Evropský sbor/Soudní dvůr EU – DPO PRO: ochrana osobních údajů v praxi

Konec neomezeného přístupu k rejstříku skutečných majitelů online

Evropský sbor/Soudní dvůr EU28. 1. 2023 Eva Fialová

Dne 22. listopadu 2022 vydal Soudní dvůr Evropské unie (SDEU) dlouho očekávaný rozsudek ve věci zveřejňování rejstříku skutečných majitelů na internetu (rozsudek ve spojených věcech C-37/20 a C-601/20, WM a Sowim SA proti Luxembourg Business Register). Obsah stížností V obou řízeních napadli účastníci řízení zveřejnění údajů o skutečných majitelích ve veřejně přístupním rejstříku. V prvním případě podala společnost YO lucemburskému obchodnímu rejstříku žádost, aby byl omezen přístup k informacím o skutečném majiteli WM v rejstříku skutečných majitelů. Jako důvod uvedla, že by přístup široké veřejnosti k informacím o WM vystavil tuto osobu a jeho rodinu riziku podvodu, únosu, vydírání, obtěžování, násilí nebo zastrašování. Žádost společnosti byla zamítnuta. WM nato podal žalobu k obvodnímu soudu v Lucembursku. V žalobě tvrdil, že jako řídící pracovn . . .

Limity propuštění pověřence

Evropský sbor/Soudní dvůr EU28. 10. 2022 Eva Fialová

Soudní dvůr Evropské unie rozhodl letos v červnu o předběžné otázce Spolkového pracovního soudu, jež se týkala propuštění pověřence pro ochranu osobních údajů. Konkrétně se jednalo o propuštění vedoucí právního oddělení společnosti Leistritz, která měla povinnost jmenovat pověřence a která zároveň tuto funkci sama zastávala. Po pár měsících se společnost rozhodla právními činnostmi včetně funkce pověřence pověřit externího dodavatele a vedoucí právního oddělení dala výpověď z důvodu restrukturalizace společnosti. Restrukturalizace není důvodem k propuštění Čl. 38 odst. 2 stanoví, že pověřenec nesmí být v souvislosti s plněním svých úkolů správcem nebo zpracovatelem propuštěn ani sankcionován. Podle německého občanského zákoníku je propuštění pověřence pro ochranu osobních údajů nepřípustné, pokud nenastaly skutečnosti, které veřejný subjekt opravňují k propuštění ze . . .

Dozorové úřady hodlají úžeji spolupracovat na strategických případech. Případ Vinted UAB může být vzorem

Evropský sbor/Soudní dvůr EU28. 7. 2022 Pavel Janeček

Evropský sbor pro ochranu osobních údajů (Sbor) vydal za čtyři roky své existence již 57 vodítek a šest doporučení. Dozorové úřady v něm zastoupené uložily do konce roku 2021 pokuty v souhrnné výši 1,55 miliardy eur.[1] Užší spolupráce na dubnovém jednání Na letošním zasedání Sboru ve Vídni, které se konalo ve dnech 27. – 28. dubna se úřady dohodly, že každoročně určí několik strategicky významných případů přesahujících hranice jednoho členského státu EU. Strategicky významné jsou např. případy, které se týkají velkého počtu subjektů osobních údajů v Evropském hospodářském prostoru nebo takové, kde se jedná o strukturální či opakující se problém v několika členských státech nebo o situaci, kdy se ochrana osobních údajů protíná s jinými oblastmi práva.[2] U takových . . .

Jak rozhodl Soudní dvůr EU v záležitosti uchovávání dat o provozu a poloze z elektronické komunikace?

Evropský sbor/Soudní dvůr EU28. 6. 2022 Pavel Janeček

Soudní dvůr EU (SDEU) vydal letos 5. dubna rozhodnutí v případu spisové značky C-140/20. Kauzu v březnu 2015 zahájil výrok irského soudu první instance o vině a uložení doživotního trestu odnětí svobody za trestný čin vraždy. Obžalovaný G. D. podal odvolání, v němž argumentoval tím, že prvoinstanční soud nesprávně připustil důkaz založený na údajích o telefonické komunikaci a poloze zařízení. Obžalovaný G. D. podal v této věci také civilní žalobu, kterou projednával irský vrchní soud. V žalobě G. D. zpochybnil některá ustanovení irského zákona z roku 2011, který upravuje uchovávání uvedených kategorií údajů a přístup k nim. Tvrdil, že tato ustanovení porušila jeho práva zaručená právem EU. Vrchní soud dal 6. prosince 2018 G. D. za pravdu. Stát se odvolal k Nejvyššímu soudu. Nejvyšší soud se následně obrátil na SDEU se žádostí o objasnění ustanovení evropského práva vztahujícího se k uchov . . .

Soudní dvůr EU: Úřady musí shromažďovat osobní údaje pouze v nezbytném rozsahu, nikoliv plošně

Evropský sbor/Soudní dvůr EU Judikatura28. 5. 2022 František Nonnemann

V řadě veřejnoprávních agend je zakotvena obecná povinnost součinnosti třetích osob s příslušnými úřady. I tato povinnost, resp. oprávnění veřejnoprávních subjektů, však má v demokratickém státě své hranice. Jednou z nich je ochrana soukromí a osobních údajů. Jako příklad těchto zmocnění můžeme jmenovat povinnost všech fyzických a právnických osob i veřejnoprávních subjektů poskytovat policii na její vyžádání věcnou a osobní pomoc včetně informací a osobních údajů[1], doplněnou o výslovné oprávnění policie získávat údaje z různých veřejných evidencí[2]. Orgány finanční správy mají rovněž přístup do řady rejstříků a databází, např. registru obyvatel, evidence občanských průkazů, registr pojištěnců veřejného zdravotního pojištění atd.[3] Tento přístup je navíc dle zákona . . .

Ochrana osobních údajů a připomínky k návrhům změn evropských směrnic v souvislosti s covid-19

Evropský sbor/Soudní dvůr EU27. 4. 2022 Pavel Janeček

Evropská komise vydala letos 3. února návrhy na změny evropských nařízení (EU) 2021/953 a (EU) 2021/954. Ve stejný den požádala o připomínky Evropský sbor pro ochranu osobních údajů (dále Sbor) a evropského inspektora ochrany osobních údajů (Inspektor). Koho a čeho se to týká? Obě nařízení upravují vydávání, ověřování a přijímání certifikátů o očkování proti covid-19, výsledků testů na přítomnost koronaviru a potvrzení o prodělání covid-19 v souvislosti s volným pohybem osob. První nařízení se týká občanů zemí Evropského hospodářského prostoru (EHP), druhé pak občanů třetích zemí, kteří legálně pobývají nebo bydlí na území členských států EHP. Co návrhy Komise obsahují? Návrhy Komise obsahují ustanovení o prodloužení platnosti obou nařízení o dalších 12 měsíců, tedy do konce června 2023. Stejně se má prodloužit období, během kter . . .

Souhlas prostřednictvím cookies s předem zaškrtnutým políčkem není právoplatný

Evropský sbor/Soudní dvůr EU Judikatura28. 11. 2021 Eva Janečková

Velký senát Soudního dvora vydal dne 1. října 2019 rozhodnutí o předběžné otázce týkající se prohlášení o souhlasu prostřednictvím předem zaškrtnutého „políčka“. Žádost o rozhodnutí o předběžné otázce se týkal výkladu čl. 2 písm. f) a čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích ve spojení s čl. 2 písm. h) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, jakož i čl. 6 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.&nbsp . . .

Správci, zpracovatelé a společní správci podle pokynů EDPB

Evropský sbor/Soudní dvůr EU28. 9. 2021 Eva Fialová

Na začátku července letošního roku vydal Evropský sbor pro ochranu osobních údajů (EDPB) konečné pokyny o pojmech správce a zpracovatel podle Obecného nařízení (GDPR). O tomto tématu vyšlo sice stanovisko předchůdce EDPB – Pracovní skupiny podle článku 29 (WP 169), nicméně toto stanovisko podle EDPB nereflektovalo dostatečně změny, které GDPR přineslo. K pojmu správce, resp. společný správce se ve své judikatuře vyjádřil i Soudní dvůr Evropské unie (SDEU) zejména v rozsudcích Fashion ID (C-40/17) a Wirtschaftsakademie (C-210/16). Tyto rozsudky ve svých pokynech EDPB zohlednil. Pokyny EDPB jsou poměrně rozsáhlé, takže se v tomto článku zaměřím jen na jejich nejdůležitější body. Prvním z nich vzájemný vztah správce a zpracovatele, druhým pak problematika společných správců. Vztah mezi správcem a zpracovatelem EDPB opakuje, že správce určuje účel a prostředky zpracování a o zpracování rozhoduje. Toto ov . . .

Deset omylů týkajících se anonymizace

Evropský sbor/Soudní dvůr EU27. 7. 2021 Pavel Janeček

European Data Protection Supervisor (EDPS) a španělský dozorový úřad (AEPD) zveřejnily dokument věnovaný omylům při anonymizaci osobních údajů.[1] Veřejné i soukromé subjekty považují anonymizaci za prostředek ke sdílení údajů, aniž by došlo k narušení základních práv osob. Úřady uvádí, že během uplynulých let se vyskytlo několik příkladů neúplných nebo nesprávně provedených anonymizací, které vedly k opětovné identifikaci jednotlivců. Například v roce 2006 jistá služba streamování filmů zveřejnila datovou sadu obsahující 10 milionů hodnocení filmů od 500 000 zákazníků. Služba tvrdila, že hodnocení je anonymní, ale později se zjistilo, že by stačila jen trocha informací o předplatiteli, aby jej osoba s jiným názorem mohla ztotožnit se záznamem v datové sadě. Další příklad chybné anonymizace se objevil v roce 2013, kdy Newyorská komise pro taxi a limuzíny zveřejnila datový list s více než 173 miliony jednotlivých jízd tax . . .

Evropský sbor vydal doporučení k uchovávání údajů z kreditních karet

Evropský sbor/Soudní dvůr EU27. 6. 2021 Pavel Janeček

Dne 19. května Evropský sbor pro ochranu osobních údajů vydal doporučení č. 02/2021 o právním základě ukládání údajů výlučně za účelem usnadnění dalších transakcí online. Jde o velmi aktuální téma i vzhledem k tomu, že během pandemie Covid-19 došlo k rozmachu digitální ekonomiky a nákupů přes internet. Údaje o kreditních či platebních kartách s sebou nesou riziko závažných dopadů na subjekt údajů v případě zneužití platebních údajů, například k podvodu. Doporučení se zaměřilo na otázku ukládání údajů kreditních a platebních karet pro usnadnění dalších nákupů, jestliže subjekt údajů platí za zboží nebo službu prostřednictvím webové stránky či aplikace a poskytne údaje o své kreditní kartě, aby mohl příslušnou transakci uzavřít. Správce musí mít pro takové zpracování údajů platný právní důvod. Uložení údajů o kreditní či platební kartě za účelem usnadnění budoucích nákup . . .