GDPR po roku: aké sú ponaučenia a aké perspektívy?

Právne správy – jún 2019.

25. mája 2018 nadobudlo účinnosť všeobecné nariadenie o ochrane údajov.

Tento nový text priniesol množstvo zmien v obchodných praktikách, či už na úrovni ich vnútornej organizácie alebo kontaktov so zákazníkmi.

Hoci je ochrana údajov zakotvená v právnom rámci vo Francúzsku od roku 1978 a na európskej úrovni od roku 1995, toto nariadenie dalo nový impulz tomu, čo predstavuje ľudské právo aj ekonomickú otázku. A finančné sankcie stanovené v novom texte nie sú v tomto smere nové.

Aká je praktická situácia, pokiaľ ide o dodržiavanie predpisov, kroky CNIL a jej európskych partnerov?

Vo Francúzsku došlo k dramatickému nárastu sťažností, bezpečnostných oznámení a žiadostí o informácie adresovaných CNIL. Koncom mája dozorný orgán zverejnil štatistickú správu o prvom roku, v ktorej uviedol viac ako 11 900 sťažností (+30 %) a 2 044 oznámení o porušení ochrany údajov. CNIL tiež pokračuje vo vyšetrovaní mnohých prípadov, z ktorých niektoré prebiehajú v spolupráci s európskymi susedmi. Je teda zapojená do 800 nadnárodných konaní.

CNIL popri podpore spoločností v ich úsilí o dodržiavanie predpisov uložila aj množstvo sankcií. Pozrime sa bližšie na niektoré z nich:

• Najspektakulárnejšou sankciou je nepochybne tá, ktorá bola uvalená na spoločnosť Google, a to v rekordnej sume päťdesiat miliónov eur.

• Dve ďalšie, oveľa miernejšie sankcie si však zaslúžia osobitnú pozornosť, pretože boli predložené Štátnej rade, ktorá preskúmala ich primeranosť.

• V jednom z prípadov zo 17. apríla 2019 Štátna rada potvrdila pokutu 75 000 eur: po formálnom oznámení a niekoľkých opakovaných žiadostiach zo strany CNIL Adef (Asociácia pre rozvoj bývania) stále neodstránila bezpečnostnú chybu, ktorá umožňovala online prístup k dokumentom žiadateľov o bývanie. Čas, ktorý združenie potrebovalo na implementáciu požadovaných nápravných opatrení, bol jedným z určujúcich faktorov pre Štátnu radu.

• V druhom prípade, taktiež zo 17. apríla 2019, Štátna rada znížila výšku pokuty, ktorú CNIL uložila spoločnosti Optical Center: spoločnosť v skutočnosti do dvoch dní od oznámenia CNIL opravila bezpečnostnú chybu, ktorá umožňovala prístup k faktúram zákazníkov prostredníctvom jej webovej stránky. Pokuta bola znížená z 250 000 na 200 000 eur.

• Túto stručnú inventúru zakončíme najnovším sankciou z 13. júna 2019, ktorá je tentoraz významná, pretože sa týka veľmi malého podniku: spoločnosť Uniontrad zriadila systém video monitorovania, ktorý jej zamestnancov neustále monitoroval.

V tomto prípade CNIL spoločnosť dvakrát upozornila predtým, ako jej formálne nariadila zmenu postupov, bez toho, aby boli požadované opatrenia prijaté do konca stanoveného termínu. Dňa 18. júna CNIL uložila administratívnu pokutu vo výške 20 000 EUR, pričom zohľadnila veľkosť a finančnú situáciu spoločnosti.

Záver vyvodený z týchto rôznych prípadov je, že sankcie pravdepodobne udelené budú nadnárodným spoločnostiam aj menším podnikom alebo združeniam. Okrem toho všetky rozhodnutia zdôrazňujú dôležitosť reakcie prevádzkovateľa údajov na zistenie porušenia a vplyv tejto reakcie na výšku akejkoľvek potenciálnej sankcie.

A čo naši európski susedia?

Všetky ukazovatele naznačujú nárast sťažností a vyšetrovaní zo strany orgánov na ochranu údajov, ako aj výšky sankcií.

V Európskom hospodárskom priestore je vyše 280 000 prípadov vo všetkých orgánoch na ochranu údajov vrátane približne 144 000 sťažností a 89 narušení bezpečnosti. Koncom mája bolo vyšetrovaných 371 orgánov na ochranu údajov.

Iniciatíva na zostavenie zoznamu rôznych sankcií na európskej úrovni, ktorú aktualizovala nemecká konzultačná firma, poskytuje globálny pohľad na konanie orgánov dohľadu: https://www.enforcementtracker.com.

Najvyššie sankcie, okrem sankcie, ktorú prijala CNIL v súvislosti so spoločnosťou Google, uložilo Portugalsko, ktoré uložilo nemocnici pokutu 400 000 eur za nedodržanie podmienok ochrany údajov pacientov; CNIL opäť uložila realitnej kancelárii pokutu 400 000 eur; a Španielsko v súvislosti s aplikáciou pre smartfóny, ktorá tajne používa mikrofóny telefónov jednotlivcov. Španielska profesionálna futbalová liga dostala za toto porušenie pokutu 250 000 eur a proti tomuto rozhodnutiu sa odvolala.

Smerom ku koordinácii verejných orgánov nad rámec GDPR?

Významný nový vývoj sa týka spolupráce verejných orgánov s cieľom zvýšiť ich súdržnosť a efektívnosť. Tieto iniciatívy sa týkajú najmä orgánov na ochranu údajov, orgánov zodpovedných za otázky hospodárskej súťaže a orgánov zodpovedných za ochranu spotrebiteľa.

Diskusie, ktoré v roku 2016 inicioval Európsky dozorný úradník pre ochranu údajov v rámci projektu „digitálneho clearingového centra“, teraz riadi akademický sektor a podporuje ich uznesenie Európskeho parlamentu.

Projekt teraz spája orgány z Európy, ako aj z iných kontinentov. Vytvorené synergie sa zameriavajú na ochranu jednotlivcov v kontexte digitálnej ekonomiky a „veľkých dát“. Na stretnutí 5. júna 2019 sa zišlo 25 dozorných orgánov z Európskej únie a ďalších krajín. Diskutovalo sa o dvoch hlavných otázkach, ktoré sa týkali spoločností Facebook a Microsoft. Orgány sa tiež zameriavajú na diskusie o rozvoji služieb s nepeňažnou kompenzáciou. Inými slovami, do akej miery môžeme akceptovať, že jednotlivci platia svojimi údajmi výmenou za digitálnu službu?

Konkrétne usmernenia k tejto otázke sa očakávajú na jeseň po nasledujúcom zasadnutí orgánov dohľadu. Vzhľadom na výzvy digitálnej ekonomiky by to mohol byť významný vývoj.

A tiež:

• Vo Francúzsku: CNIL sprístupňuje novú verziu svojho nástroja, ktorý má pomôcť prevádzkovateľovi údajov pri analýzach vplyvu (AIPD).

• v Európe Smerom k prísnejšiemu výkladu pravidiel elektronického vyhľadávania? Niekoľko dozorných orgánov oznámilo, že prehodnocujú svoj výklad, pokiaľ ide o získavanie súhlasu od dotknutých osôb a súbory cookie. Patria medzi ne Belgicko, Francúzsko, Spojené kráľovstvo a Holandsko. Treba poznamenať, že Európsky výbor pre ochranu údajov sa už v tlačovej správe z mája 2018 výslovne rozhodol proti používaniu „súborov cookie“, ktoré podmieňujú prístup na webovú stránku súhlasom návštevníkov.

• vo svete: S cieľom posúdiť potrebu zákona regulujúceho algoritmy preskúmal Výbor pre obchod Senátu USA počas vypočutia 25. júna, ako spoločnosti ako Google, YouTube a Facebook využívajú umelú inteligenciu na ovplyvňovanie...