Články zdarma – 4. stránka – DPO PRO: ochrana osobních údajů v praxi

Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Osobní údaje ve zpravodajích – vybrané střípky

28. 2. 2023 Kristýna Vodrážková Michal Hinda

Zajímá vás téma ochrany osobních údajů v obecních či městských zpravodajích? A chcete vědět, co se o tom uvádí v obecném nařízení o ochraně osobních údajů? Vybrali jsme pro vás několik důležitých střípků, které se vztahují k nejčastějším dotazům, s nimiž se ve zmíněných souvislostech pověřenci setkávají. Nejprve je nutné podotknout, že se následující právní předpisy uplatní v případech, kdy se v daném obecním zpravodaji vyskytují osobní údaje fyzických osob, jako jsou např. přistěhovalí, nově narození občané, jubilanti, výherci soutěží, také údaje osob zdokumentovaných v popiscích pod fotografiemi apod. Obec sama rozhoduje o tom, jaké osobní údaje se ve zpravodaji objeví. Žádný právní předpis nestanovuje povinnost místní periodikum vydávat, natož pak konkrétní specifikace možných osobních údajů zveřejněných v takovém periodiku. Jak se na tuto problematiku dívat z pohledu ochrany osobních údajů a soukromí? Nejtypičtější příklady zveřejňování osobních údajů v obecních zpravodajích V rámci transparentnosti a dostatečného informování veřejnosti obec zveřejňuje ve zpravodaji zápisy ze zasedání zastupitelstva, rady a komisí. Je toto zveřejnění možné? K tématu zápisů ze zastupitelstva uvádí zákon č. 128/2000 Sb., o obcích (dále jen „obecní zřízení“), pouze to, že „zápis, který je nutno pořídit do 10 dnů po skončení zasedání, musí být uložen na obecním úřadu k nahlédnutí“ (§ 95 obecního zřízení). O zveřejnění zápisů ze zastupitelstva obce […]

Ústavní soud v kauze osobních údajů veřejných funkcionářů: hlas rozumu, nebo vášně?

28. 1. 2023 Jan Bartonička

V prosincovém čísle DPO PRO jsme otiskli článek pojednávající o recentní judikatuře Ústavního soudu k ústavnosti některých ustanovení zákona o střetu zájmů a ke sporům, které jsou v souvislosti s jeho nálezy vedeny před obecnými soudy.[1] V samém závěru jsme vyjádřili obavu, že nemusí jít s ohledem na vnímané rozpory v rámci soudu o exkurz poslední – a jak se ukázalo, bylo to až překvapivě předvídavé hodnocení. Od uzávěrky prosincového čísla totiž uplynulo jen několik dní a plénum Ústavního soudu přijalo stanovisko, které dosavadní judikaturu obrátilo alespoň zdánlivě naruby. V následujícím textu si proto tyto závěry přiblížíme a několik slov věnujeme také dopadům rozhodovací praxe Ústavního soudu, které musí trápit nejen právní experty. Na začátku si připomeňme, že východisko představoval plenární nález z roku 2020 (sp. zn. Pl. ÚS 38/17), podle kterého byla zrušena ustanovení zákona o střetu zájmů, na jejichž základě byly na webových stránkách Ministerstva spravedlnosti zveřejňovány osobní údaje veřejných funkcionářů. Docházelo k tomu i v době po vyhlášení nálezu, který využil institutu odložené vykonatelnosti. Právě proti tomu dotčení veřejní funkcionáři před obecnými soudy brojili. Jejich neúspěšnou soudní pouť přetrhlo až loni v říjnu rozhodnutí IV. senátu Ústavního soudu, který rozhodl v jejich prospěch. Senátní rozhodnutí (dohledatelné pod spisovou značkou IV. ÚS 579/22) ale nebylo jednomyslné, když soudce Filip formuloval velmi […]

Francouzský dozorový úřad vydal doporučení k ověřování věku na internetu

29. 12. 2022 Pavel Janeček

Francouzský dozorový úřad (CNIL) vydal v září po předchozím průzkumu svá doporučení k metodám ověřování věku na internetu, a to zejména na stránkách s pornografickým obsahem.[1] U pornografického obsahu totiž francouzský trestní zákoník ověření věku[2] vyžaduje. Zde nestačí pouhé prohlášení uživatele, že už mu bylo 18 let. Zavést účinné ověření věku internetového uživatele nařídil několika pornografickým stránkám předsedající Regulačního úřadu pro audiovizuální a digitální komunikaci (Arcom) v prosinci 2021. Když se v březnu 2022 ukázalo, že tento příkaz nebyl splněn, požádal předsedající Arcom pařížský soud o vydání příkazu k zablokování příslušných pornografických stránek. Nejde jen o stránky s lechtivým obsahem Ověřování věku je potřeba také při nákupu alkoholu, tabákových výrobků,[3] sázení, hraní hazardních a některých dalších her,[4] věk ověřují i některé bankovní služby, a to i na síti. Některé služby mají zase věková omezení daná smluvně (poměrná část dětí nemůže měnit nastavení aplikace). CNIL: Mechanismy nadměrně zasahují do soukromí a lze je zároveň obejít Podle základního zjištění CNIL ale nejčastěji používané mechanismy nadměrně zasahují do soukromí uživatele a zároveň je lze obejít. Stačí použít VPN, která „umístí“ uživatele do jiné země, která nemá takové právní nároky na ověřování věku. Některé pornografické stránky dokonce nabízí VPN službu. Mantinely jsou poměrně úzké. Na jedné straně má provozovatel stránky povinnost […]

Platformy pro distanční výuku ve školách: Čas na otázky spojené s ochranou soukromí a osobních údajů

27. 11. 2022 Ludmila Probstová

Jedním z výrazných průvodních jevů covidové pandemie bylo masivní zavádění platforem pro distanční (online) výuku ve školách. Je přitom pochopitelné, že v době vrcholící pandemie a lockdownů bylo primárním cílem škol a jejich zřizovatelů co nejrychlejší zavedení funkčního a široce použitelného řešení. Na otázky spojené s ochranou soukromí a osobních údajů uživatelů přichází čas až nyní. Cílem tohoto příspěvku není, a vzhledem ke komplexnosti tématu ani být nemůže, detailní rozbor všech aspektů zpracování osobních údajů spojeného s distanční výukou, pouze spíše poukázání na zajímavou a doposud nepříliš reflektovanou stránku našeho nedávného hromadného „exodu“ do online prostředí. Komisař zakázal používání nástroje MS Teams Zřejmě nejvýrazněji do této diskuse přispěl Státní komisař pro ochranu údajů a svobodu informací v Bádensku-Württembersku (dále jen „Komisař“), který v roce 2021 provedl pilotní testovací projekt jednoho z nejrozšířenějších software využívaného pro online výuku, a to Teams z kancelářského balíčku Microsoft Office 365. Výsledky poté publikoval ve svém závěrečném doporučení z dubna 2021 (Empfehlung zum Pilotprojekt zur Nutzung MS 365 an Schulen[1]), ve kterém uvedl řadu důvodů, proč je tento nástroj dle jeho názoru v rozporu s požadavky GDPR.[2] Hlavním důvodem pro tento závěr bylo, že program zasílá bez zjevného důvodu řadu informací do USA, kde je ochrana soukromí a osobních údajů slabší než v EU.[3] Ve […]

A zase ty sušenky! Vývojářský a právní pohled na cookies

28. 10. 2022 David Musil Vojtěch Dlouhý

S články na téma cookies se v posledním roce „roztrhl pytel“ a s blížící se účinností novely zákona č. 127/2005 Sb., o elektronických komunikacích[1] (dále jen „Zákon“), před koncem roku 2021 se téměř každý snažil předložit svůj pohled na věc a pomoci tak zoufale tápajícím v rychlém a správném nastavení správy cookies a osobních údajů. Ač se o tématu hojně diskutovalo, vyšlo mnoho článků a proběhl bezpočet seminářů a webinářů, dozorový úřad nad výslednou aktivitou správců příliš nejásá. Ba naopak. S koncem školního roku vystavil ÚOOÚ správcům vysvědčení,[2] jež svědčí o tom, že v jeho očích příliš úspěšní nejsou. Popíšeme si užívání cookies nejen z hlediska ochrany osobních údajů, ale rovněž z hlediska tvůrce webu, který do značné míry ovlivňuje, jaké cookies budou na webové stránce nasazeny a jak budou fungovat. Není cookies jako cookies Co si pod pojmem cookies v technickém slova smyslu vlastně představit? Podle definice jsou cookies malé textové soubory, jež se ukládají do zařízení návštěvníka webové stránky. Jedná se o lokální soubory, které jsou uloženy v počítači/tabletu/telefonu/jiném zařízení návštěvníka webové stránky. V okamžiku, kdy držitel takového zařízení opětovně webovou stránku navštíví, stránka automaticky „prohledá“ složku v předmětném zařízení, kam se cookies ukládají, aby zjistila, zda již bylo cookies uloženo, a pokud ano, jaká informace se v cookies nachází (např. o […]

Kamery: Stále živé téma ochrany údajů

28. 9. 2022 František Nonnemann

Kamery jsou všude kolem nás. Na domech, podél silnic, v kancelářských budovách, bytových domech, autech. A většina z nás si jednu či dvě kamery nosí stále s sebou, obvykle v kombinaci mobil a přenosný počítač. V jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují? Technologie pro alespoň základní zachycení, přenos a uložení pořízených videozáznamů je technicky i finančně dostupná již řadu let. Proto není divu, že se ochranou osobních údajů při využívání kamerových systémů již dlouho zabývá i Úřad pro ochranu osobních údajů (ÚOOÚ). Ačkoliv obecné nařízení o ochraně osobních údajů[1] (GDPR) nepřineslo v hmotněprávní rovině pro posuzování kamer a souvisejícího zpracování údajů nic nového, s ohledem na posun výkladové praxe i rozvoj nových technologií, resp. nové způsoby využití kamer, je na místě si stručně shrnout, v jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují. V následujícím článku se budeme rovněž zabývat několika v praxi stále častějšími způsoby využití kamer, které mohou přinášet řadu nových otázek souvisejících s ochranou soukromí a ochranou osobních údajů monitorovaných lidí. Základní právní úprava V České republice neexistuje a nikdy neexistovala obecná právní úprava využití kamer, byť se v minulosti o několika takových legislativních pokusech diskutovalo.[2] V některých oblastech či pro některé subjekty je používání kamer upraveno zvláštními […]

Zpracování osobních údajů při spotřebitelských soutěžích

28. 7. 2022 Vojtěch Dlouhý

Pořádání soutěží o ceny je poměrně snadnou cestou, jak dostat do povědomí svoji značku, svoji činnost, a jak zviditelnit své podnikání. Nicméně i pořádání soutěží s sebou nese jisté právní povinnosti, a to i ty, jež souvisí se zpracováním osobních údajů. Spotřebitelská soutěž je samostatně definována v § 2 odst. 1 písm. v) zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů, a to jako „anketa nebo jiná akce o ceny pořádaná pro spotřebitele v přímé souvislosti s propagací, nabídkou nebo prodejem výrobku či služby prodávajícího, při níž se prodávající či jím pověřená osoba zavazuje vyplatit účastníkům určeným náhodným výběrem peněžité či nepeněžité ceny a při kterých je podmínkou účasti zakoupení určitého výrobku či služby a doložení tohoto nákupu prodávajícímu nebo uzavření smluvního vztahu s prodávajícím výrobku, nebo služby či účast spotřebitele na marketingové akci prodávajícího, a to i nepřímo prostřednictvím jiné osoby“. V tomto duchu je třeba na spotřebitelskou soutěž hledět jako na obchodní praktiku ve smyslu § 2 odst. 1 písm. o) téhož zákona. To má dva zásadní důsledky… V první řadě nesmí spotřebitelská soutěž naplnit znaky hazardní hry ve smyslu § 3 odst. 1 zákona č. 186/2016 Sb., o hazardních hrách, ve znění pozdějších předpisů[1], pro které platí zcela jiná pravidla včetně […]

Ohlédnutí za zpracováním osobních údajů v souvislosti s prokazováním tzv. bezinfekčnosti a testováním

28. 6. 2022 Veronika Gabrišová

Období testování a prokazování tzv. bezinfekčnosti, jehož jsme se v uplynulé době účastnili, je snad již za námi. Zkušenosti si odnášíme různé. Z jednotlivých rozhodnutí Nejvyššího správního soudu, kterému připadl úkol přezkoumávat zákonnost vydaných opatření obecné povahy, lze vyčíst mnohá doporučení pro praxi. Naší pozornosti by určitě neměl uniknout návod k posouzení, zda v konkrétním případě dochází ke zpracování osobních údajů. Neměli bychom rovněž zapomínat na to, jak je důležité jasně vymezit účel zpracování. Kontrola tzv. bezinfekčnosti V době pandemie jsem se v Kanceláři veřejného ochránce práv setkávala se stížnostmi, že v souvislosti s prokazováním tzv. bezinfekčnosti, jak vyžadovala nejrůznější opatření vlády nebo ministerstva zdravotnictví, dochází k porušování obecného nařízení o ochraně osobních údajů.[1] Lidsky lze těmto výhradám rozumět, z právního pohledu se však jedná o stížnosti neopodstatněné, což potvrdil i Nejvyšší správní soud. Povinnost poskytovatelů (organizátorů) akcí ověřit (typicky nahlédnutím do předloženého certifikátu o absolvovaném očkování, potvrzení o absolvovaném testu či prodělání nemoci, ať už v písemné, či elektronické podobě), zda osoba účastnící se akce splňuje podmínky tzv. bezinfekčnosti, nepředstavuje zpracování osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů.[2] Obecné nařízení o ochraně osobních údajů dopadá na zpracování zcela automatizované[3] nebo částečně automatizované[4] a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci (např. kartotéce) nebo […]

Polemický pohled člena redakční rady

28. 5. 2022 Oldřich Kužílek

Článek projevuje důvěrnou znalost problematiky. Vedle toho ale také projevuje – pro mě trochu křečovitě, až to vzbuzuje podezření – snahu přetlačit závěry dosavadního postoje ÚOOÚ, vyjádřeného jak ve stanovisku 2/2014, tak hlavně ve sdělení Změna v hodnocení úrovně právní ochrany biometrických údajů z června 2017. S obdobným zpochybňováním se u odborné veřejnosti setkáme často, například i v obou významných komentářích k obecnému nařízení, tedy GDPR / Obecné nařízení o ochraně osobních údajů (2016/679/EU) – Praktický komentář autorů Nulíček, Donát, Nonnemann, Lichnovský, Tomíšek, Praha, Wolters Kluwer, 2017, tak i Obecné nařízení o ochraně osobních údajů, komentář autorů UŘIČAŘ, RÁMIŠ a kol., Praha: C. H. Beck, 2021. Čtenář ale těžko hádá, který odborný pohled komentátorů doprovází třeba i upřímná snaha umožnit určité technologické a obchodní záměry výrobců a uživatelů příslušných technických zařízení a SW pro použití dynamického biometrického podpisu (např. banky). Lituji, že nejnadějnější pasáž pouze letmo zmiňující dosavadní kontrolní praxi ÚOOÚ, která dle autora dokládá neudržitelnost výše uvedených postojů Úřadu, není dotažena do konkrétních argumentů z kontrol. Za poněkud slovní ekvilibristiku považuji argumentaci autora, kterou popisuje nejednotnost definice biometrického údaje v čl. 4/14 obecného nařízení (ON) oproti jeho další konkretizaci v souvislosti s konkrétním použitím v čl. 9/1 ON. Definice v čl. 4/14 ON výslovně uvádí právě i autentizaci, […]

Dynamický biometrický podpis

28. 5. 2022 Alexander Kult

Část první: Jedná se o biometrický údaj? Na českém trhu finančních služeb si získal popularitu tzv. dynamický biometrický podpis (DBP), který se možná stal obětí svého názvu. Je z něj totiž na první pohled patrné, že se jedná o osobní údaj zvláštní kategorie. Je tomu ale skutečně tak? Podstata biometrie DBP je třeba odlišovat od prostého podpisu vytvořeného na tabulce, který je pouhým obrázkem, jaký lze nakreslit na jakémkoli dotykovém displeji. Aby však mohl být podpis označen jako biometrický, musí obsahovat aktivní biometrické charakteristiky, které nevznikají náhodně, ale mají dynamický charakter vycházející z fyziologických a biomechanických schopností a z procesu individuálního učení.[1] Senzory podepisovacího zařízení mohou měřit tlak pera, rychlost, náklon atd., a tudíž lze zachytit podobné charakteristiky podpisu jako při zkoumání fyzického podpisu na papíře. Není však zřejmé, zda lze tyto biometrické charakteristiky technicky relevantním způsobem zaznamenat a zejména rekonstruovat. Nařízení GDPR[2] biometrické údaje definuje jako „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.“[3] Lze mít za to, že je-li identita podepisující osoby předem známa, nedochází ke zpracování biometrických údajů za účelem „jedinečné identifikace fyzické osoby,“ kterou až na výjimky uvedené […]