Doporučení Úřadu pro ochranu osobních údajů ke kamerovým systémům umístěným ve školách a školských zařízeních

28. 9. 2024

Úřad pro ochranu osobních údajů (ÚOOÚ) vydal doporučení ke kamerovým systémům umístěným ve školách a školských zařízeních (dále jen „školách“) a na konci června je předložil k veřejné konzultaci[1]. Z tohoto dokumentu jsme vybrali to nejdůležitější, co byste měli vědět. K charakteru dokumentu Z materiálu bylo zřejmé, že budou následovat další doporučení ke kamerovým systémům (vždy k typově shodným), což se nedlouho poté i potvrdilo[2]. Vydávání doporučení je přitom poměrně významný posun v činnosti ÚOOÚ po účinnosti GDPR[3]. GDPR totiž z principu dozorovým úřadům znesnadňuje jejich činnost, která směřuje k výkladu problematiky GDPR mimo standardní procesní mechanismy (jako jsou kontrolní nebo správní řízení). Vzhledem k nutnosti mezinárodního konsenzu ohledně řady otázek je vydání stanoviska, metodiky nebo obdobného typu dokumentu, jako je třeba doporučení, mnohem riskantnější, než tomu bylo dříve. ÚOOÚ si totiž nikdy nemůže být jistý, že jeho právní posouzení uspěje v porovnání s právním pohledem ostatních dozorových úřadů. Vystavuje tak sebe (ale i správce a zpracovatele pohybující se na společném trhu) určitému riziku, pokud by se následně ukázalo, že jeho doporučení neodpovídá převažujícímu právnímu názoru evropských úřadů. Současně vždy platí, že typy dokumentů, jako jsou doporučení, trpí určitou míru obecnosti a zkratkovitosti, která čtenáře vede k rozčílení, pro které lze modifikovat klasické rčení, že […]

Přečetli jsme za vás Výroční zprávu Úřadu pro ochranu osobních údajů

27. 6. 2024

Time is precious. Waste it wisely. (K. Bromberg) Čas je drahá komodita. Ušetřila jsem ten váš, přečetla Výroční zprávu Úřadu pro ochranu osobních údajů (ÚOOÚ) za rok 2023[1] a vybrala z ní informace, které považuji za nejdůležitější pro profesionála v oblasti ochrany osobních údajů. Jednotlivá témata jsou rozdělena podle toho, zda se vztahují především ke zpracování v soukromém či ve veřejném sektoru nebo se uplatní plošně. Soukromý i veřejný sektor Od změny relevantní právní úpravy[3] se ÚOOÚ poměrně intenzivně věnuje problematice cookies. Pro podrobnosti doporučuji kromě výroční zprávy též webové stránky ÚOOÚ[4]. ÚOOÚ shrnuje nejčastější pochybení v souvislosti s cookies: nahrávání cookies souborů do koncových zařízení uživatelů internetových stránek, a to bez jejich souhlasu ve smyslu § 89 odst. 3 zákona o elektronických komunikacích; nedostatky souhlasu se zpracováním osobních údajů; nedostatečné plnění informační povinnosti; nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies; umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpracováním osobních údajů prostřednictvím cookies souborů do různých vrstev v rámci cookie lišty. Zdaleka ne poprvé ÚOOÚ upozorňuje na důležitost práv subjektů údajů stanovených v GDPR[6] a zejména zdůrazňuje nutnost na žádosti subjektů údajů řádně reagovat. Důvodem chybných postupů správců je dle ÚOOÚ často nesprávné vyhodnocení podání, která jsou správcům doručována. Další upozornění pro […]

„To já ne, to… zpracovatel!“ aneb Odpovědnost za zpracování a možnost zprostit se jí

27. 3. 2024

Poznámka: Obsahem tohoto článku není situace, kterou GDPR výslovně předpokládá, ve které zpracovatel překročí své zmocnění a začne zpracovávat osobní údaje jako správce (viz čl. 28 odst. 10 GDPR). V následujícím textu se mnohokrát objeví slovo odpovědnost. Jeho význam však nebude pokaždé shodný. Považuji proto za nezbytné začít následujícím rozlišením. Zásada odpovědnosti vs. (právní) odpovědnost  Jednak tu máme zásadu (či princip) odpovědnosti obsaženou v čl. 5 odst. 2 GDPR[1]. Tento typ odpovědnosti se uplatní výhradně vůči správci a skládá se ze dvou základních prvků: odpovědnost za dodržování zásad, povinnost doložit soulad s těmito zásadami. Od zásady odpovědnosti musíme odlišit obecnou (právní) odpovědnost. Jde o sekundární povinnost, která vzniká ve chv . . .

Zpracování osobních údajů z veřejných rejstříků a povinnosti správce

28. 10. 2023

Pokud se jiný subjekt rozhodne zpracovávat osobní údaje obsažené ve veřejných rejstřících, musí nejprve určit účel a prostředky zpracování. Toto rozhodnutí z něj učiní správce. Co vše zahrnuje pojem veřejný rejstřík a jaké povinnosti má správce při dalším zpracování osobních údajů v takovém rejstříku obsažených? Co je veřejný rejstřík? V užším smyslu, ve kterém budu pojem dále užívat, jsou veřejnými rejstříky ty, které jsou úplným výčtem vyjmenovány v zákoně č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob a o evidenci svěřenských fondů (dále jen „ZVR“), tj.: spolkový rejstřík, nadační rejstřík, rejstřík ústavů, rejstřík společenství vlastníků jednotek, obchodní rejstřík a rejstřík obecně prospěšných společností. Jde o informační systémy veřejné správy, do kterých se zapisují zákonem stanovené údaje o právnických a fyzických osobách. Obecně platí, že údaje o zapsané osobě a listiny uložené ve sbírce listin zveřejňuje rejstříkový soud způsobem umožňujícím dálkový přístup. Z hlediska možného dalšího zpracování údajů ve veřejných rejstřících je však třeba zdůraznit, že některé údaje se neuveřejňují a některé údaje lze na žádost zapsané osoby znepřístupnit.[1] Speciální úpravu stanoví ZVR u rodných čísel Pokud se do veřejného rejstříku zapisuje rodné číslo, neuvádí se v opisu z veřejného rejstříku ani se neuveřejňuje. Je-li rodné číslo uvedeno v listinách zakládaných do sbírky listin, uveřejňují se tyto listiny postupem […]

„Výběr z hrozných“

28. 1. 2023

Autorka tímto názvem skládá úctu tvůrcům svého oblíbeného pořadu, a to při vědomí skutečnosti, že pravděpodobnost, že se někdo z nich o tomto příspěvku byť jen doslechne, se limitně blíží nule. Každý z nás, kdo se zaměřuje na úzce vymezenou oblast práva, jakou je ochrana osobních údajů, je nutně konfrontován s rozhodnutími soudů, o kterých by klasik možná napsal, že o nich můžeme vést spory, můžeme s nimi nesouhlasit, ale to je tak všechno, co se proti tomu dá dělat. V tomto duchu o nich tedy můžeme mluvit nebo psát a doufat, že snad soudy nakonec konstatují, že nebyly správné od počátku (jak jsem přesvědčená já), nebo je alespoň svou novou rozhodovací činností překonají. Za těch téměř 20 let, co se věnuji ochraně osobních údajů, bylo vydáno takových rozhodnutí několik a, bohužel, průběžně přibývají. Zaměřím se proto jen . . .

Poskytování informací o odměňování zaměstnanců veřejného sektoru

28. 5. 2022

Problematika poskytování informací o odměňování zaměstnanců podle InfZ[1] se ve veřejném prostoru řeší v podstatě od přijetí tohoto zákona. Odpovídajícím způsobem však až do současnosti dle mého názoru vyřešena nebyla. Považuji přitom za obtížně přijatelné, že ani v roce 2022 nemáme nastavená jasná a předvídatelná pravidla, podle nichž by povinné subjekty mohly postupovat a být si přitom jisty, že je jejich postup legální a legitimní, a to jak z hlediska žadatelů o informace a jejich práva na svobodný přístup k informacím, tak z hlediska dotčených subjektů údajů a jejich práva na soukromí a ochranu osobních údajů. Judikatura nejvyšších soudů Po vydání tzv. platového nálezu Ústavního soudu[2] a formulaci tzv. platového testu[3] upřesňuje dále pravidla . . .

Jak postupovat při informování o činnosti obecní police na sociálních sítích

29. 8. 2021

Poměrně pravidelně se setkáváme s tím, že obecní (městská) policie informuje o své činnosti prostřednictvím facebookového profilu či jiných sociálních sítí. Zveřejňuje části videozáznamů či fotografie z provedených zákroků, aby tím informovala o své činnosti nebo upozorňovala na (ne)žádoucí jevy v dané obci. V souvislosti s tím stále znovu vyvstává otázka, zda se v takovém případě jedná o postup, který podléhá GDPR[1], nebo jde „pouze“ o ochranu osobnostních práv dle pravidel občanského zákoníku. Poznámka na úvod: Tento příspěvek se nevztahuje na informování o činnosti obecní police, které je nedílnou součástí postupů při odhalování přestupků, jejichž projednávání je v působnosti obce.[2] Pro vyhodnocení postupu obecní policie při využívání sociálních sítí z hlediska ochrany osobních údajů je třeba si klást následuj . . .

Na co musí veřejné instituce myslet při využívání rezervačních systémů

27. 5. 2021

V závěru roku 2020 se Úřad pro ochranu osobních údajů (ÚOOÚ) vyjádřil ke zpracování osobních údajů v rezervačních systémech veřejných institucí.[1] Toto téma nabývá obzvláštní důležitosti v současné době, kdy se podobné rezervační systémy používají i v souvislosti s onemocněním covid-19 za účelem rezervace na testování nebo očkování. ÚOOÚ shrnul závěry, k nimž dospěl na základě provedené kontroly. Zdůraznil zejména zásadu transparentnosti a minimalizace (viz čl. 5 odst. 1 písm. a) a c) GDPR[2]), nutnost plnění infomační povinnosti (viz čl. 13 GDPR) a dále upozornil na nedostatky poskytovaného souhlasu se zpracováním osobních údajů. S aplikací a hodnocením uvedených zásad lze jistě souhlasit. To však již neplatí pro tvrzení ÚOOÚ, že veřejné instituce „musí umět popsat a odůvodnit, proč si vybraly ke zpracování soukromé dodavatele“. Z kontextu . . .

Při využívání otisků prstů pro vstup do mateřinek je nutné myslet především na ochranu osobních údajů

13. 1. 2021

Po několika bezpečnostních problémech v mateřských školách začali zřizovatelé hromadně nakupovat pro vstup do zařízení systémy založené na otiscích prstů. Tyto systémy byly propagovány jako jednoduché řešení bezpečnosti ve školách, aniž by zřizovatelé nebo ředitelé škol hned od počátku řešili související oblast ochrany osobních údajů. V posledních letech se výrazně rozšiřuje technická i finanční dostupnost technologických řešení využívajících biometrické údaje osob, zejména otisky prstů. Takové systémy jsou využívány nejrůznějšími subjekty, včetně mateřských škol, ve kterých mají sloužit pro přístup rodičů (resp. obecně osob, které děti vyzvedávají) a zaměstnanců do prostor školky. Že se nejedná o věc zcela novou, dokládá i kontrolní činnost Úřadu pro ochranu osobních údajů (ÚOOÚ)[1].