Nezávislost úřadů pro ochranu osobních údajů

28. 7. 2022

Aby obecné nařízení o ochraně osobních údajů (GDPR) mohlo skutečně efektivně napomáhat k ochraně práv a právem chráněných zájmů dotčených osob, je nutné, aby nad jeho dodržováním dohlížel nezávislý správní úřad. Zdá se to jako samozřejmost, ale jak ukazuje aktuální legislativní vývoj v Belgii, vnímání nezávislosti dozorového úřadu pro ochranu dat se může stát od státu lišit. A to i přesto, že základní pravidla jsou nastavena přímo v GDPR a upřesněna judikaturou Soudního dvora Evropské unie. Proč vůbec úřad? Ochrany soukromí a ochrany dalších osobnostních práv je možné domáhat se cestou civilního práva, typicky žalobou podle občanského zákoníku. Tuto možnost samozřejmě neodstranil ani rozvoj práva ochrany osobních údajů. GDPR přímo upravuje možnost subjektu údajů uplatnit u soudu náhradu hmotné či nehmotné újmy vůči správci nebo zpracovateli osobních údajů, kter . . .

Soudní dvůr EU: Úřady musí shromažďovat osobní údaje pouze v nezbytném rozsahu, nikoliv plošně

V řadě veřejnoprávních agend je zakotvena obecná povinnost součinnosti třetích osob s příslušnými úřady. I tato povinnost, resp. oprávnění veřejnoprávních subjektů, však má v demokratickém státě své hranice. Jednou z nich je ochrana soukromí a osobních údajů. Jako příklad těchto zmocnění můžeme jmenovat povinnost všech fyzických a právnických osob i veřejnoprávních subjektů poskytovat policii na její vyžádání věcnou a osobní pomoc včetně informací a osobních údajů[1], doplněnou o výslovné oprávnění policie získávat údaje z různých veřejných evidencí[2]. Orgány finanční správy mají rovněž přístup do řady rejstříků a databází, např. registru obyvatel, evidence občanských průkazů, registr pojištěnců veřejného zdravotního pojištění atd.[3] Tento přístup je navíc dle zákona . . .

Whistleblowing a zpracování osobních údajů: Oč se jedná a proč je to tak zajímavé?

28. 2. 2022

V posledních týdnech a měsících je často skloňován pojem whistleblowingu. Oč se jedná, proč je to tak zajímavé a jaký má whistleblowing vztah s právní úpravou zpracování osobních údajů? Whistleblowing není novinkou Whistleblowing je, stručně řešeno, proces na zajištění toho, aby zaměstnanci či osoby v obdobně citlivém postavení v rámci svojí organizace (úřadu, soukromé společnosti) důvěrně a v případě dobré víry i beztrestně mohly oznamovat možné porušování předpisů či dalších právních závazků. Aby byl tento proces úplný, musí být zajištěna jak ochrana oznamovatelů, tak i skutečné prošetření učiněných oznámení a přijetí opatření k nápravě, pokud bude porušování práva skutečně zjištěno. Dva povinné whistleblowing procesy už známe Ač to tak podle některých veřejných příspěvků nevypadá, v českém právu se o novinku rozhodně nejedná. Již nějakou dobu známe nejméně dva povinné whistleblowing procesy: Pro osoby v režimu státní služby je možnost učinit důvěrné oznámení o protiprávním jednání upravena vyhláškou č. 145/2015 Sb., o opatřeních souvisejících s oznamováním podezření ze spáchání protiprávního jednání ve služebním úřadu. Každý služební úřad musí na základě této vyhlášky mj. zřídit fyzickou i elektronickou schránku pro důvěrné či případně anonymní oznámení a pověřit konkrétního státního zaměstnance tím, aby doručená oznámení prošetřoval. Druhým sektorem, ve kterém byla tato povinnost již zavedena, jsou finanční služby. Povinné osoby v režimu […]

Předávání osobních údajů – od zrušení Privacy Shieldu k novým smluvním doložkám

29. 8. 2021

Obecné nařízení o ochraně osobních údajů (GDPR) zajišťuje v globálním měřítku skutečně vysokou a detailní ochranu soukromí při zpracování osobních údajů. Jedním z důležitých prvků unijní úpravy ochrany osobních údajů jsou i specifická pravidla pro předávání dat mimo EU, respektive EHP[1]. Tato oblast zažila v poslední době několik významných výkladových zvratů. Zatím posledním dějstvím jsou v červnu tohoto roku vydané nové standardní smluvní doložky, tedy jeden z nástrojů pro předávání dat do třetích zemí. Na úvod si nastiňme několik modelových situací, kdy při běžné činnosti správce k předávání dat do třetích zemí dochází. Velkou oblast představuje především využívání cloudových služeb, ať už různých kancelářských balíků, nástrojů pro zpracování či archivaci dat nebo cloudových úložišť jako takových. Pokud jsou někde . . .

Posouzení vlivu na ochranu osobních údajů a metodika ÚOOÚ

27. 6. 2021

Úřad pro ochranu osobních údajů (ÚOOÚ) vydal v listopadu loňského roku metodiku k  posuzování vlivu na ochranu osobních údajů. Jedná se o poměrně detailní návod, podle kterého může správce při přípravě nového zpracování osobních údajů řešit rizika spočívající především v porušení zásady integrity a důvěrnosti, jinými slovy zabezpečení dat. V rámci posouzení vlivu je však vhodné zohlednit i další aspekty a pravidla pro zpracování dat, jinak se správce údajů vystavuje riziku, že zpracování bude provádět ne zcela v souladu s právním rámcem. Kdy provádět posouzení vlivu? Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR) zavedlo řadu nových nástrojů a procesů, které mají přispívat k tomu, aby správce zpracovával osobní údaje v souladu s právem a zároveň byl schopen to doložit. Jedním z nich je povinnost spr . . .

CovidPas a ochrana osobních údajů

27. 5. 2021

Jedním z nástrojů, který má usnadnit a urychlit návrat k běžnému fungování společnosti, má být tzv. CovidPas. Mělo by se jednat o primárně elektronické potvrzení o tom, že jeho nositel není ohrožen virem Covid-19, protože byl očkován, v minulosti již nákazu prodělal nebo byl v určené době testován s negativním výsledkem. S tímto potvrzením by jeho nositel mohl mít snadnější vstup do některých provozoven, restaurací či na kulturní akce a mělo by mu také usnadnit přeshraniční cestování včetně turismu. Evropská komise v březnu představila návrh nařízení o tzv. digitálním zeleném certifikátu, jinými slovy CovidPasu.[1] Cílem je nařízení urychleně projednat a vyhlásit, aby CovidPasy umožnily alespoň částečný návrat k normálnímu životu ještě před letní turistickou sezónou. Nařízení Evropské unie je přímo závazným právním aktem, proto nen . . .

Odpovědnost za rozesílání spamů má i objednatel služby

13. 1. 2021

Přestože právní úprava odesílání obchodních sdělení provedená zákonem č. 480/2004 Sb. je součástí českého právního řádu již delší dobu, nejsou pravidla dostatečně jasná, případně se objevují snahy tato pravidla obejít. Je však třeba si uvědomit, že odpovědný je nejen případný odesílatel, ale i ten, kdo si rozeslání obchodní sdělení objednal. Za první tři čtvrtletí roku 2020 udělil Úřad pro ochranu osobních údajů za rozesílání nevyžádaných obchodních sdělení pokuty ve výši 7, 447 milionu korun.