Nákup databáze kontaktů – jen zdánlivě snadné řešení

28. 11. 2024

Osobní zkušenost s nevyžádanými nabídkami nejrůznějšího zboží či služeb, ať již v podobě telefonátu nebo e-mailu, má dnes snad každý. Také v této oblasti se očekávalo, že s příchodem GDPR, s jeho požadavky na kvalitu souhlasu, obtěžující volání a e‑maily skončí nebo se alespoň stanou jen okrajovou metodou marketingu. Skončit měla i praxe přeprodávání databází s kontaktními údaji určenými k šíření obchodních sdělení. Pohled do seznamu hovorů a do e-mailové schránky toto očekávání ale nepotvrzuje. O tom, že přeprodej databází kontaktů stále dobře funguje, svědčí jak nabídky doručované (jak jinak) formou nevyžádaných e-mailů, tak i výsledky jen zběžně zadané poptávky na internetu: Účelem tohoto příspěvku je proto připomenutí, proč tento způsob shromáždění kontaktních údajů není (a nikdy nebyl) dobrý nápad. Co je obchodní sdělení? Vzhledem k tomu, že smyslem přeprodávání databází je získání kontaktních údajů, na které mají být následně adresovány obchodní (marketingové) nabídky, je důležité si nejprve vymezit, co přesně se pod pojem obchodní sdělení rozumí a jaké jsou podmínky pro jejich rozesílání prostřednictvím elektronických kontaktů.[1] Šíření obchodních sdělení elektronickou cestou upravuje zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (dále jen „ZSIS“), který definuje obchodní sdělení v § 2 písm. f) jako „všechny formy sdělení, včetně reklamy a […]

Novinky ve spolupráci dozorových úřadů

28. 7. 2024

Zavedení formálních postupů pro spolupráci evropských dozorových úřadů při posuzování a vyšetřování zpracování osobních údajů s přeshraničním prvkem[1] bylo jedním z proklamovaných přínosů GDPR[2], a to jak pro správce a zpracovatele, tak i pro subjekty údajů. Těm prvním měl tento systém usnadnit komunikaci s dozorovými úřady (určením jednoho kontaktního místa), druhým zjednodušit prosazování jejich práv (možností obrátit se na kterýkoli z evropských úřadů bez ohledu na sídlo správce/zpracovatele).   Konkrétní podoba a fungování spolupráce dozorových úřadů nikdy nepatřila k prioritním tématům článků a seminářů věnovaných výkladu GDPR. Tak trochu na pozadí zájmu veřejnosti nyní dochází ke změnám i v této oblasti, neboť dosavadní zkušenosti a pravidelná hodnocení prováděn . . .

Podle rozhodnutí rakouského soudu nahrávání všech rozhovorů s bankou není v souladu s GDPR

27. 6. 2024

Rakouský Federální správní soud (Bundesverwaltungsgericht Republik Österreich, dále jen „soud“) se v loňském roce zabýval rozhodnutím rakouského úřadu pro ochranu osobních údajů (Datenschutzbehörde, dále jen „úřad“), jehož předmětem bylo zpracování osobních údajů ve formě nahrávky telefonního hovoru klienta investiční společnosti. Soud stížnost směřující proti rozhodnutí úřadu dne 23. června 2023 odmítl[1], čímž potvrdil závěry úřadu i jeho příslušnost rozhodovat v obdobných kauzách. Podstatou řízení před úřadem byla otázka, v jakých případech a v jakém rozsahu vzniká investiční společnosti zákonná povinnost pořizovat nahrávky telefonních hovorů s klienty, příp. kdy je tento postup možné založit na oprávněném zájmu investiční společnosti. Jak úřad, tak následně i soud odmítli výklad investiční společnosti, že právní předpisy regulující trh s cennými papíry de facto . . .

Rozsudek správního soudu v Hannoveru – doba uchování kamerových záznamů

28. 10. 2023

Správní soud v Hannoveru vydal letos v březnu rozsudek[1], kterým potvrdil rozhodnutí Státního komisaře pro ochranu údajů Dolního Saska (Die Landesbeauftragte für den Datenschutz Niedersachsen, dále jen „Státní komisař“) ve věci maximální přípustné doby uchování záznamů z kamerového systému. Rozhodnutí správního soudu není nijak přelomové či překvapivé, spíše se v něm potvrzuje trend, který se v oblasti zpracování údajů pomocí kamerových systémů, resp. uchovávání pořízených záznamů, uplatňuje již delší dobu. Totiž, že u záznamů veřejného prostranství, na nichž není zachycen žádný incident, lze oprávněný zájem správce údajů převažující nad zájmy a právy dotčených osob aplikovat jen po velmi krátkou dobu. Přesto může být zajímavé shrnout si argumenty, které správce údajů v daném případě na svoji obhajobu využil, a důvody Státního komisaře, resp . . .

Vývoj autonomních systémů řízení s pomocí dat z palubních kamer

28. 3. 2023

Samotná instalace palubních kamer ve vozidlech není již žádnou novinkou. Jejich využití za účelem získání důkazního materiálu pro případ dopravní nehody je v České republice legální (z hlediska bezpečnosti provozu i ochrany soukromí dotčených osob) a zřejmě i poměrně obvyklou praxí. S tím, jak se do výbavy vozidel prosazují stále pokročilejší asistenční systémy a vývoj směřuje k plně autonomním vozům, získává však shromažďování a další využívání dat z palubních kamer zcela jiné rozměry a význam. Právě díky masivnímu zpracování dat můžeme v dohledné budoucnosti očekávat na našich silnicích vozidla, která se doteď objevovala pouze jako rekvizita ve sci-fi filmech. Moderní vozidla jsou již dnes běžně vybavena množstvím senzorů, které získávají data jak o provozu vozidla samotného, tak i o jeho interakci s okolím, a které takto získaná data ukládají pro budoucí využití nebo i přímo předávají zpět výrobcům, servisům apod.[1] Veškeré informace „zevnitř“ vozu (vypovídající o způsobu řízení nebo o využívání bezpečnostních a asistenčních systémů) i „zvenku“ (týkající se např. dopravního značení a dopravních situací) jsou totiž zcela zásadní z hlediska další optimalizace stávajících asistenčních systémů i pro vývoj nových, včetně autonomních. Množství dat, která jsou a nadále budou zapotřebí k vývoji a dalšímu zdokonalení („učení“) systémů autonomního řízení, je přitom takové, že jen s malou nadsázkou lze říci, […]

Platformy pro distanční výuku ve školách: Čas na otázky spojené s ochranou soukromí a osobních údajů

27. 11. 2022

Jedním z výrazných průvodních jevů covidové pandemie bylo masivní zavádění platforem pro distanční (online) výuku ve školách. Je přitom pochopitelné, že v době vrcholící pandemie a lockdownů bylo primárním cílem škol a jejich zřizovatelů co nejrychlejší zavedení funkčního a široce použitelného řešení. Na otázky spojené s ochranou soukromí a osobních údajů uživatelů přichází čas až nyní. Cílem tohoto příspěvku není, a vzhledem ke komplexnosti tématu ani být nemůže, detailní rozbor všech aspektů zpracování osobních údajů spojeného s distanční výukou, pouze spíše poukázání na zajímavou a doposud nepříliš reflektovanou stránku našeho nedávného hromadného „exodu“ do online prostředí. Komisař zakázal používání nástroje MS Teams Zřejmě nejvýrazněji do této diskuse přispěl Státní komisař pro ochranu údajů a svobodu informací v Bádensku-Württembersku (dále jen „Komisař“), který v roce 2021 provedl pilotní testovací projekt jednoho z nejrozšířenějších software využívaného pro online výuku, a to Teams z kancelářského balíčku Microsoft Office 365. Výsledky poté publikoval ve svém závěrečném doporučení z dubna 2021 (Empfehlung zum Pilotprojekt zur Nutzung MS 365 an Schulen[1]), ve kterém uvedl řadu důvodů, proč je tento nástroj dle jeho názoru v rozporu s požadavky GDPR.[2] Hlavním důvodem pro tento závěr bylo, že program zasílá bez zjevného důvodu řadu informací do USA, kde je ochrana soukromí a osobních údajů slabší než v EU.[3] Ve […]

Telemarketing po novele zákona o elektronických komunikacích

28. 3. 2022

Konec nežádoucích nabídek po telefonu Nevyžádané telefonáty od letošního roku výrazně omezuje novela zákona o elektronických komunikacích (ZEK). Spotřebitele je možné kontaktovat jen tehdy, pokud k telemarketingu udělí souhlas. Právní konstrukce a formulace, které zákonodárce zvolil, však vytváří jisté výkladové nejasnosti. Novela zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, byla přijata vloni v září v návaznosti na přijetí směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace. S účinností od 1. ledna 2022 nastaly ve světě elektronických komunikací poměrně zásadní změny. Nejen v oblasti využívání cookies (o níž jsme informovali v únorovém čísle DPO), ale také v telemarketingu. Tyto změny bezprostředně souvisí s nastavením procesů zpracování osobních údajů, a tedy s plněním povinností vyplývajíc . . .

Cookies po novele zákona o elektronických komunikacích: Pravidla se zpřísnila

28. 2. 2022

Poměrně zásadní změny ve světě elektronických komunikací, konkrétně v oblasti využívání cookies a telemarketingu, nastaly od 1. ledna 2022 s účinností novely zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích, dále jen „ZEK“).[1] Tyto změny bezprostředně souvisí s nastavením procesů zpracování osobních údajů, a tedy s plněním povinností vyplývajících z GDPR.[2] Cookies a co se změnilo? Změna týkající se cookies a dalších obdobných technologií[3] (dále souhrnně jen „cookies“) spočívá v zavedení tzv. opt-in principu umístění všech cookies s výjimkou těch, které jsou technicky nezbytné.[4] Princip opt-in znamená, že pro zpracování osobních údajů související s vyu . . .

Balanční test na příkladu kamerového systému

28. 11. 2021

Doba, kdy kamerové systémy[1] zaznamenaly v soukromé sféře nárůst využití, a byly proto jedním z témat, na která se detailně zaměřoval Úřad pro ochranu osobních údajů (jak ve své kontrolní činnosti, tak v rámci tehdejší oznamovací povinnosti[2]), je minulostí. Existenci kamer ve veřejném či polo veřejném prostoru, například ve výrobních areálech či společných prostorách bytových domů, dnes veřejnost vnímá jako standardní způsob ochrany majetku a zajištění bezpečnosti osob. I přesto, nebo právě proto je dobré si připomenout, jaké povinnosti v oblasti ochrany osobních údajů vznikají těm, kteří kamerové systémy se záznamem provozují. Tento příspěvek se konkrétně zaměří na povinnost vypracovat tzv. balanční test, tedy povinnost tak trochu skrytou v čl. 6 odst. 1 písm. f) GDPR.[3] Citované ustanovení upravuje jeden z možných právních titulů pro zpracování osobních údajů (oprávn . . .

Povinnosti zaměstnavatele po zrušení testování na pracovišti

28. 10. 2021

Počínaje 1. červencem 2021 pozbyla účinnosti opatření Ministerstva zdravotnictví ČR (MZČR), jež ukládala zaměstnavatelům povinnost zajistit, aby na pracoviště vstupovali pouze zaměstnanci, kteří se prokázali negativním testem na nemoc Covid-19, případně některou z uznávaných alternativ (doklad o ochranné lhůtě po prodělané nemoci nebo doklad o očkování). V současné době platí pouze opatření týkající se zaměstnanců, kteří se vrátili z dovolené v zahraničí (po pobytu delším než 12 hodin). Tento stav dopadá i na povinnosti zaměstnavatelů v oblasti ochrany osobních údajů vyplývající z GDPR.[1] Ti by měli především věnovat pozornost evidencím, které pro zajištění přehledu o testování zřídili, a dalšímu uchovávání shromážděných údajů v nich. Některá opatření bude i nadále možné zachovat, pokud to zaměstnavatel vyhodnotí jako nezbytné z pohledu dodržení zákonné povinnosti zajistit bezpečné pracovní prostředí. V&nbsp . . .