Novinky

Stanovisko HOTREC a UEAPME k návrhu Nařízení o ochraně údajů

Napsal/a Klára Stárek Zachariášová | 15.9.2015
Naše stanoviska

Společné stanovisko HOTREC a UEAPME k návrhu Nařízení o ochraně údajů

Fáze trialogu

 

Asociace HOTREC a UEAPME věnovaly velkou pozornost schvalování obecného přístupu Rady vůči Obecnému nařízení o ochraně údajů během jednání Rady pro spravedlnosti a vnitřní věci dne 15. června 2015.

 

HOTREC a UEAPME rovněž velmi pečlivě sledovaly schvalování Evropským parlamentem při jeho plenárním hlasování o Obecném nařízení o ochraně údajů (12. března 2014).

 

Před jednáními trialogu, jež na toto téma mezi Evropskou komisí, Evropským parlamentem a Radou EU začínají 24. června 2015, tímto obě asociace zdůrazňují svoje priority podpořením takových rozhodnutí, která jsou pro SMEs nejpříznivější, a o kterých rozhodla každá z těchto institucí samostatně, nebo která byla navržena Komisí.

 

HOTREC a UEAPME obecně plně vítají potřebu zvýšit úroveň ochrany osobních údajů jednotlivců a rozšířit obchodní příležitosti na digitálním jednotném trhu. Je to nezbytné pro stimulaci ekonomického růstu, zajištění zaměstnanosti i podporu inovací. Obě asociace však mají připomínky k následujícím kapitolám:

 

  • Kontrolor a Zpracovatel (kapitola IV)
  •  Principy ochrany údajů (kapitola II)

 

 

 

1 - Kontrolor a Zpracovatel (kapitola IV)

 

 

1 - Referent pro ochranu údajů - Data Protection Officer DPO

 

 

Varianta 1 – preferovaná možnost

 

Rada zastává názor, že jmenování Referenta pro ochranu údajů (DPO) by nemělo být pro společnosti povinné, s výjimkou těch případů, ve kterých to vyžaduje legislativa Evropské unie nebo některého členského státu EU (čl. 35/1).

 

DPO je zjevným příkladem dalšího zvláštního finančního a administrativního požadavku, který by byl kladen na SMEs a vyžadoval od nich neúměrné náklady.

 

HOTREC a UEAPME toto vyvážené stanovisko Rady plně vítají.

 

Argumenty:

 

  • DPO by měl být povinný pouze tehdy, pokud hlavní činností společnosti je zpracovávání dat (tento argument je ve shodě se stanoviskem Komise: čl. 35/1 b) a c);
  • I kdyby byl DPO nasmlouván pouze na několik hodin ročně, cena, kterou by taková cifra představovala, by mohla mít na SMEs přímý dopad. Organizace UEAPME a HOTREC by rády upozornily na následující odhady:

 

o   Podle informací poskytnutých TUV (technickou dozorovou asociací v Německu) by náklady na externího DPO v prvním roce mohly pro SMEs představovat přibližně 12 000 EUR (= 150 EUR za pracovní hodinu, 10 pracovních dnů potřebných ročně, 8 hodin za jeden pracovní den).

o   Podle zhodnocení dopadu provedeného Evropskou komisí by externí konzultant dostával za přípravu a realizaci svého díla zaplaceno v průměru 250 € za hodinu (1);

o   Zhodnocení dopadu provedené Ministerstvem spravedlnosti UK týkající se návrhu EU na Nařízení o ochraně údajů odhaduje, že DPO by mohl přijít na 30–180 milionů GBP ročně (v příjmových podmínkách let 2012–13) v závislosti na smluvních hodinách DPO (2).

 

(1)     Strana 117, Dodatek 6 ke zhodnocení dopadu návrhu Komise na Nařízení o obecné ochraně údajů SEC (2012) 72 konečná verze.

(2)     Zhodnocení dopadu zpracované pro Ministra spravedlnosti Velké Británie.

 

  •             Pokud by společnost delegovala úkoly DPO na svého interního zaměstnance, nesla by břemeno navíc, neboť takový zaměstnanec by se musel naučit řešit úkoly běžně plněné DPO. A je důležité trvat na tom, že pokud hlavní činností společnosti není zpracovávání dat, pak neexistuje žádná potřeba toho, aby společnost měla nějakého DPO, zvláště pokud je společnost sama SME (Návrh Komise – čl. 35/1 b a c).
  • Ve společnostech s jedinou osobou, které představují 50% všech podniků v EU, musí být úkol DPO plněn přímo vlastnícím manažerem, který v průměru pracuje více než 60 hodin týdně.

 

  •             HOTREC a UEAPME podporují Radu a Parlament v tom, aby dále pracovaly na textu Nařízení tak, aby společnosti mohly tuto legislativu kvalitně využívat i bez nutnosti zavedení DPO. Veškerá legislativní opatření EU by měla být jasná, tak aby jim občané dobře rozuměli.

 

  • DPO jako takoví nedávají žádnou záruku efektivní ochrany údajů.

 

 

 

Varianta 2

 

Pokud varianta 1 nenalezne oboustrannou podporu u Rady a Parlamentu, pak UEAPME a HOTREC navrhují, aby obě instituce přijaly návrh představený Komisí (čl. 35/1 a) a b), který se zasazuje o to, aby společnosti zaměstnávající méně než 250 osob byly osvobozeny od povinnosti jmenovat DPO pokud jejich hlavní činnosti nespočívají v operacích zpracovávání dat.

 

Obě asociace jsou toho názoru, že tento přístup zohledňuje obavy SMEs. Malý hotel, jehož hlavní aktivitou je poskytování ubytování (a nikoliv zpracovávání dat), by neměl nést další břemeno platby za DPO. Tento přístup koresponduje se snahou Komise zajistit SMEs větší konkurenceschopnost a vyhnout se další byrokracii.

 

2 – Přístup založený na rizicích

 

 

Varianta 1 – preferovaná možnost

 

Obecně HOTREC a UEAPME nový přístup založený na rizicích schválený Radou bezvýhradně vítají. Tento přístup skutečně drasticky omezí administrativní a ekonomickou zátěž, která má dopad na SMEs a na sektor pohostinství. Zároveň obecný přístup Rady částečně chrání práva a svobody datových subjektů při všech okolnostech zpracovávání údajů. V důsledku toho je přístup Rady vyvážený a soudržný.

 

UEAPME a HOTREC zejména vítají následující důsledky přístupu Rady:

 

  • Kontrolor by měl být nucen k přijetí vhodných opatření a být schopen prokázat soulad činností zpracovávání s Nařízením. Tato opatření by měla brát v úvahu povahu, rozsah, souvislosti a účel zpracovávání, jakož i rizika pro práva a svobody jednotlivců (úvodní část 60 a článek 22);
  • Pravděpodobnost rizika by měla být určována ve vztahu k povaze, rozsahu, souvislostem a účelu zpracovávání údajů. Riziko by mělo být vyhodnoceno objektivním hodnocením na základě toho, zda operace zpracovávání údajů představují vysoké riziko (úvodní část 60b);
  • Vysoké riziko je chápáno jako specifické riziko spočívající v předpojatosti vůči právům a svobodám jednotlivců (úvodní část 60b);
  • Příklady vysokých rizik představují případy, ve kterých by zpracovávání mohlo dát vzniknout diskriminaci, zcizení identity nebo podvodu, finanční ztrátě, poškození reputace nebo další sociální či ekonomická nevýhodě (úvodní část 60b spolu s články 28/4/b; článkem 31/1; článkem 32/1 a článkem 33);
  • Metodické vedení při implementaci vhodných opatření, zvláště s ohledem na identifikaci rizika, by mohlo být zajištěno formou etických kodexů, metodických pokynů Evropské rady pro ochranu údajů European Data Protection Board či prostřednictvím údajů poskytovaných referentem pro ochranu údajů DPO (úvodní část 60c a článek 38);

 

V každém případě je datovým subjektům zajištěna zákonná možnost nápravy:

  • Každý datový subjekt bude mít právo vznést stížnost u jednoho dozorčího orgánu (…) pokud má za to, že zpracování osobních dat, jež se daného subjektu týká, neodpovídá Nařízení (čl. 73/1);
  • Navíc bude mít každá fyzická nebo právnická osoba právo na účinný soudní opravný prostředek použitelný proti takovému právně závaznému rozhodnutí dozorového orgánu, které se jí týká (čl. 74), nebo proti kontrolorovi či zpracovateli (čl. 75).

 

Proto by kontrolor měl podnikat následující činnosti, až když operace zpracování budou představovat vysoké riziko:

 

  • Sdělovat porušení osobních dat dozorovému orgánu (úvodní části 67; 68; 68/; 69 a články 31 a 32);
  • Provádět zhodnocení dopadu (úvodní část 66a; 70a; 71; 74 a článků 33);
  • Provádět konzultace s dozorovým orgánem před zpracováním osobních dat, pokud zhodnocení dopadu ochrany údajů dle článku 33 signalizuje, že by zpracování mohlo mít za následek vysoké riziko v případě neexistence opatření, která má Kontrolor přijímat pro zmírnění takového rizika (úvodní části 66a spolu s článkem 34).

 

 

Návrh kompromisního textu definujícího vysoké riziko

 

Obecný přístup Rady – úvodní část 60b

Návrh dodatku HOTREC a UEAPME

 

„(…) Vysoké riziko je specifické riziko spočívající v předpojatosti vůči právům a svobodám datových subjektů“.

 

„(…) Vysoké riziko je specifické riziko spočívající v předpojatosti vůči právům a svobodám datových subjektů. Vysoké riziko se na společnosti vztahuje tehdy, pokud je jejich hlavní činností zpracovávání údajů“.

 

 

Zdůvodnění

Aby měly společnosti lepší přístup k informacím o tom, zda jejich aktivity představují vysoké riziko nebo nikoliv, měla by definice být detailnější. Pouze v případě, že je hlavní činností společnosti zpracovávání dat, existuje dostatečné opodstatnění pro to, aby společnost byla asociována s pojmem „vysoké riziko“. Je tomu tak ve shodě s Návrhem Komise (čl. 35/1 a) a b). Například malý obchůdek s řemeslnými výrobky zpracovává údaje ke kreditním kartám každý den. Avšak jelikož jeho hlavní činností není zpracovávání dat, nemělo by to představovat vysoké riziko.

Stejný dodatek by měl být začleněn do všech článků, které se týkají vysokého rizika (např.: články 31, 32, 33, 34).

 

 

 

Varianta 2

 

Asociace HOTREC a UEAPME by také uvítaly Návrh Komise týkající se komunikování porušování dat (čl. 32) – a to za předpokladu, že by byla schválena nejzazší mez „nepatřičného zpoždění“ tak jak je navrhována Parlamentem a předpokládána v rozsahu 72 hodin. Věříme, že tento návrh by byl pro uspokojení zájmů spotřebitelů i organizací dostačující.

 

Asociace UEAPME a HOTREC by také podpořily zpracování zhodnocení dopadu (čl. 33) tak jak jej navrhuje Komise, neboť v tomto případě jsou brány v úvahu povaha, rozsah i účely zpracovávání údajů.

 

 

Stanovisko HOTREC a UEAPME k prahu 5000 datových subjektů – Přístup Parlamentu

 

HOTREC a UEAPME především silně nesouhlasí s myšlenkou, že by práh 5 000 datových subjektů, pro který nebylo zpracováno žádné zhodnocení dopadu, měl být referencí, která dle přístupu Parlamentu zavazuje společnost dodržet či nedodržet jisté povinnosti předpokládané navrhovaným Nařízením, zejména pak:

 

  • Jmenování DPO (čl. 35);
  • Předpoklad, že společnost bude pravděpodobně představovat specifická rizika (čl. 32/a/2/a)
  • Povinnost zpracovat zhodnocení dopadu (čl. 33)

 

Přístup v duchu „jedna velikost vyhovuje všem“ by neměl být používán plošně. Místo toho by měla být prováděna analýza rizik případ od případu tak, aby bylo riziko správně vyhodnoceno. HOTREC a UEAPME trvají na tom, že povaha, rozsah a účel činností prováděných společnostmi by měly být kritérii pro posouzení toho, zda existuje při zpracovávání údajů riziko.

 

Ve skutečnosti:

  • Nebylo předloženo žádné zdůvodnění týkající se zvoleného prahu. Třebaže obě asociace vyzvaly Evropský parlament ke zpracování zhodnocení dopadu, nebyla předložena žádná studie; kvůli velkému významu a dlouhodobým dopadům budoucí legislativy týkající se ochrany údajů je z pohledu SMEs nutné, aby těmto aspektům byla věnována nezbytná pozornost.
  • Práh je zjevně stále nastaven příliš nízko, neboť velká většina SMEs, včetně mikro-podniků, již zpracovává údaje související s více než 5 000 datovými subjekty ročně. Ve skutečnosti by při míře obsazenosti 55% každý malý hotel s pouhými 25ti pokoji spadal do této kategorie;
  • Pro společnost je obtížné předvídat počty klientů, jejichž údaje budou ročně zpracovávány. V každém případě by odhad ze strany zástupců SMEs také nemohl být prováděn bez předchozího zhodnocení dopadu.

 

Z těchto důvodů asociace UEAPME a HOTREC považují práh kritické hodnoty 5 000 datových subjektů za zbytečně přísný (z ekonomického i administrativního pohledu),a tudíž za nepřiměřený.

 

 

Principy ochrany údajů (kapitola II)

 

 

1 – Zákonnost zpracování

 

Asociace HOTREC a UEAPME vítají skutečnost, že pokud nejsou vyšší prioritou zájmy či základní práva a svobody datových subjektů, zpracovávání osobních údajů za účelem přímého marketingu vlastních či podobných služeb by mělo být považováno za probíhající z důvodu legitimních zájmů Kontrolora. Tímto způsobem by bývalí klienti mohli být kontaktováni organizacemi v pohostinství za marketingovými účely (např.: propagace, informační bulletiny, klientské věrnostní programy, atd.), a to bez potřeby obdržet výslovný souhlas od bývalých klientů.

 

V tomto smyslu obě asociace vítají jednu z následujících možností:

 

  • Přístup Rady (úvodní části 38, 39, 57 spolu s články 6/1/f , 19/2; 79a/2/de; nebo
  • Přístup Evropského parlamentu (úvodní část 39b spolu s čl. 6/1/f)

 

 

2 – Zrušení práva na přenos údajů

 

Možnost, aby datový subjekt obdržel od Kontrolora kopii dat aktuálně zpracovávaných v elektronickém či strukturovaném formátu, kdy jsou osobní data zpracovávána elektronickými prostředky, by znamenala další výdaje pro podnikatele. Ve skutečnosti by elektronické systémy společností pravděpodobně musely být aktualizovány, tak aby mohly generovat elektronické formuláře pro datové subjekty v takové podobě, aby mohla být elektronická data přenášena.

 

Asociace UEAPME a HOTREC by preferovaly, aby povinnost zabývat se právem na přenosnost údajů měly pouze společnosti, jejichž hlavní činností je zpracovávání údajů.

 

 

Brusel, 18. června 2015

 

KONTAKTY:

 

HOTREC: Marta Machado; marta.machado@hotrec.eu; 0032 (0) 2 513 63 23

UEAPME: Luc Hendrickx; l.hendrickx@ueapme.com; 0032 (0) 2 230 75 99

 

***

Staňte se členem Asociace hotelů a restaurací České republiky
CHCI SE STÁT ČLENEM

Chcete ušetřit na poplatcích OSA a Intergram? Chcete, aby Vaše ubytovací  a stravovací zařízení hrála první ligu? Chcete mít možnost připomínkovat zákony, jež ovlivňují Vaše podnikání? Potřebujete přihrát více klientů a více zviditelnit Vaše zařízení? Nechcete ztrácet čas vyhledáváním všech nových předpisů a zákonů? Chcete získat novou inspiraci a zkušenosti od svých kolegů?  

Novinky

Mediální výstupy AHR ČR - červenec

31.7.2020
COVID-19 O nás v médiích

Mediální výstupy AHR ČR - červenec 2020

Projekt STAY SAFE a přehled zapojených členských zařízení

27.7.2020
COVID-19

Bližší informace k projektu STAY SAFE, zapojená členská zařízení.

 

Covid ubytování

20.7.2020
COVID-19 Press releases

rozhodnutí vlády o projektu COVID – ubytování