Revize / zpracování dokumentace ke kamerovým systémům dle Metodiky ÚOOÚ
- V návaznosti na často vznášené dotazy na naši společnost plnící roli Pověřence pro ochranu osobních údajů pro subjekty veřejného i soukromého sektoru doporučujeme všem subjektům, kteří provozují kamerový systém, provést revizi systému ochrany osobních údajů a související dokumentace k provozovanému kamerovému systému.
- Pokud provozovaná kamera zachycuje fyzické osoby způsobem umožňující je identifikovat / rozeznat, tj. postava v záběru zabírá více jak 25 % výšky obrazu, musí mít subjekt pro provozovanou kameru zpracovanou příslušnou dokumentaci včetně balančního textu (analýza nezbytnosti instalace a provozu kamery, klasifikace kamery podle míry porušení práv a zájmů subjektů údajů, zdůvodnění doby uchování kamerového záznamu atd.) dle obecné metodiky ke kamerovým systémům vydané Úřadem pro ochranu osobních údajů – Metodika k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, příp. dle doporučení ÚOOÚ ke kamerovým systémům zohledňující specializované / oborové zpracování osobních údajů kamerovými systémy (např. ve školství, při použití bezpilotních letadel apod.).
- Společnost Equica, a.s. Vám nabízí své poradenské služby při revizi a aktualizaci / zpracování povinné dokumentace provozovaného kamerového systému dle Metodiky ÚOOÚ ke kamerovým systémům, tj. aktualizaci či zpracování následujících dokumentů:
- Záznam o činnostech zpracování podle článku 30 Nařízení GDPR.
- Balanční test – analýza nezbytnosti nasazení kamerového systému.
- Analýza povinnosti zpracovat posouzení vlivu na ochranu osobních údajů (DPIA) pro kamerový systém (příp. povinnost zpracovat DPIA pro provozovaný kamerový systém bude stanovena na základě provedené analýzy).
- Směrnice k provozování kamerového systému.
- Doklady o udělení souhlasu subjektu údajů (v případě, že právním základem zpracování je souhlas subjektu údajů).
- Zajištění informovanosti subjektů údajů a zajištění plnění práv subjektů údajů.
- Dokumentace k porušení zabezpečení osobních údajů.
- Kontrola smluvní dokumentace ke kamerovému systému včetně zpracovatelské smlouvy.
- Kontrola projektové dokumentace kamerového systému (dokumentace dodaná dodavatelem kamerového systému).
Zpracování osobních údajů prostřednictvím kamer umístěných na bezpilotních letadlech
- V oblasti používání kamerových systémů Úřad pro ochranu osobních údajů specifikoval postup správců a zpracovatelů osobních údajů pro kamerové systémy umístěné na bezpilotních letadlech (dronech) – viz Doporučení ÚOOÚ č. 01/2024 ke zpracování osobních údajů prostřednictvím záznamu z kamer, kterými jsou vybavena bezpilotní letadla z 8. července 2024.
- Ochranu osobních údajů v případě provozu bezpilotních letadlech je nezbytné řešit v případě, že bezpilotní letadlo obsahuje technické zařízení umožňující buď online přenos záběrů oblastí přes které přelétává, nebo umožňuje pořizování záznamu oblastí přes které přelétává. Pokud se totiž na pořízeném záběru vyskytují identifikovatelné fyzické osoby, a to včetně ryze soukromého prostředí, ve kterém se tyto osoby pohybují, nebo které obývají (zahrady, byty apod.), může docházet ke zpracování osobních údajů ve smyslu Nařízení GDPR.
- Za porušení GDPR při provozu bezpilotních letadel hrozí výrazně vyšší pokuty než za porušení sektorového zákona č. 49/1997 Sb., o civilním letectví.
Zasílání elektronické výplatní pásky z pohledu GDPR
- Problematiku poskytnutí výplatní pásky zaměstnanci stanovuje zákon č. 262/2006 Sb., zákoník práce. Dle § 142 odst. 5 zákoník práce definuje, že zaměstnavatel je povinen zaměstnanci vydat písemný doklad, nicméně otázku samotného doručování ponechává již nezodpovězenou, respektive na obecné úpravě.
- Z pohledu ochrany osobních údajů je zasílání výplatní pásky na pracovní e-mail zaměstnance v pořádku, pokud jsou zaměstnavatelem a zaměstnancem dodržena základní pravidla při definování právního základu této životní situace. Jedná se zejména o pravidlo šifrování výplatní pásky heslem, které zná daný zaměstnanec a mzdová účetní. Cílem šifrování výplatní pásky je ochrana uváděných osobních údajů, tj. v případě, že se elektronická výplatní páska ocitne mimo přístup adresáta, nesmí být jednoduše čitelná.
- Pokud je elektronická výplatní páska přístupná jen po zadání hesla, nepředstavuje archivace a přístup do e-mailové schránky zaměstnance automaticky zásah do jeho práv, i když e-mailová schránka obsahuje zašifrované výplatní pásky.
Problematika biometrických údajů zpracovávaných v rámci docházky
- V rámci konzultační činnosti za uplynulý rok se Úřad pro ochranu osobních údajů zabýval i problematikou biometrických údajů zpracovávaných v rámci docházky.
- Biometrické údaje, včetně otisků prstů, jsou podle čl. 9 odst. 1 Nařízení GDPR považovány za zvláštní kategorie osobních údajů, přičemž platí, že jejich zpracování je obecně zakázáno, pokud nejsou splněny výjimky uvedené v čl. 9 odst. 2 Nařízení GDPR.
- ÚOOÚ se dle vydaného vyjádření přiklání k nevyužívání otisků prstů v docházkovém systému: „Jelikož právním řádem České republiky není zpracování otisků prstů prostřednictvím docházkového systému za uvedeným účelem povoleno, nelze v České republice podle ustanovení článku 9 odst. 2 písm. b) obecného nařízení zpravidla tyto údaje zpracovávat. Ani hygienické ohledy (kontaminované klíče, karty) nejsou dostatečným důvodem pro zavedení ověřování za pomoci otisků prstů, které mj. může znamenat obdobné riziko kontaminace.“
- K možnosti využití souhlasu zaměstnance k zpracování otisků prstů v rámci docházkového systému ÚOOÚ vydal následující vyjádření: „Udělení výslovného souhlasu podle ustanovení článku 9 odst. 2 písm. a) obecného nařízení se zpracováním biometrických údajů v tomto případě s ohledem na přísné podmínky stanovené především článkem 4 bod 11 a článkem 7 citovaného nařízení není vhodné. V praxi je z pohledu správce především obtížně naplnitelná podmínka svobodného projevu vůle subjektu údajů, jelikož se v rámci uvedené problematiky v drtivé většině případů jedná o zaměstnance, kteří jsou ve vztahu vůči zaměstnavateli obecně považováni za slabší stranu. Rovněž je vzhledem k účelu docházkového systému problematická realizace práva subjektu údajů udělený souhlas kdykoliv odvolat tak snadno, jako byl udělen.“
Byla spuštěna pilotní verze veřejné části Portálu NÚKIB
- Připravovaný nový zákon o kybernetické bezpečnosti by měl nabýt účinnosti 1. ledna 2025. Návrh tohoto zákona, který v polovině července 2024 projednala a schválila vláda České republiky, je již zveřejněn v elektronické knihovně legislativního procesu (eKlep).
- V rámci příprav na novou legislativu o kybernetické bezpečnosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) začátkem srpna 2024 spustil pilotní verzi veřejné části Portálu NÚKIB, který bude dle připravované právní úpravy sloužit jako hlavní komunikační kanál mezi NÚKIB a povinnými subjekty. Do nabytí účinnosti nového zákona o kybernetické bezpečnosti je neveřejná část Portálu NÚKIB i nadále pro aktuálně povinné subjekty dobrovolná.
- Od ledna 2025 budou povinné subjekty prostřednictvím Portálu NÚKIB plnit zákonné požadavky a také spolupracovat, sdílet informace a posilovat tak bezpečnost kybernetického prostoru České republiky.
- Cílem spuštěné pilotní verze veřejné části Portálu NÚKIB je otestovat funkcionality a uživatelskou přívětivost celé platformy, případné připomínky mohou povinné subjekty zasílat na e-mailovou adresu portal@nukib.gov.cz.
Osvěta v oblasti kybernetické bezpečnosti
- Národní úřad pro kybernetickou a informační bezpečnost na svém vzdělávacím portálu NÚKIB formou kurzů a prezentací šíří osvětu v oblasti kybernetické bezpečnosti. Nabízené kurzy jsou zacíleny jak na státní instituce, tak i veřejnost, a to včetně dětí.
- V rámci nabízených kurzů NÚKIB poskytuje nejen kurzy základů rizikového chování na internetu, ale také kurzy o kybernetické bezpečnosti určené pro úředníky územních samosprávných celků, zaměstnance škol, zaměstnance ve zdravotnictví, pracovníky prevence atd.
- NÚKIB v rámci nabízených kurzů šíří formou poutavých prezentací, her, povídek, pohádek či komiksů osvětu v oblasti kybernetické bezpečnosti i pro předškoláky a školáky základních a středních škol. Jedná se o např. o Kyber pohádky pro předškoláky – klasické pohádky pro kybernetické století, Vanda a Eda v Onl@jn světě – osvětové povídky o hrách, sdílení fotek a zlobení na internetu pro žáky 1. až 3. třídy ZŠ, Jsem netvor na střední – osvětový videokurz o lidech a digitálních technologiích ve verzi pro 1. a 2. ročníky neinformatických SŠ a další (viz https://osveta.nukib.gov.cz/local/dashboard/).
Pravidla ochrany osobních údajů při využívání cloudu
- V současné době stále větší množství organizací / společností využívá cloud computing služby, v rámci kterých poskytovatel cloudových služeb a produktů propůjčuje danému subjektu výpočetní výkon svých serverů.
- Využití cloud computing služeb umožňuje výrazně změnit přístup organizace / společnosti k ICT jak z hlediska organizace, provozu a využívání, tak i z pohledu ekonomického, ale samozřejmě přináší i určitá rizika, a to včetně ochrany osobních údajů.
- Mezi stěžejní pravidla GDPR při využívání cloudu patří zejména následující:
- Vyjasnění role správce osobních údajů a role zpracovatele osobních údajů.
- Uzavření zpracovatelské smlouvy s poskytovatelem cloudového řešení.
- Identifikace a vyhodnocení případných rizik ochrany osobních údajů.
- Provedení analýzy, ze které vyplyne příp. povinnost provést posouzení vlivu na ochranu osobních údajů (DPIA) dle čl. 35 Nařízení GDPR.
- Zajištění transparentnosti zpracování osobních údajů.
- Poskytnutí informace o způsobu zpracování osobních údajů subjektům údajů.
- V případě předávání osobních údajů do třetích zemí (tj. zemí mimo EU, resp. EHP), musí být splněny specifické podmínky podle kap. 5 Nařízení GDPR.
- Orgány veřejné moci musí dodržovat pravidla a podmínky tzv. cloudových vyhlášek.
- Při zpracování osobních údajů prostřednictvím cloudového řešení dochází nejčastěji k těmto bezpečnostním rizikům:
- nedostatečná kontrola nad osobními údaji;
- chybějící informace o tom, kde a kým jsou osobní údaje zpracovávány;
- chybějící informace o tom, po jakou dobu jsou osobní údaje uchovávány;
- nekontrolovaný přístup k osobním údajům,
- absence účinné zahraniční právní ochrany subjektu údajů.
Zavádění placených variant služeb poskytovaných internetovými společnostmi
- Většina internetových společností včetně české společnosti Seznam.cz zavádí placenou variantu některých poskytovaných služeb. Uživatelé těchto služeb si dle přednastavených podmínek musí na internetových stránkách společnosti vybrat preferovanou variantu – buď zaplatí (tj. uhradí stanovený poplatek za používání dané služby a nebudou sdílet svá osobní data), nebo za danou službu poskytnutou zdarma předají společnosti své osobní údaje, data o zařízení a poloze, údaje o práci, zálibách, nákupní preference atd.
- Osobní data se v současné době označují za „měnu moderního internetu“. Většina internetových společností dokáže informace získané o svých uživatelích zpeněžit, a právě díky tomu pak mohou těmto uživatelům nabízet řadu služeb zdarma.
- Pokud uživatel nechce, aby se v jeho prohlížeči ukládalo, na jaké chodí internetové stránky, může si zapnout speciální režim „anonymního prohlížení“, v rámci kterého prohlížeč neukládá některá data, jako je např. historie prohlížení, oblíbené položky nebo stažené soubory apod. Používání virtuální privátní sítě (VPN), která šifruje internetové spojení, zamezuje „sledování zvenku“, tj. je složitější zjistit, kde daný uživatel je a co na internetu dělá.
Trénování umělé inteligence na datech uživatelů Facebooku a Instagramu
- Na jaře 2024 společnost Meta oznámila svůj plán od konce června 2024 používat veřejný obsah na Facebooku a Instagramu k tréninku umělé inteligence (AI), včetně obsahu komentářů, interakcí se společnostmi, aktualizací stavu, fotografií a souvisejících popisků. V rámci tohoto oznámení společnost Meta upozornila uživatele Facebooku a Instagramu na chystanou změnu svých zásad ochrany osobních údajů formou standardní notifikace, kterých obě sociální sítě rozesílají i desítky denně.
- Proti trénování AI na datech uživatelů Facebooku a Instagramu se postavila nezisková organizace NOYB (None Of Your Business) a podala 11 stížností v zemích EU s argumentem, že Meta porušuje pravidla Nařízení GDPR, např. otázku OPT-IN versus OPT-OUT. Odmítavě se k plánovanému trénování AI postavil i irský dozorový úřad.
- Pod tlakem podaných stížností a odmítavých stanovisek společnost Meta pozastavila zahájení tréninku AI na datech získaných od uživatelů Facebooku a Instagramu v EU a Spojeném království. Organizace hájící práva na ochranu osobních údajů nyní usilují o to, aby byl tento deklarovaný závazek společnosti Meta právně závazný.
Pokuta za docházkový systém využívající biometrické údaje
- Společnosti Cappello Giovanni & Figli SRL zabývající se obchodem s automobily byla italským dozorovým úřadem udělena pokuta ve výši 120 tis. EUR (cca 3 mil. Kč) za pochybení při zpracování osobních údajů v pracovněprávní oblasti, a to konkrétně za provoz docházkového systému Infinity DMS využívajícího biometrické údaje zaměstnanců a systému X-Face 380, který řídil přístup na pracoviště pomocí technologie rozpoznávání obličejů.
- Italský dozorový úřad v rámci provedené kontroly rozhodl, že právní základ pro zpracování biometrických údajů – souhlas udělený zaměstnancem je neplatný, protože tento typ souhlasu udělený zaměstnancem nelze považovat za dostatečně svobodný vzhledem k nerovnému postavení zaměstnance a zaměstnavatele. Další pochybení úřad identifikoval v nedostatečném plnění zásady zákonnosti, korektnosti a transparentnosti zpracování údajů (informování zaměstnanců nebylo dle úřadu dostatečné), a společnost neimplementovala dostatečná bezpečnostní opatření.
- Dle rozhodnutí italského dozorového úřadu dostala společnost Cappello Giovanni & Figli SRL zákaz využívání systému X-Face 380 a docházkový systém musela upravit jak po obsahové stránce, tak i z pohledu archivace uchovávaných dat (italský dozorový úřad společnosti přikázal provádět pravidelný výmaz po 90 dnech).
Zohlednění specializovaného / oborového zpracování osobních údajů kamerovými systémy
- V únoru 2024 vydal Úřad pro ochranu osobních údajů metodiku ke kamerovým systémům – Metodiku k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, která na obecné úrovni stanovuje a popisuje postup správců a zpracovatelů osobních údajů při zřízení a provozovaní kamerových systémů.
- Po vydání této obecné metodiky ke kamerovým systémům se ÚOOÚ rozhodl zohlednit i specializované / oborové zpracování osobních údajů kamerovými systémy a specifikovat postup správců a zpracovatelů osobních údajů podrobnějším popisem týkajícím se konkrétních typově shodných zařízení, např. ve školství, zdravotnictví, obcích apod.
- Jako první specifický postup ÚOOÚ zpracoval doporučení ke kamerovým systémům ve školství. V červnu 2024 probíhala veřejná konzultace k zpracovanému návrhu Doporučení ke kamerovým systémům umístněným ve školách a školských zařízeních, nyní ÚOOÚ vypořádává vznesené připomínky a v průběhu léta vydá finální podobu tohoto doporučení.
E-mailová adresa a telefonní číslo zaměstnance z hlediska GDPR
- Dle GDPR je e-mailová adresa a telefonní číslo zaměstnance osobním údajem. Zaměstnavatel musí být proto velmi obezřetný při nakládání s e-mailovou adresou a telefonním číslem zaměstnance (potažmo s daty obsaženými v e-mailové schránce či uloženými v mobilním telefonu / na SIM kartě), a to jak z pohledu ochrany osobnostních práv zaměstnance, tak ochrany osobních údajů.
- Z pohledu GDPR je nezbytné u e-mailové schránky rozlišit osobní e-mailovou schránku a obecnou e-mailovou schránku:
- Osobní e-mailová schránka – jedná se o e-mailovou adresu sloužící výhradně pro osobní účely dané osoby a dále o pracovní e-mailovou adresu nesoucí identifikační údaje zaměstnance (e-mailová adresa ve formě prijmeni@organizace.cz), neboť tato e-mailová adresa je sice učena k výkonu pracovní činnosti, ale byla zřízena zaměstnavatelem výhradně pro konkrétního zaměstnance. Osobní e-mailová adresa je ve smyslu GDPR považována za osobní údaj, jelikož je adresa spojena s konkrétní osobou / zaměstnancem.
- Obecná e-mailová schránka – jedná se o obecnou e-mailovou adresu (e-mailová adresa ve formě oddeleni@organizace.cz nebo office@organizace.cz), e-mailová adresa neobsahuje identifikační údaje konkrétního zaměstnance. Tento typ pracovní e-mailové adresy zpravidla není osobním údajem, tj. po odchodu zaměstnance může zaměstnavatel prověřit obsah dané e-mailové schránky a svěřit její správu jinému zaměstnanci.
- Po ukončení pracovního poměru by měl zaměstnavatel osobní e-mailovou schránku bývalého zaměstnance smazat. S ukončením pracovní smlouvy přestane totiž platit právní důvod ke zpracování osobních údajů zaměstnance založený na plnění uzavřené pracovní smlouvy. Osobní e-mailová schránka bývalého zaměstnance by tedy měla být smazána ihned se skončením pracovního poměru a e-maily zaslané do této schránky by se tak měly odesílatelům vracet jako nedoručitelné.
- Zaměstnavatel smí po ukončení pracovního poměru e-mailovou schránku bývalého zaměstnance archivovat po přiměřenou dobu (je doporučena doba do tří měsíců po ukončení pracovního poměru), ale pouze v případě, když má zaměstnavatel oprávněný zájem spočívající zejména v zachování kontinuity práce a agendy bývalého zaměstnance. V průběhu archivace by měli odesílatelé e-mailů do této schránky obdržet automatickou odpověď s informací o nové kontaktní osobě. Po uplynutí stanovené přiměřené doby by měl zaměstnavatel smazat obsah e-mailové schránky bývalého zaměstnance včetně schránky samotné tak, aby nadále nebylo možné do ní doručovat e-maily.
- Prohlížení e-mailů bývalého zaměstnance musí být podloženo oprávněným zájmem zaměstnavatele ve vztahu k pracovním e-mailům zaměstnance. Pokud jsou součástí e-mailové schránky zaměstnance i soukromé e-maily, není zaměstnavatel v žádném případě oprávněn je číst. Zaměstnavatel při prohledávání e-mailové schránky nesmí procházet každý jednotlivý e-mail, který se v dané schránce nachází, měl by pro vyhledávání využívat např. klíčových slov, případně vytipovat okruh e-mailů dle časového rámce, odesílatele či předmětu e-mailu.
- Dle GDPR není přípustné jakékoliv odpovídání na příchozí e-maily z e-mailové adresy bývalého zaměstnance či automatické přesměrování příchozích e-mailů z e-mailové schránky bývalého zaměstnance do e-mailové schránky jiné osoby.
- V případě pracovního telefonního čísla bývalého zaměstnance, které lze spojit s konkrétní osobou zaměstnance, musí zaměstnavatel postupovat také dle Nařízení GDPR, neboť se jedná o osobní údaj.
- Po ukončení pracovního poměru zaměstnance je doporučeno pracovní telefonní číslo zaměstnance deaktivovat, příp. učinit taková opatření, aby nebylo s bývalým zaměstnancem nadále spojováno (např. smazáním veškerých odkazů na kontaktní údaj bývalého zaměstnance z webových stránek, informováním o novém uživateli daného telefonního čísla atd.).
- Data uložená v mobilním telefonu včetně dat na SIM kartě by měla být s ukončením pracovního poměru zaměstnance ihned vymazána. Zachování těchto dat pro účely případného přístupu k nim by mělo být možné pouze za předpokladu existence oprávněného zájmu zaměstnavatele (např. získání nezbytných obchodních kontaktů) a při stanovení přiměřené doby pro zachování dat, po jejímž uplynutí budou data smazána. Samotné prohlížení dat musí probíhat obdobně jako u e-mailové schránky, tzn. zaměstnavatel musí data zejména důsledně selektovat a prohlížet pouze ta, která souvisejí s agendou práce.
Nastavení cookies na webových stránkách
V návaznosti na dotazy vznášené na našich školení GDPR níže uvádíme souhrn základních kroků, které musí správce osobních údajů provést pro správné nastavení cookies na provozovaných webových stránkách.
- Identifikace používané technologie, cookies
- Identifikace všech používaných cookies, sledovacích pixelů, beacons a ostatních technologií, které podléhají aktuálně platné legislativě (viz zákon o elektronických komunikacích).
- Správné rozřazení všech souborů cookies podle jejich účelu, tj. žádné cookies nezůstávají v nezařazené kategorii.
- Správná identifikace technických (nezbytných) cookies.
- Ukládání netechnických cookies až po udělení souhlasu uživatele webových stránek prostřednictvím cookies lišty.
- Cookies lišta
- Zobrazená cookies lišta umožňuje číst text webové stránky, tj. nepřekáží čtení předmětné stránky.
- Všechna tlačítka cookies lišty jsou zpracována graficky stejně, tj. všechny volby cookies lišty jsou pro uživatele srovnatelné (velikost, barevnost).
- Cookies lišta neobsahuje v žádné vrstvě předzaškrtnutý souhlas.
- Cookies lišta umožňuje zvolit, pro které účely uživatel webových stránek skutečně udělí souhlas.
- Cookies lišta umožňuje neudělit souhlas, tj. lze zavřít cookies lištu bez nutnosti udělit souhlas.
- Cookies lišta splňuje veškeré podmínky bez ohledu na zařízení, ze kterého se uživatel na webové stránky přihlašuje.
- Uživatel webových stránek má možnost po odkliknutí cookies lišty jednoduše změnit svoje volby v nastavení cookies (dochází k minimalizaci lišty / existuje možnost změny udělení souhlasu přes webový odkaz, který je uživateli vždy dostupný).
- Informace o cookies
- Uživatel webových stránek je informován o všech cookies, jejich názvu, době uložení / používání a třetích stranách, které mají ke cookies přístup.
- Uživatel webových stránek je informován i o cookies, které nepodléhají právní úpravě zákona o elektronických komunikacích, ale je jejich prostřednictvím možno zpracovávat osobní údaje.
- Uživatel má k předmětným informacím vždy přístup, na informaci je odkazováno v rámci cookies lišty.
- Informace o cookies je poskytnuta ve správném jazyce.
- Informační dokumentace ke cookies je úplná a odpovídá požadavkům čl. 13 Nařízení GDPR, Pokynům EPDB č. 05/2020 k souhlasu či Pokynům k transparentnosti dle WP29.
- Souhlas uživatele webových stránek s cookies je uchováván tak, aby splňoval podmínky doložitelnosti, a to včetně doplňujících údajů (např. kdy byl souhlas udělen).
- Povinnost správce osobních údajů
- Otestování nastavení cookies externími nástroji.
- Otestování cookies lišty ve vztahu k jednotlivým volbám, tj. cookies lišta funguje správně ve všech nabízených variantách.
- Dodržování podmínek jednotlivých služeb, které vyžadují sdělení informací uživatelům webových stránek nad rámec zákona (např. Google).
- Uzavření příslušných smluv s třetími stranami zapojenými do zpracování osobních údajů (zpracovatelské smlouvy, dohody společných správců).
- Umožnění výkonu práv subjektu údajů.
- Periodické provádění kontroly / auditu všech nastavení a realizovaných opatření.
QR kód jako osobní údaj
- QR kód (Quick Response code) je typ tzv. dvourozměrného čárového kódu, který byl vyvinut japonskou společností Denso Wave v roce 1994. QR kódy obsahují informace, které lze snadno přečíst pomocí chytrých telefonů nebo jiných zařízení s fotoaparátem a aplikací pro čtení QR kódů.
- QR kódy jsou často používány k propojení tradičních médií s digitálními informacemi. Mohou obsahovat různé druhy dat, jako jsou webové adresy (URL), textové zprávy, kontaktní údaje, informace o produktech nebo dokonce odkazy na soubory. Díky své schopnosti ukládat větší množství informací než tradiční čárové kódy a rychlejšímu čtení se QR kódy staly populárními pro různé účely, včetně marketingu, propagačních akcí, platebních systémů a konečně též ověřování identity.
- V České republice byly v letech 2021 – 2022 QR kódy využívány ke kontrolám tzv. bezinfekčnosti v období pandemie COVID-19 prostřednictvím aplikace čTečka. V rámci vnitrostátního řízení o zákonnost Mimořádného opatření vydaného Ministerstvem zdravotnictví ČR nastal spor o to, zda kontrola COVID certifikátu pro povinné vnitrostátní použití představuje zpracování osobních údajů tak, jak s tímto pojmem pracuje Nařízení GDPR. Ministerstvo zdravotnictví ČR zastávalo názor, že se o zpracování osobních údajů nejedná.
- Podoba COVID certifikátů určených pro aplikaci čTečka totiž vycházela z Nařízení Evropského parlamentu a Rady (EU) 2021/953 ze dne 14. června 2021 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, o testu a o zotavení v souvislosti s onemocněním COVID-19 (digitální certifikát EU COVID) za účelem usnadnění volného pohybu během pandemie COVID-19. Digitální COVID certifikáty se přitom Ministerstvo zdravotnictví ČR rozhodlo využít pro účely a způsobem, který Nařízení č. 2021/953 nepředpokládá. Podle tohoto nařízení totiž tyto certifikáty měly sloužit pouze k usnadnění přeshraničního pohybu, jakékoliv další použití těchto certifikátů již přepokládalo vznik nového, dostatečného legislativního rámce.
- Spor, zda se v rámci QR kódů využívaných v rámci COVID certifikátů v aplikaci čTečka jedná o zpracování osobních údajů, byl řešen Soudním dvorem Evropské unie. Soudní dvůr EU došel k jednoznačnému závěru, že při ověřování platnosti digitálních certifikátů COVID certifikátů aplikací čTečka dochází ke zpracování osobních údajů tak, jak s tímto pojmem pracuje Nařízení GDPR. Soudní dvůr Evropské unie konstatoval, že „pojem zpracování musí být vykládán v tom smyslu, že se vztahuje i na situaci, kdy kontrolující stát prostřednictvím národní mobilní aplikace ověřuje platnost interoperabilních certifikátů a že ke zpracování osobních údajů dochází, zejména s ohledem na skutečnost, že QR kód sám o sobě obsahuje „tradiční“ osobní údaje, jako je jméno, příjmení či datum narození kontrolované osoby, ale taktéž citlivé osobní údaje o zdravotním stavu jednotlivce, jejichž zpracování dále reguluje čl. 9, který stanovuje podmínky zpracování tzv. zvláštních kategorií osobních údajů“.
- Z důvodu toho, že QR kód obsažený v digitálním COVID certifikátu „obsahuje jednoznačné“ osobní údaje, jako je jméno, příjmení a datum narození, a grafická podoba certifikátu je způsobilá rozlišit jednotlivé držitele osobních údajů, je QR kód v rámci COVID certifikátu považován za osobní údaj identifikovatelné osoby (osobním údajem sui generis).
- V případě načtení QR kódů se jedná pouze o zcela nebo částečně automatizované zpracování, neboť QR kódy jsou zpracovávány za použití technického prostředku k jejich zpracování. Pokud jsou ale QR kódy přiřaditelné ke konkrétní osobě zpracovávány v rámci evidence (papírové, elektronické), jedná se již o zpracování osobních údajů.
Online krádeže platebních karet
- V současné době přibývá online krádeží platebních karet. Podvodníci využívají k online krádežím zejména platební karty uložené na sociálních sítí.
- Při provedení online platby prostřednictvím facebookového účtu (např. při placení reklamy v rámci propagace obchodu) platební karta zůstane uložená ve facebookovém účtu. Případný útočník, který se k facebookového účtu dostane, si platební kartu sice nemůže odnést a platit s ní jinde, ale může prostřednictvím ukradených údajů platební karty objednávat reklamu, díky které láká oběti na další podvody.
- Pokud lidé používají stejný e-mail a stejné heslo napříč různými weby, kde se přihlašují a online nakupují, tak stačí, aby přihlašovací údaje unikly pouze z jednoho využívaného online obchodu. Podvodníci pak použijí robota, který všechny e-maily a hesla vyzkouší pro přihlášení na nejznámějších webových stránkách včetně sociálních sítí. Pokud se robotu podaří dostat se k nějakému účtu, ihned zjistí, zda je v něm uložená platební karta – pokud ano, tak prostřednictvím platebních údajů ukradené karty začne objednávat reklamu.
- Pro předcházení online krádežím platební karty je důležité si pohlídat, že na všech online účtech (webových stránkách online obchodů, Facebooku, Instagramu) má člověk nastavené dvoufaktorové přihlašování, které napomáhá eliminovat online krádeže platební karty. Při dvoufaktorovém ověření je totiž kromě jména a hesla nutné vždy zadat i kód z mobilní aplikace.
Legislativní pravidla pro zpracování a ochranu osobních údajů
Pro přehlednost níže shrnujeme přehled základních nařízení, směrnic a zákonů týkajících se problematiky zpracování a ochrany osobních údajů.
- Obecné nařízení o ochraně osobních údajů (Nařízení GDPR)
- Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
- Nařízení GDPR upravuje povinnosti správců a zpracovatelů při zpracování osobních dat, práva dotčených osob, subjektů údajů, postavení a roli Pověřence pro ochranu osobních údajů, kompetence dozorových úřadů a sankce za porušení pravidel.
- Trestněprávní směrnice
- Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV
- Trestněprávní směrnice se uplatňuje zejména na zpracování osobních údajů v bezpečnostních agendách.
- Zákon o zpracování osobních údajů
- Zákon č. 110/2019 Sb., o zpracování osobních údajů
- Zákon o zpracování osobních údajů upřesňuje pravidla a požadavky GDPR v rámci České republiky, definuje výjimky z některých povinností a zpracování údajů ve specifických oblastech.
- Změnový zákon
- Zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů
- Změnový zákon novelizuje 39 českých zákonů z důvodu přijetí GDPR v České republice.
- Standardní smluvní doložky
- Prováděcí rozhodnutí Komise (EU) 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679
- Jedná se o vzory smluv pro předávání osobních údajů do třetích zemí, tzn. mimo EU / EHP.
Školení zaměstnanců v oblasti GDPR
- Jedna ze základních povinností správce osobních údajů ve smyslu čl. 32 Nařízení GDPR je realizace pravidelných školení zaměstnanců v oblasti zpracování a ochrany osobních údajů. Doporučenou periodou školení je 1-2 roky, nebo v okamžiku realizace procesních, organizačních či legislativních změn, nebo zavádění nových agend a služeb.
- Zaměstnanci musí být proškoleni minimálně v rozsahu svých oprávnění a ve vztahu k operacím, které s osobními údaji činí. Správce osobních údajů musí pořídit záznam o poučení zaměstnanců ve vztahu k GDPR, kterým při případné kontrole prokazuje řádné poučení zaměstnanců v oblasti GDPR.
- Úvodní školení o GDPR musí absolvovat všichni zaměstnanci ihned po nástupu do pracovního poměru.
- Do okruhu témat pravidelného školení zaměstnanců v oblasti zpracování a ochrany osobních údajů doporučujeme zahrnout následující témata:
- Právní úprava GDPR na mezinárodní a vnitrostátní úrovni.
- Terminologie GDPR, základní pojmy.
- Zásady zpracování osobních údajů.
- Účel a právní základ zpracování osobních údajů (zákonnost zpracování).
- Informační povinnost.
- Dokumentace GDPR.
- Souhlas se zpracováním osobních údajů.
- Nakládání s osobními údaji při běžných aktivitách na pracovišti.
- Zabezpečení osobních údajů – technická, organizační a fyzická opatření.
- Porušení zabezpečení a hlášení incidentů.
- Využívání technologií na pracovišti z pohledu GDPR.
- Práva subjektu údajů.
- Postup při vyřizování žádostí v režimu GDPR.
Strategie Evropského sboru na ochranu osobních údajů na roky 2024-2027
- Evropský sbor pro ochranu osobních údajů (EDPB) sdružuje úřady pro ochranu dat jednotlivých zemí Evropské unie. EDPB vydává metodiky, rozhoduje spory při společných kontrolách a určuje priority v dozoru ochrany osobních údajů.
- Na svém posledním plenárním zasedání EDPB přijal Strategii na období let 2024-2027. Dokument Strategie shrnuje hlavní strategické cíle a priority, na které se chce EDPB v následujících letech zaměřit.
- Strategie je založena na čtyřech hlavních strategických pilířích, které jsou dále specifikovány prostřednictvím tzv. klíčových opatření, jež mají pomoci při jejich dosahování.
- Pilíř 1 – Posílení harmonizace a podpora dodržování předpisů.
- Pilíř 2 – Posílení společného prosazování práva a efektivní spolupráce.
- Pilíř 3 – Zajištění ochrany údajů v rozvíjejícím se digitálním a meziregulačním prostředí.
- Pilíř 4 – Přispění ke globálnímu dialogu o ochraně údajů.
- Dokument Strategie na období let 2024-2027 je zveřejněn na webových stránkách EDPB: https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-strategy-2024-2027_cs.
Činnost parlamentních výborů z pohledu GDPR
- Parlamentní vyšetřovací výbor, tj. vyšetřovací výbor zřízený parlamentem členského státu při výkonu jeho kontrolní pravomoci vůči moci výkonné, musí dle rozhodnutí Soudního dvora Evropské unie při výkonu své činnosti dodržovat Nařízení GDPR. Výjimkou v dodržování GDPR je výkon činnosti parlamentního vyšetřovacího výboru, jejímž cílem je ochrana národní bezpečnosti.
- Nařízení GDPR se nevztahuje na zpracování osobních údajů prováděná státními orgány v rámci činnosti, jejímž cílem je ochrana národní bezpečnosti jako taková. Národní bezpečnost totiž může odůvodnit omezení povinností a práv vyplývajících z Nařízení GDPR prostřednictvím legislativních opatření.
- Pokud v členském státě existuje pouze jeden dozorový úřad, má tento dozorový úřad v zásadě pravomoc dohlížet na dodržování Nařízení GDPR i prostřednictvím zřízeného parlamentního vyšetřovacího výboru, a to bez ohledu na zásadu dělby moci.
Metodika pro data scraping
- Z pohledu osobních údajů je značně rizikové automatizované stahování dat z veřejně přístupného internetu, tzv. data scraping. Z tohoto důvodu vydal nizozemský úřad pro ochranu dat metodický pokyn, jak při data scrapingu neporušit GDPR.
- Dle Metodiky pro data scraping je data scrapingem automatizovaný sběr a zaznamenávání všech informací z určených webových stránek. Metodika rozlišuje data scraping od internetových vyhledávačů tím, že pomocí data scrapingu jsou dostupné informace shromažďovány a zaznamenávány do databáze a poté zpracovávány data pro konkrétní účel.
- Data scraping se typicky používá pro tyto účely:
- sběr informací pro trénování algoritmů;
- sběr dotazů a stížností od (potenciálních) zákazníků subjektu prostřednictvím online kanálů, jako jsou sociální média a recenzní weby;
- monitorování online zpráv o subjektu, aby na ně mohl reagovat, ať už pro účely řešení reputace, prodeje nebo marketingu.
- Metodika pro data scraping nepřináší žádný přelomový výklad Nařízení GDPR, ani dalších pravidel pro ochranu dat a soukromí. Metodika jednoznačně formuluje povinnosti aplikovat základní principy GDPR i při automatizovaném sběru veřejně dostupných údajů.
- Dle Metodiky pro data scraping musí každý subjekt při data scrapingu zahrnujícího osobní údaje dodržovat Nařízení GDPR a musí mít pro toto zpracování (shromáždění a další využití osobních údajů) dostatečný právní základ podle čl. 6 Nařízení GDPR. Subjekt musí zajistit, aby proces zpracování osobních údajů byl v souladu se základními principy zpracování osobních údajů podle čl. 5 odst. 1 Nařízení GDPR (tj. dodržovat zásady zákonnosti, omezení účelu, minimalizace údajů, přesnosti, omezení uložení, integrity a důvěrnosti).
- Metodika definuje i výjimky z působnosti GDPR, např. data scraping pro trénování algoritmu umožňující uživatelům mimo Evropskou unii generovat obrázky nebo počítačový kód nespadá pod GDPR, pokud je správce zřízen mimo EU a nenabízí zboží nebo služby v EU.
- Předpokládá se, že Metodika pro data scraping bude mít významný dopad na obchodní modely poskytovatelů informačních služeb. Společnosti nabízející tyto služby by měly přezkoumat své postupy a zajistit, že jsou v souladu s GDPR, aby se vyhnuly možným právním problémům a sankcím.
Archivace a skartace whistleblowing oznámení
- Při procesu ochrany oznamovatelů, tzv. whistleblowingu (viz zákon č. 171/2023 Sb., o ochraně oznamovatelů), je při evidenci a šetření podaných oznámení zpracovávána řada osobních údajů, které musí být po stanovenou dobu archivovány a následně skartovány.
- V souladu se zákonem o ochraně oznamovatelů příslušná osoba jmenovaná vedením povinného subjektu vede v elektronické podobě evidenci údajů o přijatých oznámeních, a to v rozsahu:
- datum přijetí oznámení;
- jméno, příjmení, datum narození a kontaktní adresa oznamovatele, nebo jiné údaje, z nichž je možné dovodit totožnost oznamovatele, jsou-li jim tyto údaje známy;
- shrnutí obsahu oznámení a identifikace osoby, proti které oznámení směřovalo, je-li jim její totožnost známa;
- datum ukončení posouzení důvodnosti oznámení příslušnou osobou nebo pověřeným zaměstnancem a jejich výsledek.
- Příslušná osoba je dále povinna uchovávat oznámení podané prostřednictvím vnitřního oznamovacího systému a dokumenty související s oznámením po dobu 5 let ode dne přijetí oznámení. Do této evidence, k dokumentům souvisejícím s oznámením, má přístup pouze příslušná osoba, případně pověřený zaměstnanec Ministerstva spravedlnosti při využití tzv. externího oznamovacího kanálu.
- Po uplynutí lhůty 5 let je nezbytné dokumenty a související informace s přijatým oznámením nevratně vymazat, pokud k jejich dalšímu uchování není zvláštní právní důvod, např. probíhající správní nebo soudní řízení.
- Z důvodu toho, že totožnost oznamovatele a dalších chráněných osob není možné sdělit bez jejich písemného souhlasu třetí osobě, musí veškerou dokumentaci související s agendou whistleblowingu vést od začátku až do konce pouze příslušná osoba, která v souladu se zákonem o ochraně oznamovatelů provede v příslušných lhůtách i skartaci. V rámci subjektu tedy musí dojít k dohodě pověřené osoby a osoby pověřené skartací, aby v rámci agendy whistleblowingu byl nastaven postup archivace a skartace nejen v souladu se zákonem o whistleblowingu, ale také v souladu s aktuálně platným Spisovým a skartačním řádem subjektu.
Problematika povinného ukládání otisků prstů v průkazech totožnosti
- Na základě žaloby německého občana Soudní dvůr Evropské unie zrušil Nařízení Evropského parlamentu a Rady (EU) 2019/1157 ze dne 20. června 2019 o posílení zabezpečení průkazů totožnosti občanů Unie a povolení k pobytu vydávaných občanům Unie a jejich rodinným příslušníkům, kteří vykonávají své právo volného pohybu, které v roce 2019 zavedlo povinnost ukládat v průkazech totožnosti otisky prstů. Toto nařízení dle rozhodnutí Soudního dvora EU bylo přijato na nesprávném právním základě (podle nesprávného legislativního postupu) a je tedy neplatné (viz rozsudek Soudního dvora ve věci C-61/22).
- V dosavadní praxi ukládání otisků prstů do průkazů totožnosti se zatím ale nic nemění, protože Soudní dvůr EU z důvodu závažných negativních důsledků, které by mělo prohlášení neplatnosti Nařízení č. 2019/1157 s okamžitým účinkem, ponechal v platnosti účinky nařízení nejpozději do 31. prosince 2026, než vstoupí v platnost nařízení nové vydané na správném právním základě.
- Soudní dvůr zároveň rozhodl, že povinné ukládání dvou otisků prstů do průkazů totožnosti je slučitelné se základními právy na respektování soukromého života a ochranu osobních údajů.
„Vzhledem k tomu, že umožňuje bojovat proti výrobě padělaných průkazů totožnosti a zneužití identity, může ukládání dvou otisků prstů přispívat jak k ochraně soukromého života dotčených osob, tak šířeji k boji proti kriminalitě a terorismu. Tím, že umožňuje občanům Unie se spolehlivě identifikovat, usnadňuje navíc výkon jejich práva volného pohybu a pobytu v Evropské unii. Cíle sledované tímto ukládáním mají tedy zvláštní význam nejen pro Unii a členské státy, ale i pro občany Unie. Pouhé vložení zobrazení obličeje představuje podle Soudního dvora méně účinný prostředek identifikace, než vložení dvou otisků prstů vedle tohoto zobrazení. Stárnutí, způsob života, onemocnění nebo chirurgický zákrok mohou totiž pozměnit anatomické rysy obličeje.“
- V České republice se průkazy totožnosti – občanské průkazy s otisky prstů vydávají od roku 2021.
Právo subjektu údajů na bezplatnou kopii zdravotnické dokumentace
- Na základě žaloby německého občana řešené jak na úrovni německého Spolkového soudního dvora, tak i na evropské úrovni Soudním dvorem, Soudní dvůr EU rozhodl, že pacient má právo získat bezplatně první kopii své zdravotnické dokumentace (viz rozsudek Soudního dvora ve věci C-307/22).
- Soudní dvůr EU ve svém rozsudku připomíná, že GDPR zakotvuje právo subjektu údajů (pacienta) získat první kopii své zdravotnické dokumentace, aniž mu v zásadě vzniknou jakékoli výdaje. Lékaři jsou považováni za správce osobních údajů svého pacienta – správce může požadovat poplatek pouze tehdy, pokud pacient již bezplatně obdržel první kopii svých údajů a znovu o ni požádal. Pacient není povinen žádost o poskytnutí zdravotnické dokumentace odůvodnit.
- Vnitrostátní právní úprava nemůže uložit pacientovi povinnost uhradit poplatek za první kopii jeho zdravotnické dokumentace ani za účelem ochrany hospodářských zájmů ošetřujících osob. Pacient má právo získat úplnou kopii dokumentů nacházejících se v jeho zdravotnické dokumentaci, je-li to nezbytné pro pochopení osobních údajů obsažených v těchto dokumentech.
Nové pravidlo pro používání aplikace WhatsApp
- V následujících několika týdnech společnost Meta zavede na území Evropské unie nové pravidlo pro používání chatovací aplikace WhatsApp, kterou využívá více než 3 miliardy uživatelů po celém světě. Uživatelé aplikace WhatsApp budou muset potvrdit svůj věk a pokud tak neučiní, nebudou moci aplikaci dále využívat.
- WhatsApp již nyní po uživatelích vyžaduje informaci o věku, ale zatím se jedná jen o prosté potvrzení, že je uživateli více než 16 let. Nyní ale WhatsApp bude vyžadovat celé datum narození a jeho zadání nepůjde nijak přeskočit (zadané datum narození zůstane v aplikaci jako soukromý údaj a nikdo jiný na platformě ho neuvidí).
- Meta zavádí toto pravidlo z důvodu implementace pravidel aktu o digitálních trzích do podmínek užívání služeb poskytovaných aplikací WhatsApp. Předpokládá se, že Meta postupem času tuto funkci implementuje i do svých dalších aplikací, jako je Facebook a Instagram. Cílem je eliminovat pohyb dětí na sociálních platformách.
Ticketmaster přišel o osobní data půl miliardy lidí
- Společnost Ticketmaster, jedna z největších platforem pro online prodej vstupenek, se koncem května 2024 stala terčem kybernetického útoku. Z pohledu počtu zasažených osob se jedná o jeden z nejrozsáhlejších hackerských útoků v historii. Byly ukradeny osobní údaje více než půl miliardy zákazníků společnosti. K incidentu se přihlásila hackerská skupina ShinyHunters.
- Podle informací BBC získala hackerská skupina ShinyHunters přístup ke jménům, adresám, telefonním číslům a částem platebních údajů 560 milionů zákazníků společnosti Ticketmaster, za které požaduje výkupné ve výši 500 tisíc dolarů. Na řešení incidentu se podílejí úřady v Austrálii a USA.
Nejčastější chyby a omyly o GDPR
- Před šesti lety vstoupilo v platnost obecné nařízení Evropské unie o ochraně osobních údajů (Nařízení GDPR). Základní právní rámec ochrany osobních údajů obsahující jednotná pravidla pro zpracování osobních údajů platí ve všech zemích Evropské unie a Evropského hospodářského prostoru.
- I po šesti letech od implementace GDPR se stále objevují chyby / omyly spojené s ochranou osobních údajů:
- ! Organizace / společnost má GDPR již implementované / hotové
=> Soulad s GDPR je nepřetržitý proces jednotlivých postupů (není to zakonzervovaný stav) a je nezbytné procesy ochrany osobních údajů neustále aktualizovat v souvislosti s průběžnými změnami organizace a vykonávaných agend / činností.
- ! Plnění povinností GDPR musí zajistit pouze velké organizace / společnosti
=> V každé organizaci / společnosti je nezbytné nastavit přiměřený systém pro zpracování a správu osobních údajů, průběžně evidovat datové toky, popsat základní procesy v interních předpisech atd.
- ! Vedení organizace / společnosti se nemusí zabývat GDPR
=> GDPR je záležitostí jak vedení, tak i všech zaměstnanců organizace / společnosti. Každý zaměstnanec může být svědkem incidentu, úniku nebo ztráty osobních údajů. Vedení organizace / společnosti je přímo odpovědné za plnění povinností v oblasti ochrany osobních údajů.
- ! GDPR má v rámci organizace / společnosti na starosti pouze Pověřenec pro ochranu osobních údajů
=> Jmenováním Pověřence pro ochranu osobních údajů se vedení organizace / společnosti nezbavuje odpovědnosti za zpracování a ochranu osobních údajů v rámci subjektu. Pověřenec pro ochranu osobních údajů v organizaci / společnosti monitoruje soulad činnosti organizačních útvarů s GDPR, aktualizuje GDPR dokumentaci, navrhuje nápravná opatření při zjištění chyby / problému atd.
- ! V organizaci / společnosti jsou dodržována pouze pravidla GDPR, ne pravidla sektorová
=> Řada specifických požadavků a pravidel týkajících se ochrany osobních údajů je upravena i v dalších právních předpisech, např. pravidla pro marketing, cookies, zpracování osobních údajů ve veřejné správě, školství, zdravotnictví atd. Při nastavování a výkladu pravidel pro zpracování a správu osobních dat je tedy důležité dodržovat nejen Nařízení GDPR, ale také pravidla zakotvená v příslušných právních předpisech. Nařízení GDPR platí všude tam, kde příslušná sektorová legislativa výslovně nestanoví jinak.
- ! GDPR není o informační bezpečnosti
=> GDPR se bez informační bezpečnosti neobejde, informační bezpečnost je nedílnou součástí systému ochrany osobních údajů.
- ! Veřejným institucím nic nehrozí za porušení GDPR
=> Dle zákona č. 110/2019 Sb., o zpracování osobních údajů nemohou ministerstva, kraje ani obce za porušení GDPR dostat pokutu. Nedostatečná ochrana osobních údajů může ale vést k tomu, že Úřad pro ochranu osobních údajů veřejné instituci uloží nápravná opatření, např. smazání osobních údajů, k jejichž zpracování nemá instituce oporu v zákoně, nebo zavedení bezpečnostních opatření, která mohou být pro instituci drahá, případně zahájí řízení o přestupku.
- ! Žádost o přístup k osobním údajům nějak vyřešíme, až se někdo ozve
=> V rámci organizace / společnosti má být definován základní proces řešení žádosti o přístup k osobním údajům, mají být nastaveny postupy jednotlivých organizačních útvarů a zpracovány šablony / formuláře, které komunikaci s klienty usnadní a pomohou dodržet definovaný termín pro vyřízení žádosti.
Doložení souladu s GDPR
- Správce / zpracovatel osobních údajů je povinen osobní data zpracovávat v souladu s regulatorními požadavky (Nařízením GDPR, sektorovými pravidly souvisejícími s ochranou osobních údajů), a musí být schopen tento soulad dokumentovat a kdykoliv jej doložit při případné kontrole, auditu, soudním řízení atd.
- Soulad s GDPR správce osobních údajů dokládá prostřednictvím:
- zpracované GDPR dokumentace;
- provedených dopadových a rizikových analýz (posouzení vlivu na ochranu osobních údajů – DPIA);
- zřízením funkce Pověřence pro ochranu osobních údajů, který kontroluje ochranu osobních údajů v rámci organizace / společnosti;
- certifikací produktů, služeb či systémů pro zpracování osobních dat, tj. provedením nezávislého posouzení interně nastavených procesů a potvrzení jejich souladu s regulatorními požadavky.
Evidence a uchovávání údajů zaměstnanců z pohledu GDPR
- Zaměstnavatel je povinen vést evidenci všech zaměstnanců, tj. občanů České republiky i cizinců. Evidence zaměstnanců představuje souhrn informací vč. osobních údajů, které zaměstnavatel musí znát, aby mohl plnit své povinnosti dle aktuálně platné legislativy, a to jak ve vztahu k organizaci / společnosti a zaměstnancům, tak i ve vztahu ke státním orgánům (finančnímu úřadu, inspekci práce, úřadu práce, policii, soudům atd.).
- Zaměstnavatel je povinen v místě pracoviště mít uložené kopie dokladů prokazujících existenci pracovněprávního vztahu (tuto povinnost zaměstnavatel nemá, pokud nahlásí místně příslušné Okresní správě sociálního zabezpečení den nástupu zaměstnance do zaměstnání, které mu založilo účast na nemocenském pojištění podle zákona o nemocenském pojištění).
- V případě, že zaměstnancem je cizinec, je zaměstnavatel povinen uchovávat po dobu trvání zaměstnání a dobu tří let od skončení zaměstnávání cizince kopie dokladů prokazujících oprávněnost pobytu cizince na území ČR.
- V případě požadavku zaměstnance na uplatnění daňového zvýhodnění na dítě, zaměstnanec dokládá zaměstnavateli věk dítěte předložením rodného listu dítěte, popř. předložením rozhodnutí příslušného orgánu o svěření dítěte do péče nahrazující péči rodičů. Dle aktuální právní úpravy zaměstnavatel nemá uchovávat kopie rodného listu, dostačující je ověření vztahu zaměstnance k dítěti a jeho věku z předloženého rodného listu (je doporučeno evidovat datum narození dítěte). Pokud zaměstnanec vůči zaměstnavateli nesplní povinnost prokázat rozhodné skutečnosti předložením rodného listu dítěte, nejsou splněny podmínky pro uplatnění daňového zvýhodnění.
Zpracování osobních údajů při přijímacím řízení na MŠ a ZŠ
- Přijímací řízení do mateřských škol a základních škol je správním řízením, při kterém je nezbytné respektovat řadu právních předpisů, zejména školský zákon (zákon č. 561/2004 Sb.), občanský zákoník (zákon č. 89/2012 Sb.), správní řád (zákon č. 500/2004 Sb.), Nařízení GDPR atd.
- Škola musí během celého přijímacího řízení respektovat všechny zásady pro zpracování osobních údajů dle čl. 5 Nařízení GDPR. Musí být dodržena i zásada minimalizace, tj. osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Rozsah požadovaných, a následně zpracovávaných osobních údajů při přijímacím řízení do škol musí vždy odpovídat stanovenému účelu.
- S ohledem na zásadu minimalizace osobních údajů na žádosti o přijetí dítěte / žáka do školy mají být uvedeny pouze identifikační údaje typu jméno, příjmení, datum narození a místo trvalého pobytu, popřípadě jiná adresa pro doručování, dále informace o očkování nebo výjimkách podle § 50 zákona o ochraně veřejného zdraví a informace, které budou potvrzovat splnění předem definovaných kritérií pro přijetí dítěte / žáka do školy. Žádné další údaje (např. údaje o zdravotní pojišťovně, státní příslušnost) nesmí být v rámci přijímacího řízení školou zpracovávány.
- Žádost o přijetí dítěte / žáka do školy nemá obsahovat souhlas se zpracováním osobních údajů pro účely vedení správního řízení. Zpracování osobních údajů v rámci přijímacího řízení do škol probíhá na základě čl. 6 odst. 1 písm. c) Nařízení GDPR, tj. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje (souhlas se zpracováním osobních údajů tedy není zapotřebí). Informace o zpracování osobních údajů však zahrnuta být musí u tohoto i jakéhokoliv jiného zpracování.
Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2023
- Úřad pro ochranu osobních údajů provádí dozorovou činnost v oblasti ochrany osobních údajů upravenou především Nařízením GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Ta spočívá v provádění kontrol, vedení správních řízení o pokutě či o nápravném opatření, případně v komunikaci se správci a zpracovateli osobních údajů, která zahrnuje i dopisy upozorňující na možné porušení právních předpisů.
- V roce 2023 vzrostl počet podaných stížností a podnětů v oblasti ochrany osobních údajů – ÚOOÚ přijal celkem 2 322 stížností a podnětů, z toho se jednalo o 1 373 stížností a 949 podnětů. Nejčastějšími stížnostmi a podněty byly:
- zpracování údajů pro marketingové účely (22 %),
- zveřejnění / zpřístupnění osobních údajů (16 %),
- monitorování fyzických osob prostřednictvím kamer (11 %),
- porušení povinností správce osobních údajů podle čl. 13 a 14 Nařízení GDPR (9 %),
- výkon práv subjektů údajů podle čl. 15 až 21 Nařízení GDPR (6 %),
- zpracování prostřednictvím cookies (3 %),
- zpracování osobních údajů v pracovněprávních vztazích (2 %).
- V roce 2023 významně narostl i počet rozhodnutí ÚOOÚ týkajících se zpracování osobních údajů prostřednictvím souborů cookies. V problematice cookies ÚOOÚ identifikoval porušení zejména v:
- zpracování osobních údajů prostřednictvím cookies souborů před získáním souhlasu návštěvníka internetových stránek (více než v 70%),
- plnění informační povinnosti (v 50 %),
- umístění možnosti souhlasu a odmítnutí s nahráváním netechnických cookies souborů do různých vrstev cookies lišty (téměř ve 30 %).
- V rámci konzultační činnosti ÚOOÚ přijal v roce 2023 na konzultační lince 1 245 telefonních dotazů a 1 123 písemných dotazů týkajících se zpracování osobních údajů.
- ÚOOÚ v rámci své činnosti provádí na základě zákona č. 480/2004 Sb., o některých službách informační společnosti, dozor a kontrolu šíření nevyžádaných obchodních sdělení elektronickou formou, které je prováděno v rámci podnikatelské činnosti právnických i fyzických osob. V této oblasti ÚOOÚ v roce 2023 obdržel 1 388 stížností.
- V roce 2023 došlo i k nárustu v počtu obdržených ohlášení porušení zabezpečení osobních údajů oproti letům minulým – celkem ÚOOÚ obdržel 383 ohlášení. Nejčastější příčinou porušení, kterou ohlašovatelé uváděli, byl kybernetický útok.
- ÚOOÚ udělil v roce 2023 první pravomocnou pokutu za porušení předpisů upravujících ochranu osobních údajů v režimu tzv. trestněprávní směrnice, a to za neoprávněné zpracování osobních údajů osob, jimž byla v rámci opatření proti šíření onemocnění COVID-19 nařízena izolace Policií ČR v rámci databáze Karanténa.
Problematiku zveřejnění citlivých údajů pacientky řešil soud
- Soud v ČR řešil kauzu dlouhodobého pronásledování mladé pacientky lékařkou z ostravské Fakultní nemocnice a neoprávněného nahlížení do její zdravotnické dokumentace. Lékařka informace neoprávněně zjištěné ze zdravotnické dokumentace využívala proti pacientce a dokonce některé informace o jejím zdravotním stavu zveřejnila.
- Koncem dubna 2024 soud lékařku nepravomocně uznal vinnou a zakázal jí dva roky vykonávat práci lékařky, kde by měla přístup k dokumentaci pacientů. Rozsudek soudu potvrdil, že „opakované a dlouhodobé nahlížení do zdravotnické dokumentace nelze odbýt a je třeba ochránit případné pacienty“.
- V reakci na nastalou situaci ostravská Fakultní nemocnice změnila vnitřní systém nahlížení do zdravotnické dokumentace z důvodu zajištění vyšší ochrany dat a zpětné kontroly – každé nahlížení do dokumentace je nyní zaznamenáváno, a to včetně účelu nahlížení, tj. je vždy dohledatelné, která osoba a kdy do zdravotnické dokumentace nahlížela.
EK porušila pravidla Nařízení GDPR při používá Microsoft 365
- Na základě šetření týkající se používání software Microsoft 365 Evropskou komisí Evropský inspektor pro ochranu údajů (EDPS) rozhodl, že Evropská komise využívá Microsoft 365 v rozporu s předpisy na ochranu osobních údajů a bez dostatečných záruk pro data odesílaná mimo EU / EHP:
- Evropská komise ve smlouvě se společností Microsoft dostatečně neupřesnila, jaké druhy osobních údajů mají být shromažďovány a pro jaké účely jsou využívány v rámci aplikací Microsoft 365.
- Evropská komise neposkytla vhodné záruky, které by zajistily, že osobním údajům předávaným mimo EU / EHP bude poskytnuta rovnocenná úroveň ochrany.
- EDPS nařídil Evropské komisi zajistit nápravná opatření:
- Nejpozději do prosince 2024 musí Evropská komise uvést využívání nástrojů Microsoft 365 do souladu s Nařízením GDPR.
- S účinností od prosince 2024 je Evropská komise povinna pozastavit veškeré toky údajů vyplývající z používání služby Microsoft 365 společnosti Microsoft a jejím přidruženým společnostem a dílčím zpracovatelům nacházejícím se v zemích mimo EU / EHP, na které se nevztahuje rozhodnutí o odpovídající ochraně.
Únik osobních dat z telekomunikační společnosti
- Ve Spojených státech došlo k úniku osobních dat více než 70 milionů současných a bývalých klientů telekomunikační společnost AT&T. Jedná se o únik dat z roku 2019 a starší.
- Uniklé osobní údaje (jména, data narození, čísla sociálního pojištění, e-mailové adresy, hesla k telefonním číslům) se dostaly na dark web, tj. neveřejnou část internetu, kam je možné se dostat jen pomocí speciálního softwaru v počítači.
- Společnosti AT&T se zatím nepodařilo odhalit zdroj úniku. Únik osobních dat vyšetřují i externí odborníci, které najala společnost AT&T z důvodu řádného prošetření tohoto kybernetického útoku.
Rekordní pokuta 79 mil. EUR za nedostatečné zabezpečení osobních údajů
- Italský úřad pro ochranu údajů udělil společnosti Enel Energia S.p.A. rekordní pokutu ve výši 79 milionů EUR (cca 2 miliardy Kč) za závažné nedostatky v bezpečnostních postupech společnosti při získávání kontaktů pro marketing.
- Společnost Enel Energia S.p.A. nelegálně získala od čtyř telemarketingových společností seznamy potencionálních zákazníků obsahujících osobní údaje (adresa, telefonní číslo, bydliště, informace o dosavadním dodavateli energie), které následně použila při provádění telemarketingové kampaně.
- Italský úřad konstatoval, že „společnost Enel Energia S.p.A. porušila články Nařízení GDPR týkající se posuzování rizik, bezpečnostních opatření, odpovědnosti a smluvních povinností ohledně zpracování osobních údajů. Nedostatečná kontrola společnosti nad vlastními systémy pro zpracování osobních dat a nedostatečná dodržování právních povinností ze strany prodejních agentur vedla k neoprávněnému přístupu a zpracování osobních údajů se závažnými negativními důsledky pro dotčené osoby“.
ÚOOÚ uložil pokutu 351 mil. Kč za porušení GDPR
- Společnosti Avast Software s.r.o. byla Úřadem pro ochranu osobních údajů uložena pokuta 351 mil. Kč za neoprávněné zpracování osobních údajů uživatelů antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions), k čemuž prokazatelně docházelo v roce 2019.
- Společnost Avast Software s.r.o. v období části roku 2019 předávala pseudonymizovanou historii prohlížení internetu, navázanou na jedinečný identifikátor přibližně 100 milionů svých uživatelů společnosti Jumpshot, INC. Tato společnost zpřístupňovala data marketérům pro „vhled do on-line chování spotřebitelů“ a „sledování cesty uživatelů na atomární úrovni“.
- Uživatelé byli společností Avast Software s.r.o. mylně informováni o předávání anonymních údajů za účelem analýzy trendů. Předávané údaje však nebyly anonymizované, navíc účelem zpracování těchto údajů nebylo (pouze) vytváření statistických analýz, jak společnost Avast Software s.r.o. uváděla.
- „Úřad v rozhodnutí zdůraznil, že společnost Avast Software s.r.o. je jedním z předních odborníků na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí. Její zákazníci nemohli očekávat, že právě tato společnost bude předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale např. i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí.“
Centrální databáze ubytovaných z pohledu ochrany osobních údajů
- Ministerstvo pro místní rozvoj plánuje vznik centrální elektronické databáze eTurista, do které by měli být zapisováni všichni hosté, kteří se ubytují v hotelích, penzionech nebo kempech. Místo dosavadních papírových knih hostů má vzniknout centrální systém, do kterého bude mít přístup, kromě dalších úřadů a policie, i samotné ministerstvo. Informace o tom, kdo se kde ubytoval, zde mají být uložené šest let.
- Jedná se o implementaci chystaného Nařízení evropského parlamentu a rady o shromažďování a sdílení údajů týkajících se služeb v oblasti krátkodobých pronájmů ubytování.
- Úřad pro ochranu osobních údajů upozorňuje, že je nevhodné, aby se informace o lidech ubytovaných v hotelích a penzionech shromažďovaly v jedné státní databázi. Podle stanoviska evropského inspektora ochrany údajů návrh evropského nařízení vylučuje použití evidence „pro účely vymáhání práva nebo pro účely daní a cel“, což chystaná česká novela naopak výslovně zavádí. Evropský inspektor pak rovněž zdůraznil, že návrh evropského nařízení nezavádí sběr údajů o jednotlivých ubytovaných, místo nich stačí jen počet nocí, na které je ubytovací jednotka pronajatá, a počet hostů, kteří se v jednotce za noc ubytovali.
- ÚOOÚ má i výhrady k množství informací, které se mají o ubytovaných sbírat, k šestileté lhůtě, po kterou by se informace o ubytovaných měly ve státním registru uchovávat i k účelům, za kterými by jednotlivé úřady byly oprávněny osobní údaje zpracovávat.
- Podle návrhu zákona se o ubytovaných osobách má evidovat:
- jméno, popřípadě jména, a příjmení;
- den, měsíc a rok narození;
- adresa místa trvalého pobytu v České republice nebo, pokud jej ubytovaná osoba nemá, jiného obdobného pobytu v zahraničí;
- státní občanství;
- číslo a druh dokladu předloženého ubytovanou osobou ubytovateli, jímž ubytovaná osoba prokázala svoji totožnost, včetně čísla víza, je-li v cestovním dokladu vyznačeno;
- den počátku ubytování;
- den předpokládaného konce ubytování.
Souhlas zákazníka se zpracováním osobních údajů na e-shopu
- Zpracování osobních údajů je dle Nařízení GDPR potřeba založit na jednom z těchto šesti důvodů:
- na souhlasu,
- nezbytnosti plnit smlouvu,
- nezbytnosti plnit právní povinnosti (většinou stanovené právními předpisy),
- nezbytnosti chránit životně důležité zájmy člověka,
- nezbytnosti splnit úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, nebo
- nezbytnosti pro účely oprávněných zájmů správce či třetí osoby, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody člověka vyžadující ochranu osobních údajů.
- Při provozu e-shopu nebo webové aplikace jsou údaje zákazníka zpracovávány z důvodů plnění smlouvy, uzavřené se zákazníkem (ad 2), dodržování zákonných povinností (ad 3) a ochrany zájmů (ad 6). Podle Nařízení GDPR platí, že pokud lze konkrétní zpracování osobních údajů založit na jiném důvodu zpracování, než na souhlasu (ad 2 až 6), má tento jiný důvod vždy přednost. Ke zpracování osobních údajů v takovém případě nelze vyžadovat souhlas zákazníka.
- Z toho důvodu nelze podmínit odeslání objednávky souhlasem se zpracováním osobních údajů. Samozřejmě, že souhlas s obchodními podmínkami je vždy nezbytný, neboť tím dochází k uzavření kupní smlouvy.
- Souhlas se zpracováním osobních údajů musí být podle Nařízení GDPR svobodný, konkrétní, informovaný a jednoznačný. Není proto možné od zákazníka vyžadovat obecný souhlas se zpracováním osobních údajů, bez určení účelu, za kterým budou údaje zpracovávány. Současně nelze udělením souhlasu podmiňovat prodej zboží či poskytnutí služby. Navíc souhlas je kdykoliv odvolatelný, tedy v případě odvolání souhlasu je nutné údaje vymazat.
- Podmínky kladené Nařízením GDPR na parametry uděleného souhlasu tedy logicky vylučují jeho využití při nákupu zboží nebo služeb, neboť při neudělení nebo odvolání souhlasu by nebylo možné objednané zboží nebo službu doručit ani evidovat v účetnictví.
- Při provozu e-shopu nebo webové aplikace je tedy nutné pouze správně informovat zákazníka o tom, jak budou jeho osobní údaje zpracovávány, např. formou odkazu na Informační memorandum (Informace o zpracování osobních údajů).
- Souhlas se zpracováním osobních údajů je naopak nezbytný v případě využívání osobních údajů za jinými než výše uvedenými účely, např. v případě předávání osobních údajů třetím stranám za účelem marketingu. V případě „přímého marketingu“ (tedy rozesílání informací o vlastních produktech a službách) je právním důvodem oprávněný zájem správce (ad 6), tedy ani zde není potřeba souhlas požadovat.
Kamery na pracovišti
- Dle zákoníku práce může zaměstnavatel zaměstnance sledovat na pracovišti a ve společných prostorách pouze tehdy, pokud má k tomu závažný důvod spočívající ve zvláštní povaze jeho činnosti. Jedná se např. o činnost s vysoce nebezpečnými chemikáliemi či vysokými finančními obnosy.
- Další podmínkou provozu kamer na pracovišti je pak pozitivní tzv. balanční test, který vyhodnotí, zda zájem zaměstnavatele (správce osobních údajů) na monitorování pracoviště převažuje nad zájmem zaměstnance na ochraně jeho soukromí a že tohoto cíle nelze dosáhnout jinými, pro zaměstnance mírnějšími prostředky (např. dohled vedoucím zaměstnancem nebo vybavení prostor alarmem). V žádném případě také nelze monitorovat prostory, ve kterých zaměstnanec odpočívá, převléká se nebo vykonává osobní hygienu.
- Stejná pravidla platí i pro atrapy kamer, které vytvářejí na zaměstnance nepřiměřený tlak ze strany zaměstnavatele, což může inspektorát práce vyhodnotit jako porušení povinnosti vytvářet zaměstnancům příznivé pracovní podmínky a zajišťovat bezpečnost a ochranu jejich zdraví při práci.
- V každém případě je zaměstnavatel povinen zaměstnance předem o využití kamer na pracovišti informovat (tj. informovat o počtu kamer, jejich účelu, umístění a době uložení kamerového záznamu).
MPSV zveřejňovalo osobní údaje zástupců pracovních agentur
- Vyhledávač pracovních agentur na webu Ministerstva práce a sociálních věcí zveřejňoval osobní údaje – rodná čísla, rodná příjmení a místa narození více než dvou tisíc odpovědných zástupců a zástupkyň jednotlivých pracovních agentur. Jednalo se o bezpečnostní chybu, kterou po nahlášení MPSV opravilo a dále ji řeší s Úřadem pro ochranu osobních údajů.
- MPSV v minulosti řešilo i jiné bezpečnostní chyby, např. když webový formulář pro žadatele o dávku na bydlení, který ministerstvo spustilo koncem července 2022, posílal informace o návštěvnících do reklamních systémů společnosti Google, nebo když formulář pro žadatele o příspěvek na dítě, zasílal adresy žadatelů bez jejich souhlasu mimo Evropskou unii.
Nová úprava DPIA
- Legislativní pravidla vlády ČR stanovují pravidla pro zpracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment – DPIA). Do legislativních pravidel vlády je zavedena přesná struktura pro zpracování posouzení vlivu na ochranu osobních údajů, tzv. legislativní DPIA.
- Legislativní DPIA je nutné zpracovat u každého návrhu právního předpisu, včetně nařízení vlády nebo vyhlášky. To znamená, že pokud je právním základem zpracování osobních údajů plnění právní povinnosti, je povinnost správce osobních údajů zpracovat DPIA nahrazena zpracovanou legislativní DPIA v okamžiku předložení normy do legislativního procesu. To vychází z ustanovení Nařízení GDPR, podle kterého se vliv neposuzuje, byl‑li posouzen jako součást obecného posouzení dopadů v souvislosti s přijetím právního předpisu.
- Nová struktura pro zpracování legislativního DPIA:
- Vysvětlení účelu navrhovaného zpracování osobních údajů
- Popis návaznosti na stávající a připravované zpracování osobních údajů
- Posouzení navrhovaného řešení zpracování z hlediska nezbytnosti, přiměřenosti ve vztahu k účelu zpracování osobních údajů
- Posouzení rizik pro práva a svobody fyzických osob
- Stanovení možných opatření ke snížení rizik pro práva a svobody fyzických osob
- Úřad pro ochranu osobních údajů proto připravuje změnu stávajícího návodu k posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů (DPIA), který bude předložen k veřejné konzultaci.
Dohoda o urovnání hromadné žaloby společnosti Google za porušení ochrany soukromí
- Začátkem dubna 2024 byly zveřejněny detaily dohody o urovnání hromadné žaloby společnosti Google ve výši 5 miliard dolarů, která na ni byla podaná v roce 2022 ve Spojených státech amerických za porušování ochrany soukromí při vyhledávání informací v anonymním režimu prostřednictvím prohlížeče Chrome. Podle hromadné obžaloby Google klamal uživatele tvrzením, že v anonymním režimu nesleduje jejich internetovou aktivitu.
- Uzavřením dohody o urovnání se Google vyhnul hromadné žalobě – Google souhlasil s odstraněním / smazáním neprávem uchovávaných dat starších než devět měsíců. Jedná se o miliard záznamů osobních údajů o surfování více než 136 mili, onů amerických uživatelů, kteří využívali prohlížeč Chrome.
- V rámci dohody o urovnání Google také souhlasil, že bude uživatele informovat o tom, že v režimu inkognito shromažďuje údaje a že při používání této funkce budou sledovací zařízení třetích stran ve výchozím nastavení vypnuta.
- „Dle vyjádření advokáta zastupujícího spotřebitele je toto urovnání historickým krokem, který od dominantních technologických společností vyžaduje poctivost a odpovědnost. Urovnání brání společnosti Google v tajném shromažďování uživatelských údajů, jejichž hodnota podle jejích vlastních odhadů dosahuje miliard dolarů.“
Nizozemský úřad na ochranu osobních údajů doporučil vládě nepoužívat Facebook
- Nizozemský úřad na ochranu osobních údajů doporučil nizozemské vládě a jejím podřízeným orgánům, aby přestali používat sociální síť Facebook. Podle úřadu totiž není jasné, co se děje s osobními údaji osob, které vládní stránky na Facebooku navštíví.
- Podle úřadu by bylo lepší, aby centrální vláda přestala používat stránky na Facebooku a vrátila se na ně pouze v případě, že budou přijata příslušná opatření a společnost Facebook bude otevřenější ohledně zpracování dat.
Nová metodika ÚOOÚ ke kamerovým systémům
- Úřad pro ochranu osobních údajů vydal začátkem února 2024 novou metodiku ke kamerovým systémům (https://uoou.gov.cz/media/clanky/dokumenty/metodika-kamerove-systemy-webpdf.pdf), která má zásadní dopad do praxe. Vydání konečné verze metodiky předcházela veřejná konzultace a vypořádání řady připomínek z praxe.
- Cílem metodiky ke kamerovým systémům, která je pojmenovaná jako Metodika k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, je jasnější výklad povinností v oblasti zpracování osobních údajů kamerovými systémy. Metodika poskytuje správcům osobních údajů komplexní návod, jak se zorientovat v plnění řady povinností. Dle vyjádření ÚOOÚ užívání metodiky není pro správce osobních údajů povinné, nicméně ÚOOÚ nastavuje určitý standard, který pak může od správců očekávat.
- Metodika ke kamerovým systémům je rozdělena na tři části:
- první část metodiky – úvod: vysvětlení proč metodika vznikla a jak jí používat;
- druhá část metodiky – popis kamerového systému: podrobný popis, co lze považovat za kamerový systém z technického pohledu včetně požadavků na kamerové systémy jako takové a meze některých parametrů určující, zda se jedná o zpracování osobních údajů dle Nařízení GDPR, či nikoliv;
- třetí část metodiky – požadavky na zpracování osobních údajů kamerovým systémem: jednotlivé povinnosti dle Nařízení GDPR, konkrétní pokyny, jak kamerový systém správně implementovat z pohledu ochrany osobních údajů, vzor balančního testu.
- Podle této nové metodiky je nezbytné GDPR řešit u všech kamer / kamerových systémů, které zachycují fyzické osoby způsobem umožňující je identifikovat / rozeznat, tj. postava v záběru zabírá 25 % a více obrazu. Metodika tedy přistupuje ke kamerovým systémům dle možnosti identifikace fyzických osob, ne dle toho, jestli kamerový systém pořizuje a ukládá záznam, nebo je provozován v online režimu.
- ÚOOÚ v rámci metodiky definuje základní dobu uchování kamerového záznamu 72 hodin s možností případně delší doby uchovávání, kterou ale musí správce osobních údajů řádně odůvodnit a vysvětlit. Například v případě školy ÚOOÚ uvádí jako dostačující dobu uchování 7 dní, o hlavních prázdninách může být doba prodloužena např. na 3 týdny.
Kontrolní plán ÚOOÚ pro rok 2024
- Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách (https://uoou.gov.cz/novinky/vse/zverejnen-kontrolni-plan-uradu-pro-rok-2024) kontrolní plán pro rok 2024. Plánované kontroly provede Oddělení bezpečnostních agend, Oddělení kontroly soukromého sektoru, Oddělení kontroly veřejných subjektů a Oddělení obchodních sdělení.
- V prvním čtvrtletí roku 2024 ÚOOÚ vytipuje minimálně tři subjekty provozující rozvážkové služby, u kterých bude provedena kontrola týkající se rozesílání nevyžádaných obchodních sdělení e-mailem, prostřednictvím mobilní aplikace či přes SMS.
- Ve druhém čtvrtletí 2024 bude ÚOOÚ kontrolovat využívání dat z registru obyvatel orgány veřejné moci podle zákona č. 111/2009 Sb., o základních registrech. ÚOOÚ bude kontrolovat k jakým účelům a na základě jakého právního důvodu úřady tyto údaje používají a zda řádně zaznamenávají své přístupy do registru.
- Ve třetím čtvrtletí 2024 bude kontrola zaměřena na praktiky nahrávání telefonických hovorů a na to, jakým způsobem je s pořízenými nahrávkami dále nakládáno.
- V posledním čtvrtletí 2024 provede ÚOOÚ kontrolu zpracování osobních údajů Policií ČR.
- V průběhu roku budou kontroly zaměřeny i na problematiku zpracování osobních údajů v oblasti víz a schengenského prostoru – ÚOOÚ bude zejména kontrolovat zpracování osobních údajů zastupitelskými úřady při vydávání víz a používání Vízového, Schengenského a Celního informačního systému.
- Vedle plánovaných kontrol bude ÚOOÚ provádět i neplánované incidenční kontroly, a to na základě obdržených stížností subjektů údajů nebo na základě jiných kvalifikovaných podnětů (např. podnětů obdržených od dozorových úřadů jiných členských států EU, soudů, policie apod.).
- V letošním roce se ÚOOÚ opět společně s dalšími evropskými dozorovými úřady zapojí do koordinované evropské kontrolní akce, která je zaměřena na implementaci práva na přístup ze stany správců osobních údajů v rámci tzv. Coordinated Enforcement Framework 2024 (CEF).
Počet kybernetických incidentů v roce 2023
- Národní úřad pro kybernetickou a informační bezpečnost v roce 2023 zaregistroval celkem 262 kybernetických incidentů. Jedná se téměř o dvojnásobný nárůst oproti roku 2022, kdy bylo zaregistrováno 146 incidentů.
- Příčinou nárůstu kybernetických incidentů v loňském roce jsou zejména opakované vlny DDoS útoků vedené proruskými hacktivistickými skupinami. Dva kybernetické incidenty NÚKIB klasifikoval jako velmi významné, tj. incident nejvyšší kategorie závažnosti. Jeden z nich se týkal významné strategické státní instituce a druhý neregulovaného subjektu z obranného sektoru.
- Vliv na růst počtu kybernetických útoků v roce 2023 měl i rychlý pokrok v oblasti generativní umělé inteligence (AI) a chatbotů na bázi LLM (Large Language Model).
- K posílení kybernetické bezpečnosti České republiky zásadně přispěje nový zákon o kybernetické bezpečnosti, jehož návrh NÚKIB odeslal vloni v prosinci na Legislativní radu vlády. Jedním z hlavních úkolů tohoto nového zákona je zavedení evropské směrnice NIS2 do českého právního řádu.
Zveřejňování osobních údajů úředníků
- Pro získávání informací o úřednících a jejich činnosti je velmi často využíván zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Ochrana osobních údajů úředníků je řešena zákonem č. 110/2019 Sb., o zpracování osobních údajů a Nařízením GDPR.
- Pro poskytnutí osobních údajů podle zákona o svobodném přístupu k informacím musí být splněny tři základní podmínky:
- Osobní údaj se musí týkat v zákoně zmíněného subjektu údajů, tj. veřejně činné osoby (typicky soudce či advokát při zastupování svých klientů), veřejných funkcionářů (zastupitel, radní, poslanec) anebo zaměstnanců veřejné správy (úředník nebo jiný zaměstnanec úřadu).
- Osobní údaj vypovídá o veřejné nebo úřední činnosti, funkčním nebo pracovním zařazení, v souhrnu tedy o profesním, nikoliv soukromém životě.
- Povinný subjekt profesní údaje poskytne, pokud při posuzování žádosti nedospěje k závěru, že ochrana soukromí subjektu údajů převažuje nad veřejným zájmem na poskytnutí informace.
- Vždy je důležité brát v potaz i to, že podle § 5 odst. 3 zákona o svobodném přístupu k informacím jsou informace, které byly poskytnuty individuálnímu žadateli, do 15 dnů rovněž zveřejněny na internetových stránkách veřejného subjektu pro neomezený okruh příjemců.
- Přítomnost na pracovišti:
- Povinností veřejného subjektu je zajistit veřejnou službu, tj. zajistit bezproblémový výkon zákonem svěřené agendy, a to v úředních hodinách, které veřejný subjekt stanoví.
- Informování veřejnosti o dostupnosti služeb lze primárně naplnit i bez zpracování osobních údajů z docházkového a personálního systému, tedy bez zásahu do práva na ochranu soukromí zaměstnanců subjektu. K naplnění tohoto účelu zcela postačí informace, která oddělení či odbory subjektu jsou kompetentní k vyřízení určitého typu podání či žádosti. Informace o přítomnosti konkrétních zaměstnanců zařazených do těchto organizačních útvarů již nejsou nezbytné, protože z pohledu veřejnosti nejsou relevantní.
- Zveřejňování fotografií na webových stránkách:
- Z důvodu zvýšení otevřenosti veřejné správy velmi často dochází ke zveřejňování portrétních fotografií zaměstnanců na webových stránkách subjektu, a to včetně jejich identifikace – jména, příjmení, úředního zařazení, telefonu a e-mailové adresy.
- Veřejný subjekt jako správce osobních údajů musí řádně zdůvodnit právní základ pro zpracování osobních údajů zaměstnance (viz čl. 6 Nařízení GDPR). Například obce jako právní základ pro zveřejňování fotografií úředníků obvykle identifikují čl. 6 odst. 1 písm. f) Nařízení GDPR, tzn. zpracování nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. V některých případech lze využít i souhlas subjektu údajů, který ale musí být dle čl. 7 Nařízení GDPR svobodný, aktivně udělený, transparentní a kdykoliv odvolatelný.
- V každém případě však lze zveřejnit pouze kontaktní údaje těch úředníků, jejichž náplní práce je styk s veřejností a poskytování služeb veřejnosti.
Žádost o přístup k osobním údajům
- Nařízení GDPR nestanovuje žádnou závaznou formu žádosti o přístup žadatele k jeho osobním údajům či způsob podání této žádosti, který by měl žadatel dodržet.
- Evropský sbor pro ochranu osobních údajů (EDPB) správcům osobních údajů doporučuje, aby zavedli uživatelsky přívětivý komunikační kanál, jehož prostřednictvím lze žádost o přístup k osobním údajům podat. Podle vyjádření EDPB zavedení jednotného kanálu pro podání žádosti o přístup k osobním údajům přispívá k usnadnění práce s vyřizováním žádostí.
- Pokud správce zřídí zvláštní kanál pro vyřizování žádostí o přístup k osobním údajům a žadatel využije při podání žádosti některý z dalších uvedených kontaktů, který není zjevně určený pro jiné záležitosti (např. kontakt na Pověřence pro ochranu osobních údajů, kontakt na správce uvedený v Informačním memorandu apod.), musí správce přijatou žádost vyřídit. Správce se naopak nemusí zabývat žádostí zaslanou na náhodný nebo nesprávný kontakt, který správce přímo neposkytl nebo který zjevně není určen pro vyřizování žádostí o přístup k osobním údajům.
- Dle vyjádření EDPB je nezbytné žadateli zaslat písemné potvrzení o přijetí žádosti, aby žadatel obdržel informaci, že se správce žádostí zabývá, a měl možnost kontrolovat, zda je dodržena měsíční lhůta předepsaná k vyřízení žádosti.
- Při vyřizování přijaté žádosti musí správce řádně identifikovat a ověřit totožnost žadatele, a to nejen z pohledu určení čí a jaké osobní údaje ve svých databázích hledá, ale také z důvodu prevence úniku osobních dat, ke kterému by došlo, kdyby byly údaje poskytnuty jinému subjektu než jejich nositeli. Při identifikaci a ověření totožnosti žadatele musí správce dodržet zásadu minimalizace údajů, tj. správce nesmí požadovat více osobních údajů, než je pro identifikaci a ověření totožnosti žadatele nezbytné. Prokázání totožnosti žadatele prostřednictvím průkazu totožnosti může správce žádat pouze na základě provedeného posouzení přiměřenosti, např. při zpracování zvláštní kategorie osobních údajů či při zpracování představující pro žadatele riziko (např. informace o zdravotním stavu). Nejsou-li k ověření totožnosti nutné veškeré údaje uvedené na průkazu totožnosti, měl by správce žadatele informovat, které údaje nejsou potřebné, a dát mu možnost tyto údaje skrýt.
- Na základě vyřízení žádosti správce poskytne žadateli výpis či kopii osobních údajů, které správce o žadateli zpracovává. V rámci poskytnutých informací správce musí uvést i údaje, které jsou nepřesné, nebo operace zpracování, jež zcela nejsou v souladu s aktuálně platnou legislativou. Cílem výkonu práva na přístup k osobním údajům je totiž také odhalení různých nepřesností ve zpracovávaných údajích či kontrola zákonnosti zpracování.
- V případě žádosti žadatele správce může žadateli poskytnout informace o zpracovávaných osobních údajích ústně prostřednictvím nahlédnutím do příslušných souborů na místě, anebo na dálku bez možnosti stažení.
Poskytnutí kopie zpracovávaných osobních údajů bezplatně / za poplatek
- Dle čl. 15 odst. 3 Nařízení GDPR má správce osobních údajů povinnost poskytnout žadateli na základě předložené žádosti o přístup k osobním údajům kopii zpracovávaných osobních údajů žadatele.
- Povinnost poskytnout kopii údajů neznamená, že správce je povinen poskytnout žadateli kopie celých dokumentů, které osobní údaje obsahují. Správce musí žadateli poskytnout věrnou reprodukci (kopii) jeho zpracovávaných osobních údajů, tj. kompilaci obsahující všechny relevantní osobní údaje žadatele zpracovávané správcem, a to včetně potřebných informací nezbytných k tomu, aby žadatel pochopil, jakým způsobem jsou jeho data zpracovávána a mohl ověřit zákonnost zpracování tohoto zpracování.
- Nutnou podmínkou poskytnutí osobních údajů je anonymizace osobních údajů třetích osob, které mohou být v poskytnuté kopii uvedeny.
- Správce osobních údajů má povinnost poskytnout první kopii zpracovávaných osobních údajů žadatele bezplatně (v rámci podané žádosti v daném čase). Poskytnutí dalších kopií zpracovávaných osobních údajů žadatele může správce osobních údajů zpoplatnit. Pokud se správce rozhodne tento poplatek vyúčtovat, měl by na tuto skutečnost žadatele předem upozornit a informovat ho co nejpřesněji o výši svých nákladů, aby měl subjekt údajů možnost se rozhodnout, zda na žádosti trvá, nebo ji vezme zpět.
- Poplatek za poskytnutí kopie zpracovaných osobních údajů žadatele musí být přiměřený a správce by měl proaktivně své náklady optimalizovat tak, aby výši poplatku udržel na nízké úrovni.
Plán vedení centrální evidence ubytovaných
- Česká republika plánuje od roku 2025 evidovat kdo a kdy se ubytoval v hotelu, penzionu či apartmánu prostřednictvím centrálního systému eTurista. V současné době se hosté hotelů a penzionů zapisují do ubytovacích knih vedených jednotlivými ubytovateli.
- Cílem centrálního systému eTurista je dle vyjádření Ministerstva pro místní rozvoj lepší přehled o turistickém ruchu a méně byrokracie pro podnikatele. Provozovatel hotelu, penzionu či apartmánu prostřednictvím centrálního systému eTurista nahlásí MMR, koho ubytoval, a ministerstvo následně připraví souhrnné informace pro statistický úřad či v případě ubytování cizince provede hlášení v policejní databázi Ubyport. Systém bude umožňovat i výběr poplatku z ubytování.
- Plánovaný centrální systém eTurista bude tedy obsahovat velké množství citlivých údajů o pohybu jednotlivce a informace o tom, s kým tráví čas. Předpokládá se, že informace o tom, kdo byl kde ubytovaný, se budou v systému uchovávat, proti neoprávněnému přístupu by je ale měly chránit státní registry. Jméno, datum narození a další informace ubytovaného systém využije, aby hosta ztotožnil v registru obyvatel, do databáze ministerstva se pak uloží pouze agendový identifikátor fyzické osoby (AIFO).
- Vznik centrálního systému eTurista chce Ministerstvo pro místní rozvoj financovat z Národního plánu obnovy, což ale dle dotačních pravidel znamená systém spustit do konce letošního roku. Novelu zákona o cestovním ruchu ještě čeká projednání vládou, následně musí proběhnout legislativní proces v Parlamentu, prováděcí vyhláška a až pak bude možné začít systém programovat. Odhadované náklady na vývoj a implementaci systému jsou dle ministerstva 50 – 60 mil. Kč.
Ochrana soukromí při online levných nákupech
- Některá globální eCommerce tržiště (např. Temu, Shein, Sinsay, Allegro atd.) lákají na nákupy módy, kosmetiky a dalšího zboží mimořádně nízkými cenami. Tyto levné nákupy mají bohužel dopad nejen na kvalitu zboží, ale také na ztrátu soukromí.
- Mobilní aplikace některých globálních eCommerce tržišť sbírají o svých zákaznících řadu informací, které přenáší jak na servery dané společnosti, tak i na servery některých reklamních společností.
- V případě, že nakupující chce chránit své soukromí, může si z důvodu realizace online levného nákupu vytvořit „druhou identitu“. Nakupující si založí novou e-mailovou adresu určenou pouze pro tyto online nákupy, koupí si předplacenou SIM kartu, kterou dá do starého telefonu, a místo na domácí adresu si zboží nechá poslat např. do zaměstnání. K platbě je vhodné použít jednorázovou virtuální kartu, která se po platbě zneplatní, nebo je doporučeno si založit druhý platební účet s kartou, na který si kupující převede vždy jen částku nutnou k zaplacení dané objednávky.
Pokuta udělená řecké bance za porušení GDPR
- Na základě stížnosti zákazníka banky Alpha Bank udělil řecký úřad pro ochranu osobních údajů (DPA) bance pokutu ve výši 60 tis. EUR (cca 1,5 mil. Kč) za porušení zásady důvěrnosti osobních údajů a bankovního tajemství. V důsledku postupu banky v rozporu s Nařízením GDPR došlo totiž k zásahu do práva subjektu údajů na soukromí – banka bez souhlasu subjektu údajů (manžela) zpřístupnila historii jeho platebních transakcí manželce, která o těchto transakcích neměla vědět.
- Alpha Bank na základě obdržené žádosti zpřístupnila manželce subjektu údajů informace o kreditní kartě a transakcích, které její manžel s touto kartou provedl za poslední čtyři měsíce. Poskytnutí těchto informací bez vědomí subjektu údajů mělo poměrně zásadní dopad na rodinný život a vztah obou manželů byl vážně narušen.
- Podle DPA řecká banka pochybila, když řádným způsobem neověřila totožnost tazatele a skutečnost, zda má mít k takovým informacím skutečně přístup, a neinformovala manžela o zpřístupnění informací jeho manželce.
Aplikace eDoklady – vyšší ochrana osobních údajů
- Elektronická verze občanského průkazu slibuje vyšší úroveň kontroly nad osobními údaji. Zároveň poskytuje možnost sledovat historii přístupu k údajům a zjistit, kdy a jaké údaje byly načteny.
- Aplikace respektuje zásadu minimalizace, proto umožňuje, aby příjemce obdržel jen ty informace, které v konkrétní situaci potřebuje. Proto při ověřování věku zákazníka (např. při prodeji alkoholu nebo zlevněného vstupného) již prodavač nemá přístup ke kompletnímu fyzickému občanskému průkazu; vidí pouze fotografii a informaci o tom, zda daná osoba dosáhla plnoletosti.
- Stejně tak například při ověřování totožnosti má kontrolující osoba přístup pouze k fotografii a celému jménu. Plné předání údajů, od fotografie až po místo narození, trvalý pobyt, datum vydání, platnost dokladu nebo podpis držitele, nastává pouze při plné kontrole dokladu. Uživatel aplikace eDoklady má vždy právo vybrat, jaké údaje chce v daném okamžiku skutečně sdílet a jaké sdílet odmítne.
- Samotné využití elektronické podoby občanského průkazu je rozděleno do tří fází. První fáze začala 20. ledna 2024, kdy ústřední správní úřady, jako jsou ministerstva, Úřad vlády ČR, Český statistický úřad a Energetický regulační úřad, začaly akceptovat aplikaci eDoklady. Od července 2024 bude možné aplikaci využívat i v interakci s policií, soudy, finančními a živnostenskými úřady, úřady práce a Českou správou sociálního zabezpečení, stejně jako na katastrálních úřadech, krajích a obcích s rozšířenou působností. Od ledna 2025 budou elektronickou podobu občanského průkazu přijímat také školy, notáři, banky, pošty, zastupitelské úřady a soukromé osoby.
Povinná dokumentace GDPR
- Seznam povinné dokumentace týkající se ochrany osobních údajů, kterou by měl mít zpracovanou správce osobních údajů a zpracovatel osobních údajů, není explicitně uveden v Nařízení GDPR, ani v žádném jiném právním předpisu řešící ochranu osobních údajů.
- Veškerá dokumentace týkající se ochrany osobních údajů musí být zpracována na základě potřeb konkrétní organizace / společnosti a ve vztahu k specifickým vnitřním uspořádáním či operacím zpracování. Z těchto důvodů tedy nelze sestavit přesný seznam dokumentů pro správce a zpracovatele osobních údajů, vždy musí být zohledněna konkrétní situace zpracování osobních údajů.
- Pro přehlednost níže uvádíme výčet dokumentů, které jsou v rámci ochrany osobních údajů zpracovávány v různých typech organizací / společností:
- souhlas se zpracováním osobních údajů;
- informace subjektům údajů dle čl. 13 Nařízení GDPR (pro všechny subjekty, zaměstnance, zákazníky);
- informace subjektům údajů dle čl. 14 Nařízení GDPR (když se osobní údaje získávají mimo zdroj subjektu údajů);
- interní směrnice dle čl. 24 Nařízení GDPR;
- zpracovatelské smlouvy;
- posouzení oprávněného zájmu;
- dokumentace k DPO (Pověřenec pro ochranu osobních údajů) – posouzení potřebnosti DPO, posouzení kvalifikace DPO, posouzení priorit práce DPO, jmenování DPO;
- dokumentace žádostí o výkon práv subjektů údajů;
- dokumentace o zabezpečení (bezpečnostní směrnice);
- záznamy o činnostech zpracování dle čl. 30 Nařízení GDPR;
- metodika posuzování nutnosti hlášení porušení zabezpečení;
- posouzení rizik zpracování jednotlivých operací;
- posouzení vlivu na ochranu osobních údajů;
- metodika a dokumentace předávání osobních údajů mimo EU;
- další relevantní dokumentace.
- Některé z výše uvedených dokumentů bývají zahrnuty v interní směrnici organizace / společnosti, metodické postupy bývají popsané v rámci komplexní interní metodiky atd. Seznam a rozsah dokumentace týkající se ochrany osobních údajů záleží na typu organizace / společnosti – důležitý je vždy obsah jednotlivých dokumentů, ne počet zpracovaných dokumentů.
Porušení zabezpečení osobních údajů nemusí znamenat porušení GDPR
- V případě úniku osobních údajů v důsledku kybernetického útoku, se automaticky nemusí jednat o porušení Nařízení GDPR. Porušení ochrany osobních údajů musí být vždy posuzováno konkrétně v kontextu nastalé situace.
- Soudní dvůr EU v prosinci 2023 vydal rozhodnutí (viz rozhodnutí k věci C-340/21), že samotné porušení zabezpečení osobních údajů nepostačuje k tomu, aby bylo možné konstatovat porušení čl. 24 a čl. 32 Nařízení GDPR. Soudní dvůr EU dále dospěl k závěru, že obava z možného zneužití osobních údajů třetími stranami, kterou má subjekt údajů v důsledku porušení Nařízení GDPR, může sama o sobě představovat nehmotnou újmu ve smyslu GDPR.
- Neoprávněné poskytnutí nebo zpřístupnění osobních údajů třetími stranami ve smyslu čl. 4 bodu 10 Nařízení GDPR tedy nepostačuje k tomu, aby bylo možné konstatovat, že technická a organizační opatření zavedená správcem osobních údajů nejsou „vhodná“ ve smyslu čl. 24 a čl. 32 Nařízení GDPR, a že došlo k porušení GDPR chybou správce osobních údajů. Na základě posouzení všech aspektů úniku osobních údajů a porušení zabezpečení třetí stranou může být správce osobních údajů zproštěn odpovědnosti za únik osobních údajů.
Kybernetické incidenty koncem roku 2023
- Národní úřad pro kybernetickou a informační bezpečnost evidoval v prosinci 2023 mírný nárůst počtu evidovaných kybernetických incidentů. Bylo evidováno celkem 12 incidentů, z nichž všechny byly méně významné a v rámci klasifikace převažovala kategorie „Dostupnost“ (narušení dostupnosti způsobené DoS/DDoS útokem nebo sabotáží), „Informační bezpečnost“ (neautorizovaný přístup k datům či neautorizovaná změna informace) a „Průnik“ (kompromitace aplikace nebo uživatelského účtu).
- Za registrovanými DDoS útoky stála skupina NoName057(16) a také skupina Anonymous Russia, která se na české cíle zaměřila po více než půl roce. U několika DDoS útoků není jejich původce prozatím známý.
- I přesto, že v prosinci 2023 došlo k mírnému nárůstu evidovaných incidentů oproti listopadu 2023, tak i nadále byla výsledná hodnota poměrně nízko pod ročním průměrem, který se pohyboval okolo 19 incidentů měsíčně.
Nová doména webových stránek NÚKIB
- Od poloviny prosince 2023 Národní úřad pro kybernetickou a informační bezpečnost používá pro provoz svých webových stránek https://nukib.gov.cz doménu gov.cz, která byla zavedena s cílem zvýšit kybernetickou bezpečnost a podpořit uživatelskou přehlednost.
- Webové stránky NÚKIB budou nadále dostupné i na adrese nukib.cz a na novou primární subdoménu pod gov.cz budou automaticky přesměrovány.
Základní pravidla realizace online jednání v souladu s GDPR
- Při organizaci a realizaci online jednání / videokonferencí je nezbytné dodržet základní pravidla a postupy dodržující ochranu osobních údajů účastníků jednání v souladu s Nařízením GDPR, tj. zejména:
- Zvolit důvěryhodného poskytovatele videokonferenčních služeb a mít s ním uzavřenou smlouvu (zajistit, aby přenášené informace byly řádně šifrovány a zabezpečeny před neoprávněným přístupem).
- V souladu s principem GDPR „minimalizace dat“ zpracovat seznam osobních údajů získaných z online jednání, např. jména, příjmení, uživatelská jména, e-mailové adresy, mobilní telefonní čísla atd.
- Stanovit účel zpracování osobních údajů v souladu se zákonným důvodem, tedy proč budou osobní údaje účastníků online jednání shromažďovány a jak s nimi bude naloženo.
- Splnit informační povinnost, tj. na začátku online jednání upozornit účastníky jednání na zpracování osobních údajů (které a k jakému účelu budou osobní údaje zpracovány, jakým způsobem a na základě jakého právního důvodu).
- Upozornit účastníky online jednání na eliminaci příp. narušení jejich soukromí při práci z domova, např. prostřednictvím nastavení filtru či falešného pozadí.
- Informovat účastníky online jednání o příp. nahrávání jednání, jak dlouho a kde bude nahrávka uchovávána.
- Bezpečně uložit záznam z online jednání a zpřístupnit ho pouze oprávněným osobám.
- Umožnit účastníkům online jednání opravu nebo odstranění zaznamenaného obsahu jednání.
Uživatelé Facebooku a Instagramu si mohou zaplatit za své soukromí
- Na základě velkého počtu pokut a zákazů udělených dozorovými orgány v oblasti ochrany osobních společnost Meta přišla s novou praktikou ohledně zpracování osobních údajů. Uživatelé Facebooku a Instagramu si v současné době mohou při spuštění aplikace vybrat ze dvou možností – buď uhradit měsíční poplatek (12,99 EUR a za Instagram dodatečných 8 EUR) výměnou za to, že nebudou využívány jejich osobní údaje pro účely reklamy, nebo udělit souhlas se zpracováním osobních údajů.
- Podle organizace NOYB je postup praktiky „Pay or Okay (Zaplať, nebo souhlas)“ nezákonný. Organizace NOYB koncem minulého roku již podala u rakouského dozorového orgánu stížnost na praktiku společnosti Meta, v níž přístup společnosti Meta kritizuje a napadá. Podaná stížnost je založena na tvrzení, že nikdo by neměl být nucen platit za něco, co je jeho přirozeným právem a co mu zákon přikládá.
- NOYB upozorňuje i na to, že rozhodnutí o postupu společnosti Meta by mohlo otevřít dveře pro ostatní poskytovatele sociálních sítí a aplikací, kteří by se mohli rozhodnout příklad společnosti Meta následovat, a s ohledem na předpokládané měsíční poplatky za používané aplikace by se soukromí / ochrana zpracovávaných osobních údajů stala „právem bohatých“.
Právo na náhradu újmy při úniku osobních údajů z Facebooku
- V dubnu 2021 došlo z důvodu bezpečnostní chyby na straně společnosti Meta k velké krádeži dat na Facebooku, která se dotkla i cca 1,4 milionu uživatelů z České republiky. Ukradená data (jména, e-mailové adresy, telefonní čísla, datum narození, příbuzenský vztah a další osobní údaje) se objevila na hackerských fórech a mohla být použita k podvodům, manipulacím a kybernetickým útokům.
- Dle aktuálních informací společnost Meta bude muset za svou nedbalost, která způsobila únik osobních dat z Facebooku, zaplatit, a to i samotným dotčeným uživatelům. Soudy přiznávají poškozeným uživatelům Facebooku odškodné až do částek, které v přepočtu převyšují 100 tis. Kč. Společnost Meta se v řízeních brání, ale soudy se velmi často staví na stranu poškozených uživatelů. Ve prospěch uživatelů hovoří i nedávné rozhodnutí Soudního dvora EU, ve kterém je přijat závěr, že člověk poškozený porušením GDPR nemusí utrpět újmu o určité závažnosti k tomu, aby mohl požadovat její odčinění (viz rozsudek Soudního dvora ve věci C-300/21).
- Pokud je uživatel Facebooku dotčen únikem osobních údajů, existuje velká pravděpodobnost, že má nárok na náhradu škody nebo nemajetkové újmy, tj. poškozený uživatel může získat kompenzaci za to, že jeho údaje byly ukradeny a dostaly se do oběhu, a to i v případě, že uživatel (zatím) v důsledku kybernetických útoků neutrpěl žádnou přímou finanční škodu (např. náklady spojené se změnou telefonního čísla). Tato kompenzace se opírá o Nařízení GDPR, které definuje povinnosti zpracovatele osobních údajů, mj. povinnost tyto údaje chránit, povinnost oznamovací a informační atd.
- Uživatelé Facebooku si mohou ověřit např. na webové stránce https://sec.hpi.uni-potsdam.de/ilc/search, zda se hackerský útok týkal i jich. Pokud ano, tak je doporučen následující postup:
- Nastavit si nové a silné heslo, ideálně pro každý z používaných internetových účtů.
- Příp. změnit e-mailovou adresu, číslo mobilního telefonu.
- Aktivovat dvoufaktorové ověřování.
- Zvážit možnost uplatnění nároku na finanční kompenzaci po společnosti Metě (Facebooku), a to buď mimosoudním uplatněním nároků, nebo žalobou u soudu. Společnost Metu může uživatel zažalovat i u českých soudů, je doporučeno prostřednictvím advokátní společnosti nejdříve podat prvotní výzvu a až pak příp. žalobu.
Rozsah a způsob zpracování osobních údajů automobilovými společnostmi
- Elektronizace a konektivita automobilů zažívá v posledních letech obrovský rozmach, což s sebou nese i časté přenosy získaných dat. Automobil o svém řidiči získává obdobný objem údajů a dat jako např. chytrý mobilní telefon. Automobil stejně jako mobilní telefon lze považovat za koncové zařízení, do kterého data vkládají sami uživatelé.
- Mnoho modelů automobilů uváděných na trh má v sobě zabudovaná různá telematická zařízení, snímače a čidla připojená jak z vnější strany automobilu, tak i na palubní desce. Tato čidla a senzory sbírají data o řidiči, ale i o spolucestujících a dalších osobách. Standardní senzory zaznamenávají výkon motoru, spotřebu, stav nádrže a další technické aspekty vozidla. Čidla zabudovaná v automobilu mohou ale zaznamenávat i jízdní návyky, navštívená místa, pohyby očí řidiče, jeho puls nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby. Většinu těchto údajů lze považovat za osobní, jelikož i přes to, že často nejsou spojeny s konkrétním jménem, umožňují přímou či nepřímou identifikaci osoby.
- Většina elektronizovaných automobilů umožňuje i funkci připojení mobilního telefonu k automobilu, díky kterému pak dochází k širšímu rozsahu zpracování dat, např. o používaných aplikacích, uskutečněných hovorech atd.
- Uživatelé si velmi často ani neuvědomují, jaká data o nich mohou být prostřednictvím používaného automobilu shromažďována a kam mohou být předávaná. Údaje získané prostřednictvím automobilů mohou být poskytovány výrobci, příp. společnosti v rámci koncernu výrobce, prodejcům, servisním centrům, marketingovým a reklamním agenturám, pojišťovnám či leasingovým společnostem. Některé informace (např. o navštívení webové stránky dané automobilové společnosti) mohou být v rámci cílení reklamy dokonce poskytovány sociálním sítím.
- Dle Nařízení GDPR jsou jednotlivé složky koncernů automobilek sídlící na území EU povinny dodržovat vůči svým uživatelům (subjektům údajů) informační povinnost vzhledem ke zpracování osobních údajů. Na webových stránkách automobilové značky by vždy měl být zveřejněn dokument informující o rozsahu, účelu a způsobu zpracování osobních údajů.
- Eliminaci sběru osobních údajů při používání automobilu lze zajistit např.:
- seznámením se zásady ochrany osobních údajů zveřejněnými na webových stránkách dané automobilové společnosti;
- překontrolováním, k čemu konkrétně se udělovaný souhlas se zpracováním osobních údajů vztahuje;
- minimalizací připojení mobilního zařízení k automobilu a používání aplikací či alespoň omezení jejich oprávnění v telefonu;
- vypnutí funkce sledování lokace atd.
Google urovnal hromadnou žalobu za porušení ochrany soukromí
- Koncem minulého roku společnost Google potvrdila souhlas s uzavřením dohody ohledně urovnání hromadné žaloby ve výši 5 mil. dolarů, která na ni byla podaná v roce 2022 ve Spojených státech amerických za porušování ochrany soukromí při vyhledávání informací v anonymním režimu prostřednictvím prohlížeče Chrome.
- Hromadná žaloba tvrdila, že společnost Google klame uživatele a tvrdí jim, že při používání anonymního režimu nebude sledovat jejich internetovou aktivitu. Podle žalujících ale reklamní technologie Google a webové stránky třetích stran, které používaly službu Google Analytics nebo Google Ad Manager, nadále katalogizovaly podrobnosti o návštěvách a aktivitách uživatelů na stránkách a odesílaly tyto informace zpět na servery společnosti Google. Díky tomuto nastavení společnost Google shromažďovala o uživatelích anonymního módu velké množství informací.
- Podmínky dohody vyrovnání hromadné žaloby nebyly zatím zveřejněny – předpokládá se, že konečná podoba dohody bude schválena federálním soudem v únoru 2024.
Aktualizace Metodického návodu k aplikaci zákona o registru smluv
- Na základě novely zákona o elektronických úkonech a autorizované konverzi dokumentů, ve které došlo ke změně § 14b zákona od 1. února 2024 v tomto znění: „Digitální a informační agentura zapíše údaje o fyzické nebo podnikající fyzické osobě, která má zřízenu a zpřístupněnu datovou schránku, do seznamu držitelů datových schránek, na žádost této osoby.“ proběhla i úprava Metodického návodu k aplikaci zákona o registru smluv (https://www.dia.gov.cz/egovernment/registr-smluv/metodicke-dokumenty/).
- Jedná se o důležitou změnu v oblasti zpracování osobních údajů, konkrétně ve zveřejňování jmen a adres uživatelů datových schránek. Novela nově stanoví, že pro fyzické osoby a podnikající fyzické osoby budou údaje zapsány pouze na její žádost, tedy ne automaticky.
- Seznam držitelů datových schránek z řad fyzických osob a podnikajících fyzických osob bude smazán a nově se do něj budou dostávat jen údaje o těch osobách, které o to požádají. Proto metodika nově doporučuje Identifikátor datové schránky fyzická osoba nebo podnikající fyzická osoba neuvádět.
Sledování zaměstnanců při podezření z porušení pracovních povinností
- Německý zaměstnavatel zadal sledování svého zaměstnance detektivní kanceláří, aby potvrdil podezření, že zaměstnanec čerpá nemocenskou dovolenou, i když není nemocný. Následně výsledky šetření soukromého detektiva použil jako důvod pro rozvázání pracovního poměru.
- Soud v Německu však tento postup vyhodnotil jako zásah do práva zaměstnance na ochranu osobnosti, přičemž je to důvod pro aktivaci čl. 82 Nařízení GDPR, tedy že zaměstnanec má nárok na náhradu nemajetkové újmy. Proti tomuto rozhodnutí se zaměstnavatel odvolal, jeho odvolání však bylo zamítnuto.
- Podle soudu zaměstnavatel tím, že se rozhodl monitorovat zaměstnance prostřednictvím soukromého detektiva, použil invazivní opatření a dopustil se tím porušení zásady minimalizace.
Zasílání obchodních sdělení ve prospěch třetích stran
- Úřad pro ochranu osobních údajů udělil rekordní pokutu ve výši 7,7 milionu Kč za zasílání obchodních sdělení ve prospěch třetích stran společnosti zajišťující přepravu. Ta šířila od roku 2015 na e-mailové adresy svých zákazníků obchodní sdělení ve prospěch třetích stran, aniž disponovala předchozím souhlasem adresátů.
- Vzhledem k tomu, že společnost propagovala v podobě nabídek různých slev a voucherů třetí strany, bylo třeba, aby pro takové šíření obchodních sdělení disponovala předchozím souhlasem adresátů. Nenabízela totiž vlastní výrobky či služby, a nemohla tedy využít právní důvod „oprávněného zájmu přímého marketingu“, který se vztahuje na kontakty získané v souvislosti s prodejem výrobku či služby, a to za účelem nabídky vlastních obdobných výrobků či služeb.
- Obchodní sdělení byla vkládána do e-mailových zpráv obsahujících potvrzení o provedeném nákupu, a adresáti tak neměli žádnou možnost tato obchodní sdělení jakýmkoliv způsobem odmítnout.
- Jde o dosud nejvyšší pravomocně uloženou pokutou ze strany ÚOOÚ. Její výše odráží zejména rozsah takto oslovených adresátů, kterých bylo přes 40 milionů, dobu, po kterou byla daná obchodní sdělení zasílána, a způsob oslovení.
Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti
- Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil ve spolupráci se Státní pokladnou Centrem sdílených služeb, s. p. (SPCSS) podpůrný materiál Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti, který navazuje na dříve vydaného Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti.
- Provedení hodnocení rizik u výběrového řízení před uzavřením smlouvy je klíčovým krokem v rámci řízení dodavatelů. NÚKIB proto ve spolupráci s SPCSS vytvořil Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti. Materiál přibližuje problematiku hodnocení rizik u výběrového řízení s důrazem na veřejné zakázky hlavně těm, kteří s ní mají jen minimální nebo žádné zkušenosti. Ti zkušenější, kteří jsou zodpovědní za hodnocení rizik v procesu řízení dodavatelů, mohou dokument využít jako zdroj inspirace k vylepšení vlastních zavedených postupů.
- Nově zveřejněný podpůrný materiál představuje jeden z možných správných postupů. Jedná se pouze o doporučení, přičemž je nutné uvedené principy přizpůsobit prostředí konkrétní organizace.
- Dokument obsahuje teoretické i praktické části a modelové příklady. V teoretické části je rozebírána opora hodnocení rizik v legislativě a jednotlivá ustanovení vyhlášky o kybernetické bezpečnosti (VKB), která se týkají řízení dodavatelů. Praktická část obecně popisuje, jaké kroky jsou nutné při hodnocení rizik provést. Modelové příklady obsahují konkrétní ukázky s využitím veřejné zakázky, které jsou aplikovány v prostředí fiktivního ministerstva. Podpůrný materiál vychází z VKB, je ale doplněn o řadu zkušeností z praxe.
- NÚKIB k řízení dodavatelů vydal tyto metodiky:
- Metodika řízení dodavatelů
- Podpůrný materiál doplněný o přílohy zabývá se řízením dodavatelů v průběhu celého životního cyklu dodávky. Jeho součástí jsou doporučení a praktické postupy pro tvorbu politik řízení dodavatelů podle požadavků vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.
- Příloha 1 – Evidence dodavatelů
- Příloha 2 – Životní cyklus dodavatelského vztahu
- Příloha 3 – Registr rizik
- Příloha 4 – Hodnocení dodavatelů
- Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost
- Účelem dokumentu je poskytnout veřejným zadavatelům, zejména správcům kritické informační infrastruktury (KII), významných informačních systémů (VIS) a informačních systémů základní služby (PZS) podporu při zadávání veřejných zakázek v oblasti informačních a komunikačních technologií s cílem omezit negativní dopady, které může tento formalizovaný proces výběru dodavatele mít pro oblast kybernetické bezpečnosti. Cílem dokumentu není poskytnout komplexně zpracovaný postup pro zadávání veřejných zakázek, spíše je koncipován jako shrnutí možností, které zadavatelé pro řešení problematických částí mají.
- Dokument byl vypracován NÚKIB za spolupráce s Ministerstvem pro místní rozvoj, jako gestorem zákona o zadávání veřejných zakázek, a konzultován s Úřadem pro ochranu hospodářské soutěže jako dohledovým orgánem. Dokument nelze považovat za stanovisko daných institucí k otázkám vztahujícím se ke konkrétním případům, neboť ty jsou vydávány vždy na základě jejich konkrétních okolností.
- Požadavky na smlouvy s dodavateli
- Vodítko k vysvětlení jednotlivých požadavků vyhlášky č. 82/2018 Sb. kladených na smlouvy s dodavateli. Jedná se o vysvětlení jednotlivých požadavků přílohy č. 7 této vyhlášky. Materiál byl doplněn o poznatky z praxe (verze 1.2).
- Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti
- Tento podpůrný materiál má přiblížit problematiku hodnocení rizik u výběrového řízení s důrazem na provedení formou veřejné zakázky hlavně těm, kteří s ní mají jen minimální nebo žádné zkušenosti. Ti se zkušenostmi, kteří jsou zodpovědní za hodnocení rizik v procesu řízení dodavatelů, mohou dokument využít jako zdroj inspirace k vylepšení vlastních zavedených postupů.
- Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti
- Tento podpůrný materiál má přiblížit problematiku řízení aktiv a rizik dle VKB především těm, kteří s ní nemají žádné nebo minimální zkušenosti. Zkušenější manažeři kybernetické bezpečnosti mohou podpůrný materiál využít jako zdroj inspirace pro vylepšení již zavedených postupů. Podpůrný materiál je doplněn o přílohy, které slouží jako inspirace a je nutné je upravit pro potřeby konkrétní organizace.
- Příloha 1 – Vzorová politika systému řízení bezpečnosti informací
- Příloha 2 – Vzorová metodika pro identifikaci a hodnocení aktiv a hodnocení rizik
- Příloha 3 – Zjednodušená dopadová tabulka
- Příloha 4 – Struktura podpůrných aktiv
- Příloha 5 – Vzorová pravidla ochrany jednotlivých úrovní aktiv
- Příloha 6 – Vzorové hodnocení aktiv a rizik
- Příloha 7 – Vzorové prohlášení o aplikovatelnosti
- Příloha 8 – Vzorový plán zvládání rizik
- Příloha 9 – Vzorová zpráva o hodnocení rizik
- Příloha 10 – Vzorové hodnocení rizik pro veřejnou zakázku
- Příloha 11 – Vzorová zpráva o hodnocení rizik pro veřejnou zakázku
- Příloha 12 – Vzorové alternativní hodnocení rizik u primárních aktiv
- Příloha 13 – Vzorový plán zvládání rizik alternativního hodnocení
- Příloha 14 – Zkratky a používané pojmy
- Metodika řízení dodavatelů
- Metodické materiály jsou uvedeny na webových stránkách NÚKIB: https://nukib.gov.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/podpurne-materialy/.
ÚOOÚ požaduje odstranění rodných čísel z občanských průkazů
- Úřad pro ochranu osobních údajů nesouhlasí s novelou zákona o občanských průkazech, která navrhuje časově neohraničené uvádění rodného čísla v občanském průkazu. Poslanecká sněmovna Parlamentu České republiky schválila návrh zákona, kterým se mění zákon č. 269/2021 Sb., o občanských průkazech,. Ten má zrušit dosud platné ustanovení, které počítá s koncem zapisování rodných čísel do občanských průkazů od roku 2025.
- Uvádění rodného čísla v občanském průkazu představuje závažná rizika z hlediska ochrany osobních údajů a soukromí, a to mj. v souvislosti s propojováním dat a možnosti jejich zneužití ve virtuálním prostoru, kde existují jen velmi obtížné možnosti kontroly a nápravy.
- Neuvádění rodného čísla v občanském průkaze přitom neznamená jeho zrušení, ale pouze to, že se výrazně omezí možnost jeho potenciálního zneužití. Takové opatření by představovalo podstatné zvýšení standardu ochrany jednotlivce z pohledu základního práva na ochranu osobních údajů.
- V rámci veřejné správy byl zákonem č. 111/2009 Sb., o základních registrech zaveden model bezvýznamových identifikátorů. Jednotný a nezměnitelný identifikační údaj (rodné číslo) o fyzické osobě byl nahrazen zdrojovým identifikátorem fyzické osoby (ZIFO) a mnoha agendovými identifikátory fyzické osoby (AIFO). Tím se zabránilo nekontrolovatelnému propojování osobních údajů, aniž by došlo k omezení efektivity veřejné správy.
- Tím došlo k doplnění údaje o agendovém identifikátoru do datového fondu konkrétní agendy, čímž veřejná správa od roku 2012 postupně v zásadě naplňuje základní požadavky na ochranu osobních údajů fyzických osob se zabráněním neoprávněného slučování údajů (tzv. profilování) o jedné osobě.
- Pro soukromý sektor je od 1. července 2022 v § 12a zákona č. 12/2020 Sb., o právu na digitální služby, zaveden bezvýznamový směrový identifikátor (BSI), který soukromému sektoru plně nahrazuje rodné číslo a má pro něj tu výhodu, že poskytuje státem zaručenou lepší identifikaci jejich klientů, a to bez ohledu na jakoukoliv změnu identifikátorů, včetně rodného čísla. Na rozdíl od rodného čísla však není bezvýznamový směrový identifikátor univerzální, protože je vázán na konkrétního podnikatele. Lidé si přitom bezvýznamový směrový identifikátor pamatovat nemusejí, dokonce se ho ani nedozvědí, protože vůči podnikateli (terminologií zákona „poskytovateli služeb“) se budou identifikovat přirozenými identifikátory a číslem dokladu, zejména občanského průkazu.
Nové webové stránky ÚOOÚ
- Úřad pro ochranu osobních údajů od 1. listopadu 2023 spustil ověřovací provoz nových webových stránek úřadu https://uoou.gov.cz. Původní internetové stránky úřadu https://old.uoou.cz jsou stále funkční, ale nejsou již aktualizovány.
- Nová podoba webových stránek ÚOOÚ byla spuštěna s přechodem úřadu na novou doménu uoou.gov.cz, který by měl zajistit zvýšení uživatelské přívětivosti internetové prezentace ÚOOÚ a posílení kybernetické bezpečnosti.
Dopad novely zákona o elektronických úkonech a autorizované konverzi dokumentů na zpracování osobních údajů
- Ve Sbírce zákonů byl vyhlášen zákon č. 327/2023 Sb., kterým se mění zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů, účinný od 1. února 2024. Novela zákona se týká ustanovení § 14. Jedná se o důležitou změnu v oblasti zpracování osobních údajů, konkrétně ve zveřejňování jmen a adres uživatelů datových schránek. Novela nově stanoví, že pro fyzické osoby a podnikající fyzické osoby budou údaje zapsány pouze na její žádost, tedy ne automaticky.
- Informační systém datových schránek (ISDS) je informačním systémem veřejné správy, který obsahuje informace o datových schránkách a jejich uživatelích. Správcem ISDS je od 1. dubna 2023 Digitální a informační agentura, provozovatelem ISDS je držitel poštovní licence.
- Dle novelizovaného § 14b zákona od 1. února 2024 „Digitální a informační agentura zapíše údaje o fyzické nebo podnikající fyzické osobě, která má zřízenu a zpřístupněnu datovou schránku, do seznamu držitelů datových schránek, na žádost této osoby“.
Výsledky dozorové akce EDPB – CEF 2023: Kontrola Pověřenců pro ochranu osobních údajů
- Úřad pro ochranu osobních údajů se v letošním roce zapojil do dozorové akce Coordinated Enforcement 2023 realizované Evropským sborem pro ochranu osobních údajů (EDPB). Cílem této dozorové akce, do které se zapojilo celkem 26 evropských dozorových úřadů, je prověření úlohy a postavení Pověřenců pro ochranu osobních údajů v jednotlivých zemích evropského hospodářského prostoru.
- V rámci této dozorové akce se český ÚOOÚ zaměřil na postavení Pověřenců pro ochranu osobních údajů působících ve veřejné správě. ÚOOÚ oslovil celkem 14 správců osobních údajů, kteří vyplnili 12-stránkový dotazník rozdělený do čtyř částí. Odpovědi uvedené ve vyplněných dotaznících indikují zásadní nedostatky v postavení Pověřenců pro ochranu osobních údajů ve veřejné správě – Pověřenci často nemají přístup k informacím a nejsou zapojováni do procesů souvisejících se zpracováním osobních údajů, tj. nevykonávají svou činnost v souladu s Nařízením GDPR.
- Vnitrostátní zjištění jednotlivých evropských dozorových úřadů budou shrnuta ve zprávě EDPB, ve které zúčastněné dozorové úřady zformulují doporučení týkající se činnosti navazující na roční kontrolní činnost. Tato souhrnná zpráva bude zveřejněna začátkem roku 2024.
Pravidla pro pořizování záznamů z online jednání
- Při pořizování nahrávek z online jednání dochází často k chybám z pohledu zpracování osobních údajů, které záznamy bezpochyby obsahují. Uvádíme proto základní pravidla, která se liší podle účelu pořízení a především podle míry zveřejnění pořízeného záznamu.
a) Zpřístupnění záznamu uzavřené skupině osob (účastníci a organizátoři jednání)
Právní důvod zpracování:
- Pracovní jednání – oprávněný zájem správce spočívající v možnosti:
- pořídit zpětně věrný záznam jednání;
- sdílet informace z jednání s kolegy, kteří se jednání nemohli zúčastnit (zvýšení efektivity práce);
- sdílet informace s osobami, které se do projektu zapojí později (rovněž efektivita organizace práce);
- zpětného hodnocení postupu projektu.
- Školení, konference, přednášky – oprávněný zájem správce spočívající v možnosti:
- pořídit záznam z akce tak, aby tento záznam mohl být účastníky školení v budoucnosti konzultován (tj. využití poznatků ze školení v praxi); resp.
- sdílení školení s osobami, které se jej nemohly zúčastnit, ale poznatky ze školení jsou pro ně relevantní.
Vyžadování souhlasu s nahrávkou
- Vzhledem k výše uvedenému není nutné vyžadovat souhlas s nahráváním, nezbytné je však nahrávání účastníkům oznámit a informaci o nahrávání mít po celou dobu zobrazenou (zajistí MS Teams / SW). Pokud by někdo vznesl proti nahrávání námitku, je dostačující doporučit mu vypnout kameru / mikrofon / používat pouze chat.
- Příklad znění informace o nahrávání: „Upozorňuji účastníky jednání, že z jednání bude pořízena nahrávka, která bude zpřístupněna členům týmu.“
- Podmínkou je, že záznam bude zpřístupněn pouze v rámci uzavřené skupiny příjemců (členů týmu / účastníků akce) a to bez ohledu na to, zda se jedná o zaměstnance organizace nebo externí členy týmu.
b) Zveřejnění záznamu neomezenému okruhu osob, které se mohou se záznamem seznámit
- V případě, že je na záznamech pouze řečník (zaměstnanec organizace), stačí tohoto zaměstnance o zveřejnění informovat, případně mu umožnit odmítnout přednášet. Pokud je na záznamech rozpoznatelná podoba účastníků jednání / školení, je na místě si od těchto osob vyžádat souhlas.
- Příklad znění informace o pořízení a zveřejnění nahrávky: „Upozorňuji účastníky jednání, že z jednání bude pořízena nahrávka, která bude následně zveřejněna. Pokud si nepřejete být na nahrávce identifikovatelný, prosím vypněte si kameru a mikrofon a pro komunikaci využívejte chat.“
- V obou případech je nezbytné nahrávání účastníkům oznámit a informaci o nahrávání mít po celou dobu zobrazenou (zajistí MS Teams / SW). Pokud by někdo vznesl proti nahrávání námitku, je dostačující doporučit mu vypnout kameru / mikrofon / používat pouze chat.
- V případě veřejné akce je doporučeno na přihlášku uvést informaci o pořízení záznamu: „Na základě oprávněného zájmu správce bude z akce pořízen záznam. Jednání bude probíhat na platformě MS Teams. Pokud si nepřejete být na nahrávce identifikovatelný, prosím vypněte si kameru a mikrofon a pro komunikaci využívejte chat. Záznam bude zpřístupněn oprávněným uživatelům organizace a bude také zveřejněn neomezenému počtu uživatelů / přihlášeným uživatelům na xxx.“
Přísnější pravidla pro zpracování osobních údajů obyvatel Švýcarska
- Švýcarsko novelizovalo národní zákon o ochraně osobních údajů. Nově se národní pravidla vztahují na veškeré zpracování dat obyvatel Švýcarska, ať už je prováděno odkudkoliv. Pokud tedy česká společnost zpracovává v rámci své podnikatelské činnosti osobní údaje švýcarských obyvatel nebo má její činnost přímý dopad na zpracování dat ve Švýcarku, musí se od září 2023 řídit novelizovaným švýcarským zákonem o ochraně osobních údajů.
- Švýcarská pravidla pro ochranu údajů se nově vztahují jen na fyzické, nikoliv na právnické osoby. Velkým rozdílem oproti unijnímu právu je způsob trestání za porušení pravidel pro zpracování osobních údajů – za úmyslné porušení jsou nyní trestně stíháni odpovědní zaměstnanci správce, typicky na úrovni nejvyššího managementu. Pokuty mohou být uloženy až do výše 250 tis. švýcarských franků (cca 6 mil. Kč).
Česká republika se připojila k prohlášení proti platbám výkupného při ransomwarových útocích
- V průběhu konání mezinárodního summitu International Counter Ransomware Summit se Česká republika spolu s dalšími více než 40 státy připojila ke společnému prohlášení proti platbám výkupného při ransomwarových útocích.
- Znění společného prohlášení proti platbám výkupného při ransomwarových útocích je zveřejněno na https://www.gov.uk/government/publications/cri-joint-statement-on-ransomware-payments/cri-joint-statement-on-ransomware-payments.
- Neplatit výkupné při ransomwarových útocích opakovaně doporučuje i Národní úřad pro kybernetickou a informační bezpečnost – viz varování NÚKIB proti ransomware útokům vydané v červnu 2023.
Hackeři zveřejnili první část dat ukradených z brněnské Univerzity obrany
- Hackerská skupina Monti, která je známá svými ransomwarovými útoky, zveřejnila v druhé polovině října 2023 část ukradených dat Univerzity obrany v Brně. Jednalo se o data Fakulty vojenského leadershipu, kateder logistiky a krizového řízení – mezi zveřejněnými dokumenty se objevily i osobní údaje vyučujících vojenských důstojníků vč. jejich dat narození, telefonních čísel a adres, zápisy z porad nebo studijní plány.
- Hackeři ze skupiny Monti požadují po svých obětech peníze za vrácení dat, případně výkupné za to, že odcizená data nezveřejní. Univerzita obrany v Brně ale odmítla zaplatit požadované výkupné, a proto hackeři zveřejnili první část ukradených dat.
- Dle vyjádření Vojenské kanceláře prezidenta republiky je vážnost úniku dat vysoká: „Studenti univerzity se stanou důstojníky, za 20 let budou na vrcholu velení. Nepřátelské zpravodajské služby bude samozřejmě zajímat, jak vypadá výuka budoucích velitelů.“
Kybernetické útoky prostřednictvím podvodných SMS zpráv
- Od konce října 2023 se v České republice objevují podvodné SMS zprávy rozesílané pod hlavičkou Všeobecné zdravotní pojišťovny (VZP). Tyto kybernetické útoky zaměřené na podvodné SMS zprávy neustále narůstají, podle odhadů VZP v ČR koluje tisíce falešných zpráv. Podvodníci podvodné SMS zprávy rozesílají z různých telefonních čísel, proto jejich zablokování není prakticky možné.
- Obsah rozesílaných podvodných zpráv je neustále modifikován. Začátkem listopadu klienti VZP obdrželi podvodné SMS zprávy vyzývající k finanční transakci týkající se zdravotního pojištění. Obsahem SMS byl i odkaz na falešnou webovou adresu, kde se má údajná transakce provést – pokud uživatelé na odkaz klikli, dostali se na podvodný web zdařile imitující vzhled pravých webových stránek VZP. Podvodníci následně požadovali přihlášení prostřednictvím bankovní identity. V současné době jsou rozesílané podvodné SMS zprávy, které nabádají k podání žádosti o peníze z fondu prevence. Cílem těchto podvodných zpráv je získat od lidí čísla bankovních účtů a přístupová hesla.
- Všeobecná zdravotní pojišťovna vyzývá své klienty, aby si v případě nejasností ověřili pravost informace obdržené od VZP na infolince pojišťovny.
Označení prvních strážců přístupu dle nařízení o digitálních trzích
- Nařízení o digitálních trzích (Digital Markets Act, DMA), které cílí na regulaci trhů a chování platforem na nich, významně omezuje možnosti velkých digitálních firem označených za „strážce přístupu“ nakládat s daty, včetně osobních údajů jejich uživatelů. Digitální giganti jsou totiž velmi často zvýhodněni v hospodářské soutěži díky přístupu k velkému množství údajů.
- Evropská komise v září 2023 označila prvních šest strážců přístupu („gatekeepers“) podle nařízení o digitálních trzích, a to společnosti Alphabet, Amazon, Apple, ByteDance, Meta a Microsoft. Tyto společnosti mají šest měsíců na to, aby pro každou ze svých určených hlavních služeb platforem zajistili plný soulad s povinnostmi a zákazy uvedenými v nařízení o digitálních trzích. V uvedené lhůtě musí Evropské komisi předložit podrobnou zprávu o dodržování nařízení, v níž uvedou způsob plnění jednotlivých povinností z něj vyplývající.
- Poskytovatel hlavních služeb platforem může být dle nařízení o digitálních trzích označen za strážce přístupu, pokud:
- má významný dopad na vnitřní trh;
- poskytuje hlavní službu platformy, která je klíčovou bránou pro podnikatelské uživatele k oslovení koncových uživatelů;
- má ve své činnosti zavedené a trvalé postavení nebo lze předpokládat, že takové postavení v blízké budoucnosti získá.
- Pokud Evropská komise zjistí, že strážce přístupu úmyslně nebo z nedbalosti nedodržuje kteroukoliv z povinností podle čl. 5 a 6 nařízení o digitálních trzích, tak mu může uložit pokutu až do výše 10 % jeho celkového obratu za předchozí účetní období.
Prověřování TV Nova kvůli přenosu od soudu
- Začátkem listopadu 2023 zpravodajský web TV Nova odvysílal v přímém přenosu internetového vysílání TN Live vyhlášení rozsudku v kauze Dominika Feriho, a to se všemi osobními údaji obětí a intimními detaily. Kvůli tomuto odvysílanému přenosu od soudu zahájil Úřad pro ochranu osobních údajů s TV Nova správní řízení pro podezření ze spáchání přestupku podle zákona č. 110/2019 Sb., o zpracování osobních údajů.
- V rámci řešeného případu soudkyně nedala souhlas s pořizováním obrazových či zvukových přenosů a v průběhu celého hlavního líčení činila další opatření k ochraně identity a dalších údajů poškozených vč. požadavku, aby informace ze soudního jednání byly poskytovány bez možnosti ztotožnění poškozených.
- TV Nova se hájí tím, že po celou dobu trvání procesu chránila soukromí obětí a respektovala pokyny soudkyně: „V případě, že nebylo umožněno přenášení či nahrávání, nic z toho jsme neprováděli. Rozsudek je ze zákona vždy vyhlašován veřejně. Předsedkyně senátu povolila i přítomnost kamer. Nemůžeme předjímat, co bude obsahem rozsudku.“ TV Nova dále zdůraznila, že přenos z TN Live se nearchivuje a není možné se k němu zpětně dostat a že žádné osobní údaje nepublikovala v jiném zpravodajském pořadu.
Pokuta udělená na udání anonyma
- Chorvatský dozorový orgán udělil chorvatské společnost vymáhající pohledávky pokutu ve výši 5,4 mil. EUR za porušení Nařízení GDPR, konkrétně za zpracování citlivých údajů a masivní únik dat subjektů údajů. Na neoprávněné zpracování osobních údajů upozornil chorvatský dozorový orgán anonym, který k předloženému podnětu k prošetření přiložil USB disk obsahující osobní údaje téměř 182 tis. fyzických osob vč. celkem 294 nezletilých, vůči kterým odkoupila pokutovaná osoba pohledávky k dalšímu vymáhání.
- Předpokládá se, že v rámci řešeného případu došlo i ke spáchání trestného činu, případ je tedy dále řešen i v rámci trestněprávního řízení.
Pokuta pro sociální síť TikTok za zpracování osobních údajů dětí
- Na začátku září 2023 irský dozorový úřad (Data Protection Commission) uložil společnosti TikTok Technology Limited pokutu ve výši 345 mil. EUR (cca 8,5 miliardy Kč) za protiprávní zpracování osobních údajů dětských uživatelů sociální sítě TikTok.
- Pokuta byla společnosti TikTok Technology Limited udělena na základě několika zásadních porušení Nařízení GDPR:
- profily dětských uživatelů sociální sítě TikTok byly defaultně nastaveny jako veřejné, tedy jako přístupné všem ostatním uživatelům sociální sítě (porušení čl. 25 odst. 1 a 2, čl. 5 odst. 1 písm. c) a čl. 24 Nařízení GDPR);
- dětský profil si do takzvané rodinné skupiny mohl přidat prakticky kterýkoliv dospělý uživatel bez ověření vztahu k dětskému uživateli (porušení čl. 5 odst. 1 písm. f) a čl. 25 odst. 1 Nařízení GDPR);
- informace pro dětské uživatele o podmínkách aplikace TikTok a zpracování jejich osobních údajů byly nedostatečné (porušení čl. 12 odst. 1 a 13 odst. 1 písm. e) Nařízení GDPR);
- používání manipulativní techniky (tzv. dark patterns), aby dětské uživatele dovedla k volbě variant s větším zásahem do jejich soukromí (porušení čl. 5 odst. 1 písm. a) Nařízení GDPR).
- Irský dozorový úřad kromě udělené pokuty uložil společnosti TikTok Technology Limited i povinnost, aby se přizpůsobila požadavkům Nařízení GDPR tím, že odstraní popsané nezákonné praktiky.
Dvojnásobný nárůst kybernetických incidentů
- Národní úřad pro kybernetickou a informační bezpečnost eviduje za poslední dva měsíce nárůst kybernetických incidentů. Poslední dobou převažují incidenty spadající do kategorie omezení dostupnosti služeb, převážná část z nich byla způsobena DDoS útoky (Distributed Denial of Service).
- Za výrazným nárůstem kybernetických incidentů stojí zejména ruská hacktivistická skupina NoName057(16), která útočila na stránky českého bankovního sektoru. Skupina NoName057(16) je aktivní již od března loňského roku, bezpečnostní experti dávají její vznik do souvislosti s válkou na Ukrajině. Proruští hackeři totiž vedou útoky typu DDoS proti zemím, které Ukrajinu podporují.
Problematika uvádění rodných čísel v občanských průkazech
- V České republice se rodná čísla používají jako jeden z běžných způsobů identifikace fyzických osob. Problematiku rodných čísel upravuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel).
- Úprava zapisování rodného čísla do občanského průkazu je obsažena v zákoně č. 269/2021 Sb., o občanských průkazech, ve znění zákona č. 471/2022 Sb., a to v jeho přechodných ustanoveních, konkrétně v § 72 odst. 10. Na základě tohoto ustanovení je rodné číslo uváděno v občanském průkazu v podobě bezprostředně čitelné nebo vnímatelné člověkem a rovněž ve strojově čitelné podobě v nosiči dat, a to po časově omezenou dobu.
- Plán na zrušení uvedení rodného čísla v občanském průkaze existuje cca 13 let. Podle původního záměru z roku 2010 mělo rodné číslo v občanském průkazu skončit v roce 2019, ale Ministerstvo vnitra zjistilo, že na tuto velkou změnu nejsou úřady připravené. Další termín pro ukončení zápisu rodných čísel do občanských průkazů, který byl stanoven na 31. prosinec 2023, byl zákonem č. 471/2022 Sb., kterým se mění zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů, a další související zákony, prodloužen do 31. prosince 2024.
- Plánovaný výmaz rodného čísla z občanského průkazu nikdy neznamenal zrušení rodných čísel jako takových. Má se jednat o postupný útlum jejich užívání ve veřejné i soukromé sféře s tím, že v systémech veřejné správy rodné číslo nahradí bezvýznamové identifikátory.
- Aktuálně je problematika zapisování rodného čísla do občanského průkazu intenzivně diskutována a řešena, a to v rámci chystané novelizace zákona č. 269/2021 Sb., o občanských průkazech. V rámci novelizace tohoto zákona již proběhlo mezirezortní připomínkové řízení a projednání vládou (podrobnosti jsou uvedeny na Portálu informačního systému ODok Úřadu vlády České republiky).
Vazba směrnice NIS2 a Nařízení GDPR
- Kybernetická bezpečnost úzce souvisí s ochranou osobních údajů, a proto také směrnice NIS2 a Nařízení GDPR se musí navzájem doplňovat.
- Za směrnici NIS2, která bude v ČR implementovaná v rámci transpoziční lhůty nejpozději do poloviny října 2024, je zodpovědný Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), za dozor GDPR je zodpovědný Úřad pro ochranu osobních údajů (ÚOOÚ). V praxi je tedy nezbytná úzká spolupráce NÚKIB a ÚOOÚ, tyto dva úřady si musí mezi sebou vyměňovat nezbytné informace a nezatěžovat regulované subjekty nad rámec nezbytného, a to např. i v případě pochybení, kdy by subjekty neměly být sankcionovány dvakrát za porušení téže povinnosti, pokud na ni dopadá jak NIS2, tak GDPR.
- Směrnice NIS2 je pokračováním a rozšířením existující směrnice Evropské unie o kybernetické bezpečnosti z roku 2016 nazvané NIS (Network and Information Security), která definuje seznam opatření k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů zajišťujících důležité služby napříč členskými státy Evropské unie.
- Směrnice NIS2 bude do českého právního rámce implementována prostřednictvím novelizace zákona č. 181/2014 Sb., o kybernetické bezpečnosti (nyní probíhá finalizace úprav návrhu zákona na základě obdržených připomínek z mezirezortního připomínkového řízení).
Předpoklad bezpečnostních standardů digitálního eura
- Evropský sbor pro ochranu osobních údajů (EDPB) a Evropský inspektor pro ochranu osobních údajů (EDPS) vydali společné stanovisko, ve kterém podporují návrh na zavedení digitální měny Evropské centrální banky. Cílem digitálního eura by mělo být poskytnutí možnosti provádět platby elektronicky, on-line i off-line, jako dalšího způsobu provádění plateb při zachování hotovostních transakcí.
- Budoucí digitální měna euro musí být z hlediska zajištění ochrany dat a soukromí chráněna nejvyššími bezpečnostními standardy. V navrhovaném zajištění bezpečnostních standardů patří podle EDPS k nejzásadnějším závazek zajistit vysokou úroveň ochrany osobních údajů při používání digitálního eura on-line a ještě vyšší úroveň ochrany při jeho používání off-line.
Používání ChatGPT z pohledu ochrany osobních údajů
- Jazykový model ChatGPT (Generative Pretrained Transformer), který funguje jako klasický chat umožňující komunikaci s umělou inteligencí, byl spuštěn v listopadu 2022 společností OpenAI.
- ChatGPT pracuje na základě rozsáhlých úložišť informací (datasetů), jejichž obsah ve většině případech tvoří data vkládaná samotnými uživateli. Z vložených údajů pak jazykový model čerpá při tvorbě odpovědí, tj. ChatGPT vložené informace uloží do své paměti a čerpá z nich při zpracování daného zadání. Tím ale vzniká riziko, že zmíněná data mohou být dostupná i jiným uživatelům, kteří zadávají jazykovému modelu nové dotazy. ChatGPT nedokáže bohužel rozeznat, které údaje jsou osobní a které nikoliv, a tudíž hrozí příp. únik osobních dat.
- S ohledem na vznikající kritiku ohledně příp. úniku osobních údajů společnost OpenAI v polovině roku 2023 zveřejnila zaktualizované zásady ochrany osobních údajů, které nyní obsahují i výčet informací shromažďovaných jazykovým chatovacím modelem – ChatGPT shromažďuje např. osobní údaje, které jsou součástí vstupu, nahraných souborů nebo zpětné vazby od uživatele (obsah komunikace), časové pásmo, země usazení uživatele, datum a čas přístupů ke službě, verze a typ počítače nebo mobilního zařízení uživatele a připojení k počítači, jakož i název zařízení, operační systém, identifikátory zařízení a konkrétní prohlížeč, který uživatel používá. ChatGPT také shromažďuje údaje o navštívených stránkách pomocí souborů cookies (na tuto skutečnost však není uživatel upozorněn standardně vyskakujícím oknem při prvním navštívení stránky) a mnohé další. Tyto informace mohou být navíc bez vědomí uživatele poskytnuty prodejcům a poskytovatelům různých služeb či přidruženým společnostem OpenAI. Dle zveřejněných zásad ochrany osobních údajů patří mezi zmíněné právní základy pro zpracování těchto údajů mimo jiné i souhlas uživatele – bohužel v současné době nejsou uživatelé před či během používání ChatGPT explicitně požádáni o aktivní souhlas se sběrem a zpracováním osobních údajů. Přitom již před prvním využíváním ChatGPT je nutná registrace, při níž dochází ke sběru osobních údajů typu jméno, příjmení, datum narození, telefon, e-mail.
- Únik citlivých dat prostřednictvím ChatGPT řešila již např. společnost Samsung, jejíž zaměstnanci využívali ChatGPT k přepisu poznámek z interních jednání a ke kontrole zdrojových kódů za účelem nalezení chyb. Při práci s ChatGPT vložili do paměti chatbota velmi citlivé údaje a vystavili tím společnost potenciálnímu úniku dat.
Eliminace rizika úniku osobních údajů při práci s chatovacím modelem
- Při používání služby chatovacích modelů je nezbytné dbát zejména na následující základní doporučení eliminující příp. rizika úniku osobních údajů:
- Do chatovacího modelu nikdy nevkládat v rámci jednotlivých dotazů osobní údaje jako je např. jméno, příjmení, poznámky z obchodního jednání vázané mlčenlivostí, citlivé zdrojové kódy atd. Jakákoliv data vložená do chatovacího modelu mohou být předmětem úniku dat přes veřejně poskytované služby chatbota.
- Proškolit zaměstnance organizace o správném způsobu užívání chatovacího modelu vč. vysvětlení potenciálních rizik a hrozeb využívání chatbotů.
- Při práci s chatovacím modelem využívat anonymní okno prohlížeče.
- Minimalizovat množství dat, která jsou o uživateli shromažďována během používání služby chatbot.
- V rámci organizace pořídit vlastní umělou inteligenci pro interní využití a zabezpečení potřeb zaměstnanců, prostřednictvím které bude zamezeno riziko nežádoucího úniku citlivých dat.
- V případě úniku citlivých dat prostřednictvím chatovacího modelu neprodleně oznámit tuto skutečnost orgánu pro ochranu osobních údajů. Požádat provozovatele konkrétní služby chatovacího modelu, aby osobní údaje nedopatřením vložené do paměti chatbota vymazal.
Zpracování osobních údajů z chytrých hodinek
- Chytré hodinky současné generace nabízí nepřeberné možnosti jejich využití, např. sledování sportovní aktivity, data o funkci srdce, data o pulsu, spálené kalorie, měření spánku a další data, jejichž sledování může pomoci zjistit různá onemocnění daného uživatele.
- Používání chytrých hodinek je pro uživatele přínosné, ale bohužel skrývá i riziko zpracování osobních údajů v rámci monitorovaných / sebraných dat. V nedávné době sdružení NOYB odhalilo, že společnost Fitbit vlastněná společností Google u vybraných typů chytrých hodinek a fitness náramků předává údaje z těchto chytrých zařízení do nespecifikovaných zemí mimo EU. Společnost Fitbit v rámci poskytovaných informací neuvádí seznam zemí, do kterých jsou osobní údaje předávány, a nespecifikuje ani konkrétní rizika, která uživatelům chytrých zařízení hrozí.
- Pokud si uživatel chytrých hodinek chce v rámci aplikace Fitbit vytvořit účet – bez kterého nelze chytré zařízení plnohodnotně využívat – musí aplikaci udělit svůj souhlas s předáváním osobních údajů mimo EU. V případě aplikace společnosti Fitbit poskytnutí souhlasu nelze fakticky nijak obejít a uživatelé chtějící aplikaci využívat musí souhlas bezpodmínečně udělit. Takový souhlas však z povahy věci nemůže být udělen svobodně, neboť je jím podmíněné využití služeb.
- Sdružení NOYB došlo k závěru, že předmětné zpracování je nezákonné a jménem tří uživatelů podalo celkem tři stížnosti, a to k rakouskému, nizozemskému a italskému dozorovému orgánu. Prostřednictvím těchto stížností se chce sdružení NOYB domoci toho, aby byl Fitbit přinucen sdělit veškeré informace dle čl. 13 Nařízení GDPR vč. podrobností o předávání osobních údajů mimo EU.
Zpřístupnění osobních údajů klientů švédské pojišťovny
- Švédská pojišťovna Trygg-Hansa nedostatečně zabezpečila osobní údaje statisíců svých klientů a vystavila je značnému riziku zpřístupnění těchto údajů. Na tuto skutečnost upozornil švédský dozorový úřad (IMY) subjekt údajů, který podal na pojišťovnu stížnost za porušení Nařízení GDPR.
- Švédský dozorový úřad zjistil, že v období od října 2018 do února 2021 bylo možné získat přístup k údajům 650 tisíc zákazníků pojišťovny Trygg-Hansa. Pojišťovna neoprávněným osobám zpřístupnila dokumenty, které v některých případech obsahovaly osobní údaje vč. podrobných informací o zdravotním stavu, finanční údaje, kontaktní údaje, čísla sociálního pojištění a informace o pojištění.
- Švédský dozorový úřad v rámci vyšetřování dospěl k závěru, že pojišťovna nepřijala vhodná technická opatření k zajištění úrovně zabezpečení, která by odpovídala danému riziku. Za porušení čl. 5 odst. 1 písm. f) a čl. 32 odst. 1 Nařízení GDPR byla společnosti Trygg-Hansa udělena pokuta ve výši 35 mil. švédských korun (cca 2,9 mil. EUR).
Pokuta za únik seznamu lidí určených k propuštění
- Berlínský dozorový úřad udělil německé firmě pokutu v celkové výši 215 tis. EUR (cca 5,2 mil. Kč) za zpracovávání citlivých informací o zdravotním stavu svých zaměstnanců a o jejich možném zájmu na založení odborů. Tyto informace německá společnost zpracovávala v rozporu s pravidly stanovenými v Nařízení GDPR.
- Berlínský dozorový úřad se o protiprávním jednání společnosti dozvěděl z médií a ze stížnosti podané dotčeným subjektem údajů. Během vyšetřování dozorový úřad zjistil, že v období od března do července 2021 si jeden z manažerů společnosti vedl na pokyn vedení společnosti seznam všech zaměstnanců ve zkušební době za účelem přípravy se na příp. ukončení pracovního poměru v průběhu zkušební doby zaměstnanců. Mezi důvody předmětného hodnocení byly uvedeny např. zdravotní údaje zaměstnanců, nebo okolnosti přímo nesouvisející s výkonem práce či informace o možném zájmu zaměstnance na založení odborů.
- Kromě pokuty za porušení Nařízení GDPR byly společnosti uloženy další tři pokuty v celkové výši přibližně 40 tis. EUR za to, že tvorba daného seznamu zaměstnanců nebyla konzultována s Pověřencem pro ochranu osobních údajů působícím ve společnosti; za pozdní ohlášení porušení zabezpečení osobních údajů a za neuvedení předmětného seznamu zaměstnanců v Záznamu společnosti o činnostech zpracování
Zpracování fotografií zaměstnanců
- Zpracování fotografií zaměstnanců lze provádět na základě tzv. oprávněného zájmu zaměstnavatele (např. vstupní karty) nebo souhlasu (např. fotografie z akcí).
- Zaměstnanec musí být vždy o zpracování fotografie (i dalších osobních údajů) jasně informován, a to i v případě, kdy není vyžadován jeho souhlas.
- Souhlas musí být svobodný a zaměstnancem kdykoliv odvolatelný.
- Zaměstnavatel musí být připraven i na možnost, že souhlas od zaměstnance nedostane, a v takovém případě nemůže fotografií zaměstnance vůbec disponovat.
- Udělení souhlasu nesmí být podmínkou účasti na akci / vznesení námitky nebo neudělení souhlasu nesmí být důvodem pro odepření možnosti akce se účastnit.
- V případě dodatečného odvolání souhlasu musí zaměstnavatel fotografii vymazat ze všech svých evidencí.
- Při zpracování fotografií je vždy nutné respektovat soukromí a důstojnost zaměstnance (např. fotografie z večírků apod).
- Vstupní karty zaměstnanců
- Fotografie zaměstnanců lze zpracovávat za účelem vydání vstupních karet na základě oprávněného zájmu bezpečnosti osob a majetku a souhlas zaměstnance s použitím fotografie za tímto účelem tak není potřebný.
- Fotografii nelze umístit na vstupní kartu bez vědomí zaměstnance, proto musí být zaměstnanec předem informován (např. na formuláři žádosti o vstupní kartu).
- Fotografie zaměstnanců na internetu a intranetu
- Ke zveřejňování fotografií zaměstnanců je potřebný jejich souhlas (např. pro účely prezentace organizace).
- U zaměstnanců, kteří představují vedení organizace, je zveřejnění fotografie oprávněným zájmem zaměstnavatele a souhlas není nutný. O zveřejnění fotografií však musejí být i tito zaměstnanci vždy předem informováni.
- Souhlas zaměstnance se zpracováním jeho fotografie je nutné získat i pro použití fotografie zaměstnavatelem v interním informačním systému zaměstnavatele, kde fotografie slouží k lepšímu rozpoznání zaměstnanců a zjednodušení komunikace mezi zaměstnanci (např. MS Outlook, MS Teams, intranet). Nejvhodnější je tedy zaměstnance požádat, aby svou fotografii v interním systému uveřejnili sami, ale upozornit je, že se nejedná o povinnost.
- Fotografie z konferencí nebo školení
- Pořizování a zveřejňování fotografií z konferencí nebo školení má být podloženo souhlasem. Může se jednat o vznesení dotazu na zahájení akce s umožněním vznést námitku (tedy neptat se, kdo souhlasí, ale informovat, že fotografie budou pořizovány a zeptat se, kdo nesouhlasí) nebo umístit informaci např. na prezenční listinu. V případě, že někdo projeví nesouhlas, je nezbytné toto respektovat a jeho fotografie vůbec nepořizovat.
- Udělení souhlasu nesmí být podmínkou účasti na akci.
- V případech, kdy účastník z fotografie není jednoznačně identifikovatelný nebo jsou účastníci fotografováni zezadu (vpředu je přednášející) nebo se jedná o fotografování velkého davu lidí bez rozpoznání obličejů, nejedná se o zpracování osobních údajů – není nutné žádat o souhlas.
- Firemní akce, teambuildingy
- Pokud budou fotografie zaměstnanců zveřejňovány pouze interně v rámci organizace (na intranetu pro zdokumentování akce), lze tyto fotografie zpracovávat na základě oprávněného zájmu. Je nezbytné zaměstnance o pořizovaní fotografií / videa předem informovat (např. jako součást pozvánky / přihlášky) nebo vyvěsit ceduli v místě konání informaci (na místě kde ji každý uvidí). Oboje spolu s informací o právu podat námitku proti pořizování fotografií. Fotografie zaměstnanců musí být dostupné pouze interně v rámci organizace.
- Při zveřejňování fotografií mimo organizaci, např. na internetu, sociálních sítích nebo propagačních materiálech pro marketingové účely, je písemný souhlas účastníků nezbytně nutný.
- Při vznesení námitky nebo neudělení souhlasu toto nesmí být důvodem pro odepření možnosti akce se účastnit.
- V případě, že někdo projeví nesouhlas, je nezbytné toto respektovat a jeho fotografie vůbec nepořizovat.
Provozování vnějšího kamerového systému se záznamem
- Při provozování vnějšího kamerového systému je potřeba dodržet základní pravidla stanovená Úřadem pro ochranu osobních údajů:
- Kamerový systém je možno použít zásadně v případě, kdy sledovaného účelu nelze účinně dosáhnout jinou cestou (např. lepším zabezpečením majetku).
- Kamerové sledování nesmí nadměrně zasahovat do soukromí. Možnost nasazení monitorovacích kamer končí na hranicích pozemku správce.
- Je vyloučeno užití kamerového systému v prostorách určených k ryze soukromým úkonům (např. toalety, sprchy). Je ovšem možné řešení, kdy subjekt údajů má na výběr z alternativ. Např. lze monitorovat prostory šatny (skříněk) plaveckého stadionu za předpokladu, že je vymezen prostor pro převlékání, který není kamerami sledován.
- Je-li kamerový systém využíván na pracovišti, musí provoz kamer a využití záznamu být v souladu s pracovněprávními předpisy, zejména § 316 zákoníku práce.
- Je třeba předem jednoznačně stanovit účel provozování kamerového systému, který musí korespondovat s důležitými, právem chráněnými zájmy správce (např. ochranou majetku před krádeží). Záznamy pak mohou být využity pouze v souvislosti se zjištěním události, která poškozuje tyto důležité, právem chráněné zájmy správce. Přípustnost využití záznamů pro jiný účel musí být omezena na významný veřejný zájem, např. boj proti pouliční kriminalitě.
- Je třeba stanovit lhůtu pro uchovávání záznamů. Doba uchovávání dat by neměla přesáhnout časový limit maximálně přípustný pro naplnění účelu provozování kamerového systému. Uchovávaná data by měla být uchovávána v rámci časové smyčky např. 24 hodin, pokud jde o trvale střežený objekt, nebo případně i dobu delší, v zásadě však nepřesahující několik dnů, a po uplynutí této doby vymazána. Pouze v případě existujícího bezpečnostního incidentu by měla být data zpřístupněna orgánům činným v trestním řízení, soudu nebo jinému oprávněnému subjektu.
- Je třeba řádně zajistit ochranu snímacích zařízení, přenosových cest a datových nosičů, na nichž jsou uloženy záznamy, před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit např. v provozním řádu objektu či bezpečnostní směrnici. Správce je povinen dokumentovat veškeré případy porušení zabezpečení osobních údajů a řešit bezpečnostní incidenty.
- Při provozování kamerového systému musí správce splnit informační povinnost – před vstupem do sledovaného prostoru musí být viditelně umístěna informační (varovná) tabule, na které je čitelně uvedený účel sledování, totožnost a kontakt na správce, poučení o právech subjektů údajů, informace o podstatných dopadech monitorování a informace o možnosti získat další a podrobnější informace (např. formou dostupného letáku, dobře viditelného plakátu nebo digitální cestou).
- V případě zpřístupnění kamerového záznamu třetí straně se vždy jedná o nové zpracování osobních údajů, pro které je nezbytné mít zákonný důvod. Poskytnutí záznamu donucovacím orgánům představuje samostatné zpracování vyžadující odůvodnění ze strany správce.
- Jsme připraveni Vám zpracovat nezbytnou dokumentaci provozu kamerového systému, především:
- Záznam o činnostech zpracování dle článku 30 Nařízení GDPR
- Vzor zpracovatelské smlouvy – pokud k záznamům z kamerových systémů má přístup dodavatel / provozovatel, nebo jsou data ukládána na externí úložiště
- Vzor informační cedule umístěné před / do monitorovaných prostor společně s obvyklou piktogramovou cedulkou
- Vzor vnitřního předpisu, kterým o pořizování záznamů informujete zaměstnance
- Vzor sdělení zákonným zástupcům
Pokyny EDPB pro výpočet správních pokut v oblasti GDPR
- Evropský sbor pro ochranu osobních údajů (EDPB) zveřejnil pokyny pro výpočet správních pokut. V souladu s Nařízením GDPR musejí být sankce účinné, přiměřené a odrazující, tedy jejich stanovení je vždy úzce svázané s konkrétními okolnostmi:
- povaha, závažnost a délka trvání porušení GDPR;
- k porušení došlo úmyslně, nebo z nedbalosti;
- kroky, které správce či zpracovatel podnikl ke zmírnění způsobených škod;
- zavedená technická, organizační a fyzická opatření;
- předchozí porušení GDPR;
- míra spolupráce s dozorovým úřadem.
- Pokutu až do výše 10 mil. EUR, případně 2 % ročního obratu subjektu (podle toho, která z těchto hodnot je vyšší), lze uložit za porušení ustanovení týkajících se:
- záznamů o činnostech zpracování,
- posouzení vlivu na ochranu osobních údajů,
- zabezpečení zpracování,
- ohlašování případů porušení zabezpečení či
- jmenování Pověřence pro ochranu osobních údajů.
- Pokutu až do výše 20 mil. EUR, případně 4 % ročního obratu subjektu (podle toho, která z těchto hodnot je vyšší), lze uložit za porušení ustanovení týkajících se:
- základních zásad zpracování osobních údajů,
- práv subjektů údajů,
- pravidel pro předávání údajů do třetích zemí,
- nesplnění příkazu dozorového úřadu.
- Výjimku z možnosti uložení správní pokuty představují orgány veřejné moci a veřejné subjekty, které jsou vyloučeny z udílení pokut zákonem o zpracování osobních údajů. Nic ovšem nebrání tomu, aby Úřad pro ochranu osobních údajů těmto subjektům uložil jinou sankci či povinnost.
- Pokyny rozdělují výši pokuty podle stupně závažnosti porušení GDPR („základní sazba“):
- nízký stupeň závažnosti: 0 – 10 % zákonného maxima,
- střední stupeň závažnosti: 10 – 20 % zákonného maxima,
- vysoký stupeň závažnosti: 20 – 100 % zákonného maxima.
- Při výpočtu pokuty je dále zohledněna výše obratu subjektu, dle které může být vypočtená základní sazba ještě ponížena:
- Obrat max. 2 mil. EUR ………………..možné snížení základní sazby až na 0,2 %
- Obrat max. 2 – 10 mil. EUR ………..…možné snížení základní sazby až na 0,4 %
- Obrat max. 10 – 50 mil. EUR ………….možné snížení základní sazby až na 2 %
- Obrat max. 50 – 100 mil. EUR …………..možné snížení základní sazby až na 10 %
- Obrat max. 100 – 250 mil. EUR …………možné snížení základní sazby až na 20 %
- Obrat max. 250 mil. EUR a více ……….možné snížení základní sazby až na 50 %
- Výpočet dále zohledňuje:
- polehčující okolnosti – realizované kroky ke zmírnění škod, oznámení incidentu dozorovému orgánu porušení, zavedená dostatečná technická a organizační opatření;
- přitěžující okolnosti – předchozí porušení GDPR, zjevný úmysl nařízení porušit, nedostatečná spolupráce s dozorovým úřadem.
Nahlížení subjektu údajů do osobních údajů
- Právo subjektu údajů na přístup k informacím, kdy a z jakého důvodu bylo nahlíženo do jeho osobních údajů, upřesnil rozsudek Soudního dvora EU z 22. června 2023 ve věci C-579/21.
- Dle vydaného rozsudku Soudního dvora EU má každý subjekt údajů právo znát datum a důvody nahlížení do svých osobních údajů. Bez existence tohoto práva by subjekt údajů totiž nebyl schopen posoudit zákonnost zpracování svých osobních údajů a případně následně uplatnit svá další práva podle Nařízení GDPR: „Z bodu 63 odůvodnění GDPR vyplývá, že cílem práva osoby na přístup k vlastním osobním údajům a k dalším informacím uvedeným v čl. 15 odst. 1 GDPR je především umožnit tomuto subjektu údajů, aby se seznámil se zpracováním svých osobních údajů a aby si ověřil zákonnost tohoto zpracování. Právo na přístup je nezbytné k tomu, aby subjekt údajů mohl případně vykonat právo na opravu, právo na výmaz („právo být zapomenut“) a právo na omezení zpracování osobních údajů, které mu přiznávají čl. 16 až 18 GDPR, právo na námitku proti zpracování svých osobních údajů stanovené v čl. 21 GDPR, jakož i právo na soudní ochranu pro případ utrpěné škody, zakotvené v čl. 79 a 82 GDPR. Bez transparentnosti, kterou čl. 15 GDPR zajišťuje, by však subjekt údajů nebyl schopen posoudit zákonnost zpracování svých osobních údajů a případně následně uplatnit svá další práva podle GDPR.“
- Pokud tedy subjekt údajů požádá správce či zpracovatele osobních údajů o přístup k jeho osobním údajům, má nárok na přesnou kopii či opis zpracovávaných osobních údajů.
Vnitřní oznamovací systém a ochrana osobních údajů
- Zákon č. 171/2023 Sb., o ochraně oznamovatelů ukládá povinnost zavést účinný vnitřní oznamovací systém. S tím samozřejmě souvisí i zajištění ochrany osobních údajů při přijímání, posuzování a evidenci oznámení, především pro zachování důvěrnosti identifikace oznamovatele.
- Poskytnutí informací o totožnosti oznamovatele bez jeho souhlasu je přestupkem, za který hrozí příslušné osobě pokuta ve výši až 100 tis. Kč a v případě, že bude oznamovatel vystaven v důsledku zveřejnění totožnosti odvetným opatřením, hrozí povinnému subjektu pokuta až 1 mil. Kč.
- Oznamovatel při podávání oznámení sděluje minimálně jméno, příjmení, datum narození a/nebo jiný údaj, z něhož je možné dovodit identitu oznamovatele. S ohledem na zásadu minimalizace údajů nesmí být oznamovatel nucen sdělovat osobní údaje, které nejsou nezbytné pro dosažení účelu zpracování, tedy k ověření důvodnosti podaného oznámení. Stejně tak sdělené osobní údaje není možné využívat za jiným účelem, než je podání oznámení a jeho následné posouzení a další zpracování. Lhůta pro zpracování a uložení osobních údajů je stanovena na 5 let ode dne jeho přijetí.
- Všechna opatření na ochranu oznamovatelů je samozřejmě nutné uplatnit i na ochranu osobních údajů dalších osob, které oznamovatel uvedl v oznámení (např. údajný pachatel, poškozená osoba či svědek).
- Práva subjektů údajů (oznamovatelů a dotčených osob) však jsou omezena, a to v takových případech, kdy by jejich naplnění mohlo znamenat narušení vyšetřování oznámeného protiprávního jednání a potažmo odhalení totožnosti oznamovatele.
- Při využití SW řešení pro podporu vnitřního oznamovacího systému je nutné také ošetřit případnou roli zpracovatele osobních údajů uzavřením zpracovatelské smlouvy a ošetřit uložení dat v rámci EU (případně ošetřit jejich uložení mimo EU), šifrování dat při přenosu a pseudonymizace.
Řešení stížností na nevyžádaná obchodní sdělení obdržená datovou schránkou
- Na základě zvýšeného počtu obdržených stížností vztahujících se k zasílání nevyžádaných obchodních sdělení prostřednictvím datových schránek Úřad pro ochranu osobních údajů vydal na svých webových stránkách informaci, že není věcně příslušnou institucí pro stížnosti na nevyžádaná obchodní sdělení zasílaná prostřednictvím datové schránky.
- Informační systém datových schránek (ISDS) je zřízen a provozován na základě zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů. Přestupkem podle tohoto zákona je mimo jiné i užití datové schránky k šíření nevyžádaných obchodních či jiných obtěžujících sdělení.
- Správcem ISDS je od 1. dubna 2023 Digitální a informační agentura (https://dia.gov.cz), proto podezření na spáchání tohoto typu přestupku projednává Digitální a informační agentura, ne Úřad pro ochranu osobních údajů.
Skenování obličejů Policií ČR
- Od srpna minulého roku využívá Policie ČR informační systém Digitálních podob osob, který umí díky umělé inteligenci rozpoznávat tváře z fotografií a videozáznamů. Systém není v současné době napojen na žádný kamerový systém a data jsou vyhodnocena zpětně. Policie ČR je tedy schopna zpětně porovnat fotografii konkrétního člověka vůči snímkům např. z evidence občanských průkazů. Při využití tohoto systému se Policie ČR odkazuje na § 66a zákona o Policii České republiky, ale dle vyjádření některých právníků nemá Policie ČR dostatečnou oporu v zákoně, v zákoně chybí např. pravidla o zabezpečení dat proti zneužití.
- Systém rozpoznávání tváří může mít různé užití a různou intenzitu zásahu do osobnostních práv. Možným rizikem této nové technologie na rozpoznání obličeje je i velká chybovost, tj. může dojít k přiřazení obličeje k špatně identifikované osobě.
- Problematiku využití informačního systému pro účely skenování obličejů již řeší i Úřad pro ochranu osobních údajů, který si od Policie ČR vyžádal vysvětlení a technické podklady k systému Digitálních podob osob. Při ročním testovacím režimu tohoto systému Policie ČR nepožádala ÚOOÚ o žádnou konzultaci.
- Dle vyjádření Policie ČR se prostřednictvím informačního systému Digitálních podob osob podařilo odhalit několik závažných trestných činů.
Retargeting z pohledu zpracování osobních údajů
- V současné době je ve velké míře v online marketingu využíván tzv. retargeting (znovuzacílení). Jedná se o formu online cílené reklamy, při které je reklama cílena na spotřebitele na základě jeho předchozích akcí na internetu, např. prohlížení webových stránek inzerentů, vyplnění poptávkového formuláře apod.
- Online uživatel je označen retargetingem vložením dat do cílové webové stránky nebo e-mailu, která nastaví cookies v prohlížeči daného uživatele. Jakmile je marketingový cookies soubor nastaven, může inzerent zobrazovat tomuto uživateli grafické reklamy odkudkoli z internetu prostřednictvím systému výměny reklam.
- Z pohledu GDPR mohou marketingové cookies obsahovat osobní údaje. Marketingové cookies jsou totiž ve většině případech spojeny s identifikátorem a je tedy možné přiměřenými prostředky znovu identifikovat osoby, kterých se osobní údaje týkají. Je tedy nezbytné, aby provozovatelé webových stránek získali souhlas uživatele s ukládáním marketingových „netechnických“ cookies prostřednictvím cookies lišty. Udělený souhlas s ukládáním cookies musí být kdykoliv odvolatelný.
Sankce za porušení GDPR v oblasti cookies
- Za porušení Nařízení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů udělil v letošním roce Úřad pro ochranu osobních údajů různým provozovatelům webových stránek pokuty již ve výši téměř 4,5 mil. Kč, přičemž právní moci nabyly pokuty ve výši 1,64 mil. Kč.
- ÚOOÚ se v oblasti cookies zaměřuje nejen na kontroly soukromých společností, ale také na orgány veřejné moci a veřejné subjekty (ministerstva a kraje). Vzhledem k tomu, že orgánům veřejné moci a veřejným subjektům nemůže ÚOOÚ ukládat pokuty, ukládá těmto subjektům rozhodnutí o provedení nápravných opatření.
- Nejvyšší pravomocně uloženou pokutu ve výši 898 tis. Kč udělil ÚOOÚ společnosti podnikající v oboru elektronických komunikacích za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.
- ÚOOÚ identifikoval v rámci provedených kontrol následující stěžejní porušení Nařízení GDPR v oblasti cookies:
- nedostatky souhlasu se zpracováním osobních údajů;
- nedostatečné plnění informační povinnosti, např. nedostatečná klasifikace jednotlivých cookies, informace dostupné pouze v angličtině;
- nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu;
- nemožnost či výrazné zkomplikování možnosti odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;
- umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil;
- cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.
Únik citlivých údajů z Tesly
- Americká společnost Tesla potvrdila, že za obří únik citlivých dat v květnu 2023 mohli bývalí zaměstnanci, kteří poskytli tajná data německému deníku Handelsblatt.
- Deník Handelsblatt získal od dvou nespokojených zaměstnanců Tesly cca 100 GB citlivých interních dat automobilky. Jednalo se zejména o tabulky se jmény a kompletními údaji více než 75 tis. bývalých i současných zaměstnanců, včetně jejich soukromých e-mailových adres, telefonních čísel, platů a tajných údajů z výroby. Uniklá interní data dokazují, že Tesla dostává tisíce zákaznických stížností na funkčnost svých systémů autonomního řízení a její reakce jsou ve většině případů nestandardní. V souborech údajně byly i podrobné pokyny pro zaměstnance, jak reagovat na stížnosti. První zásadou bylo pokud možno nikdy neodpovídat písemně, vždy jen telefonicky.
Další pokuta pro sociální síť TikTok za zpracování osobních údajů dětí
- Společnost TikTok Technology Limited provozující sociální síť TikTok čelí další pokutě za nakládání s osobními údaji dětí v Evropské unii.
- Irský orgán pro ochranu údajů vydal rozhodnutí v návaznosti na realizované vyšetřování společnosti TikTok Technology Limited týkající se zpracování osobních údajů registrovaných uživatelů služby TikTok ve věku od 13 do 17 let, a některých otázek spojených se zpracováním osobních údajů dětí mladších 13 let. Rozhodnutí irského orgánu pro ochranu údajů potvrdil svým rozhodnutím i Evropský sbor pro ochranu osobních údajů (EDPB). Rozhodnutí o výši pokuty bude oznámeno v září 2023.
- Společnosti TikTok Technology Limited byla v dubnu 2023 již udělena jedna pokuta ve výši 12,7 mil. liber, a to britským úřadem pro ochranu osobních údajů za nezákonné zpracování údajů dětí.
Dřívější aktuality / novinky z oblasti GDPR naleznete zde.