Poznámka: Obsahem tohoto článku není situace, kterou GDPR výslovně předpokládá, ve které zpracovatel překročí své zmocnění a začne zpracovávat osobní údaje jako správce (viz čl. 28 odst. 10 GDPR). V následujícím textu se mnohokrát objeví slovo odpovědnost. Jeho význam však nebude pokaždé shodný. Považuji proto za nezbytné začít následujícím rozlišením. Zásada odpovědnosti vs. (právní) odpovědnost  Jednak tu máme zásadu (či princip) odpovědnosti obsaženou v čl. 5 odst. 2 GDPR[1]. Tento typ odpovědnosti se uplatní výhradně vůči správci a skládá se ze dvou základních prvků: odpovědnost za dodržování zásad, povinnost doložit soulad s těmito zásadami. Od zásady odpovědnosti musíme odlišit obecnou (právní) odpovědnost. Jde o sekundární povinnost, která vzniká ve chv . . .

Autorka tímto názvem skládá úctu tvůrcům svého oblíbeného pořadu, a to při vědomí skutečnosti, že pravděpodobnost, že se někdo z nich o tomto příspěvku byť jen doslechne, se limitně blíží nule. Každý z nás, kdo se zaměřuje na úzce vymezenou oblast práva, jakou je ochrana osobních údajů, je nutně konfrontován s rozhodnutími soudů, o kterých by klasik možná napsal, že o nich můžeme vést spory, můžeme s nimi nesouhlasit, ale to je tak všechno, co se proti tomu dá dělat. V tomto duchu o nich tedy můžeme mluvit nebo psát a doufat, že snad soudy nakonec konstatují, že nebyly správné od počátku (jak jsem přesvědčená já), nebo je alespoň svou novou rozhodovací činností překonají. Za těch téměř 20 let, co se věnuji ochraně osobních údajů, bylo vydáno takových rozhodnutí několik a, bohužel, průběžně přibývají. Zaměřím se proto jen . . .

Problematika poskytování informací o odměňování zaměstnanců podle InfZ[1] se ve veřejném prostoru řeší v podstatě od přijetí tohoto zákona. Odpovídajícím způsobem však až do současnosti dle mého názoru vyřešena nebyla. Považuji přitom za obtížně přijatelné, že ani v roce 2022 nemáme nastavená jasná a předvídatelná pravidla, podle nichž by povinné subjekty mohly postupovat a být si přitom jisty, že je jejich postup legální a legitimní, a to jak z hlediska žadatelů o informace a jejich práva na svobodný přístup k informacím, tak z hlediska dotčených subjektů údajů a jejich práva na soukromí a ochranu osobních údajů. Judikatura nejvyšších soudů Po vydání tzv. platového nálezu Ústavního soudu[2] a formulaci tzv. platového testu[3] upřesňuje dále pravidla . . .

Poměrně pravidelně se setkáváme s tím, že obecní (městská) policie informuje o své činnosti prostřednictvím facebookového profilu či jiných sociálních sítí. Zveřejňuje části videozáznamů či fotografie z provedených zákroků, aby tím informovala o své činnosti nebo upozorňovala na (ne)žádoucí jevy v dané obci. V souvislosti s tím stále znovu vyvstává otázka, zda se v takovém případě jedná o postup, který podléhá GDPR[1], nebo jde „pouze“ o ochranu osobnostních práv dle pravidel občanského zákoníku. Poznámka na úvod: Tento příspěvek se nevztahuje na informování o činnosti obecní police, které je nedílnou součástí postupů při odhalování přestupků, jejichž projednávání je v působnosti obce.[2] Pro vyhodnocení postupu obecní policie při využívání sociálních sítí z hlediska ochrany osobních údajů je třeba si klást následuj . . .

V závěru roku 2020 se Úřad pro ochranu osobních údajů (ÚOOÚ) vyjádřil ke zpracování osobních údajů v rezervačních systémech veřejných institucí.[1] Toto téma nabývá obzvláštní důležitosti v současné době, kdy se podobné rezervační systémy používají i v souvislosti s onemocněním covid-19 za účelem rezervace na testování nebo očkování. ÚOOÚ shrnul závěry, k nimž dospěl na základě provedené kontroly. Zdůraznil zejména zásadu transparentnosti a minimalizace (viz čl. 5 odst. 1 písm. a) a c) GDPR[2]), nutnost plnění infomační povinnosti (viz čl. 13 GDPR) a dále upozornil na nedostatky poskytovaného souhlasu se zpracováním osobních údajů. S aplikací a hodnocením uvedených zásad lze jistě souhlasit. To však již neplatí pro tvrzení ÚOOÚ, že veřejné instituce „musí umět popsat a odůvodnit, proč si vybraly ke zpracování soukromé dodavatele“. Z kontextu . . .