Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Chytré hodinky – pomocník či nebezpečí?

28. 2. 2024

Hitem posledních několika let jsou bezesporu tzv. wearables, neboli chytrá nositelná zařízení, která získávají údaje o svém uživateli a tyto údaje dále zpracovávají. Nejčastějším způsobem takového zpracování je předání těchto údajů zejména do chytrého mobilního telefonu či přímo nebo zprostředkovaně do cloudu, tedy do uživatelského účtu. V kontextu wearables je zajímavé to, že ačkoliv jsou to chytrá zařízení, na první pohled se mohou zdát velmi „hloupá” – může se jednat o jednoduchý prsten či náramek bez displeje. Všechny tyto technické vymoženosti mají jedno společné – zpracovávají velké množství dat, která mají mnohdy povahu zvláštní kategorie osobních údajů. Již samotní EDPB a EDPS reflektovali za doby pandemie covid-19 nárůst využívání těchto zařízení, konkrétně pak zařízení sledujících životní funkce.[1] Jaká jsou rizika spojená s nákupem a dalším využíváním těchto chytrých zařízení? Pojďme si je představit na jednotlivých incidentech. Ačkoliv všechny tyto chytré přístroje mohou přispět k brzkému odhalení zdravotního problému, k plánování tréninků či k prostému sledování důležitých životních funkcí a aktivit během dne, je vždy nutné pamatovat na to, že všechny tyto údaje jsou data, která svou povahou považujeme za osobní údaje a jejichž zpracování se musí řídit platnými právními předpisy. Rizikovost využívání nejen chytrých hodinek lze ilustrovat na hned několika […]

Credit scoring pohledem Evropského soudu

28. 2. 2024

Dva rozsudky týkající se credit scoringu, tedy posuzování úvěruschopnosti, respektive bonity klienta, vydal 7. prosince loňského roku Soudní dvůr Evropské unie („SDEU“). V prvním rozsudku (C-634/21) rozhodl, že samotný credit scoring představuje automatizované individuální rozhodování podle čl. 22 GDPR. Druhým rozsudkem zakázal SDEU, aby společnosti provádějící posuzování úvěruschopnosti uchovávaly údaje z veřejného rejstříku déle než po dobu, po kterou jsou v tomto rejstříku zveřejněny.  V obou případech byla posuzována praxe společnosti SCHUFA, která poskytuje informace o úvěrové bonitě svým klientům. Osobami, jejichž bonita je posuzována, jsou převážně spotřebitelé. Credit scoring jako automatizované rozhodování podle čl. 22 O. Q. požádal finanční instituci o poskytnutí úvěru, jeho žádost mu však byla zamítnuta. Podkladem pro toto zamítnutí byly informace o jeho úvěruschopnosti poskytnuté finanční instituci společností SCHUFA. O. Q. chtěl od této společnosti . . .

Rozumím námitkám pacientů vůči pociťovanému nedostatku soukromí při ošetření v nemocnici

28. 2. 2024

Nemocnice z podstaty své činnosti zpracovávají osobní údaje ve velkém rozsahu, zpracovávají také osobní údaje zvláštní kategorie. V rámci péče o pacienty, kteří do značné míry přichází o své soukromí, vzniká řada kolizních situací. Nejen s jejich řešením má bohaté zkušenosti Ondřej Lešetický, který je pověřencem pro ochranu osobních údajů, manažerem kybernetické bezpečnosti a interním auditorem Jihočeské nemocnice, a. s., a Nemocnice České Budějovice, a.s. V rámci zdravotnických zařízení jsou zpracovávány osobní údaje ve velkém rozsahu, a to včetně údajů genetických a biometrických. V nemocnicích se často argumentuje tím, že zejména při střídání sester, které potřebují urychleně nahlížet do dokumentace pacientů, není možné dodržet všechna pravidla a značná část zpracování probíhá na papírových nosičích. Jak těžké je uhlídat dodržování pravidel zpracování osobních údajů a především zabezpečení?

Smluvní klauzule o ochraně osobních údajů mezi Soudním dvorem EU a společností Cisco

28. 2. 2024

Tentokráte se nepozastavíme nad judikaturou, ale nad provozními záležitostmi soudu, konkrétně Soudního dvora EU (SD EU). Evropský sbor pro ochranu osobních údajů (Sbor) v červenci 2023 vydal rozhodnutí, ve kterém se po několikaleté komunikaci se SD EU vyjádřil k příslušným klauzulím smlouvy mezi SD EU a společností Cisco Systems Inc. (dále jen „Cisco“).[1] Celý proces spustila žádost SD EU o rozhodnutí Sboru ve věci případného předávání osobních údajů na základě uvedené smlouvy. Současné rozhodnutí navazuje na předchozí dočasná rozhodnutí,[2] která obsahovala podmínky, jejichž splnění se vyžadovalo k plnému souladu s Nařízením Evropského parlamentu a Rady (EU) 2018/1725[3] o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále „nařízení“). Sbor nevedl šetření na m . . .

Spolek podporuje zájem studentů o ochranu dat 

28. 2. 2024

Spolek pro ochranu osobních údajů se stal jedním z externích partnerů XVII. ročníku soutěže Studentské vědecké a odborné činnosti (SVOČ), kterou pořádá Právnická fakulta Univerzity Karlovy v Praze. Stejně jako v loňském roce Spolek nabídl nad rámec cen soutěže SVOČ vlastní cenu (finanční obnos 10.000,- Kč) pro nejlepší magisterskou či doktorskou práci na téma ochrany osobních údajů v libovolné právní oblasti. Studenti Právnické fakulty UK se mohou při vybírání témat svých prací inspirovat i některým z témat navržených Spolkem: Kvalita hodnocení dopadu připravované legislativy na ochranu osobních údajů. Poskytnutí osobních údajů jako forma protiplnění („pay or OK“). Konflikt judikatury Ústavního soudu a Soudního dvora EU ve věci data retention. Právní implikace tzv. sharentingu. Analýza možností ochrany dět . . .

Výklad definičních pojmů GDPR by neměl být prováděn abstraktně a odtrženě

28. 2. 2024

Nejvyšší správní soud se koncem loňského roku setkal v rámci řízení s otázkami, jež považoval za nutné přednést jako předběžné otázky Soudnímu dvoru Evropské unie. Z jeho usnesení vyplynulo, že dosud není zcela jasné, co a za jakých okolností je osobním údajem. Soudnímu dvoru Evropské unie se předkládají následující předběžné otázky: 1) „Je zpřístupnění jména, příjmení, podpisu, a kontaktních údajů fyzické osoby coby jednatele či odpovědného zástupce právnické osoby, učiněné výlučně za účelem identifikace (osoby oprávněné jednat jménem určité) právnické osoby, přesto zpracováním „osobních údajů“ o dané fyzické osobě podle čl. 4 písm. 1) GDPR, tím pádem vstupující do působnosti GDPR?“ 2) „Může vnitrostátní právo, včetně ustálené judikatury soudní, podmínit aplikaci přímo použitelného unijního . . .