Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

K nabízení zprostředkovatelské služby je třeba mít „co zprostředkovávat“

27. 1. 2022

Dne 7. října 2021 vydal Nejvyšší správní soud rozhodnutí č. j. 7 As 146/2021. V něm se vyjádřil, že vázaný zástupce se ve smyslu čl. Obecného nařízení nachází v pozici zpracovatele, který v rámci své činnosti zprostředkovával služby stěžovatele, přičemž docházelo i ke shromažďování osobních údajů potenciálních klientů, jež shromažďovala a zpracovávala právě za účelem určeným stěžovatelem. Průběh řízení Rozhodnutím Úřadu pro ochranu osobních údajů (Úřad) bylo žalobci uloženo: zajistit provedení výmazu osobních údajů o subjektu údajů – P. D., bytem K. 350, M.; zajistit právní tituly pro zpracování osobních údajů všech subjektů údajů, vůči kterým je žalobce v postavení správce osobních údajů, tedy tam, kde sám určil účel a prostředky zpracování, dle čl. 6 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti . . .

Časté nedostatky ve smlouvách o zpracování osobních údajů

28. 12. 2021

Úkolem pověřence pro ochranu osobních údajů je zhodnocení a korekce ustanovení smlouvy o zpracování osobních údajů uzavřené mezi správcem a zpracovatelem. Jaké zásadní nedostatky mohou obsahovat smlouvy o zpracování osobních údajů v praxi a jak se jim do budoucna vyvarovat? Kdy je nutná zpracovatelská smlouva a co musí obsahovat? Pokud správce pověří zpracováním osobních údajů jiný subjekt, stává se tento subjekt dle definice čl. 4 odst. 8 Obecného nařízení (GDPR) zpracovatelem. Každý zpracovatel musí správci poskytovat dostatečné záruky za plnění požadavků pro zpracování osobních údajů vyplývajících z čl. 28 Obecného nařízení (GDPR) a správce je povinen s tímto zpracovatelem uzavřít písemnou smlouvu o zpracování osobních údajů. Zpracovatelská smlouva musí obsahovat povinné náležitosti, kterými jsou zejména předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů, kategorie subjektu údajů, práva a povinnosti správce a zpracovatele. Dále pak informace o . . .

Zpracování osobních údajů dětí

28. 12. 2021

O zpracování osobních údajů dětí toho bylo napsáno už mnoho. Přesto stále přetrvávají některá nedorozumění a nejasnosti. Nejčastějším příkladem je požadování souhlasu se zpracováním osobních údajů dětí i v případě, kdy k němu dochází na základě zákona, nebo podání nesprávné informace o nutnosti získat rodičovský souhlas s každým zpracováním osobních údajů dětí do 16 let s odkazem na čl. 8 GDPR. Článek 8 GDPR se zabývá rodičovským souhlasem pouze v případě, pokud se jedná o nabízení služby informační společnosti přímo dítěti. Jedná se o službu, která je poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce (např. sociální síť, online hra, apod.). Poskytovatel tedy nedal najevo, že je jeho služba určena pouze pro osoby starší 18 let,[1] a zároveň aplikace nezobrazuje obsah typický pro dětské uživatele. Z . . .

Lze položit rovnítko mezi GDPR a ochranu soukromí?

28. 12. 2021

Problematiku osobních údajů lze nahlédnout jako ochranu soukromí fyzických osob, nebo ochranu jejich osobních údajů. S tím souvisí i otázka vypracování PIA, tedy vlivu na ochranu soukromí, či DPIA, neboli vlivu na ochranu osobních údajů. Vývoj směřuje od soukromí k bezpečnosti, tedy od „privacy“ k „security“. Základním evropským dokumentem v oblasti ochrany osobních údajů je Úmluva Rady Evropy č.108 z roku 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat, kterou Česká republika přijala a vstoupila zde v platnost 1. 11. 2001. Touto úmluvou se mimo EU řídí i mnoho dalších států nejen v Evropě. Úmluva č. 108 v článku 1 říká, že: „účelem této Úmluvy je zaručit na území každé smluvní strany každé fyzické osobě, ať je jakékoliv národnosti nebo pobývá kdekoli, úctu k jejím právům a základním svobodám, a zejména jejímu právu na soukromý život, se zřetelem k automatizovanému zpracov . . .

Dozorové úřady oslovily vlastníky videokonferenčních aplikací

28. 12. 2021

Rozvoj informačních a komunikačních technologií umožnil již před lety konání videohovorů a videokonferencí. Pandemie covid-19 vedla k jejich masovému využití ve vzdělávání i k pořádání jednání. Dostupné aplikace umožňují akce o stovkách účastníků, jejich rozdělení do paralelních virtuálních místností, sdílení obsahu i tlumočení do více jazyků zároveň. V lecčems nelze osobní jednání úplně nahradit, ale v době pandemie často šlo o nejlepší z dostupných způsobů komunikace. Z pohledu ochrany osobních údajů je videokonference činností zpracování. Jde jak o zpracování osobních údajů samotných účastníků, tak potenciálně i osob, které se mohou dostat do záběru kamer či na doslech mikrofonu, nebo jejichž údaje jsou obsaženy ve sdílených dokumentech. Do online prostředí se přesunuly také konzultace s lékaři nebo psychology, kde dochází ke sdílení velmi citlivých osobních údajů. Na rizika videokonferenčních aplikací se začalo více upozor . . .

Aktivity Komise pro elektronické komunikace Spolku

28. 12. 2021

V minulém čísle časopisu DPO PRO jsme informovali o Komisi pro sektor zdravotnictví a farmacie, v tomto blíže představíme aktuální činnost Komise pro elektronické komunikace Spolku pro ochranu osobních údajů. Ten má již takřka 300 členů z řad profesionálů, kteří se zabývají zpracováním a ochranou osobních údajů v soukromém sektoru, samosprávě i veřejné správě. Komise pro elektronické komunikace byla zřízena zejména díky iniciativě členů Spolku Vojtěcha Rusze, který je pověřencem pro ochranu osobních údajů Českého telekomunikačního úřadu, a Vandy Kellerové, seniorní právničky společnosti O2 Czech Republic s dlouholetou zkušeností z oblasti ochrany osobních údajů a ochrany soukromí v telekomunikacích. Vanda Kellerová je rovněž jednou z finalistek prvního ročníku ocenění Pověřenec pro ochranu osobních údajů roku pořádaného Spolkem v roce 2019. Hlavním důvodem . . .

Potřeba znalosti právní úpravy ochrany osobních údajů by mě nemohla minout

28. 12. 2021

Úřad pro ochranu osobních údajů byl zřízen 1. června 2000 jako nezávislý správní orgán pro danou problematiku. Postupně se ujal dozoru nad dodržováním povinností stanovených právními předpisy v oblasti ochrany osobních údajů. Posléze přibyly i další kompetence, například podle zákona o svobodném přístupu k informacím. U tohoto vývoje byla od počátku i Miroslava Matoušová. Patříte k nejdéle sloužícím zaměstnancům Úřadu pro ochranu osobních údajů. Jak se v průběhu let měnily názory této instituce na problematiku ochrany osobních údajů a na postavení jako dozorového a konzultačního orgánu? Ano, je to tak, i když jsem pouze ve druhém sledu nejdéle sloužících zaměstnanců. Několik kolegů tu totiž působí skutečně od samého počátku. Obecně se názory Úřadu formovaly ani ne tak podle systematiky předpisů, které ochranu osobních údajů v České republice v kterémkoli okamžiku upravovaly . . .