ÚOOÚ uložil pokutu 351 mil. Kč za porušení GDPR

• Společnosti Avast Software s.r.o. byla Úřadem pro ochranu osobních údajů uložena pokuta 351 mil. Kč za neoprávněné zpracování osobních údajů uživatelů antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions), k čemuž prokazatelně docházelo v roce 2019.
• Společnost Avast Software s.r.o. v období části roku 2019 předávala pseudonymizovanou historii prohlížení internetu, navázanou na jedinečný identifikátor přibližně 100 milionů svých uživatelů společnosti Jumpshot, INC. Tato společnost zpřístupňovala data marketérům pro „vhled do on-line chování spotřebitelů“ a „sledování cesty uživatelů na atomární úrovni“.
• Uživatelé byli společností Avast Software s.r.o. mylně informováni o předávání anonymních údajů za účelem analýzy trendů. Předávané údaje však nebyly anonymizované, navíc účelem zpracování těchto údajů nebylo (pouze) vytváření statistických analýz, jak společnost Avast Software s.r.o. uváděla.
• „Úřad v rozhodnutí zdůraznil, že společnost Avast Software s.r.o. je jedním z předních odborníků na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí. Její zákazníci nemohli očekávat, že právě tato společnost bude předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale např. i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí.“

Centrální databáze ubytovaných z pohledu ochrany osobních údajů

• Ministerstvo pro místní rozvoj plánuje vznik centrální elektronické databáze eTurista, do které by měli být zapisováni všichni hosté, kteří se ubytují v hotelích, penzionech nebo kempech. Místo dosavadních papírových knih hostů má vzniknout centrální systém, do kterého bude mít přístup, kromě dalších úřadů a policie, i samotné ministerstvo. Informace o tom, kdo se kde ubytoval, zde mají být uložené šest let.
• Jedná se o implementaci chystaného Nařízení evropského parlamentu a rady o shromažďování a sdílení údajů týkajících se služeb v oblasti krátkodobých pronájmů ubytování.
• Úřad pro ochranu osobních údajů upozorňuje, že je nevhodné, aby se informace o lidech ubytovaných v hotelích a penzionech shromažďovaly v jedné státní databázi. Podle stanoviska evropského inspektora ochrany údajů návrh evropského nařízení vylučuje použití evidence „pro účely vymáhání práva nebo pro účely daní a cel“, což chystaná česká novela naopak výslovně zavádí. Evropský inspektor pak rovněž zdůraznil, že návrh evropského nařízení nezavádí sběr údajů o jednotlivých ubytovaných, místo nich stačí jen počet nocí, na které je ubytovací jednotka pronajatá, a počet hostů, kteří se v jednotce za noc ubytovali.
• ÚOOÚ má i výhrady k množství informací, které se mají o ubytovaných sbírat, k šestileté lhůtě, po kterou by se informace o ubytovaných měly ve státním registru uchovávat i k účelům, za kterými by jednotlivé úřady byly oprávněny osobní údaje zpracovávat.
• Podle návrhu zákona se o ubytovaných osobách má evidovat:
  • jméno, popřípadě jména, a příjmení;
  • den, měsíc a rok narození;
  • adresa místa trvalého pobytu v České republice nebo, pokud jej ubytovaná osoba nemá, jiného obdobného pobytu v zahraničí;
  • státní občanství;
  • číslo a druh dokladu předloženého ubytovanou osobou ubytovateli, jímž ubytovaná osoba prokázala svoji totožnost, včetně čísla víza, je-li v cestovním dokladu vyznačeno;
  • den počátku ubytování;
  • den předpokládaného konce ubytování.

Souhlas zákazníka se zpracováním osobních údajů na e-shopu

• Zpracování osobních údajů je dle Nařízení GDPR potřeba založit na jednom z těchto šesti důvodů:
  1. na souhlasu,
  2. nezbytnosti plnit smlouvu,
  3. nezbytnosti plnit právní povinnosti (většinou stanovené právními předpisy),
  4. nezbytnosti chránit životně důležité zájmy člověka,
  5. nezbytnosti splnit úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, nebo
  6. nezbytnosti pro účely oprávněných zájmů správce či třetí osoby, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody člověka vyžadující ochranu osobních údajů.
• Při provozu e-shopu nebo webové aplikace jsou údaje zákazníka zpracovávány z důvodů plnění smlouvy, uzavřené se zákazníkem (ad 2), dodržování zákonných povinností (ad 3) a ochrany zájmů (ad 6). Podle Nařízení GDPR platí, že pokud lze konkrétní zpracování osobních údajů založit na jiném důvodu zpracování, než na souhlasu (ad 2 až 6), má tento jiný důvod vždy přednost. Ke zpracování osobních údajů v takovém případě nelze vyžadovat souhlas zákazníka.
• Z toho důvodu nelze podmínit odeslání objednávky souhlasem se zpracováním osobních údajů. Samozřejmě, že souhlas s obchodními podmínkami je vždy nezbytný, neboť tím dochází k uzavření kupní smlouvy.
• Souhlas se zpracováním osobních údajů musí být podle Nařízení GDPR svobodný, konkrétní, informovaný a jednoznačný. Není proto možné od zákazníka vyžadovat obecný souhlas se zpracováním osobních údajů, bez určení účelu, za kterým budou údaje zpracovávány. Současně nelze udělením souhlasu podmiňovat prodej zboží či poskytnutí služby. Navíc souhlas je kdykoliv odvolatelný, tedy v případě odvolání souhlasu je nutné údaje vymazat.
• Podmínky kladené Nařízením GDPR na parametry uděleného souhlasu tedy logicky vylučují jeho využití při nákupu zboží nebo služeb, neboť při neudělení nebo odvolání souhlasu by nebylo možné objednané zboží nebo službu doručit ani evidovat v účetnictví.
• Při provozu e-shopu nebo webové aplikace je tedy nutné pouze správně informovat zákazníka o tom, jak budou jeho osobní údaje zpracovávány, např. formou odkazu na Informační memorandum (Informace o zpracování osobních údajů).
• Souhlas se zpracováním osobních údajů je naopak nezbytný v případě využívání osobních údajů za jinými než výše uvedenými účely, např. v případě předávání osobních údajů třetím stranám za účelem marketingu. V případě „přímého marketingu“ (tedy rozesílání informací o vlastních produktech a službách) je právním důvodem oprávněný zájem správce (ad 6), tedy ani zde není potřeba souhlas požadovat.

Kamery na pracovišti

• Dle zákoníku práce může zaměstnavatel zaměstnance sledovat na pracovišti a ve společných prostorách pouze tehdy, pokud má k tomu závažný důvod spočívající ve zvláštní povaze jeho činnosti. Jedná se např. o činnost s vysoce nebezpečnými chemikáliemi či vysokými finančními obnosy.
• Další podmínkou provozu kamer na pracovišti je pak pozitivní  tzv. balanční test, který vyhodnotí, zda zájem zaměstnavatele (správce osobních údajů) na monitorování pracoviště převažuje nad zájmem zaměstnance na ochraně jeho soukromí a že tohoto cíle nelze dosáhnout jinými, pro zaměstnance mírnějšími prostředky (např. dohled vedoucím zaměstnancem nebo vybavení prostor alarmem). V žádném případě také nelze monitorovat prostory, ve kterých zaměstnanec odpočívá, převléká se nebo vykonává osobní hygienu.
• Stejná pravidla platí i pro atrapy kamer, které vytvářejí na zaměstnance nepřiměřený tlak ze strany zaměstnavatele, což může inspektorát práce vyhodnotit jako porušení povinnosti vytvářet zaměstnancům příznivé pracovní podmínky a zajišťovat bezpečnost a ochranu jejich zdraví při práci.
• V každém případě je zaměstnavatel povinen zaměstnance předem o využití kamer na pracovišti informovat (tj. informovat o počtu kamer, jejich účelu, umístění a době uložení kamerového záznamu).

MPSV zveřejňovalo osobní údaje zástupců pracovních agentur

• Vyhledávač pracovních agentur na webu Ministerstva práce a sociálních věcí zveřejňoval osobní údaje – rodná čísla, rodná příjmení a místa narození více než dvou tisíc odpovědných zástupců a zástupkyň jednotlivých pracovních agentur. Jednalo se o bezpečnostní chybu, kterou po nahlášení MPSV opravilo a dále ji řeší s Úřadem pro ochranu osobních údajů.
• MPSV v minulosti řešilo i jiné bezpečnostní chyby, např. když webový formulář pro žadatele o dávku na bydlení, který ministerstvo spustilo koncem července 2022, posílal informace o návštěvnících do reklamních systémů společnosti Google, nebo když formulář pro žadatele o příspěvek na dítě, zasílal adresy žadatelů bez jejich souhlasu mimo Evropskou unii.

Nová úprava DPIA

• Legislativní pravidla vlády ČR stanovují pravidla pro zpracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment – DPIA). Do legislativních pravidel vlády je zavedena přesná struktura pro zpracování posouzení vlivu na ochranu osobních údajů, tzv. legislativní DPIA.
• Legislativní DPIA je nutné zpracovat u každého návrhu právního předpisu, včetně nařízení vlády nebo vyhlášky. To znamená, že pokud je právním základem zpracování osobních údajů plnění právní povinnosti, je povinnost správce osobních údajů zpracovat DPIA nahrazena zpracovanou legislativní DPIA v okamžiku předložení normy do legislativního procesu. To vychází z ustanovení Nařízení GDPR, podle kterého se vliv neposuzuje, byl‑li posouzen jako součást obecného posouzení dopadů v souvislosti s přijetím právního předpisu.
• Nová struktura pro zpracování legislativního DPIA:
  • Vysvětlení účelu navrhovaného zpracování osobních údajů
  • Popis návaznosti na stávající a připravované zpracování osobních údajů
  • Posouzení navrhovaného řešení zpracování z hlediska nezbytnosti, přiměřenosti ve vztahu k účelu zpracování osobních údajů
  • Posouzení rizik pro práva a svobody fyzických osob
  • Stanovení možných opatření ke snížení rizik pro práva a svobody fyzických osob
• Úřad pro ochranu osobních údajů proto připravuje změnu stávajícího návodu k posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů (DPIA), který bude předložen k veřejné konzultaci.

Dohoda o urovnání hromadné žaloby společnosti Google za porušení ochrany soukromí

• Začátkem dubna 2024 byly zveřejněny detaily dohody o urovnání hromadné žaloby společnosti Google ve výši 5 miliard dolarů, která na ni byla podaná v roce 2022 ve Spojených státech amerických za porušování ochrany soukromí při vyhledávání informací v anonymním režimu prostřednictvím prohlížeče Chrome. Podle hromadné obžaloby Google klamal uživatele tvrzením, že v anonymním režimu nesleduje jejich internetovou aktivitu.
• Uzavřením dohody o urovnání se Google vyhnul hromadné žalobě – Google souhlasil s odstraněním / smazáním neprávem uchovávaných dat starších než devět měsíců. Jedná se miliard záznamů osobních údajů o surfování více než 136 mili, onů amerických uživatelů, kteří využívali prohlížeč Chrome.
• V rámci dohody o urovnání Google také souhlasil, že bude uživatele informovat o tom, že v režimu inkognito shromažďuje údaje a že při používání této funkce budou sledovací zařízení třetích stran ve výchozím nastavení vypnuta.
• „Dle vyjádření advokáta zastupujícího spotřebitele je toto urovnání historickým krokem, který od dominantních technologických společností vyžaduje poctivost a odpovědnost. Urovnání brání společnosti Google v tajném shromažďování uživatelských údajů, jejichž hodnota podle jejích vlastních odhadů dosahuje miliard dolarů.“

Nizozemský úřad na ochranu osobních údajů doporučil vládě nepoužívat Facebook

• Nizozemský úřad na ochranu osobních údajů doporučil nizozemské vládě a jejím podřízeným orgánům, aby přestali používat sociální síť Facebook. Podle úřadu totiž není jasné, co se děje s osobními údaji osob, které vládní stránky na Facebooku navštíví.
• Podle úřadu by bylo lepší, aby centrální vláda přestala používat stránky na Facebooku a vrátila se na ně pouze v případě, že budou přijata příslušná opatření a společnost Facebook bude otevřenější ohledně zpracování dat.

Nová metodika ÚOOÚ ke kamerovým systémům

• Úřad pro ochranu osobních údajů vydal začátkem února 2024 novou metodiku ke kamerovým systémům (https://uoou.gov.cz/media/clanky/dokumenty/metodika-kamerove-systemy-webpdf.pdf), která má zásadní dopad do praxe. Vydání konečné verze metodiky předcházela veřejná konzultace a vypořádání řady připomínek z praxe.
• Cílem metodiky ke kamerovým systémům, která je pojmenovaná jako Metodika k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, je jasnější výklad povinností v oblasti zpracování osobních údajů kamerovými systémy. Metodika poskytuje správcům osobních údajů komplexní návod, jak se zo­rientovat v plnění řady povinností. Dle vyjádření ÚOOÚ užívání metodiky není pro správce osobních údajů povinné, nicméně ÚOOÚ nastavuje určitý standard, který pak může od správců očekávat.
• Metodika ke kamerovým systémům je rozdělena na tři části:
  • první část metodiky – úvod: vysvětlení proč metodika vznikla a jak jí používat;
  • druhá část metodiky – popis kamerového systému: podrobný popis, co lze považovat za kamerový systém z technického pohledu včetně požadavků na kamerové systémy jako takové a meze některých parametrů určující, zda se jedná o zpracování osobních údajů dle Nařízení GDPR, či nikoliv;
  • třetí část metodiky – požadavky na zpracování osobních údajů kamerovým systémem: jednotlivé povinnosti dle Nařízení GDPR, konkrétní pokyny, jak kamerový systém správně implementovat z pohledu ochrany osobních údajů, vzor balančního testu.
• Podle této nové metodiky je nezbytné GDPR řešit u všech kamer / kamerových systémů, které zachycují fyzické osoby způsobem umožňující je identifikovat / rozeznat, tj. postava v záběru zabírá 25 % a více obrazu. Metodika tedy přistupuje ke kamerovým systémům dle možnosti identifikace fyzických osob, ne dle toho, jestli kamerový systém pořizuje a ukládá záznam, nebo je provozován v online režimu.
• ÚOOÚ v rámci metodiky definuje základní dobu uchování kamerového záznamu 72 hodin s možností případně delší doby uchovávání, kterou ale musí správce osobních údajů řádně odůvodnit a vysvětlit. Například v případě školy ÚOOÚ uvádí jako dostačující dobu uchování 7 dní, o hlavních prázdninách může být doba prodloužena např. na 3 týdny.

Kontrolní plán ÚOOÚ pro rok 2024

• Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách (https://uoou.gov.cz/novinky/vse/zverejnen-kontrolni-plan-uradu-pro-rok-2024) kontrolní plán pro rok 2024. Plánované kontroly provede Oddělení bezpečnostních agend, Oddělení kontroly soukromého sektoru, Oddělení kontroly veřejných subjektů a Oddělení obchodních sdělení.
• V prvním čtvrtletí roku 2024 ÚOOÚ vytipuje minimálně tři subjekty provozující rozvážkové služby, u kterých bude provedena kontrola týkající se rozesílání nevyžádaných obchodních sdělení e-mailem, prostřednictvím mobilní aplikace či přes SMS.
• Ve druhém čtvrtletí 2024 bude ÚOOÚ kontrolovat využívání dat z registru obyvatel orgány veřejné moci podle zákona č. 111/2009 Sb., o základních registrech. ÚOOÚ bude kontrolovat k jakým účelům a na základě jakého právního důvodu úřady tyto údaje používají a zda řádně zaznamenávají své přístupy do registru.
• Ve třetím čtvrtletí 2024 bude kontrola zaměřena na praktiky nahrávání telefonických hovorů a na to, jakým způsobem je s pořízenými nahrávkami dále nakládáno.
• V posledním čtvrtletí 2024 provede ÚOOÚ kontrolu zpracování osobních údajů Policií ČR.
• V průběhu roku budou kontroly zaměřeny i na problematiku zpracování osobních údajů v oblasti víz a schengenského prostoru – ÚOOÚ bude zejména kontrolovat zpracování osobních údajů zastupitelskými úřady při vydávání víz a používání Vízového, Schengenského a Celního informačního systému.
• Vedle plánovaných kontrol bude ÚOOÚ provádět i neplánované incidenční kontroly, a to na základě obdržených stížností subjektů údajů nebo na základě jiných kvalifikovaných podnětů (např. podnětů obdržených od dozorových úřadů jiných členských států EU, soudů, policie apod.).
• V letošním roce se ÚOOÚ opět společně s dalšími evropskými dozorovými úřady zapojí do koordinované evropské kontrolní akce, která je zaměřena na implementaci práva na přístup ze stany správců osobních údajů v rámci tzv. Coordinated Enforcement Framework 2024 (CEF).

Počet kybernetických incidentů v roce 2023

• Národní úřad pro kybernetickou a informační bezpečnost v roce 2023 zaregistroval celkem 262 kybernetických incidentů. Jedná se téměř o dvojnásobný nárůst oproti roku 2022, kdy bylo zaregistrováno 146 incidentů.
• Příčinou nárůstu kybernetických incidentů v loňském roce jsou zejména opakované vlny DDoS útoků vedené proruskými hacktivistickými skupinami. Dva kybernetické incidenty NÚKIB klasifikoval jako velmi významné, tj. incident nejvyšší kategorie závažnosti. Jeden z nich se týkal významné strategické státní instituce a druhý neregulovaného subjektu z obranného sektoru.
• Vliv na růst počtu kybernetických útoků v roce 2023 měl i rychlý pokrok v oblasti generativní umělé inteligence (AI) a chatbotů na bázi LLM (Large Language Model).
• K posílení kybernetické bezpečnosti České republiky zásadně přispěje nový zákon o kybernetické bezpečnosti, jehož návrh NÚKIB odeslal vloni v prosinci na Legislativní radu vlády. Jedním z hlavních úkolů tohoto nového zákona je zavedení evropské směrnice NIS2 do českého právního řádu.

Zveřejňování osobních údajů úředníků

• Pro získávání informací o úřednících a jejich činnosti je velmi často využíván zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Ochrana osobních údajů úředníků je řešena zákonem č. 110/2019 Sb., o zpracování osobních údajů a Nařízením GDPR.
• Pro poskytnutí osobních údajů podle zákona o svobodném přístupu k informacím musí být splněny tři základní podmínky:
  • Osobní údaj se musí týkat v zákoně zmíněného subjektu údajů, tj. veřejně činné osoby (typicky soudce či advokát při zastupování svých klientů), veřejných funkcionářů (zastupitel, radní, poslanec) anebo zaměstnanců veřejné správy (úředník nebo jiný zaměstnanec úřadu).
  • Osobní údaj vypovídá o veřejné nebo úřední činnosti, funkčním nebo pracovním zařazení, v souhrnu tedy o profesním, nikoliv soukromém životě.
  • Povinný subjekt profesní údaje poskytne, pokud při posuzování žádosti nedospěje k závěru, že ochrana soukromí subjektu údajů převažuje nad veřejným zájmem na poskytnutí informace.
• Vždy je důležité brát v potaz i to, že podle § 5 odst. 3 zákona o svobodném přístupu k informacím jsou informace, které byly poskytnuty individuálnímu žadateli, do 15 dnů rovněž zveřejněny na internetových stránkách veřejného subjektu pro neomezený okruh příjemců.
• Přítomnost na pracovišti:
  • Povinností veřejného subjektu je zajistit veřejnou službu, tj. zajistit bezproblémový výkon zákonem svěřené agendy, a to v úředních hodinách, které veřejný subjekt stanoví.
  • Informování veřejnosti o dostupnosti služeb lze primárně naplnit i bez zpracování osobních údajů z docházkového a personálního systému, tedy bez zásahu do práva na ochranu soukromí zaměstnanců subjektu. K naplnění tohoto účelu zcela postačí informace, která oddělení či odbory subjektu jsou kompetentní k vyřízení určitého typu podání či žádosti. Informace o přítomnosti konkrétních zaměstnanců zařazených do těchto organizačních útvarů již nejsou nezbytné, protože z pohledu veřejnosti nejsou relevantní.
• Zveřejňování fotografií na webových stránkách:
  • Z důvodu zvýšení otevřenosti veřejné správy velmi často dochází ke zveřejňování portrétních fotografií zaměstnanců na webových stránkách subjektu, a to včetně jejich identifikace – jména, příjmení, úředního zařazení, telefonu a e-mailové adresy.
  • Veřejný subjekt jako správce osobních údajů musí řádně zdůvodnit právní základ pro zpracování osobních údajů zaměstnance (viz čl. 6 Nařízení GDPR). Například obce jako právní základ pro zveřejňování fotografií úředníků obvykle identifikují čl. 6 odst. 1 písm. f) Nařízení GDPR, tzn. zpracování nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. V některých případech lze využít i souhlas subjektu údajů, který ale musí být dle čl. 7 Nařízení GDPR svobodný, aktivně udělený, transparentní a kdykoliv odvolatelný.
  • V každém případě však lze zveřejnit pouze kontaktní údaje těch úředníků, jejichž náplní práce je styk s veřejností a poskytování služeb veřejnosti.

Žádost o přístup k osobním údajům

• Nařízení GDPR nestanovuje žádnou závaznou formu žádosti o přístup žadatele k jeho osobním údajům či způsob podání této žádosti, který by měl žadatel dodržet.
• Evropský sbor pro ochranu osobních údajů (EDPB) správcům osobních údajů doporučuje, aby zavedli uživatelsky přívětivý komunikační kanál, jehož prostřednictvím lze žádost o přístup k osobním údajům podat. Podle vyjádření EDPB zavedení jednotného kanálu pro podání žádosti o přístup k osobním údajům přispívá k usnadnění práce s vyřizováním žádostí.
• Pokud správce zřídí zvláštní kanál pro vyřizování žádostí o přístup k osobním údajům a žadatel využije při podání žádosti některý z dalších uvedených kontaktů, který není zjevně určený pro jiné záležitosti (např. kontakt na Pověřence pro ochranu osobních údajů, kontakt na správce uvedený v Informačním memorandu apod.), musí správce přijatou žádost vyřídit. Správce se naopak nemusí zabývat žádostí zaslanou na náhodný nebo nesprávný kontakt, který správce přímo neposkytl nebo který zjevně není určen pro vyřizování žádostí o přístup k osobním údajům.
• Dle vyjádření EDPB je nezbytné žadateli zaslat písemné potvrzení o přijetí žádosti, aby žadatel obdržel informaci, že se správce žádostí zabývá, a měl možnost kontrolovat, zda je dodržena měsíční lhůta předepsaná k vyřízení žádosti.
• Při vyřizování přijaté žádosti musí správce řádně identifikovat a ověřit totožnost žadatele, a to nejen z pohledu určení čí a jaké osobní údaje ve svých databázích hledá, ale také z důvodu prevence úniku osobních dat, ke kterému by došlo, kdyby byly údaje poskytnuty jinému subjektu než jejich nositeli. Při identifikaci a ověření totožnosti žadatele musí správce dodržet zásadu minimalizace údajů, tj. správce nesmí požadovat více osobních údajů, než je pro identifikaci a ověření totožnosti žadatele nezbytné. Prokázání totožnosti žadatele prostřednictvím průkazu totožnosti může správce žádat pouze na základě provedeného posouzení přiměřenosti, např. při zpracování zvláštní kategorie osobních údajů či při zpracování představující pro žadatele riziko (např. informace o zdravotním stavu). Nejsou-li k ověření totožnosti nutné veškeré údaje uvedené na průkazu totožnosti, měl by správce žadatele informovat, které údaje nejsou potřebné, a dát mu možnost tyto údaje skrýt.
• Na základě vyřízení žádosti správce poskytne žadateli výpis či kopii osobních údajů, které správce o žadateli zpracovává. V rámci poskytnutých informací správce musí uvést i údaje, které jsou nepřesné, nebo operace zpracování, jež zcela nejsou v souladu s aktuálně platnou legislativou. Cílem výkonu práva na přístup k osobním údajům je totiž také odhalení různých nepřesností ve zpracovávaných údajích či kontrola zákonnosti zpracování.
• V případě žádosti žadatele správce může žadateli poskytnout informace o zpracovávaných osobních údajích ústně prostřednictvím nahlédnutím do příslušných souborů na místě, anebo na dálku bez možnosti stažení.

Poskytnutí kopie zpracovávaných osobních údajů bezplatně / za poplatek

• Dle čl. 15 odst. 3 Nařízení GDPR má správce osobních údajů povinnost poskytnout žadateli na základě předložené žádosti o přístup k osobním údajům kopii zpracovávaných osobních údajů žadatele.
• Povinnost poskytnout kopii údajů neznamená, že správce je povinen poskytnout žadateli kopie celých dokumentů, které osobní údaje obsahují. Správce musí žadateli poskytnout věrnou reprodukci (kopii) jeho zpracovávaných osobních údajů, tj. kompilaci obsahující všechny relevantní osobní údaje žadatele zpracovávané správcem, a to včetně potřebných informací nezbytných k tomu, aby žadatel pochopil, jakým způsobem jsou jeho data zpracovávána a mohl ověřit zákonnost zpracování tohoto zpracování.
• Nutnou podmínkou poskytnutí osobních údajů je anonymizace osobních údajů třetích osob, které mohou být v poskytnuté kopii uvedeny.
• Správce osobních údajů má povinnost poskytnout první kopii zpracovávaných osobních údajů žadatele bezplatně (v rámci podané žádosti v daném čase). Poskytnutí dalších kopií zpracovávaných osobních údajů žadatele může správce osobních údajů zpoplatnit. Pokud se správce rozhodne tento poplatek vyúčtovat, měl by na tuto skutečnost žadatele předem upozornit a informovat ho co nejpřesněji o výši svých nákladů, aby měl subjekt údajů možnost se rozhodnout, zda na žádosti trvá, nebo ji vezme zpět.
• Poplatek za poskytnutí kopie zpracovaných osobních údajů žadatele musí být přiměřený a správce by měl proaktivně své náklady optimalizovat tak, aby výši poplatku udržel na nízké úrovni.

Plán vedení centrální evidence ubytovaných

• Česká republika plánuje od roku 2025 evidovat kdo a kdy se ubytoval v hotelu, penzionu či apartmánu prostřednictvím centrálního systému eTurista. V současné době se hosté hotelů a penzionů zapisují do ubytovacích knih vedených jednotlivými ubytovateli.
• Cílem centrálního systému eTurista je dle vyjádření Ministerstva pro místní rozvoj lepší přehled o turistickém ruchu a méně byrokracie pro podnikatele. Provozovatel hotelu, penzionu či apartmánu prostřednictvím centrálního systému eTurista nahlásí MMR, koho ubytoval, a ministerstvo následně připraví souhrnné informace pro statistický úřad či v případě ubytování cizince provede hlášení v policejní databázi Ubyport. Systém bude umožňovat i výběr poplatku z ubytování.
• Plánovaný centrální systém eTurista bude tedy obsahovat velké množství citlivých údajů o pohybu jednotlivce a informace o tom, s kým tráví čas. Předpokládá se, že informace o tom, kdo byl kde ubytovaný, se budou v systému uchovávat, proti neoprávněnému přístupu by je ale měly chránit státní registry. Jméno, datum narození a další informace ubytovaného systém využije, aby hosta ztotožnil v registru obyvatel, do databáze ministerstva se pak uloží pouze agendový identifikátor fyzické osoby (AIFO).
• Vznik centrálního systému eTurista chce Ministerstvo pro místní rozvoj financovat z Národního plánu obnovy, což ale dle dotačních pravidel znamená systém spustit do konce letošního roku. Novelu zákona o cestovním ruchu ještě čeká projednání vládou, následně musí proběhnout legislativní proces v Parlamentu, prováděcí vyhláška a až pak bude možné začít systém programovat. Odhadované náklady na vývoj a implementaci systému jsou dle ministerstva 50 – 60 mil. Kč.

Ochrana soukromí při online levných nákupech

• Některá globální eCommerce tržiště (např. Temu, Shein, Sinsay, Allegro atd.) lákají na nákupy módy, kosmetiky a dalšího zboží mimořádně nízkými cenami. Tyto levné nákupy mají bohužel dopad nejen na kvalitu zboží, ale také na ztrátu soukromí.
• Mobilní aplikace některých globálních eCommerce tržišť sbírají o svých zákaznících řadu informací, které přenáší jak na servery dané společnosti, tak i na servery některých reklamních společností.
• V případě, že nakupující chce chránit své soukromí, může si z důvodu realizace online levného nákupu vytvořit „druhou identitu“. Nakupující si založí novou e-mailovou adresu určenou pouze pro tyto online nákupy, koupí si předplacenou SIM kartu, kterou dá do starého telefonu, a místo na domácí adresu si zboží nechá poslat např. do zaměstnání. K platbě je vhodné použít jednorázovou virtuální kartu, která se po platbě zneplatní, nebo je doporučeno si založit druhý platební účet s kartou, na který si kupující převede vždy jen částku nutnou k zaplacení dané objednávky.

Pokuta udělená řecké bance za porušení GDPR

• Na základě stížnosti zákazníka banky Alpha Bank udělil řecký úřad pro ochranu osobních údajů (DPA) bance pokutu ve výši 60 tis. EUR (cca 1,5 mil. Kč) za porušení zásady důvěrnosti osobních údajů a bankovního tajemství. V důsledku postupu banky v rozporu s Nařízením GDPR došlo totiž k zásahu do práva subjektu údajů na soukromí – banka bez souhlasu subjektu údajů (manžela) zpřístupnila historii jeho platebních transakcí manželce, která o těchto transakcích neměla vědět.
• Alpha Bank na základě obdržené žádosti zpřístupnila manželce subjektu údajů informace o kreditní kartě a transakcích, které její manžel s touto kartou provedl za poslední čtyři měsíce. Poskytnutí těchto informací bez vědomí subjektu údajů mělo poměrně zásadní dopad na rodinný život a vztah obou manželů byl vážně narušen.
• Podle DPA řecká banka pochybila, když řádným způsobem neověřila totožnost tazatele a skutečnost, zda má mít k takovým informacím skutečně přístup, a neinformovala manžela o zpřístupnění informací jeho manželce.

Aplikace eDoklady – vyšší ochrana osobních údajů

• Elektronická verze občanského průkazu slibuje vyšší úroveň kontroly nad osobními údaji. Zároveň poskytuje možnost sledovat historii přístupu k údajům a zjistit, kdy a jaké údaje byly načteny.
• Aplikace respektuje zásadu minimalizace, proto umožňuje, aby příjemce obdržel jen ty informace, které v konkrétní situaci potřebuje. Proto při ověřování věku zákazníka (např. při prodeji alkoholu nebo zlevněného vstupného) již prodavač nemá přístup ke kompletnímu fyzickému občanskému průkazu; vidí pouze fotografii a informaci o tom, zda daná osoba dosáhla plnoletosti.
• Stejně tak například při ověřování totožnosti má kontrolující osoba přístup pouze k fotografii a celému jménu. Plné předání údajů, od fotografie až po místo narození, trvalý pobyt, datum vydání, platnost dokladu nebo podpis držitele, nastává pouze při plné kontrole dokladu. Uživatel aplikace eDoklady má vždy právo vybrat, jaké údaje chce v daném okamžiku skutečně sdílet a jaké sdílet odmítne.
• Samotné využití elektronické podoby občanského průkazu je rozděleno do tří fází. První fáze začala 20. ledna 2024, kdy ústřední správní úřady, jako jsou ministerstva, Úřad vlády ČR, Český statistický úřad a Energetický regulační úřad, začaly akceptovat aplikaci eDoklady. Od července 2024 bude možné aplikaci využívat i v interakci s policií, soudy, finančními a živnostenskými úřady, úřady práce a Českou správou sociálního zabezpečení, stejně jako na katastrálních úřadech, krajích a obcích s rozšířenou působností. Od ledna 2025 budou elektronickou podobu občanského průkazu přijímat také školy, notáři, banky, pošty, zastupitelské úřady a soukromé osoby.

Povinná dokumentace GDPR

• Seznam povinné dokumentace týkající se ochrany osobních údajů, kterou by měl mít zpracovanou správce osobních údajů a zpracovatel osobních údajů, není explicitně uveden v Nařízení GDPR, ani v žádném jiném právním předpisu řešící ochranu osobních údajů.
• Veškerá dokumentace týkající se ochrany osobních údajů musí být zpracována na základě potřeb konkrétní organizace / společnosti a ve vztahu k specifickým vnitřním uspořádáním či operacím zpracování. Z těchto důvodů tedy nelze sestavit přesný seznam dokumentů pro správce a zpracovatele osobních údajů, vždy musí být zohledněna konkrétní situace zpracování osobních údajů.
• Pro přehlednost níže uvádíme výčet dokumentů, které jsou v rámci ochrany osobních údajů zpracovávány v různých typech organizací / společností:
  • souhlas se zpracováním osobních údajů;
  • informace subjektům údajů dle čl. 13 Nařízení GDPR (pro všechny subjekty, zaměstnance, zákazníky);
  • informace subjektům údajů dle čl. 14 Nařízení GDPR (když se osobní údaje získávají mimo zdroj subjektu údajů);
  • interní směrnice dle čl. 24 Nařízení GDPR;
  • zpracovatelské smlouvy;
  • posouzení oprávněného zájmu;
  • dokumentace k DPO (Pověřenec pro ochranu osobních údajů) – posouzení potřebnosti DPO, posouzení kvalifikace DPO, posouzení priorit práce DPO, jmenování DPO;
  • dokumentace žádostí o výkon práv subjektů údajů;
  • dokumentace o zabezpečení (bezpečnostní směrnice);
  • záznamy o činnostech zpracování dle čl. 30 Nařízení GDPR;
  • metodika posuzování nutnosti hlášení porušení zabezpečení;
  • posouzení rizik zpracování jednotlivých operací;
  • posouzení vlivu na ochranu osobních údajů;
  • metodika a dokumentace předávání osobních údajů mimo EU;
  • další relevantní dokumentace.
• Některé z výše uvedených dokumentů bývají zahrnuty v interní směrnici organizace / společnosti, metodické postupy bývají popsané v rámci komplexní interní metodiky atd. Seznam a rozsah dokumentace týkající se ochrany osobních údajů záleží na typu organizace / společnosti – důležitý je vždy obsah jednotlivých dokumentů, ne počet zpracovaných dokumentů.

Porušení zabezpečení osobních údajů nemusí znamenat porušení GDPR

• V případě úniku osobních údajů v důsledku kybernetického útoku, se automaticky nemusí jednat o porušení Nařízení GDPR. Porušení ochrany osobních údajů musí být vždy posuzováno konkrétně v kontextu nastalé situace.
• Soudní dvůr EU v prosinci 2023 vydal rozhodnutí (viz rozhodnutí k věci C-340/21), že samotné porušení zabezpečení osobních údajů nepostačuje k tomu, aby bylo možné konstatovat porušení čl. 24 a čl. 32 Nařízení GDPR. Soudní dvůr EU dále dospěl k závěru, že obava z možného zneužití osobních údajů třetími stranami, kterou má subjekt údajů v důsledku porušení Nařízení GDPR, může sama o sobě představovat nehmotnou újmu ve smyslu GDPR.
• Neoprávněné poskytnutí nebo zpřístupnění osobních údajů třetími stranami ve smyslu čl. 4 bodu 10 Nařízení GDPR tedy nepostačuje k tomu, aby bylo možné konstatovat, že technická a organizační opatření zavedená správcem osobních údajů nejsou „vhodná“ ve smyslu čl. 24 a čl. 32 Nařízení GDPR, a že došlo k porušení GDPR chybou správce osobních údajů. Na základě posouzení všech aspektů úniku osobních údajů a porušení zabezpečení třetí stranou může být správce osobních údajů zproštěn odpovědnosti za únik osobních údajů.

Kybernetické incidenty koncem roku 2023

• Národní úřad pro kybernetickou a informační bezpečnost evidoval v prosinci 2023 mírný nárůst počtu evidovaných kybernetických incidentů. Bylo evidováno celkem 12 incidentů, z nichž všechny byly méně významné a v rámci klasifikace převažovala kategorie „Dostupnost“ (narušení dostupnosti způsobené DoS/DDoS útokem nebo sabotáží), „Informační bezpečnost“ (neautorizovaný přístup k datům či neautorizovaná změna informace) a „Průnik“ (kompromitace aplikace nebo uživatelského účtu).
• Za registrovanými DDoS útoky stála skupina NoName057(16) a také skupina Anonymous Russia, která se na české cíle zaměřila po více než půl roce. U několika DDoS útoků není jejich původce prozatím známý.
• I přesto, že v prosinci 2023 došlo k mírnému nárůstu evidovaných incidentů oproti listopadu 2023, tak i nadále byla výsledná hodnota poměrně nízko pod ročním průměrem, který se pohyboval okolo 19 incidentů měsíčně.

Nová doména webových stránek NÚKIB

• Od poloviny prosince 2023 Národní úřad pro kybernetickou a informační bezpečnost používá pro provoz svých webových stránek https://nukib.gov.cz doménu gov.cz, která byla zavedena s cílem zvýšit kybernetickou bezpečnost a podpořit uživatelskou přehlednost.
• Webové stránky NÚKIB budou nadále dostupné i na adrese nukib.cz a na novou primární subdoménu pod gov.cz budou automaticky přesměrovány.

Základní pravidla realizace online jednání v souladu s GDPR

• Při organizaci a realizaci online jednání / videokonferencí je nezbytné dodržet základní pravidla a postupy dodržující ochranu osobních údajů účastníků jednání v souladu s Nařízením GDPR, tj. zejména:
  • Zvolit důvěryhodného poskytovatele videokonferenčních služeb a mít s ním uzavřenou smlouvu (zajistit, aby přenášené informace byly řádně šifrovány a zabezpečeny před neoprávněným přístupem).
  • V souladu s principem GDPR „minimalizace dat“ zpracovat seznam osobních údajů získaných z online jednání, např. jména, příjmení, uživatelská jména, e-mailové adresy, mobilní telefonní čísla atd.
  • Stanovit účel zpracování osobních údajů v souladu se zákonným důvodem, tedy proč budou osobní údaje účastníků online jednání shromažďovány a jak s nimi bude naloženo.
  • Splnit informační povinnost, tj. na začátku online jednání upozornit účastníky jednání na zpracování osobních údajů (které a k jakému účelu budou osobní údaje zpracovány, jakým způsobem a na základě jakého právního důvodu).
  • Upozornit účastníky online jednání na eliminaci příp. narušení jejich soukromí při práci z domova, např. prostřednictvím nastavení filtru či falešného pozadí.
  • Informovat účastníky online jednání o příp. nahrávání jednání, jak dlouho a kde bude nahrávka uchovávána.
  • Bezpečně uložit záznam z online jednání a zpřístupnit ho pouze oprávněným osobám.
  • Umožnit účastníkům online jednání opravu nebo odstranění zaznamenaného obsahu jednání.

Uživatelé Facebooku a Instagramu si mohou zaplatit za své soukromí

• Na základě velkého počtu pokut a zákazů udělených dozorovými orgány v oblasti ochrany osobních společnost Meta přišla s novou praktikou ohledně zpracování osobních údajů. Uživatelé Facebooku a Instagramu si v současné době mohou při spuštění aplikace vybrat ze dvou možností – buď uhradit měsíční poplatek (12,99 EUR a za Instagram dodatečných 8 EUR) výměnou za to, že nebudou využívány jejich osobní údaje pro účely reklamy, nebo udělit souhlas se zpracováním osobních údajů.
• Podle organizace NOYB je postup praktiky „Pay or Okay (Zaplať, nebo souhlas)“ nezákonný. Organizace NOYB koncem minulého roku již podala u rakouského dozorového orgánu stížnost na praktiku společnosti Meta, v níž přístup společnosti Meta kritizuje a napadá. Podaná stížnost je založena na tvrzení, že nikdo by neměl být nucen platit za něco, co je jeho přirozeným právem a co mu zákon přikládá.
• NOYB upozorňuje i na to, že rozhodnutí o postupu společnosti Meta by mohlo otevřít dveře pro ostatní poskytovatele sociálních sítí a aplikací, kteří by se mohli rozhodnout příklad společnosti Meta následovat, a s ohledem na předpokládané měsíční poplatky za používané aplikace by se soukromí / ochrana zpracovávaných osobních údajů stala „právem bohatých“.

Právo na náhradu újmy při úniku osobních údajů z Facebooku

• V dubnu 2021 došlo z důvodu bezpečnostní chyby na straně společnosti Meta k velké krádeži dat na Facebooku, která se dotkla i cca 1,4 milionu uživatelů z České republiky. Ukradená data (jména, e-mailové adresy, telefonní čísla, datum narození, příbuzenský vztah a další osobní údaje) se objevila na hackerských fórech a mohla být použita k podvodům, manipulacím a kybernetickým útokům.
• Dle aktuálních informací společnost Meta bude muset za svou nedbalost, která způsobila únik osobních dat z Facebooku, zaplatit, a to i samotným dotčeným uživatelům. Soudy přiznávají poškozeným uživatelům Facebooku odškodné až do částek, které v přepočtu převyšují 100 tis. Kč. Společnost Meta se v řízeních brání, ale soudy se velmi často staví na stranu poškozených uživatelů. Ve prospěch uživatelů hovoří i nedávné rozhodnutí Soudního dvora EU, ve kterém je přijat závěr, že člověk poškozený porušením GDPR nemusí utrpět újmu o určité závažnosti k tomu, aby mohl požadovat její odčinění (viz rozsudek Soudního dvora ve věci C-300/21).
• Pokud je uživatel Facebooku dotčen únikem osobních údajů, existuje velká pravděpodobnost, že má nárok na náhradu škody nebo nemajetkové újmy, tj. poškozený uživatel může získat kompenzaci za to, že jeho údaje byly ukradeny a dostaly se do oběhu, a to i v případě, že uživatel (zatím) v důsledku kybernetických útoků neutrpěl žádnou přímou finanční škodu (např. náklady spojené se změnou telefonního čísla). Tato kompenzace se opírá o Nařízení GDPR, které definuje povinnosti zpracovatele osobních údajů, mj. povinnost tyto údaje chránit, povinnost oznamovací a informační atd.
• Uživatelé Facebooku si mohou ověřit např. na webové stránce https://sec.hpi.uni-potsdam.de/ilc/search, zda se hackerský útok týkal i jich. Pokud ano, tak je doporučen následující postup:
  • Nastavit si nové a silné heslo, ideálně pro každý z používaných internetových účtů.
  • Příp. změnit e-mailovou adresu, číslo mobilního telefonu.
  • Aktivovat dvoufaktorové ověřování.
  • Zvážit možnost uplatnění nároku na finanční kompenzaci po společnosti Metě (Facebooku), a to buď mimosoudním uplatněním nároků, nebo žalobou u soudu. Společnost Metu může uživatel zažalovat i u českých soudů, je doporučeno prostřednictvím advokátní společnosti nejdříve podat prvotní výzvu a až pak příp. žalobu.

Rozsah a způsob zpracování osobních údajů automobilovými společnostmi

• Elektronizace a konektivita automobilů zažívá v posledních letech obrovský rozmach, což s sebou nese i časté přenosy získaných dat. Automobil o svém řidiči získává obdobný objem údajů a dat jako např. chytrý mobilní telefon. Automobil stejně jako mobilní telefon lze považovat za koncové zařízení, do kterého data vkládají sami uživatelé.
• Mnoho modelů automobilů uváděných na trh má v sobě zabudovaná různá telematická zařízení, snímače a čidla připojená jak z vnější strany automobilu, tak i na palubní desce. Tato čidla a senzory sbírají data o řidiči, ale i o spolucestujících a dalších osobách. Standardní senzory zaznamenávají výkon motoru, spotřebu, stav nádrže a další technické aspekty vozidla. Čidla zabudovaná v automobilu mohou ale zaznamenávat i jízdní návyky, navštívená místa, pohyby očí řidiče, jeho puls nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby. Většinu těchto údajů lze považovat za osobní, jelikož i přes to, že často nejsou spojeny s konkrétním jménem, umožňují přímou či nepřímou identifikaci osoby.
• Většina elektronizovaných automobilů umožňuje i funkci připojení mobilního telefonu k automobilu, díky kterému pak dochází k širšímu rozsahu zpracování dat, např. o používaných aplikacích, uskutečněných hovorech atd.
• Uživatelé si velmi často ani neuvědomují, jaká data o nich mohou být prostřednictvím používaného automobilu shromažďována a kam mohou být předávaná. Údaje získané prostřednictvím automobilů mohou být poskytovány výrobci, příp. společnosti v rámci koncernu výrobce, prodejcům, servisním centrům, marketingovým a reklamním agenturám, pojišťovnám či leasingovým společnostem. Některé informace (např. o navštívení webové stránky dané automobilové společnosti) mohou být v rámci cílení reklamy dokonce poskytovány sociálním sítím.
• Dle Nařízení GDPR jsou jednotlivé složky koncernů automobilek sídlící na území EU povinny dodržovat vůči svým uživatelům (subjektům údajů) informační povinnost vzhledem ke zpracování osobních údajů. Na webových stránkách automobilové značky by vždy měl být zveřejněn dokument informující o rozsahu, účelu a způsobu zpracování osobních údajů.
• Eliminaci sběru osobních údajů při používání automobilu lze zajistit např.:
  • seznámením se zásady ochrany osobních údajů zveřejněnými na webových stránkách dané automobilové společnosti;
  • překontrolováním, k čemu konkrétně se udělovaný souhlas se zpracováním osobních údajů vztahuje;
  • minimalizací připojení mobilního zařízení k automobilu a používání aplikací či alespoň omezení jejich oprávnění v telefonu;
  • vypnutí funkce sledování lokace atd.

Google urovnal hromadnou žalobu za porušení ochrany soukromí

• Koncem minulého roku společnost Google potvrdila souhlas s uzavřením dohody ohledně urovnání hromadné žaloby ve výši 5 mil. dolarů, která na ni byla podaná v roce 2022 ve Spojených státech amerických za porušování ochrany soukromí při vyhledávání informací v anonymním režimu prostřednictvím prohlížeče Chrome.
• Hromadná žaloba tvrdila, že společnost Google klame uživatele a tvrdí jim, že při používání anonymního režimu nebude sledovat jejich internetovou aktivitu. Podle žalujících ale reklamní technologie Google a webové stránky třetích stran, které používaly službu Google Analytics nebo Google Ad Manager, nadále katalogizovaly podrobnosti o návštěvách a aktivitách uživatelů na stránkách a odesílaly tyto informace zpět na servery společnosti Google. Díky tomuto nastavení společnost Google shromažďovala o uživatelích anonymního módu velké množství informací.
• Podmínky dohody vyrovnání hromadné žaloby nebyly zatím zveřejněny – předpokládá se, že konečná podoba dohody bude schválena federálním soudem v únoru 2024.

Aktualizace Metodického návodu k aplikaci zákona o registru smluv

• Na základě novely zákona o elektronických úkonech a autorizované konverzi dokumentů, ve které došlo ke změně § 14b zákona od 1. února 2024 v tomto znění: „Digitální a informační agentura zapíše údaje o fyzické nebo podnikající fyzické osobě, která má zřízenu a zpřístupněnu datovou schránku, do seznamu držitelů datových schránek, na žádost této osoby.“ proběhla i úprava Metodického návodu k aplikaci zákona o registru smluv (https://www.dia.gov.cz/egovernment/registr-smluv/metodicke-dokumenty/).
• Jedná se o důležitou změnu v oblasti zpracování osobních údajů, konkrétně ve zveřejňování jmen a adres uživatelů datových schránek. Novela nově stanoví, že pro fyzické osoby a podnikající fyzické osoby budou údaje zapsány pouze na její žádost, tedy ne automaticky.
• Seznam držitelů datových schránek z řad fyzických osob a podnikajících fyzických osob bude smazán a nově se do něj budou dostávat jen údaje o těch osobách, které o to požádají. Proto metodika nově doporučuje Identifikátor datové schránky fyzická osoba nebo podnikající fyzická osoba neuvádět.

Sledování zaměstnanců při podezření z porušení pracovních povinností

• Německý zaměstnavatel zadal sledování svého zaměstnance detektivní kanceláří, aby potvrdil podezření, že zaměstnanec čerpá nemocenskou dovolenou, i když není nemocný. Následně výsledky šetření soukromého detektiva použil jako důvod pro rozvázání pracovního poměru.
• Soud v Německu však tento postup vyhodnotil jako zásah do práva zaměstnance na ochranu osobnosti, přičemž je to důvod pro aktivaci čl. 82 Nařízení GDPR, tedy že zaměstnanec má nárok na náhradu nemajetkové újmy. Proti tomuto rozhodnutí se zaměstnavatel odvolal, jeho odvolání však bylo zamítnuto.
• Podle soudu zaměstnavatel tím, že se rozhodl monitorovat zaměstnance prostřednictvím soukromého detektiva, použil invazivní opatření a dopustil se tím porušení zásady minimalizace.

Zasílání obchodních sdělení ve prospěch třetích stran

• Úřad pro ochranu osobních údajů udělil rekordní pokutu ve výši 7,7 milionu Kč za zasílání obchodních sdělení ve prospěch třetích stran společnosti zajišťující přepravu. Ta šířila od roku 2015 na e-mailové adresy svých zákazníků obchodní sdělení ve prospěch třetích stran, aniž disponovala předchozím souhlasem adresátů.
• Vzhledem k tomu, že společnost propagovala v podobě nabídek různých slev a voucherů třetí strany, bylo třeba, aby pro takové šíření obchodních sdělení disponovala předchozím souhlasem adresátů. Nenabízela totiž vlastní výrobky či služby, a nemohla tedy využít právní důvod „oprávněného zájmu přímého marketingu“, který se vztahuje na kontakty získané v souvislosti s prodejem výrobku či služby, a to za účelem nabídky vlastních obdobných výrobků či služeb.
• Obchodní sdělení byla vkládána do e-mailových zpráv obsahujících potvrzení o provedeném nákupu, a adresáti tak neměli žádnou možnost tato obchodní sdělení jakýmkoliv způsobem odmítnout.
• Jde o dosud nejvyšší pravomocně uloženou pokutou ze strany ÚOOÚ. Její výše odráží zejména rozsah takto oslovených adresátů, kterých bylo přes 40 milionů, dobu, po kterou byla daná obchodní sdělení zasílána, a způsob oslovení.

Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti

• Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil ve spolupráci se Státní pokladnou Centrem sdílených služeb, s. p. (SPCSS) podpůrný materiál Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti, který navazuje na dříve vydaného Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti.
• Provedení hodnocení rizik u výběrového řízení před uzavřením smlouvy je klíčovým krokem v rámci řízení dodavatelů. NÚKIB proto ve spolupráci s SPCSS vytvořil Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti. Materiál přibližuje problematiku hodnocení rizik u výběrového řízení s důrazem na veřejné zakázky hlavně těm, kteří s ní mají jen minimální nebo žádné zkušenosti. Ti zkušenější, kteří jsou zodpovědní za hodnocení rizik v procesu řízení dodavatelů, mohou dokument využít jako zdroj inspirace k vylepšení vlastních zavedených postupů.
• Nově zveřejněný podpůrný materiál představuje jeden z možných správných postupů. Jedná se pouze o doporučení, přičemž je nutné uvedené principy přizpůsobit prostředí konkrétní organizace.
• Dokument obsahuje teoretické i praktické části a modelové příklady. V teoretické části je rozebírána opora hodnocení rizik v legislativě a jednotlivá ustanovení vyhlášky o kybernetické bezpečnosti (VKB), která se týkají řízení dodavatelů. Praktická část obecně popisuje, jaké kroky jsou nutné při hodnocení rizik provést. Modelové příklady obsahují konkrétní ukázky s využitím veřejné zakázky, které jsou aplikovány v prostředí fiktivního ministerstva. Podpůrný materiál vychází z VKB, je ale doplněn o řadu zkušeností z praxe.
• NÚKIB k řízení dodavatelů vydal tyto metodiky:
  • Metodika řízení dodavatelů
    • Podpůrný materiál doplněný o přílohy zabývá se řízením dodavatelů v průběhu celého životního cyklu dodávky. Jeho součástí jsou doporučení a praktické postupy pro tvorbu politik řízení dodavatelů podle požadavků vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.
    • Příloha 1 – Evidence dodavatelů
    • Příloha 2 – Životní cyklus dodavatelského vztahu
    • Příloha 3 – Registr rizik
    • Příloha 4 – Hodnocení dodavatelů
  • Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost
    • Účelem dokumentu je poskytnout veřejným zadavatelům, zejména správcům kritické informační infrastruktury (KII), významných informačních systémů (VIS) a informačních systémů základní služby (PZS) podporu při zadávání veřejných zakázek v oblasti informačních a komunikačních technologií s cílem omezit negativní dopady, které může tento formalizovaný proces výběru dodavatele mít pro oblast kybernetické bezpečnosti. Cílem dokumentu není poskytnout komplexně zpracovaný postup pro zadávání veřejných zakázek, spíše je koncipován jako shrnutí možností, které zadavatelé pro řešení problematických částí mají.
    • Dokument byl vypracován NÚKIB za spolupráce s Ministerstvem pro místní rozvoj, jako gestorem zákona o zadávání veřejných zakázek, a konzultován s Úřadem pro ochranu hospodářské soutěže jako dohledovým orgánem. Dokument nelze považovat za stanovisko daných institucí k otázkám vztahujícím se ke konkrétním případům, neboť ty jsou vydávány vždy na základě jejich konkrétních okolností.
  • Požadavky na smlouvy s dodavateli
    • Vodítko k vysvětlení jednotlivých požadavků vyhlášky č. 82/2018 Sb. kladených na smlouvy s dodavateli. Jedná se o vysvětlení jednotlivých požadavků přílohy č. 7 této vyhlášky. Materiál byl doplněn o poznatky z praxe (verze 1.2).
  • Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti
    • Tento podpůrný materiál má přiblížit problematiku hodnocení rizik u výběrového řízení s důrazem na provedení formou veřejné zakázky hlavně těm, kteří s ní mají jen minimální nebo žádné zkušenosti. Ti se zkušenostmi, kteří jsou zodpovědní za hodnocení rizik v procesu řízení dodavatelů, mohou dokument využít jako zdroj inspirace k vylepšení vlastních zavedených postupů.
  • Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti
    • Tento podpůrný materiál má přiblížit problematiku řízení aktiv a rizik dle VKB především těm, kteří s ní nemají žádné nebo minimální zkušenosti. Zkušenější manažeři kybernetické bezpečnosti mohou podpůrný materiál využít jako zdroj inspirace pro vylepšení již zavedených postupů. Podpůrný materiál je doplněn o přílohy, které slouží jako inspirace a je nutné je upravit pro potřeby konkrétní organizace.
    • Příloha 1 – Vzorová politika systému řízení bezpečnosti informací
    • Příloha 2 – Vzorová metodika pro identifikaci a hodnocení aktiv a hodnocení rizik
    • Příloha 3 – Zjednodušená dopadová tabulka
    • Příloha 4 – Struktura podpůrných aktiv
    • Příloha 5 – Vzorová pravidla ochrany jednotlivých úrovní aktiv
    • Příloha 6 – Vzorové hodnocení aktiv a rizik
    • Příloha 7 – Vzorové prohlášení o aplikovatelnosti
    • Příloha 8 – Vzorový plán zvládání rizik
    • Příloha 9 – Vzorová zpráva o hodnocení rizik
    • Příloha 10 – Vzorové hodnocení rizik pro veřejnou zakázku
    • Příloha 11 – Vzorová zpráva o hodnocení rizik pro veřejnou zakázku
    • Příloha 12 – Vzorové alternativní hodnocení rizik u primárních aktiv
    • Příloha 13 – Vzorový plán zvládání rizik alternativního hodnocení
    • Příloha 14 – Zkratky a používané pojmy
• Metodické materiály jsou uvedeny na webových stránkách NÚKIB: https://nukib.gov.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/podpurne-materialy/.

ÚOOÚ požaduje odstranění rodných čísel z občanských průkazů

• Úřad pro ochranu osobních údajů nesouhlasí s novelou zákona o občanských průkazech, která navrhuje časově neohraničené uvádění rodného čísla v občanském průkazu. Poslanecká sněmovna Parlamentu České republiky schválila návrh zákona, kterým se mění zákon č. 269/2021 Sb., o občanských průkazech,. Ten má zrušit dosud platné ustanovení, které počítá s koncem zapisování rodných čísel do občanských průkazů od roku 2025.
• Uvádění rodného čísla v občanském průkazu představuje závažná rizika z hlediska ochrany osobních údajů a soukromí, a to mj. v souvislosti s propojováním dat a možnosti jejich zneužití ve virtuálním prostoru, kde existují jen velmi obtížné možnosti kontroly a nápravy.
• Neuvádění rodného čísla v občanském průkaze přitom neznamená jeho zrušení, ale pouze to, že se výrazně omezí možnost jeho potenciálního zneužití. Takové opatření by představovalo podstatné zvýšení standardu ochrany jednotlivce z pohledu základního práva na ochranu osobních údajů.
• V rámci veřejné správy byl zákonem č. 111/2009 Sb., o základních registrech zaveden model bezvýznamových identifikátorů. Jednotný a nezměnitelný identifikační údaj (rodné číslo) o fyzické osobě byl nahrazen zdrojovým identifikátorem fyzické osoby (ZIFO) a mnoha agendovými identifikátory fyzické osoby (AIFO). Tím se zabránilo nekontrolovatelnému propojování osobních údajů, aniž by došlo k omezení efektivity veřejné správy.
• Tím došlo k doplnění údaje o agendovém identifikátoru do datového fondu konkrétní agendy, čímž veřejná správa od roku 2012 postupně v zásadě naplňuje základní požadavky na ochranu osobních údajů fyzických osob se zabráněním neoprávněného slučování údajů (tzv. profilování) o jedné osobě.
• Pro soukromý sektor je od 1. července 2022 v § 12a zákona č. 12/2020 Sb., o právu na digitální služby, zaveden bezvýznamový směrový identifikátor (BSI), který soukromému sektoru plně nahrazuje rodné číslo a má pro něj tu výhodu, že poskytuje státem zaručenou lepší identifikaci jejich klientů, a to bez ohledu na jakoukoliv změnu identifikátorů, včetně rodného čísla. Na rozdíl od rodného čísla však není bezvýznamový směrový identifikátor univerzální, protože je vázán na konkrétního podnikatele. Lidé si přitom bezvýznamový směrový identifikátor pamatovat nemusejí, dokonce se ho ani nedozvědí, protože vůči podnikateli (terminologií zákona „poskytovateli služeb“) se budou identifikovat přirozenými identifikátory a číslem dokladu, zejména občanského průkazu.

Nové webové stránky ÚOOÚ

• Úřad pro ochranu osobních údajů od 1. listopadu 2023 spustil ověřovací provoz nových webových stránek úřadu https://uoou.gov.cz. Původní internetové stránky úřadu https://old.uoou.cz jsou stále funkční, ale nejsou již aktualizovány.
• Nová podoba webových stránek ÚOOÚ byla spuštěna s přechodem úřadu na novou doménu uoou.gov.cz, který by měl zajistit zvýšení uživatelské přívětivosti internetové prezentace ÚOOÚ a posílení kybernetické bezpečnosti.

Dopad novely zákona o elektronických úkonech a autorizované konverzi dokumentů na zpracování osobních údajů

• Ve Sbírce zákonů byl vyhlášen zákon č. 327/2023 Sb., kterým se mění zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů, účinný od 1. února 2024. Novela zákona se týká ustanovení § 14. Jedná se o důležitou změnu v oblasti zpracování osobních údajů, konkrétně ve zveřejňování jmen a adres uživatelů datových schránek. Novela nově stanoví, že pro fyzické osoby a podnikající fyzické osoby budou údaje zapsány pouze na její žádost, tedy ne automaticky.
• Informační systém datových schránek (ISDS) je informačním systémem veřejné správy, který obsahuje informace o datových schránkách a jejich uživatelích. Správcem ISDS je od 1. dubna 2023 Digitální a informační agentura, provozovatelem ISDS je držitel poštovní licence.
• Dle novelizovaného § 14b zákona od 1. února 2024 „Digitální a informační agentura zapíše údaje o fyzické nebo podnikající fyzické osobě, která má zřízenu a zpřístupněnu datovou schránku, do seznamu držitelů datových schránek, na žádost této osoby“.

Výsledky dozorové akce EDPB – CEF 2023: Kontrola Pověřenců pro ochranu osobních údajů

• Úřad pro ochranu osobních údajů se v letošním roce zapojil do dozorové akce Coordinated Enforcement 2023 realizované Evropským sborem pro ochranu osobních údajů (EDPB). Cílem této dozorové akce, do které se zapojilo celkem 26 evropských dozorových úřadů, je prověření úlohy a postavení Pověřenců pro ochranu osobních údajů v jednotlivých zemích evropského hospodářského prostoru.
• V rámci této dozorové akce se český ÚOOÚ zaměřil na postavení Pověřenců pro ochranu osobních údajů působících ve veřejné správě. ÚOOÚ oslovil celkem 14 správců osobních údajů, kteří vyplnili 12-stránkový dotazník rozdělený do čtyř částí. Odpovědi uvedené ve vyplněných dotaznících indikují zásadní nedostatky v postavení Pověřenců pro ochranu osobních údajů ve veřejné správě – Pověřenci často nemají přístup k informacím a nejsou zapojováni do procesů souvisejících se zpracováním osobních údajů, tj. nevykonávají svou činnost v souladu s Nařízením GDPR.
• Vnitrostátní zjištění jednotlivých evropských dozorových úřadů budou shrnuta ve zprávě EDPB, ve které zúčastněné dozorové úřady zformulují doporučení týkající se činnosti navazující na roční kontrolní činnost. Tato souhrnná zpráva bude zveřejněna začátkem roku 2024.

Pravidla pro pořizování záznamů z online jednání

• Při pořizování nahrávek z online jednání dochází často k chybám z pohledu zpracování osobních údajů, které záznamy bezpochyby obsahují. Uvádíme proto základní pravidla, která se liší podle účelu pořízení a především podle míry zveřejnění pořízeného záznamu.

a) Zpřístupnění záznamu uzavřené skupině osob (účastníci a organizátoři jednání)

Právní důvod zpracování:

• Pracovní jednání – oprávněný zájem správce spočívající v možnosti:
  • pořídit zpětně věrný záznam jednání;
  • sdílet informace z jednání s kolegy, kteří se jednání nemohli zúčastnit (zvýšení efektivity práce);
  • sdílet informace s osobami, které se do projektu zapojí později (rovněž efektivita organizace práce);
  • zpětného hodnocení postupu projektu.
• Školení, konference, přednášky – oprávněný zájem správce spočívající v možnosti:
  • pořídit záznam z akce tak, aby tento záznam mohl být účastníky školení v budoucnosti konzultován (tj. využití poznatků ze školení v praxi); resp.
  • sdílení školení s osobami, které se jej nemohly zúčastnit, ale poznatky ze školení jsou pro ně relevantní.

Vyžadování souhlasu s nahrávkou

• Vzhledem k výše uvedenému není nutné vyžadovat souhlas s nahráváním, nezbytné je však nahrávání účastníkům oznámit a informaci o nahrávání mít po celou dobu zobrazenou (zajistí MS Teams / SW). Pokud by někdo vznesl proti nahrávání námitku, je dostačující doporučit mu vypnout kameru / mikrofon / používat pouze chat.
• Příklad znění informace o nahrávání: „Upozorňuji účastníky jednání, že z jednání bude pořízena nahrávka, která bude zpřístupněna členům týmu.“
• Podmínkou je, že záznam bude zpřístupněn pouze v rámci uzavřené skupiny příjemců (členů týmu / účastníků akce) a to bez ohledu na to, zda se jedná o zaměstnance organizace nebo externí členy týmu.

b) Zveřejnění záznamu neomezenému okruhu osob, které se mohou se záznamem seznámit

• V případě, že je na záznamech pouze řečník (zaměstnanec organizace), stačí tohoto zaměstnance o zveřejnění informovat, případně mu umožnit odmítnout přednášet. Pokud je na záznamech rozpoznatelná podoba účastníků jednání / školení, je na místě si od těchto osob vyžádat souhlas.
• Příklad znění informace o pořízení a zveřejnění nahrávky: „Upozorňuji účastníky jednání, že z jednání bude pořízena nahrávka, která bude následně zveřejněna. Pokud si nepřejete být na nahrávce identifikovatelný, prosím vypněte si kameru a mikrofon a pro komunikaci využívejte chat.“
• V obou případech je nezbytné nahrávání účastníkům oznámit a informaci o nahrávání mít po celou dobu zobrazenou (zajistí MS Teams / SW). Pokud by někdo vznesl proti nahrávání námitku, je dostačující doporučit mu vypnout kameru / mikrofon / používat pouze chat.
• V případě veřejné akce je doporučeno na přihlášku uvést informaci o pořízení záznamu: „Na základě oprávněného zájmu správce bude z akce pořízen záznam. Jednání bude probíhat na platformě MS Teams. Pokud si nepřejete být na nahrávce identifikovatelný, prosím vypněte si kameru a mikrofon a pro komunikaci využívejte chat. Záznam bude zpřístupněn oprávněným uživatelům organizace a bude také zveřejněn neomezenému počtu uživatelů / přihlášeným uživatelům na xxx.“

Přísnější pravidla pro zpracování osobních údajů obyvatel Švýcarska

• Švýcarsko novelizovalo národní zákon o ochraně osobních údajů. Nově se národní pravidla vztahují na veškeré zpracování dat obyvatel Švýcarska, ať už je prováděno odkudkoliv. Pokud tedy česká společnost zpracovává v rámci své podnikatelské činnosti osobní údaje švýcarských obyvatel nebo má její činnost přímý dopad na zpracování dat ve Švýcarku, musí se od září 2023 řídit novelizovaným švýcarským zákonem o ochraně osobních údajů.
• Švýcarská pravidla pro ochranu údajů se nově vztahují jen na fyzické, nikoliv na právnické osoby. Velkým rozdílem oproti unijnímu právu je způsob trestání za porušení pravidel pro zpracování osobních údajů – za úmyslné porušení jsou nyní trestně stíháni odpovědní zaměstnanci správce, typicky na úrovni nejvyššího managementu. Pokuty mohou být uloženy až do výše 250 tis. švýcarských franků (cca 6 mil. Kč).

Česká republika se připojila k prohlášení proti platbám výkupného při ransomwarových útocích

• V průběhu konání mezinárodního summitu International Counter Ransomware Summit se Česká republika spolu s dalšími více než 40 státy připojila ke společnému prohlášení proti platbám výkupného při ransomwarových útocích.
• Znění společného prohlášení proti platbám výkupného při ransomwarových útocích je zveřejněno na https://www.gov.uk/government/publications/cri-joint-statement-on-ransomware-payments/cri-joint-statement-on-ransomware-payments.
• Neplatit výkupné při ransomwarových útocích opakovaně doporučuje i Národní úřad pro kybernetickou a informační bezpečnost – viz varování NÚKIB proti ransomware útokům vydané v červnu 2023.

Hackeři zveřejnili první část dat ukradených z brněnské Univerzity obrany

• Hackerská skupina Monti, která je známá svými ransomwarovými útoky, zveřejnila v druhé polovině října 2023 část ukradených dat Univerzity obrany v Brně. Jednalo se o data Fakulty vojenského leadershipu, kateder logistiky a krizového řízení – mezi zveřejněnými dokumenty se objevily i osobní údaje vyučujících vojenských důstojníků vč. jejich dat narození, telefonních čísel a adres, zápisy z porad nebo studijní plány.
• Hackeři ze skupiny Monti požadují po svých obětech peníze za vrácení dat, případně výkupné za to, že odcizená data nezveřejní. Univerzita obrany v Brně ale odmítla zaplatit požadované výkupné, a proto hackeři zveřejnili první část ukradených dat.
• Dle vyjádření Vojenské kanceláře prezidenta republiky je vážnost úniku dat vysoká: „Studenti univerzity se stanou důstojníky, za 20 let budou na vrcholu velení. Nepřátelské zpravodajské služby bude samozřejmě zajímat, jak vypadá výuka budoucích velitelů.“

Kybernetické útoky prostřednictvím podvodných SMS zpráv

• Od konce října 2023 se v České republice objevují podvodné SMS zprávy rozesílané pod hlavičkou Všeobecné zdravotní pojišťovny (VZP). Tyto kybernetické útoky zaměřené na podvodné SMS zprávy neustále narůstají, podle odhadů VZP v ČR koluje tisíce falešných zpráv. Podvodníci podvodné SMS zprávy rozesílají z různých telefonních čísel, proto jejich zablokování není prakticky možné.
• Obsah rozesílaných podvodných zpráv je neustále modifikován. Začátkem listopadu klienti VZP obdrželi podvodné SMS zprávy vyzývající k finanční transakci týkající se zdravotního pojištění. Obsahem SMS byl i odkaz na falešnou webovou adresu, kde se má údajná transakce provést – pokud uživatelé na odkaz klikli, dostali se na podvodný web zdařile imitující vzhled pravých webových stránek VZP. Podvodníci následně požadovali přihlášení prostřednictvím bankovní identity. V současné době jsou rozesílané podvodné SMS zprávy, které nabádají k podání žádosti o peníze z fondu prevence. Cílem těchto podvodných zpráv je získat od lidí čísla bankovních účtů a přístupová hesla.
• Všeobecná zdravotní pojišťovna vyzývá své klienty, aby si v případě nejasností ověřili pravost informace obdržené od VZP na infolince pojišťovny.

Označení prvních strážců přístupu dle nařízení o digitálních trzích

• Nařízení o digitálních trzích (Digital Markets Act, DMA), které cílí na regulaci trhů a chování platforem na nich, významně omezuje možnosti velkých digitálních firem označených za „strážce přístupu“ nakládat s daty, včetně osobních údajů jejich uživatelů. Digitální giganti jsou totiž velmi často zvýhodněni v hospodářské soutěži díky přístupu k velkému množství údajů.
• Evropská komise v září 2023 označila prvních šest strážců přístupu („gatekeepers“) podle nařízení o digitálních trzích, a to společnosti Alphabet, Amazon, Apple, ByteDance, Meta a Microsoft. Tyto společnosti mají šest měsíců na to, aby pro každou ze svých určených hlavních služeb platforem zajistili plný soulad s povinnostmi a zákazy uvedenými v nařízení o digitálních trzích. V uvedené lhůtě musí Evropské komisi předložit podrobnou zprávu o dodržování nařízení, v níž uvedou způsob plnění jednotlivých povinností z něj vyplývající.
• Poskytovatel hlavních služeb platforem může být dle nařízení o digitálních trzích označen za strážce přístupu, pokud:
  • má významný dopad na vnitřní trh;
  • poskytuje hlavní službu platformy, která je klíčovou bránou pro podnikatelské uživatele k oslovení koncových uživatelů;
  • má ve své činnosti zavedené a trvalé postavení nebo lze předpokládat, že takové postavení v blízké budoucnosti získá.
• Pokud Evropská komise zjistí, že strážce přístupu úmyslně nebo z nedbalosti nedodržuje kteroukoliv z povinností podle čl. 5 a 6 nařízení o digitálních trzích, tak mu může uložit pokutu až do výše 10 % jeho celkového obratu za předchozí účetní období.

Prověřování TV Nova kvůli přenosu od soudu

• Začátkem listopadu 2023 zpravodajský web TV Nova odvysílal v přímém přenosu internetového vysílání TN Live vyhlášení rozsudku v kauze Dominika Feriho, a to se všemi osobními údaji obětí a intimními detaily. Kvůli tomuto odvysílanému přenosu od soudu zahájil Úřad pro ochranu osobních údajů s TV Nova správní řízení pro podezření ze spáchání přestupku podle zákona č. 110/2019 Sb., o zpracování osobních údajů.
• V rámci řešeného případu soudkyně nedala souhlas s pořizováním obrazových či zvukových přenosů a v průběhu celého hlavního líčení činila další opatření k ochraně identity a dalších údajů poškozených vč. požadavku, aby informace ze soudního jednání byly poskytovány bez možnosti ztotožnění poškozených.
• TV Nova se hájí tím, že po celou dobu trvání procesu chránila soukromí obětí a respektovala pokyny soudkyně: „V případě, že nebylo umožněno přenášení či nahrávání, nic z toho jsme neprováděli. Rozsudek je ze zákona vždy vyhlašován veřejně. Předsedkyně senátu povolila i přítomnost kamer. Nemůžeme předjímat, co bude obsahem rozsudku.“ TV Nova dále zdůraznila, že přenos z TN Live se nearchivuje a není možné se k němu zpětně dostat a že žádné osobní údaje nepublikovala v jiném zpravodajském pořadu.

Pokuta udělená na udání anonyma

• Chorvatský dozorový orgán udělil chorvatské společnost vymáhající pohledávky pokutu ve výši 5,4 mil. EUR za porušení Nařízení GDPR, konkrétně za zpracování citlivých údajů a masivní únik dat subjektů údajů. Na neoprávněné zpracování osobních údajů upozornil chorvatský dozorový orgán anonym, který k předloženému podnětu k prošetření přiložil USB disk obsahující osobní údaje téměř 182 tis. fyzických osob vč. celkem 294 nezletilých, vůči kterým odkoupila pokutovaná osoba pohledávky k dalšímu vymáhání.
• Předpokládá se, že v rámci řešeného případu došlo i ke spáchání trestného činu, případ je tedy dále řešen i v rámci trestněprávního řízení.

Pokuta pro sociální síť TikTok za zpracování osobních údajů dětí

• Na začátku září 2023 irský dozorový úřad (Data Protection Commission) uložil společnosti TikTok Technology Limited pokutu ve výši 345 mil. EUR (cca 8,5 miliardy Kč) za protiprávní zpracování osobních údajů dětských uživatelů sociální sítě TikTok.
• Pokuta byla společnosti TikTok Technology Limited udělena na základě několika zásadních porušení Nařízení GDPR:
  • profily dětských uživatelů sociální sítě TikTok byly defaultně nastaveny jako veřejné, tedy jako přístupné všem ostatním uživatelům sociální sítě (porušení čl. 25 odst. 1 a 2, čl. 5 odst. 1 písm. c) a čl. 24 Nařízení GDPR);
  • dětský profil si do takzvané rodinné skupiny mohl přidat prakticky kterýkoliv dospělý uživatel bez ověření vztahu k dětskému uživateli (porušení čl. 5 odst. 1 písm. f) a čl. 25 odst. 1 Nařízení GDPR);
  • informace pro dětské uživatele o podmínkách aplikace TikTok a zpracování jejich osobních údajů byly ne­dostatečné (porušení čl. 12 odst. 1 a 13 odst. 1 písm. e) Nařízení GDPR);
  • používání manipulativní techniky (tzv. dark patterns), aby dětské uživatele dovedla k volbě variant s větším zásahem do jejich soukromí (porušení čl. 5 odst. 1 písm. a) Nařízení GDPR).
• Irský dozorový úřad kromě udělené pokuty uložil společnosti TikTok Technology Limited i povinnost, aby se přizpůsobila požadavkům Nařízení GDPR tím, že odstraní popsané nezákonné praktiky.

Dvojnásobný nárůst kybernetických incidentů

• Národní úřad pro kybernetickou a informační bezpečnost eviduje za poslední dva měsíce nárůst kybernetických incidentů. Poslední dobou převažují incidenty spadající do kategorie omezení dostupnosti služeb, převážná část z nich byla způsobena DDoS útoky (Distributed Denial of Service).
• Za výrazným nárůstem kybernetických incidentů stojí zejména ruská hacktivistická skupina NoName057(16), která útočila na stránky českého bankovního sektoru. Skupina NoName057(16) je aktivní již od března loňského roku, bezpečnostní experti dávají její vznik do souvislosti s válkou na Ukrajině. Proruští hackeři totiž vedou útoky typu DDoS proti zemím, které Ukrajinu podporují.

Problematika uvádění rodných čísel v občanských průkazech

• V České republice se rodná čísla používají jako jeden z běžných způsobů identifikace fyzických osob. Problematiku rodných čísel upravuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel).
• Úprava zapisování rodného čísla do občanského průkazu je obsažena v zákoně č. 269/2021 Sb., o občanských průkazech, ve znění zákona č. 471/2022 Sb., a to v jeho přechodných ustanoveních, konkrétně v § 72 odst. 10. Na základě tohoto ustanovení je rodné číslo uváděno v občanském průkazu v podobě bezprostředně čitelné nebo vnímatelné člověkem a rovněž ve strojově čitelné podobě v nosiči dat, a to po časově omezenou dobu.
• Plán na zrušení uvedení rodného čísla v občanském průkaze existuje cca 13 let. Podle původního záměru z roku 2010 mělo rodné číslo v občanském průkazu skončit v roce 2019, ale Ministerstvo vnitra zjistilo, že na tuto velkou změnu nejsou úřady připravené. Další termín pro ukončení zápisu rodných čísel do občanských průkazů, který byl stanoven na 31. prosinec 2023, byl zákonem č. 471/2022 Sb., kterým se mění zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů, a další související zákony, prodloužen do 31. prosince 2024.
• Plánovaný výmaz rodného čísla z občanského průkazu nikdy neznamenal zrušení rodných čísel jako takových. Má se jednat o postupný útlum jejich užívání ve veřejné i soukromé sféře s tím, že v systémech veřejné správy rodné číslo nahradí bezvýznamové identifikátory.
• Aktuálně je problematika zapisování rodného čísla do občanského průkazu intenzivně diskutována a řešena, a to v rámci chystané novelizace zákona č. 269/2021 Sb., o občanských průkazech. V rámci novelizace tohoto zákona již proběhlo mezirezortní připomínkové řízení a projednání vládou (podrobnosti jsou uvedeny na Portálu informačního systému ODok Úřadu vlády České republiky).

Vazba směrnice NIS2 a Nařízení GDPR

• Kybernetická bezpečnost úzce souvisí s ochranou osobních údajů, a proto také směrnice NIS2 a Nařízení GDPR se musí navzájem doplňovat.
• Za směrnici NIS2, která bude v ČR implementovaná v rámci transpoziční lhůty nejpozději do poloviny října 2024, je zodpovědný Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), za dozor GDPR je zodpovědný Úřad pro ochranu osobních údajů (ÚOOÚ). V praxi je tedy nezbytná úzká spolupráce NÚKIB a ÚOOÚ, tyto dva úřady si musí mezi sebou vyměňovat nezbytné informace a nezatěžovat regulované subjekty nad rámec nezbytného, a to např. i v případě pochybení, kdy by subjekty neměly být sankcionovány dvakrát za porušení téže povinnosti, pokud na ni dopadá jak NIS2, tak GDPR.
• Směrnice NIS2 je pokračováním a rozšířením existující směrnice Evropské unie o kybernetické bezpečnosti z roku 2016 nazvané NIS (Network and Information Security), která definuje seznam opatření k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů zajišťujících důležité služby napříč členskými státy Evropské unie.
• Směrnice NIS2 bude do českého právního rámce implementována prostřednictvím novelizace zákona č. 181/2014 Sb., o kybernetické bezpečnosti (nyní probíhá finalizace úprav návrhu zákona na základě obdržených připomínek z mezirezortního připomínkového řízení).

Předpoklad bezpečnostních standardů digitálního eura

• Evropský sbor pro ochranu osobních údajů (EDPB) a Evropský inspektor pro ochranu osobních údajů (EDPS) vydali společné stanovisko, ve kterém podporují návrh na zavedení digitální měny Evropské centrální banky. Cílem digitálního eura by mělo být poskytnutí možnosti provádět platby elektronicky, on-line i off-line, jako dalšího způsobu provádění plateb při zachování hotovostních transakcí.
• Budoucí digitální měna euro musí být z hlediska zajištění ochrany dat a soukromí chráněna nejvyššími bezpečnostními standardy. V navrhovaném zajištění bezpečnostních standardů patří podle EDPS k nejzásadnějším závazek zajistit vysokou úroveň ochrany osobních údajů při používání digitálního eura on-line a ještě vyšší úroveň ochrany při jeho používání off-line.

Používání ChatGPT z pohledu ochrany osobních údajů

• Jazykový model ChatGPT (Generative Pretrained Transformer), který funguje jako klasický chat umožňující komunikaci s umělou inteligencí, byl spuštěn v listopadu 2022 společností OpenAI.
• ChatGPT pracuje na základě rozsáhlých úložišť informací (datasetů), jejichž obsah ve většině případech tvoří data vkládaná samotnými uživateli. Z vložených údajů pak jazykový model čerpá při tvorbě odpovědí, tj. ChatGPT vložené informace uloží do své paměti a čerpá z nich při zpracování daného zadání. Tím ale vzniká riziko, že zmíněná data mohou být dostupná i jiným uživatelům, kteří zadávají jazykovému modelu nové dotazy. ChatGPT nedokáže bohužel rozeznat, které údaje jsou osobní a které nikoliv, a tudíž hrozí příp. únik osobních dat.
• S ohledem na vznikající kritiku ohledně příp. úniku osobních údajů společnost OpenAI v polovině roku 2023 zveřejnila zaktualizované zásady ochrany osobních údajů, které nyní obsahují i výčet informací shromažďovaných jazykovým chatovacím modelem – ChatGPT shromažďuje např. osobní údaje, které jsou součástí vstupu, nahraných souborů nebo zpětné vazby od uživatele (obsah komunikace), časové pásmo, země usazení uživatele, datum a čas přístupů ke službě, verze a typ počítače nebo mobilního zařízení uživatele a připojení k počítači, jakož i název zařízení, operační systém, identifikátory zařízení a konkrétní prohlížeč, který uživatel používá. ChatGPT také shromažďuje údaje o navštívených stránkách pomocí souborů cookies (na tuto skutečnost však není uživatel upozorněn standardně vyskakujícím oknem při prvním navštívení stránky) a mnohé další. Tyto informace mohou být navíc bez vědomí uživatele poskytnuty prodejcům a poskytovatelům různých služeb či přidruženým společnostem OpenAI. Dle zveřejněných zásad ochrany osobních údajů patří mezi zmíněné právní základy pro zpracování těchto údajů mimo jiné i souhlas uživatele – bohužel v současné době nejsou uživatelé před či během používání ChatGPT explicitně požádáni o aktivní souhlas se sběrem a zpracováním osobních údajů. Přitom již před prvním využíváním ChatGPT je nutná registrace, při níž dochází ke sběru osobních údajů typu jméno, příjmení, datum narození, telefon, e-mail.
• Únik citlivých dat prostřednictvím ChatGPT řešila již např. společnost Samsung, jejíž zaměstnanci využívali ChatGPT k přepisu poznámek z interních jednání a ke kontrole zdrojových kódů za účelem nalezení chyb. Při práci s ChatGPT vložili do paměti chatbota velmi citlivé údaje a vystavili tím společnost potenciálnímu úniku dat.

Eliminace rizika úniku osobních údajů při práci s chatovacím modelem

• Při používání služby chatovacích modelů je nezbytné dbát zejména na následující základní doporučení eliminující příp. rizika úniku osobních údajů:
  • Do chatovacího modelu nikdy nevkládat v rámci jednotlivých dotazů osobní údaje jako je např. jméno, příjmení, poznámky z obchodního jednání vázané mlčenlivostí, citlivé zdrojové kódy atd. Jakákoliv data vložená do chatovacího modelu mohou být předmětem úniku dat přes veřejně poskytované služby chatbota.
  • Proškolit zaměstnance organizace o správném způsobu užívání chatovacího modelu vč. vysvětlení potenciálních rizik a hrozeb využívání chatbotů.
  • Při práci s chatovacím modelem využívat anonymní okno prohlížeče.
  • Minimalizovat množství dat, která jsou o uživateli shromažďována během používání služby chatbot.
  • V rámci organizace pořídit vlastní umělou inteligenci pro interní využití a zabezpečení potřeb zaměstnanců, prostřednictvím které bude zamezeno riziko nežádoucího úniku citlivých dat.
  • V případě úniku citlivých dat prostřednictvím chatovacího modelu neprodleně oznámit tuto skutečnost orgánu pro ochranu osobních údajů. Požádat provozovatele konkrétní služby chatovacího modelu, aby osobní údaje nedopatřením vložené do paměti chatbota vymazal.

Zpracování osobních údajů z chytrých hodinek

• Chytré hodinky současné generace nabízí nepřeberné možnosti jejich využití, např. sledování sportovní aktivity, data o funkci srdce, data o pulsu, spálené kalorie, měření spánku a další data, jejichž sledování může pomoci zjistit různá onemocnění daného uživatele.
• Používání chytrých hodinek je pro uživatele přínosné, ale bohužel skrývá i riziko zpracování osobních údajů v rámci monitorovaných / sebraných dat. V nedávné době sdružení NOYB odhalilo, že společnost Fitbit vlastněná společností Google u vybraných typů chytrých hodinek a fitness náramků předává údaje z těchto chytrých zařízení do nespecifikovaných zemí mimo EU. Společnost Fitbit v rámci poskytovaných informací neuvádí seznam zemí, do kterých jsou osobní údaje předávány, a nespecifikuje ani konkrétní rizika, která uživatelům chytrých zařízení hrozí.
• Pokud si uživatel chytrých hodinek chce v rámci aplikace Fitbit vytvořit účet – bez kterého nelze chytré zařízení plnohodnotně využívat – musí aplikaci udělit svůj souhlas s předáváním osobních údajů mimo EU. V případě aplikace společnosti Fitbit poskytnutí souhlasu nelze fakticky nijak obejít a uživatelé chtějící aplikaci využívat musí souhlas bezpodmínečně udělit. Takový souhlas však z povahy věci nemůže být udělen svobodně, neboť je jím podmíněné využití služeb.
• Sdružení NOYB došlo k závěru, že předmětné zpracování je nezákonné a jménem tří uživatelů podalo celkem tři stížnosti, a to k rakouskému, nizozemskému a italskému dozorovému orgánu. Prostřednictvím těchto stížností se chce sdružení NOYB domoci toho, aby byl Fitbit přinucen sdělit veškeré informace dle čl. 13 Nařízení GDPR vč. podrobností o předávání osobních údajů mimo EU.

Zpřístupnění osobních údajů klientů švédské pojišťovny

• Švédská pojišťovna Trygg-Hansa nedostatečně zabezpečila osobní údaje statisíců svých klientů a vystavila je značnému riziku zpřístupnění těchto údajů. Na tuto skutečnost upozornil švédský dozorový úřad (IMY) subjekt údajů, který podal na pojišťovnu stížnost za porušení Nařízení GDPR.
• Švédský dozorový úřad zjistil, že v období od října 2018 do února 2021 bylo možné získat přístup k údajům 650 tisíc zákazníků pojišťovny Trygg-Hansa. Pojišťovna neoprávněným osobám zpřístupnila dokumenty, které v některých případech obsahovaly osobní údaje vč. podrobných informací o zdravotním stavu, finanční údaje, kontaktní údaje, čísla sociálního pojištění a informace o pojištění.
• Švédský dozorový úřad v rámci vyšetřování dospěl k závěru, že pojišťovna nepřijala vhodná technická opatření k zajištění úrovně zabezpečení, která by odpovídala danému riziku. Za porušení čl. 5 odst. 1 písm. f) a čl. 32 odst. 1 Nařízení GDPR byla společnosti Trygg-Hansa udělena pokuta ve výši 35 mil. švédských korun (cca 2,9 mil. EUR).

Pokuta za únik seznamu lidí určených k propuštění

• Berlínský dozorový úřad udělil německé firmě pokutu v celkové výši 215 tis. EUR (cca 5,2 mil. Kč) za zpracovávání citlivých informací o zdravotním stavu svých zaměstnanců a o jejich možném zájmu na založení odborů. Tyto informace německá společnost zpracovávala v rozporu s pravidly stanovenými v Nařízení GDPR.
• Berlínský dozorový úřad se o protiprávním jednání společnosti dozvěděl z médií a ze stížnosti podané dotčeným subjektem údajů. Během vyšetřování dozorový úřad zjistil, že v období od března do července 2021 si jeden z manažerů společnosti vedl na pokyn vedení společnosti seznam všech zaměstnanců ve zkušební době za účelem přípravy se na příp. ukončení pracovního poměru v průběhu zkušební doby zaměstnanců. Mezi důvody předmětného hodnocení byly uvedeny např. zdravotní údaje zaměstnanců, nebo okolnosti přímo nesouvisející s výkonem práce či informace o možném zájmu zaměstnance na založení odborů.
• Kromě pokuty za porušení Nařízení GDPR byly společnosti uloženy další tři pokuty v celkové výši přibližně 40 tis. EUR za to, že tvorba daného seznamu zaměstnanců nebyla konzultována s Pověřencem pro ochranu osobních údajů působícím ve společnosti; za pozdní ohlášení porušení zabez­pečení osobních údajů a za neuvedení předmětného seznamu zaměstnanců v Záznamu společnosti o činnostech zpracování

Zpracování fotografií zaměstnanců

• Zpracování fotografií zaměstnanců lze provádět na základě tzv. oprávněného zájmu zaměstnavatele (např. vstupní karty) nebo souhlasu (např. fotografie z akcí).
  • Zaměstnanec musí být vždy o zpracování fotografie (i dalších osobních údajů) jasně informován, a to i v případě, kdy není vyžadován jeho souhlas.
  • Souhlas musí být svobodný a zaměstnancem kdykoliv odvolatelný.
  • Zaměstnavatel musí být připraven i na možnost, že souhlas od zaměstnance nedostane, a v takovém případě nemůže fotografií zaměstnance vůbec disponovat.
  • Udělení souhlasu nesmí být podmínkou účasti na akci / vznesení námitky nebo neudělení souhlasu nesmí být důvodem pro odepření možnosti akce se účastnit.
  • V případě dodatečného odvolání souhlasu musí zaměstnavatel fotografii vymazat ze všech svých evidencí.
  • Při zpracování fotografií je vždy nutné respektovat soukromí a důstojnost zaměstnance (např. fotografie z večírků apod).
• Vstupní karty zaměstnanců
  • Fotografie zaměstnanců lze zpracovávat za účelem vydání vstupních karet na základě oprávněného zájmu bezpečnosti osob a majetku a souhlas zaměstnance s použitím fotografie za tímto účelem tak není potřebný.
  • Fotografii nelze umístit na vstupní kartu bez vědomí zaměstnance, proto musí být zaměstnanec předem informován (např. na formuláři žádosti o vstupní kartu).
• Fotografie zaměstnanců na internetu a intranetu
  • Ke zveřejňování fotografií zaměstnanců je potřebný jejich souhlas (např. pro účely prezentace organizace).
  • U zaměstnanců, kteří představují vedení organizace, je zveřejnění fotografie oprávněným zájmem zaměstnavatele a souhlas není nutný. O zveřejnění fotografií však musejí být i tito zaměstnanci vždy předem informováni.
  • Souhlas zaměstnance se zpracováním jeho fotografie je nutné získat i pro použití fotografie zaměstnavatelem v interním informačním systému zaměstnavatele, kde fotografie slouží k lepšímu rozpoznání zaměstnanců a zjednodušení komunikace mezi zaměstnanci (např. MS Outlook, MS Teams, intranet). Nejvhodnější je tedy zaměstnance požádat, aby svou fotografii v interním systému uveřejnili sami, ale upozornit je, že se nejedná o povinnost.
• Fotografie z konferencí nebo školení
  • Pořizování a zveřejňování fotografií z konferencí nebo školení má být podloženo souhlasem. Může se jednat o vznesení dotazu na zahájení akce s umožněním vznést námitku (tedy neptat se, kdo souhlasí, ale informovat, že fotografie budou pořizovány a zeptat se, kdo nesouhlasí) nebo umístit informaci např. na prezenční listinu. V případě, že někdo projeví nesouhlas, je nezbytné toto respektovat a jeho fotografie vůbec nepořizovat.
  • Udělení souhlasu nesmí být podmínkou účasti na akci.
  • V případech, kdy účastník z fotografie není jednoznačně identifikovatelný nebo jsou účastníci fotografováni zezadu (vpředu je přednášející) nebo se jedná o fotografování velkého davu lidí bez rozpoznání obličejů, nejedná se o zpracování osobních údajů – není nutné žádat o souhlas.
• Firemní akce, teambuildingy
  • Pokud budou fotografie zaměstnanců zveřejňovány pouze interně v rámci organizace (na intranetu pro zdokumentování akce), lze tyto fotografie zpracovávat na základě oprávněného zájmu. Je nezbytné zaměstnance o pořizovaní fotografií / videa předem informovat (např. jako součást pozvánky / přihlášky) nebo vyvěsit ceduli v místě konání informaci (na místě kde ji každý uvidí). Oboje spolu s informací o právu podat námitku proti pořizování fotografií. Fotografie zaměstnanců musí být dostupné pouze interně v rámci organizace.
  • Při zveřejňování fotografií mimo organizaci, např. na internetu, sociálních sítích nebo propagačních materiálech pro marketingové účely, je písemný souhlas účastníků nezbytně nutný.
  • Při vznesení námitky nebo neudělení souhlasu toto nesmí být důvodem pro odepření možnosti akce se účastnit.
  • V případě, že někdo projeví nesouhlas, je nezbytné toto respektovat a jeho fotografie vůbec nepořizovat.

Provozování vnějšího kamerového systému se záznamem

• Při provozování vnějšího kamerového systému je potřeba dodržet základní pravidla stanovená Úřadem pro ochranu osobních údajů:
  • Kamerový systém je možno použít zásadně v případě, kdy sledovaného účelu nelze účinně dosáhnout jinou cestou (např. lepším zabezpečením majetku).
  • Kamerové sledování nesmí nadměrně zasahovat do soukromí. Možnost nasazení monitorovacích kamer končí na hranicích pozemku správce.
  • Je vyloučeno užití kamerového systému v prostorách určených k ryze soukromým úkonům (např. toalety, sprchy). Je ovšem možné řešení, kdy subjekt údajů má na výběr z alternativ. Např. lze monitorovat prostory šatny (skříněk) plaveckého stadionu za předpokladu, že je vymezen prostor pro převlékání, který není kamerami sledován.
  • Je-li kamerový systém využíván na pracovišti, musí provoz kamer a využití záznamu být v souladu s pracovněprávními předpisy, zejména § 316 zákoníku práce.
  • Je třeba předem jednoznačně stanovit účel provozování kamerového systému, který musí korespondovat s důležitými, právem chráněnými zájmy správce (např. ochranou majetku před krádeží). Záznamy pak mohou být využity pouze v souvislosti se zjištěním události, která poškozuje tyto důležité, právem chráněné zájmy správce. Přípustnost využití záznamů pro jiný účel musí být omezena na významný veřejný zájem, např. boj proti pouliční kriminalitě.
  • Je třeba stanovit lhůtu pro uchovávání záznamů. Doba uchovávání dat by neměla přesáhnout časový limit maximálně přípustný pro naplnění účelu provozování kamerového systému. Uchovávaná data by měla být uchovávána v rámci časové smyčky např. 24 hodin, pokud jde o trvale střežený objekt, nebo případně i dobu delší, v zásadě však nepřesahující několik dnů, a po uplynutí této doby vymazána. Pouze v případě existujícího bezpečnostního incidentu by měla být data zpřístupněna orgánům činným v trestním řízení, soudu nebo jinému oprávněnému subjektu.
  • Je třeba řádně zajistit ochranu snímacích zařízení, přenosových cest a datových nosičů, na nichž jsou uloženy záznamy, před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit např. v provozním řádu objektu či bezpečnostní směrnici. Správce je povinen dokumentovat veškeré případy porušení zabezpečení osobních údajů a řešit bezpečnostní incidenty.
  • Při provozování kamerového systému musí správce splnit informační povinnost – před vstupem do sledovaného prostoru musí být viditelně umístěna informační (varovná) tabule, na které je čitelně uvedený účel sledování, totožnost a kontakt na správce, poučení o právech subjektů údajů, informace o podstatných dopadech monitorování a informace o možnosti získat další a podrobnější informace (např. formou dostupného letáku, dobře viditelného plakátu nebo digitální cestou).
  • V případě zpřístupnění kamerového záznamu třetí straně se vždy jedná o nové zpracování osobních údajů, pro které je nezbytné mít zákonný důvod. Poskytnutí záznamu donucovacím orgánům představuje samostatné zpracování vyžadující odůvodnění ze strany správce.
• Jsme připraveni Vám zpracovat nezbytnou dokumentaci provozu kamerového systému, především:
  • Záznam o činnostech zpracování dle článku 30 Nařízení GDPR
  • Vzor zpracovatelské smlouvy – pokud k záznamům z kamerových systémů má přístup dodavatel / provozovatel, nebo jsou data ukládána na externí úložiště
  • Vzor informační cedule umístěné před / do monitorovaných prostor společně s obvyklou piktogramovou cedulkou
  • Vzor vnitřního předpisu, kterým o pořizování záznamů informujete zaměstnance
  • Vzor sdělení zákonným zástupcům

Pokyny EDPB pro výpočet správních pokut v oblasti GDPR

• Evropský sbor pro ochranu osobních údajů (EDPB) zveřejnil pokyny pro výpočet správních pokut. V souladu s Nařízením GDPR musejí být sankce účinné, přiměřené a odrazující, tedy jejich stanovení je vždy úzce svázané s konkrétními okolnostmi:
  • povaha, závažnost a délka trvání porušení GDPR;
  • k porušení došlo úmyslně, nebo z nedbalosti;
  • kroky, které správce či zpracovatel podnikl ke zmírnění způsobených škod;
  • zavedená technická, organizační a fyzická opatření;
  • předchozí porušení GDPR;
  • míra spolupráce s dozorovým úřadem.
• Pokutu až do výše 10 mil. EUR, případně 2 % ročního obratu subjektu (podle toho, která z těchto hodnot je vyšší), lze uložit za porušení ustanovení týkajících se:
  • záznamů o činnostech zpracování,
  • posouzení vlivu na ochranu osobních údajů,
  • zabezpečení zpracování,
  • ohlašování případů porušení zabezpečení či
  • jmenování Pověřence pro ochranu osobních údajů.
• Pokutu až do výše 20 mil. EUR, případně 4 % ročního obratu subjektu (podle toho, která z těchto hodnot je vyšší), lze uložit za porušení ustanovení týkajících se:
  • základních zásad zpracování osobních údajů,
  • práv subjektů údajů,
  • pravidel pro předávání údajů do třetích zemí,
  • nesplnění příkazu dozorového úřadu.
• Výjimku z možnosti uložení správní pokuty představují orgány veřejné moci a veřejné subjekty, které jsou vyloučeny z udílení pokut zákonem o zpracování osobních údajů. Nic ovšem nebrání tomu, aby Úřad pro ochranu osobních údajů těmto subjektům uložil jinou sankci či povinnost.
• Pokyny rozdělují výši pokuty podle stupně závažnosti porušení GDPR („základní sazba“):
  • nízký stupeň závažnosti: 0 – 10 % zákonného maxima,
  • střední stupeň závažnosti: 10 – 20 % zákonného maxima,
  • vysoký stupeň závažnosti: 20 – 100 % zákonného maxima.
• Při výpočtu pokuty je dále zohledněna výše obratu subjektu, dle které může být vypočtená základní sazba ještě ponížena:
  • Obrat max. 2 mil. EUR ………………..možné snížení základní sazby až na 0,2 %
  • Obrat max. 2 – 10 mil. EUR ………..…možné snížení základní sazby až na 0,4 %
  • Obrat max. 10 – 50 mil. EUR ………….možné snížení základní sazby až na 2 %
  • Obrat max. 50 – 100 mil. EUR …………..možné snížení základní sazby až na 10 %
  • Obrat max. 100 – 250 mil. EUR …………možné snížení základní sazby až na 20 %
  • Obrat max. 250 mil. EUR a více ……….možné snížení základní sazby až na 50 %
• Výpočet dále zohledňuje:
  • polehčující okolnosti – realizované kroky ke zmírnění škod, oznámení incidentu dozorovému orgánu porušení, zavedená dostatečná technická a organizační opatření;
  • přitěžující okolnosti – předchozí porušení GDPR, zjevný úmysl nařízení porušit, nedostatečná spolupráce s dozorovým úřadem.

Nahlížení subjektu údajů do osobních údajů

• Právo subjektu údajů na přístup k informacím, kdy a z jakého důvodu bylo nahlíženo do jeho osobních údajů, upřesnil rozsudek Soudního dvora EU z 22. června 2023 ve věci C-579/21.
• Dle vydaného rozsudku Soudního dvora EU má každý subjekt údajů právo znát datum a důvody nahlížení do svých osobních údajů. Bez existence tohoto práva by subjekt údajů totiž nebyl schopen posoudit zákonnost zpracování svých osobních údajů a případně následně uplatnit svá další práva podle Nařízení GDPR: „Z bodu 63 odůvodnění GDPR vyplývá, že cílem práva osoby na přístup k vlastním osobním údajům a k dalším informacím uvedeným v čl. 15 odst. 1 GDPR je především umožnit tomuto subjektu údajů, aby se seznámil se zpracováním svých osobních údajů a aby si ověřil zákonnost tohoto zpracování. Právo na přístup je nezbytné k tomu, aby subjekt údajů mohl případně vykonat právo na opravu, právo na výmaz („právo být zapomenut“) a právo na omezení zpracování osobních údajů, které mu přiznávají čl. 16 až 18 GDPR, právo na námitku proti zpracování svých osobních údajů stanovené v čl. 21 GDPR, jakož i právo na soudní ochranu pro případ utrpěné škody, zakotvené v čl. 79 a 82 GDPR. Bez transparentnosti, kterou čl. 15 GDPR zajišťuje, by však subjekt údajů nebyl schopen posoudit zákonnost zpracování svých osobních údajů a případně následně uplatnit svá další práva podle GDPR.“
• Pokud tedy subjekt údajů požádá správce či zpracovatele osobních údajů o přístup k jeho osobním údajům, má nárok na přesnou kopii či opis zpraco­vávaných osobních údajů.

Vnitřní oznamovací systém a ochrana osobních údajů

• Zákon č. 171/2023 Sb., o ochraně oznamovatelů ukládá povinnost zavést účinný vnitřní oznamovací systém. S tím samozřejmě souvisí i zajištění ochrany osobních údajů při přijímání, posuzování a evidenci oznámení, především pro zachování důvěrnosti identifikace oznamovatele.
• Poskytnutí informací o totožnosti oznamovatele bez jeho souhlasu je přestupkem, za který hrozí příslušné osobě pokuta ve výši až 100 tis. Kč a v případě, že bude oznamovatel vystaven v důsledku zveřejnění totožnosti odvetným opatřením, hrozí povinnému subjektu pokuta až 1 mil. Kč.
• Oznamovatel při podávání oznámení sděluje minimálně jméno, příjmení, datum narození a/nebo jiný údaj, z něhož je možné dovodit identitu oznamovatele. S ohledem na zásadu minimalizace údajů nesmí být oznamovatel nucen sdělovat osobní údaje, které nejsou nezbytné pro dosažení účelu zpracování, tedy k ověření důvodnosti podaného oznámení. Stejně tak sdělené osobní údaje není možné využívat za jiným účelem, než je podání oznámení a jeho následné posouzení a další zpracování. Lhůta pro zpracování a uložení osobních údajů je stanovena na 5 let ode dne jeho přijetí.
• Všechna opatření na ochranu oznamovatelů je samozřejmě nutné uplatnit i na ochranu osobních údajů dalších osob, které oznamovatel uvedl v oznámení (např. údajný pachatel, poškozená osoba či svědek).
• Práva subjektů údajů (oznamovatelů a dotčených osob) však jsou omezena, a to v takových případech, kdy by jejich naplnění mohlo znamenat narušení vyšetřování oznámeného protiprávního jednání a potažmo odhalení totožnosti oznamovatele.
• Při využití SW řešení pro podporu vnitřního oznamovacího systému je nutné také ošetřit případnou roli zpracovatele osobních údajů uzavřením zpracovatelské smlouvy a ošetřit uložení dat v rámci EU (případně ošetřit jejich uložení mimo EU), šifrování dat při přenosu a pseudonymizace.

Řešení stížností na nevyžádaná obchodní sdělení obdržená datovou schránkou

• Na základě zvýšeného počtu obdržených stížností vztahujících se k zasílání nevyžádaných obchodních sdělení prostřednictvím datových schránek Úřad pro ochranu osobních údajů vydal na svých webových stránkách informaci, že není věcně příslušnou institucí pro stížnosti na nevyžádaná obchodní sdělení zasílaná prostřednictvím datové schránky.
• Informační systém datových schránek (ISDS) je zřízen a provozován na základě zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů. Přestupkem podle tohoto zákona je mimo jiné i užití datové schránky k šíření nevyžádaných obchodních či jiných obtěžujících sdělení.
• Správcem ISDS je od 1. dubna 2023 Digitální a informační agentura (https://dia.gov.cz), proto podezření na spáchání tohoto typu přestupku projednává Digitální a informační agentura, ne Úřad pro ochranu osobních údajů.

Skenování obličejů Policií ČR

• Od srpna minulého roku využívá Policie ČR informační systém Digitálních podob osob, který umí díky umělé inteligenci rozpoznávat tváře z fotografií a videozáznamů. Systém není v současné době napojen na žádný kamerový systém a data jsou vyhodnocena zpětně. Policie ČR je tedy schopna zpětně porovnat fotografii konkrétního člověka vůči snímkům např. z evidence občanských průkazů. Při využití tohoto systému se Policie ČR odkazuje na § 66a zákona o Policii České republiky, ale dle vyjádření některých právníků nemá Policie ČR dostatečnou oporu v zákoně, v zákoně chybí např. pravidla o zabezpečení dat proti zneužití.
• Systém rozpoznávání tváří může mít různé užití a různou intenzitu zásahu do osobnostních práv. Možným rizikem této nové technologie na rozpoznání obličeje je i velká chybovost, tj. může dojít k přiřazení obličeje k špatně identifikované osobě.
• Problematiku využití informačního systému pro účely skenování obličejů již řeší i Úřad pro ochranu osobních údajů, který si od Policie ČR vyžádal vysvětlení a technické podklady k systému Digitálních podob osob. Při ročním testovacím režimu tohoto systému Policie ČR nepožádala ÚOOÚ o žádnou konzultaci.
• Dle vyjádření Policie ČR se prostřednictvím informačního systému Digitálních podob osob podařilo odhalit několik závažných trestných činů.

Retargeting z pohledu zpracování osobních údajů

• V současné době je ve velké míře v online marketingu využíván tzv. retargeting (znovuzacílení). Jedná se o formu online cílené reklamy, při které je reklama cílena na spotřebitele na základě jeho předchozích akcí na internetu, např. prohlížení webových stránek inzerentů, vyplnění poptávkového formuláře apod.
• Online uživatel je označen retargetingem vložením dat do cílové webové stránky nebo e-mailu, která nastaví cookies v prohlížeči daného uživatele. Jakmile je marketingový cookies soubor nastaven, může inzerent zobrazovat tomuto uživateli grafické reklamy odkudkoli z internetu prostřednictvím systému výměny reklam.
• Z pohledu GDPR mohou marketingové cookies obsahovat osobní údaje. Marketingové cookies jsou totiž ve většině případech spojeny s identifikátorem a je tedy možné přiměřenými prostředky znovu identifikovat osoby, kterých se osobní údaje týkají. Je tedy nezbytné, aby provozovatelé webových stránek získali souhlas uživatele s ukládáním marketingových „netechnických“ cookies prostřednictvím cookies lišty. Udělený souhlas s ukládáním cookies musí být kdykoliv odvolatelný.

Sankce za porušení GDPR v oblasti cookies

• Za porušení Nařízení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů udělil v letošním roce Úřad pro ochranu osobních údajů různým provozovatelům webových stránek pokuty již ve výši téměř 4,5 mil. Kč, přičemž právní moci nabyly pokuty ve výši 1,64 mil. Kč.
• ÚOOÚ se v oblasti cookies zaměřuje nejen na kontroly soukromých společností, ale také na orgány veřejné moci a veřejné subjekty (ministerstva a kraje). Vzhledem k tomu, že orgánům veřejné moci a veřejným subjektům nemůže ÚOOÚ ukládat pokuty, ukládá těmto subjektům rozhodnutí o provedení nápravných opatření.
• Nejvyšší pravomocně uloženou pokutu ve výši 898 tis. Kč udělil ÚOOÚ společnosti podnikající v oboru elektronických komunikacích za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.
• ÚOOÚ identifikoval v rámci provedených kontrol následující stěžejní porušení Nařízení GDPR v oblasti cookies:
  • nedostatky souhlasu se zpracováním osobních údajů;
  • nedostatečné plnění informační povinnosti, např. nedostatečná klasifikace jednotlivých cookies, informace dostupné pouze v angličtině;
  • nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu;
  • nemožnost či výrazné zkomplikování možnosti odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;
  • umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil;
  • cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.

Únik citlivých údajů z Tesly

• Americká společnost Tesla potvrdila, že za obří únik citlivých dat v květnu 2023 mohli bývalí zaměstnanci, kteří poskytli tajná data německému deníku Handelsblatt.
• Deník Handelsblatt získal od dvou nespokojených zaměstnanců Tesly cca 100 GB citlivých interních dat automobilky. Jednalo se zejména o tabulky se jmény a kompletními údaji více než 75 tis. bývalých i současných zaměstnanců, včetně jejich soukromých e-mailových adres, telefonních čísel, platů a tajných údajů z výroby. Uniklá interní data dokazují, že Tesla dostává tisíce zákaznických stížností na funkčnost svých systémů autonomního řízení a její reakce jsou ve většině případů nestandardní. V souborech údajně byly i podrobné pokyny pro zaměstnance, jak reagovat na stížnosti. První zásadou bylo pokud možno nikdy neodpovídat písemně, vždy jen telefonicky.

Další pokuta pro sociální síť TikTok za zpracování osobních údajů dětí

• Společnost TikTok Technology Limited provozující sociální síť TikTok čelí další pokutě za nakládání s osobními údaji dětí v Evropské unii.
• Irský orgán pro ochranu údajů vydal rozhodnutí v návaznosti na realizované vyšetřování společnosti TikTok Technology Limited týkající se zpracování osobních údajů registrovaných uživatelů služby TikTok ve věku od 13 do 17 let, a některých otázek spojených se zpracováním osobních údajů dětí mladších 13 let. Rozhodnutí irského orgánu pro ochranu údajů potvrdil svým rozhodnutím i Evropský sbor pro ochranu osobních údajů (EDPB). Rozhodnutí o výši pokuty bude oznámeno v září 2023.
• Společnosti TikTok Technology Limited byla v dubnu 2023 již udělena jedna pokuta ve výši 12,7 mil. liber, a to brit­ským úřadem pro ochranu osobních údajů za nezákonné zpracování údajů dětí.

Dřívější aktuality / novinky z oblasti GDPR naleznete zde.