2021/04 – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Správné nastavení zpracování osobních údajů při povinném testování je plně na zaměstnavateli

27. 4. 2021 Ludmila Probstová

V březnu vláda[1] zavedla další opatření pro omezení šíření nemoci Covid-19, a sice povinné testování zaměstnanců[2] na pracovišti. Vedle nemalých organizačních, logistických i finančních nároků, které toto opatření na zaměstnavatele klade, nelze zapomínat ani na to, že jeho nedílnou součástí je i zpracování osobních údajů, a to včetně zvláštních kategorií. Cílem tohoto příspěvku je pokud možno přehledně shrnout, jaké povinnosti v této souvislosti zaměstnavatelům dle GDPR[3] vznikají. Účel a právní základ zpracování osobních údajů – čl. 5, 6 a 9 GDPR Lze předpokládat, že v návaznosti na vydaná opatření a krátký čas k jejich provedení se zaměstnavatelé příliš nezdržovali formulací účelu či právního základu pro zpracování osobních údajů. Ostatně opatření představuje právní povinnost, kterou nelze než akceptovat. Formulování účelu a právn . . .

Jaké osobní údaje může vyžadovat škola ve správním řízení

27. 4. 2021 Eva Urbanová

Správní řízení ve školách a školských zařízeních (dále jen škola) je jednou z činností, která nepatří u ředitelů k těm oblíbeným. Jedná se o složitý proces, jenž podléhá mnoha právním předpisům. Legislativní rámec Mezi základní právní předpisy v této oblasti patří zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů, na základě kterého školy rozhodují o právech a povinnostech dětí, žáků a studentů. Mluvíme o tzv. věcné příslušnosti, která je dána druhým důležitým zákonem č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, jenž stanovuje v § 10 pravomoc správních orgánů rozhodovat ve věcech, které jim byly svěřeny zákonem, v případě škol tedy školským. Vzhledem k . . .

Seznamte se s aktivitami Spolku pro ochranu osobních údajů

Spolek pro ochranu osobních údajů27. 4. 2021

Spolek pro ochranu osobních údajů je neziskovou profesní organizací pověřenců pro ochranu osobních údajů a dalších zájemců o problematiku ochrany a zpracování osobních dat. Spolek pro svých zhruba 300 členů i pro širší veřejnost pořádá řadu vzdělávacích aktivit. Zapojuje se rovněž do veřejné debaty k důležitým tématům z oblasti ochrany údajů a je platformou pro odbornou diskuzi a sdílení znalostí. Spolek pro své členy v březnu uspořádal dva online workshopy, oba za přítomnosti zástupců Úřadu pro ochranu osobních údajů (ÚOOÚ). První se konal 10. března 2021 a jeho hlavním tématem byla nedávno vydaná metodika ÚOOÚ k provádění posouzení vlivu na ochranu osobních údajů a prvotní praktické zkušenosti z jejího používání. Účastníci druhého setkání 19. března hovořili o dopadech povinného testování na Covid – 19 v oblasti ochrany osobních údajů, rozsahu uchovávaných dat, době jejich uchov . . .

Při zveřejnění žádosti o informace je nutná řádná anonymizace

Judikatura27. 4. 2021 Eva Janečková

Krajský soud v Ústí nad Labem dne 10. června 2020 rozhodl o tom (rozhodnutí č. j. 15 A 22/2018-45), že zveřejnění osobních údajů na webových stránkách obce v rozsahu jméno, příjmení, datum narození, fyzická a e-mailová adresa, obsažených v žádosti o informace, je nezákonným zásahem. A to i v případě osoby, která žádost o informaci podala v rámci své podnikatelské činnosti, a vystupuje tedy vůči povinnému subjektu jako „svého druhu profesionál“, jenž musí strpět nižší míru anonymizace svých osobních údajů. Žalobou na ochranu před nezákonným zásahem se žalobce domáhal proto, aby soud určil, že „zásah žalovaného vůči žalobci spočívající ve zveřejňování osobních údajů žalobce na webových stránkách obce, a to konkrétně jeho jména a příjmení, data narození, adresy trvalého pobytu a bydliště a e-mailové adresy v žádosti o informace žalobce, byl nezákonný“. Žaloba V žalobě žalobce . . .

Kdy hlásit bezpečnostní incident? Napoví pokyny EDPB

Evropský sbor/Soudní dvůr EU27. 4. 2021 Tomáš Pavelka

Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil nedávno pokyny k ohlašování incidentů úřadu a subjektům údajů. Dokument vychází z obecných pokynů připravených pracovní skupinou pod názvem Pokyny WP250. Pojednává o několika typech bezpečnostních incidentů a jejich správných řešeních. Ransomware Škodlivý program, který blokuje počítačový systém a šifruje v něm zapsaná data, označujeme jako ransomware. Původce tohoto viru za jeho odstranění a obnovení přístupů často požaduje výkupné. Pokud dojde k napadení ransomwarem, avšak data jsou šifrovaná, je zajištěn dohled nad odchozími daty z počítače a existuje záloha pro obnovení dat, není nutné hlásit incident ÚOOÚ ani subjektům údajů. U incidentu v zemědělském podniku, kde neexistence elektronické zálohy pro obnovení vedla k nutnosti obnovit data z listinné zálohy, není potřeba informovat subjekty údajů. Nahlásit incident ÚOOÚ ale nutné bude. U každého incidentu s&nbsp . . .

I nestandardní zpracování osobních údajů vyžaduje standardní zabezpečení

Rozhovor27. 4. 2021 Eva Janečková

Česká republika, podobně jako zbytek světa, provádí v desetiletých periodách sčítání lidu, domů a bytů. Tradičně ho organizuje Český statistický úřad (ČSÚ), nezávislá a apolitická instituce, která sbírá a publikuje statistická data ze všech podstatných oblastí života občanů. Výsledky jsou velmi důležité a široce využitelné pro budoucnost naší země. Záměrem letošního sčítání je převážnou část dat získat a zpracovat v elektronické podobě. Každý, kdo se z nejrůznějších důvodů nesečte elektronicky, může využít klasický papírový sčítací formulář. Podle informací ČSÚ obsahuje letos sčítací formulář o polovinu méně údajů než při minulém sčítání v roce 2011. Přesto se jedná o poměrně velký objem údajů, které budou zpracovávány. Jakým způsobem jsou chráněny? Sčítání obyvatelstva je poměrně výjimečným a tedy nestandardním druhem zpracování, kdy se pro účely státní statistické služby . . .