nav_gdpr-news

Obrovský únik dat uživatelů služby UBER

V minulých dnech vyšel najevo obrovský únik osobních údajů uživatelů služby UBER z roku 2016, týkající se dat asi 57 milionů osob. 

Společnost únik osobních údajů utajila, nenahlásila jej příslušným autoritám a zaplatila hackerům astronomické výkupné.

Aby se takový případ neopakoval, GDPR zavádí povinnost informovat dozorový úřad o úniku osobních údajů, a to promptně – do 72 hodin od zjištění úniku dat, a vedle toho v určitých případech rovněž povinnost informovat o takovém úniku osoby, jejichž údaje jsou zpracovávány.  

Podrobněji k povinnosti oznamovat porušení zabezpečení osobních údajů: vodítka WP 29, která jsou zatím určena k veřejné diskuzi. 

23. listopad 2017

Vodítka WP 29 k ukládání pokut dle GDPR

Úřad pro ochranu osobních údajů se vyjádřil k nejčastěji skloňované otázce v souvislosti s GDPR – k ukládání pokut. 

Upozorňuje tak na zavádějící informace objevující se v médiích, zejména na ty, že by snad český Úřad měl být při ukládání sankcí shovívavější než ostatní evropské dozorové úřady. Odkazuje pak na nová vodítka skupiny WP 29 ke správnímu pokutování.

V nich se zdůrazňuje, že ukládané sankce by měly odpovídat prohřešku a zároveň být účinné, přiměřené a odrazující. Každý jednotlivý případ porušení nařízení GDPR se bude posuzovat individuálně podle kritérií v článku 83 odst. 2 GDPR. Mezi tato kritéria patří závažnost porušení, povaha zasažených osobních údajů, úmysl či nedbalost při způsobení porušení, zavedená technická a organizační opatření pro ochranu osobních údajů, následné jednání správce i jeho spolupráce s Úřadem. 

8. listopad 2017

Vodítka WP 29 k posouzení vlivu na ochranu osobních údajů

Skupina WP 29 schválila další vodítka k GDPR a nově je tak stanoven podrobnější postup a doporučení k praktickému provádění článků GDPR týkajících se posouzení vlivu na ochranu osobních údajů

WP 29 v rámci těchto vodítek rozlišuje situace, kdy by měla nebo naopak neměla být dána povinnost provádět posouzení vlivu na ochranu osobních údajů, včetně praktických příkladů. Rozhodujícím kritériem je pak riziko, hrozící právům a svobodám subjektů – fyzických osob, jejichž osobní údaje jsou zpracovávány.

Dále se WP 29 věnuje postupu, jak by mělo posouzení vlivu na ochranu osobních údajů vypadat od hodnocení jeho zahájení až po možnosti a povinnosti zveřejnění jeho výsledků. Za pozornost stojí zejména požadavky na metodologii provádění posouzení vlivu, opět uváděné na četných příkladech. 

• Vodítka v anglickém jazyce 

26. říjen 2017

Výroční hodnocení systému Privacy Shield

Již déle než rok se pro přenos osobních údajů z Evropské unie do USA uplatňuje systém Privacy Shield.

Ten byl výsledkem jednání následujících po rozhodnutí Evropského soudního dvora o zrušení rozhodnutí Komise o tzv. Safe Harbor, na základě něhož byly USA z pohledu EU považovány za zemi, v níž je zajištěna adekvátní ochrana osobních údajů, a bylo tak umožněno předávání osobních údajů evropských občanů do USA. 

• K rozhodnutí ve věci Schrems 

Po roce fungování Privacy Shield vydala Komise EU první, v zásadě pozitivní hodnocení ohledně úrovně ochrany osobních údajů v USA. Navrhuje ale zároveň řadu obecných doporučení, zejména za účelem zvýšit povědomí o Privacy Shield a zlepšit spolupráci mezi entitami, jež se systému účastní.

V dohledné době se má ke stávajícímu systému Privacy Shield vyjádřit i skupina WP 29.

• Více o systému Privacy Shield 

23. říjen 2017

Z dozorové praxe Úřadu pro ochranu osobních údajů

Úřad pro ochranu osobních údajů vydal tiskové prohlášení ke kauze ekolo.cz. V tomto případě potvrdil Ústavní soud pokutu, kterou ÚOOÚ udělil společnosti ekolo.cz za zveřejnění fotografie zloděje jízdního kola na Facebooku. 

• Nález ústavního soudu

Předsedkyně ÚOOÚ, Ivana Janů, v prohlášení uvádí, že je přesvědčena, že v současnosti by k uložení takové pokuty již nedošlo, neboť dle jejího názoru odporuje základním principům spravedlnosti.

Rovněž v důsledku medializace případu a uvádění nepřesných informací v souvislosti s ním zdůrazňuje, že obecně pořizování záznamů není podmíněno souhlasem osob, jež jsou na nich zaznamenány. Může být totiž prováděno z důvodu oprávněného zájmu správce na ochraně osob či majetku, za předpokladu naplnění dalších zákonných podmínek. 

• Tiskové prohlášení ÚOOÚ

10. říjen 2017

Evropská komise informuje podnikatele ohledně GDPR

Vzhledem k tomu, že velké množství podniků se na GDPR zatím nepřipravila a některé z nich dokonce ani nezačaly, Evropská komise vydala přehled, který by měl zejména malé a střední podniky uvést do problematiky GDPR a pomoci jim pochopit jejich nové povinnosti.

• Přehled vytvořený Evropskou komisí

29. září 2017

Rakousko přijalo novelu zákona o ochraně osobních údajů

V souvislosti s blížící se účinností GDPR, probíhají přípravy na legislativní úrovni všech členských států. Rakousko je po Německu druhým státem, který přijal novou právní úpravu ochrany osobních údajů, v souladu s GDPR.

Ochrana osobních údajů fyzických osob se přizpůsobila GDPR s využitím některých výjimek. Například věková hranice pro souhlas se zpracováním osobních údajů u dítěte pro použití online služeb byla stanovena na 14 let, dále jsou uvedena specifická pravidla zpracování pro zpravodajské, vědecké, umělecké či literární účely a výjimky pro veřejně prospěšné účely jako archivace, vědecký a historický výzkum a statistika. Řada ustanovení GDPR tak nebude v Rakousku použitelná zejména pro mediální společnosti.

Legislativní kompetence k ochraně osobních údajů zpracovávaných „manuálně“ nadále zůstává v kompetenci jednotlivých spolkových zemí. Zůstala také nedotčena pravidla pro ochranu osobních údajů právnických osob, které rakouské právo rovněž chrání.

• Znění novely rakouského zákona o ochraně osobních údajů v němčině

29. září 2017

Činnost skupiny WP 29

Pracovní skupina WP 29 připravuje další vodítka k aplikaci GDPR, konkrétně ohledně:

• posouzení vlivu na ochranu osobních údajů, ohledně představovaného rizika (návrh vodítek, který již prošel veřejnou konzultací, má být schválen v říjnu) 
• oznamování případů porušení zabezpečení osobních údajů (během podzimu má být předložen k veřejné diskuzi)
• vydávání osvědčení a akreditace (do konce roku má být předložen k veřejné diskuzi)

Skupina WP 29 již v souvislosti s GDPR vydala vodítka k právu na přenositelnost osobních údajů, k osobě pověřence pro ochranu osobních údajů a pro určení vedoucího dozorového úřadu. 

• Vodítka v českém i anglickém jazyce

29. září 2017

Vzrůstající trend loupeží osobních údajů

V posledních letech se při vloupání do bytů a domů stále častěji objevují mimo krádeže hotovosti, šperků, dokladů nebo klíčků od auta i krádeže dat. Roste počet krádeží notebooků, tabletů nebo smartphonů, ale i externích disků, které často obsahují informace, které může lupič zneužít.

Případy ukradených osobních údajů se nevyhýbají ani ČR. V srpnu 2017 například hackeři zaútočili na internetový obchod Mall.cz a zcizily osobní údaje statisíců zákazníků. Společnost poté z bezpečnostních důvodů resetovala hesla u účtů, které byly založeny v roce 2014 a dříve a následně odeslala zákazníkům e-maily, v nichž vybízela uživatele ke změně hesla.

Tento problém má řešit i GDPR, když stanoví pravidla pro zabezpečení zpracování osobních údajů a pro ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu. 

28. srpen 2017

Vládní návrh nového zákona o zpracování osobních údajů míří do připomínkového řízení

Návrh nového zákona, který má nahradit současný zákon o ochraně osobních údajů, uvádí českou úpravu ochrany osobních údajů do souladu s GDPR. Zákon nařízení „neopisuje“, naopak na něj výslovně odkazuje a řeší otázky, kde dává GDPR členským státům prostor pro specifickou úpravu.

Návrh zákona například stanoví věk dítěte pro souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti má být na dolní hranici 13 let. Dále chce návrh omezit výši hrozících pokut pro orgány veřejné moci do 10.000.000,- Kč, na rozdíl od nařízením stanovené hranice 20.000.000,- EUR pro soukromé subjekty.

Rovněž je zakotvena zvláštní podrobnější úprava pro zpracování osobních údajů prováděné pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu a pro zpracování osobních údajů, upravené právním předpisem - tak, že by nebylo nutné provádět posouzení vlivu, nebo byla dána možnost splnit informační povinnost zveřejněním informací na internetu. Navrhuje se rovněž zakotvit výjimky pro omezení některých práv subjektů údajů a výjimky z povinnosti oznámení případu porušení zabezpečení osobních údajů subjektu údajů v zájmu obrany a bezpečnosti, veřejného pořádku a dalších případů veřejného zájmu.

Návrh dále implementuje směrnici o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

Vládní návrh míří do připomínkového řízení, v němž se očekávají stovky připomínek. 

• ​Znění vládního návrhu

18. srpen 2017