Kdy převládá zájem na utajení informací nad právem fyzické osoby podle zákona o zpracování osobních údajů? Na tuto otázku hledal odpověď i Městský soud v Praze, který vydal 1. června rozhodnutí č. j. 8 A 11/2020-82, v němž se mimo jiné zabýval porovnáváním práv daných § 28 odst. 2 písm. a) zákona o zpracování osobních údajů a možností vést utajované informace odděleně od zbytku správního spisu. Základ sporu Žalobce se žalobou podanou u Městského soudu v Praze domáhal zrušení sdělení Policejního prezidia České republiky, kterým žalovaný žalobce informoval o tom, že nevyhověl jeho žádosti o výmaz osobních údajů z evidence nežádoucích osob (dále jen „ENO“) a údajů ze Schengenského informačního systému druhé generace (dále jen „SIS II“), a o tom, jaké údaje k jeho osobě v souvislosti se zařazením do těchto evidencí vede.[1] V napadeném rozhodnut . . .

Lze svědecký výslech v trestním řízení považovat za dobrovolné zveřejnění osobních údajů? Touto otázkou se zabýval Nejvyšší správní soud ve svém rozhodnutí, jež vydal 26. března 2021 pod č. j. 5 As 101/2020–29. Uvedl v něm, že subjekt údajů je při svém výslechu povinen soudu sdělit všechny požadované skutečnosti. Již z toho je zřejmé, že se o dobrovolné zveřejnění nejedná. Vymezení věci Kasační stížností se žalobkyně (dále jen „stěžovatelka“) domáhala zrušení rozsudku Městského soudu v Praze (dále jen „městský soud“), kterým byla zamítnuta její žaloba proti rozhodnutí předsedkyně žalovaného ÚOOÚ.[1] Tímto rozhodnutím předsedkyně žalovaného zamítla rozklad stěžovatelky a potvrdila rozhodnutí žalovaného, kterým byla stěžovatelce uložena pokuta za spáchání přestupku podle § 45 odst. 1 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně n . . .

Kdo je veřejným subjektem podle zákona o zpracování osobních údajů a jaké parametry je nutné posuzovat při rozhodování, zda se na daný subjekt bude zákon o zpracování osobních údajů vztahovat a zda mu tedy bude možné uložit pokutu za porušení pravidel zpracování osobních údajů? I těmto otázkám se ve svém rozhodnutí č. j. 10 As 190/2020–39 věnoval Nejvyšší správní soud. Vydal ho letos 25. února. Vymezení věci Žalovaný rozhodnutím ze dne 12. 10. 2018, čj. UOOU-08001/18-8, shledal žalobce vinným ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a změně některých předpisů („zákon o ochraně osobních údajů“), neboť jako správce osobních údajů nepřijal opatření pro zajištění bezpečnosti zpracování osobních údajů v souvislosti s vedením elektronické zdravotní dokumentace. Tím žalobce podle žalovaného porušil povinnost stanovenou v § 13 . . .

O tom, zda správce osobních údajů musí klientovi vyjmenovat dodavatele s přístupem k osobním údajům, pojednával i spor, jímž se zabýval Soudní dvůr EU. K tématu byl publikován také názor generálního advokáta, podle něhož se právo na přístup týká i přesného výčtu příjemců dat, ovšem s několika výjimkami. Skutkový stav, původní řízení a předběžná otázka Navrhovatel se dne 15. ledna 2019 obrátil u předkládajícího soudu RW na Österreichische Post s cílem získat na základě článku 15 GDPR mimo jiné přístup k osobním údajům, které o něm Österreichische Post uchovává nebo které uchovávala v minulosti, a v případě sdělení těchto údajů třetím osobám také k totožnosti příjemců těchto sdělení.[5] V odpovědi Österreichische Post sd . . .

Za jakých podmínek může poskytovatel internetu a televizního vysílání uchovávat bez výslovného souhlasu osobní údaje svých zákazníků, které byly shromážděny a již uloženy zákonným způsobem na doplňujícím interním nosiči pro účely opravy technické závady? Své stanovisko vydal letos 31. března na žádost o rozhodnutí o této předběžné otázce generální advokát u Soudního dvora EU. Závěry 1) Článek 5 odst. 1 písm. b) GDPR musí být vykládán v tom smyslu, že zásada uvedená v tomto ustanovení nebrání uchovávání osobních údajů, které byly shromážděny a uloženy v souladu se zákonem v doplňující interní databázi, pokud toto zpracování sleduje stejné účely, jako jsou účely shromáždění, nebo, pokud tomu tak není, je s těmito účely slučitelné, což přísluší prokázat správci, včetně případu, kdy tímto zpracováním pln . . .

Není rozhodující to, že čl. 32 nařízení neobsahuje natolik konkrétní požadavky jako § 13 odst. 4 písm. c) zákona o ochraně osobních údajů. Rozhodující je, zda úprava povinností podle čl. 32 nařízení odpovídá úpravě stanovené v § 13 odst. 1 zákona o ochraně osobních údajů. Obě ustanovení upravují povinnost správce a zpracovatele osobních údajů zajistit pomocí vhodných technických a organizačních opatření dostatečné zabezpečení osobních údajů proti neoprávněnému sdělování nebo přístupu. Byť to formulují různými slovy, nelze drobné rozdíly vykládat tak, že nařízení klade oproti zákonu o ochraně osobních údajů na správce či zpracovatele osobních údajů nižší požadavky, uvedl Nejvyšší správní soud v Praze dne 25. února 2022 ve svém rozhodnutí č. j. 10 As 190/2020 – 39. Vymezení sporu Žalovaný rozhodnutím shledal žalobce vinným ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobn . . .

Aby mohl být určitý údaj kvalifikován jako osobní, není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely nacházet v rukách jediné osoby, uvedl Městský soud v Praze dne 30. dubna 2021 ve svém rozhodnutí č. j. 9 A 67/2019 – 35. Vymezení sporu Žalobce se podanou žalobou domáhal zrušení rozhodnutí předsedy Rady Českého telekomunikačního úřadu (dále jen „žalovaný“), jímž byl zamítnut rozklad žalobce ve věci žádosti o poskytnutí informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů (dále jen „zákon o informacích“).[1] Napadeným rozhodnutím byl zamítnut rozklad žalobce a potvrzeno rozhodnutí ČTÚ o částečném neposkytnutí informace, kterou žalobce požadoval ve formě poskytnutí čtyř kopií libovolně vybraných rozhodnutí o námitce proti vyřízení reklamace na vyúčtování ceny. Po provedeném řízení, v němž mu byly postupně některé údaje poskytnuty a některé, v rozsahu . . .

Nejvyšší správní soud vydal vloni 11. listopadu rozhodnutí č. j. 1 As 238/2021 – 33, v němž uvedl, že pouze ze skutečnosti, že dojde k neoprávněnému nakládání s osobními údaji (především, stane-li se tak v důsledku protiprávního jednání jiného subjektu), nelze dovozovat nedostatečnost opatření podle § 13 zákona o ochraně osobních údajů. Odpovědnost za přestupek není vázána na vznik poruchového negativního následku spočívajícího v neoprávněném nakládání s osobními údaji, ale na zjištěný deficit v přijetí náležitých opatření za účelem jejich ochrany. Pro vznik odpovědnosti proto není rozhodující, zda se osobní údaje podařilo ochránit či nikoliv, ale zda správce či zpracovatel osobních údajů přijal a dodržoval opatření zajišťující vhodnou úroveň ochrany jím zpracovávaných osobních údajů. Nezabezpečil osobní údaje více než 700 tisíc zákazníků Žalovaný ÚOOÚ uznal žalobce . . .