Slovensko vyhlásilo Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Slovensko vyhlásilo dne 30. 1. 2018 ve Zbierke zákonov Slovenskej republiky Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
19. únor 2018
„DPIA“ – posouzení vlivu na ochranu osobních údajů
Úřad pro ochranu osobních údajů připravil návrh pokynů pro provádění DPIA – tedy povinnosti provést předběžné posouzení vlivu zamýšleného zpracování osobních údajů na ochranu osobních údajů, pokud takové zpracování představuje vysoké riziko pro práva a svobody fyzických osob.
ÚOOÚ připravil podrobná kritéria, podle nichž lze jednoduše posoudit, zda zpracování představuje takové riziko. Mezi tato kritéria patří mimo jiné povaha osobních údajů, rozsah jejich zpracování i povaha správce a systémy zpracování. Součástí pokynů jsou i konkrétní příklady, kdy pro zpracování osobních údajů nebude nutné provádět DPIA, jako např. pro vedení účetnictví, provoz soukromé lékařské ordinace nebo pro používání kamery na osobním vozidle.
10. únor 2018
Přípravy českého zákona o zpracování osobních údajů
Ministerstvo vnitra zveřejnilo dokument, ve kterém se vypořádává se stovkami připomínek k návrhu zákona o zpracování osobních údajů, který má od května vedle GDPR být základním předpisem pro ochranu osobních údajů v České republice.
Některé z připomínek byly akceptovány a zapracovány do návrhu, který po projednání vládou zamíří do poslanecké sněmovny.
Stávající podoba návrhu zákona je dostupná zde: https://apps.odok.cz/veklep-detail?pid=KORNAQCDZPW5
25. leden 2018
S blížící se účinností GDPR sílí trend ochrany osobních údajů
Internetový gigant Google neuspěl s odvoláním u německých soudů proti nařízení hamburského úřadu pro ochranu osobních údajů. Podle něj je stávající ochrana osobních údajů nedostačující a Google ji musí posílit, zejména pokud jde o získávání souhlasů uživatelů.
Problémům se nevyhne ani Facebook, s nímž vede řízení německý antimonopolní úřad – z podezření na zneužívání dominantního postavení také sběrem a zpracováním osobních údajů od třetích stran.
Ve prospěch ochrany osobních údajů zasáhl rovněž český Ústavní soud, a to ve svém nálezu, týkajícím se zákona o elektronické evidenci tržeb. Ten vedle dalších ustanovení zrušil tu část zákona o EET, která stanoví povinnost uvádět na účtenkách „DIČ“. V případě podnikatelů – fyzických osob tvoří totiž základ „DIČ“ rodné číslo a právě takové uvádění rodného čísla má Ústavní soud za nepřiměřené. S tímto názorem vyslovil souhlas i Úřad pro ochranu osobních údajů.
15. leden 2018
S přípravami na GDPR pomohou i české úřady
I v České republice, byť zatím ne na úrovni zákona, probíhají přípravy na GDPR.
Státní ústav pro kontrolu léčiv se vyjádřil k tomu, jak postupovat při získávání souhlasu se zpracováním osobních údajů v klinických hodnoceních.
Metodiku pro zpracování osobních údajů podle GDPR v oblasti zdravotnictví pak připravilo Ministerstvo zdravotnictví. To se již dříve nechalo slyšet, že pro správce, kteří dodržovali stávající předpisy, nebudou změny nijak citelné.
Ministerstvo vnitra na svých webových stránkách zřídilo novou sekci, věnující se GDPR. Zde informuje o aktualitách a probíhajících aktivitách, jako jsou připravované vzorové systémové analýzy ve vztahu ke krajům a obcím.
8. leden 2018
WP 29 připravila další vodítka k GDPR
Skupina WP 29 připravila návrhy nových pokynů, které se týkají souhlasu se zpracováním osobních údajů a principu transparentnosti ve zpracování osobních údajů.
Návrh pokynů o transparentnosti se týká především informační povinnosti a uvádí přímo použitelné, nebo naopak nepoužitelné textace, a také způsoby, jak je vhodné subjekty informovat (jako dobrá praxe jsou např. uváděny formuláře, které subjekty snadno vyplní a podají).
Návrh pokynů týkajících se souhlasu se zpracováním osobních údajů konkretizuje podmínky pro udělení souhlasu tak, aby byl vždy svobodný, konkrétní, informovaný a jednoznačný.
14. prosinec 2017
Implementace GDPR v obcích a na školách
Ministerstvo vnitra připravilo metodickou pomůcku pro obce s doporučeným postupem pro implementaci GDPR. Ta se vztahuje zejména k osobě a funkci pověřence pro ochranu osobních údajů, kterého budou obce povinny jmenovat.
Podrobný metodický postup pro implementaci GDPR, tentokrát pro školská zařízení, vypracovalo také ministerstvo školství, a to včetně konkrétních příkladů a vzorů.
Jak informovalo ministerstvo zdravotnictví, v dohledné době by měl být obdobný metodický materiál pro implementaci GDPR k dispozici i zdravotnickým zařízením.
7. prosinec 2017
Slovensko přijalo nový zákon o ochraně osobních údajů
Na Slovensku byl přijat nový zákon, který přizpůsobuje systém ochrany osobních údajů požadavkům nařízení GDPR. Zákon přejímá dikci GDPR a v obdobném rozsahu upravuje práva i povinnosti správců, zpracovatelů i subjektů údajů.
Důležitou výjimkou je zakotvení možnosti udělení samostatného souhlasu se zpracováním osobních údajů dítěte v on-line prostředí až od 16 let – mladší děti budou potřebovat souhlas rodičů. Slovensko tak jde opačnou cestou než např. Německo či Rakousko, kde bude dítě moci udělit samostatný souhlas se zpracováním osobních údajů už od 13 let.
V českém prostředí bylo již skončeno připomínkové řízení k vládnímu návrhu nového zákona o zpracování osobních údajů a po ustanovení nové vlády by návrh měl zamířit do parlamentu.
30. listopad 2017
Obrovský únik dat uživatelů služby UBER
V minulých dnech vyšel najevo obrovský únik osobních údajů uživatelů služby UBER z roku 2016, týkající se dat asi 57 milionů osob.
Společnost únik osobních údajů utajila, nenahlásila jej příslušným autoritám a zaplatila hackerům astronomické výkupné.
Aby se takový případ neopakoval, GDPR zavádí povinnost informovat dozorový úřad o úniku osobních údajů, a to promptně – do 72 hodin od zjištění úniku dat, a vedle toho v určitých případech rovněž povinnost informovat o takovém úniku osoby, jejichž údaje jsou zpracovávány.
Podrobněji k povinnosti oznamovat porušení zabezpečení osobních údajů: vodítka WP 29, která jsou zatím určena k veřejné diskuzi.
23. listopad 2017
Vodítka WP 29 k ukládání pokut dle GDPR
Úřad pro ochranu osobních údajů se vyjádřil k nejčastěji skloňované otázce v souvislosti s GDPR – k ukládání pokut.
Upozorňuje tak na zavádějící informace objevující se v médiích, zejména na ty, že by snad český Úřad měl být při ukládání sankcí shovívavější než ostatní evropské dozorové úřady. Odkazuje pak na nová vodítka skupiny WP 29 ke správnímu pokutování.
V nich se zdůrazňuje, že ukládané sankce by měly odpovídat prohřešku a zároveň být účinné, přiměřené a odrazující. Každý jednotlivý případ porušení nařízení GDPR se bude posuzovat individuálně podle kritérií v článku 83 odst. 2 GDPR. Mezi tato kritéria patří závažnost porušení, povaha zasažených osobních údajů, úmysl či nedbalost při způsobení porušení, zavedená technická a organizační opatření pro ochranu osobních údajů, následné jednání správce i jeho spolupráce s Úřadem.
8. listopad 2017
