Nahlížení subjektu údajů do osobních údajů

• Právo subjektu údajů na přístup k informacím, kdy a z jakého důvodu bylo nahlíženo do jeho osobních údajů, upřesnil rozsudek Soudního dvora EU z 22. června 2023 ve věci C-579/21.
• Dle vydaného rozsudku Soudního dvora EU má každý subjekt údajů právo znát datum a důvody nahlížení do svých osobních údajů. Bez existence tohoto práva by subjekt údajů totiž nebyl schopen posoudit zákonnost zpracování svých osobních údajů a případně následně uplatnit svá další práva podle Nařízení GDPR: „Z bodu 63 odůvodnění GDPR vyplývá, že cílem práva osoby na přístup k vlastním osobním údajům a k dalším informacím uvedeným v čl. 15 odst. 1 GDPR je především umožnit tomuto subjektu údajů, aby se seznámil se zpracováním svých osobních údajů a aby si ověřil zákonnost tohoto zpracování. Právo na přístup je nezbytné k tomu, aby subjekt údajů mohl případně vykonat právo na opravu, právo na výmaz („právo být zapomenut“) a právo na omezení zpracování osobních údajů, které mu přiznávají čl. 16 až 18 GDPR, právo na námitku proti zpracování svých osobních údajů stanovené v čl. 21 GDPR, jakož i právo na soudní ochranu pro případ utrpěné škody, zakotvené v čl. 79 a 82 GDPR. Bez transparentnosti, kterou čl. 15 GDPR zajišťuje, by však subjekt údajů nebyl schopen posoudit zákonnost zpracování svých osobních údajů a případně následně uplatnit svá další práva podle GDPR.“
• Pokud tedy subjekt údajů požádá správce či zpracovatele osobních údajů o přístup k jeho osobním údajům, má nárok na přesnou kopii či opis zpraco­vávaných osobních údajů.

Vnitřní oznamovací systém a ochrana osobních údajů

• Zákon č. 171/2023 Sb., o ochraně oznamovatelů ukládá povinnost zavést účinný vnitřní oznamovací systém. S tím samozřejmě souvisí i zajištění ochrany osobních údajů při přijímání, posuzování a evidenci oznámení, především pro zachování důvěrnosti identifikace oznamovatele.
• Poskytnutí informací o totožnosti oznamovatele bez jeho souhlasu je přestupkem, za který hrozí příslušné osobě pokuta ve výši až 100 tis. Kč a v případě, že bude oznamovatel vystaven v důsledku zveřejnění totožnosti odvetným opatřením, hrozí povinnému subjektu pokuta až 1 mil. Kč.
• Oznamovatel při podávání oznámení sděluje minimálně jméno, příjmení, datum narození a/nebo jiný údaj, z něhož je možné dovodit identitu oznamovatele. S ohledem na zásadu minimalizace údajů nesmí být oznamovatel nucen sdělovat osobní údaje, které nejsou nezbytné pro dosažení účelu zpracování, tedy k ověření důvodnosti podaného oznámení. Stejně tak sdělené osobní údaje není možné využívat za jiným účelem, než je podání oznámení a jeho následné posouzení a další zpracování. Lhůta pro zpracování a uložení osobních údajů je stanovena na 5 let ode dne jeho přijetí.
• Všechna opatření na ochranu oznamovatelů je samozřejmě nutné uplatnit i na ochranu osobních údajů dalších osob, které oznamovatel uvedl v oznámení (např. údajný pachatel, poškozená osoba či svědek).
• Práva subjektů údajů (oznamovatelů a dotčených osob) však jsou omezena, a to v takových případech, kdy by jejich naplnění mohlo znamenat narušení vyšetřování oznámeného protiprávního jednání a potažmo odhalení totožnosti oznamovatele.
• Při využití SW řešení pro podporu vnitřního oznamovacího systému je nutné také ošetřit případnou roli zpracovatele osobních údajů uzavřením zpracovatelské smlouvy a ošetřit uložení dat v rámci EU (případně ošetřit jejich uložení mimo EU), šifrování dat při přenosu a pseudonymizace.

Řešení stížností na nevyžádaná obchodní sdělení obdržená datovou schránkou

• Na základě zvýšeného počtu obdržených stížností vztahujících se k zasílání nevyžádaných obchodních sdělení prostřednictvím datových schránek Úřad pro ochranu osobních údajů vydal na svých webových stránkách informaci, že není věcně příslušnou institucí pro stížnosti na nevyžádaná obchodní sdělení zasílaná prostřednictvím datové schránky.
• Informační systém datových schránek (ISDS) je zřízen a provozován na základě zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů. Přestupkem podle tohoto zákona je mimo jiné i užití datové schránky k šíření nevyžádaných obchodních či jiných obtěžujících sdělení.
• Správcem ISDS je od 1. dubna 2023 Digitální a informační agentura (https://dia.gov.cz), proto podezření na spáchání tohoto typu přestupku projednává Digitální a informační agentura, ne Úřad pro ochranu osobních údajů.

Skenování obličejů Policií ČR

• Od srpna minulého roku využívá Policie ČR informační systém Digitálních podob osob, který umí díky umělé inteligenci rozpoznávat tváře z fotografií a videozáznamů. Systém není v současné době napojen na žádný kamerový systém a data jsou vyhodnocena zpětně. Policie ČR je tedy schopna zpětně porovnat fotografii konkrétního člověka vůči snímkům např. z evidence občanských průkazů. Při využití tohoto systému se Policie ČR odkazuje na § 66a zákona o Policii České republiky, ale dle vyjádření některých právníků nemá Policie ČR dostatečnou oporu v zákoně, v zákoně chybí např. pravidla o zabezpečení dat proti zneužití.
• Systém rozpoznávání tváří může mít různé užití a různou intenzitu zásahu do osobnostních práv. Možným rizikem této nové technologie na rozpoznání obličeje je i velká chybovost, tj. může dojít k přiřazení obličeje k špatně identifikované osobě.
• Problematiku využití informačního systému pro účely skenování obličejů již řeší i Úřad pro ochranu osobních údajů, který si od Policie ČR vyžádal vysvětlení a technické podklady k systému Digitálních podob osob. Při ročním testovacím režimu tohoto systému Policie ČR nepožádala ÚOOÚ o žádnou konzultaci.
• Dle vyjádření Policie ČR se prostřednictvím informačního systému Digitálních podob osob podařilo odhalit několik závažných trestných činů.

Retargeting z pohledu zpracování osobních údajů

• V současné době je ve velké míře v online marketingu využíván tzv. retargeting (znovuzacílení). Jedná se o formu online cílené reklamy, při které je reklama cílena na spotřebitele na základě jeho předchozích akcí na internetu, např. prohlížení webových stránek inzerentů, vyplnění poptávkového formuláře apod.
• Online uživatel je označen retargetingem vložením dat do cílové webové stránky nebo e-mailu, která nastaví cookies v prohlížeči daného uživatele. Jakmile je marketingový cookies soubor nastaven, může inzerent zobrazovat tomuto uživateli grafické reklamy odkudkoli z internetu prostřednictvím systému výměny reklam.
• Z pohledu GDPR mohou marketingové cookies obsahovat osobní údaje. Marketingové cookies jsou totiž ve většině případech spojeny s identifikátorem a je tedy možné přiměřenými prostředky znovu identifikovat osoby, kterých se osobní údaje týkají. Je tedy nezbytné, aby provozovatelé webových stránek získali souhlas uživatele s ukládáním marketingových „netechnických“ cookies prostřednictvím cookies lišty. Udělený souhlas s ukládáním cookies musí být kdykoliv odvolatelný.

Sankce za porušení GDPR v oblasti cookies

• Za porušení Nařízení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů udělil v letošním roce Úřad pro ochranu osobních údajů různým provozovatelům webových stránek pokuty již ve výši téměř 4,5 mil. Kč, přičemž právní moci nabyly pokuty ve výši 1,64 mil. Kč.
• ÚOOÚ se v oblasti cookies zaměřuje nejen na kontroly soukromých společností, ale také na orgány veřejné moci a veřejné subjekty (ministerstva a kraje). Vzhledem k tomu, že orgánům veřejné moci a veřejným subjektům nemůže ÚOOÚ ukládat pokuty, ukládá těmto subjektům rozhodnutí o provedení nápravných opatření.
• Nejvyšší pravomocně uloženou pokutu ve výši 898 tis. Kč udělil ÚOOÚ společnosti podnikající v oboru elektronických komunikacích za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.
• ÚOOÚ identifikoval v rámci provedených kontrol následující stěžejní porušení Nařízení GDPR v oblasti cookies:
  • nedostatky souhlasu se zpracováním osobních údajů;
  • nedostatečné plnění informační povinnosti, např. nedostatečná klasifikace jednotlivých cookies, informace dostupné pouze v angličtině;
  • nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu;
  • nemožnost či výrazné zkomplikování možnosti odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;
  • umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil;
  • cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.

Únik citlivých údajů z Tesly

• Americká společnost Tesla potvrdila, že za obří únik citlivých dat v květnu 2023 mohli bývalí zaměstnanci, kteří poskytli tajná data německému deníku Handelsblatt.
• Deník Handelsblatt získal od dvou nespokojených zaměstnanců Tesly cca 100 GB citlivých interních dat automobilky. Jednalo se zejména o tabulky se jmény a kompletními údaji více než 75 tis. bývalých i současných zaměstnanců, včetně jejich soukromých e-mailových adres, telefonních čísel, platů a tajných údajů z výroby. Uniklá interní data dokazují, že Tesla dostává tisíce zákaznických stížností na funkčnost svých systémů autonomního řízení a její reakce jsou ve většině případů nestandardní. V souborech údajně byly i podrobné pokyny pro zaměstnance, jak reagovat na stížnosti. První zásadou bylo pokud možno nikdy neodpovídat písemně, vždy jen telefonicky.

Další pokuta pro sociální síť TikTok za zpracování osobních údajů dětí

• Společnost TikTok Technology Limited provozující sociální síť TikTok čelí další pokutě za nakládání s osobními údaji dětí v Evropské unii.
• Irský orgán pro ochranu údajů vydal rozhodnutí v návaznosti na realizované vyšetřování společnosti TikTok Technology Limited týkající se zpracování osobních údajů registrovaných uživatelů služby TikTok ve věku od 13 do 17 let, a některých otázek spojených se zpracováním osobních údajů dětí mladších 13 let. Rozhodnutí irského orgánu pro ochranu údajů potvrdil svým rozhodnutím i Evropský sbor pro ochranu osobních údajů (EDPB). Rozhodnutí o výši pokuty bude oznámeno v září 2023.
• Společnosti TikTok Technology Limited byla v dubnu 2023 již udělena jedna pokuta ve výši 12,7 mil. liber, a to brit­ským úřadem pro ochranu osobních údajů za nezákonné zpracování údajů dětí.

Dřívější aktuality / novinky z oblasti GDPR naleznete zde.