2021/03 – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

NSS: Registrační značka vozidla je osobní údaj

Judikatura27. 3. 2021 Eva Janečková

Dne 13. srpna 2020 vydal Nejvyšší správní soud (NSS) rozhodnutí, které se mimo jiné zabývalo analýzou toho, zda je registrační značka silničního vozidla osobním údajem. Soud dospěl k závěru, že tato informace je osobním údajem ve smyslu ustanovení § 4 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů. Tento zákon však byl již zrušen v souvislosti s nabytím účinnosti Obecného nařízení a zákonem č. 110/2019 Sb. o zpracování osobních údajů. Vzhledem k tomu, že definice osobního údaje, kterou obsahuje Obecné nařízení, je téměř stejná jako ve zmíněném zákoně, je nepochybné, že závěr NSS má platnost i pro současnou právní úpravu. Vymezení věci Žalobce se žalobou domáhal, aby Krajský soud v Praze (dále jen krajský soud) určil, že se žalovaný dopustil nezákonného zásahu tím, že na žádost o informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím poskytl t . . .

Elektronické dokumenty na pracovišti mají své limity

27. 3. 2021 Ludmila Probstová

Aktuální situace, při níž mnozí zaměstnavatelé zavedli opatření pro omezení kontaktů na pracovišti, jednoznačně podporuje i elektronizaci pracovněprávní agendy (tzv. „paper-less“ pracoviště). V této souvislosti vzniká otázka, v jakém rozsahu ji lze efektivně provést. Tento text nastíní možná úskalí této cesty, i s ohledem na rozsah si však nečiní nároky na komplexní objasnění problematiky. Debaty o zavedení či rozšíření elektronické formy komunikace se zaměstnanci často začínají úvahou o tom, jakou technologii, respektive jaký typ elektronického podpisu zvolit. Současně bývá nastolena otázka, jaké kroky je potřeba učinit pro dosažení souladu s GDPR.[1] Relevantní právní předpisy, tedy občanský zákoník, nařízení eIDAS[2] a na něj navazující zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (ZdET), obecně umožňují využít v rámci soukromoprávních vztahů v . . .

Pro plnění informační povinnosti platí jasná pravidla

27. 3. 2021 Veronika Gabrišová

Jelikož pro zpracování osobních údajů mimo jiné platí zásada transparentnosti,[1] od správců se očekává, že osobní údaje nebudou zpracovávat skrytě a utajeně, ale naopak osoby, jejichž osobní údaje zpracovávají (subjekty údajů), uvědomí o všech relevantních souvislostech tohoto procesu. Rozsah informační povinnosti[2] se liší podle toho, odkud správce osobní údaje získal. Správce získá osobní údaje od subjektu údajů Pokud je zdrojem informací přímo subjekt údajů,[3] poskytne mu správce již v okamžiku získání osobních údajů (např. při vyplňováni e-formuláře, objednávky, podání stížnosti, podnětu či žádosti atd.) především tyto informace: kdo je správce včetně kontaktních údajů jeho osoby a případného zástupce, kdo je pověřenec pro ochranu osobních údajů včetně kontaktních údajů, proč osobn . . .

Změny v přijímacím řízení během pandemie se týkají i zjišťování údajů o uchazečích

27. 3. 2021 Lucie Obrovská

Zápisy do škol a přijímací řízení s sebou vždy přinášejí otázky související s ochranou a zpracováním osobních údajů. Za standardních podmínek, bez restriktivních pandemických opatření, má ředitel školy při správním řízení o přijetí uchazeče povinnost vyžadovat výhradně takové informace, které musí zjistit na základě povinnosti uložené mu předpisem. Také může vyžadovat údaje nezbytné pro objasnění úplného skutkového stavu a následné spravedlivé a transparentní rozhodnutí. Pozměňuje nám nynější doba přijímací řízení? Které informace lze vyžadovat Mimořádná opatření přinesla organizační změny přijímacího řízení a také jiná pravidla dokládání skutečností zjišťovaných ředitelem. Obecně je vždy namístě zjišťovat údaje identifikující dítě/žáka i zákonného zástupce. U škol s veřejným zřizovatelem ředitele nebo ředitelku zajímá samozřejmě trvalý pobyt dítěte,[1] neboť mus . . .

Občanské průkazy bez rodného čísla i titulů

27. 3. 2021 Eva Janečková

Dne 5. 3. 2021 projednala Poslanecká sněmovna vládní návrh zákona o občanských průkazech (sněmovní tisk č. 1043/0), který přináší celou řadu zásadních změn. Jedna z oblastí, jež projde významnými úpravami, je rozsah uvedených údajů. Návrh zákona upouští od možnosti uvedení titulu nebo vědecké hodnosti v občanském průkazu, které se do něj podle stávající legislativy zapisují na žádost občana. Změny se týkají i rodných čísel. Návrh zákona v oblasti zpracování osobních údajů a vedení evidence občanských průkazů v zásadě nemění stávající procesy na úseku občanských průkazů, na kterých je založena současná právní úprava. Na druhé straně došlo k přehodnocení rozsahu zapisovaných údajů. S ohledem na obecnou vizi ministerstva již není údajem uváděným v občanském průkazu rodné číslo. Navrhovaný zákon od uvádění tohoto údaje v občanském průkazu upouští vzhledem k vzr . . .

Technologie rozpoznávání obličeje versus ochrana osobních údajů

Rada Evropy27. 3. 2021 Pavel Janeček

Dne 28. ledna 2021 Poradní výbor zřízený Úmluvou Rady Evropy č. 108 vydal pokyny k otázce rozpoznávání obličejů.[1] Technologie s touto schopností totiž může citelně zasáhnout do práv subjektu údajů. V extrémní podobě se tomu tak děje v Číně, kdy je sledování občanů kamerami jedním ze vstupů pro změny tzv. sociálního kreditu, což je velmi sofistikovaný nástroj k ovládání obyvatel metodou cukru a biče. Pokyny vycházejí ze znění Úmluvy č. 108 v podobě upravené jejím druhým dodatkovým protokolem. Základní zásady Východiskem pokynů je princip, že rozpoznávání obličejů je rizikem a přednost by měla dostat ochrana soukromí. Toto by se mělo uplatnit i v případě, že by vnitrostátní legislativa takovou formu zpracování osobních údajů umožňovala, ale reálně by docházelo k narušení práva na soukromí chráněného Evropskou úmluvou o ochraně lidských práv . . .

Obecné nařízení pro ČSSZ neznamenalo zásadní změnu

Rozhovor25. 3. 2021

Česká správa sociálního zabezpečení (ČSSZ) zpracovává osobní údaje a osobní údaje zvláštní kategorie svých klientů za účelem zabezpečení úplných a správných dat sociálního pojištění, nezbytných pro výkon agendy pojistného na sociální zabezpečení, provádění důchodového a nemocenského pojištění, lékařskou posudkovou službu a pro zlepšení poskytování služeb klientům ČSSZ i třetím stranám v souladu s právním řádem ČR a EU a s mezinárodními smlouvami. S pověřenkyní pro ochranu osobních údajů Radkou Polákovou jsme mluvili o tom, jak dokáží data zabezpečit, jak funguje v této oblasti spolupráce s dalšími státními institucemi, o online komunikaci, ale například i o světově unikátní kartotéce z první republiky. V úvodu si nemohu odpustit otázku, jak se váš úřad, jenž pracuje s obrovským množstvím osobních údajů, vyrovnal s GDPR? Musím . . .