Musí správce osobních údajů klientovi vyjmenovat dodavatele s přístupem k osobním údajům?

O tom, zda správce osobních údajů musí klientovi vyjmenovat dodavatele s přístupem k osobním údajům, pojednával i spor, jímž se zabýval Soudní dvůr EU. K tématu byl publikován také názor generálního advokáta, podle něhož se právo na přístup týká i přesného výčtu příjemců dat, ovšem s několika výjimkami. Skutkový stav, původní řízení a předběžná otázka Navrhovatel se dne 15. ledna 2019 obrátil u předkládajícího soudu RW na Österreichische Post s cílem získat na základě článku 15 GDPR mimo jiné přístup k osobním údajům, které o něm Österreichische Post uchovává nebo které uchovávala v minulosti, a v případě sdělení těchto údajů třetím osobám také k totožnosti příjemců těchto sdělení.[5] V odpovědi Österreichische Post sd . . .

Za jakých podmínek může správce uchovávat osobní údaje svých zákazníků pro jiný účel?

Za jakých podmínek může poskytovatel internetu a televizního vysílání uchovávat bez výslovného souhlasu osobní údaje svých zákazníků, které byly shromážděny a již uloženy zákonným způsobem na doplňujícím interním nosiči pro účely opravy technické závady? Své stanovisko vydal letos 31. března na žádost o rozhodnutí o této předběžné otázce generální advokát u Soudního dvora EU. Závěry 1) Článek 5 odst. 1 písm. b) GDPR musí být vykládán v tom smyslu, že zásada uvedená v tomto ustanovení nebrání uchovávání osobních údajů, které byly shromážděny a uloženy v souladu se zákonem v doplňující interní databázi, pokud toto zpracování sleduje stejné účely, jako jsou účely shromáždění, nebo, pokud tomu tak není, je s těmito účely slučitelné, což přísluší prokázat správci, včetně případu, kdy tímto zpracováním pln . . .

Soudní dvůr EU: Úřady musí shromažďovat osobní údaje pouze v nezbytném rozsahu, nikoliv plošně

V řadě veřejnoprávních agend je zakotvena obecná povinnost součinnosti třetích osob s příslušnými úřady. I tato povinnost, resp. oprávnění veřejnoprávních subjektů, však má v demokratickém státě své hranice. Jednou z nich je ochrana soukromí a osobních údajů. Jako příklad těchto zmocnění můžeme jmenovat povinnost všech fyzických a právnických osob i veřejnoprávních subjektů poskytovat policii na její vyžádání věcnou a osobní pomoc včetně informací a osobních údajů[1], doplněnou o výslovné oprávnění policie získávat údaje z různých veřejných evidencí[2]. Orgány finanční správy mají rovněž přístup do řady rejstříků a databází, např. registru obyvatel, evidence občanských průkazů, registr pojištěnců veřejného zdravotního pojištění atd.[3] Tento přístup je navíc dle zákona . . .

Nařízení neklade na správce či zpracovatele nižší požadavky než zákon o ochraně osobních údajů

Není rozhodující to, že čl. 32 nařízení neobsahuje natolik konkrétní požadavky jako § 13 odst. 4 písm. c) zákona o ochraně osobních údajů. Rozhodující je, zda úprava povinností podle čl. 32 nařízení odpovídá úpravě stanovené v § 13 odst. 1 zákona o ochraně osobních údajů. Obě ustanovení upravují povinnost správce a zpracovatele osobních údajů zajistit pomocí vhodných technických a organizačních opatření dostatečné zabezpečení osobních údajů proti neoprávněnému sdělování nebo přístupu. Byť to formulují různými slovy, nelze drobné rozdíly vykládat tak, že nařízení klade oproti zákonu o ochraně osobních údajů na správce či zpracovatele osobních údajů nižší požadavky, uvedl Nejvyšší správní soud v Praze dne 25. února 2022 ve svém rozhodnutí č. j. 10 As 190/2020 – 39. Vymezení sporu Žalovaný rozhodnutím shledal žalobce vinným ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobn . . .

Aby mohla být informace kvalifikována jako osobní údaj, nemusí ještě umožňovat identifikaci subjektu údajů

Aby mohl být určitý údaj kvalifikován jako osobní, není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely nacházet v rukách jediné osoby, uvedl Městský soud v Praze dne 30. dubna 2021 ve svém rozhodnutí č. j. 9 A 67/2019 – 35. Vymezení sporu Žalobce se podanou žalobou domáhal zrušení rozhodnutí předsedy Rady Českého telekomunikačního úřadu (dále jen „žalovaný“), jímž byl zamítnut rozklad žalobce ve věci žádosti o poskytnutí informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů (dále jen „zákon o informacích“).[1] Napadeným rozhodnutím byl zamítnut rozklad žalobce a potvrzeno rozhodnutí ČTÚ o částečném neposkytnutí informace, kterou žalobce požadoval ve formě poskytnutí čtyř kopií libovolně vybraných rozhodnutí o námitce proti vyřízení reklamace na vyúčtování ceny. Po provedeném řízení, v němž mu byly postupně některé údaje poskytnuty a některé, v rozsahu . . .

Dojde-li k neoprávněnému nakládání s osobními údaji, neznamená to ještě nedostatečnost bezpečnostních opatření

Nejvyšší správní soud vydal vloni 11. listopadu rozhodnutí č. j. 1 As 238/2021 – 33, v němž uvedl, že pouze ze skutečnosti, že dojde k neoprávněnému nakládání s osobními údaji (především, stane-li se tak v důsledku protiprávního jednání jiného subjektu), nelze dovozovat nedostatečnost opatření podle § 13 zákona o ochraně osobních údajů. Odpovědnost za přestupek není vázána na vznik poruchového negativního následku spočívajícího v neoprávněném nakládání s osobními údaji, ale na zjištěný deficit v přijetí náležitých opatření za účelem jejich ochrany. Pro vznik odpovědnosti proto není rozhodující, zda se osobní údaje podařilo ochránit či nikoliv, ale zda správce či zpracovatel osobních údajů přijal a dodržoval opatření zajišťující vhodnou úroveň ochrany jím zpracovávaných osobních údajů. Nezabezpečil osobní údaje více než 700 tisíc zákazníků Žalovaný ÚOOÚ uznal žalobce . . .

K nabízení zprostředkovatelské služby je třeba mít „co zprostředkovávat“

Dne 7. října 2021 vydal Nejvyšší správní soud rozhodnutí č. j. 7 As 146/2021. V něm se vyjádřil, že vázaný zástupce se ve smyslu čl. Obecného nařízení nachází v pozici zpracovatele, který v rámci své činnosti zprostředkovával služby stěžovatele, přičemž docházelo i ke shromažďování osobních údajů potenciálních klientů, jež shromažďovala a zpracovávala právě za účelem určeným stěžovatelem. Průběh řízení Rozhodnutím Úřadu pro ochranu osobních údajů (Úřad) bylo žalobci uloženo: zajistit provedení výmazu osobních údajů o subjektu údajů – P. D., bytem K. 350, M.; zajistit právní tituly pro zpracování osobních údajů všech subjektů údajů, vůči kterým je žalobce v postavení správce osobních údajů, tedy tam, kde sám určil účel a prostředky zpracování, dle čl. 6 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti . . .

Souhlas prostřednictvím cookies s předem zaškrtnutým políčkem není právoplatný

Velký senát Soudního dvora vydal dne 1. října 2019 rozhodnutí o předběžné otázce týkající se prohlášení o souhlasu prostřednictvím předem zaškrtnutého „políčka“. Žádost o rozhodnutí o předběžné otázce se týkal výkladu čl. 2 písm. f) a čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích ve spojení s čl. 2 písm. h) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, jakož i čl. 6 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.&nbsp . . .

Rozhodnutí soudů nejsou po vyhlášení veřejně přístupnou informací

Městský soud v Praze vydal dne 20. dubna 2021 rozhodnutí, č. j. 14A 1/2021 o žalobě proti Úřadu pro ochranu osobních údajů. Žalobce se domáhal zrušení rozhodnutí předsedkyně úřadu, kterým byl zamítnut rozklad žalobce a současně jím bylo potvrzeno rozhodnutí Úřadu pro ochranu osobních údajů. Soud potvrdil dosavadní závěry, že judikatura soudů stojí na zásadě, že osobní údaje lze zveřejnit pouze při veřejném vyhlášení rozsudku, nikoliv také kdykoliv poté. Samotným vyhlášením se nestávají veřejně přístupnou informací, na kterou by se nevztahovala ochrana Obecného nařízení (GDPR) a zákona o zpracování osobních údajů. Správní orgány v řízení dostatečně prokázaly, že žalobce zveřejnil osobní údaje dotčené osoby, a v tomto směru také dostatečně zjistily skutkový stav věci. Soud také konstatoval, že zákonný důvod dle čl. 6 odst. 1 písm. f) Obecného nařízení (GDPR) umožňuje upřednostnit práva jiných osob před právem subjektu údajů na ochranu osobních . . .

E-mailová zpráva je jiným dokumentem uchovávaným v soukromí

Dne 21. 4. 2021 rozhodl Nejvyšší soud o dovolání ve věci neoprávněného přístupu k počítačovému systému a nosiči informací. Ve svém usnesení Tdo 148/2021-217 soud dovodil, že termínem „jiný dokument“ se rozumí především jakékoli jiné zachycení textu, než které je listinou či písemností. Jedná se tedy především o zprávy přenášené prostřednictvím elektronické komunikace, jako jsou e-maily, SMS zprávy a jiné textové zprávy. E-mailová zpráva je jiným dokumentem, a to dokumentem uchovávaným v soukromí, neboť každá e-mailová schránka, do níž jsou doručovány zprávy, je chráněna jedinečným přístupovým heslem a samotné e-maily jsou uchovávány na serverech, ke kterým nemají neoprávněné osoby přístup. Předchozí průběh řízení Rozsudkem Okresního soudu v Berouně ze dne 23. 6. 2020, sp. zn. 2 T 45/2020 (dále také jen „rozsudek soudu prvního stupně“), byl obviněný J . . .