Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Platformy pro distanční výuku ve školách: Čas na otázky spojené s ochranou soukromí a osobních údajů

27. 11. 2022

Jedním z výrazných průvodních jevů covidové pandemie bylo masivní zavádění platforem pro distanční (online) výuku ve školách. Je přitom pochopitelné, že v době vrcholící pandemie a lockdownů bylo primárním cílem škol a jejich zřizovatelů co nejrychlejší zavedení funkčního a široce použitelného řešení. Na otázky spojené s ochranou soukromí a osobních údajů uživatelů přichází čas až nyní. Cílem tohoto příspěvku není, a vzhledem ke komplexnosti tématu ani být nemůže, detailní rozbor všech aspektů zpracování osobních údajů spojeného s distanční výukou, pouze spíše poukázání na zajímavou a doposud nepříliš reflektovanou stránku našeho nedávného hromadného „exodu“ do online prostředí. Komisař zakázal používání nástroje MS Teams Zřejmě nejvýrazněji do této diskuse přispěl Státní komisař pro ochranu údajů a svobodu informací v Bádensku-Württembersku (dále jen „Komisař“), který v roce 2021 provedl pilotní testovací projekt jednoho z nejrozšířenějších software využívaného pro online výuku, a to Teams z kancelářského balíčku Microsoft Office 365. Výsledky poté publikoval ve svém závěrečném doporučení z dubna 2021 (Empfehlung zum Pilotprojekt zur Nutzung MS 365 an Schulen[1]), ve kterém uvedl řadu důvodů, proč je tento nástroj dle jeho názoru v rozporu s požadavky GDPR.[2] Hlavním důvodem pro tento závěr bylo, že program zasílá bez zjevného důvodu řadu informací do USA, kde je ochrana soukromí a osobních údajů slabší než v EU.[3] Ve […]

A zase ty sušenky! Vývojářský a právní pohled na cookies

28. 10. 2022

S články na téma cookies se v posledním roce „roztrhl pytel“ a s blížící se účinností novely zákona č. 127/2005 Sb., o elektronických komunikacích[1] (dále jen „Zákon“), před koncem roku 2021 se téměř každý snažil předložit svůj pohled na věc a pomoci tak zoufale tápajícím v rychlém a správném nastavení správy cookies a osobních údajů. Ač se o tématu hojně diskutovalo, vyšlo mnoho článků a proběhl bezpočet seminářů a webinářů, dozorový úřad nad výslednou aktivitou správců příliš nejásá. Ba naopak. S koncem školního roku vystavil ÚOOÚ správcům vysvědčení,[2] jež svědčí o tom, že v jeho očích příliš úspěšní nejsou. Popíšeme si užívání cookies nejen z hlediska ochrany osobních údajů, ale rovněž z hlediska tvůrce webu, který do značné míry ovlivňuje, jaké cookies budou na webové stránce nasazeny a jak budou fungovat. Není cookies jako cookies Co si pod pojmem cookies v technickém slova smyslu vlastně představit? Podle definice jsou cookies malé textové soubory, jež se ukládají do zařízení návštěvníka webové stránky. Jedná se o lokální soubory, které jsou uloženy v počítači/tabletu/telefonu/jiném zařízení návštěvníka webové stránky. V okamžiku, kdy držitel takového zařízení opětovně webovou stránku navštíví, stránka automaticky „prohledá“ složku v předmětném zařízení, kam se cookies ukládají, aby zjistila, zda již bylo cookies uloženo, a pokud ano, jaká informace se v cookies nachází (např. o […]

Kamery: Stále živé téma ochrany údajů

28. 9. 2022

Kamery jsou všude kolem nás. Na domech, podél silnic, v kancelářských budovách, bytových domech, autech. A většina z nás si jednu či dvě kamery nosí stále s sebou, obvykle v kombinaci mobil a přenosný počítač. V jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují? Technologie pro alespoň základní zachycení, přenos a uložení pořízených videozáznamů je technicky i finančně dostupná již řadu let. Proto není divu, že se ochranou osobních údajů při využívání kamerových systémů již dlouho zabývá i Úřad pro ochranu osobních údajů (ÚOOÚ). Ačkoliv obecné nařízení o ochraně osobních údajů[1] (GDPR) nepřineslo v hmotněprávní rovině pro posuzování kamer a souvisejícího zpracování údajů nic nového, s ohledem na posun výkladové praxe i rozvoj nových technologií, resp. nové způsoby využití kamer, je na místě si stručně shrnout, v jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují. V následujícím článku se budeme rovněž zabývat několika v praxi stále častějšími způsoby využití kamer, které mohou přinášet řadu nových otázek souvisejících s ochranou soukromí a ochranou osobních údajů monitorovaných lidí.   Základní právní úprava V České republice neexistuje a nikdy neexistovala obecná právní úprava využití kamer, byť se v minulosti o několika takových legislativních pokusech diskutovalo.[2] V některých oblastech či pro některé subjekty je používání kamer upraveno zvláštními […]

Zpracování osobních údajů při spotřebitelských soutěžích

28. 7. 2022

Pořádání soutěží o ceny je poměrně snadnou cestou, jak dostat do povědomí svoji značku, svoji činnost, a jak zviditelnit své podnikání. Nicméně i pořádání soutěží s sebou nese jisté právní povinnosti, a to i ty, jež souvisí se zpracováním osobních údajů. Spotřebitelská soutěž je samostatně definována v § 2 odst. 1 písm. v) zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů, a to jako „anketa nebo jiná akce o ceny pořádaná pro spotřebitele v přímé souvislosti s propagací, nabídkou nebo prodejem výrobku či služby prodávajícího, při níž se prodávající či jím pověřená osoba zavazuje vyplatit účastníkům určeným náhodným výběrem peněžité či nepeněžité ceny a při kterých je podmínkou účasti zakoupení určitého výrobku či služby a doložení tohoto nákupu prodávajícímu nebo uzavření smluvního vztahu s prodávajícím výrobku, nebo služby či účast spotřebitele na marketingové akci prodávajícího, a to i nepřímo prostřednictvím jiné osoby“. V tomto duchu je třeba na spotřebitelskou soutěž hledět jako na obchodní praktiku ve smyslu § 2 odst. 1 písm. o) téhož zákona. To má dva zásadní důsledky… V první řadě nesmí spotřebitelská soutěž naplnit znaky hazardní hry ve smyslu § 3 odst. 1 zákona č. 186/2016 Sb., o hazardních hrách, ve znění pozdějších předpisů[1], pro které platí zcela jiná pravidla včetně […]

Ohlédnutí za zpracováním osobních údajů v souvislosti s prokazováním tzv. bezinfekčnosti a testováním

28. 6. 2022

Období testování a prokazování tzv. bezinfekčnosti, jehož jsme se v uplynulé době účastnili, je snad již za námi. Zkušenosti si odnášíme různé. Z jednotlivých rozhodnutí Nejvyššího správního soudu, kterému připadl úkol přezkoumávat zákonnost vydaných opatření obecné povahy, lze vyčíst mnohá doporučení pro praxi. Naší pozornosti by určitě neměl uniknout návod k posouzení, zda v konkrétním případě dochází ke zpracování osobních údajů. Neměli bychom rovněž zapomínat na to, jak je důležité jasně vymezit účel zpracování. Kontrola tzv. bezinfekčnosti V době pandemie jsem se v Kanceláři veřejného ochránce práv setkávala se stížnostmi, že v souvislosti s prokazováním tzv. bezinfekčnosti, jak vyžadovala nejrůznější opatření vlády nebo ministerstva zdravotnictví, dochází k porušování obecného nařízení o ochraně osobních údajů.[1] Lidsky lze těmto výhradám rozumět, z právního pohledu se však jedná o stížnosti neopodstatněné, což potvrdil i Nejvyšší správní soud. Povinnost poskytovatelů (organizátorů) akcí ověřit (typicky nahlédnutím do předloženého certifikátu o absolvovaném očkování, potvrzení o absolvovaném testu či prodělání nemoci, ať už v písemné, či elektronické podobě), zda osoba účastnící se akce splňuje podmínky tzv. bezinfekčnosti, nepředstavuje zpracování osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů.[2] Obecné nařízení o ochraně osobních údajů dopadá na zpracování zcela automatizované[3] nebo částečně automatizované[4] a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci (např. kartotéce) nebo […]

Polemický pohled člena redakční rady

28. 5. 2022

Článek projevuje důvěrnou znalost problematiky. Vedle toho ale také projevuje – pro mě trochu křečovitě, až to vzbuzuje podezření – snahu přetlačit závěry dosavadního postoje ÚOOÚ, vyjádřeného jak ve stanovisku 2/2014, tak hlavně ve sdělení Změna v hodnocení úrovně právní ochrany biometrických údajů z června 2017. S obdobným zpochybňováním se u odborné veřejnosti setkáme často, například i v obou významných komentářích k obecnému nařízení, tedy GDPR / Obecné nařízení o ochraně osobních údajů (2016/679/EU) – Praktický komentář autorů Nulíček, Donát, Nonnemann, Lichnovský, Tomíšek, Praha, Wolters Kluwer, 2017, tak i Obecné nařízení o ochraně osobních údajů, komentář autorů UŘIČAŘ, RÁMIŠ a kol., Praha: C. H. Beck, 2021. Čtenář ale těžko hádá, který odborný pohled komentátorů doprovází třeba i upřímná snaha umožnit určité technologické a obchodní záměry výrobců a uživatelů příslušných technických zařízení a SW pro použití dynamického biometrického podpisu (např. banky). Lituji, že nejnadějnější pasáž pouze letmo zmiňující dosavadní kontrolní praxi ÚOOÚ, která dle autora dokládá neudržitelnost výše uvedených postojů Úřadu, není dotažena do konkrétních argumentů z kontrol. Za poněkud slovní ekvilibristiku považuji argumentaci autora, kterou popisuje nejednotnost definice biometrického údaje v čl. 4/14 obecného nařízení (ON) oproti jeho další konkretizaci v souvislosti s konkrétním použitím v čl. 9/1 ON. Definice v čl. 4/14 ON výslovně uvádí právě i autentizaci, […]

Dynamický biometrický podpis

28. 5. 2022

Část první: Jedná se o biometrický údaj?     Na českém trhu finančních služeb si získal popularitu tzv. dynamický biometrický podpis (DBP), který se možná stal obětí svého názvu. Je z něj totiž na první pohled patrné, že se jedná o osobní údaj zvláštní kategorie. Je tomu ale skutečně tak? Podstata biometrie DBP je třeba odlišovat od prostého podpisu vytvořeného na tabulce, který je pouhým obrázkem, jaký lze nakreslit na jakémkoli dotykovém displeji. Aby však mohl být podpis označen jako biometrický, musí obsahovat aktivní biometrické charakteristiky, které nevznikají náhodně, ale mají dynamický charakter vycházející z fyziologických a biomechanických schopností a z procesu individuálního učení.[1] Senzory podepisovacího zařízení mohou měřit tlak pera, rychlost, náklon atd., a tudíž lze zachytit podobné charakteristiky podpisu jako při zkoumání fyzického podpisu na papíře. Není však zřejmé, zda lze tyto biometrické charakteristiky technicky relevantním způsobem zaznamenat a zejména rekonstruovat. Nařízení GDPR[2] biometrické údaje definuje jako „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.“[3] Lze mít za to, že je-li identita podepisující osoby předem známa, nedochází ke zpracování biometrických údajů za účelem „jedinečné identifikace fyzické osoby,“ kterou až na výjimky uvedené […]

Předávání osobních údajů do USA na případu Google Analytics aneb proč to není v souladu s GDPR?

27. 4. 2022

Dozorové úřady některých členských států v posledních měsících rozhodovaly, zda je používání nástroje Googlu pro měření a analýzu využívání webových stránek Google Analytics v souladu s GDPR. Shodly se na tom, že není. Důvodem je přenos osobních údajů do USA, kde prý neexistují dostatečné záruky pro ochranu osobních údajů. Rozhodl o tom rakouský dozorový úřad V červenci 2020 rozhodl Soudní dvůr Evropské unie ve věci Schrems II,[1] že přenos osobních údajů do třetí země, který se neuskutečňuje na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany (čl. 45 GDPR), je možný pouze tehdy, pokud ochrana osobních údajů bude ve třetí zemi v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii, a to i co se týče případného přístupu orgánů veřejné moci k těmto údajům. Správce musí posoudit úroveň ochrany i v případě, že existují standardní smluvní doložky, které se na zpracování vztahují.[2] Google spoléhal na standardní smluvní doložky Přestože se Google spoléhal právě na standardní smluvní doložky, podala rakouská organizace NOYB stížnost rakouskému dozorovému úřadu proti zpracování osobních údajů uživatelů webových stránek, které používaly Google Analytics. Stížnost NOYB se zaměřila na webové stránky Netdokter. NOYB tvrdil, že Google je podle amerického práva poskytovatelem služeb elektronických komunikací, a proto se na něj vztahuje § 702 zákona FISA (Foreign Intelligence […]

Veřejné opatrovnictví: Zastupitelé by se měli dozvědět pouze nezbytné informace

28. 3. 2022

Když jeden orgán obce (starosta) sděluje osobní údaje týkající se výkonu veřejného opatrovnictví jinému orgánu obce (zastupitelstvu a jeho členům), nemusí to na první pohled vypadat jako porušení zákona. Neděje-li se tak za přítomnosti veřejnosti, zůstávají všechny tyto informace tzv. „pod jednou střechou“ – zpracovává je jeden správce osobních údajů (obec). Zdánlivě neškodným předáním osobních údajů však může v určitých případech docházet k porušení právních předpisů. Proto je namístě připomenout obecné zásady poskytování informací mezi orgány územních samospráv, abychom si uvědomili, kdy je sdělování osobních údajů o opatrovanci přípustné a kdy nikoliv. Základní zásady zpracování osobních údajů při výkonu veřejného opatrovnictví Člověk omezený ve svéprávnosti, kterému soud ustanovil veřejného opatrovníka, neztrácí právo na ochranu svého soukromí a osobních údajů.[1] Akceptujeme-li, že už samotné ustanovení veřejného opatrovníka nepochybně představuje podstatný zásah do soukromí opatrovaného, přináší výkon veřejného opatrovnictví v prvé řadě pro každého, kdo se této role ujme, závazek nastavit pravidla pro výkon veřejného opatrovnictví tak, aby respektovala vedle principů veřejného opatrovnictví coby podpůrného opatření[2] právo opatrovance na ochranu před neoprávněným zasahováním do soukromého života, jakož i jeho právo před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.[3] Zjednodušeně to znamená nejprve posoudit, komu a co o opatrovanci může veřejný opatrovník […]

Whistleblowing a zpracování osobních údajů: Oč se jedná a proč je to tak zajímavé?

28. 2. 2022

V posledních týdnech a měsících je často skloňován pojem whistleblowingu. Oč se jedná, proč je to tak zajímavé a jaký má whistleblowing vztah s právní úpravou zpracování osobních údajů? Whistleblowing není novinkou Whistleblowing je, stručně řešeno, proces na zajištění toho, aby zaměstnanci či osoby v obdobně citlivém postavení v rámci svojí organizace (úřadu, soukromé společnosti) důvěrně a v případě dobré víry i beztrestně mohly oznamovat možné porušování předpisů či dalších právních závazků. Aby byl tento proces úplný, musí být zajištěna jak ochrana oznamovatelů, tak i skutečné prošetření učiněných oznámení a přijetí opatření k nápravě, pokud bude porušování práva skutečně zjištěno. Dva povinné whistleblowing procesy už známe Ač to tak podle některých veřejných příspěvků nevypadá, v českém právu se o novinku rozhodně nejedná. Již nějakou dobu známe nejméně dva povinné whistleblowing procesy: Pro osoby v režimu státní služby je možnost učinit důvěrné oznámení o protiprávním jednání upravena vyhláškou č. 145/2015 Sb., o opatřeních souvisejících s oznamováním podezření ze spáchání protiprávního jednání ve služebním úřadu. Každý služební úřad musí na základě této vyhlášky mj. zřídit fyzickou i elektronickou schránku pro důvěrné či případně anonymní oznámení a pověřit konkrétního státního zaměstnance tím, aby doručená oznámení prošetřoval. Druhým sektorem, ve kterém byla tato povinnost již zavedena, jsou finanční služby. Povinné osoby v režimu […]