2021/05 – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Na co musí veřejné instituce myslet při využívání rezervačních systémů

27. 5. 2021 Vanda Foldová

V závěru roku 2020 se Úřad pro ochranu osobních údajů (ÚOOÚ) vyjádřil ke zpracování osobních údajů v rezervačních systémech veřejných institucí.[1] Toto téma nabývá obzvláštní důležitosti v současné době, kdy se podobné rezervační systémy používají i v souvislosti s onemocněním covid-19 za účelem rezervace na testování nebo očkování. ÚOOÚ shrnul závěry, k nimž dospěl na základě provedené kontroly. Zdůraznil zejména zásadu transparentnosti a minimalizace (viz čl. 5 odst. 1 písm. a) a c) GDPR[2]), nutnost plnění infomační povinnosti (viz čl. 13 GDPR) a dále upozornil na nedostatky poskytovaného souhlasu se zpracováním osobních údajů. S aplikací a hodnocením uvedených zásad lze jistě souhlasit. To však již neplatí pro tvrzení ÚOOÚ, že veřejné instituce „musí umět popsat a odůvodnit, proč si vybraly ke zpracování soukromé dodavatele“. Z kontextu . . .

CovidPas a ochrana osobních údajů

27. 5. 2021 František Nonnemann

Jedním z nástrojů, který má usnadnit a urychlit návrat k běžnému fungování společnosti, má být tzv. CovidPas. Mělo by se jednat o primárně elektronické potvrzení o tom, že jeho nositel není ohrožen virem Covid-19, protože byl očkován, v minulosti již nákazu prodělal nebo byl v určené době testován s negativním výsledkem. S tímto potvrzením by jeho nositel mohl mít snadnější vstup do některých provozoven, restaurací či na kulturní akce a mělo by mu také usnadnit přeshraniční cestování včetně turismu. Evropská komise v březnu představila návrh nařízení o tzv. digitálním zeleném certifikátu, jinými slovy CovidPasu.[1] Cílem je nařízení urychleně projednat a vyhlásit, aby CovidPasy umožnily alespoň částečný návrat k normálnímu životu ještě před letní turistickou sezónou. Nařízení Evropské unie je přímo závazným právním aktem, proto nen . . .

Tři roky s GDPR a co nás ještě čeká

Evropský sbor/Soudní dvůr EU27. 5. 2021 Jana Lix Andraščiková

Obecné nařízení o ochraně osobních údajů neboli GDPR[1] vstoupilo účinnost dne 25. května 2018. Tento unikátní právní rámec, který na evropské úrovni zakotvil minimální míru ochrany soukromí a osobních údajů, inspiroval k vymezení obdobných pravidel i státy mimo EU, například Srbsko, Brazílii nebo Kalifornii, čímž potvrdil svůj celosvětový význam. Nařízení, častokrát označováno jako základ revoluce nebo evoluce ochrany osobních údajů, dopadá na širokou škálu subjektů. Jeho implementace a zajištění compliance nejenom se samotným GDPR, ale také s neustále se vyvíjejícími výkladovými pokyny Evropského sboru pro ochranu osobních údajů (EDPB)[2] či národního dohledového orgánu (Úřad pro ochranu osobních údajů) byly pro mnohé z nás oříškem. Navzdory tomu, že pořád zůstávají otevřené některé interpretační otázky, je GDPR rámec funkčním a životaschopným základem pro nakládání s osobními údaji a vedl . . .

Údaje o vzdělání a praxi ve veřejné správě patří do „veřejné a úřední činnosti“

Judikatura27. 5. 2021 Eva Janečková

Dne 25. března 2015 rozhodl Nejvyšší správní soud (č. j. 8 As 12/2015 – 46) o tom, že informace o dosaženém vzdělání a odborné praxi zaměstnanců veřejné správy patří do rozsahu pojmu „veřejná a úřední činnost“ obsaženého v § 5 odst. 2 písm. f) zákona č. 101/2000 Sb., o ochraně osobních údajů. Zájem o poskytnutí uvedeného typu informací o zaměstnancích veřejné správy obecně převažuje nad zájmem o ochranu soukromí dotčených osob. Zmíněný zákon č. 101/2000 Sb., o ochraně osobních údajů, byl již zrušen, nicméně toto ustanovení bylo zákonem č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů, přesunuto do zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Proto se formulačně upravená norma přesouvá do zákona o svobodném přístupu k informacím tak, aby bylo výslovně deklarov . . .

Seznamte se s aktivitami Spolku pro ochranu osobních údajů

Spolek pro ochranu osobních údajů27. 5. 2021

Spolek pro ochranu osobních údajů je neziskovou profesní organizací pověřenců pro ochranu osobních údajů a dalších zájemců o problematiku ochrany a zpracování osobních dat. Pro svých zhruba 300 členů i pro širší veřejnost pořádá řadu vzdělávacích aktivit. Zapojuje se rovněž do veřejné debaty k důležitým tématům z oblasti ochrany údajů a je platformou pro odbornou diskuzi a sdílení znalostí. Dne 22. května Spolek pořádal online konferenci na téma Správce jako rukojmí zpracovatele. Za účasti zástupců Poslanecké sněmovny, Evropského parlamentu i sdružení samospráv byly v centru pozornosti otázky spojené se situací, kdy je správce osobních údajů ve vztahu se svým zpracovatelem tou fakticky slabší stranou. Partnerský slovenský Spolok pre ochranu osobných údajov pak dne 27. května pro členy českého a slovenského spolku zorganizoval workshop s názvem Jak předvídat a zvládat krizovou komunikaci. Tématem byla . . .

IT bezpečnost závisí především na lidech

Rozhovor27. 5. 2021 Eva Janečková

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) stále častěji upozorňuje na zvyšující se počet kybernetických útoků. Mohou mít nejrůznější povahu od těch jednoduchých na webové stránky až po velmi promyšlené a destruktivní útoky, jejichž cílem je nejen nevratné smazání dat. Podle NÚKIB patří k nejohroženějším například vládní sektor, u něhož hrozí zneužití dat získaných špionáží v dezinformačních operacích, významné podniky, kde je riziko útoků prostřednictvím ransomwaru/wiperu, kritická informační infrastruktura, významné informační systémy a systémy poskytovatelů základní služby dle zákona o kybernetické bezpečnosti (hrozí všechny typy útoků). V ohrožení jsou i instituce v oblasti výzkumu a vývoje či finanční sektor[1]. Kybernetická bezpečnost se tedy týká všech. Každý IT nástroj může být vstupní branou pro útok, ať už cílený nebo náhodný. Na oblast IT bezpečnosti jsme se proto zeptali odborn . . .