne 2 měsíce po jeho přijetí, již byla k SDEU podána stížnost, kterou se francouzský poslanec Philippe Latombe domáhá jeho zrušení.
Mohlo by vás zajímat: Zlepšení prognózy vývoje německého pojišťovnictví
Může antimonopolní úřad posuzovat otázky ochrany osobních údajů?
Začátek léta přinesl závěr soudního procesu, který se týkal Meta Platforms Ireland a zkoumal interakci mezi soutěžním právem a ochranou osobních údajů. Německý spolkový úřad pro hospodářskou soutěž zakázal Meta Platforms Ireland zpracovávat určité osobní údaje bez souhlasu dotčených subjektů údajů. Toto rozhodnutí bylo odůvodněno nedostatečným dodržováním pravidel GDPR a obavami z potenciálního zneužití dominantního postavení Meta na německém trhu sociálních sítí. Německý soud následně požádal Soudní dvůr Evropské unie („SDEU“) o stanovisko k otázce, zda národní orgány dohledu nad hospodářskou soutěží mohou posuzovat soulad zpracování osobních údajů s požadavky GDPR.
Mohlo by vás zajímat: ČAP Insurance talk: U mikrofonu Maciej Galant
SDEU rozsudkem sp. zn. C-252/21 ze dne 4. července 2023 potvrdil, že při posuzování otázky zneužití dominantního postavení je legitimní, aby orgány pro hospodářskou soutěž braly v úvahu i další právní normy, včetně GDPR. Toto posuzování ale nesmí nahrazovat pravomoci dozorových úřadů, které mají pravomoc v oblasti ochrany osobních údajů. Posuzování dodržování GDPR je zde tedy omezeno na účely zjištění možného zneužití dominantního postavení a provádění opatření v souladu s pravidly hospodářské soutěže.
Dominantní postavení provozovatele sociální sítě na trhu zároveň nebrání uživatelům v tom, aby dávali platný souhlas se zpracováním osobních údajů v souladu s GDPR. Nicméně toto postavení může ovlivnit volbu uživatelů, a proto vyžaduje pečlivé posouzení platnosti souhlasu s důrazem na svobodu rozhodnutí jednotlivce.
SDEU také poskytl vyjádření k samotnému zpracování osobních údajů společností Meta Platforms Ireland a jejich souladu s pravidly GDPR. Mimo jiné upřesnil interpretaci článku 6 odst. 1 písm. b) (zpracování osobních údajů nezbytných pro splnění smlouvy) a článku 9 odst. 2 písm. e) GDPR (zpracování osobních údajů zvláštní kategorie, které byly zjevně zveřejněny subjektem údajů).
Mohlo by vás zajímat: 2Q 2023: Lloyd´s má zisk před zdaněním 3,9 mld. £. Daří se i Prudential plc
Rozhodnutí nakonec vedlo k částečné změně politiky ochrany osobních údajů ve společnosti Meta. Dne 1. srpna 2023 Meta oznámila, že bude požadovat souhlas uživatelů se zpracováním jejich osobních údajů pro vysoce behaviorální reklamy, které jsou cílené na základě interakce uživatelů s aplikacemi společnosti jak na platformách Facebook a Instagram, tak mimo ni. Tato změna by měla být implementována v říjnu 2023, a to po více než ročním úsilí společnosti Meta argumentovat jinými důvody pro zpracování osobních údajů a po pokutě ve výši přes 390 milionů EUR, kterou společnost obdržela v lednu tohoto roku.
ÚOOÚ mění strategii v postihu cookies, od začátku roku rozdal pokuty na 4,5 milionů Kč
V České republice již více než rok a půl platí princip opt-in při využívání souborů cookies. Úřad pro ochranu osobních údajů (“ÚOOÚ”) nyní ve své tiskové zprávě zdůraznil, že tento časový úsek byl dostatečný pro to, aby provozovatelé webových stránek uvedli pravidla týkající se souborů cookies do souladu s novými, jasnějšími právními předpisy. V duchu této myšlenky ÚOOÚ v tomto roce opustil strategii zasílání vytýkacích dopisů a přikročil k udělování pokut. Celková výše pokut uložených ÚOOÚ od začátku tohoto roku ÚOOÚ za nesprávné zacházení s osobními údaji při využívání souborů cookies dosáhla 4 443 000 Kč, přičemž největší udělená pokuta činila 898 000 Kč.
Mohlo by vás zajímat: Jaké jsou základní trendy vztahující se k riziku vzniku požárů?
Mezi nejčastější důvody uložení pokuty patřilo ukládání souborů cookies bez předchozího souhlasu, nedostatečný souhlas se zpracováním osobních údajů nebo použití klamavého designu, který návštěvníky manipuloval k udělení souhlasu. Podrobnou zprávu ÚOOÚ naleznete ZDE
Komentáře
Přidat komentář