Svaz komentuje nová vodítka WP29 ke GDPR

Svaz průmyslu a dopravy ČR uplatnil svá stanoviska k dvěma nově publikovaným návrhům výkladových vodítek WP29 (Pracovní skupiny podle čl. 29 směrnice 95/46/ES) k obecnému nařízení o ochraně osobních údajů (GDPR), týkajícím se problematiky ohlašování případů porušení zabezpečení údajů (data breaches) a tématu profilování a automatizovaného rozhodování. Svaz ve svém stanovisku kritizuje zejména v některých ohledech rozšiřující výklad WP29.

Ve svých stanoviscích Svaz formuluje krom obecných komentářů i konkrétní připomínky, kterými zejména upozorňuje WP29 na body, v nichž jdou navrhovaná vodítka dle našeho názoru nad rámec GDPR a zbytečně tak dále zvyšují administrativní zátěž správců údajů nebo aplikaci GDPR činí složitější.

Jedná se zejména o tyto otázky:
• Oznamovací povinnost v případech porušení zabezpečení údajů směrem k subjektům údajů, pro jejichž práva a svobody by takové narušení mohlo mít zásadní dopad: WP 29 ve svém stanovisku zdůrazňuje, že komunikace se subjekty údajů by měla být individuální a adresná, pro řadu firem však bude nejsnadnějším možným způsobem publikace zveřejnění informace na webových stránkách nebo sociálních sítích. Tyto možnosti však WP 29 ve svých vodítkách vůbec nezmiňuje.

• WP 29 považuje, nad rámec čl. 4 odst. 2 GDPR, za porušení zabezpečení údajů (data breach) rovněž i dočasnou nedostupnost údajů. Tento výklad jde však nad rámec nařízení – v takovém případě se sice jedná o obecný bezpečnostní incident, který firma samozřejmě musí řešit, nejde však o data breach ve smyslu GDPR a s ním souvisejícími povinnostmi správce.

• Ve vztazích mezi správcem a zpracovatelem údajů WP 29 zcela samozřejmě předpokládá, že v okamžiku, kdy se o bezpečnostním incidentu dozví zpracovatel, je o něm informován i správce. Praxe však tomuto předpokladu neodpovídá – v právních vztazích mezi správcem a jeho zpracovateli údajů se zřídka stane, že správce je informován okamžitě, v komunikaci spíše nastává k určitému zpoždění. Je samozřejmě ve vlastním zájmu každého správce, aby si nastavil či smluvně upravil vztahy se svými zpracovateli tak, aby v ohlašování data breachů nedocházelo k žádnému zpoždění. Nicméně není to možné automaticky předpokládat.

• WP 29 interpretuje právo subjektu údajů nebýt předmětem automatického rozhodování založeného na profilování dle jeho osobních údajů a vlastností jako právo explicitního zákazu takového postupu. Je však na místě i výklad mírnější – tedy právo podat námitku proti takovému postupu za předpokladu, že se subjekt údajů domnívá, že k takovému postupu došlo. Tento výklad je také příznivější pro postavení subjektů údajů, které tak mají možnost být více zapojeny do rozhodování o způsobu využití svých osobních údajů.

• Ve svém stanovisku k profilování také WP 29 dovozuje, že v rámci ochrany dětí jako zranitelné skupiny subjektů údajů by obecně nemělo docházet k jejich profilování pro marketingové účely. Tímto však WP 29 de facto znemožňuje jakékoli marketingové praktiky zaměřené na produkty a služby pro děti a tento přístup je v rozporu s ochranou dětí dle GDPR, které dle GDPR již od 16, resp. 13 let, mají možnost samostatně vyjádřit svůj souhlas se zpracováním jejich údajů a pod tuto věkovou hranici musejí být pro účely udělení souhlasu zastoupeny svými zákonnými zástupci.

Svaz je toho názoru, že vodítka WP 29 by v žádném případě neměla rozšiřovat výklad GDPR ani jít ve své interpretaci explicitně nad rámec textu zakotveného v GDPR a minimálně v pěti výše naznačených ohledech by tak neměla v návaznosti na publikovaná vodítka vzniknout firmám a organizacím v pozici správců a zpracovatelů osobních údajů v souvislosti s implementací GDPR další zátěž.

Úplný text stanovisek SP ČR v AJ je k dispozici zde a zde.