Deset omylů týkajících se anonymizace

European Data Protection Supervisor (EDPS) a španělský dozorový úřad (AEPD) zveřejnily dokument věnovaný omylům při anonymizaci osobních údajů.[1] Veřejné i soukromé subjekty považují anonymizaci za prostředek ke sdílení údajů, aniž by došlo k narušení základních práv osob. Úřady uvádí, že během uplynulých let se vyskytlo několik příkladů neúplných nebo nesprávně provedených anonymizací, které vedly k opětovné identifikaci jednotlivců. Například v roce 2006 jistá služba streamování filmů zveřejnila datovou sadu obsahující 10 milionů hodnocení filmů od 500 000 zákazníků. Služba tvrdila, že hodnocení je anonymní, ale později se zjistilo, že by stačila jen trocha informací o předplatiteli, aby jej osoba s jiným názorem mohla ztotožnit se záznamem v datové sadě. Další příklad chybné anonymizace se objevil  v roce 2013, kdy Newyorská komise pro taxi a limuzíny zveřejnila datový list s více než 173 miliony jednotlivých jízd tax . . .

Evropský sbor vydal doporučení k uchovávání údajů z kreditních karet

Dne 19. května Evropský sbor pro ochranu osobních údajů vydal doporučení č. 02/2021 o právním základě ukládání údajů výlučně za účelem usnadnění dalších transakcí online. Jde o velmi aktuální téma i vzhledem k tomu, že během pandemie Covid-19 došlo k rozmachu digitální ekonomiky a nákupů přes internet. Údaje o kreditních či platebních kartách s sebou nesou riziko závažných dopadů na subjekt údajů v případě zneužití platebních údajů, například k podvodu. Doporučení se zaměřilo na otázku ukládání údajů kreditních a platebních karet pro usnadnění dalších nákupů, jestliže subjekt údajů platí za zboží nebo službu prostřednictvím webové stránky či aplikace a poskytne údaje o své kreditní kartě, aby mohl příslušnou transakci uzavřít. Správce musí mít pro takové zpracování údajů platný právní důvod. Uložení údajů o kreditní či platební kartě za účelem usnadnění budoucích nákup . . .

Technologie rozpoznávání obličeje versus ochrana osobních údajů

Dne 28. ledna 2021 Poradní výbor zřízený Úmluvou Rady Evropy č. 108 vydal pokyny k otázce rozpoznávání obličejů.[1] Technologie s touto schopností totiž může citelně zasáhnout do práv subjektu údajů. V extrémní podobě se tomu tak děje v Číně, kdy je sledování občanů kamerami jedním ze vstupů pro změny tzv. sociálního kreditu, což je velmi sofistikovaný nástroj k ovládání obyvatel metodou cukru a biče. Pokyny vycházejí ze znění Úmluvy č. 108 v podobě upravené jejím druhým dodatkovým protokolem. Základní zásady Východiskem pokynů je princip, že rozpoznávání obličejů je rizikem a přednost by měla dostat ochrana soukromí. Toto by se mělo uplatnit i v případě, že by vnitrostátní legislativa takovou formu zpracování osobních údajů umožňovala, ale reálně by docházelo k narušení práva na soukromí chráněného Evropskou úmluvou o ochraně lidských práv . . .

Evropský sbor pro ochranu osobních údajů vydal pokyny k pojmu relevantní a odůvodněná námitka

Guidelines 9 2020 on relevant and reasoned objection Obecné nařízení zřídilo koordinační orgán – Evropský sbor pro ochranu osobních údajů (Sbor), který připravuje pokyny k různým aspektům s cílem harmonizovat provádění GDPR v rámci Evropské unie, resp. Evropského hospodářského prostoru (EHP). Ve dnech 13. 10. až 24. 11. 2020 probíhala veřejná konzultace k návrhu pokynů upřesňujících předkládání relevantních a odůvodněných námitek definovaných v čl. 4 odst. 24 GDPR v rámci konzultačního procesu mezi vedoucím dozorovým úřadem a dotčeným dozorovým úřadem podle článku 60 odst. 4 GDPR.