Uchovávání informací / certifikátů o provedeném očkování proti COVID-19

  • Zaměstnavatel může od svých zaměstnanců, kteří byli očkování proti nakažlivé nemoci COVID-19, požadovat předložení certifikátu o očkování. Certifikát o provedeném očkování, který dosvědčuje skutečnost, že dané osobě byla podána vakcína, obsahuje nejen identifikační údaje osoby včetně data narození, ale i informace o podané vakcíně.
  • Zaměstnavatel musí při kontrole a příp. uchovávání informací o provedeném očkování zaměstnanců dodržet zásadu minimalizace dle čl. 5 Nařízení GDPR, tj. zpracovávat pouze nezbytně nutný obsah osobních údajů. Zaměstnavatel při rozhodování o uchovávání informací či kopie certifikátu proti očkování COVID-19 zaměstnanců tedy musí zohlednit všechny okolnosti včetně možného zásahu do práv subjektů údajů a případných rizik.
  • Možné varianty uchovávání informací / certifikátu o provedeném očkování proti COVID-19 (dle zdůvodněného zájmu zaměstnavatele a minimalizace zpracovávaných osobních údajů):
    • zapsání informace, že zaměstnance není potřeba testovat, protože je již očkován;
    • zapsání nezbytně nutných údajů o provedeném očkování zaměstnance (datum vakcinace, číslo certifikátu apod.);
    • uchovávání částečně anonymizované kopie certifikátu o provedeném očkování.
  • Prozatím nejsou jednotně upřesněny informace týkající se kontrol provedeného očkování zaměstnanců proti COVID-19 zaměstnavatelem. Zaměstnavatel se tedy v současné době může pro případ kontroly očkování zaměstnanců odkazovat na informace z Očkovacího portálu občana, v rámci kterého by měl být každý z certifikátu o provedeném očkování evidován. V případě běžného zaměstnavatele by měla postačit částečně anonymizovaná podoba certifikátu o provedeném očkování či jen opsané údaje z předloženého certifikátu.

Zpřísnění pravidel pro ukládání cookies

  • Poslanecká sněmovna schválila 16.6.2021 novelu zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů. Novela zákona nyní míří k projednání do Senátu.
  • Novela zákona (bude-li schválena v plném znění) zpřísní pravidla pro získávání souhlasů na webových stránkách. Každá webová stránka si nyní může ukládat informace o svém návštěvníkovi prostřednictvím cookies (datových souborů), které patří mezi tzv. síťové identifikátory řešené v rámci GDPR.
  • V rámci cookies by měl být pravděpodobně od ledna 2022 plně implementován režim OPT-IN. Varianta souhlasu s cookies na webových stránkách v režimu OPT-IN znamená, že reklamní cookies se neuloží, dokud není kliknuto na „Souhlasím“ (tj. uložení cookies je možné až v okamžiku, kdy k tomu dá uživatel výslovný souhlas). Souhlas se zpracováním osobních údajů není právoplatně udělen, pokud je políčko předem zaškrtnuté a uživatel musí sám souhlas zrušit odškrtnutím.

Novela zákona o svobodném přístupu k informacím

  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který je účinný od 1.1.2000, prošel velkou řadou novelizací a další novela zákona je předložena do druhého čtení v Poslanecké sněmovně.
  • Zákon o svobodném přístupu k informacím patří k základním právním předpisům, které v rámci své činnosti užívají státní orgány, orgány územních samosprávných celků a další veřejné instituce podílející se na veřejné správě či hospodaření s veřejnými prostředky. Zákon upravuje pravidla pro poskytování informací a podmínky práva svobodného přístupu k těmto informacím.
  • Současná novela zákona (bude-li schválena v plném znění) přinese změny:
    • v přenesení pravomoci posuzovat stížnosti proti odmítnutí žádosti o informace z ÚOOÚ na osobu v čele úřadu, jehož informace žadatel požaduje (pokud nelze určit nadřízený úřad);
    • související s implementací směrnice Evropského parlamentu o otevřených datech, např. rozšíří okruh subjektů, které budou mít povinnost informace poskytovat, o veřejné podniky ovládané státem;
    • v poskytování informace na základě žádosti za podmínek, které jsou objektivní, přiměřené, nediskriminační, nevýhradní a neomezují způsob ani účel následného využití poskytovaných informací;
    • v zavedení finanční zálohy v případě rozsáhlého vyhledávání údajů (z důvodu ochrany úřadů / institucí před zneužíváním práva na informace ze strany žadatelů).

Nařízení ePrivacy

  • Nařízení ePrivacy, tj. nařízení o respekto­vání soukromého života a ochra­ně osobních údajů v elektronic­kých komunikacích, se řeší již od roku 2017 a zatím nebylo přijato.
  • V únoru 2021 se členské státy EU dohodly na společné vyjednávací pozici pro další legislativní proces. O znění návrhu ePrivacy bude tedy nyní jednat Rada EU a Evropský parlament (finální text nařízení musí být schválen jak Radou EU, tak i Evropským parlamentem). Nařízení ePrivacy má zrušit směr­nici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací.
  • Nařízení ePrivacy má doplňovat právní úpravu GDPR. Cílem nařízení je nastavit pravidla týkající se ochrany základních práv a svobod fyzických a právnických osob při poskytování a využívání slu­žeb elektronických komunikací. Naří­zení by mělo upravovat podmínky pro zpracování dat elektronických komu­nikací, kterými se rozumí jak jejich obsah, tak i metadata.

Bezpečnostní kamery pro osobní použití

  • Řada lidí využívá pro ochranu svého soukromého majetku bezpečnostní kamery. Kamery pro osobní použití za účelem ochrany soukromého majetku lze umístit v bytě (nelze je umístit na společné chodbě), v rodinném domě či na zahradě rodinného domu.
  • Základní pravidla pro použití bezpečnostních kamer pro ochranu soukromého majetku:
    • Zorné pole kamery musí být natočeno jen na soukromý prostor / pozemek majitele kamery, ne na veřejné prostranství či sousední pozemek.
    • Kamera bez ukládání záznamu – podléhá pouze občanskému zákoníku a Listině základních práv a svobod (právo na ochranu soukromí, právo na ochranu zdraví a majetku), nepodléhá Nařízení GDPR.
    • Kamera s ukládáním záznamu – podléhá Nařízení GDPR (zájem ochrany osob a majetku), je nezbytné informovat okolí, že je v daném prostoru pořizován záznam z bezpečnostní kamery.

Pravomoci vnitrostátních dozorových úřadů v souvislosti s přeshraničním zpracováním osobních údajů

  • Soudní dvůr Evropské unie (SDEU) upřesnil podmínky výkonu pravomocí vnitrostátních dozorových úřadů v souvislosti s přeshraničním zpracováním osobních údajů.
  • Na údajné porušení Nařízení GDPR může dle rozhodnutí SDEU upozornit vnitrostátní dozorový úřad členského státu, který nemá postavení vedoucího úřadu, soud členského státu a zahájit soudní řízení v souvislosti s přeshraničním zpracováním údajů. GDPR ale musí tomuto vnitrostátnímu dozorovému úřadu přiznávat pravomoc přijmout rozhodnutí konstatující, že toto zpracování porušuje pravidla stanovená Nařízením GDPR. Tato přiznaná pravomoc musí být vždy použita v souladu s postupy spolupráce a jednotnosti stanovenými Nařízením GDPR.
  • Nařízení GDPR stanovuje pro přeshraniční zpracování mechanismus jediného kontaktního místa, který je založen na rozdělení pravomocí mezi vedoucí dozorový úřad a ostatní dotčené vnitrostátní dozorové úřady. Dle GDPR je k přijetí rozhodnutí konstatujícího porušení pravidel při přeshraničním zpracováním příslušný vedoucí dozorový úřad, ostatní dozorové úřady k přijetí takového rozhodnutí mají výjimku.

Výroční zpráva ÚOOÚ za rok 2020

  • Senát Parlamentu České republiky vzal 10.6.2021 na vědomí Výroční zprávu Úřadu pro ochranu osobních údajů za rok 2020, kterou úřad zveřejnil v březnu 2021.
  • Výroční zpráva ÚOOÚ za loňský rok obsahuje podrobný přehled o kontrolní činnosti úřadu, a to zejména informace o provedených kontrolách v roce 2020 včetně konkrétních příkladů a z nich plynoucích poznatků, řešené stížnosti a podněty, informace o stavu v oblasti zpracování a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti úřadu, a to včetně dozoru nad zpracováním osobních údajů podle zákona. č. 110/2019 Sb., o zpracování osobních údajů.
  • Výroční zpráva ÚOOÚ za rok 2020 je zveřejněna na webových stránkách úřadu https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=49119&n=vyrocni%2Dzprava%2Duradu%2Dza%2Drok%2D2020.

Pokuta za porušení povinnosti jmenovat zástupce v EU

  • Nizozemský dozorový úřad (Autoriteit Persoonsgegevens) uložil provozovateli platformy Locatefamily.com pokutu ve výši 525 tisíc EUR za nesplnění povinnosti jmenovat zástupce v Evropské unii (tedy za porušení čl. 27 Nařízení GDPR). Jedná se o první rozhodnutí, kdy byla uložena pokuta za nejmenování zástupce v EU.
  • Nizozemskému dozorovému úřadu se však nepovedlo (ani s pomocí dalších evropských i mimoevropských dozorových úřadů) zjistit, kde přesně provozovatel platformy Locatefamily.com sídlí, a proto je obtížné uloženou pokutu vymoci.

Pokuta pro Amazon

  • Dle listu The Wall Street Journal hrozí americkému internetovému obchodu Amazon v Evropské unii nejvyšší pokuta, jaká byla dosud v rámci GDPR vyměřena. Výše navržené pokuty je cca 425 mil. dolarů, což zhruba odpovídá dvěma procentům loňského čistého zisku společnosti Amazon.
  • Navržená pokuta se týká neoprávněného způsobu shromažďování a využívání osobních údajů osob společností Amazon. Pokutu navrhnul lucemburský úřad pro ochranu osobních údajů CNPD, návrh pokuty musí ještě schválit úřady pro ochranu osobních údajů v ostatních členských zemích EU.

Problematika covid pasů v české legislativě

  • V současné době je řešena novela zákona o ochraně veřejného zdraví (zákon č. 258/2000 Sb.), která se týká podmínek pro zavedení tzv. covid pasů. Návrh zákona o covid pasech má adaptovat český právní řád na návrh nařízení Evropského parlamentu a Rady o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (tzv. digitální certifikát COVID v EU).
  • Návrh zákona o covid pasech bude projednán na 109. schůzi Poslanecké sněmovny 9. června 2021.
  • K návrhu zákona o covid pasech, kterým se mění zákon č. 258/2000 Sb., se vyjádřil i ÚOOÚ – své vyjádření zaslal Poslanecké sněmovně Parlamentu. Ve vyjádření ÚOOÚ upozorňuje na některé procedurální nedostatky z pohledu ochrany osobních údajů, a to zejména nedostatečné posouzení vlivu na ochranu osobních údajů podle čl. 35 Nařízení GDPR a nedodržení postupu dle čl. 36 odst. 4 Nařízení GDPR, tedy neprojednání s ÚOOÚ.
  • Celé vyjádření ÚOOÚ k návrhu zákona o covid pasech je zveřejněno na stránkách ÚOOÚ https://www.uoou.cz/k-vladnimu-navrhu-zakona-o-covid-pasech/d-50514.

Zveřejňování záběrů z očkovacích center

  • Při očkování proti nemoci COVID-19 si někteří lidé pořizují fotografie z očkovacích center a poté je zveřejňují na sociálních sítí. Tyto fotografie ale mnohdy zachycují nejen dotyčnou očkovanou osobu, i další očkované, což je problém z hlediska ochrany osobních údajů, protože tyto osoby nedaly ke zveřejnění aktivní souhlas.
  • Dle vyjádření ÚOOÚ zveřejňování fotografií návštěvníků očkovacích center na osobním profilu dotyčné osoby nespadá pod Nařízení GDPR, ale řadí se spíše pod režim ochrany osobnosti dle občanského zákoníku (podle § 85 odst. 1 občanského zákoníku je možné rozšiřovat podobu člověka jen s jeho svolením). Pokud klient očkovacího centra zveřejní svou fotografii z očkování a nejsou na ni zachyceny podoby jiných osob, tak je vše v pořádku. Pokud jsou na fotografii zveřejněny podoby jiných osob, pak podle § 82 odst. 1 občanského zákoníku má člověk, jehož osobnost byla dotčena, právo domáhat se nápravy (odstranění fotografie ze sociální sítě) a příp. odškodnění.
  • Záběry z očkovacích center publikované na speciálně vytvořené stránce, či na ilustračních a opakovaných záběrech v TV (tj. záběry pořízené pro novinářské účely, nebo pro účely akademické), se posuzují na základě okolností daného konkrétního případu, nicméně v obecnosti lze uvést, že ve většině případech spadají do působnosti Nařízení GDPR (jedná se o oprávněný zájem správce).

Uchovávání údajů z platebních karet

  • Během pandemie COVID-19 došlo a dochází k rozšíření používání bezkontaktních a online plateb. V souvislosti s tímto rozvojem je kladen větší důraz na obchodníky, aby získané platební údaje patřičně zabezpečili proti jejich úniku a zneužití.
  • Osobní údaje zákazníků musí být vždy zpracovávány na základě právního základu, ve většině případů tedy z důvodu uzavření kupní smlouvy, ke kterému jsou nezbytné některé osobní údaje. Avšak následné uchovávání osobních údajů pro usnadnění případných dalších nákupů a transakcí již nelze pod plnění uzavřené smlouvy a provedení platby zahrnout. Takové další zpracování je možné provádět pouze na základě uděleného souhlasu zákazníkem.
  • Tento souhlas musí zákazník udělit svobodně, konkrétně, informovaně a jednoznačně ještě před uložením údajů z platební karty. Souhlas musí mít zákazník možnost udělit jasným potvrzujícím úkonem, tedy např. zaškrtnutím příslušného políčka ve formuláři. Zákazník musí mít možnost souhlas kdykoliv odvolat a zároveň musí být odlišen od souhlasu poskytnutého s obchodními podmínkami a nelze jím podmiňovat dokončení transakce.

GDPR a umělá inteligence

  • V souvislosti s rozvojem umělé inteligence začínají vznikat koncepty nařízení o evropském přístupu k umělé inteligenci. Evropská komise zdůraznila, že v rámci tohoto tématu bude k problematice přistupovat jako zaměření na člověka. Z tohoto důvodu se bude také posuzovat v rámci Nařízení GDPR.
  • Již nyní se setkáváme s umělou inteligencí v běžném životě. Příkladem může být:
    • Vyhledávání informací
    • Administrativní úkony
    • Vyhledávání vhodných pracovních nabídek
    • Výrobky inteligentního bydlení
    • Virtuální asistenti – Siri, Alexa, Google Assistant
  • Nařízení bude řešit umělé inteligence, které představují hrozbu pro bezpečnost, život a základní práva a svobody lidí, dále bude specifikovat speciálními požadavky na transparentnost, výše pokut za porušení zakázaných činností a další oblasti.

Pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí

  • Na jednání zastupitelstev obcí vždy vystupují konkrétní identifikovatelné fyzické osoby (zastupitelé), občané z řad veřejnosti a ve většině případech při projednávání jednotlivých bodů jednání zaznívají i osobní údaje dalších osob. V případě pořízení, uchování a zveřejnění zvukového či audiovizuálního záznamu z jednání zastupitelstva obce se jedná o zpracování osobních údajů, neboť záznamy mohou obsahovat informace týkající se identifikované nebo identifikovatelné fyzické osoby. Obec tedy v tomto případě vystupuje v postavení správce osobních údajů.
  • Nařízení GDPR přímo neupravuje pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí. Pokud se však jedná o veřejné vystoupení v záležitostech veřejného zájmu, lze pro pořizování a zveřejňování záznamů z jednání zastupitelstva aplikovat čl. 6 Nařízení GDPR, tj. naplnění oprávněného zájmu obce informovat veřejnost o dění na zastupitelstvu. Záznam z jednání zastupitelstva je možné tedy pořídit bez souhlasu zúčastněných osob, neboť je tento postup v souladu s § 88 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, který stanoví, že svolení není třeba ani v případě, když se podobizna, písemnost osobní povahy nebo zvukový či obrazový záznam pořídí nebo použijí na základě zákona k úřednímu účelu nebo v případě, že někdo veřejně vystoupí v záležitosti veřejného zájmu.
  • Pro následné zveřejňování záznamu z jednání zastupitelstev obcí platí, že žádný právní předpis nestanovuje povinnost jejich zveřejnění a záleží tedy na obci, zda k tomuto kroku přistoupí, či nikoliv. Pokud ale povinnost zveřejňování nahrávání jednání stanoví zastupitelstvo obce v jednacím řádu, zveřejnit se musí. K případnému zveřejnění by mělo docházet na internetových stránkách obce, případně opoziční politické strany, nikoli na sociálních sítích, kde je vyšší riziko možného následného zpracování osobních údajů jinými subjekty.
  • Projednávají-li se na jednání zastupitelstva obce soukromé záležitosti občana, ať přítomného či nepřítomného, zejména týkající se jeho zdravotního stavu nebo sociální situace, je třeba pro zveřejnění záznamu na internetu tyto pasáže následně vypustit nebo anonymizovat. V takových situacích by mělo být i pořizování záznamu přerušeno a nezbytné informace zaznamenány pouze v textové formě. Zveřejnění oněch soukromých záležitostí, případně i pořízení záznamu, by v takovém případě mohlo být v rozporu s § 86 zákona č. 89/2012 Sb., občanský zákoník: Nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka narušit jeho soukromé prostory, sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam, využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou, nebo takové záznamy o jeho soukromém životě šířit. Ve stejném rozsahu jsou chráněny i soukromé písemnosti osobní povahy. Porušení citovaného ustanovení občanského zákoníku může být předmětem občanskoprávní žaloby na osobnosti.
  • Základní pravidla pro pořizování a zveřejňování zvukových a audiovizuálních záznamů z jednání zastupitelstev obcí:
    • Před zahájením vlastního pořizování záznamu musí zaznít informace o tom, že bude pořizován záznam, za jakým účelem bude záznam pořizován a jakým způsobem bude s vytvořeným záznamem zacházeno.
    • Musí být splněna stanovená doba uchování osobních záznamů (resp. doby zveřejnění).
    • Anonymizovat soukromé záležitosti projednávané zastupitelstvem obce.
    • Umožnit subjektům údajů právo na námitku proti zpracování osobních údajů. Individuálně posoudit každou vznesenou námitku (tj. zda nedochází k nedůvodnému a nepřiměřenému zásahu do soukromí).
  • Účelem zpracování osobních údajů při jednání zastupitelstev obcí jsou v zásadě dva důvody:
    • Pořízení záznamu jako podkladu pro pozdější vyhotovení zápisu ze zasedání zastupitelstva obce.
    • Pořízení záznamu za účelem informování veřejnosti o činnosti obce a zastupitelstva (typicky prostřednictvím jeho zveřejnění na internetových stránkách obce).
  • Ať je záznam pořizován z rozhodnutí zastupitelstva obce či individuálně zastupitelem nebo jinou osobou, měli by být přítomní v souladu se zásadou transparentnosti o pořizování záznamu informováni předtím než je pořizování záznamu zahájeno. Prostor, kde probíhá jednání zastupitelstva obce, musí být označen informací o pořizování záznamu, kým bude záznam vyhotoven a za jakým účelem, komu mohou být osobní údaje zpřístupněny, a dále o právu přítomných na námitku proti zpracování osobních údajů (tj. proti existenci záznamu). Stejná informace může být např. i součástí jednacího řádu zastupitelstva obce. Tyto informace by měly zaznít na začátku každého jednání. Stejné podmínky platí pro pořizování audiovizuálního záznamu z jednání, a to pouze pro účely vyhotovení zápisu. V tomto případě by měl být obrazový záznam pořizován pouze z prostor, kde se nacházejí zastupitelé a příp. řečníci z řad veřejnosti. Kamera tedy musí být umístěna tak, aby nepřetržitě nezabírala prostor pro veřejnost, která se aktivně neúčastní.
  • Pořízení záznamu z jednání zastupitelstva obce pro potřeby vyhotovení zápisu se řídí § 95 zákona č. 128/2000 Sb., o obcích, které dává povinnost z každého zasedání zastupitelstva obce pořídit zápis, a to do 10 dnů po skončení zasedání. Jedním z podkladů, na základě kterého lze zápis vyhotovit, může být právě zvukový či audiovizuální záznam.

Whistleblowing – ochrana oznamovatelů

  • Směrnice Evropského parlamentu a rady (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie (dále také Směrnice) přináší organizacím v soukromém i veřejném sektoru nové povinnosti, především zavedení tzv. vnitřního oznamovacího systému a ochrany osob, které oznámí porušení práva Unie, o kterém se dozví, před odvetnými opatřeními ze strany zaměstnavatele.
  • Členské státy EU mají povinnost Směrnici implementovat národní legislativou do 17. prosince 2021, návrh Zákona o ochraně oznamovatelů (dále také ZoOO) počítá s přechodným obdobím do 31. března 2022, kdy je povinný subjekt povinen vnitřní oznamovací systém a postupy pro oznamování a přijímání následných opatření zavést. Návrh zákona o ochraně oznamovatelů byl schválen vládou ČR a v současné době probíhá jeho projednávání Parlamentem ČR.
  • Povinným subjektem podle § 8 odst. 1 návrhu Zákona o ochraně oznamovatelů jsou:
    • veřejní zadavatelé podle zákona upravujícího zadávání veřejných zakázek (s výjimkou obce s méně než 5 000 obyvateli, nejedná-li se o obec s rozšířenou působností);
    • zaměstnavatelé, kteří v uplynulém kalendářním čtvrtletí zaměstnávali v průměru nejméně 25 zaměstnanců; a
    • další subjekty uvedené v § 8 odst. 1 ZoOO.
  • Nedodržování pravidel ochrany oznamovatelů může vést, kromě neplatnosti některých jednání, též k uložení pokuty. Postihován by měl být ten, kdo brání oznámení, přijme odvetné opatření nebo poruší povinnost zachovávat důvěrnost získaných informací. Na druhé straně může být pokutován i ten, kdo vědomě oznámí či zveřejní nepravdivé informace.
  • Pokud instituce nezavede procesy pro ochranu oznamovatelů, nebo podnikne odvetné opatření proti oznamovateli, je vystavena pokutě až do výše 1 milionu Kč nebo 5 % z čistého obratu za poslední účetní období.

Soudní dvůr EU porušil Nařízení GDPR

  • Evropský inspektor ochrany údajů při kontrole zjistil, že Soudní dvůr EU měl na svých webových stránkách nedostatečné informace o zpracování osobních údajů, a to v podobě skutečností, že cookie banner uživatelům webových stránek neumožňoval odmítnout použití souborů cookies a zároveň pokud bude uživatel souhlasit s používáním cookies webových stránek, budou se ukládat také cookies YouTube.
  • Z tohoto důvodu Evropský inspektor ochrany údajů konstatoval závěr, že webové stránky Soudního dvora EU porušovaly několik ustanovení Nařízení GDPR.

Snížení pokuty německým soudem

  • Německé společnosti provozující mimo jiné také call centrum, které slouží pro potřeby zákazníkům, byla uložena německým dozorovým úřadem pokuta ve výši 9 550 000 EUR, a to z důvodu, že nezajistila přiměřenou úroveň ochrany osobních údajů. Jednalo se o skutečnost, kdy byly rodinným příslušníkům zákazníka sdělovány osobní údaje pro potvrzení kontaktních údajů uvedených ve smlouvě. Tímto bylo omylem pracovníkem call centra sděleno telefonní číslo ex-partnera bývalé přítelkyni.
  • Pokuta byla ve výsledku snížena na 900 000 EUR z důvodu nízkého rizika plynoucí pro subjekty údajů, neboť byly zpracovávány „pouze“ kontaktní údaje nikoliv citlivé osobní údaje.

Kopírování občanského průkazu a prokazování totožnosti

  • Je zakázáno pořizovat kopie osobních dokladů bez prokazatelného souhlasu občana, kterému byl průkaz vydán, pokud další zákon nestanoví jinak. V převážné míře případů je dostatečné provést kontrolu předloženého průkazu totožnosti a zaznamenání nezbytných osobních údajů. Běžně je však souhlasem s pořízením kopie podmiňováno poskytnutí nějaké služby. Tím souhlas nenaplňuje podmínku svobodného projevu vůle. Je proto podstatné, aby držitel dokladu byl výslovně informován o možnosti nesouhlasit s pořízením kopie a důsledcích takového odmítnutí.
  • Zákon jasně stanovuje, které osoby mohou, nikoliv musí kopie pořizovat. Lze mezi ně zařadit banky a další finanční instituce poskytující peněžní, investiční a obchodní služby. Dále pojišťovna, notář, obchodník s uměleckými díly a další. Zákon však stanoví pořízení kopie průkazu jako fakultativní možnost při identifikaci klienta, ne jako povinnost kopii pořídit.
  • Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je považováno za přestupek fyzické osoby, která kopii pořídila.
  • V případě požadavku na prokázání totožnosti je možné použít vždy občanský průkaz, dále cestovní doklad, pokud obsahuje podobiznu majitele a také např. řidičský či služební průkaz, pokud to bude protistranou akceptovatelné. Jestliže zvláštní právní předpis stanoví povinnost prokazovat skutečnosti zapsané v občanském průkazu jiným způsobem, musí tak občan učinit. Takováto pouhá kontrola dotyčných osob ještě není z pohledu GDPR zpracování osobních údajů. Tím se stává až v případě, že kontrolor osobní údaje někam zaeviduje či pořídí kopii onoho dokladu.
  • Dále při preventivní silniční kontrole je povinnost řidiče se prokázat pouze platným řidičským průkazem, občanský průkaz již není potřeba. Stejně tak v případě běžné kontroly prokázání totožnosti by měl být dostačující jakýkoliv doklad obsahující nezbytné osobní údaje – jméno/a, příjmení, datum narození a v případě potřeby také adresa místa trvalého pobytu, adresa místa pobytu nebo adresa bydliště v zahraničí, rodné číslo a státní příslušnost.
  • Právo na prokázání totožnosti má nejen Policie ČR, ale také další orgány veřejné moci – správce daní, inspekce práce, kontrolor v rámci zákona o rybářství či ochraně přírody, v rámci správních řízení, banky, investiční společnosti, pojišťovny, auditoři, daňoví poradci nebo účetní.
  • Při vedení jakékoliv evidence je třeba stále dodržovat zásadu minimalizace údajů, tedy zaznamenávat a ukládat jen ty údaje, které jsou nezbytné pro naplnění daného účelu. Tento rozsah je ve většině případů stanoven zákonem, pokud tomu ale tak není, je nutné rozsah údajů posoudit. V případě návštěv v budovách by mělo docházet ke zpracování pouze jména, příjmení, popř. číslo kanceláře do které daná osoba jde. Zásadně by nemělo docházet k evidenci více osobních údajů, pokud tak nestanoví zákon.

Vedení evidence testovaných či očkovaných zaměstnanců

  • Informace o zdravotním stavu, mezi které patří údaje o testování či očkování, se dle Nařízení GDPR řadí do kategorie zvláštních / citlivých osobních údajů. Tyto údaje může zaměstnavatel zpracovávat pouze na základě:
    • zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva;
    • zpracování je nezbytné z důvodu významného veřejného zájmu;
    • či je možné zpracování provádět na základě mimořádného opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-27/MIN/KAN, které zaměstnavatelům, jež pro své zaměstnance zajišťují antigenní testy k použití laickou osobou, nařizuje vést evidenci provedených testů. V případě evidence očkovaných zaměstnanců je pak možné se odkazovat na mimořádné opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-16/MIN/KAN, které nepřímo tuto povinnost zaměstnavateli ukládá.
  • V případě, že provádí testování poskytovatel lékařských služeb, jedná se o postavení dvou samostatných správců osobních údajů, tedy poskytovatel lékařských služeb není v roli zpracovatele. Poskytovatel, který testování provádí, následně předává zaměstnavateli potvrzení o provedeném testu k jeho interní evidenci. Tito správci mají mít mezi sebou uzavřenou běžnou obchodní smlouvu (nikoliv smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem).
  • Evidence testovaných a očkovaných zaměstnanců zaměstnavateli přináší novou agendu, kterou je nutné z hlediska GDPR náležitě ošetřit. Je tedy nezbytné:
    • informovat zaměstnance o takovém zpracování, o účelu, právním základu, rozsahu zpracovávaných osobních údajů, době uchovávání atp.;
    • vést pro tuto novou agendu záznam o činnosti zpracování osobních údajů;
    • evidenci dostatečně zabezpečit.
  • Je nutné mít na paměti, že zaměstnavatel má právo od zaměstnance vyžadovat a tím evidovat informace o testování, neboť tato povinnost je uložena mimořádným opatřením, ale informace o očkování z důvodu dobrovolnosti podstoupit očkování již není zaměstnanec povinen sdělit.

Zpracovávání osobních údajů ve službách

  • S postupným rozvolňováním proti epidemiologických opatření dostali provozovatelé holičství, kadeřnictví, pedikúr, manikúr, kosmetických, masérských a obdobných regeneračních nebo rekondičních služeb nařízeno vést evidenci zákazníků.
  • Úřad pro ochranu osobních údajů však reagoval, že takové zpracovávání osobních údajů považuje za nepřípustné, neboť není stanoven konkrétní účel zpracování, rozsah údajů, doba zpracování a další. Dále ÚOOÚ upozornil, že Ministerstvo zdravotnictví nemá dle pandemického zákona takovou pravomoc, která by je zmocňovala k uložení této povinnosti u provozovatelů.

Osobní spisy bývalých zaměstnanců

  • Zákon každému zaměstnavateli ukládá povinnost evidovat nejrůznější osobní údaje svých zaměstnanců. Všechny tyto údaje posbírané během pracovněprávního vztahu by měly tvořit tzv. spis zaměstnance. Po ukončení pracovněprávních vztahů má zaměstnavatel jako správce osobních údajů povinnost údaje zlikvidovat, pokud pominul účel jejich zpracování. To však může nastat jen u některých dokumentů spisu, rozhodně to neplatí absolutně. Zaměstnavatel má i po skončení pracovněprávního vztahu povinnost konkrétní údaje a dokumenty uchovávat i nadále.
  • Konkrétně jaké dokumenty a osobní údaje je zaměstnavatel povinen či oprávněn nadále uschovávat vyplývá primárně z aktuálně platných zákonů, ale také z oprávněných zájmů správce. Může totiž nastat situace, kdy vznikne právní spor s bývalým zaměstnancem či třetí stranou. Podle občanského zákoníku je promlčecí lhůta na případné spory 3 roky. Mezi dokumenty, které je oprávněn zaměstnavatel uchovávat z důvodu oprávněného zájmu patří např. i podklady pro hodnocení a odměňování. Za další dokumenty uchovávané ale podle zákonů patří evidenční listy, dokumenty pro účely důchodového a nemocenského pojištění, mzdové listy, účetní záznamy a další.

Přání jubilantům (občanům obce)

  • Na základě zákona o obcích č. 128/2000 Sb. mohou obce ocenit významné životní události svých občanů (např. pro blahopřání k životním jubileím, k narozením, svatbám apod.). Jednotlivé obce jsou tedy oprávněny pro tyto účely čerpat příslušné údaje ze základního registru obyvatel a z informačního systému evidence obyvatel, a to v rozsahu stanoveném zákonem. Z tohoto důvodu není nutné vyžadovat souhlas „oceňovaných“ osob s takovou aktivitou obce, např. v podobě výzev k přihlášení se pro účely blahopřání k životnímu jubileu.
  • Na druhou stranu je tato aktivita obce uvedena jako oprávnění obce a nikoli jako její povinnost. Nezavádí tedy povinnost životní jubilea ocenit, stejně tak jako neruší ani možnost obce postupovat dosavadním způsobem, tedy např. vítat jen ty „nové občánky“, jejichž rodiče mají o takovou společenskou akci sami zájem.
  • Způsob ocenění významné životní události občana je závislý na povaze významné životní události (např. pozvání na „vítání občánků“, zaslání gratulace starosty obce k výročí narození či k výročí svatby). Není však možné bez souhlasu občana zveřejnit (např. v tisku, místním rozhlase, na internetu) údaje týkající se jeho osoby. Pokud by tedy obec např. chtěla gratulaci k výročí narozenin uveřejnit v místních novinách či v místním rozhlase, byl by k tomu nutný souhlas občana, jehož se gratulace týká.

Co nejčastěji způsobuje pokuty v oblasti ochrany osobních údajů

  • Dle statistik z uplynulých let a různých koutů EU je nyní možné nalézt několik oblastí, kde dochází k zanedbání ochrany osobních údajů, což může způsobit v případě kontrol dozorových úřadů nemalé pokuty. Jedná se o:
    • Transparentnost – každý subjekt zpracovávající osobní údaje musí poskytovat jasné a srozumitelné informace o tom, jak a proč jsou dané osobní údaje zpracovávány. Také by tyto informace měly být dostupné na jednom místě.
    • Právní základ – pokud dochází ke zpracování osobních údajů, musí se toto zpracování opírat alespoň o jeden pilíř: zákon, smlouva, oprávněný zájem, veřejný zájem, souhlas a životně důležité zájmy.
    • Zabezpečení – zpracovávané osobní údaje musí být dostatečně zabezpečené fyzicky, organizačně a technicky. Mělo by docházet k řízení přístupů k datům, sledovat na jakých místech jsou data ukládána, šifrovat údaje, mít silné přihlašovací heslo, logování nezdařených přihlášení atd.
    • Minimalizace dat – většinou je zpracováváno mnohem více údajů než je potřebné k naplnění účelu, dané činnosti.

Kybernetických útoků přibývá

  • Během posledních měsíců došlo k rapidnímu nárůstu zaznamenaných kybernetických útoků nejen s cílem získat osobní údaje a hesla.
  • Národní úřad pro kybernetickou a informační bezpečnost varuje, že v souvislosti s aktuálním děním v Rusku můžeme nyní očekávat větší aktivitu v podobě špionážních kybernetických operací. Týká se to zejména informačních systémů veřejné správy, ale riziko stouplo i u jiných systémů.

Falešná aplikace WhatsApp

  • V nedávné minulosti se pro telefony se systémem Android zrodila falešná „růžová“ aplikace WhatsApp, která však slouží k hackerským účelů. Rozhodně se nejedná o dámskou verzi klasické chatovací aplikace. Instalací tohoto škodlivého software může docházet k povolení přístupu hackerům k osobním údajům, jako jsou telefonní čísla, obsahy zpráv, hesla a platební údaje.
  • V případě, že si chcete aplikaci WhatsApp pořídit, použijte k tomu oficiální obchod GooglePlay či AppStore.

Nástroj Mailchimp porušuje GDPR

  • Dle bavorského dozorového úřadu porušuje tento americký marketingový nástroj na rozesílání newsletterů či hromadných emailů Nařízení GDPR a to z důvodu, že dochází k předávání osobních údajů do USA. Provozování tohoto nástroje se totiž řídí podle amerických předpisů, konkrétně FISA702 (50 U.S.C. § 1881), který Mailchimp kategorizuje jako poskytovatele služeb elektronických komunikací. Což znamená, že veškeré emailové adresy používané v tomto nástroji mohou být zpřístupněny amerických zpravodajským službám (FBI, CIA, Národní bezpečností agentura).

Žaloba aplikace TikTok

  • Známá aplikace pro sdílení krátkých videí TikTok od čínské společnosti ByteDance je obžalována ze shromažďování a využívání údajů o dětech. Žalobu podala bývalá dětská komisařka pro Anglii Anne Longfieldová, která jménem milionů dětí z Velké Británie a Evropské unie požaduje odškodnění ve výši několika miliard liber.
  • Důvodem je údajně skutečnost, že aplikace shromažďuje bez dostatečného upozornění nebo souhlasu zákonných zástupců osobní údaje dětí. Dále údajně není jasně řešeno, jak bude s těmito daty nakládáno.

Španělská letecká společnost nedodržela termín pro ohlášení porušení ochrany osobních údajů

  • Dle Nařízení GDPR má správce osobních údajů povinnost ohlásit porušení ochrany osobních údajů na ÚOOÚ bez zbytečného prodlení, nejpozději však do 72 hodin o zjištění porušení. Jestliže nenastane riziko pro práva a svobody fyzických osob, není ohlášení nutné.
  • Tuto lhůtu nedodržela španělská letecká společnost, která porušení ohlásila až po 41 dnech od zjištění a zároveň toto prodlení neodůvodnila. Za takové pochybení jí byla španělským dozorových úřadem uložena pokuta 100 tisíc EUR.
  • Zároveň byla této společnosti uložena pokuta za nedostatečné zabezpečení osobních údajů, neboť došlo k neoprávněnému přístupu ke kontaktním údajům a údajům týkajícím se bankovních účtů asi 489 tisíc osob.

Testování žáků ve školách

  • S návratem žáků do škol přišla nová povinnost netestovat pouze své zaměstnance, ale nově i žáky prezenční výuky. Stejně jako v případě ostatních osobních údajů, i zde je nutné zajistit jejich ochranu. Vždy by měly být evidovány pouze takové osobní údaje, které jsou nezbytné k naplnění mimořádného opatření. Dále dbát na to, aby nebyly předávány informace o pozitivních výsledcích neoprávněně – např. informace o pozitivním testu je sdělována pouze zákonnému zástupci daného žáka, nikoliv ostatním rodičům.
  • Údaje by škola měla uchovávat pouze do konce školního roku 2020/2021, resp. do 30 dnů po skončení platnosti mimořádného opatření nařizujícího provádění testování. Následně by měla proběhnout řádná skartace jak fyzické, tak elektronické evidence. Po dobu uchovávání evidence je nutné zajistit dostatečné zabezpečení těchto osobních údajů. V případě elektronické i fyzické verze záznamů by mělo mít k datům přístup jen omezené množství osob. Dále by měla být elektronická data pravidelně zálohována a neměly by vznikat kopie pro jiné potřeby, než je samotný účel této činnosti. Fyzická forma by měla být uložena na zabezpečeném místě, např. v uzamčené kartotéce, neboť bude obsahovat citlivá data v podobě zdravotního stavu osob.
  • V případě pozitivního antigenního testu škola vydá žákovi potvrzení, na základě kterého zákonný zástupce kontaktuje praktického lékaře pro další postup. Pokud je žák znovu testován a konfirmační RT-PCR test vyjde negativní nebo absolvuje povinnou izolaci (a předloží ke kontrole od praktického lékaře potvrzení), může se vrátit do prezenční výuky. Pokud se u některého žáka potvrdí nákaza (konfirmační RT-PCR test vyjde pozitivní), zákonný zástupce informuje o této skutečnosti školu. Ta následně předá krajské hygienické stanici seznam všech žáků, kteří přišli s daným nakaženým do kontaktu a to v rozsahu jméno a příjmení, telefonní číslo a datum kontaktu s pozitivním. Těmto osobám bude hygienickou stanicí nařízena okamžitá karanténa a izolace podle mimořádného opatření Ministerstva zdravotnictví ČR.
  • V rámci interní evidence by měly být zpracovávány pouze tyto údaje:
    • Identifikační údaje – jméno, příjmení, třída.
    • Datum provedení testu.
    • Výsledek testu.
    • Informace, proč se daný žák nemusí testovat spolu s datem, do kdy tato výjimka platí. V tomto případě doporučujeme nepořizovat a neuchovávat kopie dokladů o prodělání onemocnění COVID-19.
  • Jestliže z důvodu karantény „chybí“ více jak polovina třídy, přejde výuka z prezenční formy do distanční.
  • Testování se neprovádí v případě, že:
    • se jedná o individuální konzultace nebo individuální prezenční výuky;
    • žák prodělal COVID-19, podstoupil plná karanténní opatření a není tomu déle než 90 dnů od prvního pozitivního RT-PCR testu;
    • žák je minimálně 14 dnů plně naočkovaný a může předložit certifikát;
    • žák předloží negativní POC antigenní test nebo RT-PCR test, který není starší než 48 hodin a byl proveden poskytovatelem zdravotnických služeb;
    • se jedná o školy zřizované Ministerstvem spravedlnosti ČR a školy zřízené při zařízení pro výkon ústavní nebo ochranné výchovy a mateřské / základní školy při zdravotnickém zařízení.
  • Škola je oprávněna údaje shromažďovat pouze na základě právního důvodu „zákonná povinnost“ a „veřejný zájem v oblasti ochrany veřejného zdraví“, a informace z testování používat pouze v souvislosti s plněním povinností uložených mimořádným opatřením. Dále je každá škola jakožto správce osobních údajů povinna vytvořit a vést záznam o činnosti zpracování této nové agendy. V neposlední řadě je škola také povinna zajistit informovanost zákonných zástupců testovaných žáků o druhu a povaze testů, o zvoleném způsobu testování a samozřejmě o tom, jak budou jejich osobní údaje zpracovávány.

Evidence testovaných zaměstnanců

  • V minulých novinkách jsme Vám poskytli informace ohledně evidence testovaných zaměstnanců na COVID-19 a nyní bychom rádi tyto informace rozšířili:
    • I když je zaměstnanec během testování na slabší straně pracovněprávního vztahu a musí se nechat testovat, musí s ním být stále zacházeno s nanejvýš ohleduplným a šetrným způsobem a respektovat nejen jeho osobní údaje, ale celkově jeho soukromí a lidskou důstojnost.
    • Testování zaměstnanců se neprovádí na základě jimi uděleného souhlasu, ale na základě vyhlášených mimořádných opatření, která zaměstnavateli dávají dostatečnou právní oporu.
    • Každý zaměstnavatel musí zpracovávané osobní údaje v rámci evidence testovaných přizpůsobit konkrétním podmínkám a rozsahu jeho činnosti, neexistuje jedna podoba pro všechny.
    • Stále platí, že evidence testovaných by měla obsahovat pouze: jméno, příjmení, datum narození, které je možno nahradit identifikátorem zaměstnance, datum provedení testu, výsledek testu na přítomnost viru a případně důvod výjimky z testování (prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost).
    • Jestliže testování provádí přímo zaměstnavatel a bude docházet k proplácení od zdravotních pojišťoven, bude evidence obsahovat i údaje potřebné pro zdravotní pojišťovnu (např. číslo pojištěnce a kód pojišťovny).
    • Pokud je testování zajištěno externě poskytovatelem zdravotních služeb vystupují z pohledu GDPR v celé činnosti dva správci, přičemž každý z nich může vést jinou podobu evidence. V případě poskytovatele zdravotních služeb může docházet např. k předávání údajů do Informačního systému infekčních nemocí a samozřejmě vytváření nové zdravotnické dokumentace ke každému testovanému zaměstnanci, která může mít určený jiný rozsah a dobu uchování.
    • K výsledkům testů musí mít přístup jen nezbytné množství osob a musí být zajištěno dostatečné zabezpečení.
    • Doba pro uchování evidence testování sice nebyla v rámci mimořádného opatření stanovena, ale jako maximální doba uchování osobních údajů v evidenci testování ÚOOÚ doporučilo tři roky od doby pořízení testu.
    • Pokud nebude zaměstnavatel své zaměstnance testovat, je možné, že mu orgány ochrany veřejného zdraví udělí pokutu až půl milionu korun za nesplnění povinnosti.

GDPR a zákon o svobodném přístupu k informacím

  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který je účinný od 1.1.2000, prošel velkou řadou novelizací a další novelizace zákona je očekávána. Zákon patří k základním právním předpisům, které v rámci své činnosti užívají státní orgány, orgány územních samosprávných celků a další veřejné instituce podílející se na veřejné správě či hospodaření s veřejnými prostředky. Zákon upravuje pravidla pro poskytování informací a podmínky práva svobodného přístupu k těmto informacím.
  • Podle dostupných statistik se více informací poskytuje podle zákona č. 106/1999 Sb. než podle Nařízení GDPR. Zákon o svobodném přístupu k informacím je „obecný“ zákon – pokud tedy řešenou problematiku upravuje i jiný „sektorový“ zákon (např. správní řád, stavební zákon apod.) jsou informace poskytovány v souladu se zákonem pro danou řešenou oblast.
  • V podané žádosti o poskytnutí informace podle zákona č. 106/1999 Sb. musí být uvedeno kdo žádá, koho žádá, co žádá a že žádá podle zákona č. 106/1999 Sb. Žádat o poskytnutí informace může kdokoliv a může žádat o jakoukoliv informaci, která není vyloučena. Zákonem o svobodném přístupu k informacím jsou z poskytování vyloučeny:
    • utajované informace;
    • informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje (tyto informace mohou být poskytnuty jen v souladu s právními předpisy, upravujícími jejich ochranu);
    • obchodní tajemství;
    • informace o majetkových poměrech osoby, která není povinným subjektem, získané na základě zákonů o daních, poplatcích, penzijním nebo zdravotním pojištění anebo sociálním zabezpečení;
    • informace vzniklé bez použití veřejných prostředků, jestliže byly předány osobou, které takovouto povinnost zákon neukládá;
    • informace, jejichž poskytnutím by byla porušena ochrana práv třetích osob k předmětu autorského práva;
    • informace, které subjekt získal od třetí osoby při plnění úkolů v rámci kontrolní, dozorové, dohledové nebo obdobné činnosti prováděné na základě zvláštního právního předpisu;
    • informace o probíhajícím trestním řízení;
    • informace o rozhodovací činnosti soudů s výjimkou rozsudků;
    • a další informace uvedené v §7 – §11 zákona č. 106/1999 Sb.
  • Způsoby vyřízení žádosti o poskytnutí informace podle zákona č. 106/1999 Sb.:
    • Poskytnutí informace
    • Rozhodnutí o (částečném) odmítnutí žádosti
    • Odložení žádosti
  • Povinný subjekt, který vyřizuje žádost o poskytnutí informace, je oprávněn zpracovávat osobní údaje žadatele pouze za účelem vyřízení žádosti, nikoli pro účely jejich zveřejňování. Doporučuje se žádosti o informace nezveřejňovat, a zveřejnit pouze odpovědi (a to bez identifikačních údajů žadatele). Pokud je zveřejněna i žádost, musejí být osobní údaje žadatele (případně další uvedené v žádosti) anonymizovány. Při zveřejnění poskytnuté informace, např. na webové stránce subjektu nebo úřední desce obce, musí dojít k anonymizaci osobních údajů uvedených v poskytnuté informaci. Poskytnuté informace bez anonymizace jsou žadateli sice vydány oprávněně, ale jejich zveřejněni na internetu pro předem neurčitý okruh osob by mohlo narušit právo na ochranu osobnosti a osobních údajů daných osob ústavně nepřiměřeným způsobem.
  • Opravné prostředky žádosti o poskytnutí informace podle zákona č. 106/1999 Sb.:
    • Informační příkaz
    • Přezkumné řízení před ÚOOÚ
    • Opatření proti nečinnosti před ÚOOÚ
  • Zákon o svobodném přístupu k informacím, novelizovaný na základě zákona č. 111/2019 Sb., upravil i působnost ÚOOÚ v oblasti práva na informace. ÚOOÚ – tedy kromě primární působnosti v oblasti ochrany osobních údajů – zajišťuje i úkony spojené se svobodným přístupem k informacím:
    • ÚOOÚ je oprávněn přezkoumat rozhodnutí odvolacího orgánu ve věci žádosti o informace, tj. rozhodnutí o odvolání, rozhodnutí o rozkladu.
    • ÚOOÚ je oprávněn, zpravidla na základě podnětu žadatele o informace, posoudit, zda je nadřízený orgán nečinný podle zákona č. 106/1999 Sb. a případně rozhodnout o opatření proti jeho nečinnosti.
    • ÚOOÚ je odvolacím orgánem pro povinné subjekty, u kterých dosud rozhodoval o odvolání a stížnostech ten, kdo stojí v čele povinného subjektu, a to s ohledem na skutečnost, že není možno určit nadřízený orgán dle ustanovení § 178 zákona č. 500/2004 Sb.

Výsledky činnosti ÚOOÚ za rok 2020

  • Mezi nejčastěji zjištěná porušení v rámci kontrolní činnosti v roce 2020 patřila absence řádného právního důvodu pro uskutečňované zpracování ze strany správce osobních údajů. V řadě případů bylo kontrolami také zjištěno porušení výkonu práv subjektu údajů.
  • Z celkem 1855 přijatých podnětů bylo zahájeno konkrétně 54 hloubkových kontrol a ÚOOÚ pouze v 5 případech uložil pokuty v celkové výši 1.323.000,- Kč.
  • Mezi výsledky kontrolních činností ÚOOÚ zařadilo následující poznatky:
    • Vynucení souhlasu se zpracováním osobních údajů např. vyloučením ze spolku.
    • Neoprávněné vstupování do systému Centrálního úložiště elektronických receptů ze strany Státního ústavu pro kontrolu léčiv či konkrétních lékárníků.
    • Nepřiměřené zpracování osobních údajů nad rámec novinářské licence kamerami společností provozující internetovou televizi, která umístila kamery zabírající veřejné prostranství s možností jasně identifikovat všechny osoby a SPZ aut.
    • Soukromá internetová stránka se dopustila porušení GDPR, když mimo jiné „překlápěla“ osobní údaje stovek tisíc podnikatelů z obchodního a živnostenského rejstříku, neboť nesplnila podmínku nezbytnosti ve vztahu k účelu zpracování osobních údajů. Byla tedy uložena pokuta ve výši půl milionu korun spolu s pokutou sto tisíc korun za nesoučinnost.
    • Půjčovna lyžařského vybavení v rámci smlouvy o půjčení vybavení požadovala také pořízení kopie občanského průkazu, avšak na základě souhlasu, který nemohl zákazník odmítnout, neboť byl již zakomponován do podepisované smlouvy. Vyžadování takového souhlasu je v rozporu s obecným nařízením.
    • V rámci přímého marketingu byly neoprávněně použity kontakty, které obchodníci / poradci získali za plnění pracovních povinností pro jinou společnost. Šlo tedy o nezákonné zpracování ve smyslu obecného nařízení.

Zpracování osobních údajů Policií ČR

  • ÚOOÚ začal prošetřovat, jakým způsobem je nakládáno s osobními údaji lidí, kterým byla udělena karanténní opatření v rámci pandemie COVID-19. Během ledna a února 2021 začala totiž dostávat Policie ČR od Krajských hygienických stanic a České správy sociálního zabezpečení informace o lidech v karanténě bez jejich vědomí.
  • ÚOOÚ nyní místním šetřením kontroluje, jak jsou data Policií ČR uchovávána a dále používána, tedy zda dochází k fyzické kontrole těchto osob a v jaké souvislosti, dále jak jsou osobní údaje zabezpečeny, zda a jak je přístup k těmto datům nastaven a řízen a zda jsou vytvořeny k této nové činnosti potřebné záznamy o činnostech zpracování osobních údajů.
  • I v této nelehké situaci stále platí, že ministerstva a ostatní úřady musí připravit a nastavit zpracování osobních údajů takovým způsobem, aby vždy byla dodržena pravidla a principy Nařízení GDPR a zákona o ochraně osobních údajů.

Osobní údaje ze soudních jednání

  • Dle vyjádření ÚOOÚ dochází během soudních jednání ke zveřejňování osobních údajů. Takto je činěno v souvislosti s transparentností soudních jednání a má sloužit výhradně pro informování veřejnosti. Je běžnou praxí, že v různých fázích jednání dochází k uveřejnění různých typů údajů. Je ale vždy na samotném soudu posoudit vhodnost takových uveřejnění a najít rovnováhu ve snížení rizik jejich zneužití a naplněním požadavku na veřejnou kontrolu výkonu soudní moci.
  • Například pro dočasné zveřejnění osobních údajů účastníků řízení pro účely informování veřejnosti o soudním jednání je možno snáze najít argumenty než pro zveřejnění týchž osobních údajů po skončení řízení.
  • Zároveň ÚOOÚ upozorňuje, že technické řešení takového zveřejňování má bránit zneužití zveřejňovaných údajů jejich systematickým a plošným stahováním a neomezeným uchováváním případně dalšímu zveřejňování. Dále doporučuje zvážit, zda sledovaný účel vyžaduje neomezený přístup anonymních uživatelů k osobním údajům účastníků řízení či zda není vhodné přístup usměrňovat (individualizovat).

Nová centrální evidence psů a majitelů

  • V meziresortním připomínkovém řízení je nyní novela zákona č. 166/1999 Sb., o veterinární péči a o změně některých souvisejících zákonů (veterinární zákon), která se také zásadně nově dotýká osobních údajů.
  • Součástí novely je vytvoření centrální evidence psů, ve které by měly být uvedeny také osobní údaje statisíců majitelů psů. ÚOOÚ v rámci tohoto připomínkového řízení překontroloval mj. technické nastavení evidence a právní oporu, na základě které bude možné tyto osobní údaje evidovat.

Sběr dat aplikacemi

  • Je všeobecně známo, že veškeré aplikace, které v mobilních telefonech používáme, o nás sbírají konkrétní data. Níže bezpečností společnost Clario Tech Limited zpracovala přehled nejpoužívanějších aplikací a jaké informace o uživatelích ukládá.

Zdroj: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=48155

Monitorování zaměstnanců

  • Pokud chce zaměstnavatel nějakým způsobem kontrolovat a tedy monitorovat své zaměstnance, musí při tom dodržovat podmínky stanovené zákoníkem práce a samozřejmě také pravidla vyplývající z obecného nařízení o ochraně osobních údajů. Vždy k tomu musí najít pádnou právní oporu. Při neoprávněném monitorování může být zaměstnavateli udělena pokuta až 1 milion Kč.
  • Běžně se v rámci kontroly lze setkat s otevřeným či skrytým monitoringem a to pomocí kamerového systému, lokátoru GPS, odposlechu a zaznamenávání hovorů či kontroly elektronické pošty nebo listovních zásilek adresovaných zaměstnanci.
  • Vždy by měla být dodržena zásada proporcionality, tedy úměrnost mezi narušením soukromí zaměstnance versus hodnota zájmů zaměstnavatele. Dále má zaměstnavatel povinnost zaměstnance o možnosti kontroly vždy informovat, například pomocí popisu uplatněných sledovacích mechanismů ve směrnici o zpracování a ochraně osobních údajů nebo v jiném, zaměstnanci přístupném vnitropodnikovém dokumentu.

Hra o bezpečném chování na síti

  • Olomoucká pedagogická fakulta vytvořila pro žáky základních škol novou on-line hru, pomocí které se mají uživatelé trénovat v bezpečném chování na internetu. Hra nauku prezentuje prostřednictvím akčních soubojů a hlavolamů, které mají zábavnou a atraktivní cestou vzdělávat v zabezpečení mobilních telefonů a počítačů, dále v oblasti ochrany osobních údajů, autorských právech či kyberšikaně, kybergroomingu nebo sextingu.
  • Hru je možné jednoduše spustit na odkaze http://www.internethighway.cz/.

Společnosti IKEA ve Francii hrozí pokuta

  • Koncem března byl ve Francii zahájen soud s bývalým vedením IKEA za špehování svých zaměstnanců. Jedná se konkrétně o skutečnost, kdy IKEA nechávala své zaměstnance a uchazeče o zaměstnání prověřovat bezpečností agenturou, zda v minulosti neměli problémy s krádežemi, zda aktivně nevystupovali proti globalizaci, jestli od nich hrozí riziko ekoterorismu nebo proč se zásadně změnily jejich požadavky vůči zaměstnavateli.
  • Společnosti IKEA za výše uvedené hrozí pokuta až 3,75 milionu EUR (98 milionů Kč).

Seznamovací aplikace Grindr

  • Společnost provozující seznamovací aplikaci Grindr čelí pokutě od Norského úřadu pro ochranu osobních údajů. Výše pokuty může být až 251 milionů Kč a to za neoprávněné sdílení osobních údajů uživatelů aplikace se třetími stranami pro marketingové účely.
  • Jednalo se konkrétně o data týkající se polohy uživatele (GPS signál), dále data uvedená na profilech uživatelů a informaci, zda dotyčný používá samotnou aplikaci.
  • Aplikace sice měla snahu na poskytování těchto osobních údajů sbírat potřebné souhlasy, ty však nesplňovaly požadavky GDPR, ale zejména nebylo možné udělení daného souhlasu odmítnout. Každý uživatel tedy musel marketingový souhlas udělit, pokud chtěl aplikaci využívat.

Ukradená data z Facebooku

  • Již v roce 2019 došlo v rámci sociální sítě Facebook k odcizení osobních údajů více jak půl miliardy uživatelů ze 106 zemí, mezi kterými bylo více jak 1,4 milionu profilů Čechů. Facebook sice v srpnu téhož roku přijal potřebná opatření, ale data už byla ukradena a škody napáchány. Jednalo se o osobní údaje jako telefonní číslo, jméno uživatele, email, datum narození a geolokační údaj.
  • Až nyní, o dva roky později, se ukradená data objevila na internetu. Během celé doby mohlo docházet k jejich zneužívání, které mohlo vést až ke krádeži identity nebo peněz. V současné době ani případná změna hesla u dotčených profilů nic nezmění. Jediná možnost, jak dalšímu odcizení zabránit je účty natvrdo zrušit a smazat.

Firemní testování zaměstnanců na Covid-19

  • Z důvodu nutnosti testovat zaměstnance na přítomnost nákazy Covid-19, která vyplývá z mimořádného opatření Ministerstva zdravotnictví (MZDR 47828/2020-16/MIN/KAN), začínají nyní zaměstnavatelé z pohledu GDPR a zákona o zpracování osobních údajů realizovat novou činnost. Jelikož bude při této činnosti zaměstnavatel o svých zaměstnancích evidovat nové osobní údaje a zejména pak citlivé údaje – informaci o zdravotním stavu, musí začít plnit povinnosti ochrany osobních údajů. Je nezbytné se zaměřit na následující body:
    • Zaměstnavatel je oprávněn údaje shromažďovat pouze na základě právního důvodu „zákonná povinnost“ a „veřejný zájem v oblasti ochrany veřejného zdraví“.
    • Vést záznamy o činnosti zpracování této nové agendy.
    • Informace z testování používat pouze v souvislosti s plněním povinností uložených mimořádným opatřením.
    • Záznamy o provedení testů mohou obsahovat pouze nezbytné osobní údaje – jméno a příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, přesný čas provedení testu a výsledek testu.
    • Pokud má některý zaměstnanec z testování udělenou výjimku, je nutné o takové osobě vést pouze identifikační údaje a důvod výjimky z testování.
    • Doba uschování záznamů by měla být minimálně do zrušení mimořádného opatření a dále k nezbytné kontrole zpracování plateb a nároků, které mohou v důsledku testování vzniknout.
    • Maximálně zabezpečit tyto zpracovávané osobní údaje.
    • Zpřístupnit osobní údaje pouze těm zaměstnancům, kteří jsou k tomu oprávnění – např. osobě, která byla pověřena k plnění úkolů k dodržování mimořádného opatření.
    • Zajistit informovanost testovaných zaměstnanců o druhu a povaze testů, o zvoleném způsobu testování a samozřejmě o tom, jak budou jejich osobní údaje zpracovávány.
  • Testování není nutné provádět v následujících případech:
    • Jestliže zaměstnanec prodělal laboratorně potvrzené onemocnění Covid-19, uběhla potřebná doba izolace, nejeví žádné příznaky nemoci Covid-19 a od prvního pozitivního PCR testu nebo antigenního testu neuplynulo více než 90 dní. Vše je povinno doložit lékařskou zprávou.
    • Dále pokud zaměstnanec předloží negativní výsledek PCR testu nebo profesionálně provedeného antigenního testu.
    • A také, pokud je daný zaměstnanec plně naočkovaný a od poslední dávky uplynulo alespoň 14 dnů.
  • Pokud zaměstnanec testování odmítne, je možné se domluvit na výkonu práce z domova, čerpání dovolené, poskytnutí neplaceného volna nebo na změně harmonogramu rozvržení směn. Jestliže se zaměstnanec a zaměstnavatel nedohodnou, půjde podle § 199 odst. 1 zákoníku práce o jinou důležitou osobní překážku v práci na straně zaměstnance, za kterou zaměstnanci však nepřísluší náhrada mzdy nebo platu. Zaměstnanci také podle zákona č. 94/2021 Sb. (pandemický zákon) hrozí finanční sankce.

Předávání údajů o karanténě policii

  • V souvislosti s pandemií Covid-19 dochází k enormnímu nárůstu evidovaných osob s nařízenou karanténou z důvodu možného propuknutí nemoci. Za celou dobu mělo karanténu nařízeno přes 421 tisíc osob. Informace o tom, že daná osoba je v karanténě, spolu s datem narození, trvalým bydlištěm a přechodným bydlištěm, předávaly všechny krajské hygienické stanice a Česká správa sociálního zabezpečení Policii ČR za účelem kontroly porušování zakázaného pohybu.
  • I v případě nouzového stavu však platí, že státní orgány musí zacházet s osobními údaji občanů vždy přesně v intencích zákona a zákonným způsobem, účelně a přiměřeně. Z tohoto důvodu pravděpodobně dojde k úpravě novely Ministerstva vnitra tak, aby mohla policie evidovat opakované porušování nařízení – např. neuposlechnutí zákazu provozovat služby. Dojde tedy k rozšíření registru přestupků o přestupky spáchané podle krizového zákona.

Rezervace návštěvy na úřadě

  • V případě, že si potřebujete něco vyřídit na úřadě, ve velké řadě případů je možné se na návštěvu objednat, tedy rezervovat přesné datum a čas. Dané rezervační systémy jsou většinou zajištovány soukromými společnosti, ale je to právě daný úřad, který se tak stává správcem osobních údajů ze systému získaných a nese všechnu odpovědnost. Aby daný úřad neporušoval ochranu osobních údajů, musí u dané společnosti zajistit, že v rezervačním systému budou po občanovi vyžadovány pouze nezbytné osobní údaje k zajištění rezervace.
  • Mezi nejčastější porušení ochrany osobních údajů v případě rezervačních systémů patří:
    • Sběr nadbytečného množství osobních údajů.
    • Nedostatečná informace, jaké osobní údaje a proč jsou zpracovávány. Také je velice často opomenuta informace o soukromé společnosti, která systém zajišťuje.
    • Nedostatečná informovanost o právech spojených s udělením souhlasu.
    • Nesprávné užití souhlasu.
    • Příliš dlouhá doba uložení dat.

Vzdělávání v oblasti ochrany osobních údajů a bezpečnosti na internetu pro děti

Odcizené přihlašovací údaje

  • V druhé polovině minulého roku probíhalo rozesílání phishingových emailů, v kterých byli příjemci vyzváni, aby otevřeli přiloženou HTML přílohu pro zobrazení naskenovaných dokumentů. Ve skutečnosti však šlo o podvržený email, který následně ukládal získaná hesla.
  • Veškerá hesla se pak ukládala do databáze, která se ale díky indexování webových stránek stala veřejnou a při pouhém zadání emailu okradené osoby bylo možné se dostat ke všem zcizeným přihlašovacím údajům.
  • Každé heslo, ať už je sebesilnější, je stále možné prolomit. Z tohoto důvodu je vhodné svá hesla pravidelně měnit, ideálně v intervalech tří měsíců.

Nejčastější důvody pokut

  • Za uplynulé roky, kdy je v platnosti Nařízení GDPR a příslušné zákony řešící ochranu osobních údajů, stále existují případy, a není jich málo, kdy kontrolní úřad musel sáhnout k udělení nemalých pokut. Existuje několik oblastí, ve kterých správci osobních údajů nejčastěji chybují:
    • Transparentnost – správce musí mít k dispozici pro subjekty údajů přehledný popis toho, jaké údaje a jakým způsobem je zpracovává. Tyto informace musí být také jednoduše dostupné.
    • Právní základ – veškeré osobní údaje může správce sbírat a zpracovávat jen pouze na základě řádného právního základu. Mezi ty nejzákladnější je možné zařadit povinnost danou zákonem, na základě uzavřené smlouvy, souhlasu či na základě oprávněného zájmu.
    • Nedostatečná implementace potřebného zabezpečení – během zpracovávání získaných osobních údajů musí být průběžně aktualizována dostatečná bezpečnostní opatření. Např. by mělo pravidelně docházet k monitorování osob, které mají k datům přístup, zajistit šifrování dat, zavádět používání vícefaktorového ověřování, logování neúspěšných přihlášení atp.
    • Nedodržení zásady minimalizace a doby ukládání dat – během získávání dat dochází často ke zpracování většího rozsahu dat, než je k danému účelu ve skutečnosti potřebné.

Sdílení fotek na internetu

  • Řada z nás za existence internetu a zejména sociálních sítí alespoň jednou sdílela fotku sebe, svých blízkých či přátel. Jedná se ale zejména o rodiče, kteří se se světem chtějí podělit o radost ze svých ratolestí a tak neváhají na internet „poslat“ kde co. V průměru se jedná až o 1 500 fotek, které rodiče nasdílí během pěti let od narození dítěte. Jedná se zejména o fotky z dovolených nebo úspěchy svých dětí.
  • S rozmachem sociálních sítí je ale také snaha upozornit uživatele na rizika spojená s využíváním těchto platforem. A jsou to právě fotky, které o nás nebo ostatních mohou prozradit mnohem více informací, než může být na první pohled patrné.
  • Mezi informace, které je možné velice často z fotografie či popisku zjistit patří:
    • Jméno a příjmení
    • Datum narození
    • Bydliště
    • Škola a třída, kterou dítě navštěvuje
    • Samotné dítě – obličej nebo obnažené tělo
    • Údaje uvedené na vysvědčení
    • Přezdívka
    • Název týmu, za které dítě hraje
  • Odstrašujícím příkladem je používání fotografií malých dětí pedofily, které jsou získávány z nezabezpečených fotografických portálů. Např. na jednom ruském webu se hojně objevily i fotky českých dětí.
  • Pokud se i přes všechny nástrahy rozhodnete sdílet fotografie dětí a daná platforma to nabízí, sdílejte informace pouze s vybraným okruhem přátel / uživatelů, nikoliv naprosto veřejně se všemi. A je dobré si pamatovat, že co jednou internet schvátí, už nikdy nenavrátí.

Zveřejňování kontaktů zaměstnanců obce

  • V případě veřejných institucí je možné se v případě zveřejňování osobních údajů zaměstnanců opřít o právní základ – zpracování osobních údajů nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo pro výkon veřejné moci či splnění právní povinnosti, která se na správce osobních údajů vztahuje.
  • Mezi osobní údaje, které je možné zveřejnit na webových stránkách např. úřadu patří:
    • Jméno a příjmení úředníka.
    • Funkce.
    • Služební telefonní číslo nebo email pouze u zaměstnanců, kteří přicházejí do kontaktu s občany či komunikují s dalšími institucemi.
  • Na zvážení je pak zveřejnění titulu, neboť v případě nižšího vzdělání může docházet k „poškození“ dané osoby. Proto je doporučováno uveřejnit titul pouze u vedoucích osob nebo se souhlasem daného zaměstnance. Bez souhlasu by také neměly být uveřejněny soukromá telefonní čísla, fotografie či životopis.

Únik osobních údajů

  • Litevská policie prošetřuje únik více jak 100 000 osobních údajů, které byly v roce 2018 odcizeny společnosti provozující sdílení automobilů. Mezi daty byly osobní údaje také několika ministrů a starosty hlavního města. Jednalo se o odcizení identifikačních čísel z nezabezpečené zálohy, která jsou obdobou našich rodných čísel. Data následně hacker nabídl k prodeji za 1 000 dolarů. Tamní úřad na ochranu osobních údajů nyní vyšetřuje dostatečnost zabezpečení dat a případně přistoupí k pokutě.

Statistiky v ochraně osobních údajů

  • Dle statistiky společnosti DLA Piper bylo za pokuty v EU za minulý rok uděleno více jak 4 miliardy korun, což je o přibližně 40 % více než tomu bylo rok před tím. Za celkovou účinnost GDPR se tak rozdaly pokuty ve výši cca 7 miliard korun. Česká republika se na tomto čísle podílela „pouhými“ necelými třemi miliony Kč tvořící 0,04 % celkové částky.
  • Celkem náš Úřad pro ochranu osobních údajů zaznamenal 7 179 podnětů a stížností a zahájil 144 kontrol.
  • Nejvyšší pokuta byla uložena ve Francii společnosti Google ve výši 50 milionů EUR. Druhá nejvyšší pokuta byla udělena v Německu a to společnosti H&M ve výši 35,26 milionů EUR. Třetí největší pokutu 27,8 milionů EUR dostal v Itálii telekomunikační operátor TIM SpA.

Brexit a GDPR

  • V okamžiku, kdy se Velká Británie přestala řadit mezi země EU a stala se tak třetí zemí ve vztahu k GDPR, se zásadně změnil režim ochrany osobních údajů na jejím území, včetně pravidel pro předávání osobních údajů z EU a opačně.
  • Jestliže společnost se sídlem ve Velké Británii bude dostávat data z EU (např. bude poskytovat cloudové úložiště), budou tato data předávána do třetí země. Takovéto předávání dat se pak bude muset dít pouze za splnění konkrétních podmínek GDPR. Jako nejvýhodnější se jeví vydání rozhodnutí Evropské komise o odpovídající ochraně osobních údajů. Takovým rozhodnutím se řídí vůči EU již 12 zemí světa, jako je např. Kanada, Švýcarsko, Nový Zéland nebo Japonsko. Jako další možnost je pak pro správce uzavřít s každým zpracovatelem jednoduché smluvní doložky o ochraně osobních údajů.
  • Za těchto okolností bylo vyjednáno, že po dobu šesti měsíců, tedy nejpozději do konce června 2021, bude předávání osobních údajů fungovat stále za stejných podmínek, řídí se tedy obecným Nařízením GDPR. Do této doby je Velká Británie povinna předložit a s EU schválit nová pravidla. Pokud se tak nestane, zařadí se Velká Británie skutečně do režimu třetí země a předávání osobních údajů se tak značně zkomplikuje.

Pokuta za spam do datových schránek

  • V souvislosti s vyhlášeným nouzovým stavem způsobeným pandemií Covid-19 bylo v České republice zavedeno zaslání zpráv datovou schránkou zdarma pro zjednodušení a urychlení komunikace s úřady. Podmínkou však bylo, že společnosti tohoto zavedení nebudou zneužívat posíláním nevyžádaných nebo jinak obtěžujících sdělení.
  • Na podnět několika desítek stížností Úřad pro ochranu osobních údajů udělil pokutu 11 společnostem v celkové výši přes 3 miliony Kč, které disponovaly a používaly databáze tisíců kontaktů datových schránek k rozesílání nejrůznějších nabídek zboží a služeb, aniž by disponovaly např. zákaznickým či jiným obdobním vztahem jež by je ospravedlňoval k zasílání sdělení tohoto typu z titulu oprávněného zájmu.

WhatsApp a jeho nové podmínky

  • Začátkem roku mnoho z nás, kteří používáme ke komunikaci aplikaci WhatsApp, obdrželo informaci o tom, že bude nutné k dalšímu využívání aplikace nejpozději do 8. února 2021 akceptovat nové zásady ochrany osobních údajů. Hlavním tématem bylo to, že WhatsApp měl od tohoto data předávat získané osobní údaje z konverzací společnosti Facebook, jakožto majiteli této aplikace k dalšímu zpracování. Tyto nové změny rozpoutaly masivní přesun uživatelů na jiné aplikace, jako je Signal nebo Telegram.
  • WhatsApp po vzniklém pozdvižení učinil nápravné kroky, mezi které patří nejen odsunutí účinnosti nových zásad o tři měsíce, ale zejména upřesnění a vysvětlení nových podmínek uživatelů.
  • Změna zásad se totiž vůbec neměla týkat osobních účtů uživatelů ani jejich soukromých konverzací, ale účtů firemních a konverzací mezi zákazníkem a firmou v rámci nákupů nebo zákaznické podpory. Získaná data měla pak být zpracovávána pro marketingové účely a tím i cílenou reklamu.
  • Nejdůležitější informace však je, že nové zásady jsou vytvořeny ve dvou variantách, kdy výše uvedené platí pouze pro uživatele mimo EU. V rámci České republiky a EU se nás tato změna netýká, neboť jsme chráněni přísnějšími pravidly GDPR. Přesto se jedná o velmi pěknou ukázku změny myšlení uživatelů online služeb, kdy již není možné vynuceným odsouhlasením změn podmínek užití bez povšimnutí prosadit další (zne)užívání osobních údajů.

Zásady ochrany soukromí neboli Privacy Notice

  • Každý majitel webových stránek, který nějakým způsobem shromažďuje a zpracovává osobní údaje návštěvníků či zákazníků, je povinen o takovém zpracování stručně, transparentně a srozumitelně všechny informovat. Z toho důvodu se nabízí zpracování tzv. Zásad ochrany soukromí (Informační memorandum), které nám dají informaci o tom, zda jsou naše osobní údaje pro majitele webových stránek důvěrné, zda jsou dále sdíleny nebo předávány třetím stranám.
  • Při vytváření takových Zásad je dobré reflektovat odpovědi na následující otázky:
    • Je má společnost / organizace správcem nebo zpracovatelem?
    • Mám povinnost jmenovat pověřence, a tím uvést i jeho / její kontakty?
    • Jaké konkrétní informace shromažďuji?
    • Kdo ve skutečnosti daná data sbírá?
    • Jak jsou shromažďována?
    • Z jakého důvodu jsou shromažďována?
    • Jak je budu následně používat?
    • Budu data dále s někým sdílet?
    • Bude nějaký dopad na dotčené osoby?
    • Hrozí, že naše použití získaných osobních údajů povede ke stížnostem či dokonce k námitkám?

Jak vytvořit silné heslo

  • Používání hesel je jedno ze základních druhů zabezpečení. Používáme ho při přihlášení do počítače, mobilního telefonu, aplikací, systémů apod. Každý z nás by měl při tvorbě hesla dbát na základní pravidla, která zajistí jeho větší „sílu“ tedy míru odolnosti při snaze heslo prolomit. Zaměstnavatelé by měli nastavit jasná kritéria při vytváření hesel do nejrůznějších aplikací a systémů s vynucením pravidelné obměny hesla.
  • Z hlediska náročnosti prolomit slabá hesla trvá méně než jednu sekundu např. u hesla „123456“. Stejně si stojí také heslo „heslo“ či „111111“.
  • Při tvorbě každého hesla doporučujeme dodržovat následující pravidla:
    • Pro každý uživatelský účet vytvořte zcela odlišné a silné heslo, nepoužívejte pouze několik hesel, která střídáte.
    • Nepoužívejte jména rodinných příslušníků, domácích mazlíčků, herců, názvy oblíbených filmů či seriálů, sportů, jídel, nadávek ani pozitivních slov. Stejně je tomu u řady po sobě jdoucích písmen nebo čísel. Dále nepoužívejte osobní údaje spjaté s vaší osobou – datum narození, rodné číslo, adresu apod.
    • Dodržujte dostatečný počet znaků, tedy minimálně 12.
    • Kombinujte velká a malá písmena, ideálně háčky a čárky, čísla a speciální znaky. Vše používejte na různých pozicích hesla.
    • Nepoužívejte nahrazování písmen tvarově podobnou číslicí, jako je např. „VEVERKA“ za „V3V3RKA“.
    • Pokud je to možné, používejte dvoustupňové neboli dvoufaktorové ověření / autentizaci pomocí hesla a např. SMS zprávy.

Právní základ pro videokonference

  • S pokračující situací kolem pandemie koronaviru se primárním způsobem jednání staly vzdálené videokonference. Online komunikace je také základní komunikační kanál v rámci školské výuky.
  • Abychom mohli ke komunikaci využívat videokonference, tedy zapojit do hovoru také obraz, je stále nutné si tento požadavek obhájit i z pohledu GDPR. Existují právní základy, které nám dovolují video během hovoru používat:
    • Udělený souhlas – lze použít pouze tehdy, pokud ke komunikaci existuje i jiná alternativa.
    • Plnění uzavřené smlouvy.
    • Oprávněný zájem odpovědné osoby.
    • Zákon – v případě orgánů veřejné moci např. školský zákon, v případě plnění pracovních povinností pak zákoník práce.
  • Dále doporučujeme při práci z domova aktivovat jiné pozadí či vyrovnat kameru tak, aby nedošlo k zásahu do soukromí účastníka hovoru.

Registrační systém na antigenní testování

  • Během uplynulých týdnů bylo možné se v souvislosti s Covid-19 objednat na tzv. antigenní testování přítomnosti viru v těle. Na takové testování bylo a je nutné se předem objednat pomocí rezervačních systémů jednotlivých testovacích míst. Velké množství nemocnic využívá k registraci rezervační systém Reservatic, který je součástí centrálního státního rezervačního systému.
  • Tento systém, provozovaný ostravskou společností Reservatic, však kromě vytvoření rezervace posílal některé získané osobní údaje společnostem jako je Seznam, Facebook či Google, které následně zacílí zobrazovanou reklamu. V současné době jsou již některé skripty odstraněny, ne ovšem plně.
  • V souvislosti s tímto zjištěním byla zahájena kontrola Úřadem pro ochranu osobních údajů, která zahrnuje také prošetření rezervačního systému na očkování, jež dle zjištění obsahuje zásadní nedostatky a pochybení z hlediska ochrany osobních údajů.
  • Dále je vhodné upozornit, že rezervační systémy velice často sbírají některé osobní údaje neoprávněně. Jedná se např. o rodné číslo, které je možné získávat až při dané návštěvě z kartičky pojištěnce či v případě antigenních testů bydliště a telefon. Tyto údaje testovací místo nepotřebuje, neboť výsledek se dozvíte okamžitě na místě.

Únik osobních údajů v Nizozemsku

  • V rámci dvou útoků byly ukradeny osobní údaje tisíců nakažených lidí koronavirem z hlavního trasovacího systému. Jednalo se o data jako je jméno, bydliště, telefon, číslo pojištěnce a výsledek testu. Ukradená data byla následně nabídnuta na internetu ke koupi.

Pokuta pro Google a Amazon

  • Koncem minulého roku udělil francouzský úřad na ochranu osobních údajů CNIL zatím největší pokutu ve výši 100 milionů EUR pro Google a 35 milionů EUR pro společnost Amazon. Obě společnosti se provinily tím, že porušily ochranu osobních údajů v souvislosti s používáním cookies a dalších sledovačů používaných k cílenému zobrazování reklamy na svých webových stránkách. Dále byly obě společnosti vyzvány k okamžité nápravě, přičemž každý den prodlevy se odrazí v pokutě 100 000 EUR denně.

Pokuta pro společnost Twitter

  • Společnost Twitter International Company sídlící v Dublinu dostala v prosinci 2020 pokutu 450 000 EUR za porušení GDPR. Jednalo se nejen o nedodržení lhůty 72 hodin pro ohlášení porušení zabezpečení osobních údajů dozorovému úřadu a to od chvíle zjištění takové situace, ale také za samotné porušení zabezpečení ochrany osobních údajů. Pokud si uživatel změnil email propojený s účtem na Twitter, jejich tweety se následně staly nechráněné a byly tedy k nahlédnutí široké veřejnosti, ne pouze jejich followerům.

Jak správně vyžadovat souhlas

  • Souhlas je jedním z právních základů, které opravňují správce zpracovávat jisté osobní údaje. Zároveň bylo již několikrát řečeno, že souhlas musí být jasný, dobrovolný a vědomý.
  • Mezi nejčastější chyby při sběru souhlasů se zpracováním osobních údajů patří:
    • Souhlas je zakomponovaný do obchodních podmínek a subjekt údajů nemá možnost se k souhlasu vyjádřit samostatně. Tímto je donucen „se souhlasem souhlasit“, pokud si chce daný produkt koupit nebo uzavřít smlouvu.
    • Políčko, které je uvedeno u souhlasu je předem zaškrtnuto a vy musíte ručně souhlas odškrtnout, pokud s daným zpracováním osobních údajů nesouhlasíte.
  • V případě první situace je takovéto vyžadování souhlasu zcela neakceptovatelné. Druhá situace dává možnost se k souhlasu vyjádřit, je však stále v rozporu s Nařízením GDPR. Správný postup je takový, kdy subjekt údajů musí sám, dobrovolně a vědomě políčko zaškrtnout. Správce je pak povinen daný souhlas subjektu údajů na vyžádání předložit.

Kamerový systém a souhlas

  • Velice často se setkáváme se situací, kdy zaměstnavatel či různá sdružení vyžadují souhlas zaměstnanců nebo členů při pořizování kamerového systému. Nejprve je potřeba připomenout, že samotné pořízení zabezpečovacího kamerového systému nesouvisí s problematikou GDPR. Jeho následné používání už ale ano.
  • V případě, že jsou respektovány základní zásady jako je například to, že kamerový systém nebude zasahovat do svobod a soukromí fyzických osob a všechny osoby jsou o pořizování záznamů prokazatelně informovány, je možné dané zpracovávání osobních údajů odůvodnit oprávněným zájmem zajistit bezpečnost osob a majetku. V takovémto případně není nutné a ani možné od daných osob vyžadovat souhlas, neboť daný kamerový systém by byl nainstalován i pokud by nesouhlasila jediná osoba. Zároveň není vhodné vyžadovat souhlas i z důvodu, že každý udělený souhlas musí být odvolatelný, což není v takovémto případě proveditelné.

Platba osobními údaji při poskytování digitálního obsahu či digitálních služeb

  • V současné době již existují obchodní modely, kdy spotřebitel neplatí obchodníkovi za digitální obsah či digitální služby, ale namísto toho mu poskytuje osobní údaje. V právních předpisech se tedy postupně zakotvuje nový termín – tzv. platba osobními údaji. Směrnice Evropského parlamentu a Rady (EU) 2019/2161 ze dne 27. listopadu 2019 (tzv. Doprovodná směrnice) přinesla úpravu čtyř stávajících unijních spotřebitelských směrnic, mezi nimi i směrnici 2011/83/EU o právech spotřebitelů, která mj. upravuje a bere v potaz jak situace, kdy spotřebitel platí nebo se zavazuje platit penězi, tak i ty, kdy spotřebitel poskytne nebo se zavazuje poskytnout obchodníkovi své osobní údaje za určitou službu.
  • Doprovodná směrnice zajistila konzistentnost mimo jiné se směrnicí Evropského parlamentu a Rady (EU) 2019/770 ze dne 20. května 2019 o některých aspektech smluv o poskytování digitálního obsahu a digitálních služeb, která se vztahuje i na smlouvy, na jejichž základě poskytovatel poskytuje nebo se zavazuje poskytovat digitální obsah nebo digitální službu spotřebiteli a spotřebitel poskytne nebo se zavazuje poskytnout osobní údaje.
  • Směrnice 2011/83/EU a směrnice 2019/770/EU se tedy vztahují na smlouvy o poskytování digitálních služeb a obsahu, který není poskytován na hmotném nosiči (tj. poskytnutí digitálního obsahu online), bez ohledu na to, zda spotřebitel platí cenu v penězích nebo poskytne osobní údaje. V těchto případech vždy vzniká smluvní vztah. Větší ochranu, transparentnost a více práv pro spotřebitele přinese transpozice Doprovodné směrnice členskými státy, která je stanovena k 28. listopadu 2021.
  • I přes novelizaci relevantních zákonů a směrnic by obchodník měl nadále provádět veškeré zpracování osobních údajů spotřebitele v souladu s Nařízením GDPR. Směrnicemi nejsou nijak dotčena práva spotřebitelů, jakožto subjektu údajů, která se vztahují na veškeré osobní údaje poskytnuté spotřebitelem obchodníkovi nebo shromážděné obchodníkem v souvislosti se smlouvou a v okamžiku, kdy spotřebitel ukončil smlouvu v souladu se směrnicemi.

Komunikace přes videokonference

  • Současná situace ohledně šíření nakažlivé nemoci – koronaviru zapříčinila značné zapojení videokonferencí při běžné komunikaci mezi zaměstnanci, klienty, ale i v rámci výuky na školách. Je na místě tedy připomenout, že během online jednání či výuky dochází ke zpracování osobních údajů a je nutné zajistit dostatečné organizační a technická zabezpečení. Obraz, zvuk, stejně jako osobní údaje uvedené v promítaných dokumentech či v textu chatu, tak i metadata komunikace jsou osobními údaji.
  • Většina videokonferencí je realizována přes externí provozovatele těchto služeb. Jedná se například o MS Teams, Cisco Webex, Zoom, Google Classroom atd. V takovém případě se daný provozovatel považuje za zpracovatele osobních údajů a je tedy nutné mít vše pokryté uzavřenou zpracovatelskou smlouvou.
  • Dále je potřeba mít na paměti, že primární zodpovědnost vždy nese osoba, která online jednání zorganizovala.

Emaily či SMS obsahující přání k Vánocům

  • V minulých několika týdnech většina z nás obdržela email či SMS s přáním k svátkům. Podle zákona č. 480/2004 Sb., o některých službách informační společnosti se takové zprávy považují za obchodní sdělení, neboť se jedná o sdělení určené ke zlepšení image podniku.
  • Takováto obchodní sdělení však stále musí splňovat určité podmínky, nelze je posílat kdekomu. Emaily či SMS je možné poslat na kontakty, které:
    • V minulosti udělily souhlas se zasíláním obchodních sdělení. Těmto kontaktům je pak možné poslat samostatné přání.
    • Nebo kontaktům, které jsou s danou organizací v obchodním vztahu (v minulém či současném období). V tomto případě musí být přání připojeno k obchodnímu sdělení, které se bude týkat vlastních, obdobných výrobků či služeb, které byly dodány nebo poskytnuty v rámci obchodního vztahu. Není tedy možné poslat samostatné přání.

Další metody sledování kromě známých cookies

  • Mezi další nástroje, které nejsou zatím tak známé, diskutované a kontrolované je možno zařadit tzv. trackery a pixely. Tyto nástroje mají, stejně jako cookies, sledovat chování uživatele a shromažďovat o něm potřebné informace. Je možné je najít na většině webových stránek.
  • Trackovací, neboli sledovací / profilující pixel je pro uživatele neviditelný obrázek, který přidá provozovatel webu nebo odesílatel do emailu či odkazu. Po kliknutí na odkaz nebo pouhým otevřením emailu dostane autor informaci, že jste tak učinili.
  • Tyto sledovací nástroje a techniky tak zjišťují a posílají informace o uživateli, které jsou dále zpracovávány do profilů na základě kterých je zacílena reklama. Mezi získávané informace je možné zařadit:
    • IP adresu, ze které je možné zjistit poskytovatele internetových služeb, polohu a data z profilu na sociálních sítích.
    • Aktivitu vykonanou na daném webu.
    • Čas návštěvy webu nebo otevření emailu.
    • Používaný operační systém.
    • Typ webového prohlížeče.
    • Typ emailového klienta.
    • Použité rozlišení monitoru.
  • Trackery a pixely podléhají, stejně jako cookies, Nařízení GDPR a jejich autor by měl vždy na jejich využívání uživatele upozornit pomocí souhlasu. Výjimkou mohou být pouze případy, kdy tyto nástroje slouží k poskytnutí dané služby z hlediska technického nastavení a neposkytují specifické informace o každém uživateli.
  • Sledování pomocí pixelů je možné omezit, pokud:
    • Bude email a prohlížeč nastaven na nejvyšší úroveň ochrany soukromí.
    • Budete v prohlížeči používat rozšíření, které zviditelní sledovací pixely.
    • Budete používat anonymní procházení.
    • Zamezíte používání Javaskriptu v prohlížeči.

Vyzvedávání dítěte ze školky na základě souhlasu

  • Je běžnou praxí, že vedle souhlasů na zpracování osobních údajů dětí týkající se například uveřejňování fotografií či videí na webových stránkách organizace, je po rodičích vyžadováno vyplnění a podepsání souhlasu na vyzvedávání dětí ze školky jinou osobou, než je zákonný zástupce. Běžně je takovou osobou sourozenec, prarodič nebo sousedka.
  • Vyzvedávat dítě ze školky jinou osobou, než je zákonný zástupce, je samozřejmě možné, ale pouze na základě pověření či zmocnění, které vyplní sám zákonný zástupce. Vyžadovat po rodičích vyplnění souhlasu pro tuto činnost je tedy chybné, neboť zpracování osobních údajů uvedených pověřených osob vyplývá ze zvláštních předpisů, nařízených postupů a s tím je spojené zpracování tudíž legitimní nevyžadující souhlas.
  • Samotné zmocnění / pověření musí opět splňovat potřebné náležitosti uvedené v legislativě. Je tedy nezbytné s takovým dokumentem zacházet stejně jako s ostatními osobními údaji, tedy zabezpečenou formou.

Zpracování biometrických osobních údajů

  • Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách neoficiální překlad materiálu Evropského inspektora ochrany údajů s názvem Čtrnáct nedorozumění ohledně biometrické identifikace a autentizace, který reflektuje současný zájem o oblast zpracování biometrických osobních údajů a upozorňuje na některá obecně rozšířená nedorozumění.
  • Mezi časté omyly a skutečnosti patří následující body:
    • Biometrická informace je uchovávána v samotném algoritmu – zpracované informace jsou uloženy v tzv. vzorech, šablonách či podpisech.
    • Užívání biometrických údajů je stejně rušivé jako jakýkoliv jiný identifikační / autentizační systém – zpracování biometrických údajů je více rušivé, dochází ke zpracování většího rozsahu osobních údajů.
    • Biometrická identifikace / autentizace je přesná – procentuálně je biometrická identifikace přesná na zhruba 96 % na rozdíl od hesla, kde musí být shoda 100%.
    • Biometrická identifikace / autentizace je natolik přesná, aby vždy rozlišila mezi dvěma osobami – v případě sourozenců může vzniknout chybovost správné identifikace.
    • Biometrická identifikace / autentizace je vhodná pro všechny osoby – některé osoby mající specifické biologické vlastnosti a fyziologické znaky nedokáže daný systém rozpoznat.
    • Postup biometrické identifikace / autentifikace nelze obejít – biometrickou identifikaci lze obejít pomocí 3D masek či kopií otisků prstů.
    • Biometrická informace nemůže být prozrazena – některé biometrické údaje je možné zjistit na dálku, např. pohybový vzorec chůze, obrysy obličeje apod.
    • Jakékoliv biometrické zpracování předpokládá identifikaci / autentizaci – biometrické údaje mohou sloužit pouze k rozlišování mezi člověkem a robotem, zvířetem či pohlavím aniž by docházelo k identifikaci.
    • Biometrické identifikační / autentizační systémy jsou pro uživatele bezpečnější – stejně jako u jiných systémů, může i zde dojít k porušení zabezpečení, které může vést k obdobným škodám jako v případě úniku hesla.
    • Biometrická autentizace je silná – systém založený pouze na biometrické identifikaci je považován naopak za slabé ověření.
    • Biometrická identifikace / autentizace je uživatelsky přívětivější – používání biometrické identifikace může navodit pocit narušení soukromí, dále mohou být některé osoby nekompatibilní či nemožnost přihlášení v případě selhání systému.
    • Biometrickou informaci převedenou do hashe nelze obnovit – odstraněný biometrický údaj lze znovu obnovit a přečíst.
    • Uložená biometrická informace neumožňuje rekonstrukci původní biometrické informace, ze které byla získána – z uložené biometrické informace lze částečně zrekonstruovat původní biometrický údaj, kterým může být např. obličej.
    • Biometrická informace není interoperabilní – systémy jsou naopak vytvářeny tak, aby byly schopny mezi sebou vzájemně spolupracovat.
  • Podrobnější informace naleznete na stránkách ÚOOÚ: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=43988.

Bezpečností incident – porušení zabezpečení osobních údajů

  • V současné době neplatí, že by správce osobních údajů musel ohlašovat každé porušení zabezpečení osobních údajů. Ohlašuje se pouze takový incident, který může mít za následek riziko pro práva a svobody fyzických osob. Správce osobních údajů musí ohlásit například ztrátu osobního spisu zaměstnance, avšak už není nutné hlásit ztrátu prezenční listiny ke školení.
  • Každé ohlášení porušení zabezpečení osobních údajů musí obsahovat (https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5020):
    • Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů.
    • Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.
    • Popis pravděpodobných důsledků porušení zabezpečení osobních údajů (pozn. zejména ve vztahu vůči subjektům údajů).
    • Popis opatření, která správce / zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
  • Porušení zabezpečení osobních údajů ohlásí správce osobních údajů dozorovému úřadu (Úřad pro ochranu osobních údajů) elektronickou formou použitím formuláře Ohlášení porušení zabezpečení osobních údajů dle GDPR, který zašle na e-mailovou adresu posta@uoou.cz nebo do datové schránky ÚOOÚ: qkbaa2n.
  • Pokud porušení zabezpečení osobních údajů zjistí zpracovatel osobních údajů, tak toto porušení ohlásí správci osobních údajů.
  • Incident se musí ohlásit ÚOOÚ do 72 hodin od okamžiku, kdy se o něm správce osobních údajů dozvěděl.
  • Jestliže je pravděpodobné, že má porušení zabezpečení osobních údajů za následek zásadní riziko pro práva a svobody dotčených osob, je nutné dané osoby o incidentu informovat. V případě nepřiměřeného úsilí při oznamování může správce osobních údajů informovat pomocí veřejného oznámení nebo podobného opatření.
  • Pokud se organizace řídí zákonem č. 181/2014 Sb., o kybernetické bezpečnosti může vznikat informační povinnost také vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) či CSIRT.CZ.

Nedostatečné zabezpečení seznamu testovaných na COVID-19

Jedna z českých laboratoří nedostatečně zabezpečila osobní údaje žadatelů o test na COVID-19. Pouhým přepsáním adresního řádku mohl kdokoliv nahlížet na žádanku obsahující kromě jména, příjmení a adresy také další choulostivé údaje, jako je rodné číslo, číslo občanského průkazu a kontaktní údaje. Dle ÚOOÚ se jedná o jisté pochybení. Vedení laboratoře problém obratem začalo řešit.

Školská zařízení – používání kamery při distanční výuce

  • V rámci zavedených opatřeních z důvodu šíření nakažlivé nemoci – koronaviru musela školská zařízení v České republice přejít z prezenční výuky na výuku distanční. Tento druh výuky má za úkol co nejlépe kopírovat podmínky vyučování ve třídě. Z tohoto důvodu je kontakt učitele a žáka přes online výuku nezbytný a požadavek na zapnutou kameru je tedy zcela legitimní, neboť se distanční výuka v nastalé situaci opírá o splnění úkolu ve veřejném zájmu ve smyslu čl. 6 odst. 1 písm. e) Nařízení GDPR. Škola vždy musí distanční výuku přizpůsobit individuálním podmínkám a technickým možnostem jednotlivých žáků a pedagogů.
  • Ministerstvo školství, mládeže a tělovýchovy zpracovalo pro školská zařízení Metodické doporučení pro vzdělávání distančním způsobem (https://www.msmt.cz/file/53629/), které shrnuje právní, organizační a pedagogické prvky distančního způsobu vzdělávání.

Bezpečnostní rizika spojená s prací z domova

  • Současná situace ohledně šíření nakažlivé nemoci – koronaviru donutila mnoho zaměstnavatelů změnit pohled na práci z domova, tzv. home office. Práce z domova však sebou přináší jistá bezpečnostní rizika, která mohou mít dopad do oblasti ochrany osobních údajů.
  • Společnosti, jejíchž zaměstnanci začali z velké míry pracovat z domova, musí stále dodržovat platné smlouvy a s tím i dostatečná technická a organizační opatření zajišťující náležitou úroveň bezpečnosti. Společnosti budou muset zavést nové procesy práce s daty určující, jakým způsobem budou ukládána, jak a kdy budou odstraněna nebo zničena. Zaměstnanci mohou být donuceni využívat soukromá zařízení jako mobilní telefony a notebooky, které nemusí poskytovat dostatečné zabezpečení.
  • Zaměstnavatel by měl klást důraz zejména na následující body:
    • Všechna zařízení využívaná k práci musí být po dokončení práce uzamčena a uložena na bezpečném místě, kde nemůže dojít k odcizení. Zároveň by měla existovat možnost výmazu vybraných dat na dálku.
    • Zajistit softwarovou aktualizaci společně s pravidelným zálohováním dat.
    • Nastavit silná hesla a šifrování dat.
    • Pro pracovní účely nepoužívat soukromé e-mailové účty.
    • Připomínat obezřetnost na podvržené emaily – phishing (v dnešní době je zjištěn zvýšený počet útoků).
    • Dokumenty, které jsou za běžného chodu uloženy v uzamčené kartotéce, nenechávat volně na stole k nahlédnutí či ztrátě. Zároveň zajistit řádnou likvidaci všech dokumentů obsahující osobní údaje.

SMS s aplikací eRouška

  • V říjnu 2020 dostali tři největší operátoři v České republice pokyn od hygieničky Jarmily Rážové k rozeslání sedmi milionů SMS zpráv obsahující informaci ke stažení aplikace eRouška. Podle expertů na kyberbezpečnost je však zvolená forma zaslaného sdělení vysoce riziková, neboť hrozí možné zneužití hackery. Důvodem je skutečnost, že uvedená webová stránka na stažení aplikace není dostatečně zabezpečena protokolem HTTPS a je tedy velice snadné odkaz přesměrovat na nebezpečné servery.
  • O2 zároveň sledoval, kdo z příjemců SMS na odkaz ve zprávě klikl, avšak účel tohoto sběru dat nevysvětlil.

Zpracování osobních údajů prostřednictvím externího informačního systému

  • Za zpracování osobních údajů je vždy odpovědný správce osobních údajů (viz čl. 5 odst. 2 a čl. 24 Nařízení GDPR). Správce je odpovědný i za zapracování osobních údajů prostřednictvím externího informačního systému (informačního systému externího dodavatele). Správce má tedy povinnost zajistit a být schopen doložit, že zpracování osobních údajů je prováděno v souladu s Nařízením GDPR.
  • Při výběru informačního systému musí vždy správce osobních údajů posoudit možnosti jeho funkcionalit a nastavení, a to i s ohledem na ochranu osobních údajů (čl. 25 Nařízení GDPR – záměrná a standardní ochrana osobních údajů, čl. 5 odst. 1 Nařízení GDPR – základní zásady, např. minimalizace údajů).
  • Z hlediska ochrany osobních údajů je neakceptovatelné argumentovat skutečností, že správce osobních údajů využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který koupil či mu byl dodán. Pokud si správce osobních údajů pořizuje složitější informační systém, musí již od počátku spolupracovat s dodavatelem (vývojářem) informačního systému, aby informační systém odpovídal potřebám správce i s ohledem na jeho odpovědnost dle Nařízení GDPR.
  • ÚOOÚ upozorňuje, že nelze automaticky předpokládat splnění všech povinností ochrany osobních údajů pouze na základě skutečnosti, že stejný informační systém je využíván i dalšími obdobnými správci.
  • Podle GDPR má každý, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, právo obdržet od správce osobních údajů nebo zpracovatele osobních údajů náhradu. Vzhledem k tomu by správce osobních údajů, který má pochybnosti o nastavení systému externím dodavatelem v souladu s Nařízením GDPR, měl zvážit spolupráci raději s takovým, který nastavení systému garantuje a případně by se na pokrytí újmy podílel.

Osobní údaje zveřejněné v Centrálním registru dlužníků České republiky (CERD)

  • Úřad pro ochranu osobních údajů provedl v r. 2018 kontrolu Centrálního registru dlužníků České republiky (CERD) a v r. 2019 zahájil řízení o sankci za nepřijetí opatření k nápravě. Správce osobních údajů systému CERD uložená opatření neprovedl, a proto se ÚOOÚ obrátil na poskytovatele služeb pro systém CERD, díky kterému se podařilo znepřístupnit web CERDu. Správce osobních údajů systému CERD si ale zajistil nového poskytovatele služeb – indickou společnost, která IP adresy pro registr hostuje na území Ruské federativní republiky.
  • ÚOOÚ tedy přišel o možnost ovlivnit stažení nebo znepřístupnění protiprávního obsahu registru. Správce osobních údajů registru nyní s odkazem na svobodu shromažďování informací čeká na zrušení rozhodnutí ÚOOÚ.
  • Provozovatel CERDu k tomu na webu napsal: „Transparentní protikorupční linka je pozastavena do doby zrušení Úřadu na ochranu osobních údajů. ÚOOÚ podalo opakovanou námitku proti zveřejnění příspěvků třetích stran ve formě veřejného fóra, kde se přispěvatelé snaží poukázat na podezření překračující zákon. Z důvodu možných budoucích sankcí za umožněné zveřejnění příspěvků doplněné poučením o možné irelevantnosti příspěvků je zveřejňování oznámení zastaveno. ÚOOÚ svým právním výkladem znemožnilo do budoucna zpětnou veřejnou kontrolu v rámci prověřování protikorupčních oznámení. Protikorupční systém je založen na legislativě USA, která nebrání přístupu k informacím a šíření svobodného názoru… Zveřejněné údaje nespadají do jurisdikce České publiky, neboť jsou data primárně uložena mimo území ČR a nejsou z důvodu ochrany vkladatele spojeny s českým rezidentem či provozovatelem.“
  • Poznámka: CERD není součástí žádného zákonného registru, potvrzení registru banky nepřijímají a sám registr upozorňuje, že za data neručí. Registrem dlužníků v ČR je Solus a další bankovní i nebankovní firmy, stát provozuje insolvenční rejstřík a Exekutorská komora vede ze zákona Centrální evidenci exekucí.

Cookies na webových stránkách – režim OPT-IN vs. OPT-OUT

  • Každá webová stránka si může ukládat informace o svém návštěvníkovi prostřednictvím cookies (datových souborů), které pat­ří mezi tzv. síťové identifikátory řešené v rámci GDPR. Existuje několik druhů cookies, od těch nejzákladnějších, které pomáhají nastavit správné zobrazení a fungování dané webové stránky, po cookies, které slouží k marketingovým účelům. Pro všechny cookies však platí, že správce webových stránek musí o používaných cookies informovat každého návštěvníka.
  • Varianty souhlasu s cookies na webových stránkách:
    • Režim OPT-IN: reklamní cookies se neuloží, dokud není kliknuto na „Souhlasím“. Souhlas se zpracováním osobních údajů není právoplatně udělen, pokud je políčko předem zaškrtnuté a uživatel musí sám souhlas zrušit odškrtnutím.
    • Režim OPT-OUT: cookies se ukládají, dokud je uživatel neodmítne.
  • Problematika cookies je řešena po celou platnost Nařízení GDPR. V současnosti ale panuje rozpor mezi českou právní úpravou cookies uvedenou v § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích (zde je dle jazykového výkladu uveden režim OPT-OUT) a směrnicí 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (tzv. směrnice o e-privacy), jež stanovuje režim OPT-IN, tedy možnost cookies odmítnout, nikoliv je aktivně povolit.
  • Zavedení režimu OPT-IN podpořil i Evropský sbor pro ochranu osobních údajů. ÚOOÚ tedy doporučuje upřednostnit v rámci cookies režim OPT-IN, jelikož se jedná o celoevropsky uznávaný přístup a zároveň je navrhován v rámci novelizace zákona o elektronických komunikacích.

Zpracovávání osobních údajů zaměstnanců

  • Dle Nařízení GDPR existuje celkem 6 důvodů, které opravňují zaměstnavatele ke zpracovávání osobních údajů zaměstnanců, avšak zaměstnavatel většinou použije následující:
    • zpracování je nezbytné k plnění smlouvy uzavřené se zaměstnancem (pracovní smlouva, DPČ, DPP);
    • zpracování je nezbytné k plnění právní povinnosti zaměstnavatele;
    • zpracování je nezbytné pro účely oprávněných zájmů zaměstnavatele;
    • zaměstnanec udělil souhlas.
  • Velice často se stává, že zaměstnavatel od svých zaměstnanců vyžaduje ke zpracování souhlas. Ten by měl být jednak použit velice opatrně a zároveň je ve většině případů použit zbytečně, neboť zaměstnavatel se primárně řídí plněním povinností plynoucí z uzavřené smlouvy a právních povinností uložené legislativou.
  • Po zániku pracovního vztahu je zaměstnavatel oprávněn uchovávat osobní údaje po nezbytně dlouhou dobu. Důvodem je primárně plnění zákonných lhůt archivace, ale i řešení případných sporů se zaměstnancem. Obvyklé lhůty pracovněprávních dokumentů jsou:
    • evidenční listy – 3 roky;
    • záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti – 6 let;
    • záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti u poživatelů starobního nebo invalidního důchodu – 10 let;
    • mzdové listy, účetní záznamy pro účely důchodového pojištění, např. doklady o pracovním vztahu, záznamy o pracovních úrazech, nemocech z povolání, záznamy o evidenci pracovní doby – 30 let.

Cíle a hodnocení zaměstnanců z pohledu osobních údajů

  • Stejně jako mzdová a personální agenda, tak i v případě cílů a hodnocení zaměstnanců se jedná o osobní údaje a je tedy nutné s nimi zacházet stejným způsobem.
  • Informace týkající se hodnocení pracovní výkonosti, dosažení ročních cílů zaměstnanců apod. je zaměstnavatel povinen zabezpečit a samozřejmě po uplynutí potřebné lhůty také zlikvidovat. Aktuálně platná legislativa bohužel neuvádí skartační lhůty týkající se těchto osobních údajů, je doporučeno tyto informace zachovávat přiměřeně dlouhou dobu po skončení pracovního poměru, neboť mohou být použity při obraně proti nařčení např. z diskriminace před soudem nebo pro případné kontroly inspekce práce. Jako přiměřeně dlouhá doba je v tomto případě doba trvání promlčecí lhůty, která trvá 3 roky.

Whistleblowing a ochrana osobních údajů

  • Whistleblowing je termín, kdy současný nebo bývalý zaměstnanec organizace upozorní oprávněný orgán či instituci na nezákonné nebo neetické chování zaměstnavatele.
  • Všechny členské státy EU musí do 17. prosince 2021 transponovat směrnici Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie (tzv. směrnici o whistleblowingu). Z tohoto důvodu Ministerstvo spravedlnosti vypracovalo návrh zákona o ochraně oznamovatelů protiprávních jednání – whistleblowerů, který je nyní v připomínkovém řízení.
  • V současné době zatím není známa konečná podoba zákona o ochraně oznamovatelů, je však možné konstatovat, že každá organizace bude povinna zavést nové procesy, které mj. budou muset respektovat ochranu osobních údajů.

Obce a aplikace ochrany osobních údajů

  • Přestože je Nařízení GDPR účinné více jak dva roky, stále většina obcí nenaplňuje dostatečnou ochranu osobních údajů občanů a zaměstnanců. Povinnost jmenovat pověřence pro ochranu osobních údajů sice obce splnily, ale zaměstnanci stále plně nedodržují zásady bezpečnosti. Například:
    • navštěvují podezřelé internetové stránky;
    • otvírají podezřelé emaily;
    • nemají dostatečně silné heslo;
    • vyzrazují důvěrné informace ze správních řízení;
    • neaktualizují dokumentaci GDPR vytvořenou v roce 2018;
    • zveřejňují identifikační údaje žadatele ve zveřejněných odpovědích na žádost o informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím;
    • neoprávněně nahlížejí do registrů;
    • nedostatečně zabezpečí dokumenty s osobními údaji.

Fotografie dětí na internetu

Městská část Praha 11 zveřejnila v rámci bezpečnostní prevence rizikovost sdílení fotek na internetu:

  • Nechtěný zájem o vaše dítě může vyvolat jedna jediná fotka umístěná veřejně kdekoli na síti. Je to fotka před domem, ve vaší čtvrti, u školy, v kroužku? Dáváte tím světu na vědomí, kde se vaše dítě pravidelně pohybuje.
  • Tisíce lidí cíleně procházejí profily na sociálních sítích, internetová alba, videa, blogy a další webové stránky jen za tím účelem, aby našly “atraktivní” fotky či nahrávky dětí. Někteří se “jen” podělí o své úlovky na diskuzním fóru, jiní mohou mít touhu se s takovým dítětem setkat. Ti, kteří pouze předávají fotky, dostávají obsah k dalším. Nemáte šanci je nikdy poznat, stejně jako jejich motivace.
  • Myslete na to, že každá fotka, kterou jednou vložíte, žije na internetu navždy. Nikdy ji nesmažete. Nevíte, kdo ji má v počítači, komu ji pošle, na co ji použije a za jak dlouho ji může nechat opět vynořit.
  • Na takzvaném darknetu, tedy ve veřejnosti složitě přístupné části internetu, jsou fotky dětí z celého světa, ke kterým si pedofilové předávají důvěrné informace a vkládají sexuálně laděné komentáře.
  • Nejde zdaleka jen o to, jaké informace sami zveřejníte o svém dítěti. Internet je přece síť a v kombinaci s fotkami potenciálně velmi nebezpečná. Jaké informace jste zveřejnili o sobě, jaké jste publikovali vlastní fotky? Kolik snímků má škola na svém Facebooku či webu a kolik kamarádi vašeho dítěte? K těm se dá přece také snadno dostat: jsou to přátelé na Facebooku, sledující a sledovaní na Instagramu, komentující na Youtube. Vše se doplňuje a je to mozaika plná vodítek.
  • Zdaleka ne poslední bod, ale jeden z hlavních: Jaké přátele sami máte na sociálních sítích, kde zveřejňujete fotky potomků? Jste schopni se za všechny zaručit? A pokud jste přesvědčeni, že ano, víte, jak mají silná hesla? Víte, kdo s nimi v domácnosti používá počítač nebo jiné zařízení, přes které přistupují na sítě? Víte, že se nikde nezapomínají odhlásit?

Doporučujeme k pročtení celý článek, který zasazuje celý problém do reálného prostředí a vše dokresluje (http://www.praha11.cz/redakce/index.php?lanG=cs&slozka=7532&xsekce=8265&clanek=12427).

Pokuta pro British Airways za únik dat

  • Britský úřad na ochranu osobních údajů udělil pokutu ve výši 20.000.000 liber (cca 600 mil. Kč) letecké společnosti British Airways, která v roce 2018 dostatečně neochránila osobní a finanční údaje více jak 400 tisíc zákazníků. Důvodem výše této pokuty je skutečnost, že společnost sama útok nezaznamenala a byla na něj upozorněna až dva měsíce poté třetí stranou.

Pokuta pro společnost H&M

  • Na podzim byla udělena dosud nevyšší pokuta ve výši 35,3 mil EUR (cca 950 mil. Kč) a to společnosti Hennes & Mauritz (H&M). Pokutu udělil německý dozorový úřad za zásadní porušení pravidel ochrany osobních údajů, kdy společnost záměrně sledovala soukromí stovek zaměstnanců servisního centra. Jednalo se o jejich intenzivní monitorování s cílem analyzovat osobní a rodinné poměry, zdravotný stav či jejich náboženské nebo filozofické přesvědčení. Zjištěné údaje pak společnost využívala například při rozhodování o ukončení pracovního poměru nebo dalších pracovněprávních změnách.

EU vyšetřuje aplikaci Instagram

  • Irská Komise na ochranu dat zahájila vyšetřování proti sociální platformě Instagram, která je součástí společnosti Facebook. Důvodem je podezření, kdy Instagram porušuje GDPR nedostatečným zabezpečením dat, primárně dat dětí a mladistvých. V případě, že regulační orgány zjistí porušení může být uložena pokuta přesahující i 20 milionů EUR (cca 545 mil. Kč).

Kopírování dokladů zaměstnanců

  • V případě daňových úlev zaměstnanců (např. na manželku, děti, hypoteční úroky) je plátcem daně zaměstnavatel. Ten má dle zákona č. 586/1992 Sb., o daních z příjmů povinnost předkládat daňová přiznání, ve kterých musí uvedené informace korespondovat s informacemi na předložených dokladech zaměstnanců.
  • Dle stanoviska ÚOOÚ není dovoleno pořizovat kopie předkládaných dokladů zaměstnanců pro důkazní účely v následných kontrolách. Kopie dokladů a listin je možné pořizovat pouze v případě zahájení kontroly Finančním úřadem.

Poskytovatel cloudových či hostingových služeb je zpracovatel osobních údajů

  • Mnoho společností, které nabízejí služby jako cloudové úložiště nebo zajišťují hostingový prostor, se často dle jejich názoru neřadí mezi tzv. zpracovatele osobních údajů. Jejich argumentací je skutečnost, že osobní údaje u nich uložené jsou šifrované, pseudonymizované a že nikdo ze zaměstnanců nemá k datům přístup ani je nijak nezpracovává. Avšak podle čl. 4 odst. 2 Nařízení GDPR je zpracováním osobních údajů i jejich pouhé uložení. Pro správce osobních údajů pak vyplývá povinnost s každým zpracovatelem osobních údajů uzavřít zpracovatelkou smlouvu.

Na co si dát pozor ve zpracovatelských smlouvách

  • Smlouva musí být uzavřena písemně či elektronicky. Pokud je smlouva nepsaná či zcela chybí, jedná se o porušení Nařízení GDPR a vinni jsou zpracovatel osobních údajů i správce osobních údajů.
  • Zpracovatelské smlouvy vytvořené samotným zpracovatelem osobních údajů velice často „kopírují“ text čl. 28 Nařízení GDPR a zcela opomíjí důležité části a informace.
  • Velice často ve smlouvách chybí předmět zpracování osobních údajů nebo není jasně specifikovaný. Stejně tomu je v případě trvání zpracování, kdy údaj musí mít jasné časové vymezení.
  • Povaha zpracování osobních údajů má reflektovat skutečné činnosti prováděné zpracovatelem. Příkladem může být: natáčení, nahrávání a archivace fotek.
  • Účel zpracování osobních údajů by neměl kopírovat účel uzavřené smlouvy. Správně formulovaným účelem je například detekce nezákonného vstupu na pozemek namísto pouhého provozování kamerového systému.
  • Zpracovatel by měl osobní údaje zpracovávat pouze na pokyn správce osobních údajů. Pokud zpracovatel osobních údajů překročí pokyny, které mu ke zpracování udělil správce, jednak porušuje své povinnosti a zároveň se sám stává správcem osobních údajů. To, jakým způsobem (např. email) bude zpracovateli dán pokyn ke zpracování, by mělo být jasně stanoveno v každé zpracovatelské smlouvě.
  • Jednou z nejčastějších chyb zpracovatelských smluv je nedostatečný popis nebo absence bezpečnostních opatření. Mnoho zpracovatelů osobních údajů pouze uvede informaci, že se zavazuje přijmout vhodná bezpečností opatření, avšak už není popsáno jaká.

Uveřejnění členů pracovní skupiny obce – občané i zastupitelé

  • V případě, že obec plánuje uveřejnit osobní údaje (identifikační údaje, údaje o zaměstnání nebo členství v zastupitelstvu, mobilní telefon a e-mailovou adresu) členů pracovní skupiny na svých webových stránkách, je zde namístě upozornit, že kompletní zveřejnění těchto osobních údajů není plně kryto plněním ve veřejném zájmu.
  • Na základě veřejného zájmu může obec uveřejnit jméno a členství v pracovní skupině, avšak kontaktní údaje nikoliv. Je však možné zveřejnit telefon či email pověřeného člena pracovní skupiny, který bude postupovat k projednání náměty z řad veřejnosti.

Doručování veřejnou vyhláškou na úřední desce

  • Ve smyslu § 25 zákona č. 500/2004 Sb., správní řád, je možné doručování veřejnou vyhláškou realizovat dvěma způsoby. Prvním způsobem je vyvěšením celé písemnosti na úřední desce správního orgánu, druhým způsobem pak vyvěšení pouhého oznámení o možnosti převzít písemnost. To, jakou možnost daný správní orgán zvolí, není již stanoveno, avšak je vždy nutné zajistit ochranu obsahu písemnosti a osobních údajů v ní obsažených.
  • Pokud je uveřejněno oznámení o převzetí písemnosti, měly by být uvedeny pouze osobní údaje nezbytné pro identifikaci adresáta.
  • V případě elektronické úřední desky nesmí být použito indexování, které umožní zobrazení oznámení i po jejich faktickém odstranění.

Osobní údaje a koronavirus

  • V současné koronavirové krizi se začaly sbírat nové osobní údaje. Dle ÚOOÚ je zaměstnavatel oprávněn zjišťovat teplotu zaměstnanců při vstupu na pracoviště, neboť takovéto monitorování je možné opřít o oprávněné zájmy zaměstnavatele. Měření teploty návštěvníků na sportovních či kulturních akcích však ÚOOÚ neschvaluje. Zároveň dle ÚOOÚ nemá zaměstnavatel právo zjišťovat o svých zaměstnanců informace o destinaci dovolené či navštívených akcích.

eRouška vs. zákon č. 110/2019 Sb.

  • ÚOOÚ bude na žádost předsedy Rady vlády pro informační společnost Vladimíra Dzurilly ověřovat soulad projektu eRouška se zákonem č. 110/2019 Sb., o zpracování osobních údajů a obecným nařízením o ochraně osobních údajů.

Často kladené otázky k ochraně osobních údajů v rámci opatření proti šíření koronaviru

Únik osobních údajů uživatelů Moje eZdravie

  • Na Slovensku mohlo dojít k úniku osobních údajů až 390 tisíc uživatelů aplikace Moje eZdravie, kteří byli testování na přítomnost viru v souvislosti s Covid-19. Aplikace, která obsahuje formulář, pomocí kterého je možné požádat o vyšetření, je provozována státní příspěvkovou organizací Národné centrum zdravotníckych informácií (NCZI).
  • NCZI použilo při vytváření aplikace nezabezpečené rozhraní, do kterého mohl kdokoliv vstoupit a zároveň nebylo zajištěno šifrování dat. Bezpečnostní společnost tedy získala veškeré osobní údaje testovaných osob – jméno, datum narození, adresu, klinické příznaky, informace o odběru s výsledkem testu.

Zjištěná porušení ochrany osobních údajů

  • Statutární město bylo uznáno vinným ze spáchání přestupku, když omylem odeslalo datovou schránkou seznam 10 112 dlužníků určený pro Finanční úřad neoprávněné osobě jisté společnosti.
  • Statutární město předalo osobní údaje 150 členů Společenství vlastníků domů nájemci nebytových prostor u tohoto společenství za účelem získání souhlasu členů se změnou užívání jím pronajatých prostor.
  • Univerzita v rámci přijímacího řízení zpracovávala rodné číslo pro účel přihlášení uchazeče o studium do informačního systému a dále nestanovila jednoznačný účel a právní základ pro zpracování osobních údajů v rozsahu občanství, místo narození, informace, odkud se uchazeč hlásí a soukromý e-mail.

Nejvyšší pokuta ÚOOÚ

  • V září udělil ÚOOÚ doposud nejvyšší pokutu 6 mil. Kč společnosti, která se zabývá prodejem ojetých automobilů. Důvodem bylo opakované rozesílání nevyžádaných obchodních sdělení. Emaily byly doručovány půl milionu adres a to i osobám, které k tomu neudělily souhlas. Nevyžádanými sděleními společnost porušila zákon č. 480/2004 Sb., o některých službách informační společnosti.

Sankce za kybernetické útoky

  • Na konci července 2020 Evropská unie poprvé uvalila sankce za kybernetické útoky, a to za útok namířený proti Organizaci pro zákaz chemických zbraní (OPCW) a útoky známé pod označením WannaCry, NotPetya a Operation Cloud Hopper.
  • Postiženo má být celkem šest osob a tři subjekty pocházející z Ruska, Severní Koreje a Číny. Omezující opatření zahrnují zákaz cestování a zmrazení majetku. Osoby a subjekty z EU kromě toho nesmí osobám a subjektům zařazeným na sankční seznam zpřístupňovat finanční prostředky.

Pokuta pro Google za porušení práva být zapomenut

  • Belgický dozorový úřad udělil společnosti Google pokutu ve výši 600.000 EUR (cca 16 mil. Kč) za nedostatečnou aplikaci práva být zapomenut, tj. práva na odstranění odkazů z výsledků vyhledávání. Konkrétně se jednalo o neodstranění internetových odkazů, které mohou poškodit jistého veřejně činného jednotlivce, z výsledků internetového vyhledávání na standardní vyhledávací dotaz. Společnost Google s rozhodnutím belgického dozorového úřadu nesouhlasí a bude se proti němu dále bránit.

Pokuta pro Twitter za nekalé nakládání se soubory cookies

  • Španělský dozorový úřad udělil pokutu ve výši 30.000 EUR (cca 800 tis. Kč) společnosti Twitter za chybné získávání souhlasů s ukládáním souborů cookies. Společnost se provinila tím, že ihned po vstupu uživatele na webové stránky nainstalovala do přístupového zařízení soubory cookies, které však nebyly pro správné fungování Twitteru potřebné. Další výtka dozorového úřadu se týkala vyskakujícího banneru, který bez možnosti volby rovnou uvádí, že využíváním služeb Twitteru návštěvník automaticky souhlasí s pravidly společnosti pro zpracování souborů cookies.

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím – ukončení platnosti Privacy Shield pro zpracování osobních údajů mimo EU

  • Problematiku předávání osobních údajů do třetích zemí nebo mezinárodním organizacím (dále jen „třetí země“) řeší Nařízení GDPR v kapitole V, čl. 44 – 50. Třetí zemí jsou míněny země mimo Evropskou unii. Definovaná pravidla respektují zásadu volného pohybu osobních údajů v rámci Evropské unie, tedy že nelze pouze z důvodu ochrany osobních údajů zakázat nebo omezit předávání údajů z jednoho členského státu EU do druhého. Jedná se i o služby hromadného rozesílání e-mailů (např. Sendgrid / Twilio) nebo formulářových řešení (např. Formstack). 
  • Nařízení GDPR rozlišuje (podle způsobu, jakým jsou ve třetích zemích předávaným osobním údajům poskytovány / neposkytovány záruky jejich ochrany) tři úrovně předávání osobních údajů:
    • předávání založené na rozhodnutí o odpovídající ochraně,
    • předávání založené na vhodných zárukách garantovaných správcem / vývozcem údajů,
    • předávání založené na tzv. výjimkách pro specifické situace.
  • Při předávání osobních údajů do třetích zemí musí být vždy dodržena zásada odpovídající úrovně ochrany osobních údajů.
  • O tom, zda třetí země jako celek, příp. určité území nebo odvětví ve třetí zemi zajišťuje odpovídající úroveň ochrany osobních údajů, rozhoduje Evropská komise (viz čl. 45 Nařízení GDPR).

I. Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím s dostatečnou úrovní ochrany osobních údajů

II. Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím s nedostatečnou úrovní ochrany osobních údajů

  • Třetí země, které Evropská komise neprohlásila svým rozhodnutím o odpovídající úrovni ochrany osobních údajů za bezpečné, jsou považovány za třetí země s nedostatečnou úrovní ochrany osobních údajů. Do těchto „nebezpečných“ třetích zemí je předání osobních údajů obecně možné jen na základě vytvoření vhodných záruk podle čl. 46 Nařízení GDPR, nebo ve specifických situacích podle čl. 49 Nařízení GDPR.
  • Správce osobních údajů může předání osobních údajů do „nebezpečných“ třetích zemí realizovat bez předchozího povolení ÚOOÚ, pokud využije některý ze standardních nástrojů pro vytvoření vhodných záruk (viz čl. 46 Nařízení GDPR, odst. 2):
    • a) právně závazný a vymahatelný nástroj mezi orgány veřejné moci nebo veřejnými subjekty, tzn. zpravidla mezinárodní smlouva;
    • b) závazná podniková pravidla;
    • c) a d) standardní smluvní doložky podle rozhodnutí Komise (ať již přijaté Komisí přímo nebo schválené Komisí po předložení dozorovým úřadem);
    • e) schválený kodex chování v kombinaci se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky;
    • f) schválená certifikace v kombinaci se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky.
  • Povolení ÚOOÚ je nutné získat pouze v případech, kdy správce osobních údajů hodlá předání osobních údajů realizovat na základě nestandardních nástrojů pro vytvoření vhodných záruk (viz čl. 46 Nařízení GDPR, odst. 3):
    • a) nestandardní smluvní doložky;
    • b) správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektů údajů.
  • V těchto případech ÚOOÚ v rámci povolení schvaluje navrhovaný nestandardní nástroj pro předávání osobních údajů, který vyžaduje plné uplatnění mechanismu jednotnosti včetně vydání kladného stanoviska Evropským sborem pro ochranu osobních údajů.

III. Předávání osobních údajů do Spojených států amerických

  • Pro předávání osobních údajů do Spojených států amerických byl do půlky července 2020 využíván tzv. EU−U.S. Privacy Shield (štít soukromí EU−USA), který byl definován prováděcím rozhodnutím Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí.
  • Do programu EU−U.S. Privacy Shield byly zapojeny americké společnosti, které se zavázaly k dodržování evropských standardů ochrany osobních údajů při zpracování údajů evropských osob ve Spojených státech amerických (příjemce osobních údajů se přihlásil k pravidlům programu Privacy Shield a nechal se zapsat na seznam vedený americkými úřady, poté se již z pohledu GDPR jednalo o bezpečného příjemce a předání dat bylo legální při dodržení stanovených pravidel).
  • Změna v platnosti štítu soukromí EU−USA nastala dne 16. 7. 2020, kdy Soudní dvůr Evropské unie svým rozsudkem ve věci C-311/18 Data Protection Commissioner vs. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) odmítl platnost EU−U.S. Privacy Shield, tj. rozhodl, že rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 je neplatné, ale zároveň nezrušil ani nezpochybnil rozhodnutí týkající se standardních smluvních doložek (https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:62018CJ0311&from=CS).
  • Podle rozhodnutí Soudního dvora Evropské unie štít soukromí EU−USA nezajišťuje dostatečnou ochranu dat evropských uživatelů. S okamžitou platností jsou proto všechny přenosy osobních údajů z EU do USA, které byly dříve založeny na EU-U.S. Privacy Shield jako právním základu, nepřípustné.
  • V současné době společnosti mohou pro přenos osobních dat do USA použít např. smlouvu o předávání údajů, tzv. standardní smluvní doložky, které musí uzavřít ten kdo data z EU předává (správce) a jejich příjemce.
  • Soudní dvůr Evropské unie svým rozsudkem standardní smluvní doložky sice nezrušil, ale jejich použití podmiňuje testem přiměřenosti přijatých opatření v závislosti na okolnostech předání a zemi dovozce údajů. O tom, zda budou moci společnosti data převádět mimo EU, budou podle Soudního dvora Evropské unie rozhodovat unijní dohledové úřady. Dohledové úřady budou povinny dočasně nebo trvale zakázat předávání osobních údajů do třetí země, pokud v ní nebude zajištěna ochrana vyžadovaná unijním právem.
  • Dle vydaného rozhodnutí Soudní dvůr Evropské unie má předně za to, že unijní právo, a zejména GDPR, se uplatní na předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu.

Střet zájmů Pověřence pro ochranu osobních údajů

  • Při jmenování Pověřence pro ochranu osobních údajů v rámci organizace je důležité předejít případnému střetu zájmu. Nařízení GDPR (čl. 38 odst. 6) stanovuje, že „Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.“
  • Absence střetu zájmů úzce souvisí s požadavkem kladeným na Pověřence pro ochranu osobních údajů jednat nezávisle, tj. Pověřenci mohou v rámci organizace zastávat i jiné funkce, ale jinými úkoly a povinnostmi je lze pověřit jenom za předpokladu, že u nich nedojde ke střetu zájmů. Pověřenec pro ochranu osobních údajů tedy nemůže v rámci organizace zastávat pozici, ve které by měl určovat účely a prostředky zpracování osobních údajů, např. pozici vedoucího pracovníka či pozici personalisty, IT atd.

Zpracování osobních údajů v rámci opatření proti šíření koronaviru

Hrozba kybernetických útoků – hackeři útočí na nemocnice, městské části i ministerstva

  • V poslední době se v České republice velmi často vyskytují kybernetické útoky na nemocnice, města / městské části i ministerstva. Napaden byl např. informační systém městské části Prahy 3, informační systém státního podniku Povodí Vltavy. Hackeři se dále pokusili napadnout několik nemocnic, energetickou společnost ČEZ Distribuce, Ministerstvo zdravotnictví (tyto útoky byly odvráceny).
  • Hackeři využívají současnou situaci ohledně šíření nakažlivé nemoci COVID-19 a rozesílají e-maily s odkazy na podezřelé stránky s označením koronavir nebo COVID, po jejichž otevření získají kontrolu nad informačním systémem oběti.
  • Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v souvislosti s hrozbou doporučuje několik bezpečnostních opatření. Zařízení by mělo upozornit uživatele systémů na podezřelé soubory (typu obrázek .png, .exe, text .txt, .exe, dokument .pdf, .exe a další podobné přílohy). Pokud je to možné, mělo by se také pomocí centrálního nastavení zabránit spouštění aktivního obsahu a maker především v souborech s přílohou doc.

Identifikace osob prostřednictvím otisku prstu

  • Otisk prstu, který je jednoznačnou charakteristikou člověka, spadá dle Nařízení GDPR do zvláštní kategorie osobních údajů. Při zpracování zvláštních kategorií osobních údajů je nutné, aby správce osobních údajů disponoval některým z obecných právních titulů i právním titulem pro zpracování zvláštních kategorií údajů a subjekt údajů udělil správci souhlas se zpracování svých osobních údajů.
  • Systémy umožňující identifikaci osob na základě technologie rozpoznání otisku prstů (např. docházkové systémy / docházkové terminály) vybírají z poskytnutého otisku prstu některé rysy specifické pro dané jednotlivce (tzv. markanty). Systém vytváří biometrickou šablonu na základě zjištěných markant, kterou před uložením v systému zpracuje matematickou operací do číselného vyjádření, tzv. hash kódu. Takto vytvořený hash kód (tj. otisk prstu převedený do číselné podoby) je následně uložen v řídící jednotce systému, zatímco obraz otisku prstu a zjištěné markanty jsou ihned po vytvoření hash kódu mazány.
  • V souvislosti s účinností Nařízení GDPR, které mimo jiné zohledňuje vývoj technologií v oblasti zpracovávání osobních údajů, došlo ke změně v posuzování šablon biometrických údajů (hash), a jejich zpracování za účelem identifikace osob. Z pohledu této právní regulace je nutno i využívání systémů pracujících s šablonami (tj. nikoli přímo s biometrickými údaji, ale jejich algoritmickým vyjádřením v podobě hash kód) považovat za zpracování zvláštních kategorií osobních údajů, které vyžadují zvláštní, resp. přísnější systém ochrany. Postup spočívající ve vytvoření a následném využívání hash biometrického údaje lze považovat za jeden z prvků zabezpečení, není však důvodem k vyjmutí ze zvláštních kategorií osobních údajů.
  • Dle vyjádření ÚOOÚ by zpracování biometrických údajů za účelem jednoznačné identifikace osob v rámci docházkových systémů mělo být využíváno pouze ve výjimečných situacích, kdy jiné řešení spočívající v prosté evidenci osob není s ohledem na specifické okolnosti dostačující (viz základní zásady zpracování osobních údajů – minimalizace rozsahu zpracovávaných osobních údajů).
  • Tedy i v případě, že je otisk prstu uložen ve formě hash kódu, se jedná o zpracování zvláštní kategorie osobních údajů a je nezbytné, aby subjekt údajů udělil správci souhlas se zpracování svých osobních údajů.

Nahlížení do zápisů ze schůze rady obce

Zastupitelé obce mají právo na zápisy ze schůze rady obce pouze nahlížet – viz informace vyplývající z Průvodce pro přípravu měst a obcí na požadavky GDPR a stanoviska SMO ČR:

Zpracování osobních údajů v souvislosti s pronajímáním obecních bytů

  • Při uzavírání smluv o pronajímání obecních bytů bývá často vyžadováno doložení dalších skutečností (vlastnictví jiné nemovitosti, výpis z Insolvenčního rejstříku apod.). Dle vyjádření ÚOOÚ je při uzavření smlouvy o nájmu obecního bytu vhodnější, aby uchazeč sám doložil požadované skutečnosti. Pokud má být i po uzavření smlouvy s nájemcem kontrolováno a ověřováno, zda nájemce nenabyl jiné nemovitosti nebo s ním nebylo zahájeno insolvenční řízení, je třeba, aby byl o způsobu kontroly informován ve smyslu článku 14 odst. 4 Nařízení GDPR. Jako právní důvod lze v takovém případě shledávat plnění úkolu prováděného ve veřejném zájmu (čl. 6 odst. 1 písm. e) respektive i oprávněný zájem obce (čl. 6 odst. 1 písm. f) Nařízení GDPR.
  • Rodná čísla lze v souvislosti s pronajímáním obecních bytů využívat jen tehdy, pokud je to nezbytné pro vymáhání soukromoprávních nároků nebo pro předcházení vzniku nesplácených pohledávek, jsou-li přijata konkrétní opatření k ochraně práv a svobod subjektu údajů. Toto ustanovení zákona nelze ustanovení vykládat extenzivně v tom smyslu, že rodné číslo je nezbytné pro uzavření jakékoliv smlouvy uzavírané s fyzickou osobou pro případ, že by neplnila smluvní ujednání. Jestliže je ale obec v souladu s § 4 odst. 2 a § 5 odst. 3 zákona o evidenci obyvatel a rodných číslech uživatelem rodného čísla zpracovávaného podle § 3 odst. 3 písm. e) tohoto zákona, lze rodná čísla za uvedeným účelem využívat, za předpokladu, že jsou o tom uchazeči předem informováni a jsou přijata opatření ustanovením § 13c odst. 1 písm. c) zákona o evidenci obyvatel a rodných číslech stanovená.

Problematika jmenného seznamu žáků třídy zveřejněného na dveřích třídy v budově školy

  • Zveřejnění jmenného seznamu žáků třídy na dveřích dané třídy v budově školy lze pouze se souhlasem jednotlivých žáků, resp. (v závislosti na věku konkrétního žáka) jejich zákonných zástupců. Zákonný důvod zpracování těchto osobních údajů neexistuje, bez souhlasu žáka / zákonného zástupce žáka se škola vystavujete riziku sankce za neoprávněné zpracování osobních údajů.
  • Jmenný seznam žáků lze po určitou krátkou dobu tolerovat v případě informace o rozdělení žáků do prvních tříd na začátku školního roku – jedná se o oprávněný zájem správce (hladký průběh prvních dní a přiřazení žáků do tříd). I v tomto případě je ale vhodnější užívat pseudonymizované informace, např. čísla žáků přidělená v rámci zápisu.

Hry / aplikace umožňující lépe pochopit základní principy ochrany osobních údajů

Pro rozšíření povědomí o principech ochrany osobních údajů a využívání služeb informační společnosti je vhodné začlenit problematiku i do vzdělávacího systému. V současné době existuje již několik her / aplikací, které umožňují lépe pochopit základní principy ochrany osobních údajů:

  • Interland: Hra od Googlu přináší čtyři napínavá dobrodružství se spoustou nástrah i legrace. Kromě získání úrovně “internetový Úžasňák” se lze naučit jak si poradit s hackery, phishery, kyberšikanou nebo sdílením informací na sociálních sítích. (https://www.e-bezpeci.cz/index.php/tiskove-zpravy/1914-nova-webova-hra-interland-od-googlu-uci-deti-bezpecne-pouzivat-internet)
  • Digitální stopa: Projekt NÚKIB názorně ukazuje, jak málo stačí, aby se člověk stal obětí kyberšikany, a poskytuje návod, jak tento problém řešit. (https://moodle.nic.cz/mod/page/view.php?id=345)
  • Bad News: Mezinárodně rozšířená hra, vytvořená nevládní organizací think-tank Evropské hodnoty, o dezinformacích a jejich nebezpečí. Hra zábavnou formou provádí základními manipulačními technikami. (https://www.getbadnews.cz/droggame_book/junior/#intro)
  • Než řekneš ano: Poučná on-line hra vytvořená spotřebitelskou organizací BEUC a dTest. Ve hře pomůžete Sáře a Kristiánovi naplánovat včas svatbu a vyhnout se přitom některým internetovým nástrahám. Narazíte na bezpečnost přístupových hesel, nakupování v e-shopu, komunikaci na sociálních sítích, ale třeba také rychlé odstranění poškozujícího online obsahu, odhalení podvodného e-mailu či obranu proti kyberzločinu. (https://www.nezreknesano.cz/)
  • Cyber Chronix: Aplikace z dílny Evropské komise, v rámci které pomůžete hrdinům ze vzdálené planety překonávat překážky spojené s ochranou osobních dat. (https://ec.europa.eu/jrc/en/news/understanding-gdpr-new-game-jrc)
  • Webowou diwočinou: Hra vytvořená Radou Evropy v rámci programu „Budujeme Evropu pro děti a s dětmi“. V rámci hry si vytvoříte vlastní postavičku a projdete se úžasnou zemí fantazie, a to včetně nástrah a úkolů ohledně ochrany vašich osobních údajů. (https://www.uoou.cz/webowou-diwocinou/ds-2433/archiv=0)

ÚOOÚ vytvořil na svých webových stránkách rubriku „Pro mládež“

  • ÚOOÚ vytvořil na svých webových stránkách rubriku „Pro mládež“, která obsahuje cenné informace k ochraně osobních údajů v hravé a zajímavé formě. https://www.uoou.cz/pro-mladez/ds-2331/p1=2331
  • Rubrika „Pro mládež“ obsahuje záložky Aktuality, Hry, Bezpečně na internetu, Kovyho mediální ring, Digi-obránci, Soutěže, Ultimátní příručka pro soukromí na Androidu, O vašich právech, Jak se chovat online, Archiv.

Šíření obchodních sdělení elektronickými prostředky

  • Elektronická obchodní sdělení musí být šířena v rámci zákonem stanovených pravidel, např. dle zákona o některých službách informační společnosti, zákona o regulaci reklamy, Nařízení GDPR (při šíření obchodních sdělení dochází ke zpracování osobních údajů).
  • Bez nutnosti zajištění souhlasu je možné obchodní sdělení zasílat pouze zákazníkům, kteří si u daného obchodníka zakoupili zboží / službu. Vždy se ale musí jednat o sdělení relevantní k předmětu jejich nákupu. Pro ostatní kategorie osob je vyžadován souhlas, který musí být evidován, uschován a adresáti musí mít možnost jej vzít zpět.
  • E-mail s obchodním sdělením musí být označen jako obchodní sdělení nebo pojmem s obdobným významem (např. newsletter, reklama apod.), musí obsahovat označení osoby, která sdělení odesílá, i osoby, za kterou je sdělení odesíláno.
  • Za šíření nevyžádaných obchodních sdělení jsou udělovány pokuty, např. Městský soud v Praze udělil pokutu ve výši 80 tisíc korun. Podle rozsudku vydaného Městským soudem v Praze v dubnu 2020 je za šíření nevyžádaných obchodních sdělení zodpovědný jak rozesílatel, tak i objednavatel (v kontextu zasílání e-mailových obchodních sdělení podle zákona o službách informační společnosti).
  • Za šíření obchodních sdělení elektronickými prostředky nelze tedy považovat pouze osobu odesílatele, nýbrž i osobu, která jejich odeslání obchodních sdělení iniciovala, dala k němu příkaz či z něj také profitovala. V tomto případě se totiž aplikuje objektivní odpovědnost za zasílání, kterou nelze smluvně přenést.

Zneužití dat uživatelů antivirové ochrany Avast

  • Česká antivirová společnost Avast Software s.r.o. obchodovala s daty, která získává o svých klientech. Americké magazíny Vice a PCMag jako první popsaly, jak Avast prodává data o vyhledávání stovek milionů svých klientů po celém světě globálním společnostem jako Google, Microsoft, Pepsi nebo Tripadvisor.
  • Společnost Avast Software s.r.o. měla prostřednictvím své dceřiné společnosti Jumpshot prodávat data o aktivitách uživatelů antivirové ochrany. Jumpshot nabízela klientům různé balíky dat vč. takzvaného „All Clicks Feed“, který do detailu sleduje chování uživatele, jeho kliky, pohyb mezi weby i na jednotlivých stránkách. Někteří odběratelé podle získaných smluv platili za data částky v milionech dolarů.
  • Na základě zveřejněných informací popisujících praktiky společnosti Avast Software s.r.o. zahájil ÚOOÚ prošetření případu. Výrobce antivirů Avast – dle vyjádření vedení společnosti − přestane prodávat veškerá data, která získal od svých zákazníků, nabízet nebude ani anonymizované údaje a zavře dceřinou společnost Jumpshot sídlící v San Franciscu.

Zneužití dat z Katastrálního úřadu firmou Nexter Company

  • Společnost Nexter Company na svém webu Atlas cen zveřejnila data o 70 tisících nemovitostí prodaných v loňském roce, včetně ceny, za kterou byly prodány, kontaktů na majitele a fotek z původních inzerátů. Všechny tyto údaje, jež firma získala od Katastrálního úřadu a zaplatila za ně celkem 380 250 Kč, byly na webových stránkách přístupné bezplatně a bez nutnosti registrace. Společnost informace získané z Katastru nemovitostí tedy nevyužila pouze pro vlastní účely, ale šířila je i dál.
  • Podle ÚOOÚ jde o největší zneužití cenových údajů z Katastru nemovitostí. Společnost se brání, že zveřejnění informací nebylo v rozporu s katastrálním zákonem, nicméně ze své webové stránky nejdříve odstranila fotky nemovitostí a nyní celý web reviduje.

Pochybení při zpracování osobních údajů politickými stranami

  • V rámci kontrol provedených v roce 2019 ÚOOÚ prověřoval dvě politické strany – SPD a TOP 09, a to kvůli zpracování osobních dat jejich členů, příznivců a dárců.
  • Porušení pravidel odhalil ÚOOÚ především u hnutí SPD. Hnutí zpracovávalo osobní údaje o svých dárcích v rozsahu, který nebyl nezbytně nutný (nadbytečně o dva roky prodloužilo lhůtu, v níž se uchovávaly data dárců). Hnutí mělo podle výsledků kontroly ÚOOÚ také nepřiměřeně dlouhou lhůtu pro vymazání osobních údajů nepřijatých zájemců o členství.
  • Strana TOP 09 porušila ustanovení GDPR o vedení záznamů zpracování osobních údajů. Záznamy neobsahovaly všechny požadované náležitosti, např. zájemce o zasílání newsletteru strany. Strana toto pochybění neprodleně napravila.

Telefony Xiaomi odesílají data o svých uživatelích do Číny

  • Rumunský softwarový inženýr Gabriel Cîrlig při testování telefonů čínské značky Xiaomi zjistil, že tato zařízení sledují aktivitu svých uživatelů a data následně odesílají na čínský server, který vlastní společnost Alibaba. Firma Xiaomi nepopírá, že data sbírá a odesílá, ale tvrdí, že se tomu děje pouze v anonymizované podobě. Toto tvrzení Gabriel Cîrlig odmítá, podle něj je možné informace na serveru snadno propojit s konkrétními osobami. V reakci na toto zjištění firma Xiaomi slíbila, že do příští aktualizace svého webového prohlížeče zahrne možnost sběru dat vypnout.
  • V České republice používá telefony značky Xiaomi např. Úřad vlády, policie a některá zdravotnická zařízení, pro nadcházející sčítání lidu je nakoupil i Český statistický úřad.
  • Kromě mobilních telefonů Xiaomi představují nebezpečí i softwarové produkty od této firmy, např. webové prohlížeče Mi Browser Pro a Mint Browser.

Příklady porušení ochrany osobních údajů vyplývající z kontrol provedených ÚOOÚ v 1. pololetí roku 2020

Níže je uvedeno shrnutí stěžejních chyb v oblasti ochrany osobních údajů identifikovaných v rámci kontrol provedených ÚOOÚ v 1. pololetí roku 2020:

  • Veřejná vysoká škola vyžadovala při přihlašování uchazečů ke studiu nadbytečné údaje, bez jejichž vyplnění nebylo možné elektronickou přihlášku do přijímacího řízení na vysokou školu odeslat. Pro přihlášení do informačního systému, v němž byla elektronická přihláška ke studiu vyplňována a podávána, bylo nezákonně vyžadováno rodné číslo v kombinaci s iniciálami jména a příjmení uchazeče.
  • V rámci exekutorského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Zaměstnanci, který porušil správcem stanovený pracovní postup, byla chyba vytknuta a byla přijata příslušná opatření k eliminaci selhání lidského faktoru.
  • ÚOOÚ udělil několika obchodním společnostem pořádkovou pokutu (ve výši 25 – 300 tis. Kč) za neposkytnutí součinnosti při realizaci kontroly dodržování ochrany osobních údajů (kontroly provedené z důvodu podezření na neoprávněné předávání osobních údajů v rámci nákupu na e-shopu, nezákonného rozesílání nevyžádaných obchodních sdělení atd.).
  • Organizace měla nesprávně nastaven postup pro udělení souhlasu s cookies na svých webových stránkách − souhlas se zpracováním osobních údajů nebyl právoplatně udělen, protože ukládání informací v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies bylo povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí by musel uživatel k odmítnutí svého souhlasu zrušit.
  • Společnost zaměřená na půjčování sportovního vybavení nezákonně kopírovala občanské průkazy klientů − společnost neměla řádně udělený souhlas pro zpracování osobních údajů a klienti nebyli dostatečně informováni, proč jsou jejich doklady kopírovány a jak bude s jejich osobními údaji nakládáno.
  • Společnost pochybila při formulaci souhlasu zaměstnanců se zpracováním osobních a biometrických údajů za účelem provozování docházkového systému s technologií umožňující rozpoznání otisků prstů, a sledování zaměstnanců prostřednictvím kamerového systému, při práci s počítačem a pomocí GPS umístěných ve služebních vozech. Udělený souhlas nesplňoval zákonné požadavky, neboť informace a poučení subjektu údajů o účelu, způsobech a době zpracování biometrického údaje (otisku prstu) nebyly zcela jednoznačně formulovány / nebyly transparentní.
  • Obchodní společnost nezákonně rozesílala nevyžádaná obchodní sdělení elektronickými prostředky, která obsahovala nabídky zboží a služeb různých internetových obchodů a rovněž vybízela k návštěvě internetových stránek určených k přímé podpoře nabízeného zboží a služeb.
  • Společnost nezákonně zpracovávala osobní údaje za účelem uskutečňování nevyžádaných telefonických marketingových hovorů. Společnost pochybila i při zpracování osobních údajů klientů, kteří projevili souhlas se zpracováním pouze ústně – telefonicky, protože projevený souhlas nebyl nikterak zaznamenán či archivován.

Pokuta za uchovávání nadbytečných dokumentů / kopií ve spisech zaměstnanců

  • ÚOOÚ udělil organizaci pokutu za uchovávání nadbytečných kopií ve spisech zaměstnanců. Problém uchovávání nadbytečných dokumentů (především kopie různých dokladů) o zaměstnancích se bohužel stále týká řady zaměstnavatelů. Při provedené kontrole ÚOOÚ zpochybnil uchovávání dokumentů, u kterých je jejich uchovávání skutečně neobhajitelné (kopie občanských průkazů, cestovních pasů apod.), uchovávání originálů výpisů z rejstříku trestů, kopie kartiček pojištěnce nebo bankovních kartiček s číslem účtu, ale i uchovávání daňových dokumentů (rodné listy, oddací listy, rozsudky o rozvodu manželství apod.) s poznámkou, že tyto doklady obsahují i řadu údajů třetích osob (dětí a manželů zaměstnanců).
  • Přestože realita je taková, že veškeré ostatní kontrolní úřady (kromě ÚOOÚ) mají tendenci vyžadovat jakékoli kopie dokumentů, nezbytné pro kontrolu to není a z pohledu ÚOOÚ stačí, pokud zaměstnavatel do dokladu nahlédne a učiní o tom záznam s upřesněním, ze kterého dokladu byla předmětná skutečnost dovozena.

Problematika poskytování informací o klientech sociální práce

  • Obecnou povinnost mlčenlivosti úředníka územního samosprávného celku definuje zákon č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů. Podle tohoto zákona je jednou z povinností úředníka, jímž je i sociální pracovník obecního úřadu, v rozsahu stanoveném zvláštními právními předpisy zachovávat mlčenlivost o skutečnostech, které se dozvěděl při výkonu zaměstnání a v souvislosti s ním. To neplatí, pokud byl povinnosti mlčenlivosti zproštěn, přičemž povinnosti zachovávat mlčenlivost může úředníka zprostit vedoucí obecního úřadu, jím pověřený vedoucí úředník nebo příslušný správní úřad podle zvláštních právních předpisů, nestanoví-li zvláštní právní předpis jinak.
  • Zákon č. 108/2006 Sb., o sociálních službách a zákon č. 111/2006 Sb., o pomoci v hmotné nouzi definují úkoly sociálních pracovníků obecních úřadů při realizaci činností sociální práce a ukládají povinnost mlčenlivosti sociálnímu pracovníkovi obecního úřadu. Povinnost mlčenlivosti sociálního pracovníka obecního úřadu je tedy „zpřísněna“ zákonem o sociálních službách a zákonem o pomoci v hmotné nouzi – podle těchto speciálních právních předpisů může totiž povinnosti mlčenlivosti zprostit sociálního pracovníka pouze ten, v jehož zájmu tuto povinnost mají, tj. klient sociální práce.
  • Dle aktuálního výkladu výše zmíněných zákonů a vzhledem k tomu, že výkon činností sociální práce je výkonem přenesené působnosti, není možné informace o situaci konkrétního klienta sociální práce sdělit v žádném případě starostovi, žádnému jinému členu zastupitelstva obce ani jeho výboru či komisi rady obce. Ke konkrétním informacím o klientech sociálního pracovníka rovněž nemůže mít přístup tajemník obecního úřadu či vedoucí odboru sociálního, pokud současně nevykonávají činnosti sociální práce.

Absence zákonné povinnosti mlčenlivosti v zákoně o zpracování osobních údajů

  • Oproti předchozí právní úpravě není v zákoně č. 110/2019 Sb., o zpracování osobních údajů, ukotvena zákonná povinnost mlčenlivosti všech zaměstnanců správce osobních údajů či jeho smluvních partnerů.
  • Povinnost mlčenlivosti je zakotvena v aktuálně platném zákoně o zpracování osobních údajů pouze v hlavě IV (Ochrana osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky) § 47, která reguluje ochranu osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky. Předmětná povinnost se tak vztahuje, jak zmiňuje i důvodová zpráva k zákonu č. 110/2019 Sb., na zpracování prováděné zpravodajskými službami, tj. na zpracování zcela mimo působnost Nařízení GDPR.
  • Aktuálně platné znění zákona č. 110/2019 Sb. tedy vůbec neřeší zákonnou povinnost mlčenlivosti o osobních údajích pro zaměstnance či smluvní partnery správce či zpracovatele osobních údajů (neřeší zákonnou povinnost mlčenlivosti při zpracování osobních údajů u jiných činností jako např. při zpracování osobních údajů orgány veřejné správy nebo podnikatelskými subjekty, na která dopadá Nařízení GDPR). O vypuštění této povinnosti ve vztahu k jiným zpracováním než zpravodajskými službami mlčí i důvodová zpráva k zákonu č. 110/2019 Sb., a není tak zcela zřejmé, zda se jedná o úmysl či spíše opomenutí zákonodárce.
  • Doporučujeme proto zaměstnavatelům zakotvit takovou povinnost do pracovních smluv či dodatků k již uzavřeným pracovním smlouvám.

Udělení souhlasu s cookies na webových stránkách

  • Každá webová stránka si může ukládat informace o svém návštěvníkovi prostřednictvím cookies, které pat­ří mezi tzv. síťové identifikátory řešené v rámci GDPR.
  • Z rozsudku Soudního dvora EU ze dne 1.10.2019 (C‑673/17) ale vyplývá, že použití předem zaškrtnutých políček pro poskytnutí souhlasu se zpracováním osobních údajů je nevhodné jak obecně, tak vzhledem k povolení ukládání cookies zvlášť, tj. souhlas se zpracováním osobních údajů není právoplatně udělen, pokud jsou ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleny předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit.
  • Subjekt osobních údajů by měl vždy obdržet mj. též informaci o době existence cookies a o tom, kdo k nim může získat přístup.

Zveřejňování dokumentů třetích stran na úřední desce obce

  • Při vyvěšování dokumentů třetích stran (orgánů veřejné správy nebo orgánů veřejné moci) obecní úřady nezačerňují osobní údaje uvedené na dokumentu, protože jde o dokument třetí strany a zaměstnanec obecního úřadu není kompetentní k tomu, aby sám posoudil nadbytečnost zpracování osobních údajů. Tj. obecní úřad obsah dané písemnosti orgánu veřejné správy či orgánu veřejné moci nezkoumá, nemůže ji měnit ani do ní jakkoliv zasahovat.
  • U dokumentů zveřejňovaných na úřední desce, které nepochází od jiných orgánů veřejné správy nebo orgánů veřejné moci, je třeba při jejich zveřejnění na úřední desce dbát na to, aby rozsah zveřejňovaných osobních údajů byl přiměřený a omezený na nezbytné minimum (zásada minimalizace údajů).

Uvádění rodného čísla při exekuci, v dražební vyhlášce

  • Rodné číslo lze – v souladu s § 13c zákona č. 133/2000 Sb., o evidenci obyvatel – využívat, jen jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí. Podle § 28 zákona č. 120/2001 Sb., exekuční řád se úkony exekutora při provádění exekuce považují za úkony exekučního soudu, proto je soudní exekutor oprávněn využívat při své činnosti rodná čísla. Nejvyšší správní soud v rozsudku (sp. zn. 1 As 36/2008-77) judikoval, že účelem zpracování rodného čísla je zjištění co nejrychlejšího a nejefektivnějšího provedení exekuce a smyslem poskytnutí rodného čísla osoby, na jejíž majetek byla prohlášena exekuce, je umožnit vyšetření majetkové situace povinného exekutorem.
  • Exekutor tak využívá znalost rodného čísla při podávání žádosti o součinnost dle exekučního zákona, avšak žádné procesně právní předpisy neukládají exekutorovi povinnost označovat osoby ve svých rozhodnutích či jiných listinách rodným číslem. Exekutor tedy nemůže neomezeně nakládat s rodným číslem, ale musí při jeho používání současně respektovat ustanovení zákona č. 110/2019 Sb., o zpracování osobních údajů. To, že účastník může být v návrhu (tj. v úkonu činěném jiným účastníkem) označen rodným číslem, nezakládá soudnímu exekutorovi právní titul k tomu, aby používal rodná čísla neomezeně ve všech listinách, které označení povinného vyžadují.
  • Pro dražební vyhlášku je z logiky věci nejpodstatnější otázka předmětu dražby. Kdo je povinným není pro konání dražby z hlediska možného zásahu do práv jakýchkoli osob nijak rozhodující, a tedy není zjevné, proč účastník řízení trvá na identifikaci rodným číslem právě v tomto typu listiny.

Projekt Buď safe online pro školy a děti

  • Buď safe online je společný projekt Jiřího Krále a odborníků z Avast Software s.r.o., jehož cílem je naučit děti jak být na internetu v bezpečí. Projekt je vhodný pro žáky 6. až 9 tříd základní školy.
  • Na webové stránce https://www.budsafeonline.cz/ jsou zveřejněna videa, on-line kurzy a informace určené pro děti, učitele i rodiče.

Školská zařízení – výuka formou elektronické komunikace

  • V případě využívání nástrojů elektronické komunikace v rámci výuku je vhodné informovat subjekty údajů (žáky a zákonné zástupce) o zpracování jejich osobních údajů.
  • Vhodnou formou informování subjektu údajů může být např. (podle využívaných technologií): V rámci výuky formou elektronické komunikace naše škola komunikuje několika různými způsoby, a to e-mailem a dále využíváme prostředí Bakaláři, Office 365, G Suite, Google učebnu, MS Teams, Meet, Skype Webex, Zoom, … V rámci aplikace Meet, MS Teams, Webex, Zoom, … mohou být některé vyučovací hodiny nahrávány a uloženy pro studenty, kteří se nemohou účastnit online výuky. O této skutečnosti jsou žáci vždy informováni a ikona nahrávání je zobrazena i na monitoru při online hodině v aplikaci. Při vyučování jsou zpracovávány osobní údaje žáků pouze v rozsahu nutném ke správnému technickému nastavení služby, např. IP adresa počítače. Správcem osobních údajů je společnost Google, Microsoft, Webex, Zoom, … Osobní údaje jsou uloženy na serverech těchto společností a zabezpečeny v souladu s požadavky Nařízení GDPR (více informací zde: doplňte odkaz na stránky poskytovatele služby).

Termokamery u vstupu do škol

  • V případě pořízení a umístění termokamer u vstupu do budovy školského zařízení se jedná o zpracování zvláštních kategorií osobních údajů, navíc údajů o dětech, proto je tedy nezbytné zajistit velmi dobrou ochranu / zabezpečení sbíraných dat. Zpracování těchto dat je zákonné – viz čl. 9, odst. 2, písm. i) Nařízení GDPR: zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství.
  • Prostřednictvím termokamer lze tedy měřit teplotu osob vstupujících do budovy školy a ukládat tyto záznamy, je však nutné:
    • Všechny subjekty údajů (žáky, zákonné zástupce, zaměstnance školy, návštěvníky školy) o tomto informovat (např. na webových stránkách, v IS Bakaláři, na ceduli před vstupem do budovy atd.).
    • Kamerové sledování nesmí nadměrně zasahovat do soukromí (šatny, toalety, sprchy, ale ani třídy atd.).
    • Stanovit lhůtu pro uchovávání záznamů z pohledu ochrany osobních údajů a následně provést výmaz záznamu (i ze záloh).
    • Je třeba řádně zajistit ochranu snímacích zařízení, přenosových cest a datových nosičů, na nichž jsou uloženy záznamy, před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit písemně, včetně jednoznačné definice přístupových oprávnění (kdo za jakých podmínek je může vidět).
    • O provozu kamerového systému musí být veden Záznam o činnosti zpracování.

Pokuta pro MV ČR za uchovávání DNA profilů

  • Ministerstvo vnitra ČR neuspělo s kasační stížností proti pokutě 240.000,- Kč od ÚOOÚ. Nejvyšší správní soud potvrdil loňské stanovisko Městského soudu v Praze. Důvodem pokuty bylo nadbytečné uchovávání DNA profilů lidí, kteří nebyli pravomocně odsouzeni, příp. se dopustili činů s nízkou závažností a společenskou škodlivostí, třeba maření výkonu úředního rozhodnutí.
  • Podle ÚOOÚ nelze úmyslné spáchání trestného činu akceptovat jako výhradní kritérium pro další zpracování citlivých údajů. Postačí jen pro sběr dat, při jejich dalším uchování je ale nutné zohlednit i kriminální minulost a další okolnosti.

Kybernetický útok na brněnskou fakultní nemocnici v Bohunicích a dětskou nemocnici a porodnici na Obilním trhu

  • V první polovině března 2020 byly brněnská fakultní nemocnice v Bohunicích a dětská nemocnice a porodnice na Obilním trhu napadeny virem, který ochromil jejich počítačové systémy, omezil fungování nemocnice, omezil přístup k databázím a webovým stránkám nemocnice, došlo i k výpadku telefonních linek. Případ vy­šetřují odborníci z Národního úřadu pro kybernetickou a informační bezpečnost.

Transparentní účet a ochrana osobních údajů

  • Transparentní účet − bankovní účet, do kterého může nahlížet veřejnost − obsahuje údaje (název účtu, zpráva pro příjemce, výše, datum a typ platby), na jejichž základě lze ztotožnit konkrétní osobu.
  • Majitel transparentního účtu je povinen dostatečně informovat o povaze tohoto účtu osoby, které zasílají finanční plnění na tento účet, tj. musí být zřejmé, že se nejedná o běžný účet, u kterého se příchozí a odchozí platby spolu s dalšími informacemi nezveřejňují. Při provedení platby nelze jako variabilní symbol použít rodné číslo, protože rodné číslo je specifický identifikátor, jehož účely použití stanoví zákon o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon č. 133/2000 Sb.). Jako variabilní symbol je tedy nezbytné volit jinou číselnou kombinaci, která neobsahuje další informace o dané osobě.
  • Vzhledem k veřejnosti transparentního účtu nelze tento typ bankovního účtu používat např. k výplatě mezd zaměstnancům. Případné související převody peněz mezi běžným a transparentním účtem je třeba provádět souhrnně (např. výplaty, poplatky, pokuty).
  • Transparentní účet kraje / obce / městské části
    • Transparentní účet nelze doporučit využívat pro platby, které jsou přímo spojeny s výkonem veřejné moci ve vztahu k fyzickým osobám, tj. transparentní účet by neměl sloužit pro individuální příjem správních poplatků, uložených pokut, výplatu sociálních dávek, svědečného, znalečného atd. Z transparentního účtu nebo na transparentní účet lze především provádět takové platby, které by kraj / obec / městská část byly povinny poskytnout jako povinný subjekt podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
  • Transparentní účet nadace
    • Nadace zveřejňuje v souladu s občanským zákoníkem (zákon č. 89/2012 Sb.) ve své výroční zprávě přehled o osobách, které poskytly nadační dar nebo jim byl poskytnut příspěvek v hodnotách vyšších než 10.000,- Kč, tedy pokud dárce a příjemce nepožádali o zachování své anonymity (přičemž anonymitu lze u těchto příspěvků zachovat jen v některých zvláštních situacích).

Shrnutí činností ÚOOÚ za rok 2019

  • Úřad pro ochranu osobních údajů ve své Výroční zprávě za rok 2019 uvádí počty poskytnutých konzultací, řešených dotazů, podnětů a stížností a provedených kontrol.
  • ÚOOÚ obdržel v roce 2019 celkem 1 836 dotazů a poskytl 2 667 konzultací přes GDPR telefonní linku.
  • ÚOOÚ přijal 2 482 podnětů a stížností směřujících proti postupu správců osobních údajů, z toho bylo 560 vyřízeno upozorněním správce na možné porušení a 145 předáno ke kontrole nebo jinému řízení. Většina podnětů a stížností se týkala zejména zpracování osobních údajů pro marketingové účely, nerespektování práv subjektů údajů ze strany správců (např. práva na přístup k osobním údajům), neplnění nebo nedostatečné plnění správcovy informační povinnosti o zpracování osobních údajů, zpracování osobních údajů s podvodným úmyslem (vymáhání plateb po registraci na webovém portále nebo e-shopu, vymáhání pokut za porušení obchodních podmínek), zveřejnění adresních údajů žadatelů při zveřejnění poskytnuté informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, zveřejnění neanonymizovaných záznamů (případně zápisů) z jednání Zastupitelstva obce nebo Rady města na internetu, provozování kamer atd.
  • ÚOOÚ přijal 416 ohlášení porušení zabezpečení osobních údajů ve smyslu čl. 33 Nařízení GDPR – nejvíce ohlášení se týkalo kybernetického incidentu, který zasáhl i zpracovávané osobní údaje (zejména se jednalo o napadení škodlivým programem, tzv. ransomwarem), dálo se jednalo o jednorázové nedbalostní pochybení zaměstnanců správců spočívající např. v mylném zaslání osobních údajů jiným než zamýšleným adresátům, zaslání e-mailové komunikace adresátům v „neskrytých kopiích“, ztrátě zařízení obsahujícím osobní údaje, ztrátě nebo odcizení osobních údajů v listinné podobě.
  • ÚOOÚ zahájil 63 kontrol a ukončil jich 75 (z toho 32 kontrol bylo z předchozích let) − kontroly byly úřadem zahájeny jak z poznatků ze stížnostní agendy, tak na základě vypracovaného kontrolního plánu pro rok 2019. Bylo uloženo 19 opatření k nápravě a 4 pokuty za neposkytnutí součinnosti v kontrole.
  • ÚOOÚ obdržel 2 007 podnětů k problematice obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti. Úřad zahájil 5 kontrol a ukončil jich 17 (z toho 13 kontrol bylo z předchozích let). Bez zahájení kontroly upozorněním subjektu na možné porušení povinností bylo vyřízeno 390 podnětů. Úřad vedl s 28 subjekty správní řízení, jehož výsledkem bylo uložení sankce.

Informace k minimalizaci hrozeb a rizik při práci s výpočetní technikou

Zpracování zvláštní kategorie osobních údajů pří šíření nakažlivé nemoci

  • V současné mimořádné situaci při šíření koronaviru, s přihlédnutím ke všem mimořádným opatřením vlády a jiných ústředních orgánů České republiky, dochází ve většině případů ke zpracování zvláštní kategorie osobních údajů, které je nutné chránit nad obecný rámec. Jedná se zejména o údaje o zdravotním stavu, včetně onemocnění nakažlivou chorobou (v tomto případě nemocí COVID-19). Zpracování těchto osobních údajů je založené na právních předpisech v oblasti veřejného zdraví za účelem ochrany před vážnými zdravotními hrozbami.
  • Tato ochrana je právními předpisy uložena orgánům ochrany veřejného zdraví, kterými jsou typicky krajské hygienické stanice, Ministerstvo zdravotnictví ČR, Ministerstvo vnitra ČR a Ministerstvo obrany ČR. Tyto orgány ochrany veřejného zdraví jsou ke zpracování osobních údajů oprávněny v rozsahu a za účelem stanoveným zákonem č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.
  • Zákon o ochraně veřejného zdraví umožňuje příslušným orgánům České republiky přijímat opatření k tomu, aby se zabránilo šíření nakažlivé nemoci – takovými oprávněními mohou být např. i sběr dat a informací, nebo informování obyvatel České republiky prostřednictvím mobilních komunikačních sítí ve spolupráci s operátory těchto sítí.
  • Stanovenými opatřeními jsou povinny se řídit veřejné i soukromé subjekty, tj. veřejné i soukromé subjekty musí plně dodržovat veškeré platné předpisy včetně aktuálních mimořádných opatření vlády ČR a dalších ústředních orgánů, a pouze v takto stanovených mezích případně i zpracovávat / předávat osobní údaje.
  • Osobní údaje osob, které byly dle výše uvedeného titulu platně získány v době šíření nakažlivé nemoci, nelze v budoucnu použít za jiným účelem, aniž by tento účel byl podložený jiným platným právním titulem (kontaktní údaje osob a jejich blízkých získané pro účely mimořádných opatření v době šíření nakažlivé nemoci nelze automaticky zařadit do obecných databází pro zasílání nezbytně nutných sdělení v současnosti či obchodních sdělení v budoucnosti).

Anonymita sdělování informací o pozitivním výsledku testování na COVID-19

  • Dle zákona o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů (zákon č. 258/2000 Sb.) jsou k získávání a zpracování osobních údajů v souvislosti s šířením nakažlivé nemoci oprávněny orgány ochrany veřejného zdraví, tj. takové zpracování osobních údajů může probíhat pouze na základě jejich pokynů.
  • S ohledem na ochranu osobních údajů by se veřejné orgány měly snažit zpracovávat osobní údaje pro sledování, zvládání a tlumení šíření nakažlivé nemoci anonymizovaným způsobem, tj. zpracovávat údaje agregované tak, aby nebylo možno jednotlivce zpětně identifikovat. Pravidla ochrany osobních údajů se totiž nevztahují na řádně anonymizovaná data.
  • Anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány ČR. Podmínky pro její zachování nejsou však na základě výzev některých subjektů (např. výboru společenství vlastníků bytů) vytvořeny, a proto státní orgány zveřejňují pouze anonymizované údaje.

Elektronicky vedená jednání z pohledu GDPR

  • V případě nutnosti umožnit jednání se zaměstnanci, volenými orgány nebo dalšími subjekty je z pohledu GDPR bezpečné využít nejrůznější nástroje pro videokonference. Patří mezi ně např. nástroje Webex, Zoom, Microsoft Teams a další. Všechny tyto messengery mají v rámci přenosu šifrování dat, tedy komunikace je zabezpečená i z pohledu GDPR.
  • Z pohledu ochrany osobních údajů je však potřeba věnovat pozornost rozesílání podkladů pro jednání – je možné rozesílat podklady pouze v rámci vlastní domény, nebo zabezpečené ve formátu *.zip a doplněné heslem, zaslaným jiným kanálem (např. SMS).
  • Zároveň je důležité zohlednit jaké údaje jsou komu poskytovány nebo přímo zveřejňovány – jedná se především o citlivé údaje, kam patří i zdravotní stav (např. nákaza nakažlivou nemocí).

Stanovisko Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19

  • Evropský sbor pro ochranu osobních údajů vydal v březnu 2020 stanovisko ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: monitorování výskytu a šíření koronavirové nákazy za pomoci moderních technologií je v zájmu lidstva. Ve vydaném stanovisku je řešena:
    • Zákonnost zpracování – obecné nařízení umožňuje příslušným orgánům veřejného zdraví a zaměstnavatelům zpracovat osobní údaje v souvislosti s epidemií, a to v souladu s národním právem a za podmínek v něm stanovených.
    • Klíčové zásady zpracování osobních údajů – osobní údaje nezbytné pro dosažení sledovaných cílů by měly být zpracovány pro konkrétní a výslovně stanovené účely.
    • Užití mobilních dat o poloze – jsou-li zavedena opatření dovolující zpracovávat údaje o poloze v neanonymizované podobě, je členský stát povinen uplatnit odpovídající záruky, jakým je poskytnutí práva nápravy soudní cestou uživatelům služeb elektronických komunikací.
    • Oblast zaměstnávání – zaměstnavatel by měl požadovat zdravotní informace jen v rozsahu povoleném národním právem.
  • Evropský sbor pro ochranu osobních údajů také ale zdůrazňuje, že i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních dat subjektů údajů, tj. musí být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné. „Stav nouze je okolnost, která může legitimizovat omezení svobod ovšem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na dobu nouze.“
  • Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil vlastní (neoficiální) překlad stanoviska Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=40769.

Často kladené otázky k ochraně osobních údajů v rámci opatření proti šíření koronaviru

Nová působnost ÚOOÚ – právo na informace

  • Od ledna 2020 jsou účinná některá ustanovení zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů. Tento zákon novelizoval i zákon č. 106/1999 Sb., o svobodném přístupu k informacím (konkrétně se jedná o ustanovení § 16, § 16a, § 16b a § 20 zákona).
  • Ustanovení zákona s odloženou účinností upravují novou působnost ÚOOÚ pro oblast práva na informace. Jedná se o následující činnosti / oprávnění:
    • Přezkumné řízení u rozhodnutí nadřízeného orgánu (§ 16b odst. 1 a odst. 2 zákona č. 106/1999 Sb.) − ÚOOÚ je oprávněn přezkoumat rozhodnutí odvolacího orgánu ve věci žádosti o informace (rozhodnutí o odvolání, rozhodnutí o rozkladu). Při přezkumném řízení ÚOOÚ postupuje s odkazem na § 20 odst. 4 zákona č. 106/1999 Sb. a dle zákona č. 500/2004 Sb. Přezkumné řízení tedy již není oprávněn vést, ani na základě podnětu, nadřízený orgán, jehož rozhodnutí má být přezkoumáno.
    • Opatření proti nečinnosti nadřízeného orgánu (§ 16b odst. 3 zákona č. 106/1999 Sb.) − ÚOOÚ je oprávněn, zpravidla na základě podnětu žadatele o informace, posoudit, zda je nadřízený orgán nečinný podle zákona č. 106/1999 Sb. a případně rozhodnout o opatření proti jeho nečinnosti. V tomto případě postupuje ÚOOÚ s odkazem na § 20 odst. 4 zákona č. 106/1999 Sb. a dle zákona č. 500/2004 Sb.
    • Nadřízený orgán některých povinných subjektů (§ 20 odst. 5 zákona č. 106/1999 Sb.) − ÚOOÚ je odvolacím orgánem pro povinné subjekty, u kterých dosud rozhodoval o odvolání a stížnostech ten, kdo stojí v čele povinného subjektu (ustanovení § 20 odst. 5 zákona č. 106/1999 Sb.), a to s ohledem na skutečnost, že není možno určit nadřízený orgán dle ustanovení § 178 zákona č. 500/2004 Sb.

Aktualizace Metodického návodu k aplikaci zákona o registru smluv

  • Ministerstvo vnitra ČR na svých webových stránkách zveřejnilo aktualizaci metodické pomůcky k anonymizaci zveřejňovaných dokumentů – Metodického návodu k aplikaci zákona o registru smluv, který mimo jiné obsahuje i požadavky na anonymizaci smluv před jejich vložením.
  • V současné verzi Metodického návodu k aplikaci zákona o registru smluv oproti předcházející verzi byly doplněny nové skutečnosti, které přinesla novela zákona registru smluv provedená zákonem č. 177/2019 Sb., kterým se mění zákon č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů.
  • Nejzásadnější změnou je zrušení požadavku na anonymizaci jména osoby jednající za smluvní stranu: „Jednající / Zastoupená − Případná anonymizace tohoto údaje nemá vliv na platnost a účinnost smlouvy a ani není protiprávním jednáním. Jedná se sice o osobní údaj, ale u veřejnoprávních subjektů lze bez dalšího zpracovat osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo o jeho funkčním nebo pracovním zařazení. U soukromoprávních subjektů je možné neanonymizovat osobní údaje, které jsou na základě zákona přístupné, jedná se tedy zejména o údaje o osobách, které jsou statutárními orgány obchodních korporací.“
  • Plné znění Metodického návodu k aplikaci zákona o registru smluv v aktuální verzi je uvedeno na webové stránce MV ČR https://www.mvcr.cz/clanek/registr-smluv.aspx?q=Y2hudW09OQ%3D%3D.

Aktualizace dokumentu k povinnosti správců provádět DPIA

  • ÚOOÚ vydal aktualizovanou verzi dokumentu K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA), která byla doplněna o seznam druhů operací zpracování nepodléhajících posouzení vlivu na ochranu osobních údajů.
  • Podle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, není správce povinen provádět posouzení vlivu na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést. To znamená, že všechna zpracování osobních údajů, která jsou uložena národní legislativou, jsou od zpracování DPIA osvobozena.
  • Dokument je určen správcům při usnadnění rozhodování o tom, zda konkrétní zpracování podléhá povinnosti posouzení vlivu na ochranu osobních údajů či nikoliv.
  • Aktualizovaný dokument, který je nyní vydán pod názvem Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů (verze 1.0), je zveřejněn na webové stránce ÚOOÚ https://www.uoou.cz/povinnosti-spravcu/ds-5856/p1=5856.

Pokyny ke zpracování osobních údajů prostřednictvím videozařízení (kamerových systémů)

  • ÚOOÚ zveřejnil na svých webových stránkách vlastní shrnutí zásadních částí aktuálních pokynů Evropského sboru pro ochranu osobních údajů (EDPB) provozovatelům kamerových systémů.
  • Klíčová doporučení v oblasti provozu kamerových systémů jsou:
    • Instalace videozařízení ke sledování lidí je zákonná pouze tehdy, když zpracování osobních údajů prostřednictvím videozařízení se opírá o jeden nebo více právních důvodů vyjmenovaných v čl. 6 odst.1 Nařízení GDPR, tj. např. o oprávněný zájem a plnění úkolu ve veřejném zájmu.
    • Možnost nasazení monitorovacích kamer končí na hranicích pozemku správce.
    • Udělování souhlasu v případě video monitoringu je spíše výjimečné vzhledem k povaze technologie.
    • V případě zpřístupnění kamerového záznamu třetí straně se vždy jedná o nové zpracování osobních údajů, pro které je nezbytné mít zákonný důvod podle čl. 6 odst. 1 Nařízení GDPR. Poskytnutí záznamu donucovacím orgánům představuje samostatné zpracování vyžadující odůvodnění ze strany správce.
    • V případě kamerového systému navrženého záměrně ke zpracování zvláštních kategorií osobních dat, musí být správce schopen doložit nejenom zákonný důvod podle čl. 6 odst. 1 Nařízení GDPR, ale také existenci výjimky podle čl. 9 Nařízení GDPR. Při zpracování tohoto druhu osobních údajů je nezbytné zvážit uplatnění vyšší úrovně datové bezpečnosti a příp. i vypracování posouzení vlivu na ochranu osobních údajů (DPIA).
    • Ve většině případů při sledování biometrických údajů (především v systémech rozpoznávání podle obličeje / tváře) vyžaduje použití takového video zařízení soukromým provozovatelem výslovný souhlas subjektu údajů, resp. správce musí při použití pro účely ztotožnění, nabídnout i alternativu bez zpracování biometrických dat, a to bez požadavku extra nákladů pro jednotlivce.
    • V případě ochrany práv třetích osob na záznamu lze použít software pro rozostření nebo maskování.
    • V případě nasazení kamerového systému se záznamem lze uplatnit právo na výmaz. Za vymazání se považuje i rozostření obrazu bez možnosti jeho zpětného obnovení. V souvislosti s kamerovým sledováním pro účely přímého marketingu je ovšem právo vznést námitku absolutní a subjekt údajů ho může uplatnit podle libosti.
    • Při provozování kamerového systému musí správce splnit informační povinnost – před vstupem do sledovaného prostoru musí být viditelně umístěna informační (varovná) tabule, na které je čitelně uvedený účel sledování, totožnost a kontakt na správce, poučení o právech subjektů údajů, informace o podstatných dopadech monitorování a informace o možnosti získat další a podrobnější informace (např. formou dostupného letáku, dobře viditelného plakátu nebo digitální cestou).
    • Pokyny nestanovují konkrétní přípustnou dobu uchování videozáznamu, jako pomyslné dělítko zmiňují hranici 72 hodin. Lhůty delší než 72 hodin budou vyžadovat hlubší zdůvodnění.
    • V průběhu shromažďování a uchovávání záznamů musí správce uplatňovat taková technická a organizační opatření, která odpovídají úrovni rizika, jež dané zpracování představuje pro práva a svobody jednotlivců (ochrana před náhodným či nezákonným zničením, ztrátou, pozměněním, neoprávněným zpřístupněním nebo neoprávněným přístupem).
    • Při instalaci videozařízení určených k monitorování osob vzniká ve většině případů povinnost vypracování posouzení vlivu na ochranu osobních údajů (DPIA). ÚOOÚ doporučuje všem správcům provozující kamerový systém prověřit, zda se na něho povinnost zpracování DPIA vztahuje či nikoliv.
  • Dokument Shrnutí Pokynů 3/2019 ke zpracování osobních údajů prostřednictvím videozařízení (dokument v českém jazyce) je zveřejněn na webové stránce ÚOOÚ https://www.uoou.cz/uoou-shrnul-to-nejdulezitejsi-z-nbsp-novych-pokynu-ke-nbsp-kameram/d-39551.
  • Pokyny 3/2019 schválené EDPB v anglickém jazyce (Guidelines 3/2019 on processing of personal data through video devices, Version 2.0) jsou zveřejněny na webové stránce ÚOOÚ https://www.uoou.cz/sbor-vydal-nove-pokyny-provozovatelum-kamerovych-systemu/d-39498.

Splnění informační povinnost vůči návštěvníkům budovy

  • Právem vlastníka budovy je provádět kontrolu vstupu návštěvníků do budovy, a to s ohledem na jeho odpovědnost za majetek, provoz, případně i zajištění bezpečnosti osob nacházejících se uvnitř budovy.
  • Dle výkladu ÚOOÚ může správce po návštěvníkovi budovy (subjektu údajů), která není určena k běžným návštěvám veřejnosti, požadovat, aby uvedl jméno navštívené osoby (příp. číslo kanceláře) a poskytl své identifikační údaje v rozsahu jméno a příjmení. V případě pracovního jednání je důvodné vyžadovat i předložení služebního průkazu, jehož číslo vč. názvu vysílající instituce lze v této souvislosti taktéž zaznamenat. Pokud je návštěva vykonána mimo rámec pracovní či služební povinnosti, představuje takovýto doklad především občanský průkaz nebo cestovní doklad, případně i jiný, účelu návštěvy odpovídající dokument (např. předvolání).
  • Zpracování osobních údajů přitom probíhá na základě oprávněného zájmu podle čl. 6 odst. 1 písm. f) Nařízení GDPR. Oprávněný zájem spočívá v zajištění bezpečnosti lidí a majetku, které bude probíhat mimo jiné i pomocí možnosti následné identifikace návštěvníka, např. v případě mimořádné události přímo či nepřímo související s jeho pobytem v budově (např. bezpečnostního incidentu).
  • O porušení pravidel zpracování osobních údajů by se jednalo v případě, že správce budovy bude bez opodstatněného důvodu požadovat po návštěvníkovi budovy nadbytečné údaje (např. adresu bydliště).

Zdravotní pojištění – Evropský průkaz zdravotního pojištění (kartička pojišťovny)

  • Nárok na lékařské ošetření v jiné členské zemi Evropské unie, které je neodkladné a nemůže počkat do návratu domů, má každý občan EU pokud náhle onemocní během svého dočasného pobytu v členské zemi Evropské unie (např. na dovolené, služební cestě, školním zájezdu, stáži atd.).
  • V případě uchovávání a předložení originálu (nikoliv kopie) Evropského průkazu zdravotního pojištění zdravotnickému zařízení se nejedná o zpracování osobních údajů. Pokud tedy např. dítě má s sebou originál kartičky pojišťovny (i uložený u učitelky), nejedná se o zpracování osobních údajů. Stále platí že není doporučováno, pořizovat a ukládat kopie kartiček pojišťovny.

Výše pokut za porušení GDPR v České republice

  • ÚOOÚ zveřejnil přehled o počtu a výši pravomocně udělených pokut za porušení GDPR od začátku jeho účinnosti. K listopadu 2019 bylo uděleno celkem 105 pokut v souhrnné výši 7.467.000,- Kč, z nichž nejvyšší pokuta je 250.000,- Kč.
  • V rámci provedených kontrol ÚOOÚ zjistil, že většina společností / organizací neví, co je balanční test (test proporcionality) nebo nedodržují dostatečná technicko-organizační opatření při zpracování osobních údajů.

Únik osobních údajů ze zdravotní dokumentace

  • V Kosmonosech u Mladé Boleslavi byla v popelnici na tříděný odpad nalezena zdravotnická dokumentace – 50 složek obsahujících kompletní zdravotnické karty vč. jména, rodného čísla, adresy a diagnózy pacienta (zprávy lékařů s různou datací).
  • Případem úniku osobních údajů se zabývá Policie ČR. Podle expertů by mohly být údaje ze zdravotních zpráv zneužitelné – tyto údaje patří do zvláštní kategorie osobních údajů, tj. jedná se o údaje, při kterých by měla být zvýšená míra zabezpečení při zpracování. V krajním případě by vyhození zdravotnických záznamů do popelnice mohlo být kvalifikované jako neoprávněné nakládání s osobními údaji, za které hrozí až pětiletý trest.

Ruský vir Ryuk v nemocnici v Benešově

  • V prosinci 2019 napadl nemocnici v Benešově počítačový virus. Podle dosavadních informací se předpokládá, že se jednalo o specifický vir původem z Ruska zvaný Ryuk, který byl identifikován i v případě kybernetického útoku na doly OKD. Tento vir cílí na instituce a firmy pracující s citlivými daty.
  • Vir neútočí okamžitě, ale nejdříve vše v počítači zanalyzuje – vir bez vědomí uživatele v počítači důkladně prozkoumá všechna data a dokumenty, a dokonce je schopen vypnout i antivirové programy. Když vše důkladně zanalyzuje, počítač zašifruje. Tato šifra je dostupnými technologiemi v podstatě neprolomitelná, klíč k ní totiž vlastní pouze ruská kriminální skupina, která Ryuk vytvořila. V některých případech pak skupina stojící za virem Ryuk s napadenou institucí vyjednává o ceně výkupného.
  • Středočeský kraj (zřizovatel benešovské nemocnice) oznámil, že nemocnice nepřišla o velké množství dat. Incident řeší kraj jak s ÚOOÚ, tak i s NÚKIB. Obnova systémů v benešovské nemocnici zatím stála 40 mil. Kč (částka ještě není konečná).
  • Skupina ruských hackerů virem Ryuk útočila v minulosti i v zahraničí, napadla např. americká vydavatelství novin, školy, ale i úřady na Floridě a ve Španělsku.

Kompletní informace z oblasti ochrany osobních údajů pro firmy naleznete zde a pro veřejnou správu zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).