Úprava zpracování osobních údajů v aktu o umělé inteligenci

28. 4. 2024

Umělá inteligence potřebuje ke svému fungování data. Mnoho dat má ale charakter osobních údajů. Pojďme se podívat na to, jak se zpracování osobních údajů pro trénování systémů umělé inteligence, a to navíc systémů s vysokým rizikem, věnuje konečné znění aktu o umělé inteligenci (AIA), na jehož podobě se na začátku roku shodli zástupci členských států Evropské unie. Jedním z cílů AIA je podpořit důvěryhodnou umělou inteligenci a zajistit dodržování základních práv Mezi základní práva patří i právo na ochranu soukromí a právo na ochranu osobních údajů. Není překvapením, že AIA deklaruje, že se na zpracování osobních údajů v procesech podle AIA vztahuje GDPR, které není tímto nařízením dotčeno (čl. 2 odst. 7 AIA). Ochrana osobních údajů a ochrana soukromí je jedním z důvodů, proč patří některé systémy umělé inteligence mezi zakázané (čl. 5 AIA). Jsou jimi např. systémy biometrické kategorizace, které na základě biometrických údajů mohou dovodit rasu, politické názory, sexuální orientaci apod. Zákaz se týká, byť s určitými výjimkami, i vzdálené biometrické identifikace v reálnem čase pro účely vymáhání práva. Jádro předpisu tvoří regulace systémů s vysokým stupněm rizika Kromě rizik v oblastech bezpečnosti a zdraví je takovým rizikem možný zásah do základních práv. Systémy s vysokým rizikem jsou kupříkladu ty, které jsou postaveny na zpracování biometrických […]

Credit scoring pohledem Evropského soudu

Dva rozsudky týkající se credit scoringu, tedy posuzování úvěruschopnosti, respektive bonity klienta, vydal 7. prosince loňského roku Soudní dvůr Evropské unie („SDEU“). V prvním rozsudku (C-634/21) rozhodl, že samotný credit scoring představuje automatizované individuální rozhodování podle čl. 22 GDPR. Druhým rozsudkem zakázal SDEU, aby společnosti provádějící posuzování úvěruschopnosti uchovávaly údaje z veřejného rejstříku déle než po dobu, po kterou jsou v tomto rejstříku zveřejněny.  V obou případech byla posuzována praxe společnosti SCHUFA, která poskytuje informace o úvěrové bonitě svým klientům. Osobami, jejichž bonita je posuzována, jsou převážně spotřebitelé. Credit scoring jako automatizované rozhodování podle čl. 22 O. Q. požádal finanční instituci o poskytnutí úvěru, jeho žádost mu však byla zamítnuta. Podkladem pro toto zamítnutí byly informace o jeho úvěruschopnosti poskytnuté finanční instituci společností SCHUFA. O. Q. chtěl od této společnosti . . .

Náhrada nemajetkové újmy za porušení GDPR

V květnu tohoto roku vydal Soudní dvůr Evropské unie (SDEU) rozsudek ve věci Österreichische Post (rozsudek ze dne 4. května 2023, sp. zn. C-300/21), který se zabývá náhradou nemajetkové újmy podle § 82 odst. 1 GDPR. Pro připomenutí: „Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“ Skutkový stav byl následující Rakouská pošta (Österreichische Post, ÖP), shromažďovala od roku 2017 informace o politických preferencích Rakušanů. Pomocí algoritmu zohledňujícího sociální a demografická kritéria vymezila adresy cílových skupin. Tyto údaje byly prodány různým organizacím, aby mohly na základě tohoto vymezení zasílat cílenou reklamu. Žalobce, který nedal k takovému zpracování souhlas, žádal částku ve výši 1 000 EUR za nemajetkovou újmu způsobenou vyvozením svých politických preferencí, které by měl být podle algoritmu ÖP mít. ÖP nepředala . . .

Dark Patterns při zpracování osobních údajů

27. 6. 2023

Na začátku letošního roku zveřejnil Evropský sbor pro ochranu osobních údajů vodítka ke klamavým praktikám sociálních sítí v oblasti zpracování osobních údajů. Tyto praktiky bývají nazývány Dark Patterns, což by se do češtiny dalo přeložit jako temné vzorce. Sama vodítka označují tyto praktiky jako klamavé designové vzory (Deceptive Design Patterns). Vodítka míří na sociální sítě, nicméně jejich využití je univerzální a týká se všech správců osobních údajů, zvláště těch, kteří poskytují své služby na internetu. Společné pro dark patterns je to, že se úmyslně nebo neúmyslně snaží, aby subjekt údajů nebyl informován o zpracování osobních údajů, nebo se snaží subjekt údajů odradit od využívání práv spojených s ochranou osobních údajů. Správce může formálně povinnosti podle GDPR splňovat, nicméně takovým způsobem, který je se zásadami GDPR neslučitelný. Vodítka popisují celou řadu dark patterns a uvádí jejich příklady. Sbor tak . . .

Právo na sdělení konkrétních příjemců podle čl. 15 GDPR

28. 3. 2023

Soudní dvůr Evropské unie (SDEU) vydal letos v lednu rozsudek C‑154/21 ve věci RW proti Österreichische Post AG, přinášející výklad čl. 15 odst. 1 písm. c) GDPR, tedy práva subjektu údajů, aby mu na jeho žádost správce poskytl informace o příjemci nebo kategoriích příjemců, kterým osobní údaje byly nebo budou zpřístupněny. Podstatou sporu bylo, zda má správce povinnost poskytnout informace o konkrétních příjemcích nebo stačí, pokud subjekt údajů bude informován pouze o kategoriích příjemců. Pan RW využil své právo na přístup k údajům podle čl. 15 GDPR a požádal Rakouskou poštu (Österreichische Post), aby mu umožnila přístup k osobním údajům, které o něm uchovává nebo které uchovávala v minulosti. Pokud byly osobní údaje předány třetí osobám, požadoval RW, aby mu Österreichische Post sdělila totožnost osob, kterým byly osobní údaje předány.  Österreichische Post se při odpovědi na žádost omezila pouze . . .

Konec neomezeného přístupu k rejstříku skutečných majitelů online

Dne 22. listopadu 2022 vydal Soudní dvůr Evropské unie (SDEU) dlouho očekávaný rozsudek ve věci zveřejňování rejstříku skutečných majitelů na internetu (rozsudek ve spojených věcech C-37/20 a C-601/20, WM a Sowim SA proti Luxembourg Business Register).   Obsah stížností V obou řízeních napadli účastníci řízení zveřejnění údajů o skutečných majitelích ve veřejně přístupním rejstříku. V prvním případě podala společnost YO lucemburskému obchodnímu rejstříku žádost, aby byl omezen přístup k informacím o skutečném majiteli WM v rejstříku skutečných majitelů. Jako důvod uvedla, že by přístup široké veřejnosti k informacím o WM vystavil tuto osobu a jeho rodinu riziku podvodu, únosu, vydírání, obtěžování, násilí nebo zastrašování. Žádost společnosti byla zamítnuta. WM nato podal žalobu k obvodnímu soudu v Lucembursku. V žalobě tvrdil, že jako řídící pracovn . . .

Limity propuštění pověřence

Soudní dvůr Evropské unie rozhodl letos v červnu o předběžné otázce Spolkového pracovního soudu, jež se týkala propuštění pověřence pro ochranu osobních údajů. Konkrétně se jednalo o propuštění vedoucí právního oddělení společnosti Leistritz, která měla povinnost jmenovat pověřence a která zároveň tuto funkci sama zastávala. Po pár měsících se společnost rozhodla právními činnostmi včetně funkce pověřence pověřit externího dodavatele a vedoucí právního oddělení dala výpověď z důvodu restrukturalizace společnosti. Restrukturalizace není důvodem k propuštění Čl. 38 odst. 2 stanoví, že pověřenec nesmí být v souvislosti s plněním svých úkolů správcem nebo zpracovatelem propuštěn ani sankcionován. Podle německého občanského zákoníku je propuštění pověřence pro ochranu osobních údajů nepřípustné, pokud nenastaly skutečnosti, které veřejný subjekt opravňují k propuštění ze . . .

Předávání osobních údajů do USA na případu Google Analytics aneb proč to není v souladu s GDPR?

27. 4. 2022

Dozorové úřady některých členských států v posledních měsících rozhodovaly, zda je používání nástroje Googlu pro měření a analýzu využívání webových stránek Google Analytics v souladu s GDPR. Shodly se na tom, že není. Důvodem je přenos osobních údajů do USA, kde prý neexistují dostatečné záruky pro ochranu osobních údajů. Rozhodl o tom rakouský dozorový úřad V červenci 2020 rozhodl Soudní dvůr Evropské unie ve věci Schrems II,[1] že přenos osobních údajů do třetí země, který se neuskutečňuje na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany (čl. 45 GDPR), je možný pouze tehdy, pokud ochrana osobních údajů bude ve třetí zemi v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii, a to i co se týče případného přístupu orgánů veřejné moci k těmto údajům. Správce musí posoudit úroveň ochrany i v případě, že existují standardní smluvní doložky, které se na zpracování vztahují.[2] Google spoléhal na standardní smluvní doložky Přestože se Google spoléhal právě na standardní smluvní doložky, podala rakouská organizace NOYB stížnost rakouskému dozorovému úřadu proti zpracování osobních údajů uživatelů webových stránek, které používaly Google Analytics. Stížnost NOYB se zaměřila na webové stránky Netdokter. NOYB tvrdil, že Google je podle amerického práva poskytovatelem služeb elektronických komunikací, a proto se na něj vztahuje § 702 zákona FISA (Foreign Intelligence […]

Když jde o výzkum? Aneb některé problematické body zpracovávání osobních údajů ve výzkumu

28. 3. 2022

Obecné nařízení o ochraně osobních údajů se ve srovnání s předchozí právní úpravou poměrně široce věnuje zpracovávání osobních údajů pro účely vědeckého a historického výzkumu. Ustanovení čl. 89 GDPR a s ním související ustanovení obsahují určité výjimky, pokud je účelem zpracování výzkum. Těmito výjimkami jsou výjimky z omezení účelem, z omezení doby zpracování, ze zákazu zpracování zvláštních kategorií údajů, z informační povinnosti nebo z práva na výmaz. To je také důvod, proč nařízení v prvním odstavci klade důraz na vhodné záruky pro práva a svobody subjektu údajů spočívající v přijetí dostatečných technických a organizačních opatření. Pokud je to pro splnění účelu možné, musí správce osobní údaje anonymizovat. Demonstrativní výčet těchto opatření je uveden v § 16 zákona č. 110/2019 Sb., o zpracování osobních údajů. Jsou jimi například minimalizace údajů a jejich pseudonymizace, jmenov . . .

Zpracování osobních údajů dětí

28. 12. 2021

O zpracování osobních údajů dětí toho bylo napsáno už mnoho. Přesto stále přetrvávají některá nedorozumění a nejasnosti. Nejčastějším příkladem je požadování souhlasu se zpracováním osobních údajů dětí i v případě, kdy k němu dochází na základě zákona, nebo podání nesprávné informace o nutnosti získat rodičovský souhlas s každým zpracováním osobních údajů dětí do 16 let s odkazem na čl. 8 GDPR. Článek 8 GDPR se zabývá rodičovským souhlasem pouze v případě, pokud se jedná o nabízení služby informační společnosti přímo dítěti. Jedná se o službu, která je poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce (např. sociální síť, online hra, apod.). Poskytovatel tedy nedal najevo, že je jeho služba určena pouze pro osoby starší 18 let,[1] a zároveň aplikace nezobrazuje obsah typický pro dětské uživatele. Z . . .