Má při řešení sporu přednost dozorový úřad, nebo soud?

28. 1. 2025

Soudní dvůr vydal dne 12. ledna 2023 rozsudek ve věci C‑132/21, jejímž předmětem je žádost o rozhodnutí o předběžné otázce. Konkrétně se v ní soud zabýval tím, zda bude mít při řešení sporu přednost východisko dozorového úřadu, nebo soudu. Předběžná otázka Tato žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 77 odst. 1, čl. 78 odst. 1 a čl. 79 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Žádost byla podána během sporu, který se týkal zamítnutí žádosti o poskytnutí výňatků ze zvukového . . .

Pokyny Sboru pro ochranu osobních údajů k virtuálním hlasovým asistentům

27. 3. 2024

V roce 2021 vydal Evropský sbor pro ochranu osobních údajů (dále „Sbor“) pokyny k virtuálním hlasovým asistentům.[1] Jde o technologii, která se velmi rychle prosazuje a s níž se pojí několik specifik ochrany osobních údajů. Nástup umělé inteligence do této oblasti používání virtuálních hlasových asistentů dynamicky mění. Virtuální hlasový asistent je softwarová aplikace na zařízení vybaveném mikrofonem a reproduktorem. Slouží jako prostředník mezi uživatelem, zařízeními a online službami. Asistent rozpoznává hlasové příkazy a na jejich základě může provádět velmi širokou paletu funkcí. Bývá součástí chytrého telefonu, auta, tabletu či jiného zařízení. V rámci internetu věcí pak může být napojen na řadu dalších prvků chytré domácnosti. Výhodou je přirozenost interakce, jednoduchost ovládání, rychlejší přístup k informacím. Předpokládá se, že v roce 2024 počet hlasových asistentů překro . . .

Credit scoring pohledem Evropského soudu

28. 2. 2024

Dva rozsudky týkající se credit scoringu, tedy posuzování úvěruschopnosti, respektive bonity klienta, vydal 7. prosince loňského roku Soudní dvůr Evropské unie („SDEU“). V prvním rozsudku (C-634/21) rozhodl, že samotný credit scoring představuje automatizované individuální rozhodování podle čl. 22 GDPR. Druhým rozsudkem zakázal SDEU, aby společnosti provádějící posuzování úvěruschopnosti uchovávaly údaje z veřejného rejstříku déle než po dobu, po kterou jsou v tomto rejstříku zveřejněny.  V obou případech byla posuzována praxe společnosti SCHUFA, která poskytuje informace o úvěrové bonitě svým klientům. Osobami, jejichž bonita je posuzována, jsou převážně spotřebitelé. Credit scoring jako automatizované rozhodování podle čl. 22 O. Q. požádal finanční instituci o poskytnutí úvěru, jeho žádost mu však byla zamítnuta. Podkladem pro toto zamítnutí byly informace o jeho úvěruschopnosti poskytnuté finanční instituci společností SCHUFA. O. Q. chtěl od této společnosti . . .

Smluvní klauzule o ochraně osobních údajů mezi Soudním dvorem EU a společností Cisco

28. 2. 2024

Tentokráte se nepozastavíme nad judikaturou, ale nad provozními záležitostmi soudu, konkrétně Soudního dvora EU (SD EU). Evropský sbor pro ochranu osobních údajů (Sbor) v červenci 2023 vydal rozhodnutí, ve kterém se po několikaleté komunikaci se SD EU vyjádřil k příslušným klauzulím smlouvy mezi SD EU a společností Cisco Systems Inc. (dále jen „Cisco“).[1] Celý proces spustila žádost SD EU o rozhodnutí Sboru ve věci případného předávání osobních údajů na základě uvedené smlouvy. Současné rozhodnutí navazuje na předchozí dočasná rozhodnutí,[2] která obsahovala podmínky, jejichž splnění se vyžadovalo k plnému souladu s Nařízením Evropského parlamentu a Rady (EU) 2018/1725[3] o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále „nařízení“). Sbor nevedl šetření na m . . .

Představuje dynamická IP adresa osobní údaj?

28. 1. 2024

Dne 19. října 2016 vydal Soudní dvůr EU rozsudek k řízení o předběžné otázce, se kterou se na něj obrátil německý Spolkový soud v rámci soudního sporu mezi německým občanem Patrickem Breyerem a Bundesrepublik Deutschland (Spolková republika Německo). Breyer napadal u německých správních soudů to, že v důsledku jeho několika návštěv internetových stránek německých spolkových orgánů došlo k zaznamenávání a uchovávání jeho dynamických adres internetového protokolu (dále jen „IP adresa“). Spor v původním řízení a předběžné otázky Patrick Breyer navštívil několik internetových stránek německých spolkových orgánů, jež jsou veřejně přístupné a na nichž uvedené orgány poskytují aktuální informace.[13] S cílem zabránit útokům a umožnit trestněprávní stíhání „útočníků“ jsou v případě většiny těchto stránek všechny . . .

Náhrada nemajetkové újmy za porušení GDPR

28. 10. 2023

V květnu tohoto roku vydal Soudní dvůr Evropské unie (SDEU) rozsudek ve věci Österreichische Post (rozsudek ze dne 4. května 2023, sp. zn. C-300/21), který se zabývá náhradou nemajetkové újmy podle § 82 odst. 1 GDPR. Pro připomenutí: „Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“ Skutkový stav byl následující Rakouská pošta (Österreichische Post, ÖP), shromažďovala od roku 2017 informace o politických preferencích Rakušanů. Pomocí algoritmu zohledňujícího sociální a demografická kritéria vymezila adresy cílových skupin. Tyto údaje byly prodány různým organizacím, aby mohly na základě tohoto vymezení zasílat cílenou reklamu. Žalobce, který nedal k takovému zpracování souhlas, žádal částku ve výši 1 000 EUR za nemajetkovou újmu způsobenou vyvozením svých politických preferencí, které by měl být podle algoritmu ÖP mít. ÖP nepředala . . .

Článek 15 GDPR nezakotvuje povinnost předat informace o totožnosti zaměstnanců správce, kteří prováděli tyto operace z jeho pověření

28. 9. 2023

Dne 22. června 2023 vydal Soudní dvůr rozhodnutí ve věci C-579/21 o předběžné otázce týkající se rozsahu práva na přístup k informacím uvedeným v článku 15 obecného nařízení (GDPR). O jaký případ se jednalo? Spor v původním řízení a předběžné otázky V průběhu roku 2014 se J. M., tehdejší zaměstnanec a klient společnosti Pankki S, dozvěděl, že v období od 1. listopadu do 31. prosince 2013 zaměstnanci banky několikrát nahlíželi do jeho údajů jakožto klienta.[20] Vzhledem k tomu, že J. M. měl pochybnosti o zákonnosti těchto nahlížení, požádal společnost Pankki S, aby mu sdělila totožnost osob, které nahlížely do jeho klientských údajů, přesná data nahlížení, jakož i účel zpracování uvedených údajů.[21] V odpovědi společnost Pankki S, jakožto správce ve smyslu čl. 4 bodu 7 GDPR, odmítla sdělit toto . . .

Lhůta stanovená zákonem vyvolává očekávání, že údaje po jejím uplynutí zmizí

28. 4. 2023

Generální advokát přednesl letos 16. března stanovisko, které se týkalo zpracování osobních údajů z veřejných rejstříků soukromou společností. „Skutečnost, že zákon stanoví pevnou dobu pro uchovávání údajů ve veřejných rejstřících, pravděpodobně vyvolává důvodné očekávání, že dotyčné údaje budou po uplynutí této doby vymazány,“ uvedl v tomto stanovisku. Skutkový základ sporů, původní řízení a předběžné otázky V rámci insolvenčního řízení bylo společnostem UF a AB soudními rozhodnutími povoleno předčasné osvobození od splacení zbytku dluhu (oddlužení). V souladu s § 9 odst. 1 insolvenčního řádu a § 3 odst. 1 a 2 InsBekV byla tato okolnost oficiálně zveřejněna na internetu a po uplynutí šesti měsíců odstraněna.[14] Společnost SCHUFA, která je soukromou informační agenturou, eviduje zveřejněné informace o předčasném oddlužení ve svých vlastních datab . . .

Soudní dvůr EU bude posuzovat legalitu policejní databáze DNA

28. 3. 2023

Česká policie vede už řadu let databázi DNA osob, ve většině případů odsouzených za úmyslné trestné činy, někdy i osob dalších. V rámci dlouhodobého sporu mezi Ministerstvem vnitra a Úřadem pro ochranu osobních údajů konstatoval Nejvyšší správní soud, že má pochybnosti o souladu některých aspektů vnitrostátní právní úpravy s právem Unie. Nejvyšší správní soud proto předložil Soudnímu dvoru Evropské unie následující předběžné otázky: 1) „Jakou míru rozlišování mezi jednotlivými subjekty osobních údajů vyžaduje čl. 4 odst. 1 písm. c) či čl. 6 ve spojení s čl. 10 Směrnice č. 2016/680? Je slučitelné s imperativem minimalizace zpracování osobních údajů, stejně jako povinnosti rozlišovat mezi různými kategoriemi subjektů údajů, aby vnitrostátní právní úprava umožňovala odběr genetických údajů s ohledem na všechny osoby podezřelé nebo obviněné ze spáchání úmyslného trestného činu? 2) Je v souladu s čl. 4 odst. 1 písm . . .

Konec neomezeného přístupu k rejstříku skutečných majitelů online

28. 1. 2023

Dne 22. listopadu 2022 vydal Soudní dvůr Evropské unie (SDEU) dlouho očekávaný rozsudek ve věci zveřejňování rejstříku skutečných majitelů na internetu (rozsudek ve spojených věcech C-37/20 a C-601/20, WM a Sowim SA proti Luxembourg Business Register).   Obsah stížností V obou řízeních napadli účastníci řízení zveřejnění údajů o skutečných majitelích ve veřejně přístupním rejstříku. V prvním případě podala společnost YO lucemburskému obchodnímu rejstříku žádost, aby byl omezen přístup k informacím o skutečném majiteli WM v rejstříku skutečných majitelů. Jako důvod uvedla, že by přístup široké veřejnosti k informacím o WM vystavil tuto osobu a jeho rodinu riziku podvodu, únosu, vydírání, obtěžování, násilí nebo zastrašování. Žádost společnosti byla zamítnuta. WM nato podal žalobu k obvodnímu soudu v Lucembursku. V žalobě tvrdil, že jako řídící pracovn . . .