Deset omylů týkajících se anonymizace

European Data Protection Supervisor (EDPS) a španělský dozorový úřad (AEPD) zveřejnily dokument věnovaný omylům při anonymizaci osobních údajů.[1] Veřejné i soukromé subjekty považují anonymizaci za prostředek ke sdílení údajů, aniž by došlo k narušení základních práv osob. Úřady uvádí, že během uplynulých let se vyskytlo několik příkladů neúplných nebo nesprávně provedených anonymizací, které vedly k opětovné identifikaci jednotlivců. Například v roce 2006 jistá služba streamování filmů zveřejnila datovou sadu obsahující 10 milionů hodnocení filmů od 500 000 zákazníků. Služba tvrdila, že hodnocení je anonymní, ale později se zjistilo, že by stačila jen trocha informací o předplatiteli, aby jej osoba s jiným názorem mohla ztotožnit se záznamem v datové sadě. Další příklad chybné anonymizace se objevil  v roce 2013, kdy Newyorská komise pro taxi a limuzíny zveřejnila datový list s více než 173 miliony jednotlivých jízd tax . . .

Evropský sbor vydal doporučení k uchovávání údajů z kreditních karet

Dne 19. května Evropský sbor pro ochranu osobních údajů vydal doporučení č. 02/2021 o právním základě ukládání údajů výlučně za účelem usnadnění dalších transakcí online. Jde o velmi aktuální téma i vzhledem k tomu, že během pandemie Covid-19 došlo k rozmachu digitální ekonomiky a nákupů přes internet. Údaje o kreditních či platebních kartách s sebou nesou riziko závažných dopadů na subjekt údajů v případě zneužití platebních údajů, například k podvodu. Doporučení se zaměřilo na otázku ukládání údajů kreditních a platebních karet pro usnadnění dalších nákupů, jestliže subjekt údajů platí za zboží nebo službu prostřednictvím webové stránky či aplikace a poskytne údaje o své kreditní kartě, aby mohl příslušnou transakci uzavřít. Správce musí mít pro takové zpracování údajů platný právní důvod. Uložení údajů o kreditní či platební kartě za účelem usnadnění budoucích nákup . . .

Tři roky s GDPR a co nás ještě čeká

Obecné nařízení o ochraně osobních údajů neboli GDPR[1] vstoupilo účinnost dne 25. května 2018. Tento unikátní právní rámec, který na evropské úrovni zakotvil minimální míru ochrany soukromí a osobních údajů, inspiroval k vymezení obdobných pravidel i státy mimo EU, například Srbsko, Brazílii nebo Kalifornii, čímž potvrdil svůj celosvětový význam. Nařízení, častokrát označováno jako základ revoluce nebo evoluce ochrany osobních údajů, dopadá na širokou škálu subjektů. Jeho implementace a zajištění compliance nejenom se samotným GDPR, ale také s neustále se vyvíjejícími výkladovými pokyny Evropského sboru pro ochranu osobních údajů (EDPB)[2] či národního dohledového orgánu (Úřad pro ochranu osobních údajů) byly pro mnohé z nás oříškem. Navzdory tomu, že pořád zůstávají otevřené některé interpretační otázky, je GDPR rámec funkčním a životaschopným základem pro nakládání s osobními údaji a vedl . . .

Kdy hlásit bezpečnostní incident? Napoví pokyny EDPB

Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil nedávno pokyny k ohlašování incidentů úřadu a subjektům údajů. Dokument vychází z obecných pokynů připravených pracovní skupinou pod názvem Pokyny WP250. Pojednává o několika typech bezpečnostních incidentů a jejich správných řešeních. Ransomware Škodlivý program, který blokuje počítačový systém a šifruje v něm zapsaná data, označujeme jako ransomware. Původce tohoto viru za jeho odstranění a obnovení přístupů často požaduje výkupné. Pokud dojde k napadení ransomwarem, avšak data jsou šifrovaná, je zajištěn dohled nad odchozími daty z počítače a existuje záloha pro obnovení dat, není nutné hlásit incident ÚOOÚ ani subjektům údajů. U incidentu v zemědělském podniku, kde neexistence elektronické zálohy pro obnovení vedla k nutnosti obnovit data z listinné zálohy, není potřeba informovat subjekty údajů. Nahlásit incident ÚOOÚ ale nutné bude. U každého incidentu s&nbsp . . .

Data retention a poslední rozhodnutí Soudního dvora EU

Povinnost poskytovatelů služeb elektronických komunikací uchovávat po dobu šesti měsíců plošně metadata o naší komunikaci zejména pro potřeby policie, je kontroverzní praxe, která je opakovaně předmětem posuzování ze strany soudů na národní i evropské úrovni. Výsledkem je velká nejednotnost v uchovávání těchto údajů. Zatímco řada států je neuchovává vůbec, často po rozhodnutích národních ústavních soudů, v jiných zemích je praxe uchovávání i využívání těchto dat nejednotná. V českém prostředí navíc celou situaci znepřehledňuje judikatura. Zatímco Soudní dvůr Evropské unie (SDEU) opakovaně judikoval, že plošné nevýběrové sledování komunikace odporuje evropskému právu i Chartě základních práv EU, Ústavní soud ČR naopak došel k závěru, že česká právní úprava, která uchovávání dat přikazuje, je v pořádku a dokonce nezrušil ani oprávnění policie v určitých případech data využívat i bez soudn . . .

Evropský sbor pro ochranu osobních údajů vydal pokyny k pojmu relevantní a odůvodněná námitka

Guidelines 9 2020 on relevant and reasoned objection Obecné nařízení zřídilo koordinační orgán – Evropský sbor pro ochranu osobních údajů (Sbor), který připravuje pokyny k různým aspektům s cílem harmonizovat provádění GDPR v rámci Evropské unie, resp. Evropského hospodářského prostoru (EHP). Ve dnech 13. 10. až 24. 11. 2020 probíhala veřejná konzultace k návrhu pokynů upřesňujících předkládání relevantních a odůvodněných námitek definovaných v čl. 4 odst. 24 GDPR v rámci konzultačního procesu mezi vedoucím dozorovým úřadem a dotčeným dozorovým úřadem podle článku 60 odst. 4 GDPR.