Dozorové úřady hodlají úžeji spolupracovat na strategických případech. Případ Vinted UAB může být vzorem

28. 7. 2022

Evropský sbor pro ochranu osobních údajů (Sbor) vydal za čtyři roky své existence již 57 vodítek a šest doporučení. Dozorové úřady v něm zastoupené uložily do konce roku 2021 pokuty v souhrnné výši 1,55 miliardy eur.[1] Užší spolupráce na dubnovém jednání Na letošním zasedání Sboru ve Vídni, které se konalo ve dnech 27. – 28. dubna se úřady dohodly, že každoročně určí několik strategicky významných případů přesahujících hranice jednoho členského státu EU. Strategicky významné jsou např. případy, které se týkají velkého počtu subjektů osobních údajů v Evropském hospodářském prostoru nebo takové, kde se jedná o strukturální či opakující se problém v několika členských státech nebo o situaci, kdy se ochrana osobních údajů protíná s jinými oblastmi práva.[2] U takových . . .

Jak rozhodl Soudní dvůr EU v záležitosti uchovávání dat o provozu a poloze z elektronické komunikace?

28. 6. 2022

Soudní dvůr EU (SDEU) vydal letos 5. dubna rozhodnutí v případu spisové značky C-140/20. Kauzu v březnu 2015 zahájil výrok irského soudu první instance o vině a uložení doživotního trestu odnětí svobody za trestný čin vraždy. Obžalovaný G. D. podal odvolání, v němž argumentoval tím, že prvoinstanční soud nesprávně připustil důkaz založený na údajích o telefonické komunikaci a poloze zařízení. Obžalovaný G. D. podal v této věci také civilní žalobu, kterou projednával irský vrchní soud. V žalobě G. D. zpochybnil některá ustanovení irského zákona z roku 2011, který upravuje uchovávání uvedených kategorií údajů a přístup k nim. Tvrdil, že tato ustanovení porušila jeho práva zaručená právem EU. Vrchní soud dal 6. prosince 2018 G. D. za pravdu. Stát se odvolal k Nejvyššímu soudu. Nejvyšší soud se následně obrátil na SDEU se žádostí o objasnění ustanovení evropského práva vztahujícího se k uchov . . .

Ochrana osobních údajů a připomínky k návrhům změn evropských směrnic v souvislosti s covid-19

27. 4. 2022

Evropská komise vydala letos 3. února návrhy na změny evropských nařízení (EU) 2021/953 a (EU) 2021/954. Ve stejný den požádala o připomínky Evropský sbor pro ochranu osobních údajů (dále Sbor) a evropského inspektora ochrany osobních údajů (Inspektor). Koho a čeho se to týká? Obě nařízení upravují vydávání, ověřování a přijímání certifikátů o očkování proti covid-19, výsledků testů na přítomnost koronaviru a potvrzení o prodělání covid-19 v souvislosti s volným pohybem osob. První nařízení se týká občanů zemí Evropského hospodářského prostoru (EHP), druhé pak občanů třetích zemí, kteří legálně pobývají nebo bydlí na území členských států EHP. Co návrhy Komise obsahují? Návrhy Komise obsahují ustanovení o prodloužení platnosti obou nařízení o dalších 12 měsíců, tedy do konce června 2023. Stejně se má prodloužit období, během kter . . .

Rozsudek Evropského soudu pro lidská práva ve věci č. 70838/13 Antović a Mirković proti Černé Hoře

28. 3. 2022

Natáčením posluchárny na univerzitě bylo porušeno právo vyučujících této univerzity na respektování jejich soukromého života. Takový rozsudek vynesl dne 28. listopadu 2017 senát druhé sekce Evropského soudu pro lidská práva ve Štrasburku (dále „ESLP“) ve věci Antović a Mirković proti Černé Hoře. Soud se týkal práva na respektování rodinného a soukromého života podle článku 8 Evropské úmluvy o ochraně lidských práv a základních svobod (dále „EÚLP“, po ratifikaci Českou republikou v roce 1992 je vyhlášena pod č. 209/1992 Sb.). Kdy, kde, co? Stěžovatelé podali žalobu k ESLP v říjnu 2013. Oba vyučovali na Černohorské univerzitě v Podgorici. Co jim vadilo? V roce 2011 nechal děkan Přírodovědecko-matematické fakulty do některých prostor včetně poslucháren instalovat videokamery. O této skutečnosti byli vyučující na fakultě informováni. Důvodem pro nasazení monitorovacího systému měla být ochrana majetku a osob, šlo tak . . .

Využívání osobních údajů při politické kampani? Dopady jsou celospolečenské

28. 2. 2022

V důsledku rychlého rozvoje technologií a využívání online komunikace a sociálních sítí stále více akcentuje otázku ochrany osobních údajů v kontextu nových forem vedení politických kampaní. Několik těsných nebo překvapivých výsledků v minulosti, např. britské referendum o vystoupení z EU nebo volební vítezství Donalda Trumpa v prezidentských volbách v USA v roce 2016, následovaly zprávy a spekulace o vlivu analytických a vlivových společností fungujících s osobními údaji získanými v prostředí sociálních sítí. Nezřídka se tyto zprávy zakládaly na informacích od whistleblowerů. Příkladem za všechny je britská společnost Cambridge Analytica, která se zapojila do Trumpovy kampaně a údajně se angažovala i na straně příznivců vystoupení Spojeného království z EU. Podstatou skandálu okolo Cambridge Analytica bylo mj. zpracování osobních údajů až 87 milionů uživatelů Facebooku, aniž by velká většina z nich o n . . .

Dozorové úřady oslovily vlastníky videokonferenčních aplikací

28. 12. 2021

Rozvoj informačních a komunikačních technologií umožnil již před lety konání videohovorů a videokonferencí. Pandemie covid-19 vedla k jejich masovému využití ve vzdělávání i k pořádání jednání. Dostupné aplikace umožňují akce o stovkách účastníků, jejich rozdělení do paralelních virtuálních místností, sdílení obsahu i tlumočení do více jazyků zároveň. V lecčems nelze osobní jednání úplně nahradit, ale v době pandemie často šlo o nejlepší z dostupných způsobů komunikace. Z pohledu ochrany osobních údajů je videokonference činností zpracování. Jde jak o zpracování osobních údajů samotných účastníků, tak potenciálně i osob, které se mohou dostat do záběru kamer či na doslech mikrofonu, nebo jejichž údaje jsou obsaženy ve sdílených dokumentech. Do online prostředí se přesunuly také konzultace s lékaři nebo psychology, kde dochází ke sdílení velmi citlivých osobních údajů. Na rizika videokonferenčních aplikací se začalo více upozor . . .

Nizozemský dozorový úřad udělil pokutu společnosti TikTok Inc.

28. 10. 2021

Nizozemský úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens, dále „AP“) dne 22. července 2021 zveřejnil informaci k rozhodnutí o pokutě ve výši 750 000 EUR, kterou uložil společnosti TikTok Inc. Společnost se sídlem v USA (do května 2019 musical.ly Inc.) patří do skupiny Bytedance, jež v roce 2017 spustila aplikaci TikTok. Úřad rozhodl, že došlo k porušení článku 12 odst. 1 Obecného nařízení o ochraně osobních údajů (Obecné nařízení), podle kterého má správce subjektu údajů „stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků poskytnout veškeré informace… o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti“. Aplikace TikTok je zdarma, vyžaduje zřízení uživatelského účtu. Uživatelům umožňuje vytvářet, sdílet a upravovat fotografie a videa. Obsahuje i funkce známé z jiných sociálních sítí, například komentování a lajkování p . . .

Deset omylů týkajících se anonymizace

27. 7. 2021

European Data Protection Supervisor (EDPS) a španělský dozorový úřad (AEPD) zveřejnily dokument věnovaný omylům při anonymizaci osobních údajů.[1] Veřejné i soukromé subjekty považují anonymizaci za prostředek ke sdílení údajů, aniž by došlo k narušení základních práv osob. Úřady uvádí, že během uplynulých let se vyskytlo několik příkladů neúplných nebo nesprávně provedených anonymizací, které vedly k opětovné identifikaci jednotlivců. Například v roce 2006 jistá služba streamování filmů zveřejnila datovou sadu obsahující 10 milionů hodnocení filmů od 500 000 zákazníků. Služba tvrdila, že hodnocení je anonymní, ale později se zjistilo, že by stačila jen trocha informací o předplatiteli, aby jej osoba s jiným názorem mohla ztotožnit se záznamem v datové sadě. Další příklad chybné anonymizace se objevil  v roce 2013, kdy Newyorská komise pro taxi a limuzíny zveřejnila datový list s více než 173 miliony jednotlivých jízd tax . . .

Evropský sbor vydal doporučení k uchovávání údajů z kreditních karet

27. 6. 2021

Dne 19. května Evropský sbor pro ochranu osobních údajů vydal doporučení č. 02/2021 o právním základě ukládání údajů výlučně za účelem usnadnění dalších transakcí online. Jde o velmi aktuální téma i vzhledem k tomu, že během pandemie Covid-19 došlo k rozmachu digitální ekonomiky a nákupů přes internet. Údaje o kreditních či platebních kartách s sebou nesou riziko závažných dopadů na subjekt údajů v případě zneužití platebních údajů, například k podvodu. Doporučení se zaměřilo na otázku ukládání údajů kreditních a platebních karet pro usnadnění dalších nákupů, jestliže subjekt údajů platí za zboží nebo službu prostřednictvím webové stránky či aplikace a poskytne údaje o své kreditní kartě, aby mohl příslušnou transakci uzavřít. Správce musí mít pro takové zpracování údajů platný právní důvod. Uložení údajů o kreditní či platební kartě za účelem usnadnění budoucích nákup . . .

Technologie rozpoznávání obličeje versus ochrana osobních údajů

27. 3. 2021

Dne 28. ledna 2021 Poradní výbor zřízený Úmluvou Rady Evropy č. 108 vydal pokyny k otázce rozpoznávání obličejů.[1] Technologie s touto schopností totiž může citelně zasáhnout do práv subjektu údajů. V extrémní podobě se tomu tak děje v Číně, kdy je sledování občanů kamerami jedním ze vstupů pro změny tzv. sociálního kreditu, což je velmi sofistikovaný nástroj k ovládání obyvatel metodou cukru a biče. Pokyny vycházejí ze znění Úmluvy č. 108 v podobě upravené jejím druhým dodatkovým protokolem. Základní zásady Východiskem pokynů je princip, že rozpoznávání obličejů je rizikem a přednost by měla dostat ochrana soukromí. Toto by se mělo uplatnit i v případě, že by vnitrostátní legislativa takovou formu zpracování osobních údajů umožňovala, ale reálně by docházelo k narušení práva na soukromí chráněného Evropskou úmluvou o ochraně lidských práv . . .