Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Podle rozhodnutí rakouského soudu nahrávání všech rozhovorů s bankou není v souladu s GDPR

27. 6. 2024

Rakouský Federální správní soud (Bundesverwaltungsgericht Republik Österreich, dále jen „soud“) se v loňském roce zabýval rozhodnutím rakouského úřadu pro ochranu osobních údajů (Datenschutzbehörde, dále jen „úřad“), jehož předmětem bylo zpracování osobních údajů ve formě nahrávky telefonního hovoru klienta investiční společnosti. Soud stížnost směřující proti rozhodnutí úřadu dne 23. června 2023 odmítl[1], čímž potvrdil závěry úřadu i jeho příslušnost rozhodovat v obdobných kauzách. Podstatou řízení před úřadem byla otázka, v jakých případech a v jakém rozsahu vzniká investiční společnosti zákonná povinnost pořizovat nahrávky telefonních hovorů s klienty, příp. kdy je tento postup možné založit na oprávněném zájmu investiční společnosti. Jak úřad, tak následně i soud odmítli výklad investiční společnosti, že právní předpisy regulující trh s cennými papíry de facto . . .

Přečetli jsme za vás Výroční zprávu Úřadu pro ochranu osobních údajů

27. 6. 2024

Time is precious. Waste it wisely. (K. Bromberg) Čas je drahá komodita. Ušetřila jsem ten váš, přečetla Výroční zprávu Úřadu pro ochranu osobních údajů (ÚOOÚ) za rok 2023[1] a vybrala z ní informace, které považuji za nejdůležitější pro profesionála v oblasti ochrany osobních údajů. Jednotlivá témata jsou rozdělena podle toho, zda se vztahují především ke zpracování v soukromém či ve veřejném sektoru nebo se uplatní plošně. Soukromý i veřejný sektor Od změny relevantní právní úpravy[3] se ÚOOÚ poměrně intenzivně věnuje problematice cookies. Pro podrobnosti doporučuji kromě výroční zprávy též webové stránky ÚOOÚ[4]. ÚOOÚ shrnuje nejčastější pochybení v souvislosti s cookies: nahrávání cookies souborů do koncových zařízení uživatelů internetových stránek, a to bez jejich souhlasu ve smyslu § 89 odst. 3 zákona o elektronických komunikacích; nedostatky souhlasu se zpracováním osobních údajů; nedostatečné plnění informační povinnosti; nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies; umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpracováním osobních údajů prostřednictvím cookies souborů do různých vrstev v rámci cookie lišty. Zdaleka ne poprvé ÚOOÚ upozorňuje na důležitost práv subjektů údajů stanovených v GDPR[6] a zejména zdůrazňuje nutnost na žádosti subjektů údajů řádně reagovat. Důvodem chybných postupů správců je dle ÚOOÚ často nesprávné vyhodnocení podání, která jsou správcům doručována. Další upozornění pro […]

Úřad pro ochranu osobních údajů i americká Federální obchodní komise uložily rekordní pokuty společnosti Avast za nakládání s osobními údaji svých zákazníků

27. 6. 2024

II. část Pokutu ve výši 351 milionu Kč uložil společnosti Avast podle již pravomocného rozhodnutí Úřad pro ochranu osobních údajů (ÚOOÚ) za neoprávněné zacházení s osobními údaji získanými prostřednictvím antivirového programu, respektive rozšířením prohlížeče. Ze stejného důvodu uložila této společnosti pokutu ve výši 16,5 milionu dolarů (cca 385 milionů Kč) také americká Federální obchodní komise (dále FTC). Jak Úřad své rozhodnutí odůvodnil, jsme rozebírali už v květnovém čísle DPO PRO na str. 4–6. Tady je pokračování. Neinformování subjektů údajů Druhé zásadní porušení ÚOOÚ konstatoval ve vztahu k čl. 13, odst. 1 písm. c) obecného nařízení, tedy přestupek podle § 62 odst. 1 písm. c) zákona o zpracování osobních údajů. Společnost Avast nedostatečně informovala své klienty o účelech zpracování a právním základu zpracování jejich osobn . . .

V žádosti o přístup k osobním údajů nelze zaměňovat pojmy správce a spravující orgán

27. 6. 2024

Skutečnost, že někdo organizačně a technicky zabezpečuje provoz systému, neznamená, že je zároveň spravujícím orgánem povinným plnit povinnosti plynoucí z § 28 až § 30 zákona o ochraně osobních údajů. Ve svém rozhodnutí, č. j. 6 As 227/2022–45, to dne 25. října 2023 uvedl Nejvyšší správní soud. I. Vymezení případu Žádostí ze dne 27. 4. 2021 se žalobce obrátil na žalovaného jako na spravující orgán osobních údajů obsažených v centrální evidenci stíhaných osob (dále jen „CESO“), aby mu sdělil informaci o všech osobních údajích žalobce, k jejichž zpracování došlo či dochází u Policie České republiky ve vymezeném období, a jejich předání žalobci. K výzvě žalovaného žalobce podáním ze dne 30. 6. 2021 upřesnil, že požaduje informace o zpracování svých osobních údajů souvisejících s jeho návštěvou v České republice ve vymezeném období, kdy měl být orgány činn . . .

Pověřenci roku 2023 jsou Zuzana Ondrůjová z FNUSA a Tomáš Rumplík ze společnosti Škoda Auto

27. 6. 2024

Ocenění Pověřenec roku 2023 v kategorii veřejný sektor získala Zuzana Ondrůjová, pověřenkyně pro ochranu osobních údajů Fakultní nemocnice u sv. Anny v Brně. V kategorii soukromý sektor vybrala porota Tomáše Rumplíka, pověřence pro ochranu osobních údajů ve společnosti Škoda Auto. Ke slavnostnímu vyhlášení došlo ve čtvrtek 23. května v Praze. Akce se konala pod záštitou místopředsedy vlády a ministra pro místní rozvoj Ivana Bartoše a předsedy Úřadu pro ochranu osobních údajů Jiřího Kauckého. Soutěž vyhlásil Spolek pro ochranu osobních údajů již pošesté. Další finalistkou je pověřenkyně ČSSZ Kromě Zuzany Ondrůjové je další oceněnou finalistkou Radka Poláková, pověřenkyně České správy sociálního zabezpečení. Zpracování dat jak ve zdravotnictví, tak v oblasti sociálního zabezpečení je často velmi rozsáhlé, zahrnuje velmi citlivé a důvěrné údaje a jeho řádné nastavení a zajišt . . .

Jsme rádi, že se můžeme podílet na budování otevřené kultury a odhalovat nepravosti už v zárodku

27. 6. 2024

Platforma Nenech to být! (NNTB), jež se prezentuje jako nejpoužívanější software na whistleblowing v ČR, poskytuje možnost podávat oznámení hned v několika oblastech. Jedná se o oblasti velmi citlivé, obsahující řadu osobních údajů zvláštní kategorie. Bezpečnost těchto údajů je naprosto zásadní, jelikož se aplikace využívá po celém světě. O aplikaci a o zpracování údajů, které probíhá jejím prostřednictvím, jsem si povídala s Davidem Špunarem,  spoluzakladatelem a COO FaceUp Technology, s. r. o., která za tím vším stojí. Věnujete se především oblasti ochrany oznamovatele. Co vás k ní přivedlo? NNTB vzniklo v roce 2017 jako studentský projekt na oznamování šikany na školách. Postupně jsme si uvědomili, že různé nekalosti se zdaleka nedějí jen tam a v roce 2020 se začali specializovat i na firmy, kde pomáháme budovat speak up culture, tedy prostředí, kde se lidé nebojí promluvit. Ochrana oznamovatelů přišla organicky s novou legislativou. Byl to dal . . .