Jak vytvořit GDPR kompatibilní zásady ochrany osobních údajů: Klíčové body vysvětleny

Při zpracování osobních údajů uživatelů v rámci EU je nutné dodržovat nařízení GDPR a vytvořit politiku ochrany osobních údajů, která je s GDPR v souladu. Mnoho lidí však nemá podrobné znalosti o GDPR a může si být nejisté, zda je jejich webová stránka povinná GDPR dodržovat a jakým způsobem by měli postupovat.

V tomto článku proto vysvětlíme základní principy GDPR a klíčové body pro vytvoření politiky ochrany osobních údajů, která odpovídá GDPR. Představíme také situaci v Japonsku a příklady z praxe známých společností, které vám mohou posloužit jako inspirace.

O GDPR a zásadách ochrany osobních údajů

Co přesně znamená zásady ochrany osobních údajů v souladu s GDPR? V tomto článku vysvětlíme základní informace o GDPR a povinnostech, které GDPR klade na zásady ochrany osobních údajů.

GDPR a zásady ochrany osobních údajů

GDPR je nařízení EU, které podrobně stanovuje ochranu osobních údajů a jejich zpracování. GDPR se vztahuje na Evropský hospodářský prostor (EEA: členské státy EU a země EFTA kromě Švýcarska, tj. Island, Lichtenštejnsko a Norsko). Následující japonské společnosti mohou být také předmětem GDPR:

• Poskytují zboží nebo služby subjektům údajů v EU.
• Monitorují chování subjektů údajů v EU.

Subjekt údajů je identifikovaná nebo identifikovatelná fyzická osoba, na kterou se vztahují osobní údaje.

Společnosti, na které se výše uvedené vztahuje, musí přezkoumat a případně revidovat své zásady ochrany osobních údajů (privacy notice). V případě porušení GDPR mohou být pokutovány až do výše 20 milionů eur nebo 4 % z celosvětového obratu.

Reference: Japonská organizace pro podporu zahraničního obchodu | “Obecné nařízení o ochraně údajů EU (GDPR)”[ja]

Pro bezpečné obchodování se zeměmi EU je nezbytné zkontrolovat zásady ochrany osobních údajů.

Informace poskytované při získávání osobních údajů podle GDPR

GDPR stanoví, že při získávání osobních údajů musí správce poskytnout subjektu údajů určité informace. Článek 12 odstavec 1 GDPR uvádí způsob poskytování informací.

Informace musí být:

• Stručné, transparentní, srozumitelné a snadno přístupné.
• Formulované jasným a jednoduchým jazykem.
• Při poskytování informací dětem je třeba přijmout vhodná opatření.
• Poskytované písemně nebo, je-li to vhodné, elektronickými prostředky, případně jinými způsoby.
• V případě požadavku subjektu údajů je možné informace poskytnout ústně.

Dále článek 12 odstavec 5 GDPR stanoví, že poskytování informací musí být bezplatné. Zkontrolujte, zda vaše zásady ochrany osobních údajů splňují výše uvedené požadavky a v případě potřeby je revidujte.

Klíčové body při revizi Zásad ochrany osobních údajů pro GDPR

GDPR stanovuje, že když správce osobních údajů získává data přímo od subjektu údajů (článek 13 GDPR) nebo od jiných zdrojů než od subjektu údajů (článek 14 GDPR), musí subjektu údajů jasně sdělit několik specifických informací.

Mezi informace, které by správce měl jasně sdělit, patří například:

• Identita správce a podrobné kontaktní údaje
• V případě zástupce, identita a podrobné kontaktní údaje zástupce
• Práva subjektu údajů na přístup, opravu, výmaz, omezení zpracování, přenositelnost údajů a právo vznést námitku
• Účely zpracování osobních údajů a právní základ pro zpracování
• Doba uchovávání osobních údajů nebo kritéria pro určení této doby
• Druhy zpracovávaných osobních údajů

V seznamu informací, které je třeba jasně sdělit, se mohou objevit položky, které nebyly součástí japonských Zásad ochrany osobních údajů, a proto by se na tyto body mělo klást zvláštní důraz při revizi. Pro informace o Zásadách ochrany osobních údajů vycházejících z japonského zákona o ochraně osobních údajů se podívejte na následující článek.

Související článek: Jaké jsou klíčové body při vytváření Zásad ochrany osobních údajů s ohledem na japonský zákon o ochraně osobních údajů?[ja]

Zde se zaměříme na vysvětlení klíčových bodů revize, zejména na ty, které nebyly součástí Zásad ochrany osobních údajů vycházejících z japonského zákona o ochraně osobních údajů.

Základy pro zákonnost zpracování dat

Nařízení GDPR (General Data Protection Regulation) ukládá povinnost explicitně uvádět “základy pro zákonnost zpracování dat”, což nebylo vyžadováno v předchozím zákoně o ochraně osobních údajů. Existuje šest základů, které legitimizují zpracování osobních dat (článek 6 GDPR).

• Souhlas subjektu údajů
• Plnění smlouvy
• Právní povinnost
• Zájmy ochrany života
• Veřejný zájem
• Oprávněný zájem

Pokud je splněn alespoň jeden z těchto šesti základů, je zpracování dat považováno za zákonné, a proto byste měli ve vaší politice ochrany soukromí uvést tento fakt. U osob, od kterých získáváte informace poprvé, můžete požadovat souhlas s novou politikou ochrany soukromí.

Avšak je třeba věnovat pozornost uživatelům, kteří již dříve dali svůj souhlas. U osob, které souhlasily před revizí politiky ochrany soukromí, bude pravděpodobně nutné získat souhlas znovu.

V takovém případě můžete uvést jeden ze šesti zákonných základů ve vaší politice ochrany soukromí a požádat o souhlas s touto revizí.

Kategorie shromažďovaných informací a účely jejich použití

Tradiční zásady ochrany osobních údajů často zahrnovaly informace o shromažďovaných datech, účelech jejich použití a podmínkách použití na téže stránce, čímž se od uživatelů získával souhlas v jednom kroku. Nicméně, nařízení GDPR vyžaduje, aby bylo uživatelům jasně vysvětleno, ke kterým konkrétním bodům dávají svůj souhlas.

Je vhodné uvádět účely použití pro každou kategorii shromažďovaných informací a získávat souhlas uživatelů pro každou z nich zvlášť.

Zpřesnění účelu použití

Nařízení GDPR vyžaduje, aby byl účel použití získaných informací jasně specifikován. Například účel použití formulovaný jako “pro zlepšení služeb” může být považován za příliš nejasný a tudíž nevhodný.

Dále je zakázáno provádět jakékoli další zpracování, které není v souladu s původně stanoveným účelem, což je další důležitý aspekt, na který je třeba dbát při revizi zásad ochrany osobních údajů.

Právo na výmaz a právo na přenositelnost dat

Mnoho společností již v minulosti zahrnulo do svých zásad ochrany osobních údajů práva jako je právo na přístup nebo právo na opravu. Nicméně, GDPR (Obecné nařízení o ochraně osobních údajů) vyžaduje, aby byla zahrnuta také práva jako “právo na výmaz a právo na přenositelnost dat”.

Právo na výmaz umožňuje uživatelům požadovat od správce vymazání jejich osobních dat. Právo na přenositelnost dat znamená, že uživatelé mohou přenést svá osobní data do jiné služby.

Jako příklad lze uvést přenos dat a historie zákazníka z mobilního operátora A k mobilnímu operátoru B. Aby bylo možné splnit požadavky GDPR, je nutné tyto práva zahrnout do zásad ochrany osobních údajů.

Zveřejnění doby uchovávání dat

Podle Nařízení GDPR je nutné explicitně uvést “doby uchovávání osobních údajů”, což bylo dříve v tradičních zásadách ochrany osobních údajů opomenuto. Pokud nelze dobu uchování určit, je možné se přizpůsobit tím, že se explicitně uvedou kritéria pro určení doby uchování.

Stav připravenosti japonských podniků na GDPR

Dovolte nám představit informace z průzkumu „Průzkum trendů využívání IT v podnicích 2021“[ja] (podrobná verze), který provedla Obecná nadace pro podporu informační ekonomiky a společnosti v Japonsku a společnost ITR Corporation.

Výsledky průzkumu ukazují, že jen málo podniků je plně připraveno na GDPR a nejvíce, 26,1 %, podniků je stále v procesu přizpůsobování se (zvažuje možnosti). K roku 2021 je také patrný trend, že mnoho podniků nemá žádný přesun osobních dat mezi EU a Japonskem.

Výsledky průzkumu týkající se výměny osobních dat mezi EU a Japonskem jsou následující:

Podle grafu výše, 44,4 % podniků odpovědělo, že „v současnosti neprobíhá žádná výměna a ani v budoucnu není plánována“. Podniky, které uvedly, že „před zavedením GDPR probíhala výměna, ale nyní se data zpracovávají odděleně v EU a v Japonsku“, tvoří 12 %.

25,9 % podniků uvedlo, že „v současnosti neprobíhá výměna, ale je plánována v budoucnu“, a 17,6 % podniků aktuálně provádí výměnu dat. Z toho vyplývá, že i když existuje potenciál pro zvýšení počtu podniků, které budou v budoucnu s EU komunikovat, k roku 2021 je jejich počet stále nízký.

Zdroj: JIPDEC／ITR ‘Průzkum trendů využívání IT v podnicích 2021′[ja]

Reakce známých podniků na GDPR

Mnoho lidí si není jistých, jaký obsah by měla mít politika ochrany osobních údajů upravená tak, aby vyhovovala GDPR. V tomto článku podrobně rozebereme příklady reakcí na GDPR ze strany společností jako Google a Facebook.

Odpověď Google na GDPR

Google oznámil následující kroky k dodržení GDPR:

• Zvýšení transparentnosti pro uživatele
• Zlepšení uživatelského řízení
• Zlepšení přenositelnosti dat
• Vylepšení nástrojů pro souhlas rodičů a vhodné používání internetu dětmi
• Podpora obchodních uživatelů a partnerů
• Posílení programu dodržování ochrany soukromí

Zde vysvětlíme podrobnosti.

Odkaz: Google „O přípravách Google na nové evropské nařízení o ochraně dat (GDPR)[ja]“

Zlepšení transparentnosti vůči uživatelům

Google vylepšuje a aktualizuje své zásady ochrany osobních údajů, aby bylo snazší pochopit, jaké informace sbírá a proč, a aby byly tyto informace snadněji nalezeny. Mezi další zmíněné body patří:

• Doplnění podrobností o správě, exportu a mazání informací
• Přidání videí a grafů k textu

Kromě toho Google mění nastavení tak, aby bylo snazší otevřít stránku s nastavením soukromí.

Zlepšení správy uživatelů

Pro dosažení souladu s Nařízením GDPR (General Data Protection Regulation) jsme vylepšili způsoby správy uživatelských dat. Změny jsou následující:

• Možnost zobrazení a odstranění dat v sekci Moje aktivita
• Přidání funkce vyhledávání podle tématu, data a produktu
• Možnost ověření nastavení soukromí, které vyhovuje vašim potřebám
• Správa a skrytí zobrazovaných reklam
• Přehled o datech na Google Dashboardu

Kromě toho byly již před zavedením GDPR provedeny změny, aby bylo snazší spravovat informace o uživatelích a reklamách.

Zlepšení datové přenositelnosti

Společnost Google nabízí různé služby, jako jsou Google Fotky, Disk, Kalendář a Gmail. Následují opatření, která Google implementoval v reakci na GDPR (Obecné nařízení o ochraně osobních údajů) s cílem zlepšit datovou přenositelnost:

• Rozšíření služeb a správních prvků podporujících stahování dat
• Přidání funkce pro plánování pravidelných stahování dat

Zlepšení nástrojů pro souhlas zákonných zástupců a vhodné využívání internetu dětmi

Společnost Google poskytuje aplikaci Family Link, která má pomoci zákonným zástupcům a dětem v jejich vhodném využívání internetu. Díky Family Link mohou zákonní zástupci vytvářet účty pro své děti.

Aplikace umožňuje nastavit a spravovat domácí pravidla, jako je „správa času stráveného užíváním“ a „dočasné pozastavení zařízení“.

Podpora pro obchodní uživatele a partnery

Abyste vyhověli GDPR (Obecné nařízení o ochraně osobních údajů), aktualizovali jsme politiku, která se týká žádostí o souhlas uživatelů na webových stránkách a v aplikacích od partnerů Google (například inzerentů a provozovatelů webů). Další aktualizované body zahrnují:

• Poskytování nástrojů podporujících dodržování GDPR
• Zpřísnění procesu certifikace pro firmy využívající reklamní služby Google
• Aktualizace podmínek zpracování dat
• Poskytování podrobných informací o přenositelnosti dat a oznámení o incidentech týkajících se dat

Posílení programu dodržování pravidel ochrany soukromí

Pro dosažení souladu s Nařízením GDPR posilujeme náš program dodržování pravidel ochrany soukromí. Obsah programu je následující:

• Zlepšení programu ochrany soukromí
• Posílení procesu hodnocení produktů

Kromě toho provádíme také komplexnější dokumentaci zpracování dat.

Reakce Facebooku na GDPR

Facebook oznámil následující kroky jako reakci na GDPR:

• Ověření získávání informací z reklam
• Výběr informací v profilu
• Ověření používání technologie rozpoznávání obličejů (EU a Kanada)
• Aktualizované podmínky služby a souhlas s daty
• Zavedení funkcí pro snadný přístup k informacím, jejich odstranění a stažení
• Poskytování informací mladým uživatelům

Zde podrobně vysvětlíme tyto kroky.

Reference: Facebook „Dodržování Obecného nařízení o ochraně údajů (GDPR) a poskytování nových ochran soukromí“

Ověření získávání informací z reklam

Partneři Facebooku využívají informace získané kliknutím na tlačítko „To se mi líbí“ nebo z nástrojů poskytovaných Facebookem pro zobrazování reklam. Uživatelům poskytují informace o reklamách a umožňují jim vybrat, zda mohou partneři tyto informace použít pro zobrazování reklam.

Výběr informací v profilu

Na profilu Facebooku jsou zveřejněny informace o politických názorech, náboženském vyznání a vztazích. Uživatelé si mohou vybrat, zda chtějí tyto informace nadále zveřejňovat a zda je mohou využít v reklamách.

Informace v profilu lze kdykoliv volně vybírat a snadno odstranit, pokud si to uživatel přeje.

Ověření používání technologie rozpoznávání obličejů (EU a Kanada)

Facebook umožňuje uživatelům v členských státech EU a v Kanadě volbu, zda chtějí využívat technologii rozpoznávání obličejů. Tato možnost je volně dostupná i pro uživatele z ostatních regionů.

Aktualizované podmínky služby a souhlas s daty

Uživatelům se zobrazí výzva k souhlasu s „Podmínkami služby“ a „Politikou dat“, které obsahují podrobné informace o fungování služby.

Zavedení funkcí pro snadný přístup k informacím, jejich odstranění a stažení

Pomocí „Nástroje pro správu osobních dat“ mohou uživatelé snadno kontrolovat a odstraňovat svá data. Také mohou data jednoduše stáhnout nebo exportovat.

Facebook aktualizoval funkci logování aktivit na mobilních zařízeních, aby uživatelé mohli snadněji zkontrolovat, jaké informace v minulosti sdíleli.

Poskytování informací mladým uživatelům

Facebook již má pro uživatele v dospívajícím věku stanovená omezení, která zahrnují:

• Omezení kategorií reklam
• Zákaz používání technologie rozpoznávání obličejů (pro osoby mladší 18 let)
• Omezení prohlížení a vyhledávání informací sdílených mladými uživateli

Výchozí nastavení je navrženo tak, aby informace nebyly „veřejné“.

Facebook zavedl specifická pravidla pro dodržení GDPR. Pro uživatele z členských států EU je vyžadován souhlas rodičů pro prohlížení reklam a zveřejňování informací v profilu (např. náboženské vyznání, politické názory). V ostatních regionech mohou uživatelé volně rozhodnout, zda mohou partneři využívat získaná data pro reklamy a zda mohou zveřejňovat osobní informace v profilu.

Shrnutí: GDPR má širší rozsah osobních dat než japonské právo a vyžaduje odpovídající opatření

GDPR (Obecné nařízení o ochraně osobních údajů) zahrnuje různá ustanovení, jako je “zřetelné vymezení účelu zpracování pro každý získaný údaj”, “explicitní uznání práva na výmaz a práva na přenositelnost dat” a “explicitní stanovení doby uchovávání dat”, čímž rozšiřuje rozsah práv uživatelů ve srovnání s tradičním japonským právem.

V případě porušení GDPR může být uložena vysoká sankční pokuta, a proto musí podniky zpracovávající osobní údaje osob z EU přijmout odpovídající opatření k dodržení GDPR. Firmy, které se rozvíjejí nebo plánují expanzi v EU, by měly vytvořit politiku ochrany soukromí v souladu s GDPR.

Představení opatření naší kanceláře

Advokátní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. V posledních letech se globální podnikání neustále rozšiřuje a potřeba právní kontroly odborníky stále roste. Naše kancelář poskytuje řešení v oblasti mezinárodního práva.

Oblasti působnosti advokátní kanceláře Monolith: Mezinárodní právo a zahraniční podnikání[ja]