Články zdarma – 2. stránka – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Úprava zpracování osobních údajů v aktu o umělé inteligenci

28. 4. 2024 Eva Fialová

Umělá inteligence potřebuje ke svému fungování data. Mnoho dat má ale charakter osobních údajů. Pojďme se podívat na to, jak se zpracování osobních údajů pro trénování systémů umělé inteligence, a to navíc systémů s vysokým rizikem, věnuje konečné znění aktu o umělé inteligenci (AIA), na jehož podobě se na začátku roku shodli zástupci členských států Evropské unie. Jedním z cílů AIA je podpořit důvěryhodnou umělou inteligenci a zajistit dodržování základních práv Mezi základní práva patří i právo na ochranu soukromí a právo na ochranu osobních údajů. Není překvapením, že AIA deklaruje, že se na zpracování osobních údajů v procesech podle AIA vztahuje GDPR, které není tímto nařízením dotčeno (čl. 2 odst. 7 AIA). Ochrana osobních údajů a ochrana soukromí je jedním z důvodů, proč patří některé systémy umělé inteligence mezi zakázané (čl. 5 AIA). Jsou jimi např. systémy biometrické kategorizace, které na základě biometrických údajů mohou dovodit rasu, politické názory, sexuální orientaci apod. Zákaz se týká, byť s určitými výjimkami, i vzdálené biometrické identifikace v reálnem čase pro účely vymáhání práva. Jádro předpisu tvoří regulace systémů s vysokým stupněm rizika Kromě rizik v oblastech bezpečnosti a zdraví je takovým rizikem možný zásah do základních práv. Systémy s vysokým rizikem jsou kupříkladu ty, které jsou postaveny na zpracování biometrických […]

Zpracovatelská smlouva z pohledu pověřence pro ochranu osobních údajů

27. 3. 2024 Kateřina Mitlöhnerová

Ne každý ví, co je to zpracovatelská smlouva (pro někoho též smlouva o zpracování osobních údajů), jak mohu posoudit z praxe pověřence pro ochranu osobních údajů na základě jednání se svými klienty. Proto bude vhodné uvést na pravou míru, kdo je zpracovatel, v jakém je postavení vůči správci osobních údajů, a připomenout, jaké jsou náležitosti zpracovatelské smlouvy, z čeho vycházejí a jaká jsou úskalí při jejich sepisování. Zpracovatelem je každý, kdo pro správce a pouze na jeho pokyn zpracovává osobní údaje, které souvisí s činností správce Zpracování osobních údajů může být tedy například uložení dat u poskytovatele datového prostoru, zpracování agendy jako takové (účetní a mzdové firmy), firma nabízející službu dálkového dohledu PCO nebo zajišťující informování občanů o dění v obci; společnost, která pro školu vypracuje podklad pro diagnostiku předškolní zralosti, plavecká škola apod. Příkladů zpracování osobních údajů je mnoho, a ne vždy může být pro správce zřejmé, že se jedná o zpracování osobních údajů. Každopádně z výše uvedených příkladů vyplývá, že zpracování se týká valné, ne-li přímo většiny správců osobních údajů, resp. dá se předpokládat, že většina správců spolupracuje alespoň s jedním zpracovatelem, resp. má alespoň jednu zpracovatelskou smlouvu. „Kdo vám tu agendu zpracovává?” „A kde máte ta data […]

Chytré hodinky – pomocník či nebezpečí?

28. 2. 2024 Michal Hinda

Hitem posledních několika let jsou bezesporu tzv. wearables, neboli chytrá nositelná zařízení, která získávají údaje o svém uživateli a tyto údaje dále zpracovávají. Nejčastějším způsobem takového zpracování je předání těchto údajů zejména do chytrého mobilního telefonu či přímo nebo zprostředkovaně do cloudu, tedy do uživatelského účtu. V kontextu wearables je zajímavé to, že ačkoliv jsou to chytrá zařízení, na první pohled se mohou zdát velmi „hloupá” – může se jednat o jednoduchý prsten či náramek bez displeje. Všechny tyto technické vymoženosti mají jedno společné – zpracovávají velké množství dat, která mají mnohdy povahu zvláštní kategorie osobních údajů. Již samotní EDPB a EDPS reflektovali za doby pandemie covid-19 nárůst využívání těchto zařízení, konkrétně pak zařízení sledujících životní funkce.[1] Jaká jsou rizika spojená s nákupem a dalším využíváním těchto chytrých zařízení? Pojďme si je představit na jednotlivých incidentech. Ačkoliv všechny tyto chytré přístroje mohou přispět k brzkému odhalení zdravotního problému, k plánování tréninků či k prostému sledování důležitých životních funkcí a aktivit během dne, je vždy nutné pamatovat na to, že všechny tyto údaje jsou data, která svou povahou považujeme za osobní údaje a jejichž zpracování se musí řídit platnými právními předpisy. Rizikovost využívání nejen chytrých hodinek lze ilustrovat na hned několika […]

Nová právní regulace kryptoměn a zpracování osobních údajů

28. 1. 2024 Alexander Kult

Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv (Markets in Crypto Assets Regulation, MiCA), které představuje zcela nový právní rámec pro dosud komplexně neregulované odvětví kryptoaktiv v EU, bylo dne 9. června 2023 zveřejněno v Úředním věstníku Evropské unie.[1] Účinnost nabyde zčásti 30. června 2024 a zčásti 30. prosince 2024. K posledně uvedenému datu nabyde účinnosti i Nařízení č. 2023/1113 ze dne 31. května 2023, o informacích doprovázejících převody peněžních prostředků a některých kryptoaktiv[2] (Transfer of Funds Regulation, TFR). Informace doprovázející transakce Na základě TFR budou muset kryptografické transakce v EU obsahovat identifikační údaje bez ohledu na hodnotu transakce. Poskytovatelé služeb v oblasti kryptoaktiv („CASP“), jako jsou směnárny, burzy a další společnosti, budou pak muset shromažďovat osobní údaje o majitelích veřejných adres, na které jsou zasílány kryptoměny. Tím bude také definován právní titul zpracování osobních údajů pro tyto účely. Preambule TFR (recitál 19) uvádí, že zpracování pro komerční účely mimo rámec GDPR je přísně zakázáno, a upozorňuje rovněž na zpracování osobních údajů ve veřejném zájmu, který je představován bojem proti legalizaci příjmů z trestné činnosti a financování terorismu „AML“). Konkrétní požadavky a povinnosti v oblasti AML jsou pak rozpracované dále v textu TFR. Poskytovatelům služeb souvisejících s kryptoaktivy vč. […]

Vedení interního telefonního seznamu zaměstnanců

28. 12. 2023 Michaela Handrejchová

V současné době snad každá větší soukromá společnost či orgán veřejné moci disponuje interním telefonním seznamem svých zaměstnanců.[1] Vedení takového seznamu je čistě praktická záležitost, která usnadňuje komunikaci uvnitř společnosti nebo úřadu. Ačkoli nám vedení takového telefonního seznamu s kontakty zaměstnanců přijde jako naprosto běžná věc, nesmíme zapomínat, že i ten se musí řídit určitými pravidly, a to zejména v oblasti ochrany osobních údajů. Pojďme se blíže podívat, jaké stěžejní povinnosti je třeba v souvislosti s vedením telefonního seznamu uvnitř společnosti dodržovat z pohledu GDPR.[2] Není pochyb o tom, že informace o jednotlivých zaměstnancích zpřístupněné v interním telefonním seznamu představují jejich osobní údaje. Ač je čtenáři jistě zřejmé, jak takový adresář kontaktů vypadá a není potřeba ho blíže popisovat, přesto se jednotlivé telefonní seznamy rozchází v rozsahu osobních údajů, které obsahují. Pro rozbor z pohledu GDPR je nicméně důležité si jednotlivé údaje obsažené v interním telefonním seznamu rozebrat, neboť někdy je už „přes čáru“ regulí na ochranu osobních údajů, co všechno v nich můžeme nalézt. Rozsah osobních údajů zpracovávaných v telefonním seznamu Nejčastěji se setkáme s tím, že vedle identifikačních údajů, jakými je jméno a příjmení, popř. titul zaměstnance, bude telefonní seznam obsahovat klíčové položky, a to pracovní telefonní číslo (ať již číslo mobilního telefonu, číslo pevné telefonní linky, nebo obojí) a samozřejmě e-mailovou […]

Používání GPS ve služebních vozech a využití elektronické knihy jízd

28. 11. 2023 Vojtěch Dlouhý

Při výkonu zaměstnání občas dochází k vyslání zaměstnance na pracovní cestu. Taková „služebka“ bývá nezřídka spojena s využitím služebního vozidla. Pracovněprávní aspekty spojené s řízením služebního vozidla a povinnosti zaměstnavatele s tím spojené budou v tomto textu ponechány bez hlubšího komentáře. Jak se ale s touto problematikou prolíná ochrana osobních údajů? Co když je vozidlo sledováno přes GPS, případně je využívána elektronická kniha jízd? A jak by měl zaměstnavatel postupovat, pokud zaměstnanci zároveň umožňuje využívat vozidlo k soukromým jízdám? Základní pojmy Nejprve je třeba dát do kontextu některé pojmy. Pojem GPS je všem asi dobře znám, často ho využíváme při řízení nebo při toulkách přírodou namísto klasické turistické mapy. Jedná se o systém, který dokáže pomocí elektromagnetického přijímače určit přesnou polohu na povrhu Země, a slouží tedy výlučně k určování polohy, a to na základě signálů odesílaných z družic. Oproti tomu kniha jízd je evidence (elektronická či analogová), která nemá s určením přesné polohy nic společného, ale je zaměstnavateli využívána, protože díky správnému vedení knihy jízdy (o rozsahu informací viz níže) má každý zaměstnavatel možnost uplatnit náklady na pohonné hmoty. Pokud je kniha jízd vedena správně, je zaměstnavatel rovněž schopen prokázat splnění povinností ve vztahu k bezpečnosti a ochraně zdraví při práci, a to v návaznosti na nařízení vlády č. 168/2002 Sb.[1] […]

Zpracování osobních údajů z veřejných rejstříků a povinnosti správce

28. 10. 2023 Vanda Foldová

Pokud se jiný subjekt rozhodne zpracovávat osobní údaje obsažené ve veřejných rejstřících, musí nejprve určit účel a prostředky zpracování. Toto rozhodnutí z něj učiní správce. Co vše zahrnuje pojem veřejný rejstřík a jaké povinnosti má správce při dalším zpracování osobních údajů v takovém rejstříku obsažených? Co je veřejný rejstřík? V užším smyslu, ve kterém budu pojem dále užívat, jsou veřejnými rejstříky ty, které jsou úplným výčtem vyjmenovány v zákoně č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob a o evidenci svěřenských fondů (dále jen „ZVR“), tj.: spolkový rejstřík, nadační rejstřík, rejstřík ústavů, rejstřík společenství vlastníků jednotek, obchodní rejstřík a rejstřík obecně prospěšných společností. Jde o informační systémy veřejné správy, do kterých se zapisují zákonem stanovené údaje o právnických a fyzických osobách. Obecně platí, že údaje o zapsané osobě a listiny uložené ve sbírce listin zveřejňuje rejstříkový soud způsobem umožňujícím dálkový přístup. Z hlediska možného dalšího zpracování údajů ve veřejných rejstřících je však třeba zdůraznit, že některé údaje se neuveřejňují a některé údaje lze na žádost zapsané osoby znepřístupnit.[1] Speciální úpravu stanoví ZVR u rodných čísel Pokud se do veřejného rejstříku zapisuje rodné číslo, neuvádí se v opisu z veřejného rejstříku ani se neuveřejňuje. Je-li rodné číslo uvedeno v listinách zakládaných do sbírky listin, uveřejňují se tyto listiny postupem […]

Francouzský dozorový úřad radí náborářům

28. 9. 2023 Pavel Janeček

Francouzský dozorový úřad (Commission Nationale de l’Informatique et des Libertés, dále CNIL) vydal letos 30. ledna návod pro náboráře a personalisty zaměřený na standardy ochrany osobních údajů v souvislosti s výběrem a najímáním nových zaměstnanců.[1] Při náborech dochází ke zpracování velkého množství údajů více osob Nábor zaměstnanců je proces, při kterém dochází ke zpracování velkého množství údajů více osob. Nepřekvapí proto, že se tímto tématem CNIL zabýval už dříve, konkrétně v roce 2002.[2] Technologický posun a další změny v následujících 20 letech vedly k silnému zájmu odborné veřejnosti o nová vodítka k ochraně osobních údajů. Není snad ani třeba připomínat změnu právního prostředí díky nové evropské úpravě. Nové technologie přinesly nové možnosti náboru např. prostřednictvím sociálních sítí, personalizované reklamy a specializovaných vyhledávacích programů. Běžně se využívají nové formy komunikace. Kromě videokonferenčních hovorů jde o chatboty, různé mobilní aplikace a další nástroje. Mnohem snáze lze vytvořit velkou databázi údajů. Tu pak může zpracovat umělá inteligence nebo jiný nástroj, který na základě dostupných informací vyhodnotí „umění žít“ či tzv. měkké dovednosti kandidátů. Všechny tyto nové prvky s sebou nesou rizika narušení soukromí uchazečů o práci. Příručka CNIL se zaměřila na všechny fáze náboru Příručka je rozdělena na dvě poloviny. První připomíná základy právní úpravy ochrany osobních údajů. Druhá […]

Whistleblowing – nová výzva pro společnosti i jejich DPO

28. 7. 2023 Jiří Hradský

Už je to více než pět let od účinnosti nařízení, které způsobilo revoluci v oblasti ochrany osobních údajů. Od té doby bylo GDPR několikrát „podrobeno zkoušce“. Například v době covid-19 se ukázalo, jak jsou společnosti připraveny na zpracování zvláštních kategorií osobních údajů. V minulém roce se společnosti musely začít prát se soubory cookies, které prostě, chtě nechtě, s GDPR souvisí. Od 1. srpna 2023 přichází další zkouška, která otestuje funkčnost GDPR v mnoha organizacích. Tou je nový zákon č. 171/2023 Sb., o ochraně oznamovatelů. Zákon o whistleblowingu. Předpis, který důvěrnost a důraz na soukromí staví na první místo. Na co myslet při implementaci whistleblowingu z pohledu GDPR? Tady je shrnutí toho nejdůležitějšího. Jak spolu whistleblowing a GDPR souvisí? Zákon o ochraně oznamovatelů zavádí povinnost vytvořit vnitřní oznamovací systém u společností nad 50 zaměstnanců, veřejných zadavatelů, obcí, orgánů veřejné moci a dalších subjektů uvedených v § 8 daného zákona. Pod pojmem vnitřní oznamovací systém si nemusíte představovat software, nýbrž souhrn procesních pravidel, která zajistí, že každý oznamovatel může v klidu a bezpečí oznámit protiprávní jednání na pracovišti. Zákon zavádí také novou pozici příslušné osoby, neboli řešitele oznámení, který má za úkol oznámení přijímat, vyřizovat a navrhovat společnosti opatření. Každý oznamovatel tak musí být chráněn, pokud učiní oznámení o […]

Metodika Úřadu pro ochranu osobních údajů ke kamerám

27. 6. 2023 František Nonnemann

Kamerami a kamerovými systémy, resp. zpracováním osobních údajů prostřednictvím kamer, se zabývá Úřad pro ochranu osobních údajů (ÚOOÚ) již poměrně dlouho. První stanovisko k tomu tématu, tedy aplikaci předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, na kamery, Úřad publikoval již v lednu roku 2006[1]. Na tento dokument pak navazovala řada dalších, které řešily především využití kamer v některé specifické oblasti či při určité činnosti, například v bytových domech, osobních automobilech atd. Zájem veřejnosti na ochraně jejich soukromí při zpracování osobních údajů kamerami dokládají i čísla z výročních zpráv ÚOOÚ. V roce 2022 obdržel celkem 2.192 stížností, z nich 10 % se týkalo právě kamer. V roce 2021 to bylo 13 % ze 2.430 přijatých stížností a v roce 2020 se kamer týkalo 13 % z 1.855 stížností, které ÚOOÚ obdržel. Kamery a GDPR Většina stanovisek a metodik, které ÚOOÚ vydal k aplikaci předchozí právní úpravy na kamery, byla po účinnosti GDPR z jeho webu stažena. Proč? Obecné nařízení o ochraně osobních údajů (GDPR)[2] sice definice základních pojmů, hlavních pravidel a povinností souvisejících se zpracováním osobních dat a věcné působnosti této právní úpravy změnilo jen minimálně, do hry ale vstoupil Evropský sbor pro ochranu osobních údajů (EDPB). Na počátku roku 2020 EDPB vydal pokyny č. 3/2019 […]