František Nonnemann – DPO PRO: ochrana osobních údajů v praxi

Reakce na recenzi praktického komentáře k zákonu č. 171/2023 Sb.

28. 1. 2024 František Nonnemann

Zákon č. 171/2023 Sb., o ochraně oznamovatelů, je první komplexní úpravou whistleblowingu v českém právu. Pro naše právní prostředí tak představuje významnou změnu. Přináší nové požadavky pro řadu organizací, včetně těch, které dosud vnitřní kontrolní systém či compliance program nijak (systematicky) neřešily. Cílem autorského týmu, který u vydavatelství Wolters Kluwer vydal první český komentář k zákonu o ochraně oznamovatelů, bylo poskytnout nezbytné informace všem, kteří jsou povinni požadavky zákona fakticky realizovat. Od větších společností či úřadů, které již zkušenosti s prošetřováním podobných oznámení mají, až po ty v této oblasti zcela „nepolíbené“. Komentář proto popisuje to hlavní, co nová regulace vyžaduje, a na příkladech demonstruje, jak se s požadavky zákona vypořádat v praxi. Komentář vyšel v srpnu roku 2023 Komentář vyšel necelé tři měsíce poté, kdy bylo schváleno konečné znění česk . . .

Metodika Úřadu pro ochranu osobních údajů ke kamerám

27. 6. 2023 František Nonnemann

Kamerami a kamerovými systémy, resp. zpracováním osobních údajů prostřednictvím kamer, se zabývá Úřad pro ochranu osobních údajů (ÚOOÚ) již poměrně dlouho. První stanovisko k tomu tématu, tedy aplikaci předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, na kamery, Úřad publikoval již v lednu roku 2006[1]. Na tento dokument pak navazovala řada dalších, které řešily především využití kamer v některé specifické oblasti či při určité činnosti, například v bytových domech, osobních automobilech atd. Zájem veřejnosti na ochraně jejich soukromí při zpracování osobních údajů kamerami dokládají i čísla z výročních zpráv ÚOOÚ. V roce 2022 obdržel celkem 2.192 stížností, z nich 10 % se týkalo právě kamer. V roce 2021 to bylo 13 % ze 2.430 přijatých stížností a v roce 2020 se kamer týkalo 13 % z 1.855 stížností, které ÚOOÚ obdržel. Kamery a GDPR Většina stanovisek a metodik, které ÚOOÚ vydal k aplikaci předchozí právní úpravy na kamery, byla po účinnosti GDPR z jeho webu stažena. Proč? Obecné nařízení o ochraně osobních údajů (GDPR)[2] sice definice základních pojmů, hlavních pravidel a povinností souvisejících se zpracováním osobních dat a věcné působnosti této právní úpravy změnilo jen minimálně, do hry ale vstoupil Evropský sbor pro ochranu osobních údajů (EDPB). Na počátku roku 2020 EDPB vydal pokyny č. 3/2019 […]

Zveřejnění osobních údajů v souvislosti s (ne)placením daní

28. 5. 2023 František Nonnemann

V článku 8 Úmluvy o ochraně lidských práv a základních svobod je zakotveno právo na respektování rodinného a soukromého života. Ve více než 20 státech, které k Úmluvě přistoupily, místní předpisy umožňují, někdy dokonce přímo nařizují, aby daňové úřady zveřejnily údaje o některých kategoriích daňových poplatníků. Typicky těch, kteří dluží na daních, dopustili se daňového podvodu atd. Jedním z těchto států je Maďarsko. A právě stížnost maďarského občana na zveřejnění jeho osobních údajů v souvislosti s (ne)placením daní řešil Evropský soud pro lidská práva (ESLP). Velký senát ESLP v rozsudku v kauze L.B. proti Maďarsku, stížnost č. 36345/16 ze dne 9. března 2023, konstatoval porušení článku 8 Úmluvy. Jaký má jeho poněkud opatrně formulovaný závěr význam pro praxi obecně a pro Českou republiku zvláště? Zve . . .

Kamery: Stále živé téma ochrany údajů

28. 9. 2022 František Nonnemann

Kamery jsou všude kolem nás. Na domech, podél silnic, v kancelářských budovách, bytových domech, autech. A většina z nás si jednu či dvě kamery nosí stále s sebou, obvykle v kombinaci mobil a přenosný počítač. V jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují? Technologie pro alespoň základní zachycení, přenos a uložení pořízených videozáznamů je technicky i finančně dostupná již řadu let. Proto není divu, že se ochranou osobních údajů při využívání kamerových systémů již dlouho zabývá i Úřad pro ochranu osobních údajů (ÚOOÚ). Ačkoliv obecné nařízení o ochraně osobních údajů[1] (GDPR) nepřineslo v hmotněprávní rovině pro posuzování kamer a souvisejícího zpracování údajů nic nového, s ohledem na posun výkladové praxe i rozvoj nových technologií, resp. nové způsoby využití kamer, je na místě si stručně shrnout, v jakém rozsahu a na jaké kamery se pravidla pro zpracování osobních údajů vztahují. V následujícím článku se budeme rovněž zabývat několika v praxi stále častějšími způsoby využití kamer, které mohou přinášet řadu nových otázek souvisejících s ochranou soukromí a ochranou osobních údajů monitorovaných lidí. Základní právní úprava V České republice neexistuje a nikdy neexistovala obecná právní úprava využití kamer, byť se v minulosti o několika takových legislativních pokusech diskutovalo.[2] V některých oblastech či pro některé subjekty je používání kamer upraveno zvláštními […]

Nezávislost úřadů pro ochranu osobních údajů

28. 7. 2022 František Nonnemann

Aby obecné nařízení o ochraně osobních údajů (GDPR) mohlo skutečně efektivně napomáhat k ochraně práv a právem chráněných zájmů dotčených osob, je nutné, aby nad jeho dodržováním dohlížel nezávislý správní úřad. Zdá se to jako samozřejmost, ale jak ukazuje aktuální legislativní vývoj v Belgii, vnímání nezávislosti dozorového úřadu pro ochranu dat se může stát od státu lišit. A to i přesto, že základní pravidla jsou nastavena přímo v GDPR a upřesněna judikaturou Soudního dvora Evropské unie. Proč vůbec úřad? Ochrany soukromí a ochrany dalších osobnostních práv je možné domáhat se cestou civilního práva, typicky žalobou podle občanského zákoníku. Tuto možnost samozřejmě neodstranil ani rozvoj práva ochrany osobních údajů. GDPR přímo upravuje možnost subjektu údajů uplatnit u soudu náhradu hmotné či nehmotné újmy vůči správci nebo zpracovateli osobních údajů, kter . . .

Soudní dvůr EU: Úřady musí shromažďovat osobní údaje pouze v nezbytném rozsahu, nikoliv plošně

Evropský sbor/Soudní dvůr EU Judikatura28. 5. 2022 František Nonnemann

V řadě veřejnoprávních agend je zakotvena obecná povinnost součinnosti třetích osob s příslušnými úřady. I tato povinnost, resp. oprávnění veřejnoprávních subjektů, však má v demokratickém státě své hranice. Jednou z nich je ochrana soukromí a osobních údajů. Jako příklad těchto zmocnění můžeme jmenovat povinnost všech fyzických a právnických osob i veřejnoprávních subjektů poskytovat policii na její vyžádání věcnou a osobní pomoc včetně informací a osobních údajů[1], doplněnou o výslovné oprávnění policie získávat údaje z různých veřejných evidencí[2]. Orgány finanční správy mají rovněž přístup do řady rejstříků a databází, např. registru obyvatel, evidence občanských průkazů, registr pojištěnců veřejného zdravotního pojištění atd.[3] Tento přístup je navíc dle zákona . . .

Whistleblowing a zpracování osobních údajů: Oč se jedná a proč je to tak zajímavé?

28. 2. 2022 František Nonnemann

V posledních týdnech a měsících je často skloňován pojem whistleblowingu. Oč se jedná, proč je to tak zajímavé a jaký má whistleblowing vztah s právní úpravou zpracování osobních údajů? Whistleblowing není novinkou Whistleblowing je, stručně řešeno, proces na zajištění toho, aby zaměstnanci či osoby v obdobně citlivém postavení v rámci svojí organizace (úřadu, soukromé společnosti) důvěrně a v případě dobré víry i beztrestně mohly oznamovat možné porušování předpisů či dalších právních závazků. Aby byl tento proces úplný, musí být zajištěna jak ochrana oznamovatelů, tak i skutečné prošetření učiněných oznámení a přijetí opatření k nápravě, pokud bude porušování práva skutečně zjištěno. Dva povinné whistleblowing procesy už známe Ač to tak podle některých veřejných příspěvků nevypadá, v českém právu se o novinku rozhodně nejedná. Již nějakou dobu známe nejméně dva povinné whistleblowing procesy: Pro osoby v režimu státní služby je možnost učinit důvěrné oznámení o protiprávním jednání upravena vyhláškou č. 145/2015 Sb., o opatřeních souvisejících s oznamováním podezření ze spáchání protiprávního jednání ve služebním úřadu. Každý služební úřad musí na základě této vyhlášky mj. zřídit fyzickou i elektronickou schránku pro důvěrné či případně anonymní oznámení a pověřit konkrétního státního zaměstnance tím, aby doručená oznámení prošetřoval. Druhým sektorem, ve kterém byla tato povinnost již zavedena, jsou finanční služby. Povinné osoby v režimu […]

Předávání osobních údajů – od zrušení Privacy Shieldu k novým smluvním doložkám

29. 8. 2021 František Nonnemann

Obecné nařízení o ochraně osobních údajů (GDPR) zajišťuje v globálním měřítku skutečně vysokou a detailní ochranu soukromí při zpracování osobních údajů. Jedním z důležitých prvků unijní úpravy ochrany osobních údajů jsou i specifická pravidla pro předávání dat mimo EU, respektive EHP[1]. Tato oblast zažila v poslední době několik významných výkladových zvratů. Zatím posledním dějstvím jsou v červnu tohoto roku vydané nové standardní smluvní doložky, tedy jeden z nástrojů pro předávání dat do třetích zemí. Na úvod si nastiňme několik modelových situací, kdy při běžné činnosti správce k předávání dat do třetích zemí dochází. Velkou oblast představuje především využívání cloudových služeb, ať už různých kancelářských balíků, nástrojů pro zpracování či archivaci dat nebo cloudových úložišť jako takových. Pokud jsou někde . . .

Posouzení vlivu na ochranu osobních údajů a metodika ÚOOÚ

27. 6. 2021 František Nonnemann

Úřad pro ochranu osobních údajů (ÚOOÚ) vydal v listopadu loňského roku metodiku k posuzování vlivu na ochranu osobních údajů. Jedná se o poměrně detailní návod, podle kterého může správce při přípravě nového zpracování osobních údajů řešit rizika spočívající především v porušení zásady integrity a důvěrnosti, jinými slovy zabezpečení dat. V rámci posouzení vlivu je však vhodné zohlednit i další aspekty a pravidla pro zpracování dat, jinak se správce údajů vystavuje riziku, že zpracování bude provádět ne zcela v souladu s právním rámcem. Kdy provádět posouzení vlivu? Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR) zavedlo řadu nových nástrojů a procesů, které mají přispívat k tomu, aby správce zpracovával osobní údaje v souladu s právem a zároveň byl schopen to doložit. Jedním z nich je povinnost spr . . .

CovidPas a ochrana osobních údajů

27. 5. 2021 František Nonnemann

Jedním z nástrojů, který má usnadnit a urychlit návrat k běžnému fungování společnosti, má být tzv. CovidPas. Mělo by se jednat o primárně elektronické potvrzení o tom, že jeho nositel není ohrožen virem Covid-19, protože byl očkován, v minulosti již nákazu prodělal nebo byl v určené době testován s negativním výsledkem. S tímto potvrzením by jeho nositel mohl mít snadnější vstup do některých provozoven, restaurací či na kulturní akce a mělo by mu také usnadnit přeshraniční cestování včetně turismu. Evropská komise v březnu představila návrh nařízení o tzv. digitálním zeleném certifikátu, jinými slovy CovidPasu.[1] Cílem je nařízení urychleně projednat a vyhlásit, aby CovidPasy umožnily alespoň částečný návrat k normálnímu životu ještě před letní turistickou sezónou. Nařízení Evropské unie je přímo závazným právním aktem, proto nen . . .