Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Zpracování osobních údajů se nevyhnou ani sportovní kluby a oddíly. Co by o tom měly vědět?

28. 12. 2024

Málokterou lidskou činnost je možné realizovat zcela bez zpracování osobních údajů a ani organizované sportovní aktivity nejsou výjimkou. Pokud lze soudit z omezených osobních zkušeností a dále z veřejných zdrojů, panují značné rozdíly v přístupu k tomuto tématu napříč sportovními odvětvími i v rámci jednotlivých sportovních klubů či oddílů. Zastřešujícím dojmem nicméně je, že přístup k plnění povinností podle GDPR[1] je spíše povrchní a formalistický. Informace adresované subjektům údajů jsou zpravidla neaktuální a neúplné, případně nejsou k dispozici vůbec. Přetrvávají také některé „oblíbené“ chyby, typicky v definování správného právního titulu. Pokusíme se zde poskytnout základní orientaci v rolích a odpovědnosti různých aktérů a naznačit některá úskalí, která v kontextu zpracování osobních dat v oblasti organizovaného sportu vznikají. Kdo za zpracování odpovídá? V roli správce osobních údajů budou nejčastěji jednotlivé sportovní kluby a oddíly. Ty vznikají proto, aby sdružovaly zájemce o daný sport a zajišťovaly jim potřebné zázemí, včetně organizačních záležitostí spojených např. s účastí v soutěžích či na závodech. Založením sportovního klubu s tímto cílem je současně stanoven i účel zpracování údajů, které bude zapotřebí shromáždit a dále zpracovávat. Vedle své hlavní činnosti se mohou sportovní kluby rozhodnout, že osobní údaje budou využívat také například k získávání dotací nebo pro marketingové aktivity, čímž definují další účely jejich zpracování. Uvedené platí bez ohledu na právní subjektivitu sportovního klubu […]

Technologie rozpoznávání obličeje na letištích: Stanovisko EDPB, metodika ÚOOÚ a dopad nařízení EU o umělé inteligenci

28. 12. 2024

Evropský sbor pro ochranu osobních údajů (EDPB) vydal dne 24. 5. 2024 Stanovisko 11/2024 o používání rozpoznávání obličeje k zefektivnění pohybu cestujících na letištích a jeho souladu s čl. 5 odst. 1 písm. e) a f) a články 25 a 32 nařízení GDPR.[1] Tento článek zkoumá právní rámec týkající se využívání FRT na letištích, zohledňuje doporučení EDPB a zabývá se rovněž širšími důsledky pro ochranu údajů a soukromí, včetně možného dopadu nařízení EU o umělé inteligenci. Podle GDPR jsou biometrická data, včetně dat z rozpoznávání obličeje, klasifikována jako citlivé osobní údaje a podléhají přísným podmínkám zpracování. Článek 9 GDPR zakazuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby, pokud nejsou splněny specifické podmínky, jako je získání výslovného souhlasu subjektu údajů.[2]

Co přináší nové stanovisko EDPB 22/2024 k některým povinnostem vyplývajícím ze závislosti na zpracovateli a dílčím zpracovateli?

28. 12. 2024

Začátkem října 2024 publikoval Evropský sbor pro ochranu osobních údajů (EDPB) další ze svých stanovisek, která jsou důležitou interpretační a implementační pomůckou pro konzistentní harmonizaci i řádnou aplikaci nařízení o ochraně osobních údajů (GDPR). Konkrétně se jednalo o Stanovisko k některým povinnostem vyplývajícím ze spoléhání se na zpracovatele a dílčí zpracovatele[1] a taktéž Pokyny k oprávněnému zájmu, u nichž probíhala do 20. listopadu veřejná konzultace. Kromě toho bylo publikováno i Prohlášení o stanovení dalších procesních pravidel pro prosazování GDPR, a to v návaznosti na pozměňovací návrhy Evropského parlamentu a Rady a taktéž Pracovní program EDPB na období 2024–2025[2]. Podnět k vydání stanoviska dalo Dánsko Je vcelku zajímavé, že podnětem k vydání Stanoviska k některým povinnostem vyplývajícím ze spoléh . . .

Forma jednání žadatele není důvodem pro automatické neposkytnutí informací

28. 12. 2024

Nejvyšší správní soud vydal 7. listopadu 2024 rozhodnutí, v němž se zabýval hranicemi šikanózního jednání při podávání žádostí podle zákona o svobodném přístupu k informacím. Uvedl, že forma jednání žadatele, např. „hulvátské jednání“, není důvodem pro automatické neposkytnutí informací. V jednání žadatele nelze spatřovat šikanózní jednání, resp. dovodit zlý úmysl žalobce svým následným jednáním stěžovatelku poškodit. Ačkoliv by zvolený urážlivý a nevhodný způsob diskuse neměl mít místo v kultivovaném veřejném prostředí, nedosahuje míry „nátlaku“ ve smyslu předvídaného § 11a odst. 1 písm. a) zákona č. 106/1999 Sb. Svědčí pouze o úrovni pisatele (žalobce). I. Vymezení věci a rozsudek krajského soudu Předmětem sporu je otázka výkladu § 11a odst. 1 písm. a) zákona č. 106/1999 Sb., o svobodném přístupu k informacím (dále jen „zákon č. 106/1999 Sb.“), podle kterého „povinn . . .

Dělat věci správně přináší i provozní benefity, říká pověřenec ze společnosti Vodafone

28. 12. 2024

jako je ta naše, jediný správný, říká Šimon Mudra, pověřenec pro ochranu osobních údajů ve společnosti Vodafone Czech Republic, se kterým jsem si povídala o ochraně osobních údajů ve specifickém prostředí činnosti mobilního operátora. Jak se vám daří zvládat prosazení pravidel ochrany osobních údajů v instituci, která zpracovává obrovské množství dat? Samozřejmě práce je to nelehká a občas i nevděčná, na druhou stranu však obrovsky zajímavá. Díky interně nastaveným procesům, kdy v rámci Privacy by Design musí přes naše oddělení projít v podstatě jakákoliv aktivita ve firmě, máme možnost nahlédnout do všech zákoutí společnosti a dozvědět se mnoho zajímavostí a technických detailů i z oblastí, ke kterým bychom se dostávali jen těžko. A tak se v jednu chvíli noříme do detailů práce s cookies, o hodinu později se snažíme pochopit skutečně hluboká technická z . . .