Náhrada nemajetkové újmy za porušení GDPR

V květnu tohoto roku vydal Soudní dvůr Evropské unie (SDEU) rozsudek ve věci Österreichische Post (rozsudek ze dne 4. května 2023, sp. zn. C-300/21), který se zabývá náhradou nemajetkové újmy podle § 82 odst. 1 GDPR. Pro připomenutí: „Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“ Skutkový stav byl následující Rakouská pošta (Österreichische Post, ÖP), shromažďovala od roku 2017 informace o politických preferencích Rakušanů. Pomocí algoritmu zohledňujícího sociální a demografická kritéria vymezila adresy cílových skupin. Tyto údaje byly prodány různým organizacím, aby mohly na základě tohoto vymezení zasílat cílenou reklamu. Žalobce, který nedal k takovému zpracování souhlas, žádal částku ve výši 1 000 EUR za nemajetkovou újmu způsobenou vyvozením svých politických preferencí, které by měl být podle algoritmu ÖP mít. ÖP nepředala . . .

Článek 15 GDPR nezakotvuje povinnost předat informace o totožnosti zaměstnanců správce, kteří prováděli tyto operace z jeho pověření

Dne 22. června 2023 vydal Soudní dvůr rozhodnutí ve věci C-579/21 o předběžné otázce týkající se rozsahu práva na přístup k informacím uvedeným v článku 15 obecného nařízení (GDPR). O jaký případ se jednalo? Spor v původním řízení a předběžné otázky V průběhu roku 2014 se J. M., tehdejší zaměstnanec a klient společnosti Pankki S, dozvěděl, že v období od 1. listopadu do 31. prosince 2013 zaměstnanci banky několikrát nahlíželi do jeho údajů jakožto klienta.[20] Vzhledem k tomu, že J. M. měl pochybnosti o zákonnosti těchto nahlížení, požádal společnost Pankki S, aby mu sdělila totožnost osob, které nahlížely do jeho klientských údajů, přesná data nahlížení, jakož i účel zpracování uvedených údajů.[21] V odpovědi společnost Pankki S, jakožto správce ve smyslu čl. 4 bodu 7 GDPR, odmítla sdělit toto . . .

Lhůta stanovená zákonem vyvolává očekávání, že údaje po jejím uplynutí zmizí

Generální advokát přednesl letos 16. března stanovisko, které se týkalo zpracování osobních údajů z veřejných rejstříků soukromou společností. „Skutečnost, že zákon stanoví pevnou dobu pro uchovávání údajů ve veřejných rejstřících, pravděpodobně vyvolává důvodné očekávání, že dotyčné údaje budou po uplynutí této doby vymazány,“ uvedl v tomto stanovisku. Skutkový základ sporů, původní řízení a předběžné otázky V rámci insolvenčního řízení bylo společnostem UF a AB soudními rozhodnutími povoleno předčasné osvobození od splacení zbytku dluhu (oddlužení). V souladu s § 9 odst. 1 insolvenčního řádu a § 3 odst. 1 a 2 InsBekV byla tato okolnost oficiálně zveřejněna na internetu a po uplynutí šesti měsíců odstraněna.[14] Společnost SCHUFA, která je soukromou informační agenturou, eviduje zveřejněné informace o předčasném oddlužení ve svých vlastních datab . . .

Soudní dvůr EU bude posuzovat legalitu policejní databáze DNA

Česká policie vede už řadu let databázi DNA osob, ve většině případů odsouzených za úmyslné trestné činy, někdy i osob dalších. V rámci dlouhodobého sporu mezi Ministerstvem vnitra a Úřadem pro ochranu osobních údajů konstatoval Nejvyšší správní soud, že má pochybnosti o souladu některých aspektů vnitrostátní právní úpravy s právem Unie. Nejvyšší správní soud proto předložil Soudnímu dvoru Evropské unie následující předběžné otázky: 1) „Jakou míru rozlišování mezi jednotlivými subjekty osobních údajů vyžaduje čl. 4 odst. 1 písm. c) či čl. 6 ve spojení s čl. 10 Směrnice č. 2016/680? Je slučitelné s imperativem minimalizace zpracování osobních údajů, stejně jako povinnosti rozlišovat mezi různými kategoriemi subjektů údajů, aby vnitrostátní právní úprava umožňovala odběr genetických údajů s ohledem na všechny osoby podezřelé nebo obviněné ze spáchání úmyslného trestného činu? 2) Je v souladu s čl. 4 odst. 1 písm . . .

Konec neomezeného přístupu k rejstříku skutečných majitelů online

Dne 22. listopadu 2022 vydal Soudní dvůr Evropské unie (SDEU) dlouho očekávaný rozsudek ve věci zveřejňování rejstříku skutečných majitelů na internetu (rozsudek ve spojených věcech C-37/20 a C-601/20, WM a Sowim SA proti Luxembourg Business Register).   Obsah stížností V obou řízeních napadli účastníci řízení zveřejnění údajů o skutečných majitelích ve veřejně přístupním rejstříku. V prvním případě podala společnost YO lucemburskému obchodnímu rejstříku žádost, aby byl omezen přístup k informacím o skutečném majiteli WM v rejstříku skutečných majitelů. Jako důvod uvedla, že by přístup široké veřejnosti k informacím o WM vystavil tuto osobu a jeho rodinu riziku podvodu, únosu, vydírání, obtěžování, násilí nebo zastrašování. Žádost společnosti byla zamítnuta. WM nato podal žalobu k obvodnímu soudu v Lucembursku. V žalobě tvrdil, že jako řídící pracovn . . .

Limity propuštění pověřence

Soudní dvůr Evropské unie rozhodl letos v červnu o předběžné otázce Spolkového pracovního soudu, jež se týkala propuštění pověřence pro ochranu osobních údajů. Konkrétně se jednalo o propuštění vedoucí právního oddělení společnosti Leistritz, která měla povinnost jmenovat pověřence a která zároveň tuto funkci sama zastávala. Po pár měsících se společnost rozhodla právními činnostmi včetně funkce pověřence pověřit externího dodavatele a vedoucí právního oddělení dala výpověď z důvodu restrukturalizace společnosti. Restrukturalizace není důvodem k propuštění Čl. 38 odst. 2 stanoví, že pověřenec nesmí být v souvislosti s plněním svých úkolů správcem nebo zpracovatelem propuštěn ani sankcionován. Podle německého občanského zákoníku je propuštění pověřence pro ochranu osobních údajů nepřípustné, pokud nenastaly skutečnosti, které veřejný subjekt opravňují k propuštění ze . . .

Dozorové úřady hodlají úžeji spolupracovat na strategických případech. Případ Vinted UAB může být vzorem

Evropský sbor pro ochranu osobních údajů (Sbor) vydal za čtyři roky své existence již 57 vodítek a šest doporučení. Dozorové úřady v něm zastoupené uložily do konce roku 2021 pokuty v souhrnné výši 1,55 miliardy eur.[1] Užší spolupráce na dubnovém jednání Na letošním zasedání Sboru ve Vídni, které se konalo ve dnech 27. – 28. dubna se úřady dohodly, že každoročně určí několik strategicky významných případů přesahujících hranice jednoho členského státu EU. Strategicky významné jsou např. případy, které se týkají velkého počtu subjektů osobních údajů v Evropském hospodářském prostoru nebo takové, kde se jedná o strukturální či opakující se problém v několika členských státech nebo o situaci, kdy se ochrana osobních údajů protíná s jinými oblastmi práva.[2] U takových . . .

Jak rozhodl Soudní dvůr EU v záležitosti uchovávání dat o provozu a poloze z elektronické komunikace?

Soudní dvůr EU (SDEU) vydal letos 5. dubna rozhodnutí v případu spisové značky C-140/20. Kauzu v březnu 2015 zahájil výrok irského soudu první instance o vině a uložení doživotního trestu odnětí svobody za trestný čin vraždy. Obžalovaný G. D. podal odvolání, v němž argumentoval tím, že prvoinstanční soud nesprávně připustil důkaz založený na údajích o telefonické komunikaci a poloze zařízení. Obžalovaný G. D. podal v této věci také civilní žalobu, kterou projednával irský vrchní soud. V žalobě G. D. zpochybnil některá ustanovení irského zákona z roku 2011, který upravuje uchovávání uvedených kategorií údajů a přístup k nim. Tvrdil, že tato ustanovení porušila jeho práva zaručená právem EU. Vrchní soud dal 6. prosince 2018 G. D. za pravdu. Stát se odvolal k Nejvyššímu soudu. Nejvyšší soud se následně obrátil na SDEU se žádostí o objasnění ustanovení evropského práva vztahujícího se k uchov . . .

Soudní dvůr EU: Úřady musí shromažďovat osobní údaje pouze v nezbytném rozsahu, nikoliv plošně

V řadě veřejnoprávních agend je zakotvena obecná povinnost součinnosti třetích osob s příslušnými úřady. I tato povinnost, resp. oprávnění veřejnoprávních subjektů, však má v demokratickém státě své hranice. Jednou z nich je ochrana soukromí a osobních údajů. Jako příklad těchto zmocnění můžeme jmenovat povinnost všech fyzických a právnických osob i veřejnoprávních subjektů poskytovat policii na její vyžádání věcnou a osobní pomoc včetně informací a osobních údajů[1], doplněnou o výslovné oprávnění policie získávat údaje z různých veřejných evidencí[2]. Orgány finanční správy mají rovněž přístup do řady rejstříků a databází, např. registru obyvatel, evidence občanských průkazů, registr pojištěnců veřejného zdravotního pojištění atd.[3] Tento přístup je navíc dle zákona . . .

Ochrana osobních údajů a připomínky k návrhům změn evropských směrnic v souvislosti s covid-19

Evropská komise vydala letos 3. února návrhy na změny evropských nařízení (EU) 2021/953 a (EU) 2021/954. Ve stejný den požádala o připomínky Evropský sbor pro ochranu osobních údajů (dále Sbor) a evropského inspektora ochrany osobních údajů (Inspektor). Koho a čeho se to týká? Obě nařízení upravují vydávání, ověřování a přijímání certifikátů o očkování proti covid-19, výsledků testů na přítomnost koronaviru a potvrzení o prodělání covid-19 v souvislosti s volným pohybem osob. První nařízení se týká občanů zemí Evropského hospodářského prostoru (EHP), druhé pak občanů třetích zemí, kteří legálně pobývají nebo bydlí na území členských států EHP. Co návrhy Komise obsahují? Návrhy Komise obsahují ustanovení o prodloužení platnosti obou nařízení o dalších 12 měsíců, tedy do konce června 2023. Stejně se má prodloužit období, během kter . . .