Články zdarma – 2. stránka – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Používání GPS ve služebních vozech a využití elektronické knihy jízd

28. 11. 2023 Vojtěch Dlouhý

Při výkonu zaměstnání občas dochází k vyslání zaměstnance na pracovní cestu. Taková „služebka“ bývá nezřídka spojena s využitím služebního vozidla. Pracovněprávní aspekty spojené s řízením služebního vozidla a povinnosti zaměstnavatele s tím spojené budou v tomto textu ponechány bez hlubšího komentáře. Jak se ale s touto problematikou prolíná ochrana osobních údajů? Co když je vozidlo sledováno přes GPS, případně je využívána elektronická kniha jízd? A jak by měl zaměstnavatel postupovat, pokud zaměstnanci zároveň umožňuje využívat vozidlo k soukromým jízdám? Základní pojmy Nejprve je třeba dát do kontextu některé pojmy. Pojem GPS je všem asi dobře znám, často ho využíváme při řízení nebo při toulkách přírodou namísto klasické turistické mapy. Jedná se o systém, který dokáže pomocí elektromagnetického přijímače určit přesnou polohu na povrhu Země, a slouží tedy výlučně k určování polohy, a to na základě signálů odesílaných z družic. Oproti tomu kniha jízd je evidence (elektronická či analogová), která nemá s určením přesné polohy nic společného, ale je zaměstnavateli využívána, protože díky správnému vedení knihy jízdy (o rozsahu informací viz níže) má každý zaměstnavatel možnost uplatnit náklady na pohonné hmoty. Pokud je kniha jízd vedena správně, je zaměstnavatel rovněž schopen prokázat splnění povinností ve vztahu k bezpečnosti a ochraně zdraví při práci, a to v návaznosti na nařízení vlády č. 168/2002 Sb.[1] […]

Zpracování osobních údajů z veřejných rejstříků a povinnosti správce

28. 10. 2023 Vanda Foldová

Pokud se jiný subjekt rozhodne zpracovávat osobní údaje obsažené ve veřejných rejstřících, musí nejprve určit účel a prostředky zpracování. Toto rozhodnutí z něj učiní správce. Co vše zahrnuje pojem veřejný rejstřík a jaké povinnosti má správce při dalším zpracování osobních údajů v takovém rejstříku obsažených? Co je veřejný rejstřík? V užším smyslu, ve kterém budu pojem dále užívat, jsou veřejnými rejstříky ty, které jsou úplným výčtem vyjmenovány v zákoně č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob a o evidenci svěřenských fondů (dále jen „ZVR“), tj.: spolkový rejstřík, nadační rejstřík, rejstřík ústavů, rejstřík společenství vlastníků jednotek, obchodní rejstřík a rejstřík obecně prospěšných společností. Jde o informační systémy veřejné správy, do kterých se zapisují zákonem stanovené údaje o právnických a fyzických osobách. Obecně platí, že údaje o zapsané osobě a listiny uložené ve sbírce listin zveřejňuje rejstříkový soud způsobem umožňujícím dálkový přístup. Z hlediska možného dalšího zpracování údajů ve veřejných rejstřících je však třeba zdůraznit, že některé údaje se neuveřejňují a některé údaje lze na žádost zapsané osoby znepřístupnit.[1] Speciální úpravu stanoví ZVR u rodných čísel Pokud se do veřejného rejstříku zapisuje rodné číslo, neuvádí se v opisu z veřejného rejstříku ani se neuveřejňuje. Je-li rodné číslo uvedeno v listinách zakládaných do sbírky listin, uveřejňují se tyto listiny postupem […]

Francouzský dozorový úřad radí náborářům

28. 9. 2023 Pavel Janeček

Francouzský dozorový úřad (Commission Nationale de l’Informatique et des Libertés, dále CNIL) vydal letos 30. ledna návod pro náboráře a personalisty zaměřený na standardy ochrany osobních údajů v souvislosti s výběrem a najímáním nových zaměstnanců.[1] Při náborech dochází ke zpracování velkého množství údajů více osob Nábor zaměstnanců je proces, při kterém dochází ke zpracování velkého množství údajů více osob. Nepřekvapí proto, že se tímto tématem CNIL zabýval už dříve, konkrétně v roce 2002.[2] Technologický posun a další změny v následujících 20 letech vedly k silnému zájmu odborné veřejnosti o nová vodítka k ochraně osobních údajů. Není snad ani třeba připomínat změnu právního prostředí díky nové evropské úpravě. Nové technologie přinesly nové možnosti náboru např. prostřednictvím sociálních sítí, personalizované reklamy a specializovaných vyhledávacích programů. Běžně se využívají nové formy komunikace. Kromě videokonferenčních hovorů jde o chatboty, různé mobilní aplikace a další nástroje. Mnohem snáze lze vytvořit velkou databázi údajů. Tu pak může zpracovat umělá inteligence nebo jiný nástroj, který na základě dostupných informací vyhodnotí „umění žít“ či tzv. měkké dovednosti kandidátů. Všechny tyto nové prvky s sebou nesou rizika narušení soukromí uchazečů o práci. Příručka CNIL se zaměřila na všechny fáze náboru Příručka je rozdělena na dvě poloviny. První připomíná základy právní úpravy ochrany osobních údajů. Druhá […]

Whistleblowing – nová výzva pro společnosti i jejich DPO

28. 7. 2023 Jiří Hradský

Už je to více než pět let od účinnosti nařízení, které způsobilo revoluci v oblasti ochrany osobních údajů. Od té doby bylo GDPR několikrát „podrobeno zkoušce“. Například v době covid-19 se ukázalo, jak jsou společnosti připraveny na zpracování zvláštních kategorií osobních údajů. V minulém roce se společnosti musely začít prát se soubory cookies, které prostě, chtě nechtě, s GDPR souvisí. Od 1. srpna 2023 přichází další zkouška, která otestuje funkčnost GDPR v mnoha organizacích. Tou je nový zákon č. 171/2023 Sb., o ochraně oznamovatelů. Zákon o whistleblowingu. Předpis, který důvěrnost a důraz na soukromí staví na první místo. Na co myslet při implementaci whistleblowingu z pohledu GDPR? Tady je shrnutí toho nejdůležitějšího. Jak spolu whistleblowing a GDPR souvisí? Zákon o ochraně oznamovatelů zavádí povinnost vytvořit vnitřní oznamovací systém u společností nad 50 zaměstnanců, veřejných zadavatelů, obcí, orgánů veřejné moci a dalších subjektů uvedených v § 8 daného zákona. Pod pojmem vnitřní oznamovací systém si nemusíte představovat software, nýbrž souhrn procesních pravidel, která zajistí, že každý oznamovatel může v klidu a bezpečí oznámit protiprávní jednání na pracovišti. Zákon zavádí také novou pozici příslušné osoby, neboli řešitele oznámení, který má za úkol oznámení přijímat, vyřizovat a navrhovat společnosti opatření. Každý oznamovatel tak musí být chráněn, pokud učiní oznámení o […]

Metodika Úřadu pro ochranu osobních údajů ke kamerám

27. 6. 2023 František Nonnemann

Kamerami a kamerovými systémy, resp. zpracováním osobních údajů prostřednictvím kamer, se zabývá Úřad pro ochranu osobních údajů (ÚOOÚ) již poměrně dlouho. První stanovisko k tomu tématu, tedy aplikaci předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, na kamery, Úřad publikoval již v lednu roku 2006[1]. Na tento dokument pak navazovala řada dalších, které řešily především využití kamer v některé specifické oblasti či při určité činnosti, například v bytových domech, osobních automobilech atd. Zájem veřejnosti na ochraně jejich soukromí při zpracování osobních údajů kamerami dokládají i čísla z výročních zpráv ÚOOÚ. V roce 2022 obdržel celkem 2.192 stížností, z nich 10 % se týkalo právě kamer. V roce 2021 to bylo 13 % ze 2.430 přijatých stížností a v roce 2020 se kamer týkalo 13 % z 1.855 stížností, které ÚOOÚ obdržel. Kamery a GDPR Většina stanovisek a metodik, které ÚOOÚ vydal k aplikaci předchozí právní úpravy na kamery, byla po účinnosti GDPR z jeho webu stažena. Proč? Obecné nařízení o ochraně osobních údajů (GDPR)[2] sice definice základních pojmů, hlavních pravidel a povinností souvisejících se zpracováním osobních dat a věcné působnosti této právní úpravy změnilo jen minimálně, do hry ale vstoupil Evropský sbor pro ochranu osobních údajů (EDPB). Na počátku roku 2020 EDPB vydal pokyny č. 3/2019 […]

Cloudové služby – výsledky šetření z akce evropského sboru pro ochranu údajů

28. 5. 2023 Daniel Stuchlík

V říjnu 2020 Evropský sbor pro ochranu údajů (EDPB) zřídil koordinované vymáhání práva (CEF) s cílem zefektivnit vymáhání a spolupráci mezi dohledovými orgány (SA). V roce 2021 se pak zaměřil na cloudové poskytovatele a jejich využívání ve veřejném sektoru. V letošním roce, konkrétně 17. ledna, vydal Evropský sbor pro ochranu údajů zprávu z výsledků šetření. Co se v ní uvádí? Zpráva obsahuje zjištění ze šetření z roku 2021 až 2023, různá doporučení a připomíná práva a povinnosti zpracovatele v souvislosti s využíváním cloudových služeb. Dále také seznam rozhodnutí nebo jiných typů opatření, která již na vnitrostátní úrovni v oblasti cloud computingu přijalo několik dohledových orgánů. Nakonec se v ní diskutuje o zpracování telemetrických dat a auditování. Informuje o častém výskytu problémů v předsmluvní fázi týkající se provádění posouzení dopadu na ochranu údajů (a/nebo posouzení rizik) a role stran. Pokud jde o smlouvy s poskytovatelem cloudových služeb (CSP), byly identifikovány problémy s absencí smluv a obtížností vyjednat zakázku šitou na míru, stejně jako znalost nebo kontrola dalších zpracovatelů ze strany veřejných orgánů. Kromě toho se objevují problémy související s mezinárodními převody a přístupem zahraničních veřejných orgánů. Závěr zprávy je takový, že s ohledem na možnou citlivou povahu a velké množství údajů zpracovávaných veřejnými orgány […]

Nahrávání úředních osob? Co na sebe nechcete prozradit, nikomu nesdělujte

28. 4. 2023 Veronika Gabrišová

Fenoménem dnešní doby je focení a natáčení kde čeho a kdekoho. Prakticky všichni máme mobilní telefony, které nám to usnadňují. Jednoduché je i následné šíření neomezenému počtu osob kdekoliv ve světě. Před tímto trendem nejsme uchráněni ani my, zaměstnanci úřadů a veřejných institucí. Citlivost nahrávání (pořizování obrazového nebo zvukového záznamu) spočívá v tom, že nahrávky zachycují nejen to, jak vypadáme (naši podobu, vzhled) a co říkáme (náš hlasový projev), ale i řadu dalších významných či méně významných informací (osobních údajů), které o nás mnohé vypovídají, např. odhalí tetování, vadu řeči nebo jiný zdravotní handicap. Podoba člověka je významným projevem osobní povahy.[1] Zachováváme si ji i při výkonu úřední činnosti. Nemáme dvě tváře – jednu pro soukromý život a druhou pro ten profesní. V úředním styku si nenasazujeme žádnou masku. I v práci jsme to stále „jenom my“. V jaké míře ztrácíme ve svém profesním životě kontrolu nad svojí podobou a souvisejícími osobnostními projevy (jejich zachycením a šířením)? Mohou lidé nahrávat zaměstnance úřadů a jsou úředníci povinni nahrávání strpět? Jako vodítko nám k odpovědím na tyto otázky poslouží stanoviska soudů a veřejného ochránce práv. Výchozí pravidlo: Nelze nahrávat soukromý život úředních osob Každý člověk vede tři životy: veřejný, soukromý a tajný.[2] Soukromí každého z nás nekončí tím, […]

Vývoj autonomních systémů řízení s pomocí dat z palubních kamer

28. 3. 2023 Ludmila Probstová

Samotná instalace palubních kamer ve vozidlech není již žádnou novinkou. Jejich využití za účelem získání důkazního materiálu pro případ dopravní nehody je v České republice legální (z hlediska bezpečnosti provozu i ochrany soukromí dotčených osob) a zřejmě i poměrně obvyklou praxí. S tím, jak se do výbavy vozidel prosazují stále pokročilejší asistenční systémy a vývoj směřuje k plně autonomním vozům, získává však shromažďování a další využívání dat z palubních kamer zcela jiné rozměry a význam. Právě díky masivnímu zpracování dat můžeme v dohledné budoucnosti očekávat na našich silnicích vozidla, která se doteď objevovala pouze jako rekvizita ve sci-fi filmech. Moderní vozidla jsou již dnes běžně vybavena množstvím senzorů, které získávají data jak o provozu vozidla samotného, tak i o jeho interakci s okolím, a které takto získaná data ukládají pro budoucí využití nebo i přímo předávají zpět výrobcům, servisům apod.[1] Veškeré informace „zevnitř“ vozu (vypovídající o způsobu řízení nebo o využívání bezpečnostních a asistenčních systémů) i „zvenku“ (týkající se např. dopravního značení a dopravních situací) jsou totiž zcela zásadní z hlediska další optimalizace stávajících asistenčních systémů i pro vývoj nových, včetně autonomních. Množství dat, která jsou a nadále budou zapotřebí k vývoji a dalšímu zdokonalení („učení“) systémů autonomního řízení, je přitom takové, že jen s malou nadsázkou lze říci, […]

Osobní údaje ve zpravodajích – vybrané střípky

28. 2. 2023 Kristýna Vodrážková Michal Hinda

Zajímá vás téma ochrany osobních údajů v obecních či městských zpravodajích? A chcete vědět, co se o tom uvádí v obecném nařízení o ochraně osobních údajů? Vybrali jsme pro vás několik důležitých střípků, které se vztahují k nejčastějším dotazům, s nimiž se ve zmíněných souvislostech pověřenci setkávají. Nejprve je nutné podotknout, že se následující právní předpisy uplatní v případech, kdy se v daném obecním zpravodaji vyskytují osobní údaje fyzických osob, jako jsou např. přistěhovalí, nově narození občané, jubilanti, výherci soutěží, také údaje osob zdokumentovaných v popiscích pod fotografiemi apod. Obec sama rozhoduje o tom, jaké osobní údaje se ve zpravodaji objeví. Žádný právní předpis nestanovuje povinnost místní periodikum vydávat, natož pak konkrétní specifikace možných osobních údajů zveřejněných v takovém periodiku. Jak se na tuto problematiku dívat z pohledu ochrany osobních údajů a soukromí? Nejtypičtější příklady zveřejňování osobních údajů v obecních zpravodajích V rámci transparentnosti a dostatečného informování veřejnosti obec zveřejňuje ve zpravodaji zápisy ze zasedání zastupitelstva, rady a komisí. Je toto zveřejnění možné? K tématu zápisů ze zastupitelstva uvádí zákon č. 128/2000 Sb., o obcích (dále jen „obecní zřízení“), pouze to, že „zápis, který je nutno pořídit do 10 dnů po skončení zasedání, musí být uložen na obecním úřadu k nahlédnutí“ (§ 95 obecního zřízení). O zveřejnění zápisů ze zastupitelstva obce […]

Ústavní soud v kauze osobních údajů veřejných funkcionářů: hlas rozumu, nebo vášně?

28. 1. 2023 Jan Bartonička

V prosincovém čísle DPO PRO jsme otiskli článek pojednávající o recentní judikatuře Ústavního soudu k ústavnosti některých ustanovení zákona o střetu zájmů a ke sporům, které jsou v souvislosti s jeho nálezy vedeny před obecnými soudy.[1] V samém závěru jsme vyjádřili obavu, že nemusí jít s ohledem na vnímané rozpory v rámci soudu o exkurz poslední – a jak se ukázalo, bylo to až překvapivě předvídavé hodnocení. Od uzávěrky prosincového čísla totiž uplynulo jen několik dní a plénum Ústavního soudu přijalo stanovisko, které dosavadní judikaturu obrátilo alespoň zdánlivě naruby. V následujícím textu si proto tyto závěry přiblížíme a několik slov věnujeme také dopadům rozhodovací praxe Ústavního soudu, které musí trápit nejen právní experty. Na začátku si připomeňme, že východisko představoval plenární nález z roku 2020 (sp. zn. Pl. ÚS 38/17), podle kterého byla zrušena ustanovení zákona o střetu zájmů, na jejichž základě byly na webových stránkách Ministerstva spravedlnosti zveřejňovány osobní údaje veřejných funkcionářů. Docházelo k tomu i v době po vyhlášení nálezu, který využil institutu odložené vykonatelnosti. Právě proti tomu dotčení veřejní funkcionáři před obecnými soudy brojili. Jejich neúspěšnou soudní pouť přetrhlo až loni v říjnu rozhodnutí IV. senátu Ústavního soudu, který rozhodl v jejich prospěch. Senátní rozhodnutí (dohledatelné pod spisovou značkou IV. ÚS 579/22) ale nebylo jednomyslné, když soudce Filip formuloval velmi […]