Mateřské školy mají základním školám nově předávat osobní údaje ve větším rozsahu než doposud

27. 10. 2025

Od školního roku 2025/2026 mají mateřské školy nově povinnost předávat základním školám osobní údaje ve větším rozsahu než doposud, včetně údajů zvláštní kategorie, aby se zajistilo propojení dat mezi mateřskými a základními školami v rámci celého vzdělávacího systému. Tento nový účel zpracování by se měl propsat do tzv. záznamů o činnostech. Je vhodné, aby o tom školy informovaly rodiče ještě mimo běžné informační memorandum. S účinností od 1. 9. letošního roku nabyly účinnosti dvě zásadní novely školského zákona[1], které počítaly také se změnami prováděcích právních předpisů. Novela školského zákona z 25. srpna a s účinností od 1. září upřesňuje nové povinnosti, které vznikají především mateřským, ale návazně i základním školám v důsledku změn, jež se týkají odkladů. Školský zákon Podle nového § 36a školského zákona je ředitel základní školy, který v rámci zápisu k povinné školní docházce rozhodl o přijetí dítěte, povinen do 31. března nebo do 14 dnů od vydání rozhodnutí o přijetí dítěte požádat školu, z níž dítě přichází (§ 36 odst. 4), o předání výsledků pedagogického diagnostikování. Ředitel školy podle § 36 odst. 4 školského zákona předává údaje řediteli základní školy do 30 dnů od doručení žádosti, v případě individuálně vzdělávaného dítěte formou zápisu z ověření úrovně jeho osvojení očekávaných výstupů. […]

Silné heslo: Klíč k bezpečnosti v kyberprostoru

27. 7. 2025

Prezident republiky podepsal dne 26. června 2025 nový zákon o kybernetické bezpečnosti, který předtím schválil Parlament a Senát. Zákon bude publikován ve Sbírce zákonů během srpna a nabude účinnosti 1. listopadu 2025. NÚKIB doporučuje organizacím, které spadají pod tento zákon, aby co nejdříve zahájily přípravné práce. Zákon poskytne roční přechodnou lhůtu pro přizpůsobení se novým požadavkům a zahájení plnění některých povinností. Vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude potřeba začít plnit již s účinností zákona, resp. ihned po provedení ohlášení regulované služby, zbylé pak cca rok poté. Tato relativně dlouhá doba však neznamená, že by organizace, které budou povinnými subjekty podle nového zákona, měly do té doby připravovanou legislativu opomíjet a čekat se zahájením prací až na její finální přijetí. Organizacím, které budou spadat pod nový zákon, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Implementace zákona bude probíhat v několika fázích NÚKIB doporučuje v úrovní fázi zaměřit se na školení relevantních osob v organizaci. Doporučuje se základní školení pro všechny uživatele, odborné školení pro osoby, které se kybernetickou bezpečností v organizaci zabývají, a nezapomenout ani na vrcholový management (management si musí být vědom důležitosti řízení kybernetické […]

Trest pro Evropskou komisi – náhrada újmy

28. 3. 2025

Soudní dvůr EU se vůbec poprvé vyjádřil k výkladu ustanovení nařízení 2018/1725(1) a poprvé také vyvodil důsledky z judikatury zvané „Schrems II“(2) při použití tohoto nařízení, jakož i ze „zásady“ jednotného výkladu obdobných ustanovení nařízení 2016/679(3) a 2018/1725. Stalo se tak při rozhodování v rozšířeném senátu, kdy částečně vyhověl návrhům na náhradu újmy, jež podal žalobce T. Bindel. Co bylo základem sporu? Žalobce dne 30. března 2022 navštívil internetové stránky Konference o budoucnosti Evropy (dále jen „KBE“) a s pomocí svého účtu na Facebooku se zaregistroval na akci „GoGreen“, která na nich byla uvedena. Dne 8. června téhož roku znovu navštívil tyto internetové stránky, u nichž je správcem osobních údajů Evropská komise. Žalobce požádal Komisi o informace, které se týkaly jeho osobních údajů Dvěma žádostmi z 9. listopadu 2021 a 1. dubna . . .

Evropský sbor pro ochranu osobních údajů identifikoval problémy bránící plnému uplatňování práva na přístup

28. 2. 2025

Evropský sbor pro ochranu osobních údajů (EDPB) přijal zprávu o uplatňování práva na přístup ze strany správců. Společná dozorová akce se zaměřila na implementaci práva subjektů údajů na přístup k osobním údajům. Na šetření se podílelo 31 dozorových úřadů z Evropského hospodářského prostoru a také kancelář Evropského inspektora pro ochranu osobních údajů. Zpráva obsahuje seznam nedostatků, jež vypozorovaly zapojené dozorové úřady, spolu s doporučeními, jak tyto nedostatky řešit. Mezi zmíněné nedostatky se například řadí nízké povědomí ohledně rozsahu, v němž musí poskytnout přístup k osobním údajům, a špatné nastavení lhůt vztahujících se k uchovávání informací o podaných žádostech o přístup či neindividuální přístup k vyhotovení odpovědí na žádost o přístup, které dostatečně nezohledňují vlastní obsah obdržené žádosti. Uvádí problémy, které byly zaznamenány u některých správců, spolu s řadou doporučení, kter . . .

Co bude letos kontrolovat ÚOOÚ? Právo na výmaz!

28. 1. 2025

Evropský sbor pro ochranu osobních údajů (EDPB) vybral na svém plenárním zasedání v říjnu 2024 téma pro čtvrté koordinované donucovací opatření (CEF), jež se bude týkat uplatňování práva na výmaz (práva být zapomenut) správci. Úřady pro ochranu osobních údajů (DPA) se k této akci  dobrovolně v nadcházejících týdnech připojí. Samotná akce odstartuje v prvním pololetí letošního roku. Cílem bude zjistit, jak se právo na výmaz uplatňuje v praxi Právo na výmaz [čl. 17 obecného nařízení (GDPR)[1]] je jedním z nejčastěji uplatňovaných práv na ochranu osobních údajů a je jedním z těch, kvůli kterému orgány pro ochranu osobních údajů často obdrží stížnosti. Cílem koordinované akce bude mimo jiné zhodnotit uplatňování tohoto práva v praxi. To bude provedeno například analýzou a porovnáním procesů zavedených různými . . .

Kdo je osobou pověřenou k vyzvedávání dítěte a jaké údaje o ní může škola zpracovávat?

28. 7. 2024

Školy a školská zařízení zajišťují bezpečnost a ochranu zdraví dětí, žáků a studentů při vzdělávání a s ním přímo souvisejících činnostech a při poskytování školských služeb a poskytují žákům a studentům nezbytné informace k zajištění bezpečnosti a ochrany zdraví. Takto se to uvádí v § 29 odst. 2 školského zákona[1]. Pozastavíme se v této souvislosti nad otázkami, jak je to s osobami pověřenými k vyzvedávání dítěte a jak s údaji, které o nich škola zpracovává? Kdo může dítě vyzvedávat? Škola a školská zařízení jsou tedy povinny dbát na bezpečnost dětí ve všech ohledech, což mimo jiné znamená i nechat odejít dítě pouze se zákonným zástupcem nebo jím pověřenou osobou (popřípadě samotné, pokud to rodič uvede). Toto pravidlo se zcela jasně objevilo v § 5 odst. 1 vyhlášky č. 14/2005 . . .

Máme pověřence proto, že jde o právem stanovenou povinnost, nebo proto, že jeho úloha je smysluplná?

28. 4. 2024

Práce pověřence není vždy jednouchá a je možné říci, že někdy i trochu nevděčná. Zájem o ochranu osobních údajů se v průběhu šesti let účinnosti obecného nařízení (GDPR) proměnil, což se samozřejmě dotklo i práce pověřenců. Nejen o postavení pověřenců jsem si povídala s Janem Bartoničkou, jednatelem SMS-služby, s. r. o. Z vlastní zkušenosti můžu říct, že zájem o oblast ochrany osobních údajů téměř zmizel a s tím i zájem o kvalitní pověřence. Vy jste jednatelem SMS-služby, s. r. o., která mimo jiné poskytuje služby pověřence pro ochranu osobních údajů, a to od roku 2018. Vnímáte to stejně? Jak se za šest let účinnosti obecného nařízení (GDPR) změnil trh? Naše firma vznikla primárně proto, aby členským obcím Sdružení místních samospráv České republiky dokázala poskytnout cenově přijatelné a současně kvalitní služby pověřenců pro ochranu osobn . . .

Představuje dynamická IP adresa osobní údaj?

28. 1. 2024

Dne 19. října 2016 vydal Soudní dvůr EU rozsudek k řízení o předběžné otázce, se kterou se na něj obrátil německý Spolkový soud v rámci soudního sporu mezi německým občanem Patrickem Breyerem a Bundesrepublik Deutschland (Spolková republika Německo). Breyer napadal u německých správních soudů to, že v důsledku jeho několika návštěv internetových stránek německých spolkových orgánů došlo k zaznamenávání a uchovávání jeho dynamických adres internetového protokolu (dále jen „IP adresa“). Spor v původním řízení a předběžné otázky Patrick Breyer navštívil několik internetových stránek německých spolkových orgánů, jež jsou veřejně přístupné a na nichž uvedené orgány poskytují aktuální informace.[13] S cílem zabránit útokům a umožnit trestněprávní stíhání „útočníků“ jsou v případě většiny těchto stránek všechny . . .

Také spisová značka trestní věci může být osobním údajem

28. 10. 2023

Nejvyšší správní soud vydal letos 24. srpna rozhodnutí č. j. 3 As 76/2022–54, v němž konstatoval, že také spisová značka trestní věci může být osobním údajem, a to pokud existují další informace, které má (nebo by mohl mít) k dispozici jiný subjekt, jenž by pomocí nich identifikoval konkrétní fyzickou osobu obžalovaného v řízení, k němuž se spisová značka vztahuje. Základ sporu Žalovanému byla doručena žádost T. J. (dále jen „žadatel“) podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím (dále jen „informační zákon“), o poskytnutí informace, kolikrát obžalovaný ve věci vedené pod sp. zn. 81 T 1/2017 žádal od 11. 4. 2017 o nahlížení do spisu. Žalovaný této žádosti vyhověl a dne 18. 7. 2018 poskytl žadateli informaci, že „ve věci sp. zn. 81 T 1/2017 nebyla ode dne 11. 4. 2017 nalezena ani jedna žádost obžalovaného o nahlížení do spisu. Do trestního spisu nahlížel dne 4. 7 . . .

Není rozhodující, kdo ve skutečnosti obchodní sdělení rozesílá

27. 6. 2023

Nejvyšší správní soud letos 16. března ve svém rozhodnutí podpořil rozhodnutí Městského soudu v Praze, když konstatoval, že je nezbytné, aby si šiřitelé obchodních sdělení, ať už jde o zadavatele (objednatele), či faktické rozesílatele, dostatečně ověřili, zda adresáti obchodních sdělení udělili pro takové zasílání souhlas. Vymezení věci a řízení před krajským soudem Rozhodnutím Úřadu pro ochranu osobních údajů ze dne 20. 8. 2018 byla žalobkyně shledána vinnou ze spáchání přestupků podle § 11 odst. 1 písm. a), c) a d) zákona č. 480/2004 Sb., o některých službách informační společnosti, ve znění účinném do 30. 6. 2017, neboť v období od června 2016 do března 2017 šířila obchodní sdělení z různých e‑mailových adres, aniž disponovala souhlasem adresátů těchto sdělení, v těchto sděleních neuváděla totožnost odesílatele, jehož jménem se komunikace uskutečňuje, a ani v nich neuv . . .