Dozorové úřady hodlají úžeji spolupracovat na strategických případech. Případ Vinted UAB může být vzorem

Evropský sbor pro ochranu osobních údajů (Sbor) vydal za čtyři roky své existence již 57 vodítek a šest doporučení. Dozorové úřady v něm zastoupené uložily do konce roku 2021 pokuty v souhrnné výši 1,55 miliardy eur.[1] Užší spolupráce na dubnovém jednání Na letošním zasedání Sboru ve Vídni, které se konalo ve dnech 27. – 28. dubna se úřady dohodly, že každoročně určí několik strategicky významných případů přesahujících hranice jednoho členského státu EU. Strategicky významné jsou např. případy, které se týkají velkého počtu subjektů osobních údajů v Evropském hospodářském prostoru nebo takové, kde se jedná o strukturální či opakující se problém v několika členských státech nebo o situaci, kdy se ochrana osobních údajů protíná s jinými oblastmi práva.[2] U takových . . .

Jak rozhodl Soudní dvůr EU v záležitosti uchovávání dat o provozu a poloze z elektronické komunikace?

Soudní dvůr EU (SDEU) vydal letos 5. dubna rozhodnutí v případu spisové značky C-140/20. Kauzu v březnu 2015 zahájil výrok irského soudu první instance o vině a uložení doživotního trestu odnětí svobody za trestný čin vraždy. Obžalovaný G. D. podal odvolání, v němž argumentoval tím, že prvoinstanční soud nesprávně připustil důkaz založený na údajích o telefonické komunikaci a poloze zařízení. Obžalovaný G. D. podal v této věci také civilní žalobu, kterou projednával irský vrchní soud. V žalobě G. D. zpochybnil některá ustanovení irského zákona z roku 2011, který upravuje uchovávání uvedených kategorií údajů a přístup k nim. Tvrdil, že tato ustanovení porušila jeho práva zaručená právem EU. Vrchní soud dal 6. prosince 2018 G. D. za pravdu. Stát se odvolal k Nejvyššímu soudu. Nejvyšší soud se následně obrátil na SDEU se žádostí o objasnění ustanovení evropského práva vztahujícího se k uchov . . .

Soudní dvůr EU: Úřady musí shromažďovat osobní údaje pouze v nezbytném rozsahu, nikoliv plošně

V řadě veřejnoprávních agend je zakotvena obecná povinnost součinnosti třetích osob s příslušnými úřady. I tato povinnost, resp. oprávnění veřejnoprávních subjektů, však má v demokratickém státě své hranice. Jednou z nich je ochrana soukromí a osobních údajů. Jako příklad těchto zmocnění můžeme jmenovat povinnost všech fyzických a právnických osob i veřejnoprávních subjektů poskytovat policii na její vyžádání věcnou a osobní pomoc včetně informací a osobních údajů[1], doplněnou o výslovné oprávnění policie získávat údaje z různých veřejných evidencí[2]. Orgány finanční správy mají rovněž přístup do řady rejstříků a databází, např. registru obyvatel, evidence občanských průkazů, registr pojištěnců veřejného zdravotního pojištění atd.[3] Tento přístup je navíc dle zákona . . .

Ochrana osobních údajů a připomínky k návrhům změn evropských směrnic v souvislosti s covid-19

Evropská komise vydala letos 3. února návrhy na změny evropských nařízení (EU) 2021/953 a (EU) 2021/954. Ve stejný den požádala o připomínky Evropský sbor pro ochranu osobních údajů (dále Sbor) a evropského inspektora ochrany osobních údajů (Inspektor). Koho a čeho se to týká? Obě nařízení upravují vydávání, ověřování a přijímání certifikátů o očkování proti covid-19, výsledků testů na přítomnost koronaviru a potvrzení o prodělání covid-19 v souvislosti s volným pohybem osob. První nařízení se týká občanů zemí Evropského hospodářského prostoru (EHP), druhé pak občanů třetích zemí, kteří legálně pobývají nebo bydlí na území členských států EHP. Co návrhy Komise obsahují? Návrhy Komise obsahují ustanovení o prodloužení platnosti obou nařízení o dalších 12 měsíců, tedy do konce června 2023. Stejně se má prodloužit období, během kter . . .

Souhlas prostřednictvím cookies s předem zaškrtnutým políčkem není právoplatný

Velký senát Soudního dvora vydal dne 1. října 2019 rozhodnutí o předběžné otázce týkající se prohlášení o souhlasu prostřednictvím předem zaškrtnutého „políčka“. Žádost o rozhodnutí o předběžné otázce se týkal výkladu čl. 2 písm. f) a čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích ve spojení s čl. 2 písm. h) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, jakož i čl. 6 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.&nbsp . . .

Správci, zpracovatelé a společní správci podle pokynů EDPB

Na začátku července letošního roku vydal Evropský sbor pro ochranu osobních údajů (EDPB) konečné pokyny o pojmech správce a zpracovatel podle Obecného nařízení (GDPR). O tomto tématu vyšlo sice stanovisko předchůdce EDPB  – Pracovní skupiny podle článku 29 (WP 169), nicméně toto stanovisko podle EDPB nereflektovalo dostatečně změny, které GDPR přineslo. K pojmu správce, resp. společný správce se ve své judikatuře vyjádřil i Soudní dvůr Evropské unie (SDEU) zejména v rozsudcích Fashion ID (C-40/17) a Wirtschaftsakademie (C-210/16). Tyto rozsudky ve svých pokynech EDPB zohlednil. Pokyny EDPB jsou poměrně rozsáhlé, takže se v tomto článku zaměřím jen na jejich nejdůležitější body. Prvním z nich vzájemný vztah správce a zpracovatele, druhým pak problematika společných správců. Vztah mezi správcem a zpracovatelem EDPB opakuje, že správce určuje účel a prostředky zpracování a o zpracování rozhoduje. Toto ov . . .

Deset omylů týkajících se anonymizace

European Data Protection Supervisor (EDPS) a španělský dozorový úřad (AEPD) zveřejnily dokument věnovaný omylům při anonymizaci osobních údajů.[1] Veřejné i soukromé subjekty považují anonymizaci za prostředek ke sdílení údajů, aniž by došlo k narušení základních práv osob. Úřady uvádí, že během uplynulých let se vyskytlo několik příkladů neúplných nebo nesprávně provedených anonymizací, které vedly k opětovné identifikaci jednotlivců. Například v roce 2006 jistá služba streamování filmů zveřejnila datovou sadu obsahující 10 milionů hodnocení filmů od 500 000 zákazníků. Služba tvrdila, že hodnocení je anonymní, ale později se zjistilo, že by stačila jen trocha informací o předplatiteli, aby jej osoba s jiným názorem mohla ztotožnit se záznamem v datové sadě. Další příklad chybné anonymizace se objevil  v roce 2013, kdy Newyorská komise pro taxi a limuzíny zveřejnila datový list s více než 173 miliony jednotlivých jízd tax . . .

Evropský sbor vydal doporučení k uchovávání údajů z kreditních karet

Dne 19. května Evropský sbor pro ochranu osobních údajů vydal doporučení č. 02/2021 o právním základě ukládání údajů výlučně za účelem usnadnění dalších transakcí online. Jde o velmi aktuální téma i vzhledem k tomu, že během pandemie Covid-19 došlo k rozmachu digitální ekonomiky a nákupů přes internet. Údaje o kreditních či platebních kartách s sebou nesou riziko závažných dopadů na subjekt údajů v případě zneužití platebních údajů, například k podvodu. Doporučení se zaměřilo na otázku ukládání údajů kreditních a platebních karet pro usnadnění dalších nákupů, jestliže subjekt údajů platí za zboží nebo službu prostřednictvím webové stránky či aplikace a poskytne údaje o své kreditní kartě, aby mohl příslušnou transakci uzavřít. Správce musí mít pro takové zpracování údajů platný právní důvod. Uložení údajů o kreditní či platební kartě za účelem usnadnění budoucích nákup . . .

Tři roky s GDPR a co nás ještě čeká

Obecné nařízení o ochraně osobních údajů neboli GDPR[1] vstoupilo účinnost dne 25. května 2018. Tento unikátní právní rámec, který na evropské úrovni zakotvil minimální míru ochrany soukromí a osobních údajů, inspiroval k vymezení obdobných pravidel i státy mimo EU, například Srbsko, Brazílii nebo Kalifornii, čímž potvrdil svůj celosvětový význam. Nařízení, častokrát označováno jako základ revoluce nebo evoluce ochrany osobních údajů, dopadá na širokou škálu subjektů. Jeho implementace a zajištění compliance nejenom se samotným GDPR, ale také s neustále se vyvíjejícími výkladovými pokyny Evropského sboru pro ochranu osobních údajů (EDPB)[2] či národního dohledového orgánu (Úřad pro ochranu osobních údajů) byly pro mnohé z nás oříškem. Navzdory tomu, že pořád zůstávají otevřené některé interpretační otázky, je GDPR rámec funkčním a životaschopným základem pro nakládání s osobními údaji a vedl . . .

Kdy hlásit bezpečnostní incident? Napoví pokyny EDPB

Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil nedávno pokyny k ohlašování incidentů úřadu a subjektům údajů. Dokument vychází z obecných pokynů připravených pracovní skupinou pod názvem Pokyny WP250. Pojednává o několika typech bezpečnostních incidentů a jejich správných řešeních. Ransomware Škodlivý program, který blokuje počítačový systém a šifruje v něm zapsaná data, označujeme jako ransomware. Původce tohoto viru za jeho odstranění a obnovení přístupů často požaduje výkupné. Pokud dojde k napadení ransomwarem, avšak data jsou šifrovaná, je zajištěn dohled nad odchozími daty z počítače a existuje záloha pro obnovení dat, není nutné hlásit incident ÚOOÚ ani subjektům údajů. U incidentu v zemědělském podniku, kde neexistence elektronické zálohy pro obnovení vedla k nutnosti obnovit data z listinné zálohy, není potřeba informovat subjekty údajů. Nahlásit incident ÚOOÚ ale nutné bude. U každého incidentu s&nbsp . . .