Eva Fialová – DPO PRO: ochrana osobních údajů v praxi

Jaké nástroje mají dozorové úřady proti šikanóznímu jednání?

27. 10. 2025 Eva Fialová

Soudní dvůr Evropské unie (SDEU) vydal dne 9. ledna 2025 rozsudek ve věci C‑416/23, ve kterém určuje dozorovým úřadům pravidla, jak mají nakládat se šikanózními stížnostmi subjektů údajů. Skutkový stav Stěžovatel podal k rakouskému dozorovému úřadu Österreichische Datenschutzbehörde (DSB) stížnost podle čl. 77 odst. 1 GDPR. Namítal porušení čl. 15 GDPR, protože správce ve lhůtě jednoho měsíce neodpověděl na žádost o přístup. V období dvaceti měsíců předtím stěžovatel podal 77 obdobných stížností vůči různým správcům a DSB rovněž často kontaktoval telefonicky. DSB proto stížnost odmítl s poukazem na čl. 57 odst. 4 GDPR jako nepřiměřenou. Podle tohoto ustanovení jsou-li požadavky zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Soud rozhodnut . . .

Odpovědnost členů statutárních orgánů za porušení GDPR

28. 4. 2025 Eva Fialová

Obecné nařízení o ochraně osobních údajů (GDPR) ukládá správcům a zpracovatelům osobních údajů povinnost zajistit odpovídající ochranu těchto údajů a dodržovat pravidla stanovená nařízením. V korporacích nese odpovědnost za dodržování těchto povinností v první řadě statutární orgán, který je zodpovědný za fungování společnosti. Sankce za přestupek podle GDPR Zejména od klientů ze třetích zemí zaznívají často v praxi otázky týkající se osobní odpovědnosti fyzických osob – členů statutárních orgánů za porušení GDPR. Tyto otázky jsou zcela na místě, neboť v některých zemích se odpovědnost fyzických osob za porušení předpisů o ochraně osobních údajů uplatňuje. Příkladem je článek 95 odst. 2 slovinského zákona o ochraně osobních údajů, který umožňuje ukládat sankce za porušení GDPR i osobám, které jednají za právnickou osobu. Český zákon o zpracování osobních údajů č. 110 . . .

Úprava zpracování osobních údajů v aktu o umělé inteligenci

28. 4. 2024 Eva Fialová

Umělá inteligence potřebuje ke svému fungování data. Mnoho dat má ale charakter osobních údajů. Pojďme se podívat na to, jak se zpracování osobních údajů pro trénování systémů umělé inteligence, a to navíc systémů s vysokým rizikem, věnuje konečné znění aktu o umělé inteligenci (AIA), na jehož podobě se na začátku roku shodli zástupci členských států Evropské unie. Jedním z cílů AIA je podpořit důvěryhodnou umělou inteligenci a zajistit dodržování základních práv Mezi základní práva patří i právo na ochranu soukromí a právo na ochranu osobních údajů. Není překvapením, že AIA deklaruje, že se na zpracování osobních údajů v procesech podle AIA vztahuje GDPR, které není tímto nařízením dotčeno (čl. 2 odst. 7 AIA). Ochrana osobních údajů a ochrana soukromí je jedním z důvodů, proč patří některé systémy umělé inteligence mezi zakázané (čl. 5 AIA). Jsou jimi např. systémy biometrické kategorizace, které na základě biometrických údajů mohou dovodit rasu, politické názory, sexuální orientaci apod. Zákaz se týká, byť s určitými výjimkami, i vzdálené biometrické identifikace v reálnem čase pro účely vymáhání práva. Jádro předpisu tvoří regulace systémů s vysokým stupněm rizika Kromě rizik v oblastech bezpečnosti a zdraví je takovým rizikem možný zásah do základních práv. Systémy s vysokým rizikem jsou kupříkladu ty, které jsou postaveny na zpracování biometrických […]

Credit scoring pohledem Evropského soudu

Evropský sbor/Soudní dvůr EU28. 2. 2024 Eva Fialová

Dva rozsudky týkající se credit scoringu, tedy posuzování úvěruschopnosti, respektive bonity klienta, vydal 7. prosince loňského roku Soudní dvůr Evropské unie („SDEU“). V prvním rozsudku (C-634/21) rozhodl, že samotný credit scoring představuje automatizované individuální rozhodování podle čl. 22 GDPR. Druhým rozsudkem zakázal SDEU, aby společnosti provádějící posuzování úvěruschopnosti uchovávaly údaje z veřejného rejstříku déle než po dobu, po kterou jsou v tomto rejstříku zveřejněny. V obou případech byla posuzována praxe společnosti SCHUFA, která poskytuje informace o úvěrové bonitě svým klientům. Osobami, jejichž bonita je posuzována, jsou převážně spotřebitelé. Credit scoring jako automatizované rozhodování podle čl. 22 O. Q. požádal finanční instituci o poskytnutí úvěru, jeho žádost mu však byla zamítnuta. Podkladem pro toto zamítnutí byly informace o jeho úvěruschopnosti poskytnuté finanční instituci společností SCHUFA. O. Q. chtěl od této společnosti . . .

Náhrada nemajetkové újmy za porušení GDPR

Evropský sbor/Soudní dvůr EU28. 10. 2023 Eva Fialová

V květnu tohoto roku vydal Soudní dvůr Evropské unie (SDEU) rozsudek ve věci Österreichische Post (rozsudek ze dne 4. května 2023, sp. zn. C-300/21), který se zabývá náhradou nemajetkové újmy podle § 82 odst. 1 GDPR. Pro připomenutí: „Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“ Skutkový stav byl následující Rakouská pošta (Österreichische Post, ÖP), shromažďovala od roku 2017 informace o politických preferencích Rakušanů. Pomocí algoritmu zohledňujícího sociální a demografická kritéria vymezila adresy cílových skupin. Tyto údaje byly prodány různým organizacím, aby mohly na základě tohoto vymezení zasílat cílenou reklamu. Žalobce, který nedal k takovému zpracování souhlas, žádal částku ve výši 1 000 EUR za nemajetkovou újmu způsobenou vyvozením svých politických preferencí, které by měl být podle algoritmu ÖP mít. ÖP nepředala . . .

Dark Patterns při zpracování osobních údajů

27. 6. 2023 Eva Fialová

Na začátku letošního roku zveřejnil Evropský sbor pro ochranu osobních údajů vodítka ke klamavým praktikám sociálních sítí v oblasti zpracování osobních údajů. Tyto praktiky bývají nazývány Dark Patterns, což by se do češtiny dalo přeložit jako temné vzorce. Sama vodítka označují tyto praktiky jako klamavé designové vzory (Deceptive Design Patterns). Vodítka míří na sociální sítě, nicméně jejich využití je univerzální a týká se všech správců osobních údajů, zvláště těch, kteří poskytují své služby na internetu. Společné pro dark patterns je to, že se úmyslně nebo neúmyslně snaží, aby subjekt údajů nebyl informován o zpracování osobních údajů, nebo se snaží subjekt údajů odradit od využívání práv spojených s ochranou osobních údajů. Správce může formálně povinnosti podle GDPR splňovat, nicméně takovým způsobem, který je se zásadami GDPR neslučitelný. Vodítka popisují celou řadu dark patterns a uvádí jejich příklady. Sbor tak . . .

Právo na sdělení konkrétních příjemců podle čl. 15 GDPR

28. 3. 2023 Eva Fialová

Soudní dvůr Evropské unie (SDEU) vydal letos v lednu rozsudek C‑154/21 ve věci RW proti Österreichische Post AG, přinášející výklad čl. 15 odst. 1 písm. c) GDPR, tedy práva subjektu údajů, aby mu na jeho žádost správce poskytl informace o příjemci nebo kategoriích příjemců, kterým osobní údaje byly nebo budou zpřístupněny. Podstatou sporu bylo, zda má správce povinnost poskytnout informace o konkrétních příjemcích nebo stačí, pokud subjekt údajů bude informován pouze o kategoriích příjemců. Pan RW využil své právo na přístup k údajům podle čl. 15 GDPR a požádal Rakouskou poštu (Österreichische Post), aby mu umožnila přístup k osobním údajům, které o něm uchovává nebo které uchovávala v minulosti. Pokud byly osobní údaje předány třetí osobám, požadoval RW, aby mu Österreichische Post sdělila totožnost osob, kterým byly osobní údaje předány. Österreichische Post se při odpovědi na žádost omezila pouze . . .

Konec neomezeného přístupu k rejstříku skutečných majitelů online

Evropský sbor/Soudní dvůr EU28. 1. 2023 Eva Fialová

Dne 22. listopadu 2022 vydal Soudní dvůr Evropské unie (SDEU) dlouho očekávaný rozsudek ve věci zveřejňování rejstříku skutečných majitelů na internetu (rozsudek ve spojených věcech C-37/20 a C-601/20, WM a Sowim SA proti Luxembourg Business Register). Obsah stížností V obou řízeních napadli účastníci řízení zveřejnění údajů o skutečných majitelích ve veřejně přístupním rejstříku. V prvním případě podala společnost YO lucemburskému obchodnímu rejstříku žádost, aby byl omezen přístup k informacím o skutečném majiteli WM v rejstříku skutečných majitelů. Jako důvod uvedla, že by přístup široké veřejnosti k informacím o WM vystavil tuto osobu a jeho rodinu riziku podvodu, únosu, vydírání, obtěžování, násilí nebo zastrašování. Žádost společnosti byla zamítnuta. WM nato podal žalobu k obvodnímu soudu v Lucembursku. V žalobě tvrdil, že jako řídící pracovn . . .

Limity propuštění pověřence

Evropský sbor/Soudní dvůr EU28. 10. 2022 Eva Fialová

Soudní dvůr Evropské unie rozhodl letos v červnu o předběžné otázce Spolkového pracovního soudu, jež se týkala propuštění pověřence pro ochranu osobních údajů. Konkrétně se jednalo o propuštění vedoucí právního oddělení společnosti Leistritz, která měla povinnost jmenovat pověřence a která zároveň tuto funkci sama zastávala. Po pár měsících se společnost rozhodla právními činnostmi včetně funkce pověřence pověřit externího dodavatele a vedoucí právního oddělení dala výpověď z důvodu restrukturalizace společnosti. Restrukturalizace není důvodem k propuštění Čl. 38 odst. 2 stanoví, že pověřenec nesmí být v souvislosti s plněním svých úkolů správcem nebo zpracovatelem propuštěn ani sankcionován. Podle německého občanského zákoníku je propuštění pověřence pro ochranu osobních údajů nepřípustné, pokud nenastaly skutečnosti, které veřejný subjekt opravňují k propuštění ze . . .

Předávání osobních údajů do USA na případu Google Analytics aneb proč to není v souladu s GDPR?

27. 4. 2022 Eva Fialová

Dozorové úřady některých členských států v posledních měsících rozhodovaly, zda je používání nástroje Googlu pro měření a analýzu využívání webových stránek Google Analytics v souladu s GDPR. Shodly se na tom, že není. Důvodem je přenos osobních údajů do USA, kde prý neexistují dostatečné záruky pro ochranu osobních údajů. Rozhodl o tom rakouský dozorový úřad V červenci 2020 rozhodl Soudní dvůr Evropské unie ve věci Schrems II,[1] že přenos osobních údajů do třetí země, který se neuskutečňuje na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany (čl. 45 GDPR), je možný pouze tehdy, pokud ochrana osobních údajů bude ve třetí zemi v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii, a to i co se týče případného přístupu orgánů veřejné moci k těmto údajům. Správce musí posoudit úroveň ochrany i v případě, že existují standardní smluvní doložky, které se na zpracování vztahují.[2] Google spoléhal na standardní smluvní doložky Přestože se Google spoléhal právě na standardní smluvní doložky, podala rakouská organizace NOYB stížnost rakouskému dozorovému úřadu proti zpracování osobních údajů uživatelů webových stránek, které používaly Google Analytics. Stížnost NOYB se zaměřila na webové stránky Netdokter. NOYB tvrdil, že Google je podle amerického práva poskytovatelem služeb elektronických komunikací, a proto se na něj vztahuje § 702 zákona FISA (Foreign Intelligence […]