V samém počátku uplynulého roku 2022 jsme vás na webu sesterské společnosti NGSS informovali o legislativní úpravě ukládání cookies a přinesli stručné shrnutí ohledně GDPR v souvislosti s bankovním tajemstvím, které vydala Česká národní banka. Žádné další zásadnější změny ohledně GDPR a tematiky zpracování osobních údajů už ale v roce 2022 nenastaly. Jaké novinky přinese právě započatý rok 2023? Podle dostupných informací z počátku ledna nás pravděpodobně změny se zásadním dopadem nečekají. Evropské směrnice týkající se osobních údajů, které by mohly mít eventuálně nějaký dopad do naší legislativy, jsou v současné době zatím ještě ve fázi projednávání.
Tyto předpisy se zřejmě dotknou i zpracování osobních údajů v České republice. Nelze ale s jistotou prohlásit, že to bude v roce 2023. Co lze ale s jistotou prohlásit, že i v roce 2023 se budou uplatňovat sankce a pokuty za porušení GDPR nařízení, které by měly být účinné, přiměřené a odrazující. Úřad pro ochranu osobních údajů (tedy orgán státní moci oprávněný k udílení sankcí za porušení GDPR) může udělit pokutu do výše 10 milionů Kč. Nejvyšší dosud uložená pokuta ovšem nedosahovala ani poloviny této částky. Přesto je pochopitelně lepší se případným pokutám vyhnout, a proto jsme pro vás připravili přehled nejčastějších dotazů a tipů.
Cookies a (ne)udělení souhlasu
V úvodu jsme zmínili, že před rokem došlo k legislativní úpravě § 89 odst. 3 zákona o elektronických komunikacích s platností od 1. 1. 2022, kdy se se na cookies začal vztahovat princip „opt-in“, tzn. že pro shromažďování cookies potřebujete aktivní, výslovný a informovaný souhlas uživatele. Navíc musíte poskytnout uživateli možnost souhlas kdykoliv odvolat.
I přesto, že tato novela platí již rok, neustále narážíme na webové stránky, kde nejsou tzv. „cookies lišty“ v pořádku. Na co byste si měli tedy dát pozor:
- Technické cookies – uživatel sice nemusí udělovat souhlas k jejich ukládání, přesto byste měli mít na paměti, že i zde dochází ke zpracování osobních údajů uživatelů, a proto musí probíhat v souladu s obecným nařízením GDPR.
- Odvolání uděleného souhlasu – uživatel musí mít možnost svůj předchozí souhlas kdykoliv odvolat, a to stejně snadným způsobem, jakým proběhlo udělení tohoto souhlasu. Ideální formou je tedy na webu snadno dostupné tlačítko či odkaz, kde lze souhlas odvolat.
- Oprávněný zájem – je možné zpracovávat osobní údaje i na základě oprávněného zájmu, musí ale dojít k udělení souhlasu s ukládáním a čtením cookies.
- Odmítnout vše – toto tlačítko by mělo být na stejné úrovni (velikost, viditelnost, barvy) jako tlačítko „Přijmout vše“ a nemělo by být hůře identifikovatelné.
- Předem zaškrtnutá tlačítka nejsou považovaná za udělený souhlas, a to ani u analytických a marketingových cookies (výjimkou jsou technická cookies, pro které není souhlas uživatele vyžadovaný).
- Odepření použití stránek před použitím souhlasu není v souladu s GDPR, uživateli před udělením (či neudělením) souhlasu se zpracováním osobních údajů (cookies) nesmí být bráněno využívat službu.
- Zavření cookies lišty před udělením souhlasu není považováno za souhlas, ten musí uživatel jednoznačně vyjádřit např. zaškrtnutím příslušného checkboxu.
Další tipy a upozornění na časté „nešvary“ se dočtete na specializované stránce Úřadu pro ochranu osobních údajů.
Tipy pro správce zpracování osobních údajů
I menší podniky či živnostníci se mohou stát malými správci údajů. Zde je základní jednoduchý návod, jak by s osobními údaji měli zacházet:
- Legitimita – zpracování osobních údajů prováděné se souhlasem dotyčných osob musí být v souladu s platnými právními předpisy a morálkou.
- Základní důvod je výchozí stav, na kterém může být zpracování osobních údajů založeno (např. smluvní plnění, výkon právních povinností atp.).
- Účel zpracování údajů musí jasně vymezit každý, kdo zpracovává, shromažďuje a uchovává osobní údaje.
- Forma a rozsah zpracování osobních údajů musí vždy odpovídat účelu zpracovávání (viz přechozí bod).
- Ochrana údajů – je povinností každého správce shromáždění a uchovávané údaje patřičně zabezpečit a chránit.
- Nadměrné zasahování do soukromí je zakázáno, je zapotřebí zvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
- Skartace – po naplnění účelu zpracování osobních údajů má správce povinnost tyto údaje zlikvidovat.
Pokud chcete mít jistotu, že je GDPR ve vaší organizaci v pořádku, obraťte se na nás. Ve spolupráci s naší sesterskou společností NGSS poskytujeme služby nezávislého DPO a nabízíme komplexní nabídku služeb a poradenství v oblasti GDPR.