Z dozorové praxe Úřadu pro ochranu osobních údajů
Úřad pro ochranu osobních údajů vydal tiskové prohlášení ke kauze ekolo.cz. V tomto případě potvrdil Ústavní soud pokutu, kterou ÚOOÚ udělil společnosti ekolo.cz za zveřejnění fotografie zloděje jízdního kola na Facebooku.
Předsedkyně ÚOOÚ, Ivana Janů, v prohlášení uvádí, že je přesvědčena, že v současnosti by k uložení takové pokuty již nedošlo, neboť dle jejího názoru odporuje základním principům spravedlnosti.
Rovněž v důsledku medializace případu a uvádění nepřesných informací v souvislosti s ním zdůrazňuje, že obecně pořizování záznamů není podmíněno souhlasem osob, jež jsou na nich zaznamenány. Může být totiž prováděno z důvodu oprávněného zájmu správce na ochraně osob či majetku, za předpokladu naplnění dalších zákonných podmínek.
10. říjen 2017
Evropská komise informuje podnikatele ohledně GDPR
Vzhledem k tomu, že velké množství podniků se na GDPR zatím nepřipravila a některé z nich dokonce ani nezačaly, Evropská komise vydala přehled, který by měl zejména malé a střední podniky uvést do problematiky GDPR a pomoci jim pochopit jejich nové povinnosti.
29. září 2017
Rakousko přijalo novelu zákona o ochraně osobních údajů
V souvislosti s blížící se účinností GDPR, probíhají přípravy na legislativní úrovni všech členských států. Rakousko je po Německu druhým státem, který přijal novou právní úpravu ochrany osobních údajů, v souladu s GDPR.
Ochrana osobních údajů fyzických osob se přizpůsobila GDPR s využitím některých výjimek. Například věková hranice pro souhlas se zpracováním osobních údajů u dítěte pro použití online služeb byla stanovena na 14 let, dále jsou uvedena specifická pravidla zpracování pro zpravodajské, vědecké, umělecké či literární účely a výjimky pro veřejně prospěšné účely jako archivace, vědecký a historický výzkum a statistika. Řada ustanovení GDPR tak nebude v Rakousku použitelná zejména pro mediální společnosti.
Legislativní kompetence k ochraně osobních údajů zpracovávaných „manuálně“ nadále zůstává v kompetenci jednotlivých spolkových zemí. Zůstala také nedotčena pravidla pro ochranu osobních údajů právnických osob, které rakouské právo rovněž chrání.
29. září 2017
Činnost skupiny WP 29
Pracovní skupina WP 29 připravuje další vodítka k aplikaci GDPR, konkrétně ohledně:
- posouzení vlivu na ochranu osobních údajů, ohledně představovaného rizika (návrh vodítek, který již prošel veřejnou konzultací, má být schválen v říjnu)
- oznamování případů porušení zabezpečení osobních údajů (během podzimu má být předložen k veřejné diskuzi)
- vydávání osvědčení a akreditace (do konce roku má být předložen k veřejné diskuzi)
Skupina WP 29 již v souvislosti s GDPR vydala vodítka k právu na přenositelnost osobních údajů, k osobě pověřence pro ochranu osobních údajů a pro určení vedoucího dozorového úřadu.
29. září 2017
Vzrůstající trend loupeží osobních údajů
V posledních letech se při vloupání do bytů a domů stále častěji objevují mimo krádeže hotovosti, šperků, dokladů nebo klíčků od auta i krádeže dat. Roste počet krádeží notebooků, tabletů nebo smartphonů, ale i externích disků, které často obsahují informace, které může lupič zneužít.
Případy ukradených osobních údajů se nevyhýbají ani ČR. V srpnu 2017 například hackeři zaútočili na internetový obchod Mall.cz a zcizily osobní údaje statisíců zákazníků. Společnost poté z bezpečnostních důvodů resetovala hesla u účtů, které byly založeny v roce 2014 a dříve a následně odeslala zákazníkům e-maily, v nichž vybízela uživatele ke změně hesla.
Tento problém má řešit i GDPR, když stanoví pravidla pro zabezpečení zpracování osobních údajů a pro ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu.
28. srpen 2017
Vládní návrh nového zákona o zpracování osobních údajů míří do připomínkového řízení
Návrh nového zákona, který má nahradit současný zákon o ochraně osobních údajů, uvádí českou úpravu ochrany osobních údajů do souladu s GDPR. Zákon nařízení „neopisuje“, naopak na něj výslovně odkazuje a řeší otázky, kde dává GDPR členským státům prostor pro specifickou úpravu.
Návrh zákona například stanoví věk dítěte pro souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti má být na dolní hranici 13 let. Dále chce návrh omezit výši hrozících pokut pro orgány veřejné moci do 10.000.000,- Kč, na rozdíl od nařízením stanovené hranice 20.000.000,- EUR pro soukromé subjekty.
Rovněž je zakotvena zvláštní podrobnější úprava pro zpracování osobních údajů prováděné pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu a pro zpracování osobních údajů, upravené právním předpisem - tak, že by nebylo nutné provádět posouzení vlivu, nebo byla dána možnost splnit informační povinnost zveřejněním informací na internetu. Navrhuje se rovněž zakotvit výjimky pro omezení některých práv subjektů údajů a výjimky z povinnosti oznámení případu porušení zabezpečení osobních údajů subjektu údajů v zájmu obrany a bezpečnosti, veřejného pořádku a dalších případů veřejného zájmu.
Návrh dále implementuje směrnici o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.
Vládní návrh míří do připomínkového řízení, v němž se očekávají stovky připomínek.
18. srpen 2017
GDPR v Británii
Ve Velké Británii byl zveřejněn věcný záměr nového zákona o ochraně osobních údajů.
Nový zákon má odpovídat GDPR (i přes realitu Brexitu). Klíčovými oblastmi nové úpravy mají být:
- ochrana dětí v online prostředí, kde je záměr stanovit věk pro souhlas se zpracováním osobních údajů na nejnižší hranici, a to 13 let
- umožnění zpracování údajů o kriminálních činech většímu spektru subjektů (v souladu s dosavadním britským systémem)
- automatické rozhodování, kde bude stanovena výjimka pro případy, kdy automatický proces bude přiměřeným prostředkem k dosažení účelu (např. kontrola kreditibility žadatele o úvěr)
- výzkumné instituce, které budou vyňaty z některých povinností podle GDPR (např. právo na přístup k osobním údajům, právo na opravu,…), tak aby povinnosti dle GDPR nenarušovaly jejich činnost.
https://www.gov.uk/government/news/government-to-strengthen-uk-data-protection-law
7. srpen 2017
Případ Nowak - další posun v chápání pojmu osobního údaje?
Na rozhodnutí Soudního dvora EU čeká případ, týkající se práva studenta nahlédnout do záznamu ze své zkoušky z hlediska toho, jestli takový záznam představuje osobní údaj.
Předběžnou otázkou tedy je, zda mohou odpovědi v testu v rámci odborné zkoušky představovat osobní údaje, případně za jakých podmínek. K problému se zatím vyjádřil pouze generální advokát, který ve svém stanovisku navrhuje soudu rozhodnout, že ručně psané odpovědi na zkušební otázky, které lze přiřadit určitému účastníku zkoušky, představují společně s případnými korekturními poznámkami zkoušejících osobní údaje ve smyslu evropského práva.
24. červenec 2017
Implementace GDPR v Evropě
Přestože je GDPR nařízením, které pro svou účinnost nevyžaduje harmonizaci předpisů členských států, jak by bylo nutné v případě směrnice, obsahuje řadu ustanovení, která umožňují specifickou úpravu pro národní státy.
Zatím jedinou evropskou zemí, která takto přizpůsobila své zákonodárství GDPR je Německo. Německo v řadě případů pravidla pro nakládání s osobními údaji oproti GDPR zpřísnilo. Pověřence pro správu osobních údajů tak v Německu musí povinně jmenovat více subjektů, než je vyžadováno GDPR, a pravidla pro zpracování osobních údajů zaměstnanců jsou také přísnější.
I přes realitu Brexitu se GDPR řeší rovněž ve Velké Británii. Nová vláda plánuje přijmout GDPR jako zákon i s ohledem na to, aby přeshraniční zpracovávání osobních údajů fungovalo i po vystoupení Británie z Evropské unie. Cíl nové britské vlády je konečně shodný s GDPR, když v obou případech se klade důraz na zajištění vhodné ochrany osobních údajů pro digitální věk a přiznání větší kontroly nad vlastními daty útp fyzické osoby.
V České republice se i v souvislosti s podzimními volbami implementace GDPR v letošním roce pravděpodobně nestihne.
10. červenec 2017
Stanovisko ke zpracovávání osobních údajů v souvislosti se zaměstnáním
Pracovní skupina WP 29 vydala nové stanovisko ke zpracovávání osobních údajů v souvislosti se zaměstnáním. Tím aktualizovala své předchozí stanovisko z roku 2001, zejména co se týče novějších technologií.
Problematika je řešena i ve světle GDPR, když se zdůrazňuje zásada výběru opatření, které nejméně narušuje soukromí zaměstnance, a minimalizace shromažďovaných dat. Nicméně právě ochrana osobních údajů zaměstnanců je jednou z oblastí, kde dává GDPR možnost členským státům danou problematiku dále upravovat a konkretizovat.
Stanovisko řeší zpracování osobních údajů zaměstnanců již ve fázi výběru zaměstnanců, když mimo jiné uvádí požadavky pro sledování uchazečů o zaměstnání na sociálních sítích. Dále se zabývá možnostmi monitorování zaměstnanců na pracovišti i mimo něj jako například při práci z domova, včetně monitoringu kamerovým systémem či sledování využití služebních vozidel.
Stanovisko nastavuje pravidla pro oprávněné zpracování osobních údajů zaměstnanců, přičemž klade důraz na proporcionalitu opatření a vůbec minimalizaci zpracovávaných údajů vedle požadavku transparentnosti, spočívajícím zejména v povinnosti informovat zaměstnance o nakládání s jejich údaji.
1. červenec 2017
