Předávání osobních údajů do USA na případu Google Analytics aneb proč to není v souladu s GDPR?

27. 4. 2022

Dozorové úřady některých členských států v posledních měsících rozhodovaly, zda je používání nástroje Googlu pro měření a analýzu využívání webových stránek Google Analytics v souladu s GDPR. Shodly se na tom, že není. Důvodem je přenos osobních údajů do USA, kde prý neexistují dostatečné záruky pro ochranu osobních údajů. Rozhodl o tom rakouský dozorový úřad V červenci 2020 rozhodl Soudní dvůr Evropské unie ve věci Schrems II,[1] že přenos osobních údajů do třetí země, který se neuskutečňuje na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany (čl. 45 GDPR), je možný pouze tehdy, pokud ochrana osobních údajů bude ve třetí zemi v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii, a to i co se týče případného přístupu orgánů veřejné moci k těmto údajům. Správce musí posoudit úroveň ochrany i v případě, že existují standardní smluvní doložky, které se na zpracování vztahují.[2] Google spoléhal na standardní smluvní doložky Přestože se Google spoléhal právě na standardní smluvní doložky, podala rakouská organizace NOYB stížnost rakouskému dozorovému úřadu proti zpracování osobních údajů uživatelů webových stránek, které používaly Google Analytics. Stížnost NOYB se zaměřila na webové stránky Netdokter. NOYB tvrdil, že Google je podle amerického práva poskytovatelem služeb elektronických komunikací, a proto se na něj vztahuje § 702 zákona FISA (Foreign Intelligence […]

Když jde o výzkum? Aneb některé problematické body zpracovávání osobních údajů ve výzkumu

28. 3. 2022

Obecné nařízení o ochraně osobních údajů se ve srovnání s předchozí právní úpravou poměrně široce věnuje zpracovávání osobních údajů pro účely vědeckého a historického výzkumu. Ustanovení čl. 89 GDPR a s ním související ustanovení obsahují určité výjimky, pokud je účelem zpracování výzkum. Těmito výjimkami jsou výjimky z omezení účelem, z omezení doby zpracování, ze zákazu zpracování zvláštních kategorií údajů, z informační povinnosti nebo z práva na výmaz. To je také důvod, proč nařízení v prvním odstavci klade důraz na vhodné záruky pro práva a svobody subjektu údajů spočívající v přijetí dostatečných technických a organizačních opatření. Pokud je to pro splnění účelu možné, musí správce osobní údaje anonymizovat. Demonstrativní výčet těchto opatření je uveden v § 16 zákona č. 110/2019 Sb., o zpracování osobních údajů. Jsou jimi například minimalizace údajů a jejich pseudonymizace, jmenov . . .

Zpracování osobních údajů dětí

28. 12. 2021

O zpracování osobních údajů dětí toho bylo napsáno už mnoho. Přesto stále přetrvávají některá nedorozumění a nejasnosti. Nejčastějším příkladem je požadování souhlasu se zpracováním osobních údajů dětí i v případě, kdy k němu dochází na základě zákona, nebo podání nesprávné informace o nutnosti získat rodičovský souhlas s každým zpracováním osobních údajů dětí do 16 let s odkazem na čl. 8 GDPR. Článek 8 GDPR se zabývá rodičovským souhlasem pouze v případě, pokud se jedná o nabízení služby informační společnosti přímo dítěti. Jedná se o službu, která je poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce (např. sociální síť, online hra, apod.). Poskytovatel tedy nedal najevo, že je jeho služba určena pouze pro osoby starší 18 let,[1] a zároveň aplikace nezobrazuje obsah typický pro dětské uživatele. Z . . .

Správci, zpracovatelé a společní správci podle pokynů EDPB

Na začátku července letošního roku vydal Evropský sbor pro ochranu osobních údajů (EDPB) konečné pokyny o pojmech správce a zpracovatel podle Obecného nařízení (GDPR). O tomto tématu vyšlo sice stanovisko předchůdce EDPB  – Pracovní skupiny podle článku 29 (WP 169), nicméně toto stanovisko podle EDPB nereflektovalo dostatečně změny, které GDPR přineslo. K pojmu správce, resp. společný správce se ve své judikatuře vyjádřil i Soudní dvůr Evropské unie (SDEU) zejména v rozsudcích Fashion ID (C-40/17) a Wirtschaftsakademie (C-210/16). Tyto rozsudky ve svých pokynech EDPB zohlednil. Pokyny EDPB jsou poměrně rozsáhlé, takže se v tomto článku zaměřím jen na jejich nejdůležitější body. Prvním z nich vzájemný vztah správce a zpracovatele, druhým pak problematika společných správců. Vztah mezi správcem a zpracovatelem EDPB opakuje, že správce určuje účel a prostředky zpracování a o zpracování rozhoduje. Toto ov . . .