Články zdarma – 3. stránka – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Cloudové služby – výsledky šetření z akce evropského sboru pro ochranu údajů

28. 5. 2023 Daniel Stuchlík

V říjnu 2020 Evropský sbor pro ochranu údajů (EDPB) zřídil koordinované vymáhání práva (CEF) s cílem zefektivnit vymáhání a spolupráci mezi dohledovými orgány (SA). V roce 2021 se pak zaměřil na cloudové poskytovatele a jejich využívání ve veřejném sektoru. V letošním roce, konkrétně 17. ledna, vydal Evropský sbor pro ochranu údajů zprávu z výsledků šetření. Co se v ní uvádí? Zpráva obsahuje zjištění ze šetření z roku 2021 až 2023, různá doporučení a připomíná práva a povinnosti zpracovatele v souvislosti s využíváním cloudových služeb. Dále také seznam rozhodnutí nebo jiných typů opatření, která již na vnitrostátní úrovni v oblasti cloud computingu přijalo několik dohledových orgánů. Nakonec se v ní diskutuje o zpracování telemetrických dat a auditování. Informuje o častém výskytu problémů v předsmluvní fázi týkající se provádění posouzení dopadu na ochranu údajů (a/nebo posouzení rizik) a role stran. Pokud jde o smlouvy s poskytovatelem cloudových služeb (CSP), byly identifikovány problémy s absencí smluv a obtížností vyjednat zakázku šitou na míru, stejně jako znalost nebo kontrola dalších zpracovatelů ze strany veřejných orgánů. Kromě toho se objevují problémy související s mezinárodními převody a přístupem zahraničních veřejných orgánů. Závěr zprávy je takový, že s ohledem na možnou citlivou povahu a velké množství údajů zpracovávaných veřejnými orgány […]

Nahrávání úředních osob? Co na sebe nechcete prozradit, nikomu nesdělujte

28. 4. 2023 Veronika Gabrišová

Fenoménem dnešní doby je focení a natáčení kde čeho a kdekoho. Prakticky všichni máme mobilní telefony, které nám to usnadňují. Jednoduché je i následné šíření neomezenému počtu osob kdekoliv ve světě. Před tímto trendem nejsme uchráněni ani my, zaměstnanci úřadů a veřejných institucí. Citlivost nahrávání (pořizování obrazového nebo zvukového záznamu) spočívá v tom, že nahrávky zachycují nejen to, jak vypadáme (naši podobu, vzhled) a co říkáme (náš hlasový projev), ale i řadu dalších významných či méně významných informací (osobních údajů), které o nás mnohé vypovídají, např. odhalí tetování, vadu řeči nebo jiný zdravotní handicap. Podoba člověka je významným projevem osobní povahy.[1] Zachováváme si ji i při výkonu úřední činnosti. Nemáme dvě tváře – jednu pro soukromý život a druhou pro ten profesní. V úředním styku si nenasazujeme žádnou masku. I v práci jsme to stále „jenom my“. V jaké míře ztrácíme ve svém profesním životě kontrolu nad svojí podobou a souvisejícími osobnostními projevy (jejich zachycením a šířením)? Mohou lidé nahrávat zaměstnance úřadů a jsou úředníci povinni nahrávání strpět? Jako vodítko nám k odpovědím na tyto otázky poslouží stanoviska soudů a veřejného ochránce práv. Výchozí pravidlo: Nelze nahrávat soukromý život úředních osob Každý člověk vede tři životy: veřejný, soukromý a tajný.[2] Soukromí každého z nás nekončí tím, […]

Vývoj autonomních systémů řízení s pomocí dat z palubních kamer

28. 3. 2023 Ludmila Probstová

Samotná instalace palubních kamer ve vozidlech není již žádnou novinkou. Jejich využití za účelem získání důkazního materiálu pro případ dopravní nehody je v České republice legální (z hlediska bezpečnosti provozu i ochrany soukromí dotčených osob) a zřejmě i poměrně obvyklou praxí. S tím, jak se do výbavy vozidel prosazují stále pokročilejší asistenční systémy a vývoj směřuje k plně autonomním vozům, získává však shromažďování a další využívání dat z palubních kamer zcela jiné rozměry a význam. Právě díky masivnímu zpracování dat můžeme v dohledné budoucnosti očekávat na našich silnicích vozidla, která se doteď objevovala pouze jako rekvizita ve sci-fi filmech. Moderní vozidla jsou již dnes běžně vybavena množstvím senzorů, které získávají data jak o provozu vozidla samotného, tak i o jeho interakci s okolím, a které takto získaná data ukládají pro budoucí využití nebo i přímo předávají zpět výrobcům, servisům apod.[1] Veškeré informace „zevnitř“ vozu (vypovídající o způsobu řízení nebo o využívání bezpečnostních a asistenčních systémů) i „zvenku“ (týkající se např. dopravního značení a dopravních situací) jsou totiž zcela zásadní z hlediska další optimalizace stávajících asistenčních systémů i pro vývoj nových, včetně autonomních. Množství dat, která jsou a nadále budou zapotřebí k vývoji a dalšímu zdokonalení („učení“) systémů autonomního řízení, je přitom takové, že jen s malou nadsázkou lze říci, […]

Osobní údaje ve zpravodajích – vybrané střípky

28. 2. 2023 Kristýna Vodrážková Michal Hinda

Zajímá vás téma ochrany osobních údajů v obecních či městských zpravodajích? A chcete vědět, co se o tom uvádí v obecném nařízení o ochraně osobních údajů? Vybrali jsme pro vás několik důležitých střípků, které se vztahují k nejčastějším dotazům, s nimiž se ve zmíněných souvislostech pověřenci setkávají. Nejprve je nutné podotknout, že se následující právní předpisy uplatní v případech, kdy se v daném obecním zpravodaji vyskytují osobní údaje fyzických osob, jako jsou např. přistěhovalí, nově narození občané, jubilanti, výherci soutěží, také údaje osob zdokumentovaných v popiscích pod fotografiemi apod. Obec sama rozhoduje o tom, jaké osobní údaje se ve zpravodaji objeví. Žádný právní předpis nestanovuje povinnost místní periodikum vydávat, natož pak konkrétní specifikace možných osobních údajů zveřejněných v takovém periodiku. Jak se na tuto problematiku dívat z pohledu ochrany osobních údajů a soukromí? Nejtypičtější příklady zveřejňování osobních údajů v obecních zpravodajích V rámci transparentnosti a dostatečného informování veřejnosti obec zveřejňuje ve zpravodaji zápisy ze zasedání zastupitelstva, rady a komisí. Je toto zveřejnění možné? K tématu zápisů ze zastupitelstva uvádí zákon č. 128/2000 Sb., o obcích (dále jen „obecní zřízení“), pouze to, že „zápis, který je nutno pořídit do 10 dnů po skončení zasedání, musí být uložen na obecním úřadu k nahlédnutí“ (§ 95 obecního zřízení). O zveřejnění zápisů ze zastupitelstva obce […]

Ústavní soud v kauze osobních údajů veřejných funkcionářů: hlas rozumu, nebo vášně?

28. 1. 2023 Jan Bartonička

V prosincovém čísle DPO PRO jsme otiskli článek pojednávající o recentní judikatuře Ústavního soudu k ústavnosti některých ustanovení zákona o střetu zájmů a ke sporům, které jsou v souvislosti s jeho nálezy vedeny před obecnými soudy.[1] V samém závěru jsme vyjádřili obavu, že nemusí jít s ohledem na vnímané rozpory v rámci soudu o exkurz poslední – a jak se ukázalo, bylo to až překvapivě předvídavé hodnocení. Od uzávěrky prosincového čísla totiž uplynulo jen několik dní a plénum Ústavního soudu přijalo stanovisko, které dosavadní judikaturu obrátilo alespoň zdánlivě naruby. V následujícím textu si proto tyto závěry přiblížíme a několik slov věnujeme také dopadům rozhodovací praxe Ústavního soudu, které musí trápit nejen právní experty. Na začátku si připomeňme, že východisko představoval plenární nález z roku 2020 (sp. zn. Pl. ÚS 38/17), podle kterého byla zrušena ustanovení zákona o střetu zájmů, na jejichž základě byly na webových stránkách Ministerstva spravedlnosti zveřejňovány osobní údaje veřejných funkcionářů. Docházelo k tomu i v době po vyhlášení nálezu, který využil institutu odložené vykonatelnosti. Právě proti tomu dotčení veřejní funkcionáři před obecnými soudy brojili. Jejich neúspěšnou soudní pouť přetrhlo až loni v říjnu rozhodnutí IV. senátu Ústavního soudu, který rozhodl v jejich prospěch. Senátní rozhodnutí (dohledatelné pod spisovou značkou IV. ÚS 579/22) ale nebylo jednomyslné, když soudce Filip formuloval velmi […]

Francouzský dozorový úřad vydal doporučení k ověřování věku na internetu

29. 12. 2022 Pavel Janeček

Francouzský dozorový úřad (CNIL) vydal v září po předchozím průzkumu svá doporučení k metodám ověřování věku na internetu, a to zejména na stránkách s pornografickým obsahem.[1] U pornografického obsahu totiž francouzský trestní zákoník ověření věku[2] vyžaduje. Zde nestačí pouhé prohlášení uživatele, že už mu bylo 18 let. Zavést účinné ověření věku internetového uživatele nařídil několika pornografickým stránkám předsedající Regulačního úřadu pro audiovizuální a digitální komunikaci (Arcom) v prosinci 2021. Když se v březnu 2022 ukázalo, že tento příkaz nebyl splněn, požádal předsedající Arcom pařížský soud o vydání příkazu k zablokování příslušných pornografických stránek. Nejde jen o stránky s lechtivým obsahem Ověřování věku je potřeba také při nákupu alkoholu, tabákových výrobků,[3] sázení, hraní hazardních a některých dalších her,[4] věk ověřují i některé bankovní služby, a to i na síti. Některé služby mají zase věková omezení daná smluvně (poměrná část dětí nemůže měnit nastavení aplikace). CNIL: Mechanismy nadměrně zasahují do soukromí a lze je zároveň obejít Podle základního zjištění CNIL ale nejčastěji používané mechanismy nadměrně zasahují do soukromí uživatele a zároveň je lze obejít. Stačí použít VPN, která „umístí“ uživatele do jiné země, která nemá takové právní nároky na ověřování věku. Některé pornografické stránky dokonce nabízí VPN službu. Mantinely jsou poměrně úzké. Na jedné straně má provozovatel stránky povinnost […]

Platformy pro distanční výuku ve školách: Čas na otázky spojené s ochranou soukromí a osobních údajů

27. 11. 2022 Ludmila Probstová

Jedním z výrazných průvodních jevů covidové pandemie bylo masivní zavádění platforem pro distanční (online) výuku ve školách. Je přitom pochopitelné, že v době vrcholící pandemie a lockdownů bylo primárním cílem škol a jejich zřizovatelů co nejrychlejší zavedení funkčního a široce použitelného řešení. Na otázky spojené s ochranou soukromí a osobních údajů uživatelů přichází čas až nyní. Cílem tohoto příspěvku není, a vzhledem ke komplexnosti tématu ani být nemůže, detailní rozbor všech aspektů zpracování osobních údajů spojeného s distanční výukou, pouze spíše poukázání na zajímavou a doposud nepříliš reflektovanou stránku našeho nedávného hromadného „exodu“ do online prostředí. Komisař zakázal používání nástroje MS Teams Zřejmě nejvýrazněji do této diskuse přispěl Státní komisař pro ochranu údajů a svobodu informací v Bádensku-Württembersku (dále jen „Komisař“), který v roce 2021 provedl pilotní testovací projekt jednoho z nejrozšířenějších software využívaného pro online výuku, a to Teams z kancelářského balíčku Microsoft Office 365. Výsledky poté publikoval ve svém závěrečném doporučení z dubna 2021 (Empfehlung zum Pilotprojekt zur Nutzung MS 365 an Schulen[1]), ve kterém uvedl řadu důvodů, proč je tento nástroj dle jeho názoru v rozporu s požadavky GDPR.[2] Hlavním důvodem pro tento závěr bylo, že program zasílá bez zjevného důvodu řadu informací do USA, kde je ochrana soukromí a osobních údajů slabší než v EU.[3] Ve […]

A zase ty sušenky! Vývojářský a právní pohled na cookies

28. 10. 2022 David Musil Vojtěch Dlouhý

S články na téma cookies se v posledním roce „roztrhl pytel“ a s blížící se účinností novely zákona č. 127/2005 Sb., o elektronických komunikacích[1] (dále jen „Zákon“), před koncem roku 2021 se téměř každý snažil předložit svůj pohled na věc a pomoci tak zoufale tápajícím v rychlém a správném nastavení správy cookies a osobních údajů. Ač se o tématu hojně diskutovalo, vyšlo mnoho článků a proběhl bezpočet seminářů a webinářů, dozorový úřad nad výslednou aktivitou správců příliš nejásá. Ba naopak. S koncem školního roku vystavil ÚOOÚ správcům vysvědčení,[2] jež svědčí o tom, že v jeho očích příliš úspěšní nejsou. Popíšeme si užívání cookies nejen z hlediska ochrany osobních údajů, ale rovněž z hlediska tvůrce webu, který do značné míry ovlivňuje, jaké cookies budou na webové stránce nasazeny a jak budou fungovat. Není cookies jako cookies Co si pod pojmem cookies v technickém slova smyslu vlastně představit? Podle definice jsou cookies malé textové soubory, jež se ukládají do zařízení návštěvníka webové stránky. Jedná se o lokální soubory, které jsou uloženy v počítači/tabletu/telefonu/jiném zařízení návštěvníka webové stránky. V okamžiku, kdy držitel takového zařízení opětovně webovou stránku navštíví, stránka automaticky „prohledá“ složku v předmětném zařízení, kam se cookies ukládají, aby zjistila, zda již bylo cookies uloženo, a pokud ano, jaká informace se v cookies nachází (např. o […]

Kamery: Stále živé téma ochrany údajů

28. 9. 2022 František Nonnemann

Kamery jsou všude kolem nás. Na domech, podél silnic, v kancelářských budovách, bytových domech, autech. A většina z nás si jednu či dvě kamery nosí stále s sebou, obvykle v kombinaci mobil a přenosný počítač. V jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují? Technologie pro alespoň základní zachycení, přenos a uložení pořízených videozáznamů je technicky i finančně dostupná již řadu let. Proto není divu, že se ochranou osobních údajů při využívání kamerových systémů již dlouho zabývá i Úřad pro ochranu osobních údajů (ÚOOÚ). Ačkoliv obecné nařízení o ochraně osobních údajů[1] (GDPR) nepřineslo v hmotněprávní rovině pro posuzování kamer a souvisejícího zpracování údajů nic nového, s ohledem na posun výkladové praxe i rozvoj nových technologií, resp. nové způsoby využití kamer, je na místě si stručně shrnout, v jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují. V následujícím článku se budeme rovněž zabývat několika v praxi stále častějšími způsoby využití kamer, které mohou přinášet řadu nových otázek souvisejících s ochranou soukromí a ochranou osobních údajů monitorovaných lidí. Základní právní úprava V České republice neexistuje a nikdy neexistovala obecná právní úprava využití kamer, byť se v minulosti o několika takových legislativních pokusech diskutovalo.[2] V některých oblastech či pro některé subjekty je používání kamer upraveno zvláštními […]

Zpracování osobních údajů při spotřebitelských soutěžích

28. 7. 2022 Vojtěch Dlouhý

Pořádání soutěží o ceny je poměrně snadnou cestou, jak dostat do povědomí svoji značku, svoji činnost, a jak zviditelnit své podnikání. Nicméně i pořádání soutěží s sebou nese jisté právní povinnosti, a to i ty, jež souvisí se zpracováním osobních údajů. Spotřebitelská soutěž je samostatně definována v § 2 odst. 1 písm. v) zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů, a to jako „anketa nebo jiná akce o ceny pořádaná pro spotřebitele v přímé souvislosti s propagací, nabídkou nebo prodejem výrobku či služby prodávajícího, při níž se prodávající či jím pověřená osoba zavazuje vyplatit účastníkům určeným náhodným výběrem peněžité či nepeněžité ceny a při kterých je podmínkou účasti zakoupení určitého výrobku či služby a doložení tohoto nákupu prodávajícímu nebo uzavření smluvního vztahu s prodávajícím výrobku, nebo služby či účast spotřebitele na marketingové akci prodávajícího, a to i nepřímo prostřednictvím jiné osoby“. V tomto duchu je třeba na spotřebitelskou soutěž hledět jako na obchodní praktiku ve smyslu § 2 odst. 1 písm. o) téhož zákona. To má dva zásadní důsledky… V první řadě nesmí spotřebitelská soutěž naplnit znaky hazardní hry ve smyslu § 3 odst. 1 zákona č. 186/2016 Sb., o hazardních hrách, ve znění pozdějších předpisů[1], pro které platí zcela jiná pravidla včetně […]