„To já ne, to… zpracovatel!“ aneb Odpovědnost za zpracování a možnost zprostit se jí

27. 3. 2024

Poznámka: Obsahem tohoto článku není situace, kterou GDPR výslovně předpokládá, ve které zpracovatel překročí své zmocnění a začne zpracovávat osobní údaje jako správce (viz čl. 28 odst. 10 GDPR). V následujícím textu se mnohokrát objeví slovo odpovědnost. Jeho význam však nebude pokaždé shodný. Považuji proto za nezbytné začít následujícím rozlišením. Zásada odpovědnosti vs. (právní) odpovědnost  Jednak tu máme zásadu (či princip) odpovědnosti obsaženou v čl. 5 odst. 2 GDPR[1]. Tento typ odpovědnosti se uplatní výhradně vůči správci a skládá se ze dvou základních prvků: odpovědnost za dodržování zásad, povinnost doložit soulad s těmito zásadami. Od zásady odpovědnosti musíme odlišit obecnou (právní) odpovědnost. Jde o sekundární povinnost, která vzniká ve chv . . .

Zpracování osobních údajů z veřejných rejstříků a povinnosti správce

28. 10. 2023

Pokud se jiný subjekt rozhodne zpracovávat osobní údaje obsažené ve veřejných rejstřících, musí nejprve určit účel a prostředky zpracování. Toto rozhodnutí z něj učiní správce. Co vše zahrnuje pojem veřejný rejstřík a jaké povinnosti má správce při dalším zpracování osobních údajů v takovém rejstříku obsažených? Co je veřejný rejstřík? V užším smyslu, ve kterém budu pojem dále užívat, jsou veřejnými rejstříky ty, které jsou úplným výčtem vyjmenovány v zákoně č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob a o evidenci svěřenských fondů (dále jen „ZVR“), tj.: spolkový rejstřík, nadační rejstřík, rejstřík ústavů, rejstřík společenství vlastníků jednotek, obchodní rejstřík a rejstřík obecně prospěšných společností. Jde o informační systémy veřejné správy, do kterých se zapisují zákonem stanovené údaje o právnických a fyzických osobách. Obecně platí, že údaje o zapsané osobě a listiny uložené ve sbírce listin zveřejňuje rejstříkový soud způsobem umožňujícím dálkový přístup. Z hlediska možného dalšího zpracování údajů ve veřejných rejstřících je však třeba zdůraznit, že některé údaje se neuveřejňují a některé údaje lze na žádost zapsané osoby znepřístupnit.[1] Speciální úpravu stanoví ZVR u rodných čísel Pokud se do veřejného rejstříku zapisuje rodné číslo, neuvádí se v opisu z veřejného rejstříku ani se neuveřejňuje. Je-li rodné číslo uvedeno v listinách zakládaných do sbírky listin, uveřejňují se tyto listiny postupem […]

„Výběr z hrozných“

28. 1. 2023

Autorka tímto názvem skládá úctu tvůrcům svého oblíbeného pořadu, a to při vědomí skutečnosti, že pravděpodobnost, že se někdo z nich o tomto příspěvku byť jen doslechne, se limitně blíží nule. Každý z nás, kdo se zaměřuje na úzce vymezenou oblast práva, jakou je ochrana osobních údajů, je nutně konfrontován s rozhodnutími soudů, o kterých by klasik možná napsal, že o nich můžeme vést spory, můžeme s nimi nesouhlasit, ale to je tak všechno, co se proti tomu dá dělat. V tomto duchu o nich tedy můžeme mluvit nebo psát a doufat, že snad soudy nakonec konstatují, že nebyly správné od počátku (jak jsem přesvědčená já), nebo je alespoň svou novou rozhodovací činností překonají. Za těch téměř 20 let, co se věnuji ochraně osobních údajů, bylo vydáno takových rozhodnutí několik a, bohužel, průběžně přibývají. Zaměřím se proto jen . . .

Poskytování informací o odměňování zaměstnanců veřejného sektoru

28. 5. 2022

Problematika poskytování informací o odměňování zaměstnanců podle InfZ[1] se ve veřejném prostoru řeší v podstatě od přijetí tohoto zákona. Odpovídajícím způsobem však až do současnosti dle mého názoru vyřešena nebyla. Považuji přitom za obtížně přijatelné, že ani v roce 2022 nemáme nastavená jasná a předvídatelná pravidla, podle nichž by povinné subjekty mohly postupovat a být si přitom jisty, že je jejich postup legální a legitimní, a to jak z hlediska žadatelů o informace a jejich práva na svobodný přístup k informacím, tak z hlediska dotčených subjektů údajů a jejich práva na soukromí a ochranu osobních údajů. Judikatura nejvyšších soudů Po vydání tzv. platového nálezu Ústavního soudu[2] a formulaci tzv. platového testu[3] upřesňuje dále pravidla . . .

Jak postupovat při informování o činnosti obecní police na sociálních sítích

29. 8. 2021

Poměrně pravidelně se setkáváme s tím, že obecní (městská) policie informuje o své činnosti prostřednictvím facebookového profilu či jiných sociálních sítí. Zveřejňuje části videozáznamů či fotografie z provedených zákroků, aby tím informovala o své činnosti nebo upozorňovala na (ne)žádoucí jevy v dané obci. V souvislosti s tím stále znovu vyvstává otázka, zda se v takovém případě jedná o postup, který podléhá GDPR[1], nebo jde „pouze“ o ochranu osobnostních práv dle pravidel občanského zákoníku. Poznámka na úvod: Tento příspěvek se nevztahuje na informování o činnosti obecní police, které je nedílnou součástí postupů při odhalování přestupků, jejichž projednávání je v působnosti obce.[2] Pro vyhodnocení postupu obecní policie při využívání sociálních sítí z hlediska ochrany osobních údajů je třeba si klást následuj . . .

Na co musí veřejné instituce myslet při využívání rezervačních systémů

27. 5. 2021

V závěru roku 2020 se Úřad pro ochranu osobních údajů (ÚOOÚ) vyjádřil ke zpracování osobních údajů v rezervačních systémech veřejných institucí.[1] Toto téma nabývá obzvláštní důležitosti v současné době, kdy se podobné rezervační systémy používají i v souvislosti s onemocněním covid-19 za účelem rezervace na testování nebo očkování. ÚOOÚ shrnul závěry, k nimž dospěl na základě provedené kontroly. Zdůraznil zejména zásadu transparentnosti a minimalizace (viz čl. 5 odst. 1 písm. a) a c) GDPR[2]), nutnost plnění infomační povinnosti (viz čl. 13 GDPR) a dále upozornil na nedostatky poskytovaného souhlasu se zpracováním osobních údajů. S aplikací a hodnocením uvedených zásad lze jistě souhlasit. To však již neplatí pro tvrzení ÚOOÚ, že veřejné instituce „musí umět popsat a odůvodnit, proč si vybraly ke zpracování soukromé dodavatele“. Z kontextu . . .

Při využívání otisků prstů pro vstup do mateřinek je nutné myslet především na ochranu osobních údajů

13. 1. 2021

Po několika bezpečnostních problémech v mateřských školách začali zřizovatelé hromadně nakupovat pro vstup do zařízení systémy založené na otiscích prstů. Tyto systémy byly propagovány jako jednoduché řešení bezpečnosti ve školách, aniž by zřizovatelé nebo ředitelé škol hned od počátku řešili související oblast ochrany osobních údajů. V posledních letech se výrazně rozšiřuje technická i finanční dostupnost technologických řešení využívajících biometrické údaje osob, zejména otisky prstů. Takové systémy jsou využívány nejrůznějšími subjekty, včetně mateřských škol, ve kterých mají sloužit pro přístup rodičů (resp. obecně osob, které děti vyzvedávají) a zaměstnanců do prostor školky. Že se nejedná o věc zcela novou, dokládá i kontrolní činnost Úřadu pro ochranu osobních údajů (ÚOOÚ)[1].