Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím – ukončení platnosti Privacy Shield pro zpracování osobních údajů mimo EU

  • Problematiku předávání osobních údajů do třetích zemí nebo mezinárodním organizacím (dále jen „třetí země“) řeší Nařízení GDPR v kapitole V, čl. 44 – 50. Třetí zemí jsou míněny země mimo Evropskou unii. Definovaná pravidla respektují zásadu volného pohybu osobních údajů v rámci Evropské unie, tedy že nelze pouze z důvodu ochrany osobních údajů zakázat nebo omezit předávání údajů z jednoho členského státu EU do druhého. Jedná se i o služby hromadného rozesílání e-mailů (např. Sendgrid / Twilio) nebo formulářových řešení (např. Formstack). 
  • Nařízení GDPR rozlišuje (podle způsobu, jakým jsou ve třetích zemích předávaným osobním údajům poskytovány / neposkytovány záruky jejich ochrany) tři úrovně předávání osobních údajů:
    • předávání založené na rozhodnutí o odpovídající ochraně,
    • předávání založené na vhodných zárukách garantovaných správcem / vývozcem údajů,
    • předávání založené na tzv. výjimkách pro specifické situace.
  • Při předávání osobních údajů do třetích zemí musí být vždy dodržena zásada odpovídající úrovně ochrany osobních údajů.
  • O tom, zda třetí země jako celek, příp. určité území nebo odvětví ve třetí zemi zajišťuje odpovídající úroveň ochrany osobních údajů, rozhoduje Evropská komise (viz čl. 45 Nařízení GDPR).

I. Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím s dostatečnou úrovní ochrany osobních údajů

II. Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím s nedostatečnou úrovní ochrany osobních údajů

  • Třetí země, které Evropská komise neprohlásila svým rozhodnutím o odpovídající úrovni ochrany osobních údajů za bezpečné, jsou považovány za třetí země s nedostatečnou úrovní ochrany osobních údajů. Do těchto „nebezpečných“ třetích zemí je předání osobních údajů obecně možné jen na základě vytvoření vhodných záruk podle čl. 46 Nařízení GDPR, nebo ve specifických situacích podle čl. 49 Nařízení GDPR.
  • Správce osobních údajů může předání osobních údajů do „nebezpečných“ třetích zemí realizovat bez předchozího povolení ÚOOÚ, pokud využije některý ze standardních nástrojů pro vytvoření vhodných záruk (viz čl. 46 Nařízení GDPR, odst. 2):
    • a) právně závazný a vymahatelný nástroj mezi orgány veřejné moci nebo veřejnými subjekty, tzn. zpravidla mezinárodní smlouva;
    • b) závazná podniková pravidla;
    • c) a d) standardní smluvní doložky podle rozhodnutí Komise (ať již přijaté Komisí přímo nebo schválené Komisí po předložení dozorovým úřadem);
    • e) schválený kodex chování v kombinaci se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky;
    • f) schválená certifikace v kombinaci se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky.
  • Povolení ÚOOÚ je nutné získat pouze v případech, kdy správce osobních údajů hodlá předání osobních údajů realizovat na základě nestandardních nástrojů pro vytvoření vhodných záruk (viz čl. 46 Nařízení GDPR, odst. 3):
    • a) nestandardní smluvní doložky;
    • b) správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektů údajů.
  • V těchto případech ÚOOÚ v rámci povolení schvaluje navrhovaný nestandardní nástroj pro předávání osobních údajů, který vyžaduje plné uplatnění mechanismu jednotnosti včetně vydání kladného stanoviska Evropským sborem pro ochranu osobních údajů.

III. Předávání osobních údajů do Spojených států amerických

  • Pro předávání osobních údajů do Spojených států amerických byl do půlky července 2020 využíván tzv. EU−U.S. Privacy Shield (štít soukromí EU−USA), který byl definován prováděcím rozhodnutím Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí.
  • Do programu EU−U.S. Privacy Shield byly zapojeny americké společnosti, které se zavázaly k dodržování evropských standardů ochrany osobních údajů při zpracování údajů evropských osob ve Spojených státech amerických (příjemce osobních údajů se přihlásil k pravidlům programu Privacy Shield a nechal se zapsat na seznam vedený americkými úřady, poté se již z pohledu GDPR jednalo o bezpečného příjemce a předání dat bylo legální při dodržení stanovených pravidel).
  • Změna v platnosti štítu soukromí EU−USA nastala dne 16. 7. 2020, kdy Soudní dvůr Evropské unie svým rozsudkem ve věci C-311/18 Data Protection Commissioner vs. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) odmítl platnost EU−U.S. Privacy Shield, tj. rozhodl, že rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 je neplatné, ale zároveň nezrušil ani nezpochybnil rozhodnutí týkající se standardních smluvních doložek (https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:62018CJ0311&from=CS).
  • Podle rozhodnutí Soudního dvora Evropské unie štít soukromí EU−USA nezajišťuje dostatečnou ochranu dat evropských uživatelů. S okamžitou platností jsou proto všechny přenosy osobních údajů z EU do USA, které byly dříve založeny na EU-U.S. Privacy Shield jako právním základu, nepřípustné.
  • V současné době společnosti mohou pro přenos osobních dat do USA použít např. smlouvu o předávání údajů, tzv. standardní smluvní doložky, které musí uzavřít ten kdo data z EU předává (správce) a jejich příjemce.
  • Soudní dvůr Evropské unie svým rozsudkem standardní smluvní doložky sice nezrušil, ale jejich použití podmiňuje testem přiměřenosti přijatých opatření v závislosti na okolnostech předání a zemi dovozce údajů. O tom, zda budou moci společnosti data převádět mimo EU, budou podle Soudního dvora Evropské unie rozhodovat unijní dohledové úřady. Dohledové úřady budou povinny dočasně nebo trvale zakázat předávání osobních údajů do třetí země, pokud v ní nebude zajištěna ochrana vyžadovaná unijním právem.
  • Dle vydaného rozhodnutí Soudní dvůr Evropské unie má předně za to, že unijní právo, a zejména GDPR, se uplatní na předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu.

Střet zájmů Pověřence pro ochranu osobních údajů

  • Při jmenování Pověřence pro ochranu osobních údajů v rámci organizace je důležité předejít případnému střetu zájmu. Nařízení GDPR (čl. 38 odst. 6) stanovuje, že „Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.“
  • Absence střetu zájmů úzce souvisí s požadavkem kladeným na Pověřence pro ochranu osobních údajů jednat nezávisle, tj. Pověřenci mohou v rámci organizace zastávat i jiné funkce, ale jinými úkoly a povinnostmi je lze pověřit jenom za předpokladu, že u nich nedojde ke střetu zájmů. Pověřenec pro ochranu osobních údajů tedy nemůže v rámci organizace zastávat pozici, ve které by měl určovat účely a prostředky zpracování osobních údajů, např. pozici vedoucího pracovníka či pozici personalisty, IT atd.

Zpracování osobních údajů v rámci opatření proti šíření koronaviru

Hrozba kybernetických útoků – hackeři útočí na nemocnice, městské části i ministerstva

  • V poslední době se v České republice velmi často vyskytují kybernetické útoky na nemocnice, města / městské části i ministerstva. Napaden byl např. informační systém městské části Prahy 3, informační systém státního podniku Povodí Vltavy. Hackeři se dále pokusili napadnout několik nemocnic, energetickou společnost ČEZ Distribuce, Ministerstvo zdravotnictví (tyto útoky byly odvráceny).
  • Hackeři využívají současnou situaci ohledně šíření nakažlivé nemoci COVID-19 a rozesílají e-maily s odkazy na podezřelé stránky s označením koronavir nebo COVID, po jejichž otevření získají kontrolu nad informačním systémem oběti.
  • Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v souvislosti s hrozbou doporučuje několik bezpečnostních opatření. Zařízení by mělo upozornit uživatele systémů na podezřelé soubory (typu obrázek .png, .exe, text .txt, .exe, dokument .pdf, .exe a další podobné přílohy). Pokud je to možné, mělo by se také pomocí centrálního nastavení zabránit spouštění aktivního obsahu a maker především v souborech s přílohou doc.

Identifikace osob prostřednictvím otisku prstu

  • Otisk prstu, který je jednoznačnou charakteristikou člověka, spadá dle Nařízení GDPR do zvláštní kategorie osobních údajů. Při zpracování zvláštních kategorií osobních údajů je nutné, aby správce osobních údajů disponoval některým z obecných právních titulů i právním titulem pro zpracování zvláštních kategorií údajů a subjekt údajů udělil správci souhlas se zpracování svých osobních údajů.
  • Systémy umožňující identifikaci osob na základě technologie rozpoznání otisku prstů (např. docházkové systémy / docházkové terminály) vybírají z poskytnutého otisku prstu některé rysy specifické pro dané jednotlivce (tzv. markanty). Systém vytváří biometrickou šablonu na základě zjištěných markant, kterou před uložením v systému zpracuje matematickou operací do číselného vyjádření, tzv. hash kódu. Takto vytvořený hash kód (tj. otisk prstu převedený do číselné podoby) je následně uložen v řídící jednotce systému, zatímco obraz otisku prstu a zjištěné markanty jsou ihned po vytvoření hash kódu mazány.
  • V souvislosti s účinností Nařízení GDPR, které mimo jiné zohledňuje vývoj technologií v oblasti zpracovávání osobních údajů, došlo ke změně v posuzování šablon biometrických údajů (hash), a jejich zpracování za účelem identifikace osob. Z pohledu této právní regulace je nutno i využívání systémů pracujících s šablonami (tj. nikoli přímo s biometrickými údaji, ale jejich algoritmickým vyjádřením v podobě hash kód) považovat za zpracování zvláštních kategorií osobních údajů, které vyžadují zvláštní, resp. přísnější systém ochrany. Postup spočívající ve vytvoření a následném využívání hash biometrického údaje lze považovat za jeden z prvků zabezpečení, není však důvodem k vyjmutí ze zvláštních kategorií osobních údajů.
  • Dle vyjádření ÚOOÚ by zpracování biometrických údajů za účelem jednoznačné identifikace osob v rámci docházkových systémů mělo být využíváno pouze ve výjimečných situacích, kdy jiné řešení spočívající v prosté evidenci osob není s ohledem na specifické okolnosti dostačující (viz základní zásady zpracování osobních údajů – minimalizace rozsahu zpracovávaných osobních údajů).
  • Tedy i v případě, že je otisk prstu uložen ve formě hash kódu, se jedná o zpracování zvláštní kategorie osobních údajů a je nezbytné, aby subjekt údajů udělil správci souhlas se zpracování svých osobních údajů.

Nahlížení do zápisů ze schůze rady obce

Zastupitelé obce mají právo na zápisy ze schůze rady obce pouze nahlížet – viz informace vyplývající z Průvodce pro přípravu měst a obcí na požadavky GDPR a stanoviska SMO ČR:

Zpracování osobních údajů v souvislosti s pronajímáním obecních bytů

  • Při uzavírání smluv o pronajímání obecních bytů bývá často vyžadováno doložení dalších skutečností (vlastnictví jiné nemovitosti, výpis z Insolvenčního rejstříku apod.). Dle vyjádření ÚOOÚ je při uzavření smlouvy o nájmu obecního bytu vhodnější, aby uchazeč sám doložil požadované skutečnosti. Pokud má být i po uzavření smlouvy s nájemcem kontrolováno a ověřováno, zda nájemce nenabyl jiné nemovitosti nebo s ním nebylo zahájeno insolvenční řízení, je třeba, aby byl o způsobu kontroly informován ve smyslu článku 14 odst. 4 Nařízení GDPR. Jako právní důvod lze v takovém případě shledávat plnění úkolu prováděného ve veřejném zájmu (čl. 6 odst. 1 písm. e) respektive i oprávněný zájem obce (čl. 6 odst. 1 písm. f) Nařízení GDPR.
  • Rodná čísla lze v souvislosti s pronajímáním obecních bytů využívat jen tehdy, pokud je to nezbytné pro vymáhání soukromoprávních nároků nebo pro předcházení vzniku nesplácených pohledávek, jsou-li přijata konkrétní opatření k ochraně práv a svobod subjektu údajů. Toto ustanovení zákona nelze ustanovení vykládat extenzivně v tom smyslu, že rodné číslo je nezbytné pro uzavření jakékoliv smlouvy uzavírané s fyzickou osobou pro případ, že by neplnila smluvní ujednání. Jestliže je ale obec v souladu s § 4 odst. 2 a § 5 odst. 3 zákona o evidenci obyvatel a rodných číslech uživatelem rodného čísla zpracovávaného podle § 3 odst. 3 písm. e) tohoto zákona, lze rodná čísla za uvedeným účelem využívat, za předpokladu, že jsou o tom uchazeči předem informováni a jsou přijata opatření ustanovením § 13c odst. 1 písm. c) zákona o evidenci obyvatel a rodných číslech stanovená.

Problematika jmenného seznamu žáků třídy zveřejněného na dveřích třídy v budově školy

  • Zveřejnění jmenného seznamu žáků třídy na dveřích dané třídy v budově školy lze pouze se souhlasem jednotlivých žáků, resp. (v závislosti na věku konkrétního žáka) jejich zákonných zástupců. Zákonný důvod zpracování těchto osobních údajů neexistuje, bez souhlasu žáka / zákonného zástupce žáka se škola vystavujete riziku sankce za neoprávněné zpracování osobních údajů.
  • Jmenný seznam žáků lze po určitou krátkou dobu tolerovat v případě informace o rozdělení žáků do prvních tříd na začátku školního roku – jedná se o oprávněný zájem správce (hladký průběh prvních dní a přiřazení žáků do tříd). I v tomto případě je ale vhodnější užívat pseudonymizované informace, např. čísla žáků přidělená v rámci zápisu.

Hry / aplikace umožňující lépe pochopit základní principy ochrany osobních údajů

Pro rozšíření povědomí o principech ochrany osobních údajů a využívání služeb informační společnosti je vhodné začlenit problematiku i do vzdělávacího systému. V současné době existuje již několik her / aplikací, které umožňují lépe pochopit základní principy ochrany osobních údajů:

  • Interland: Hra od Googlu přináší čtyři napínavá dobrodružství se spoustou nástrah i legrace. Kromě získání úrovně “internetový Úžasňák” se lze naučit jak si poradit s hackery, phishery, kyberšikanou nebo sdílením informací na sociálních sítích. (https://www.e-bezpeci.cz/index.php/tiskove-zpravy/1914-nova-webova-hra-interland-od-googlu-uci-deti-bezpecne-pouzivat-internet)
  • Digitální stopa: Projekt NÚKIB názorně ukazuje, jak málo stačí, aby se člověk stal obětí kyberšikany, a poskytuje návod, jak tento problém řešit. (https://moodle.nic.cz/mod/page/view.php?id=345)
  • Bad News: Mezinárodně rozšířená hra, vytvořená nevládní organizací think-tank Evropské hodnoty, o dezinformacích a jejich nebezpečí. Hra zábavnou formou provádí základními manipulačními technikami. (https://www.getbadnews.cz/droggame_book/junior/#intro)
  • Než řekneš ano: Poučná on-line hra vytvořená spotřebitelskou organizací BEUC a dTest. Ve hře pomůžete Sáře a Kristiánovi naplánovat včas svatbu a vyhnout se přitom některým internetovým nástrahám. Narazíte na bezpečnost přístupových hesel, nakupování v e-shopu, komunikaci na sociálních sítích, ale třeba také rychlé odstranění poškozujícího online obsahu, odhalení podvodného e-mailu či obranu proti kyberzločinu. (https://www.nezreknesano.cz/)
  • Cyber Chronix: Aplikace z dílny Evropské komise, v rámci které pomůžete hrdinům ze vzdálené planety překonávat překážky spojené s ochranou osobních dat. (https://ec.europa.eu/jrc/en/news/understanding-gdpr-new-game-jrc)
  • Webowou diwočinou: Hra vytvořená Radou Evropy v rámci programu „Budujeme Evropu pro děti a s dětmi“. V rámci hry si vytvoříte vlastní postavičku a projdete se úžasnou zemí fantazie, a to včetně nástrah a úkolů ohledně ochrany vašich osobních údajů. (https://www.uoou.cz/webowou-diwocinou/ds-2433/archiv=0)

ÚOOÚ vytvořil na svých webových stránkách rubriku „Pro mládež“

  • ÚOOÚ vytvořil na svých webových stránkách rubriku „Pro mládež“, která obsahuje cenné informace k ochraně osobních údajů v hravé a zajímavé formě. https://www.uoou.cz/pro-mladez/ds-2331/p1=2331
  • Rubrika „Pro mládež“ obsahuje záložky Aktuality, Hry, Bezpečně na internetu, Kovyho mediální ring, Digi-obránci, Soutěže, Ultimátní příručka pro soukromí na Androidu, O vašich právech, Jak se chovat online, Archiv.

Šíření obchodních sdělení elektronickými prostředky

  • Elektronická obchodní sdělení musí být šířena v rámci zákonem stanovených pravidel, např. dle zákona o některých službách informační společnosti, zákona o regulaci reklamy, Nařízení GDPR (při šíření obchodních sdělení dochází ke zpracování osobních údajů).
  • Bez nutnosti zajištění souhlasu je možné obchodní sdělení zasílat pouze zákazníkům, kteří si u daného obchodníka zakoupili zboží / službu. Vždy se ale musí jednat o sdělení relevantní k předmětu jejich nákupu. Pro ostatní kategorie osob je vyžadován souhlas, který musí být evidován, uschován a adresáti musí mít možnost jej vzít zpět.
  • E-mail s obchodním sdělením musí být označen jako obchodní sdělení nebo pojmem s obdobným významem (např. newsletter, reklama apod.), musí obsahovat označení osoby, která sdělení odesílá, i osoby, za kterou je sdělení odesíláno.
  • Za šíření nevyžádaných obchodních sdělení jsou udělovány pokuty, např. Městský soud v Praze udělil pokutu ve výši 80 tisíc korun. Podle rozsudku vydaného Městským soudem v Praze v dubnu 2020 je za šíření nevyžádaných obchodních sdělení zodpovědný jak rozesílatel, tak i objednavatel (v kontextu zasílání e-mailových obchodních sdělení podle zákona o službách informační společnosti).
  • Za šíření obchodních sdělení elektronickými prostředky nelze tedy považovat pouze osobu odesílatele, nýbrž i osobu, která jejich odeslání obchodních sdělení iniciovala, dala k němu příkaz či z něj také profitovala. V tomto případě se totiž aplikuje objektivní odpovědnost za zasílání, kterou nelze smluvně přenést.

Zneužití dat uživatelů antivirové ochrany Avast

  • Česká antivirová společnost Avast Software s.r.o. obchodovala s daty, která získává o svých klientech. Americké magazíny Vice a PCMag jako první popsaly, jak Avast prodává data o vyhledávání stovek milionů svých klientů po celém světě globálním společnostem jako Google, Microsoft, Pepsi nebo Tripadvisor.
  • Společnost Avast Software s.r.o. měla prostřednictvím své dceřiné společnosti Jumpshot prodávat data o aktivitách uživatelů antivirové ochrany. Jumpshot nabízela klientům různé balíky dat vč. takzvaného „All Clicks Feed“, který do detailu sleduje chování uživatele, jeho kliky, pohyb mezi weby i na jednotlivých stránkách. Někteří odběratelé podle získaných smluv platili za data částky v milionech dolarů.
  • Na základě zveřejněných informací popisujících praktiky společnosti Avast Software s.r.o. zahájil ÚOOÚ prošetření případu. Výrobce antivirů Avast – dle vyjádření vedení společnosti − přestane prodávat veškerá data, která získal od svých zákazníků, nabízet nebude ani anonymizované údaje a zavře dceřinou společnost Jumpshot sídlící v San Franciscu.

Zneužití dat z Katastrálního úřadu firmou Nexter Company

  • Společnost Nexter Company na svém webu Atlas cen zveřejnila data o 70 tisících nemovitostí prodaných v loňském roce, včetně ceny, za kterou byly prodány, kontaktů na majitele a fotek z původních inzerátů. Všechny tyto údaje, jež firma získala od Katastrálního úřadu a zaplatila za ně celkem 380 250 Kč, byly na webových stránkách přístupné bezplatně a bez nutnosti registrace. Společnost informace získané z Katastru nemovitostí tedy nevyužila pouze pro vlastní účely, ale šířila je i dál.
  • Podle ÚOOÚ jde o největší zneužití cenových údajů z Katastru nemovitostí. Společnost se brání, že zveřejnění informací nebylo v rozporu s katastrálním zákonem, nicméně ze své webové stránky nejdříve odstranila fotky nemovitostí a nyní celý web reviduje.

Pochybení při zpracování osobních údajů politickými stranami

  • V rámci kontrol provedených v roce 2019 ÚOOÚ prověřoval dvě politické strany – SPD a TOP 09, a to kvůli zpracování osobních dat jejich členů, příznivců a dárců.
  • Porušení pravidel odhalil ÚOOÚ především u hnutí SPD. Hnutí zpracovávalo osobní údaje o svých dárcích v rozsahu, který nebyl nezbytně nutný (nadbytečně o dva roky prodloužilo lhůtu, v níž se uchovávaly data dárců). Hnutí mělo podle výsledků kontroly ÚOOÚ také nepřiměřeně dlouhou lhůtu pro vymazání osobních údajů nepřijatých zájemců o členství.
  • Strana TOP 09 porušila ustanovení GDPR o vedení záznamů zpracování osobních údajů. Záznamy neobsahovaly všechny požadované náležitosti, např. zájemce o zasílání newsletteru strany. Strana toto pochybění neprodleně napravila.

Telefony Xiaomi odesílají data o svých uživatelích do Číny

  • Rumunský softwarový inženýr Gabriel Cîrlig při testování telefonů čínské značky Xiaomi zjistil, že tato zařízení sledují aktivitu svých uživatelů a data následně odesílají na čínský server, který vlastní společnost Alibaba. Firma Xiaomi nepopírá, že data sbírá a odesílá, ale tvrdí, že se tomu děje pouze v anonymizované podobě. Toto tvrzení Gabriel Cîrlig odmítá, podle něj je možné informace na serveru snadno propojit s konkrétními osobami. V reakci na toto zjištění firma Xiaomi slíbila, že do příští aktualizace svého webového prohlížeče zahrne možnost sběru dat vypnout.
  • V České republice používá telefony značky Xiaomi např. Úřad vlády, policie a některá zdravotnická zařízení, pro nadcházející sčítání lidu je nakoupil i Český statistický úřad.
  • Kromě mobilních telefonů Xiaomi představují nebezpečí i softwarové produkty od této firmy, např. webové prohlížeče Mi Browser Pro a Mint Browser.

Příklady porušení ochrany osobních údajů vyplývající z kontrol provedených ÚOOÚ v 1. pololetí roku 2020

Níže je uvedeno shrnutí stěžejních chyb v oblasti ochrany osobních údajů identifikovaných v rámci kontrol provedených ÚOOÚ v 1. pololetí roku 2020:

  • Veřejná vysoká škola vyžadovala při přihlašování uchazečů ke studiu nadbytečné údaje, bez jejichž vyplnění nebylo možné elektronickou přihlášku do přijímacího řízení na vysokou školu odeslat. Pro přihlášení do informačního systému, v němž byla elektronická přihláška ke studiu vyplňována a podávána, bylo nezákonně vyžadováno rodné číslo v kombinaci s iniciálami jména a příjmení uchazeče.
  • V rámci exekutorského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Zaměstnanci, který porušil správcem stanovený pracovní postup, byla chyba vytknuta a byla přijata příslušná opatření k eliminaci selhání lidského faktoru.
  • ÚOOÚ udělil několika obchodním společnostem pořádkovou pokutu (ve výši 25 – 300 tis. Kč) za neposkytnutí součinnosti při realizaci kontroly dodržování ochrany osobních údajů (kontroly provedené z důvodu podezření na neoprávněné předávání osobních údajů v rámci nákupu na e-shopu, nezákonného rozesílání nevyžádaných obchodních sdělení atd.).
  • Organizace měla nesprávně nastaven postup pro udělení souhlasu s cookies na svých webových stránkách − souhlas se zpracováním osobních údajů nebyl právoplatně udělen, protože ukládání informací v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies bylo povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí by musel uživatel k odmítnutí svého souhlasu zrušit.
  • Společnost zaměřená na půjčování sportovního vybavení nezákonně kopírovala občanské průkazy klientů − společnost neměla řádně udělený souhlas pro zpracování osobních údajů a klienti nebyli dostatečně informováni, proč jsou jejich doklady kopírovány a jak bude s jejich osobními údaji nakládáno.
  • Společnost pochybila při formulaci souhlasu zaměstnanců se zpracováním osobních a biometrických údajů za účelem provozování docházkového systému s technologií umožňující rozpoznání otisků prstů, a sledování zaměstnanců prostřednictvím kamerového systému, při práci s počítačem a pomocí GPS umístěných ve služebních vozech. Udělený souhlas nesplňoval zákonné požadavky, neboť informace a poučení subjektu údajů o účelu, způsobech a době zpracování biometrického údaje (otisku prstu) nebyly zcela jednoznačně formulovány / nebyly transparentní.
  • Obchodní společnost nezákonně rozesílala nevyžádaná obchodní sdělení elektronickými prostředky, která obsahovala nabídky zboží a služeb různých internetových obchodů a rovněž vybízela k návštěvě internetových stránek určených k přímé podpoře nabízeného zboží a služeb.
  • Společnost nezákonně zpracovávala osobní údaje za účelem uskutečňování nevyžádaných telefonických marketingových hovorů. Společnost pochybila i při zpracování osobních údajů klientů, kteří projevili souhlas se zpracováním pouze ústně – telefonicky, protože projevený souhlas nebyl nikterak zaznamenán či archivován.

Pokuta za uchovávání nadbytečných dokumentů / kopií ve spisech zaměstnanců

  • ÚOOÚ udělil organizaci pokutu za uchovávání nadbytečných kopií ve spisech zaměstnanců. Problém uchovávání nadbytečných dokumentů (především kopie různých dokladů) o zaměstnancích se bohužel stále týká řady zaměstnavatelů. Při provedené kontrole ÚOOÚ zpochybnil uchovávání dokumentů, u kterých je jejich uchovávání skutečně neobhajitelné (kopie občanských průkazů, cestovních pasů apod.), uchovávání originálů výpisů z rejstříku trestů, kopie kartiček pojištěnce nebo bankovních kartiček s číslem účtu, ale i uchovávání daňových dokumentů (rodné listy, oddací listy, rozsudky o rozvodu manželství apod.) s poznámkou, že tyto doklady obsahují i řadu údajů třetích osob (dětí a manželů zaměstnanců).
  • Přestože realita je taková, že veškeré ostatní kontrolní úřady (kromě ÚOOÚ) mají tendenci vyžadovat jakékoli kopie dokumentů, nezbytné pro kontrolu to není a z pohledu ÚOOÚ stačí, pokud zaměstnavatel do dokladu nahlédne a učiní o tom záznam s upřesněním, ze kterého dokladu byla předmětná skutečnost dovozena.

Problematika poskytování informací o klientech sociální práce

  • Obecnou povinnost mlčenlivosti úředníka územního samosprávného celku definuje zákon č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů. Podle tohoto zákona je jednou z povinností úředníka, jímž je i sociální pracovník obecního úřadu, v rozsahu stanoveném zvláštními právními předpisy zachovávat mlčenlivost o skutečnostech, které se dozvěděl při výkonu zaměstnání a v souvislosti s ním. To neplatí, pokud byl povinnosti mlčenlivosti zproštěn, přičemž povinnosti zachovávat mlčenlivost může úředníka zprostit vedoucí obecního úřadu, jím pověřený vedoucí úředník nebo příslušný správní úřad podle zvláštních právních předpisů, nestanoví-li zvláštní právní předpis jinak.
  • Zákon č. 108/2006 Sb., o sociálních službách a zákon č. 111/2006 Sb., o pomoci v hmotné nouzi definují úkoly sociálních pracovníků obecních úřadů při realizaci činností sociální práce a ukládají povinnost mlčenlivosti sociálnímu pracovníkovi obecního úřadu. Povinnost mlčenlivosti sociálního pracovníka obecního úřadu je tedy „zpřísněna“ zákonem o sociálních službách a zákonem o pomoci v hmotné nouzi – podle těchto speciálních právních předpisů může totiž povinnosti mlčenlivosti zprostit sociálního pracovníka pouze ten, v jehož zájmu tuto povinnost mají, tj. klient sociální práce.
  • Dle aktuálního výkladu výše zmíněných zákonů a vzhledem k tomu, že výkon činností sociální práce je výkonem přenesené působnosti, není možné informace o situaci konkrétního klienta sociální práce sdělit v žádném případě starostovi, žádnému jinému členu zastupitelstva obce ani jeho výboru či komisi rady obce. Ke konkrétním informacím o klientech sociálního pracovníka rovněž nemůže mít přístup tajemník obecního úřadu či vedoucí odboru sociálního, pokud současně nevykonávají činnosti sociální práce.

Absence zákonné povinnosti mlčenlivosti v zákoně o zpracování osobních údajů

  • Oproti předchozí právní úpravě není v zákoně č. 110/2019 Sb., o zpracování osobních údajů, ukotvena zákonná povinnost mlčenlivosti všech zaměstnanců správce osobních údajů či jeho smluvních partnerů.
  • Povinnost mlčenlivosti je zakotvena v aktuálně platném zákoně o zpracování osobních údajů pouze v hlavě IV (Ochrana osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky) § 47, která reguluje ochranu osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky. Předmětná povinnost se tak vztahuje, jak zmiňuje i důvodová zpráva k zákonu č. 110/2019 Sb., na zpracování prováděné zpravodajskými službami, tj. na zpracování zcela mimo působnost Nařízení GDPR.
  • Aktuálně platné znění zákona č. 110/2019 Sb. tedy vůbec neřeší zákonnou povinnost mlčenlivosti o osobních údajích pro zaměstnance či smluvní partnery správce či zpracovatele osobních údajů (neřeší zákonnou povinnost mlčenlivosti při zpracování osobních údajů u jiných činností jako např. při zpracování osobních údajů orgány veřejné správy nebo podnikatelskými subjekty, na která dopadá Nařízení GDPR). O vypuštění této povinnosti ve vztahu k jiným zpracováním než zpravodajskými službami mlčí i důvodová zpráva k zákonu č. 110/2019 Sb., a není tak zcela zřejmé, zda se jedná o úmysl či spíše opomenutí zákonodárce.
  • Doporučujeme proto zaměstnavatelům zakotvit takovou povinnost do pracovních smluv či dodatků k již uzavřeným pracovním smlouvám.

Udělení souhlasu s cookies na webových stránkách

  • Každá webová stránka si může ukládat informace o svém návštěvníkovi prostřednictvím cookies, které pat­ří mezi tzv. síťové identifikátory řešené v rámci GDPR.
  • Z rozsudku Soudního dvora EU ze dne 1.10.2019 (C‑673/17) ale vyplývá, že použití předem zaškrtnutých políček pro poskytnutí souhlasu se zpracováním osobních údajů je nevhodné jak obecně, tak vzhledem k povolení ukládání cookies zvlášť, tj. souhlas se zpracováním osobních údajů není právoplatně udělen, pokud jsou ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleny předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit.
  • Subjekt osobních údajů by měl vždy obdržet mj. též informaci o době existence cookies a o tom, kdo k nim může získat přístup.

Zveřejňování dokumentů třetích stran na úřední desce obce

  • Při vyvěšování dokumentů třetích stran (orgánů veřejné správy nebo orgánů veřejné moci) obecní úřady nezačerňují osobní údaje uvedené na dokumentu, protože jde o dokument třetí strany a zaměstnanec obecního úřadu není kompetentní k tomu, aby sám posoudil nadbytečnost zpracování osobních údajů. Tj. obecní úřad obsah dané písemnosti orgánu veřejné správy či orgánu veřejné moci nezkoumá, nemůže ji měnit ani do ní jakkoliv zasahovat.
  • U dokumentů zveřejňovaných na úřední desce, které nepochází od jiných orgánů veřejné správy nebo orgánů veřejné moci, je třeba při jejich zveřejnění na úřední desce dbát na to, aby rozsah zveřejňovaných osobních údajů byl přiměřený a omezený na nezbytné minimum (zásada minimalizace údajů).

Uvádění rodného čísla při exekuci, v dražební vyhlášce

  • Rodné číslo lze – v souladu s § 13c zákona č. 133/2000 Sb., o evidenci obyvatel – využívat, jen jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí. Podle § 28 zákona č. 120/2001 Sb., exekuční řád se úkony exekutora při provádění exekuce považují za úkony exekučního soudu, proto je soudní exekutor oprávněn využívat při své činnosti rodná čísla. Nejvyšší správní soud v rozsudku (sp. zn. 1 As 36/2008-77) judikoval, že účelem zpracování rodného čísla je zjištění co nejrychlejšího a nejefektivnějšího provedení exekuce a smyslem poskytnutí rodného čísla osoby, na jejíž majetek byla prohlášena exekuce, je umožnit vyšetření majetkové situace povinného exekutorem.
  • Exekutor tak využívá znalost rodného čísla při podávání žádosti o součinnost dle exekučního zákona, avšak žádné procesně právní předpisy neukládají exekutorovi povinnost označovat osoby ve svých rozhodnutích či jiných listinách rodným číslem. Exekutor tedy nemůže neomezeně nakládat s rodným číslem, ale musí při jeho používání současně respektovat ustanovení zákona č. 110/2019 Sb., o zpracování osobních údajů. To, že účastník může být v návrhu (tj. v úkonu činěném jiným účastníkem) označen rodným číslem, nezakládá soudnímu exekutorovi právní titul k tomu, aby používal rodná čísla neomezeně ve všech listinách, které označení povinného vyžadují.
  • Pro dražební vyhlášku je z logiky věci nejpodstatnější otázka předmětu dražby. Kdo je povinným není pro konání dražby z hlediska možného zásahu do práv jakýchkoli osob nijak rozhodující, a tedy není zjevné, proč účastník řízení trvá na identifikaci rodným číslem právě v tomto typu listiny.

Projekt Buď safe online pro školy a děti

  • Buď safe online je společný projekt Jiřího Krále a odborníků z Avast Software s.r.o., jehož cílem je naučit děti jak být na internetu v bezpečí. Projekt je vhodný pro žáky 6. až 9 tříd základní školy.
  • Na webové stránce https://www.budsafeonline.cz/ jsou zveřejněna videa, on-line kurzy a informace určené pro děti, učitele i rodiče.

Školská zařízení – výuka formou elektronické komunikace

  • V případě využívání nástrojů elektronické komunikace v rámci výuku je vhodné informovat subjekty údajů (žáky a zákonné zástupce) o zpracování jejich osobních údajů.
  • Vhodnou formou informování subjektu údajů může být např. (podle využívaných technologií): V rámci výuky formou elektronické komunikace naše škola komunikuje několika různými způsoby, a to e-mailem a dále využíváme prostředí Bakaláři, Office 365, G Suite, Google učebnu, MS Teams, Meet, Skype Webex, Zoom, … V rámci aplikace Meet, MS Teams, Webex, Zoom, … mohou být některé vyučovací hodiny nahrávány a uloženy pro studenty, kteří se nemohou účastnit online výuky. O této skutečnosti jsou žáci vždy informováni a ikona nahrávání je zobrazena i na monitoru při online hodině v aplikaci. Při vyučování jsou zpracovávány osobní údaje žáků pouze v rozsahu nutném ke správnému technickému nastavení služby, např. IP adresa počítače. Správcem osobních údajů je společnost Google, Microsoft, Webex, Zoom, … Osobní údaje jsou uloženy na serverech těchto společností a zabezpečeny v souladu s požadavky Nařízení GDPR (více informací zde: doplňte odkaz na stránky poskytovatele služby).

Termokamery u vstupu do škol

  • V případě pořízení a umístění termokamer u vstupu do budovy školského zařízení se jedná o zpracování zvláštních kategorií osobních údajů, navíc údajů o dětech, proto je tedy nezbytné zajistit velmi dobrou ochranu / zabezpečení sbíraných dat. Zpracování těchto dat je zákonné – viz čl. 9, odst. 2, písm. i) Nařízení GDPR: zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství.
  • Prostřednictvím termokamer lze tedy měřit teplotu osob vstupujících do budovy školy a ukládat tyto záznamy, je však nutné:
    • Všechny subjekty údajů (žáky, zákonné zástupce, zaměstnance školy, návštěvníky školy) o tomto informovat (např. na webových stránkách, v IS Bakaláři, na ceduli před vstupem do budovy atd.).
    • Kamerové sledování nesmí nadměrně zasahovat do soukromí (šatny, toalety, sprchy, ale ani třídy atd.).
    • Stanovit lhůtu pro uchovávání záznamů z pohledu ochrany osobních údajů a následně provést výmaz záznamu (i ze záloh).
    • Je třeba řádně zajistit ochranu snímacích zařízení, přenosových cest a datových nosičů, na nichž jsou uloženy záznamy, před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit písemně, včetně jednoznačné definice přístupových oprávnění (kdo za jakých podmínek je může vidět).
    • O provozu kamerového systému musí být veden Záznam o činnosti zpracování.

Pokuta pro MV ČR za uchovávání DNA profilů

  • Ministerstvo vnitra ČR neuspělo s kasační stížností proti pokutě 240.000,- Kč od ÚOOÚ. Nejvyšší správní soud potvrdil loňské stanovisko Městského soudu v Praze. Důvodem pokuty bylo nadbytečné uchovávání DNA profilů lidí, kteří nebyli pravomocně odsouzeni, příp. se dopustili činů s nízkou závažností a společenskou škodlivostí, třeba maření výkonu úředního rozhodnutí.
  • Podle ÚOOÚ nelze úmyslné spáchání trestného činu akceptovat jako výhradní kritérium pro další zpracování citlivých údajů. Postačí jen pro sběr dat, při jejich dalším uchování je ale nutné zohlednit i kriminální minulost a další okolnosti.

Kybernetický útok na brněnskou fakultní nemocnici v Bohunicích a dětskou nemocnici a porodnici na Obilním trhu

  • V první polovině března 2020 byly brněnská fakultní nemocnice v Bohunicích a dětská nemocnice a porodnice na Obilním trhu napadeny virem, který ochromil jejich počítačové systémy, omezil fungování nemocnice, omezil přístup k databázím a webovým stránkám nemocnice, došlo i k výpadku telefonních linek. Případ vy­šetřují odborníci z Národního úřadu pro kybernetickou a informační bezpečnost.

Transparentní účet a ochrana osobních údajů

  • Transparentní účet − bankovní účet, do kterého může nahlížet veřejnost − obsahuje údaje (název účtu, zpráva pro příjemce, výše, datum a typ platby), na jejichž základě lze ztotožnit konkrétní osobu.
  • Majitel transparentního účtu je povinen dostatečně informovat o povaze tohoto účtu osoby, které zasílají finanční plnění na tento účet, tj. musí být zřejmé, že se nejedná o běžný účet, u kterého se příchozí a odchozí platby spolu s dalšími informacemi nezveřejňují. Při provedení platby nelze jako variabilní symbol použít rodné číslo, protože rodné číslo je specifický identifikátor, jehož účely použití stanoví zákon o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon č. 133/2000 Sb.). Jako variabilní symbol je tedy nezbytné volit jinou číselnou kombinaci, která neobsahuje další informace o dané osobě.
  • Vzhledem k veřejnosti transparentního účtu nelze tento typ bankovního účtu používat např. k výplatě mezd zaměstnancům. Případné související převody peněz mezi běžným a transparentním účtem je třeba provádět souhrnně (např. výplaty, poplatky, pokuty).
  • Transparentní účet kraje / obce / městské části
    • Transparentní účet nelze doporučit využívat pro platby, které jsou přímo spojeny s výkonem veřejné moci ve vztahu k fyzickým osobám, tj. transparentní účet by neměl sloužit pro individuální příjem správních poplatků, uložených pokut, výplatu sociálních dávek, svědečného, znalečného atd. Z transparentního účtu nebo na transparentní účet lze především provádět takové platby, které by kraj / obec / městská část byly povinny poskytnout jako povinný subjekt podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
  • Transparentní účet nadace
    • Nadace zveřejňuje v souladu s občanským zákoníkem (zákon č. 89/2012 Sb.) ve své výroční zprávě přehled o osobách, které poskytly nadační dar nebo jim byl poskytnut příspěvek v hodnotách vyšších než 10.000,- Kč, tedy pokud dárce a příjemce nepožádali o zachování své anonymity (přičemž anonymitu lze u těchto příspěvků zachovat jen v některých zvláštních situacích).

Shrnutí činností ÚOOÚ za rok 2019

  • Úřad pro ochranu osobních údajů ve své Výroční zprávě za rok 2019 uvádí počty poskytnutých konzultací, řešených dotazů, podnětů a stížností a provedených kontrol.
  • ÚOOÚ obdržel v roce 2019 celkem 1 836 dotazů a poskytl 2 667 konzultací přes GDPR telefonní linku.
  • ÚOOÚ přijal 2 482 podnětů a stížností směřujících proti postupu správců osobních údajů, z toho bylo 560 vyřízeno upozorněním správce na možné porušení a 145 předáno ke kontrole nebo jinému řízení. Většina podnětů a stížností se týkala zejména zpracování osobních údajů pro marketingové účely, nerespektování práv subjektů údajů ze strany správců (např. práva na přístup k osobním údajům), neplnění nebo nedostatečné plnění správcovy informační povinnosti o zpracování osobních údajů, zpracování osobních údajů s podvodným úmyslem (vymáhání plateb po registraci na webovém portále nebo e-shopu, vymáhání pokut za porušení obchodních podmínek), zveřejnění adresních údajů žadatelů při zveřejnění poskytnuté informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, zveřejnění neanonymizovaných záznamů (případně zápisů) z jednání Zastupitelstva obce nebo Rady města na internetu, provozování kamer atd.
  • ÚOOÚ přijal 416 ohlášení porušení zabezpečení osobních údajů ve smyslu čl. 33 Nařízení GDPR – nejvíce ohlášení se týkalo kybernetického incidentu, který zasáhl i zpracovávané osobní údaje (zejména se jednalo o napadení škodlivým programem, tzv. ransomwarem), dálo se jednalo o jednorázové nedbalostní pochybení zaměstnanců správců spočívající např. v mylném zaslání osobních údajů jiným než zamýšleným adresátům, zaslání e-mailové komunikace adresátům v „neskrytých kopiích“, ztrátě zařízení obsahujícím osobní údaje, ztrátě nebo odcizení osobních údajů v listinné podobě.
  • ÚOOÚ zahájil 63 kontrol a ukončil jich 75 (z toho 32 kontrol bylo z předchozích let) − kontroly byly úřadem zahájeny jak z poznatků ze stížnostní agendy, tak na základě vypracovaného kontrolního plánu pro rok 2019. Bylo uloženo 19 opatření k nápravě a 4 pokuty za neposkytnutí součinnosti v kontrole.
  • ÚOOÚ obdržel 2 007 podnětů k problematice obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti. Úřad zahájil 5 kontrol a ukončil jich 17 (z toho 13 kontrol bylo z předchozích let). Bez zahájení kontroly upozorněním subjektu na možné porušení povinností bylo vyřízeno 390 podnětů. Úřad vedl s 28 subjekty správní řízení, jehož výsledkem bylo uložení sankce.

Informace k minimalizaci hrozeb a rizik při práci s výpočetní technikou

Zpracování zvláštní kategorie osobních údajů pří šíření nakažlivé nemoci

  • V současné mimořádné situaci při šíření koronaviru, s přihlédnutím ke všem mimořádným opatřením vlády a jiných ústředních orgánů České republiky, dochází ve většině případů ke zpracování zvláštní kategorie osobních údajů, které je nutné chránit nad obecný rámec. Jedná se zejména o údaje o zdravotním stavu, včetně onemocnění nakažlivou chorobou (v tomto případě nemocí COVID-19). Zpracování těchto osobních údajů je založené na právních předpisech v oblasti veřejného zdraví za účelem ochrany před vážnými zdravotními hrozbami.
  • Tato ochrana je právními předpisy uložena orgánům ochrany veřejného zdraví, kterými jsou typicky krajské hygienické stanice, Ministerstvo zdravotnictví ČR, Ministerstvo vnitra ČR a Ministerstvo obrany ČR. Tyto orgány ochrany veřejného zdraví jsou ke zpracování osobních údajů oprávněny v rozsahu a za účelem stanoveným zákonem č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.
  • Zákon o ochraně veřejného zdraví umožňuje příslušným orgánům České republiky přijímat opatření k tomu, aby se zabránilo šíření nakažlivé nemoci – takovými oprávněními mohou být např. i sběr dat a informací, nebo informování obyvatel České republiky prostřednictvím mobilních komunikačních sítí ve spolupráci s operátory těchto sítí.
  • Stanovenými opatřeními jsou povinny se řídit veřejné i soukromé subjekty, tj. veřejné i soukromé subjekty musí plně dodržovat veškeré platné předpisy včetně aktuálních mimořádných opatření vlády ČR a dalších ústředních orgánů, a pouze v takto stanovených mezích případně i zpracovávat / předávat osobní údaje.
  • Osobní údaje osob, které byly dle výše uvedeného titulu platně získány v době šíření nakažlivé nemoci, nelze v budoucnu použít za jiným účelem, aniž by tento účel byl podložený jiným platným právním titulem (kontaktní údaje osob a jejich blízkých získané pro účely mimořádných opatření v době šíření nakažlivé nemoci nelze automaticky zařadit do obecných databází pro zasílání nezbytně nutných sdělení v současnosti či obchodních sdělení v budoucnosti).

Anonymita sdělování informací o pozitivním výsledku testování na COVID-19

  • Dle zákona o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů (zákon č. 258/2000 Sb.) jsou k získávání a zpracování osobních údajů v souvislosti s šířením nakažlivé nemoci oprávněny orgány ochrany veřejného zdraví, tj. takové zpracování osobních údajů může probíhat pouze na základě jejich pokynů.
  • S ohledem na ochranu osobních údajů by se veřejné orgány měly snažit zpracovávat osobní údaje pro sledování, zvládání a tlumení šíření nakažlivé nemoci anonymizovaným způsobem, tj. zpracovávat údaje agregované tak, aby nebylo možno jednotlivce zpětně identifikovat. Pravidla ochrany osobních údajů se totiž nevztahují na řádně anonymizovaná data.
  • Anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány ČR. Podmínky pro její zachování nejsou však na základě výzev některých subjektů (např. výboru společenství vlastníků bytů) vytvořeny, a proto státní orgány zveřejňují pouze anonymizované údaje.

Elektronicky vedená jednání z pohledu GDPR

  • V případě nutnosti umožnit jednání se zaměstnanci, volenými orgány nebo dalšími subjekty je z pohledu GDPR bezpečné využít nejrůznější nástroje pro videokonference. Patří mezi ně např. nástroje Webex, Zoom, Microsoft Teams a další. Všechny tyto messengery mají v rámci přenosu šifrování dat, tedy komunikace je zabezpečená i z pohledu GDPR.
  • Z pohledu ochrany osobních údajů je však potřeba věnovat pozornost rozesílání podkladů pro jednání – je možné rozesílat podklady pouze v rámci vlastní domény, nebo zabezpečené ve formátu *.zip a doplněné heslem, zaslaným jiným kanálem (např. SMS).
  • Zároveň je důležité zohlednit jaké údaje jsou komu poskytovány nebo přímo zveřejňovány – jedná se především o citlivé údaje, kam patří i zdravotní stav (např. nákaza nakažlivou nemocí).

Stanovisko Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19

  • Evropský sbor pro ochranu osobních údajů vydal v březnu 2020 stanovisko ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: monitorování výskytu a šíření koronavirové nákazy za pomoci moderních technologií je v zájmu lidstva. Ve vydaném stanovisku je řešena:
    • Zákonnost zpracování – obecné nařízení umožňuje příslušným orgánům veřejného zdraví a zaměstnavatelům zpracovat osobní údaje v souvislosti s epidemií, a to v souladu s národním právem a za podmínek v něm stanovených.
    • Klíčové zásady zpracování osobních údajů – osobní údaje nezbytné pro dosažení sledovaných cílů by měly být zpracovány pro konkrétní a výslovně stanovené účely.
    • Užití mobilních dat o poloze – jsou-li zavedena opatření dovolující zpracovávat údaje o poloze v neanonymizované podobě, je členský stát povinen uplatnit odpovídající záruky, jakým je poskytnutí práva nápravy soudní cestou uživatelům služeb elektronických komunikací.
    • Oblast zaměstnávání – zaměstnavatel by měl požadovat zdravotní informace jen v rozsahu povoleném národním právem.
  • Evropský sbor pro ochranu osobních údajů také ale zdůrazňuje, že i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních dat subjektů údajů, tj. musí být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné. „Stav nouze je okolnost, která může legitimizovat omezení svobod ovšem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na dobu nouze.“
  • Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil vlastní (neoficiální) překlad stanoviska Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=40769.

Často kladené otázky k ochraně osobních údajů v rámci opatření proti šíření koronaviru

Nová působnost ÚOOÚ – právo na informace

  • Od ledna 2020 jsou účinná některá ustanovení zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů. Tento zákon novelizoval i zákon č. 106/1999 Sb., o svobodném přístupu k informacím (konkrétně se jedná o ustanovení § 16, § 16a, § 16b a § 20 zákona).
  • Ustanovení zákona s odloženou účinností upravují novou působnost ÚOOÚ pro oblast práva na informace. Jedná se o následující činnosti / oprávnění:
    • Přezkumné řízení u rozhodnutí nadřízeného orgánu (§ 16b odst. 1 a odst. 2 zákona č. 106/1999 Sb.) − ÚOOÚ je oprávněn přezkoumat rozhodnutí odvolacího orgánu ve věci žádosti o informace (rozhodnutí o odvolání, rozhodnutí o rozkladu). Při přezkumném řízení ÚOOÚ postupuje s odkazem na § 20 odst. 4 zákona č. 106/1999 Sb. a dle zákona č. 500/2004 Sb. Přezkumné řízení tedy již není oprávněn vést, ani na základě podnětu, nadřízený orgán, jehož rozhodnutí má být přezkoumáno.
    • Opatření proti nečinnosti nadřízeného orgánu (§ 16b odst. 3 zákona č. 106/1999 Sb.) − ÚOOÚ je oprávněn, zpravidla na základě podnětu žadatele o informace, posoudit, zda je nadřízený orgán nečinný podle zákona č. 106/1999 Sb. a případně rozhodnout o opatření proti jeho nečinnosti. V tomto případě postupuje ÚOOÚ s odkazem na § 20 odst. 4 zákona č. 106/1999 Sb. a dle zákona č. 500/2004 Sb.
    • Nadřízený orgán některých povinných subjektů (§ 20 odst. 5 zákona č. 106/1999 Sb.) − ÚOOÚ je odvolacím orgánem pro povinné subjekty, u kterých dosud rozhodoval o odvolání a stížnostech ten, kdo stojí v čele povinného subjektu (ustanovení § 20 odst. 5 zákona č. 106/1999 Sb.), a to s ohledem na skutečnost, že není možno určit nadřízený orgán dle ustanovení § 178 zákona č. 500/2004 Sb.

Aktualizace Metodického návodu k aplikaci zákona o registru smluv

  • Ministerstvo vnitra ČR na svých webových stránkách zveřejnilo aktualizaci metodické pomůcky k anonymizaci zveřejňovaných dokumentů – Metodického návodu k aplikaci zákona o registru smluv, který mimo jiné obsahuje i požadavky na anonymizaci smluv před jejich vložením.
  • V současné verzi Metodického návodu k aplikaci zákona o registru smluv oproti předcházející verzi byly doplněny nové skutečnosti, které přinesla novela zákona registru smluv provedená zákonem č. 177/2019 Sb., kterým se mění zákon č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů.
  • Nejzásadnější změnou je zrušení požadavku na anonymizaci jména osoby jednající za smluvní stranu: „Jednající / Zastoupená − Případná anonymizace tohoto údaje nemá vliv na platnost a účinnost smlouvy a ani není protiprávním jednáním. Jedná se sice o osobní údaj, ale u veřejnoprávních subjektů lze bez dalšího zpracovat osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo o jeho funkčním nebo pracovním zařazení. U soukromoprávních subjektů je možné neanonymizovat osobní údaje, které jsou na základě zákona přístupné, jedná se tedy zejména o údaje o osobách, které jsou statutárními orgány obchodních korporací.“
  • Plné znění Metodického návodu k aplikaci zákona o registru smluv v aktuální verzi je uvedeno na webové stránce MV ČR https://www.mvcr.cz/clanek/registr-smluv.aspx?q=Y2hudW09OQ%3D%3D.

Aktualizace dokumentu k povinnosti správců provádět DPIA

  • ÚOOÚ vydal aktualizovanou verzi dokumentu K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA), která byla doplněna o seznam druhů operací zpracování nepodléhajících posouzení vlivu na ochranu osobních údajů.
  • Podle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, není správce povinen provádět posouzení vlivu na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést. To znamená, že všechna zpracování osobních údajů, která jsou uložena národní legislativou, jsou od zpracování DPIA osvobozena.
  • Dokument je určen správcům při usnadnění rozhodování o tom, zda konkrétní zpracování podléhá povinnosti posouzení vlivu na ochranu osobních údajů či nikoliv.
  • Aktualizovaný dokument, který je nyní vydán pod názvem Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů (verze 1.0), je zveřejněn na webové stránce ÚOOÚ https://www.uoou.cz/povinnosti-spravcu/ds-5856/p1=5856.

Pokyny ke zpracování osobních údajů prostřednictvím videozařízení (kamerových systémů)

  • ÚOOÚ zveřejnil na svých webových stránkách vlastní shrnutí zásadních částí aktuálních pokynů Evropského sboru pro ochranu osobních údajů (EDPB) provozovatelům kamerových systémů.
  • Klíčová doporučení v oblasti provozu kamerových systémů jsou:
    • Instalace videozařízení ke sledování lidí je zákonná pouze tehdy, když zpracování osobních údajů prostřednictvím videozařízení se opírá o jeden nebo více právních důvodů vyjmenovaných v čl. 6 odst.1 Nařízení GDPR, tj. např. o oprávněný zájem a plnění úkolu ve veřejném zájmu.
    • Možnost nasazení monitorovacích kamer končí na hranicích pozemku správce.
    • Udělování souhlasu v případě video monitoringu je spíše výjimečné vzhledem k povaze technologie.
    • V případě zpřístupnění kamerového záznamu třetí straně se vždy jedná o nové zpracování osobních údajů, pro které je nezbytné mít zákonný důvod podle čl. 6 odst. 1 Nařízení GDPR. Poskytnutí záznamu donucovacím orgánům představuje samostatné zpracování vyžadující odůvodnění ze strany správce.
    • V případě kamerového systému navrženého záměrně ke zpracování zvláštních kategorií osobních dat, musí být správce schopen doložit nejenom zákonný důvod podle čl. 6 odst. 1 Nařízení GDPR, ale také existenci výjimky podle čl. 9 Nařízení GDPR. Při zpracování tohoto druhu osobních údajů je nezbytné zvážit uplatnění vyšší úrovně datové bezpečnosti a příp. i vypracování posouzení vlivu na ochranu osobních údajů (DPIA).
    • Ve většině případů při sledování biometrických údajů (především v systémech rozpoznávání podle obličeje / tváře) vyžaduje použití takového video zařízení soukromým provozovatelem výslovný souhlas subjektu údajů, resp. správce musí při použití pro účely ztotožnění, nabídnout i alternativu bez zpracování biometrických dat, a to bez požadavku extra nákladů pro jednotlivce.
    • V případě ochrany práv třetích osob na záznamu lze použít software pro rozostření nebo maskování.
    • V případě nasazení kamerového systému se záznamem lze uplatnit právo na výmaz. Za vymazání se považuje i rozostření obrazu bez možnosti jeho zpětného obnovení. V souvislosti s kamerovým sledováním pro účely přímého marketingu je ovšem právo vznést námitku absolutní a subjekt údajů ho může uplatnit podle libosti.
    • Při provozování kamerového systému musí správce splnit informační povinnost – před vstupem do sledovaného prostoru musí být viditelně umístěna informační (varovná) tabule, na které je čitelně uvedený účel sledování, totožnost a kontakt na správce, poučení o právech subjektů údajů, informace o podstatných dopadech monitorování a informace o možnosti získat další a podrobnější informace (např. formou dostupného letáku, dobře viditelného plakátu nebo digitální cestou).
    • Pokyny nestanovují konkrétní přípustnou dobu uchování videozáznamu, jako pomyslné dělítko zmiňují hranici 72 hodin. Lhůty delší než 72 hodin budou vyžadovat hlubší zdůvodnění.
    • V průběhu shromažďování a uchovávání záznamů musí správce uplatňovat taková technická a organizační opatření, která odpovídají úrovni rizika, jež dané zpracování představuje pro práva a svobody jednotlivců (ochrana před náhodným či nezákonným zničením, ztrátou, pozměněním, neoprávněným zpřístupněním nebo neoprávněným přístupem).
    • Při instalaci videozařízení určených k monitorování osob vzniká ve většině případů povinnost vypracování posouzení vlivu na ochranu osobních údajů (DPIA). ÚOOÚ doporučuje všem správcům provozující kamerový systém prověřit, zda se na něho povinnost zpracování DPIA vztahuje či nikoliv.
  • Dokument Shrnutí Pokynů 3/2019 ke zpracování osobních údajů prostřednictvím videozařízení (dokument v českém jazyce) je zveřejněn na webové stránce ÚOOÚ https://www.uoou.cz/uoou-shrnul-to-nejdulezitejsi-z-nbsp-novych-pokynu-ke-nbsp-kameram/d-39551.
  • Pokyny 3/2019 schválené EDPB v anglickém jazyce (Guidelines 3/2019 on processing of personal data through video devices, Version 2.0) jsou zveřejněny na webové stránce ÚOOÚ https://www.uoou.cz/sbor-vydal-nove-pokyny-provozovatelum-kamerovych-systemu/d-39498.

Splnění informační povinnost vůči návštěvníkům budovy

  • Právem vlastníka budovy je provádět kontrolu vstupu návštěvníků do budovy, a to s ohledem na jeho odpovědnost za majetek, provoz, případně i zajištění bezpečnosti osob nacházejících se uvnitř budovy.
  • Dle výkladu ÚOOÚ může správce po návštěvníkovi budovy (subjektu údajů), která není určena k běžným návštěvám veřejnosti, požadovat, aby uvedl jméno navštívené osoby (příp. číslo kanceláře) a poskytl své identifikační údaje v rozsahu jméno a příjmení. V případě pracovního jednání je důvodné vyžadovat i předložení služebního průkazu, jehož číslo vč. názvu vysílající instituce lze v této souvislosti taktéž zaznamenat. Pokud je návštěva vykonána mimo rámec pracovní či služební povinnosti, představuje takovýto doklad především občanský průkaz nebo cestovní doklad, případně i jiný, účelu návštěvy odpovídající dokument (např. předvolání).
  • Zpracování osobních údajů přitom probíhá na základě oprávněného zájmu podle čl. 6 odst. 1 písm. f) Nařízení GDPR. Oprávněný zájem spočívá v zajištění bezpečnosti lidí a majetku, které bude probíhat mimo jiné i pomocí možnosti následné identifikace návštěvníka, např. v případě mimořádné události přímo či nepřímo související s jeho pobytem v budově (např. bezpečnostního incidentu).
  • O porušení pravidel zpracování osobních údajů by se jednalo v případě, že správce budovy bude bez opodstatněného důvodu požadovat po návštěvníkovi budovy nadbytečné údaje (např. adresu bydliště).

Zdravotní pojištění – Evropský průkaz zdravotního pojištění (kartička pojišťovny)

  • Nárok na lékařské ošetření v jiné členské zemi Evropské unie, které je neodkladné a nemůže počkat do návratu domů, má každý občan EU pokud náhle onemocní během svého dočasného pobytu v členské zemi Evropské unie (např. na dovolené, služební cestě, školním zájezdu, stáži atd.).
  • V případě uchovávání a předložení originálu (nikoliv kopie) Evropského průkazu zdravotního pojištění zdravotnickému zařízení se nejedná o zpracování osobních údajů. Pokud tedy např. dítě má s sebou originál kartičky pojišťovny (i uložený u učitelky), nejedná se o zpracování osobních údajů. Stále platí že není doporučováno, pořizovat a ukládat kopie kartiček pojišťovny.

Výše pokut za porušení GDPR v České republice

  • ÚOOÚ zveřejnil přehled o počtu a výši pravomocně udělených pokut za porušení GDPR od začátku jeho účinnosti. K listopadu 2019 bylo uděleno celkem 105 pokut v souhrnné výši 7.467.000,- Kč, z nichž nejvyšší pokuta je 250.000,- Kč.
  • V rámci provedených kontrol ÚOOÚ zjistil, že většina společností / organizací neví, co je balanční test (test proporcionality) nebo nedodržují dostatečná technicko-organizační opatření při zpracování osobních údajů.

Únik osobních údajů ze zdravotní dokumentace

  • V Kosmonosech u Mladé Boleslavi byla v popelnici na tříděný odpad nalezena zdravotnická dokumentace – 50 složek obsahujících kompletní zdravotnické karty vč. jména, rodného čísla, adresy a diagnózy pacienta (zprávy lékařů s různou datací).
  • Případem úniku osobních údajů se zabývá Policie ČR. Podle expertů by mohly být údaje ze zdravotních zpráv zneužitelné – tyto údaje patří do zvláštní kategorie osobních údajů, tj. jedná se o údaje, při kterých by měla být zvýšená míra zabezpečení při zpracování. V krajním případě by vyhození zdravotnických záznamů do popelnice mohlo být kvalifikované jako neoprávněné nakládání s osobními údaji, za které hrozí až pětiletý trest.

Ruský vir Ryuk v nemocnici v Benešově

  • V prosinci 2019 napadl nemocnici v Benešově počítačový virus. Podle dosavadních informací se předpokládá, že se jednalo o specifický vir původem z Ruska zvaný Ryuk, který byl identifikován i v případě kybernetického útoku na doly OKD. Tento vir cílí na instituce a firmy pracující s citlivými daty.
  • Vir neútočí okamžitě, ale nejdříve vše v počítači zanalyzuje – vir bez vědomí uživatele v počítači důkladně prozkoumá všechna data a dokumenty, a dokonce je schopen vypnout i antivirové programy. Když vše důkladně zanalyzuje, počítač zašifruje. Tato šifra je dostupnými technologiemi v podstatě neprolomitelná, klíč k ní totiž vlastní pouze ruská kriminální skupina, která Ryuk vytvořila. V některých případech pak skupina stojící za virem Ryuk s napadenou institucí vyjednává o ceně výkupného.
  • Středočeský kraj (zřizovatel benešovské nemocnice) oznámil, že nemocnice nepřišla o velké množství dat. Incident řeší kraj jak s ÚOOÚ, tak i s NÚKIB. Obnova systémů v benešovské nemocnici zatím stála 40 mil. Kč (částka ještě není konečná).
  • Skupina ruských hackerů virem Ryuk útočila v minulosti i v zahraničí, napadla např. americká vydavatelství novin, školy, ale i úřady na Floridě a ve Španělsku.

Kompletní informace z oblasti ochrany osobních údajů pro firmy naleznete zde a pro veřejnou správu zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).