Články zdarma – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Úskalí a rizika digitálních komunikačních kanálů

28. 5. 2025 Kateřina Mitlöhnerová

V dnešní době už bychom asi těžko našli školu nebo obec či jakoukoliv firmu, kde by se nevyužívaly digitální komunikační kanály. Patří sem e-mailové schránky, webové stránky obcí a škol, elektronické úřední desky, informační systémy (Bakaláři, Edookit, Edupage, elektronická spisová služba), telefon a SMS, sociální sítě (Facebook, Instagram, školní Whatsapp skupiny), videohovory a online výuka či online přednášky – například prostřednictvím Teams, Meet, Zoom. Prakticky běžné je dnes i používání internetových účtů, pomocí nichž získává uživatel přístup k různým službám a produktům. Jedná se například o místo na disku pro ukládání dokumentů, e-mailovou schránku, kalendář, nástroje pro vytváření dokumentů nebo pro online komunikaci atd. Tyto digitální komunikační kanály přijímají a předávají informace, zpracovávají agendy v elektronické podobě, shromažďují, třídí a ukládají data, zkrátka zpracovávají osobní údaje. Není pochyb o tom, že jejich využívání usnadňuje práci, nicméně je třeba pamatovat na to, že se uživatel se ocitá ve virtuálním prostoru. V prostoru, který na rozdíl od klasické papírové korespondence a listinných dokumentů uložených v uzamčených skříních může být pro běžného zaměstnance ne až tak dobře uchopitelný a mnohdy ani ne moc srozumitelný. Navíc v dnešní době, kdy se téma kyberbezpečnosti skloňuje ve všech pádech a nezřídka se objeví zpráva o úniku či […]

Informování o úvěruschopnosti: registry dlužníků

28. 4. 2025 Ludmila Probstová

Řádné plnění závazků patří mezi základní principy společenského a právního řádu, které nám jsou vštěpovány od útlého věku. A stejně tak brzy se učíme, jak předcházet situacím, kdy k očekávánému včasnému nebo řádnému plnění nedojde. Základy věřitelské obezřetnosti lze ilustrovat již na příkladu z dětství: pověst notorického „dlužníka“ hraček v mateřské škole či na hřišti vede k tomu, že „věřitelé“ (vlastníci hraček a jiných žádaných komodit) si další výpůjčky více rozmyslí, případně odmítnou. V dospělém světě zůstává princip v zásadě stejný, pouze metody jsou komplexnější a jsou založeny na podrobném zpracování osobních údajů. Zájem věřitelů na ochraně jejich majetku je základním předpokladem pro stabilitu finančního systému a obchodních vztahů. Informace o bonitě, platební historii a platební morálce dlužníků jsou v tomto ohledu jednou ze základních vstupních informací. A vzhledem k tomu, že finanční prostředky lze v současné době získat z mnoha zdrojů, bankovních i nebankovních, je zcela logický a pochopitelný i zájem věřitelů na sdílení těchto informací. Chránit je nicméně nutno i zájmy a práva dlužníků před zpracováním, které by již představovalo neúměrný zásah do jejich práv na ochranu soukromí, např. v důsledku excesivního rozsahu dat, doby uchování, způsobu zveřejnění či zpřístupnění nebo zneužití k jiným účelům. K tomu slouží v první řadě zvláštní zákony upravující legislativní rámec registrů dlužníků a v případě fyzických osob také […]

Pořizování skrytých záznamů při činnosti orgánů inspekce práce

28. 3. 2025 Vanda Foldová

V první den letošního roku nabyla účinnosti novela zákona o inspekci práce[1], která nově zavedla oprávnění inspektora při provádění kontroly nebo v rámci úkonů předcházejících kontrole pořizovat zvukové, obrazové a zvukově-obrazové záznamy bez vědomí kontrolovaných osob, pokud nelze účelu kontroly dosáhnout jinak. Právo fyzických osob na ochranu jejich soukromého a osobního života tím není dotčeno[2]. Jedním z hlavních cílů novelizace byl přitom postih nelegální práce, včetně jeho procesních aspektů. Argumenty pro zavedení tohoto oprávnění lze podle důvodové zprávy shrnout následovně: Z hlediska povinností stanovených v GDPR[6] se důvodová zpráva věnuje právnímu základu shromažďování[7] takovýchto materiálů, kterým je čl. 6 odst. 1 písm. e) GDPR[8], tedy zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Dále se zabývá omezením uložení[9] (k výmazu shromážděných údajů dojde na základě skartačních lhůt) a integritou a důvěrností[10] (shromážděné údaje se stanou součástí kontrolního spisu a popřípadě následně spisu přestupkového a nebudou veřejně přístupné). Spousta otazníků v teoretické rovině Na tomto místě je třeba zdůraznit, že v případech, kdy zákonodárce schválením příslušného právního předpisu už rozhodl, že konkrétní zpracování osobních údajů je povolené, případně dokonce povinné, je relevance jeho dalšího hodnocení například v takovémto článku poněkud omezená. Teoreticky se lze samozřejmě zabývat tím, zda […]

Lze zveřejnit služební označení státních zaměstnanců?

28. 2. 2025 Vanda Foldová

Dne 1. ledna 2025 nabyla účinnosti novela zákona o státní službě[1], která přináší nový systém služebního označení státních zaměstnanců s výjimkou představených, který není odvozen primárně pouze od dosaženého vzdělání a platové třídy, do níž je zařazeno služební místo, na němž státní zaměstnanec vykonává službu, ale i od náročnosti vykonávaných činností a od toho, na jaké úrovni státní zaměstnanec tyto činnosti vykonává. Pro zachování transparentnosti je přiznání mimořádného služebního označení odvozeno také od výsledků služebního hodnocení, z něhož by mělo být patrné, proč k přiznání mimořádného služebního označení dochází[2]. Zákon o státní službě[3] a příslušný služební předpis[4] nově rozlišují tzv. základní a mimořádná služební označení. Cílem kariérního řádu má být zvýšení atraktivity státní služby. Nový systém služebního označení nabídne aktivním a nadstandardně kvalitním státním zaměstnancům příležitost k profesnímu rozvoji a seberealizaci, což napomůže zvýšení motivace státních zaměstnanců.[5] Státnímu zaměstnanci, který byl přijat do služebního poměru přede dnem 1. ledna 2025, přísluší uvedeným dnem a) základní služební označení, pokud dosud nebylo provedeno jeho služební hodnocení, nebo pokud podle jeho posledního služebního hodnocení dosahoval ve službě dobrých, dostačujících nebo nevyhovujících výsledků, nebo pokud dosud nevykonal úřednickou zkoušku, b) mimořádné služební označení podle § 7 odst. 2 nebo odst. 3 písm. a) zákona o státní […]

Jaké jsou novinky u směrnice o soukromí a elektronických komunikacích ePrivacy?

28. 1. 2025 Jana Lix Andraščiková

Směrnice o soukromí a elektronických komunikacích ePrivacy upravuje pravidla pro ochranu soukromí a důvěrnosti v rámci elektronických komunikací, využití cookies a marketingu. Diskuse k aktuální revizi této směrnice z přelomu milénia jsou ale zdlouhavé a situace kolem předpisu není ani jednoduchá, ani přehledná. I z tohoto důvodu vydal vloni v říjnu Evropský sbor pro ochranu osobních údajů novou verzi Pokynů EDPB 2/2023 k technickému rozsahu článku 5 odst. 3 ePrivacy. Aktuální směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích, ePrivacy) je součástí legislativního rámce Evropské unie zaměřeného na ochranu soukromí a důvěrnosti v oblasti elektronických komunikací. Byla přijata v roce 2002, od té doby se několikrát aktualizovala. Směrnice je silně provázána[1] s nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (GDPR), zaměřuje se ale na specifické aspekty. Zaprvé se jedná o ochranu soukromí při elektronické komunikaci – směrnice upravuje způsob, jakým mohou poskytovatelé služeb zpracovávat data, jako jsou e-maily, SMS nebo internetová aktivita. Dále se věnuje cookies a sledovacím technologiím – reguluje ukládání a přístup k informacím na koncových […]

Zpracování osobních údajů se nevyhnou ani sportovní kluby a oddíly. Co by o tom měly vědět?

28. 12. 2024 Ludmila Probstová

Málokterou lidskou činnost je možné realizovat zcela bez zpracování osobních údajů a ani organizované sportovní aktivity nejsou výjimkou. Pokud lze soudit z omezených osobních zkušeností a dále z veřejných zdrojů, panují značné rozdíly v přístupu k tomuto tématu napříč sportovními odvětvími i v rámci jednotlivých sportovních klubů či oddílů. Zastřešujícím dojmem nicméně je, že přístup k plnění povinností podle GDPR[1] je spíše povrchní a formalistický. Informace adresované subjektům údajů jsou zpravidla neaktuální a neúplné, případně nejsou k dispozici vůbec. Přetrvávají také některé „oblíbené“ chyby, typicky v definování správného právního titulu. Pokusíme se zde poskytnout základní orientaci v rolích a odpovědnosti různých aktérů a naznačit některá úskalí, která v kontextu zpracování osobních dat v oblasti organizovaného sportu vznikají. Kdo za zpracování odpovídá? V roli správce osobních údajů budou nejčastěji jednotlivé sportovní kluby a oddíly. Ty vznikají proto, aby sdružovaly zájemce o daný sport a zajišťovaly jim potřebné zázemí, včetně organizačních záležitostí spojených např. s účastí v soutěžích či na závodech. Založením sportovního klubu s tímto cílem je současně stanoven i účel zpracování údajů, které bude zapotřebí shromáždit a dále zpracovávat. Vedle své hlavní činnosti se mohou sportovní kluby rozhodnout, že osobní údaje budou využívat také například k získávání dotací nebo pro marketingové aktivity, čímž definují další účely jejich zpracování. Uvedené platí bez ohledu na právní subjektivitu sportovního klubu […]

Nákup databáze kontaktů – jen zdánlivě snadné řešení

28. 11. 2024 Ludmila Probstová

Osobní zkušenost s nevyžádanými nabídkami nejrůznějšího zboží či služeb, ať již v podobě telefonátu nebo e-mailu, má dnes snad každý. Také v této oblasti se očekávalo, že s příchodem GDPR, s jeho požadavky na kvalitu souhlasu, obtěžující volání a e‑maily skončí nebo se alespoň stanou jen okrajovou metodou marketingu. Skončit měla i praxe přeprodávání databází s kontaktními údaji určenými k šíření obchodních sdělení. Pohled do seznamu hovorů a do e-mailové schránky toto očekávání ale nepotvrzuje. O tom, že přeprodej databází kontaktů stále dobře funguje, svědčí jak nabídky doručované (jak jinak) formou nevyžádaných e-mailů, tak i výsledky jen zběžně zadané poptávky na internetu: Účelem tohoto příspěvku je proto připomenutí, proč tento způsob shromáždění kontaktních údajů není (a nikdy nebyl) dobrý nápad. Co je obchodní sdělení? Vzhledem k tomu, že smyslem přeprodávání databází je získání kontaktních údajů, na které mají být následně adresovány obchodní (marketingové) nabídky, je důležité si nejprve vymezit, co přesně se pod pojem obchodní sdělení rozumí a jaké jsou podmínky pro jejich rozesílání prostřednictvím elektronických kontaktů.[1] Šíření obchodních sdělení elektronickou cestou upravuje zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (dále jen „ZSIS“), který definuje obchodní sdělení v § 2 písm. f) jako „všechny formy sdělení, včetně reklamy a […]

Text obecného nařízení prošel povinnou revizí Evropské komise. Vyhovuje nebo dojde ke změnám?

28. 10. 2024 Jana Lix Andraščiková

Letos v květnu tomu bylo právě šest let od nabytí účinnosti Obecného nařízení o ochraně osobních údajů, označovaného jako GDPR. Pro Evropskou komisi z toho dle článku 97 vyplynula povinnost provést v textu pravidelnou revizi, po níž může rozhodnout, zda nařízení zreviduje, nebo dokonce změní. Finální verzi zprávy vydala komise v červenci. Vyhovuje text GDPR plnění svého účelu? A je tentokrát Evropská komise konkrétnější než před čtyřmi lety? Během prvního hodnocení se chodilo spíš kolem horké koše Pravidelná revize má navazovat na první revizi, která se s mírným zpožděním realizovala v roce 2020. Evropská komise v ní tehdy dospěla k ne příliš překvapivým zjištěním. Prvním z nich byla přetrvávající roztříštěnost implementace GDPR mezi členskými státy, což ztěžuje přeshraniční business a inovace. Ke zlepšení této situace bylo členským státům mj. doporučováno alokovat dostatečné zdroje pro dozorové úřady. Dále se Evropská komise vágně věnovala především nedostatkům v mezinárodním předávaní osobních údajů. Dalo by se říct, že spíš chodila kolem horké kaše. A poněvadž výsledkem naštěstí nebylo znovuotevření neboli revize nařízení, což by bylo vzhledem ke krátké době účinnosti kontraproduktivní, nedočkala se velkého mediálního zájmu. Dopad a přínos GDPR je evidentní v každém sektoru Význam dat neustále stoupá, a tím pádem i potřeba jejich ochrany z hlediska individuálních práv subjektů osobních údajů a taktéž z hlediska rozvoje digitální […]

Doporučení Úřadu pro ochranu osobních údajů ke kamerovým systémům umístěným ve školách a školských zařízeních

28. 9. 2024 Vanda Foldová

Úřad pro ochranu osobních údajů (ÚOOÚ) vydal doporučení ke kamerovým systémům umístěným ve školách a školských zařízeních (dále jen „školách“) a na konci června je předložil k veřejné konzultaci[1]. Z tohoto dokumentu jsme vybrali to nejdůležitější, co byste měli vědět. K charakteru dokumentu Z materiálu bylo zřejmé, že budou následovat další doporučení ke kamerovým systémům (vždy k typově shodným), což se nedlouho poté i potvrdilo[2]. Vydávání doporučení je přitom poměrně významný posun v činnosti ÚOOÚ po účinnosti GDPR[3]. GDPR totiž z principu dozorovým úřadům znesnadňuje jejich činnost, která směřuje k výkladu problematiky GDPR mimo standardní procesní mechanismy (jako jsou kontrolní nebo správní řízení). Vzhledem k nutnosti mezinárodního konsenzu ohledně řady otázek je vydání stanoviska, metodiky nebo obdobného typu dokumentu, jako je třeba doporučení, mnohem riskantnější, než tomu bylo dříve. ÚOOÚ si totiž nikdy nemůže být jistý, že jeho právní posouzení uspěje v porovnání s právním pohledem ostatních dozorových úřadů. Vystavuje tak sebe (ale i správce a zpracovatele pohybující se na společném trhu) určitému riziku, pokud by se následně ukázalo, že jeho doporučení neodpovídá převažujícímu právnímu názoru evropských úřadů. Současně vždy platí, že typy dokumentů, jako jsou doporučení, trpí určitou míru obecnosti a zkratkovitosti, která čtenáře vede k rozčílení, pro které lze modifikovat klasické rčení, že […]

Zaplatit, nebo dát souhlas se zpracováním svých údajů pro behaviorální marketing? Nové pokyny Evropského sboru pro ochranu osobních údajů pro tento model velkých online platforem

28. 7. 2024 Pavel Janeček

Evropský sbor pro ochranu osobních údajů („Sbor“) 17. dubna 2024 přijal pokyny číslo 8/2024[1] k platnosti souhlasu v rámci modelu „souhlas, nebo zaplať“. Vyjádření Sboru k této otázce si v lednu 2024 vyžádaly dozorové úřady Německa, Nizozemska a Norska, a to na základě článku 64 odstavce 2 obecného nařízení. Komu jsou pokyny určeny? Pokyny jsou určeny zejména velkým online platformám. Sbor reaguje na aktuální vývoj, kdy stále více online platforem staví své uživatele před volbu buď zaplatit poplatek za užívání služby, nebo udělit souhlas se zpracováním osobních údajů pro účel behaviorálního marketingu. Mezi českými doménami nedávno tento model začal používat Seznam.cz.[2] Obecné nařízení pojem „online platforma“ nedefinuje, Sbor se proto odkazuje na definici obsaženou v článku 3 písm. i) nařízení o digitálních službách.[3] Velkou online platformu Sbor definuje[4] rámcově jako platformu, která má velký počet uživatelů (subjektů údajů),[5] významné postavení na trhu a provádí rozsáhlá zpracování osobních údajů. Mohou sem spadat „velmi velké online platformy“ a „strážci přístupu“ podle jiných předpisů EU.[6] Behaviorální marketing, jenž patří do cílené reklamy, zažil dynamický rozvoj zejména v online prostředí. Vychází z analýzy chování zákazníků. Základem je detailní profilování chování uživatele v síti, a to včetně údajů získaných od třetích stran nebo z offline prostředí. Behaviorální marketing je tak nutno považovat za obzvlášť […]