Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Zablokování ChatGPT v Itálii a vztah GDPR k AI

28. 7. 2023

Od loňského listopadu v médiích a veřejném prostoru stále častěji slýcháme o umělé inteligenci a jejím využití snad ve všech možných sférách. Právě tehdy došlo k významnému milníku, když firma OpenAI zpřístupnila veřejnosti k používání svého chatbota OpenGPT. Technologie postupují mílovými kroky vpřed. Jak je to ale s dodržováním stávající legislativy? Itálie se v oblasti uplatňování GDPR v technologiích řadí mezi nejaktivnější V březnu italský úřad pro ochranu osobních údajů (Garante) oznámil, že službě zakázal zpracovávat data místních uživatelů a prošetří činnost firmy, která za programem stojí. Itálie se tím zařadila mezi první státy, které ChatGPT zakázaly. Do té doby to byly nedemokratické země jako Rusko, Čína nebo Írán. Na západě blokují ChatGPT některé školy, aby technologie nemohla být použita k . . .

Spolek nespí ani o prázdninách. Na podzim připravuje vzdělávací akce i výroční konferenci

28. 7. 2023

Léto je i pro Spolek pro ochranu osobních údajů spíše ve znamení odpočinku a přípravy na podzimní aktivity. S jednou výjimkou: 20. července se uskutečnil online workshop členky Výboru Spolku Jany Pattynové na téma Metaverse z pohledu regulace a ochrany dat. Workshop byl určen pro členské asociace Evropské federace pověřenců pro ochranu osobních údajů, které je Spolek zakládajícím členem. Stanoviska a jiná aktuální témata Ještě před prázdninami jsme se také věnovali stanoviskům na aktuální témata a otázky týkající se různých aspektů zpracování dat a ochrany soukromí. Spolek připravil Stanovisko k omezování dostupnosti rodných čísel, Vyjádření k návrhu metodiky ÚOO . . .

Whistleblowing – nová výzva pro společnosti i jejich DPO

28. 7. 2023

Už je to více než pět let od účinnosti nařízení, které způsobilo revoluci v oblasti ochrany osobních údajů. Od té doby bylo GDPR několikrát „podrobeno zkoušce“. Například v době covid-19 se ukázalo, jak jsou společnosti připraveny na zpracování zvláštních kategorií osobních údajů. V minulém roce se společnosti musely začít prát se soubory cookies, které prostě, chtě nechtě, s GDPR souvisí. Od 1. srpna 2023 přichází další zkouška, která otestuje funkčnost GDPR v mnoha organizacích. Tou je nový zákon č. 171/2023 Sb., o ochraně oznamovatelů. Zákon o whistleblowingu. Předpis, který důvěrnost a důraz na soukromí staví na první místo. Na co myslet při implementaci whistleblowingu z pohledu GDPR? Tady je shrnutí toho nejdůležitějšího. Jak spolu whistleblowing a GDPR souvisí? Zákon o ochraně oznamovatelů zavádí povinnost vytvořit vnitřní oznamovací systém u společností nad 50 zaměstnanců, veřejných zadavatelů, obcí, orgánů veřejné moci a dalších subjektů uvedených v § 8 daného zákona. Pod pojmem vnitřní oznamovací systém si nemusíte představovat software, nýbrž souhrn procesních pravidel, která zajistí, že každý oznamovatel může v klidu a bezpečí oznámit protiprávní jednání na pracovišti. Zákon zavádí také novou pozici příslušné osoby, neboli řešitele oznámení, který má za úkol oznámení přijímat, vyřizovat a navrhovat společnosti opatření. Každý oznamovatel tak musí být chráněn, pokud učiní oznámení o […]

Přeshraniční předávání osobních údajů v rámci koncernu 

28. 7. 2023

V naší globalizované společnosti dochází k velkému množství přeshraničních přenosů osobních údajů, které jsou navíc usnadněny elektronickou komunikací. Ta však přináší i svá úskalí, protože sdílení dat může probíhat i jakoby mimoděk.  Nejeden z nás si ani nemusí uvědomit, že pouhým uložením dat do sdílené složky či přidáním dalšího adresáta do kopie e-mailu může přenést osobní údaje do států, které nezaručují srovnatelnou ochranu osobních údajů dle požadavků nařízení GDPR.[1] Je třeba si včas uvědomit, že jím poskytovaná ochrana „cestuje“ spolu s osobními údaji. Pravidla na jejich ochranu tak platí i nadále bez ohledu na to, kde se nacházejí nebo komu jsou zpřístupněny.    Skupina společností představuje korporátní strukturu, která má úplně anebo alespoň částečně totožnou vlastnickou strukturu. Nejedná se ovšem o konkrétní právní pojem, se . . .

Anonymizace v praxi povinných subjektů

28. 7. 2023

Anonymizace je nedílnou součástí práce povinných subjektů při poskytování informací. Není samoúčelná. Má zabránit neodůvodněným zásahům do soukromí dotčených osob a zajistit ochranu dalším údajům, které si ji po právu zaslouží. Má-li být provedena důsledně, může jít o poměrně náročný proces. Připomeneme si proto základní principy anonymizace, její smysl a účel. Pokusíme se ozřejmit, které údaje anonymizujeme, jak právo chrání soukromí žadatelů o informace a co musí strpět žadatelé profesionálové. Anonymizace před poskytnutím informací Poprvé a nejčastěji provádí povinné subjekty anonymizaci v souvislosti s poskytováním informací. V této souvislosti anonymizací rozumíme vyhledávání informací (osobních a dalších údajů), které nelze poskytnout.[1] Primárním smyslem anonymizace je ochrana soukromí[2] a dalších údajů, jejichž poskytnutí by mohlo představovat neod . . .

Pro životaschopné zajištění ochrany osobních údajů v jakékoli organizaci považuji za klíčové povědomí a důvěru

28. 7. 2023

Banky patří mezi největší zpracovatele osobních údajů v České republice a ani ta centrální – ČNB nezůstává v tomto ohledu pozadu. O tom, jak probíhá zpracování osobních údajů v této instituci a čím se liší od zpracování u běžných bank, jsem si povídala s jejím pověřencem Ladislavem J. A. Maczvaldou. Česká bankovní asociace vytvořila pracovní skupinu pro ochranu osobních údajů v rámci implementace obecného nařízení (GDPR). Spolupracovala tato skupina s ČNB? ČBA, přesněji zmiňovaná pracovní skupina pro ochranu osobních údajů iniciovala diskusi s ČNB v souvislosti s implementací GDPR v bankovním sektoru. Následně ČNB již s touto pracovní skupinou přímo nespolupracovala. V rámci spolupráce mezi ČBA a ČNB se ochrana osobních údajů řeší jako dílčí aspekt určitého projektu, a to přímo s věcně zaměřenou pracovní skupinou; přičemž pracovní skupinu pro ochranu osobních údajů vnímám sp . . .

Je nové evropské nařízení DORA spíše Pandorou? A co přináší?

28. 7. 2023

Vzpomínáte? Už v minulém roce se časopis DPO věnoval v té době vyjednávanému evropského legislativnímu návrhu nařízení o digitální provozní odolnosti finančního sektoru (DORA) a jeho očekávaným přesahům do další evropské legislativy, GDPR nevyjímajíc. Pojďme si představit nyní již známé požadavky finálního znění nařízení DORA[1] jako takového a stručně nastínit i kontext celkového legislativního rámce, na který tento významný předpis navazuje. Proč se problematika posílení kybernetické bezpečnosti (nejenom) finančních institucí obecně dostává do centra zájmu? Důležitost odolných informačních a komunikačních technologií (ICT) se výrazně projevila v souvislosti s pandemií covidu-19, která vedla k bezprecedentnímu nárůstu kybernetické aktivity, což s sebou přináší výzvy, příležitosti, avšak rozhodně i možnosti zneužití. Silnou politickou motivaci Evropské komise k přijet . . .