Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Text obecného nařízení prošel povinnou revizí Evropské komise. Vyhovuje nebo dojde ke změnám?

28. 10. 2024

Letos v květnu tomu bylo právě šest let od nabytí účinnosti Obecného nařízení o ochraně osobních údajů, označovaného jako GDPR. Pro Evropskou komisi z toho dle článku 97 vyplynula povinnost provést v textu pravidelnou revizi, po níž může rozhodnout, zda nařízení zreviduje, nebo dokonce změní. Finální verzi zprávy vydala komise v červenci. Vyhovuje text GDPR plnění svého účelu? A je tentokrát Evropská komise konkrétnější než před čtyřmi lety?  Během prvního hodnocení se chodilo spíš kolem horké koše Pravidelná revize má navazovat na první revizi, která se s mírným zpožděním realizovala v roce 2020. Evropská komise v ní tehdy dospěla k ne příliš překvapivým zjištěním. Prvním z nich byla přetrvávající roztříštěnost implementace GDPR mezi členskými státy, což ztěžuje přeshraniční business a inovace. Ke zlepšení této situace bylo členským státům mj. doporučováno alokovat dostatečné zdroje pro dozorové úřady. Dále se Evropská komise vágně věnovala především nedostatkům v mezinárodním předávaní osobních údajů. Dalo by se říct, že spíš chodila kolem horké kaše. A poněvadž výsledkem naštěstí nebylo znovuotevření neboli revize nařízení, což by bylo vzhledem ke krátké době účinnosti kontraproduktivní, nedočkala se velkého mediálního zájmu. Dopad a přínos GDPR je evidentní v každém sektoru Význam dat neustále stoupá, a tím pádem i potřeba jejich ochrany z hlediska individuálních práv subjektů osobních údajů a taktéž z hlediska rozvoje digitální […]

Doporučení Úřadu pro ochranu osobních údajů ke kamerovým systémům umístěným ve školách a školských zařízeních

28. 9. 2024

Úřad pro ochranu osobních údajů (ÚOOÚ) vydal doporučení ke kamerovým systémům umístěným ve školách a školských zařízeních (dále jen „školách“) a na konci června je předložil k veřejné konzultaci[1]. Z tohoto dokumentu jsme vybrali to nejdůležitější, co byste měli vědět. K charakteru dokumentu Z materiálu bylo zřejmé, že budou následovat další doporučení ke kamerovým systémům (vždy k typově shodným), což se nedlouho poté i potvrdilo[2]. Vydávání doporučení je přitom poměrně významný posun v činnosti ÚOOÚ po účinnosti GDPR[3]. GDPR totiž z principu dozorovým úřadům znesnadňuje jejich činnost, která směřuje k výkladu problematiky GDPR mimo standardní procesní mechanismy (jako jsou kontrolní nebo správní řízení). Vzhledem k nutnosti mezinárodního konsenzu ohledně řady otázek je vydání stanoviska, metodiky nebo obdobného typu dokumentu, jako je třeba doporučení, mnohem riskantnější, než tomu bylo dříve. ÚOOÚ si totiž nikdy nemůže být jistý, že jeho právní posouzení uspěje v porovnání s právním pohledem ostatních dozorových úřadů. Vystavuje tak sebe (ale i správce a zpracovatele pohybující se na společném trhu) určitému riziku, pokud by se následně ukázalo, že jeho doporučení neodpovídá převažujícímu právnímu názoru evropských úřadů. Současně vždy platí, že typy dokumentů, jako jsou doporučení, trpí určitou míru obecnosti a zkratkovitosti, která čtenáře vede k rozčílení, pro které lze modifikovat klasické rčení, že […]

Zaplatit, nebo dát souhlas se zpracováním svých údajů pro behaviorální marketing? Nové pokyny Evropského sboru pro ochranu osobních údajů pro tento model velkých online platforem

28. 7. 2024

Evropský sbor pro ochranu osobních údajů („Sbor“) 17. dubna 2024 přijal pokyny číslo 8/2024[1] k platnosti souhlasu v rámci modelu „souhlas, nebo zaplať“. Vyjádření Sboru k této otázce si v lednu 2024 vyžádaly dozorové úřady Německa, Nizozemska a Norska, a to na základě článku 64 odstavce 2 obecného nařízení. Komu jsou pokyny určeny? Pokyny jsou určeny zejména velkým online platformám. Sbor reaguje na aktuální vývoj, kdy stále více online platforem staví své uživatele před volbu buď zaplatit poplatek za užívání služby, nebo udělit souhlas se zpracováním osobních údajů pro účel behaviorálního marketingu. Mezi českými doménami nedávno tento model začal používat Seznam.cz.[2] Obecné nařízení pojem „online platforma“ nedefinuje, Sbor se proto odkazuje na definici obsaženou v článku 3 písm. i) nařízení o digitálních službách.[3] Velkou online platformu Sbor definuje[4] rámcově jako platformu, která má velký počet uživatelů (subjektů údajů),[5] významné postavení na trhu a provádí rozsáhlá zpracování osobních údajů. Mohou sem spadat „velmi velké online platformy“ a „strážci přístupu“ podle jiných předpisů EU.[6] Behaviorální marketing, jenž patří do cílené reklamy, zažil dynamický rozvoj zejména v online prostředí. Vychází z analýzy chování zákazníků. Základem je detailní profilování chování uživatele v síti, a to včetně údajů získaných od třetích stran nebo z offline prostředí. Behaviorální marketing je tak nutno považovat za obzvlášť […]

Přečetli jsme za vás Výroční zprávu Úřadu pro ochranu osobních údajů

27. 6. 2024

Time is precious. Waste it wisely. (K. Bromberg) Čas je drahá komodita. Ušetřila jsem ten váš, přečetla Výroční zprávu Úřadu pro ochranu osobních údajů (ÚOOÚ) za rok 2023[1] a vybrala z ní informace, které považuji za nejdůležitější pro profesionála v oblasti ochrany osobních údajů. Jednotlivá témata jsou rozdělena podle toho, zda se vztahují především ke zpracování v soukromém či ve veřejném sektoru nebo se uplatní plošně. Soukromý i veřejný sektor Od změny relevantní právní úpravy[3] se ÚOOÚ poměrně intenzivně věnuje problematice cookies. Pro podrobnosti doporučuji kromě výroční zprávy též webové stránky ÚOOÚ[4]. ÚOOÚ shrnuje nejčastější pochybení v souvislosti s cookies: nahrávání cookies souborů do koncových zařízení uživatelů internetových stránek, a to bez jejich souhlasu ve smyslu § 89 odst. 3 zákona o elektronických komunikacích; nedostatky souhlasu se zpracováním osobních údajů; nedostatečné plnění informační povinnosti; nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies; umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpracováním osobních údajů prostřednictvím cookies souborů do různých vrstev v rámci cookie lišty. Zdaleka ne poprvé ÚOOÚ upozorňuje na důležitost práv subjektů údajů stanovených v GDPR[6] a zejména zdůrazňuje nutnost na žádosti subjektů údajů řádně reagovat. Důvodem chybných postupů správců je dle ÚOOÚ často nesprávné vyhodnocení podání, která jsou správcům doručována. Další upozornění pro […]

Jak zabránit vystavení citlivých dat Microsoft Copilotem

27. 5. 2024

Microsoft Copilot je chatbot, který aspiruje na to být jedním z nejvýkonnějších nástrojů pro zvýšení produktivity uživatelů aplikací od firmy Microsoft. Copilot má ovšem přístup ke všem citlivým datům, ke kterým má přístup uživatel, což je často nežádoucí stav. Jak bezpečně zajistit zavedení systému Copilot? Copilot je asistent s umělou inteligencí, který je přítomen v každé z aplikací Microsoft 365 – Word, Excel, PowerPoint, Teams, Outlook atd. Jeho posláním je zbavit každodenní práci nutné neproduktivní rutiny a umožnit uživatelům soustředit se jak na efektivní řešení zásadních problémů, tak na kreativní činnost. Copilot je jiná úroveň využití umělé inteligence než například ChatGPT a další podobné produkty, protože má přístup ke všemu, na čem kdy uživatel v 365 pracoval. Copilot dokáže okamžitě vyhledávat a sestavovat data z dokumentů, prezentací, e-mailů, kalendáře, poznámek a kontaktů. Copilot má přístup ke všem citlivým datům, ke kterým má přístup uživatel V tom ale zároveň spočívá velký problém pro týmy starající se o informační bezpečnost ve firmách. Copilot má přístup ke všem citlivým datům, ke kterým má přístup uživatel, což je často nežádoucí stav. V průměru je 10 % dat společnosti uložených v Microsoft Ofice 365 přístupných všem zaměstnancům. Copilot může také velmi rychle generovat nové výstupy citlivých […]

Úprava zpracování osobních údajů v aktu o umělé inteligenci

28. 4. 2024

Umělá inteligence potřebuje ke svému fungování data. Mnoho dat má ale charakter osobních údajů. Pojďme se podívat na to, jak se zpracování osobních údajů pro trénování systémů umělé inteligence, a to navíc systémů s vysokým rizikem, věnuje konečné znění aktu o umělé inteligenci (AIA), na jehož podobě se na začátku roku shodli zástupci členských států Evropské unie. Jedním z cílů AIA je podpořit důvěryhodnou umělou inteligenci a zajistit dodržování základních práv Mezi základní práva patří i právo na ochranu soukromí a právo na ochranu osobních údajů. Není překvapením, že AIA deklaruje, že se na zpracování osobních údajů v procesech podle AIA vztahuje GDPR, které není tímto nařízením dotčeno (čl. 2 odst. 7 AIA). Ochrana osobních údajů a ochrana soukromí je jedním z důvodů, proč patří některé systémy umělé inteligence mezi zakázané (čl. 5 AIA). Jsou jimi např. systémy biometrické kategorizace, které na základě biometrických údajů mohou dovodit rasu, politické názory, sexuální orientaci apod. Zákaz se týká, byť s určitými výjimkami, i vzdálené biometrické identifikace v reálnem čase pro účely vymáhání práva. Jádro předpisu tvoří regulace systémů s vysokým stupněm rizika Kromě rizik v oblastech bezpečnosti a zdraví je takovým rizikem možný zásah do základních práv. Systémy s vysokým rizikem jsou kupříkladu ty, které jsou postaveny na zpracování biometrických […]

Zpracovatelská smlouva z pohledu pověřence pro ochranu osobních údajů

27. 3. 2024

Ne každý ví, co je to zpracovatelská smlouva (pro někoho též smlouva o zpracování osobních údajů), jak mohu posoudit z praxe pověřence pro ochranu osobních údajů na základě jednání se svými klienty. Proto bude vhodné uvést na pravou míru, kdo je zpracovatel, v jakém je postavení vůči správci osobních údajů, a připomenout, jaké jsou náležitosti zpracovatelské smlouvy, z čeho vycházejí a jaká jsou úskalí při jejich sepisování. Zpracovatelem je každý, kdo pro správce a pouze na jeho pokyn zpracovává osobní údaje, které souvisí s činností správce Zpracování osobních údajů může být tedy například uložení dat u poskytovatele datového prostoru, zpracování agendy jako takové (účetní a mzdové firmy), firma nabízející službu dálkového dohledu PCO nebo zajišťující informování občanů o dění v obci; společnost, která pro školu vypracuje podklad pro diagnostiku předškolní zralosti, plavecká škola apod. Příkladů zpracování osobních údajů je mnoho, a ne vždy může být pro správce zřejmé, že se jedná o zpracování osobních údajů. Každopádně z výše uvedených příkladů vyplývá, že zpracování se týká valné, ne-li přímo většiny správců osobních údajů, resp. dá se předpokládat, že většina správců spolupracuje alespoň s jedním zpracovatelem, resp. má alespoň jednu zpracovatelskou smlouvu.  „Kdo vám tu agendu zpracovává?” „A kde máte ta data […]

Chytré hodinky – pomocník či nebezpečí?

28. 2. 2024

Hitem posledních několika let jsou bezesporu tzv. wearables, neboli chytrá nositelná zařízení, která získávají údaje o svém uživateli a tyto údaje dále zpracovávají. Nejčastějším způsobem takového zpracování je předání těchto údajů zejména do chytrého mobilního telefonu či přímo nebo zprostředkovaně do cloudu, tedy do uživatelského účtu. V kontextu wearables je zajímavé to, že ačkoliv jsou to chytrá zařízení, na první pohled se mohou zdát velmi „hloupá” – může se jednat o jednoduchý prsten či náramek bez displeje. Všechny tyto technické vymoženosti mají jedno společné – zpracovávají velké množství dat, která mají mnohdy povahu zvláštní kategorie osobních údajů. Již samotní EDPB a EDPS reflektovali za doby pandemie covid-19 nárůst využívání těchto zařízení, konkrétně pak zařízení sledujících životní funkce.[1] Jaká jsou rizika spojená s nákupem a dalším využíváním těchto chytrých zařízení? Pojďme si je představit na jednotlivých incidentech. Ačkoliv všechny tyto chytré přístroje mohou přispět k brzkému odhalení zdravotního problému, k plánování tréninků či k prostému sledování důležitých životních funkcí a aktivit během dne, je vždy nutné pamatovat na to, že všechny tyto údaje jsou data, která svou povahou považujeme za osobní údaje a jejichž zpracování se musí řídit platnými právními předpisy. Rizikovost využívání nejen chytrých hodinek lze ilustrovat na hned několika […]

Nová právní regulace kryptoměn a zpracování osobních údajů

28. 1. 2024

Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv (Markets in Crypto Assets Regulation, MiCA), které představuje zcela nový právní rámec pro dosud komplexně neregulované odvětví kryptoaktiv v EU, bylo dne 9. června 2023 zveřejněno v Úředním věstníku Evropské unie.[1] Účinnost nabyde zčásti 30. června 2024 a zčásti 30. prosince 2024. K posledně uvedenému datu nabyde účinnosti i Nařízení č. 2023/1113 ze dne 31. května 2023, o informacích doprovázejících převody peněžních prostředků a některých kryptoaktiv[2] (Transfer of Funds Regulation, TFR). Informace doprovázející transakce Na základě TFR budou muset kryptografické transakce v EU obsahovat identifikační údaje bez ohledu na hodnotu transakce. Poskytovatelé služeb v oblasti kryptoaktiv („CASP“), jako jsou směnárny, burzy a další společnosti, budou pak muset shromažďovat osobní údaje o majitelích veřejných adres, na které jsou zasílány kryptoměny. Tím bude také definován právní titul zpracování osobních údajů pro tyto účely. Preambule TFR (recitál 19) uvádí, že zpracování pro komerční účely mimo rámec GDPR je přísně zakázáno, a upozorňuje rovněž na zpracování osobních údajů ve veřejném zájmu, který je představován bojem proti legalizaci příjmů z trestné činnosti a financování terorismu „AML“).  Konkrétní požadavky a povinnosti v oblasti AML jsou pak rozpracované dále v textu TFR. Poskytovatelům služeb souvisejících s kryptoaktivy vč. […]

Vedení interního telefonního seznamu zaměstnanců

28. 12. 2023

V současné době snad každá větší soukromá společnost či orgán veřejné moci disponuje interním telefonním seznamem svých zaměstnanců.[1] Vedení takového seznamu je čistě praktická záležitost, která usnadňuje komunikaci uvnitř společnosti nebo úřadu. Ačkoli nám vedení takového telefonního seznamu s kontakty zaměstnanců přijde jako naprosto běžná věc, nesmíme zapomínat, že i ten se musí řídit určitými pravidly, a to zejména v oblasti ochrany osobních údajů. Pojďme se blíže podívat, jaké stěžejní povinnosti je třeba v souvislosti s vedením telefonního seznamu uvnitř společnosti dodržovat z pohledu GDPR.[2] Není pochyb o tom, že informace o jednotlivých zaměstnancích zpřístupněné v interním telefonním seznamu představují jejich osobní údaje. Ač je čtenáři jistě zřejmé, jak takový adresář kontaktů vypadá a není potřeba ho blíže popisovat, přesto se jednotlivé telefonní seznamy rozchází v rozsahu osobních údajů, které obsahují. Pro rozbor z pohledu GDPR je nicméně důležité si jednotlivé údaje obsažené v interním telefonním seznamu rozebrat, neboť někdy je už „přes čáru“ regulí na ochranu osobních údajů, co všechno v nich můžeme nalézt. Rozsah osobních údajů zpracovávaných v telefonním seznamu Nejčastěji se setkáme s tím, že vedle identifikačních údajů, jakými je jméno a příjmení, popř. titul zaměstnance, bude telefonní seznam obsahovat klíčové položky, a to pracovní telefonní číslo (ať již číslo mobilního telefonu, číslo pevné telefonní linky, nebo obojí) a samozřejmě e-mailovou […]