Právo na utajení informací versus práva daná zákonem o zpracování osobních údajů

Kdy převládá zájem na utajení informací nad právem fyzické osoby podle zákona o zpracování osobních údajů? Na tuto otázku hledal odpověď i Městský soud v Praze, který vydal 1. června rozhodnutí č. j. 8 A 11/2020-82, v němž se mimo jiné zabýval porovnáváním práv daných § 28 odst. 2 písm. a) zákona o zpracování osobních údajů a možností vést utajované informace odděleně od zbytku správního spisu. Základ sporu Žalobce se žalobou podanou u Městského soudu v Praze domáhal zrušení sdělení Policejního prezidia České republiky, kterým žalovaný žalobce informoval o tom, že nevyhověl jeho žádosti o výmaz osobních údajů z evidence nežádoucích osob (dále jen „ENO“) a údajů ze Schengenského informačního systému druhé generace (dále jen „SIS II“), a o tom, jaké údaje k jeho osobě v souvislosti se zařazením do těchto evidencí vede.[1] V napadeném rozhodnut . . .

Španělsko a jeho problém s únikem informací a fotografií z policejní databáze: Jak o případu rozhodl Evropský soud pro lidská práva?

Evropský soud pro lidská práva (ESLP) ve Štrasburku vydal 28. června rozsudek ve věci M.D. a další proti Španělsku. Žaloba se týkala i práva na soukromí podle článku 8 Evropské úmluvy o ochraně základních lidských práv a svobod. Vymezení věci Žalobu podalo celkem 20 osob, soudců a smírčích soudců ze španělského Katalánska. V únoru 2014 podepsali manifest, který obsahoval právní argumentaci ve prospěch možnosti, aby obyvatelé Katalánska uplatnili své „právo na rozhodování“ či sebeurčení v rámci španělské ústavy a mezinárodních právních norem, tedy, že by případné referendum bylo legální. Dne 3. března 2014 noviny La Razón otiskly článek s titulkem „Spiknutí 33 separatistických soudců“, ve kterém se objevily fotografie a osobní údaje všech signatářů manifestu, a to jméno, příjmení, informace, u kterého soudu pracují, a komentáře k jejich politickým názorům. Žalobci se domnívali, že fotografie a osobn . . .

Svědecký výslech v trestním řízení nelze považovat za dobrovolné zveřejnění osobních údajů

Lze svědecký výslech v trestním řízení považovat za dobrovolné zveřejnění osobních údajů? Touto otázkou se zabýval Nejvyšší správní soud ve svém rozhodnutí, jež vydal 26. března 2021 pod č. j. 5 As 101/2020–29. Uvedl v něm, že subjekt údajů je při svém výslechu povinen soudu sdělit všechny požadované skutečnosti. Již z toho je zřejmé, že se o dobrovolné zveřejnění nejedná. Vymezení věci Kasační stížností se žalobkyně (dále jen „stěžovatelka“) domáhala zrušení rozsudku Městského soudu v Praze (dále jen „městský soud“), kterým byla zamítnuta její žaloba proti rozhodnutí předsedkyně žalovaného ÚOOÚ.[1] Tímto rozhodnutím předsedkyně žalovaného zamítla rozklad stěžovatelky a potvrdila rozhodnutí žalovaného, kterým byla stěžovatelce uložena pokuta za spáchání přestupku podle § 45 odst. 1 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně n . . .

Kdo je veřejným subjektem podle zákona o zpracování osobních údajů?

Kdo je veřejným subjektem podle zákona o zpracování osobních údajů a jaké parametry je nutné posuzovat při rozhodování, zda se na daný subjekt bude zákon o zpracování osobních údajů vztahovat a zda mu tedy bude možné uložit pokutu za porušení pravidel zpracování osobních údajů? I těmto otázkám se ve svém rozhodnutí č. j. 10 As 190/2020–39 věnoval Nejvyšší správní soud. Vydal ho letos 25. února. Vymezení věci Žalovaný rozhodnutím ze dne 12. 10. 2018, čj. UOOU-08001/18-8, shledal žalobce vinným ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a změně některých předpisů („zákon o ochraně osobních údajů“), neboť jako správce osobních údajů nepřijal opatření pro zajištění bezpečnosti zpracování osobních údajů v souvislosti s vedením elektronické zdravotní dokumentace. Tím žalobce podle žalovaného porušil povinnost stanovenou v § 13 . . .

Musí správce osobních údajů klientovi vyjmenovat dodavatele s přístupem k osobním údajům?

O tom, zda správce osobních údajů musí klientovi vyjmenovat dodavatele s přístupem k osobním údajům, pojednával i spor, jímž se zabýval Soudní dvůr EU. K tématu byl publikován také názor generálního advokáta, podle něhož se právo na přístup týká i přesného výčtu příjemců dat, ovšem s několika výjimkami. Skutkový stav, původní řízení a předběžná otázka Navrhovatel se dne 15. ledna 2019 obrátil u předkládajícího soudu RW na Österreichische Post s cílem získat na základě článku 15 GDPR mimo jiné přístup k osobním údajům, které o něm Österreichische Post uchovává nebo které uchovávala v minulosti, a v případě sdělení těchto údajů třetím osobám také k totožnosti příjemců těchto sdělení.[5] V odpovědi Österreichische Post sd . . .

Za jakých podmínek může správce uchovávat osobní údaje svých zákazníků pro jiný účel?

Za jakých podmínek může poskytovatel internetu a televizního vysílání uchovávat bez výslovného souhlasu osobní údaje svých zákazníků, které byly shromážděny a již uloženy zákonným způsobem na doplňujícím interním nosiči pro účely opravy technické závady? Své stanovisko vydal letos 31. března na žádost o rozhodnutí o této předběžné otázce generální advokát u Soudního dvora EU. Závěry 1) Článek 5 odst. 1 písm. b) GDPR musí být vykládán v tom smyslu, že zásada uvedená v tomto ustanovení nebrání uchovávání osobních údajů, které byly shromážděny a uloženy v souladu se zákonem v doplňující interní databázi, pokud toto zpracování sleduje stejné účely, jako jsou účely shromáždění, nebo, pokud tomu tak není, je s těmito účely slučitelné, což přísluší prokázat správci, včetně případu, kdy tímto zpracováním pln . . .

Soudní dvůr EU: Úřady musí shromažďovat osobní údaje pouze v nezbytném rozsahu, nikoliv plošně

V řadě veřejnoprávních agend je zakotvena obecná povinnost součinnosti třetích osob s příslušnými úřady. I tato povinnost, resp. oprávnění veřejnoprávních subjektů, však má v demokratickém státě své hranice. Jednou z nich je ochrana soukromí a osobních údajů. Jako příklad těchto zmocnění můžeme jmenovat povinnost všech fyzických a právnických osob i veřejnoprávních subjektů poskytovat policii na její vyžádání věcnou a osobní pomoc včetně informací a osobních údajů[1], doplněnou o výslovné oprávnění policie získávat údaje z různých veřejných evidencí[2]. Orgány finanční správy mají rovněž přístup do řady rejstříků a databází, např. registru obyvatel, evidence občanských průkazů, registr pojištěnců veřejného zdravotního pojištění atd.[3] Tento přístup je navíc dle zákona . . .

Nařízení neklade na správce či zpracovatele nižší požadavky než zákon o ochraně osobních údajů

Není rozhodující to, že čl. 32 nařízení neobsahuje natolik konkrétní požadavky jako § 13 odst. 4 písm. c) zákona o ochraně osobních údajů. Rozhodující je, zda úprava povinností podle čl. 32 nařízení odpovídá úpravě stanovené v § 13 odst. 1 zákona o ochraně osobních údajů. Obě ustanovení upravují povinnost správce a zpracovatele osobních údajů zajistit pomocí vhodných technických a organizačních opatření dostatečné zabezpečení osobních údajů proti neoprávněnému sdělování nebo přístupu. Byť to formulují různými slovy, nelze drobné rozdíly vykládat tak, že nařízení klade oproti zákonu o ochraně osobních údajů na správce či zpracovatele osobních údajů nižší požadavky, uvedl Nejvyšší správní soud v Praze dne 25. února 2022 ve svém rozhodnutí č. j. 10 As 190/2020 – 39. Vymezení sporu Žalovaný rozhodnutím shledal žalobce vinným ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobn . . .

Aby mohla být informace kvalifikována jako osobní údaj, nemusí ještě umožňovat identifikaci subjektu údajů

Aby mohl být určitý údaj kvalifikován jako osobní, není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely nacházet v rukách jediné osoby, uvedl Městský soud v Praze dne 30. dubna 2021 ve svém rozhodnutí č. j. 9 A 67/2019 – 35. Vymezení sporu Žalobce se podanou žalobou domáhal zrušení rozhodnutí předsedy Rady Českého telekomunikačního úřadu (dále jen „žalovaný“), jímž byl zamítnut rozklad žalobce ve věci žádosti o poskytnutí informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů (dále jen „zákon o informacích“).[1] Napadeným rozhodnutím byl zamítnut rozklad žalobce a potvrzeno rozhodnutí ČTÚ o částečném neposkytnutí informace, kterou žalobce požadoval ve formě poskytnutí čtyř kopií libovolně vybraných rozhodnutí o námitce proti vyřízení reklamace na vyúčtování ceny. Po provedeném řízení, v němž mu byly postupně některé údaje poskytnuty a některé, v rozsahu . . .

Dojde-li k neoprávněnému nakládání s osobními údaji, neznamená to ještě nedostatečnost bezpečnostních opatření

Nejvyšší správní soud vydal vloni 11. listopadu rozhodnutí č. j. 1 As 238/2021 – 33, v němž uvedl, že pouze ze skutečnosti, že dojde k neoprávněnému nakládání s osobními údaji (především, stane-li se tak v důsledku protiprávního jednání jiného subjektu), nelze dovozovat nedostatečnost opatření podle § 13 zákona o ochraně osobních údajů. Odpovědnost za přestupek není vázána na vznik poruchového negativního následku spočívajícího v neoprávněném nakládání s osobními údaji, ale na zjištěný deficit v přijetí náležitých opatření za účelem jejich ochrany. Pro vznik odpovědnosti proto není rozhodující, zda se osobní údaje podařilo ochránit či nikoliv, ale zda správce či zpracovatel osobních údajů přijal a dodržoval opatření zajišťující vhodnou úroveň ochrany jím zpracovávaných osobních údajů. Nezabezpečil osobní údaje více než 700 tisíc zákazníků Žalovaný ÚOOÚ uznal žalobce . . .