Jaké novinky v ochraně osobních údajů přinesl rok 2020?

29. 11. 2020 Jitka Mihulková GDPR Právo pro veřejnou správu Právo pro podnikání Právo ICT

Letošní rok přinesl hned několik novinek týkajících se ochrany osobních údajů mimo jiné i v souvislosti s krizovými opatřeními proti dopadům onemocnění COVID-19. Nejdůležitější změny pro vás přehledně shrnujeme.

COVID-19 a ochrana osobních údajů

Při vstupu na pracoviště po vás může zaměstnavatel žádat měření teploty. Jedná se totiž o zajištění bezpečného pracovního prostředí a tím pádem o legitimní právní zájem zaměstnavatele. Neplatí to však pro vstup na kulturní akce nebo do restaurace - v těchto případech smí informace o pozitivitě na COVID-19 sbírat pouze krajská hygienická stanice.

Novinkou je pro zaměstnavatele také rozšířený home-office, se kterým však souvisí řada bezpečnostních rizik, kterým by měl předcházet. Z domova se momentálně také vzdělávají děti prostřednictvím online technologií. V rámci online výuky proto může podle Úřadu pro ochranu osobních údajů školské zařízení požadovat, aby měl žák zapnutou kameru. 

Stovka porušení GDPR a rekordní pokuta

S bezpečnostním incidentem se v první polovině letošního roku potýkaly firmy z oblasti finančnictví, bankovnictví, školství, zdravotnictví a veřejné správy. Podle Úřadu pro ochranu osobních údajů je to proto, že správci osobních údajů nepracují s bezpečností systematicky a nedodržují základní zásady GDPR.

Šest milionů korun musí za nevyžádané rozesílání obchodních sdělení zaplatit společnost prodávající ojeté automobily. Jedná se u nás o dosud nejvyšší pokutu udělenou za spam. Firma obeslala téměř půl milionu adresátů, přičemž udělení souhlasu adresátů neprokázala. 

Privacy shield

Při využívání zpracovatelů osobních údajů v USA (např. poskytovatelé ICT systémů či sociálních sítí) nově nelze využít tzv. Privacy shield. Pokud se přesto správce rozhodne pro předání osobních údajů do této země, musí sám prověřit úroveň jejich ochrany. Soudní dvůr EU už přitom konstatoval, že USA dostatečnou ochranu nezajišťují.

Každý správce by proto měl při předávání osobních údajů do USA řešit s dovozcem údajů konkrétní dopady rozsudku Soudního dvoru a hledat řešení v podobě dalších bezpečnostních záruk (například uložení dat pouze na území EU, šifrování bez zadních vrátek apod.)